Recentemente ho visto una presentazione da parte di Stefano Fratepietro project leader di DEFT Linux, un sistema live cd dedicato al mondo della Computer Forensics, tra le tante cose interessanti mostrate in questa presentazione (aspettatevi un test drive di DEFT Linux) c’e’ stata anche una piccola presentazione di Xplico, uno strumento utilizzato dopo aver catturato delle sessioni di rete da parte della polizia.
Quindi cos’e’ Xplico ?
Dal wiki sugli strumenti per l’analisi forense
Il Xplico è un Network Forensic Analysis Tool (NFAT). Lo scopo principale di Xplico è quello di estrarre tutto il contenuto dei dati delle applicazioni da un’acquisizione di rete (file pcap o acquisizione in tempo reale). Per esempio, Xplico è in grado di estrarre tutte le e-mail mandate dai protocolli POP e SMTP e tutti i contenuti veicolati dal protocollo HTTP da un file pcap.
Xplico è rilasciato sotto la GNU General Public License.
Quindi l’obiettivo di Xplico è estrarre da un traffico internet catturato i dati delle applicazioni contenute. Per farlo Xplico supporta una grande serie di plugin che possono “decodificare” il traffico di rete, per esempio, da un file pcap Xplico può estrarre ogni email (POP, IMAP e SMTP), tutti i contenuti HTTP, ogni chiamata VoIP (SIP) , FTP, TFTP, e così via.
Come ulteriore esempio Xplico può costruire un file .mp3 da una chiamata SIP, con questo file audio sarete in grado di ascoltare la conversazione completa.
Interfacce disponibili
Xplico può essere utilizzato con una interfaccia web che permette di creare nuovi casi, caricare nuovi file o visualizzare tutto il materiale decodificato.
L’interfaccia di Xplico è sviluppata in PHP ed è basata sul framework CakePHP. Questa interfaccia può utilizzare come database SQLite o MySQL, al momento solo il dispatcher per SQLite è completato e testato nei decoder di Xplico.
Il dispatcher per MySQL database e XI file di configurazione perr MySQL possono essere ottenuti da iSerm.
In alternativa Xplico può essere utilizzato anche in modalità console, questo permette di decodificare un singolo file pcap, directory di file pcap o decodificare in tempo reale da un’interfaccia ethernet (eth0, eth1, …).
Caratteristiche
- Protocolli supportati: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, …;
- Port Independent Protocol Identification (PIPI) per ogni protocollo di applicazione;
- Multithreading;
- Dati in uscita e informazioni su SQLite o MySQL database e/o file;
- Ai dati riassemblati da Xplico è associato un XML file che identifica univocamente il flusso ed il pcap contenente le informazioni riassemblate;
- Elaborazione realtime (dipende dal numero di flussi, i tipi di protocollo e dalla performance del computer -RAM, CPU, tempo di accesso del HD;
- Riassemblaggio delTCP con verifica dell’ACK per qualsiasi pacchetto o verifica di soft ACK;
- Reverse DNS lookup dai paccchetti DNS contenuti nei file di ingresso (pcap), non da server DNS esterni;
- Nessun limite sulle dimensioni dei dati da analizzare o il numero dei file (il solo limite è la dimensione del’HD);
- IPv4 e IPv6 supportati;
- Modularità. Ogni componente di Xplico è modulare. L’interfaccia di ingresso, il decoder di protocollo (Dissector) e l’interfaccia di output (dispatcher) sono moduli loro stessi;
- La possibilità di creare facilmente qualsiasi tipo di dispatcher con cui organizzare i dati estratti nel modo più appropriato e utile per voi;
Popular Posts:
- None Found