Rotolando verso sud
Stefano Fratepietro website
Log management avanzato
02 years ago
Da un paio di mesi sto “giocando” con Splunk, un ottimo software per la gestione dei log in ambienti enterprice. E’ fatto veramente bene! Oltre ad essere uno dei pochi software realmente multi piattaforma (il demone può essere installato su qualsiasi sistema operativo), il client ha una interfaccia grafica veloce e, anche essa, multi piattaforma; basta indirizzare il flusso dei dati di syslog al server splunk e lui automaticamente risolve il nome di dominio catalogando l’apparato con il nome associato nel dns; le informazioni vengono raccolte e indicizzate all’interno del database Splunk.
Le ricerche e la correlazione dei log possono avvenire con delle interrogazioni già pronte in base ai plug-in dei vendor pre-installati (c’è quasi tutto, Cisco, F5, Fortinet ecc… e quello che non c’è te lo puoi creare da solo generando nuovi parser) o mediante delle interrogazioni, con sintassi molto simile al sql, da scrivere nella from dedicata. Correlare log per contesti di incidenti informatici non è mai stato così facile… quasi meglio del grep!!!
Bello… e anche divertente da usare :-)
Update: purtroppo manca tutta la parte di dialogo con il mondo Z di IBM e delle utility per la retention ed utilizzo di log esportati su file server.
L’evoluzione della mela
02 years ago
by Steve
in Informatica
Inauguro la nuova grafica del blog segnalando un interessantissimo articolo che parla dell’evoluzione della pubblicità made in Apple nel tempo.
Buona visione :-)
Windows in ostaggio
02 years ago
by Steve
in Computer Forensics
Mi hanno segnalato che nella rivista Chip del mese di settembre, nella rubrica pratica, vi è un articolo dal titolo (molto pittoresco) “Paga o non potrai più accedere a Windows” che illustra come rimuovere il Trojan .Winlock.20 da un computer con Windows Xp e di come procedere al congelamento della postazione per effettuare accertamenti tecnici.
Ringrazio l’autore, Markus Hermannsdorfer, per aver scelto DEFT Linux per la parte di Computer Forensics. :-)
Garlasco, stasi e le timeline
32 years ago
by Steve
in Computer Forensics
Quando leggo certe notizie mi cadono le braccia.
8 tecnici per eseguire una timeline e capire se l’orario del sistema è da considerarsi veritiero o no? 8 persone!?!?!? Ma soprattutto, cosa vuol dire:
“Nel controllare l’apertura delle immagini pornografiche, i tecnici dell’Arma hanno cancellato l’apertura e la chiusura dei file word.”
Mi sembra veramente di sognare! Quasi due anni per eseguire ed interpretare una timeline di un pc portatile sono veramente eccessivi.
Lo zio Sam chiama, i “cyber cosi” rispondono
02 years ago
by Steve
in Computer Forensics
Sul portale del SANS Istitute a cura del CSIS è disponibile l’accesso gratuito al Cyber Challenge; altro non è che lo zio Sam che recluta “i migliori esperti” in tema di difesa dei sistemi, digital forensics e cyber warrior.Se il mio inglese non è andato in ferie prima del sottoscritto, la partecipazione non è limitata ai soli cittadini americani.
Sentendo qua e la i colleghi italiani, questo tipo di iniziativa è stata lanciata da molte altre nazioni sia appartenenti all’UE che non; ovviamente l’Italia non ha lanciato (fino ad oggi) alcuna iniziativa simile… ci mancherebbe altro!!! Dobbiamo pensare a mandare le fiction dialettali padane in RAI e usare le bandiere regionali al posto del tricolore!!!!!!!!!! -__-”
Spionaggio industriale – non illudersi troppo
02 years ago
by Steve
in Computer Forensics
Il 2009 è stato, e sarà almeno per quanto mi riguarda, l’anno del “boom” delle indagini private per constatare ipotetici furti di informazioni aziendali a favore di aziende concorrenti. Sto parlando delle classiche indagini per concorrenza sleale, per tradimento del dipendente, per furto di progetti e tutto ciò che possa ledere il patrimonio aziendale.
Ad oggi chi richiede una consulenza o una perizia in materia è fermamente convinto di trovare quello che sta cercando. Il problema di fondo è che spesso non si tiene conto delle due variabili fondamentali: il modo in cui viene usato il dispositivo dall’utente e il tempo! Agire con tempismo e nei tempi giusti è sicuramente il modo migliore per aumentare le possiblità di trovare qualcosa. Agire in modo blando e senza cognizione di causa ha conseguenza di diminuizione della possibilità di trovare quello che si sta cercando. E’ vero che in alcuni casi ho avuto la fortuna di trovare quello che stavo cercando anche dopo 4 mesi dall’evento, ma è anche verò che è stata casualità!Recuperare informazioni da un hard disk da 500 GB avente 300GB di spazio disponibile, salvo casi particolari, ha sicuramente percentuali di successo più elevate di un recupero di messaggi e dati da una memoria di 25MB avente solo 900KB liberi dopo un mese dall’evento.
Il messaggio che voglio lanciare è questo: ogni caso è un caso a se, con le sue caratteristiche e le sue particolarità, ricordandosi sempre che Murphy è in agguato, sperare di trovare quello che ci si aspetta è lecito, pretendere di ricostruire informazioni vecchie come il cucco da memorie usate quotidianamente è follia.
Secondo me il romanzo (ma soprattutto il film) uomini che odiano le donne ha dato l’ennesima visione fantascientifica dell’haking e dell’informatica :-)