DEFTCON 2012 Xplico un Network Forensic Analysis
Transcript
DEFTCON 2012 Xplico un Network Forensic Analysis
DEFTCON 2012 Xplico un Network Forensic Analysis Tool scalabile Gianluca Costa 30 marzo 2012 Palazzo di Giustizia di Torino DEFTCON 2012 Temi trattati Scopo del progetto Architettura e flessibilità di Xplico Utilizzo come NFAT Esempio d'utilizzo Evoluzioni DEFTCON 2012 Scopo del progetto Ricostruire i contenuti trasportati dalla rete (TCP/IP): pagine web, mail, chat, telefonate VoIP,.. Fornire uno strumento, un framework, flessibile e modulare Utilizzare risorse e conoscenze già disponibili alla comunità open source Raggiungere prestazioni e caratteristiche dello stesso livello di strumenti commerciali analoghi DEFTCON 2012 Stato attuale Protocolli ricostruiti: - HTTP (pagine Web) - SMTP, POP, IMAP (mail) - MSN, FB Chat (IM) - SIP, MGCP, RTP (VoIP) - WebMail (Yahoo, GMail, Libero, Live, ...) - etc, Per un totale di 44 protocolli DEFTCON 2012 Architettura Indipendenza sia dalla forma dei dati in ingresso che dalla forma dei dati (desiderata) in uscita Modularità: ● Input (Capture Dissector) ● Output (Dispatcher) ● Protocolli (Dissector) DEFTCON 2012 Xplico come NFAT Con la collaborazione di Stefano Fratepietro di DEFT Linux Gestire le decodifiche ● Decodificare i dati relativi ad un ampio arco temporale ● Presentare i dati ricostruiti ● Multi utente ● Interfaccia Web ● DEFTCON 2012 Demo DEFTCON 2012 Sviluppi Futuri Integrazione di nDPI (progetto nTOP) ➔ Yahoo Chat ➔ TLS/SSL (disponendo delle chiavi) ➔ Skinny (VoIP) ➔ DEFTCON 2012 Domande e Riferimenti Domande, dubbi, perplessità ? Riferimenti utili: Sito: http://www.xplico.org WebDemo: http://demo.xplico.org Wiki: http://wiki.xplico.org Forum: http://forum.xplico.org Email: [email protected] [email protected] Sito: http://www.iserm.com DEFTCON 2012