ntfs_esc2016

Ricostruzione forense di NTFS con metadati parzialmente danneggiati — Video e slide

Come vi avevo anticipato circa un mese fa:

Mi è stato proposto di partecipare all’ESC 2016 e di tenere un talk attinente al mio lavoro di tesi sul file system NTFS. ESC è un incontro di persone interessate al Software e Hardware Libero, all’Hacking, al DIY. Si tratta di un evento con contenuti in continua evoluzione, che vengono creati dai suoi partecipanti.

L’organizzazione di ESC ha fatto un ottimo lavoro in termini di video, infatti tutti gli interventi sono già disponibili sul loro canale YouTube. Ci sono moltissimi talk interessanti e naturalmente desidero segnalarvi anche il mio, intitolato Ricostruzione forense di NTFS con metadati parzialmente danneggiati.

Purtroppo c’è stato un piccolo problema tecnico: per motivi logistici non ho potuto presentare con il mio laptop ma ho dovuto usare il portatile che era presente (per di più, ehm… con Windows). Le scritte si sono un po’ sballate.

Il laboratorio non è stato filmato, ma in sostanza ho mostrato RecuperaBit in azione su alcuni casi di esempio che sono discussi anche nel talk.

Di seguito invece trovate le slide pubblicate su SlideShare (cliccate qui per il PDF):

Avete domande? Qualche parte non è chiara? Lasciate pure un commento qui sotto.

ESC2016

Il mio talk a ESC 2016 — Giovedì 01/09/2016, Forte Bazzera (VE)

Mi è stato proposto di partecipare all’ESC 2016 e di tenere un talk attinente al mio lavoro di tesi sul file system NTFS. ESC è un incontro di persone interessate al Software e Hardware Libero, all’Hacking, al DIY. Si tratta di un evento con contenuti in continua evoluzione, che vengono creati dai suoi partecipanti.

In particolare, ESC utilizza la formula del campeggio per riunire gli appassionati i quali poi possono assistere a talk e seminari, oltre a partecipare a laboratori vari e LAN party. I talk, caps e labs ufficiali saranno programmati da giovedì 1 a sabato 3 settembre, ma chi lo desidera può arrivare già mercoledì 31 e restare fino a domenica 4.

Il mio talk si svolgerà giovedì 1 settembre, di pomeriggio:

Giovedì 01/09/2016 — 15:00:00
Ricostruzione forense di NTFS con metadati parzialmente danneggiati
Andrea Lazzarotto (Lazza)
Forte Bazzera (VE)

A seguito terrò anche un laboratorio dove mostrerò l’utilizzo pratico di RecuperaBit, il mio software per la ricostruzione di NTFS.

L’ingresso è gratuito, e da quest’anno anche il campeggio. Tuttavia, c’è un limite al numero di partecipanti. È quindi necessario pre-registrarsi obbligatoriamente in maniera da rispettare il criterio “primo arrivato, primo servito”.

Potete trovare tutti i dettagli riguardo all’evento, compresa la lunga lista di interessantissimi talk e laboratori sul sito di ESC 2016. 🙂

talk_recuperabit_video_slide

Recuperare dati da partizioni NTFS danneggiate — Video e slide

Il Veneto è una regione particolarmente fortunata: siamo la seconda in tutta Italia per numero di LUG (Gruppi di Utenti Linux), dopo la Lombardia. Questo è possibile grazie all’incessante lavoro dei membri di tante associazioni. Tuttavia, potete trovare dei LUG in tutta Italia: non lasciatevi sfuggire queste opportunità e seguite i siti web dei LUG più vicini a voi per essere informati sugli eventi e le attività che organizzano. Io personalmente partecipo alle attività del GrappaLUG di Bassano del Grappa (VI).

Il mio talk sulla ricostruzione di NTFS

Come vi avevo scritto qualche tempo fa, il 7 giugno sono stato ospite del LUG Vicenza per un talk relativo alla mia tesi di laurea magistrale e il mio software RecuperaBit. Ovviamente, se siete di queste parti andate a visitare il loro sito web perché fanno un sacco di ottime attività di grande interesse e utili per tutta la comunità.

