DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità del sistema...
-
Upload
sandro-rossetti -
Category
Documents
-
view
253 -
download
1
description
Transcript of DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità del sistema...
deftcon 2012Maxi aula 1 - Palazzo di Giustizia di Torino
Creative Commons Attribuzione-Non opere derivate 2.5
Dott. Stefano Fratepietro
venerdì 6 aprile 2012
Cos’è deftcon?• E’ la conferenza annuale degli sviluppatori ed
utilizzatori del sistema deft
• Punto di incontro tra utenti e operatori del settore
• Stato dell’arte del progetto
• Dove eravamo?
• Dove siamo?
• Dove andremo?
• Cosa interesserebbe?
venerdì 6 aprile 2012
d e f t
Acronimo di Digital Evidence & Forensic Toolkit
Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università
degli studi di Bologna
Dal 2007 diventa un progetto indipendente
venerdì 6 aprile 2012
L’evoluzione del progetto deft
Dal 2005
Solo attività di Disk Forensics
Dal 2007
Attività di Disk Forensics e Network Forensics
Dal 2009
Attività di Disk Forensics, Network Forensics e Live Forensics
Dal 2010
Attività di Disk Forensics, Network Forensics, Live Forensics e Incident Response
Dal 2011
Attività di Disk Forensics, Network Forensics, Live Forensics, Incident Response, Mobile Forensics e Cyber Intelligence
venerdì 6 aprile 2012
deft core teamProject leater: Stefano Fratepietro
Main Developer: Massimiliano Dal Cero
DART developer: Davide Gabrini, Paolo Dal Checco e Sandro Rossetti
DEFT developer: Marco Giorgi, Meo Bogliolo, Emanuele Gentili, e Valerio Leomporra
Tester: TUTTI
20%
70%
10%
Forze dell’ordine Operatori del settore Privati
venerdì 6 aprile 2012
software ComputerForensics e Osint per Linux
+
+
+software multi
piattaforma
Sistema Linux live che mantiene inalterato il
contenuto delle memorie di massa del sistema ospitante
Interfaccia graficamulti piattaforma per
attività di Incident Response e Live Forensics
DEFT come solution bag
venerdì 6 aprile 2012
Le fasi dello sviluppoSistema Linux di
partenza
Raccolta degli applicativi
Piattaforma di sviluppo Windows
Raccolta degli applicativi
Sviluppo e bugfix
Test dei beta tester
Test dei beta tester
No
Si
Sviluppo GUI e bugfixBug?
venerdì 6 aprile 2012
Partnership
ArxsysDigital Forensics Framework
Xplicowww.xplico.org
Dropbox Reader™Cyber Marshal DFLabs
venerdì 6 aprile 2012
Documentazione
• Attualmente disponibile in lingua inglese ed italiana
• Entro la fine del 2013 anche Spagnolo e Cinese
• Una serie di how-to per eseguire le principali attività informatico forensi
• Man page di tutti gli applicativi
venerdì 6 aprile 2012
Dove lo posso usare?
DEFT Linux: su tutte le architetture x86
DART: su tutti i computer con Microsoft Windowsvenerdì 6 aprile 2012
Risolvere i problemi con il minimo sforzo
Clonare la memoria di massa senza dover smontare lo schermo
venerdì 6 aprile 2012
Dove non lo posso usare?
Mainframe Architetture non x86
venerdì 6 aprile 2012
Forensic duplicatorfai da te...
1200€ 250€
Tableau TD1 Acer Aspire Revo
venerdì 6 aprile 2012
Non solo acquisizioni...
• Analisi di memorie di massa
• Analisi di traffico di rete
• Analisi di dispositivi mobile
• Analisi di backup di iPhone e Black Berry
• Analisi dei database che compongono parte della app, sia per iOS che per Android
• Incident Response e Live Forensics
• Attività di analisi in contesti di Cyber Intelligence
• Organizzazione delle evidence
venerdì 6 aprile 2012
Novità
• Nuovo sito Internet
• Ora anche su Twitter e Facebook
• Forum di supporto da oggi aperto al pubblico: forum.deftlinux.net
• Formazione
venerdì 6 aprile 2012
Progetti futuri
• DEFT Foundation - 2013
• DEFT 8 - Indipendenza totale dai pacchetti Lubuntu/Ubuntu
• Maggiore integrazione di tool per la Mobile Forensics
• Maggiore integrazione di tool per attività di Intelligence
• DART 2.0
• Motore di indicizzazione di contenuti
venerdì 6 aprile 2012
Progetti futuri
Watson: gestore di casi di CF e IR
• memorizzazione dei documenti del caso
• informazioni sui sistemi coinvolti
• archiviazione delle risultanze
• possibilità di correlare dati
venerdì 6 aprile 2012
Grazie per lʼattenzione.Dott. Stefano Fratepietro
stefano @ deftlinux.netwww.deftlinux.netsteve.deftlinux.netTwitter: stevedeft
Domande?
venerdì 6 aprile 2012