DEFTCON 2012
DEFTCON 2012DEFTCON 2012
Xplico un Network Forensic Analysis Tool scalabile
Gianluca Costa
30 marzo 2012Palazzo di Giustizia di Torino
DEFTCON 2012
Temi trattatiTemi trattati
Scopo del progetto Architettura e flessibilità di Xplico Utilizzo come NFAT Esempio d'utilizzo Evoluzioni
DEFTCON 2012
Scopo del progettoScopo del progetto
Ricostruire i contenuti trasportati dalla rete (TCP/IP): pagine web, mail, chat, telefonate VoIP,.. Fornire uno strumento, un framework, flessibile e modulare Utilizzare risorse e conoscenze già disponibili alla comunità open source Raggiungere prestazioni e caratteristiche dello stesso livello di strumenti commerciali analoghi
DEFTCON 2012
Stato attualeStato attuale
Protocolli ricostruiti: - HTTP (pagine Web) - SMTP, POP, IMAP (mail) - MSN, FB Chat (IM) - SIP, MGCP, RTP (VoIP) - WebMail (Yahoo, GMail, Libero, Live, ...) - etc,
Per un totale di 44 protocolli
DEFTCON 2012
ArchitetturaArchitettura
Modularità:● Input (Capture Dissector)● Output (Dispatcher)● Protocolli (Dissector)
Indipendenza sia dalla forma dei dati in
ingresso che dalla forma dei dati (desiderata) in
uscita
DEFTCON 2012
Xplico come NFATXplico come NFAT
● Gestire le decodifiche● Decodificare i dati relativi ad un ampio arco temporale● Presentare i dati ricostruiti
Con la collaborazione di Stefano Fratepietro di DEFT Linux
● Multi utente● Interfaccia Web
DEFTCON 2012
Sviluppi FuturiSviluppi Futuri
➔ Integrazione di nDPI (progetto nTOP)➔ Yahoo Chat➔ TLS/SSL (disponendo delle chiavi)➔ Skinny (VoIP)
DEFTCON 2012
Domande e RiferimentiDomande e Riferimenti
Domande, dubbi, perplessità ?
Riferimenti utili: Sito: http://www.xplico.org WebDemo: http://demo.xplico.org Wiki: http://wiki.xplico.org Forum: http://forum.xplico.org Email: [email protected] [email protected] Sito: http://www.iserm.com
Top Related