Devo dire che fare un talk da loro è stata un’esperienza davvero piacevole. L’organizzazione è stata perfetta, incluso il modo in cui è stato registrato il video. Mi ha piacevolmente sorpreso avere la partecipazione di una delegazione del LugBS, con tre persone venute addirittura da Brescia. Ciò mi ha onorato particolarmente.

Quello che ho cercato di fare è stato spiegare l’argomento in modo non eccessivamente tecnico ma allo stesso tempo accurato. È sempre difficile essere precisi senza essere noiosi, ma almeno ci ho provato. 😀

Ecco un estratto di alcuni commenti ricevuti dai partecipanti:

La serata di ieri è stata interessantissima. La tua esposizione è stata chiara, precisa, professionale ed illuminante.

Alla fine hai mostrato in maniera pratica il funzionamento del tuo software che è risultato disarmantemente semplice da usare, ma potentissimo!

— Marco

Bellissimo assistere a:

  • una persona preparata che ha scritto un programma
  • per giunta ti spiega come ha ragionato e come lavora: te ne vai a casa con un maggior grado di consapevolezza invece che un utente “passivo” che adopera un programma ma che fa un atto di fede e si affida ad esso senza sapere come lavora
  • e poi la parte pratica! Non finirò mai di insistere su questo punto 😀 Grande valore aggiunto!

— Luigi

L’argomento era effettivamente molto tecnico ma è stato spiegato con molta scioltezza da una persona che conosceva l’argomento in modo approfondito. Io ed i miei colleghi sistemisti abbiamo più che apprezzato.

— Vincenzo

La difficoltà non era tra le più basse, ma è stato tutto spiegato bene e tutto sommato in maniera leggera e con slide divertenti. Personalmente non sapevo nemmeno cosa significasse la parola forense, adesso ho tante cose in più nel bagaglio.

— Alessandro

È chiaro che l’argomento trattato da Andrea non fosse di vastissimo interesse, anch’io non avrei mai pensato di aver necessità di recuperare dati da un HD, ma vi assicuro che quando ti capita, riuscire a trovare un software adatto e (soprattutto) una persona che ti dia le dritte giuste è oro colato!

— Stefano

Il video e il materiale

Per chi non può esserci fisicamente, il LUG Vicenza registra puntualmente i video dei talk e li pubblica online. La qualità del video è molto buona, specialmente perché l’audio è stato registrato con un microfono esterno e quindi non ci sono interferenze. 🙂

Questo è il video disponibile su YouTube:

Di seguito invece trovate le slide pubblicate su SlideShare (cliccate qui per il PDF):

Per quanto riguarda il materiale che potete usare per i test, ne ho già parlato nel post precedente quindi potete leggere quello per maggiori dettagli.

Le prossime tappe

Ieri sera, come tutti i venerdì 17 che si rispettino, c’è stata la cena dei LUG veneti. Mi è stata fatta la proposta di riproporre un talk analogo a Schio (VI) presso l’AVi LUG e a Montebelluna (TV) presso il MontelLUG. Insomma, l’argomento sta diventando richiesto!

Naturalmente sono ancora idee e proposte non confermate, ma tenete d’occhio i loro siti… prima o poi potrei davvero fare un talk anche lì. 😉

Estrarre la rubrica da un BlackBerry con software danneggiato

Un’amica mi ha sottoposto un dispositivo BlackBerry 9780 per un’analisi. Lo scopo era quello di recuperare il contenuto integrale della rubrica contatti, in quanto il software di sistema era pesantemente danneggiato e il dispositivo faticava ad accendersi. Dopo alcuni minuti di inattività, crashava improvvisamente con un messaggio di tipo App Error.

La prima cosa da fare, in questo caso, è rimuovere la batteria e reinserirla, per effettuare un reset. Dopo diversi tentativi in cui il dispositivo sembrava bloccato all’avvio, ho verificato che effettivamente il sistema si avviava, mettendoci però 11 minuti. Alla fine del caricamento, comparivano numerosi messaggi di errore relativi al software basato su Java.

Schermata di caricamento ed errori del software
Schermata di caricamento ed errori del software

In questi casi è possibile premere ripetutamente OK per raggiungere il menu del telefono. Dopo aver effettuato questa operazione, sono iniziate le difficoltà reali:

  • la rubrica mostrava la lista dei contatti (nomi) ma non era possibile aprirli per visualizzare i numeri
  • le impostazioni di sistema non erano accessibili e facevano crashare il dispositivo
  • non si riusciva ad effettuare un accoppiamento via bluetooth
  • il programma BlackBerry Desktop Manager, oltre a essere solo per Windows o Mac, non riusciva a connettersi al dispositivo

Il fatto di non poter aprire le impostazioni di sistema significava non potersi collegare al Wi-Fi per tentare di esportare i contatti tramite qualche app. I problemi col bluetooth lasciavano il collegamento USB come unica speranza.

Il mio piano infatti era quello di effettuare un backup con il software ufficiale di BlackBerry e poi esportare la rubrica. Dopotutto è possibile usare Windows in macchina virtuale (come quelle fornite da Microsoft sul sito Modern.ie) oppure creare una USB avviabile tramite le varie Release Candidate per sviluppatori. Peccato solo per l’errore nefasto restituito da BlackBerry Desktop Manager per Windows:

BlackBerry® Desktop Manager non è in grado di comunicare con il dispositivo BlackBerry connesso. Se il dispositivo si sta riavviando oppure la batteria è completamente scarica, fare clic su Riprova per tentare di ristabilire la connessione una volta completato il riavvio. In caso contrario, per risolvere il problema potrebbe essere necessario aggiornare BlackBerry® Device Software.

Come spesso accade, mi sono reso poi conto che Linux poteva venire in aiuto e salvare la situazione. Per evitare di installare troppo software sul mio portatile, ho creato una chiavetta USB avviabile con Xubuntu 14.10, assicurandomi di attivare la persistenza per poter salvare i dati recuperati. Ad ogni modo, qualsiasi distribuzione dovrebbe andare bene.

Per evitare problemi, ho effettuato nuovamente il reset del BlackBerry. Nel frattempo ho fatto partire Xubuntu. Una volta avviato il sistema, ho installato Barry, un software open source per gestire i dispositivi BlackBerry:

sudo apt-get install barrydesktop

Ho collegato il BlackBerry col cavo USB e ho avviato il programma con i permessi di amministratore, per evitare errori di accesso negato:

sudo barrydesktop

Barry ha individuato il dispositivo senza batter ciglio e mi ha chiesto di dargli un nome. Ho cliccato su Config… e poi sul primo tasto Configure… (quello relativo al backup) per selezionare tutti i campi disponibili. In realtà era di fondamentale importanza recuperare soltanto la rubrica, ma ero curioso di vedere quanto si potesse effettivamente estrarre.

Selezione degli elementi da estrarre
Selezione degli elementi da estrarre

Dopo aver salvato le mie scelte, ho dovuto solo premere il tasto Backup nella finestra principale:

Barry durante l'operazione di backup
Barry durante l’operazione di backup

Il processo si è interrotto “brutalmente” al 42%, probabilmente a causa degli errori software. Barry ha mostrato un messaggio di errore indicando quali campi non erano stati estratti. Ha quindi provveduto a salvare quello che era stato recuperato, incluso il contenuto integrale della rubrica. Il BlackBerry è poi crashato nuovamente.

Dato che il processo era stato avviato come amministratore, è stato necessario copiare i file dalla cartella dei backup alla home dell’utente che stavo utilizzando:

sudo cp /root/.barry/backup ~
sudo chmod a+r ~/backup

L’obiettivo finale era esportare i contatti in un formato “universale” che si potesse agevolmente aprire e magari importare su Gmail. Dato che Barry effettua il backup in un formato proprietario, ho utilizzato un comodo script chiamato BlackBerry-Address-Book-to-CSV.

È sufficiente scaricare il file ZIP, estrarlo ed eseguirlo sul file di backup. Si tratta solo di dare pochi comandi:

wget https://github.com/mintern/BlackBerry-Address-Book-to-CSV/archive/master.zip
unzip master.zip
cd BlackBerry-Address-Book-to-CSV-master
./bbab2csv ~/backup/[PIN]/[NOME].tar.gz

Al posto di [PIN] e [NOME] vanno inseriti il PIN del dispositivo e il nome dell’archivio creato da Barry, che varia di volta in volta. L’output in formato CSV viene mostrato nel terminale, se volete salvarlo su un file potete ripetere l’ultimo comando ridirezionando l’output:

./bbab2csv ~/backup/[PIN]/[NOME].tar.gz > ~/contatti_BB.csv

Il file risultante si trova nella home e si può aprire tranquillamente con LibreOffice oppure importare in un account Gmail, per sincronizzarlo con un dispositivo Android. Ovviamente va salvato in un posto sicuro, specialmente se si sta usando Linux su una live USB.

Il procedimento di recupero con Linux, alla fine, è stato molto veloce. La maggior parte del tempo è stata persa nei vari riavvii del dispositivo e tentando di far funzionare il software ufficiale di BlackBerry, che non è stato di alcun aiuto per estrarre i dati.

Tuttavia, BlackBerry Desktop Manager si è rivelato utile perlomeno per far tornare funzionante il telefono. Una volta collegato il cavo USB e ricevuto il messaggio di errore, ho cliccato su Aggiorna. Alla proposta di fare un backup ho risposto di no (altrimenti si sarebbe bloccato di nuovo) e ho confermato di voler formattare il dispositivo.

Alla fine del processo, il BlackBerry era perfettamente funzionante e tristemente vuoto. Avviando di nuovo Linux, con Barry ho potuto ripristinare la rubrica di cui era stato fatto il backup in precedenza.

La morale che si può trarre da questa esperienza è che da un BlackBerry con software danneggiato a volte si possono recuperare dei dati. Inoltre, non sempre l’applicazione ufficiale è la scelta migliore. Anzi, Barry consente di accedere almeno a una parte delle informazioni in casi in cui BlackBerry Desktop Manager non è in grado di collegarsi al dispositivo, con l’ulteriore vantaggio di non essere costretti a usare Windows.

Pensate di aver cancellato dei file? I malintenzionati li recuperano, ecco come

Un paio di settimane fa ho finito di pubblicare sul sito del GrappaLUG i video del Linux Day 2014. Abbiamo avuto ben 8 talk e il lavoro di montaggio ha richiesto un po’ di tempo.

Sono stato impegnato sia per l’introduzione all’evento, sia in un intervento tutto mio dal titolo Non prestate quella chiavetta. Il talk aveva lo scopo di far prendere consapevolezza alle persone sulla cancellazione dei file, che troppo spesso è solo un’illusione. Molti infatti non sono consapevoli dei limiti di un gesto come “svuotare il cestino” e dei rischi che si corrono in termini di privacy.

Se volete saperne di più su questo argomento, e sui mezzi che hanno eventuali malintenzionati per scoprire quello che pensavate fosse cancellato, potete rivedere il mio intervento. Ecco la descrizione e il video del talk:

A volte crediamo di aver cancellato documenti e file privati dai nostri dispositivi, ma in realtà non è così. Spesso un malintenzionato può recuperare i nostri dati personali e ledere la nostra privacy.

Purtroppo avevo un po’ di raffreddore, ma tutto sommato credo che il risultato sia stato positivo. Il pubblico in sala era presente e interessato, nonostante fosse l’ultimo talk della giornata. 😉 Se volete, potete scaricare le slide sul sito del GrappaLUG, cliccando qui.

Serata “Recupero dati fai da te” a Bassano del Grappa (VI)

Vi ricordo che mercoledì 20 aprile 2011 (dopodomani) al Centro Giovanile di Bassano del Grappa (Vicenza) terrò un intervento con demo dal titolo “Recupero dati fai da te“, come parte del ciclo di conferenze sull’informatica promosse dall’associazione GrappaLUG. Ecco la descrizione della serata:

La prima serata di livello medio, nella quale saranno esposti gli argomenti chiave del recupero dei dati cancellati da hard disk o schede di memoria. Si raccomanda una conoscenza base del terminale, o la partecipazione all’appuntamento del 6 aprile.

Ovviamente anche questa volta verrà filmato tutto e messo a disposizione online il prima possibile, però mi farebbe lo stesso piacere poter vedere di persona qualche lettore se ne ho in questa zona. Nel link qui sotto trovate tutte le informazioni, compresa la mappa del luogo alla pagina “Dove trovarci”.

via Recupero dati fai da te | GrappaLUG.