DEFTCON 2012 Xplico un Network Forensic Analysis

DEFTCON 2012
Xplico
un Network Forensic Analysis Tool scalabile
Gianluca Costa
30 marzo 2012
Palazzo di Giustizia di Torino
DEFTCON 2012
Temi trattati
Scopo del progetto
 Architettura e flessibilità di Xplico
 Utilizzo come NFAT
 Esempio d'utilizzo
 Evoluzioni

DEFTCON 2012
Scopo del progetto

Ricostruire i contenuti trasportati dalla rete (TCP/IP):
pagine web, mail, chat, telefonate VoIP,..
Fornire uno strumento, un framework, flessibile e modulare
 Utilizzare risorse e conoscenze già disponibili alla
comunità open source
 Raggiungere prestazioni e caratteristiche dello stesso livello
di strumenti commerciali analoghi

DEFTCON 2012
Stato attuale
Protocolli ricostruiti:
- HTTP (pagine Web)
- SMTP, POP, IMAP (mail)
- MSN, FB Chat (IM)
- SIP, MGCP, RTP (VoIP)
- WebMail (Yahoo, GMail,
Libero, Live, ...)
- etc,
Per un totale di 44 protocolli
DEFTCON 2012
Architettura
Indipendenza sia dalla
forma dei dati in
ingresso che dalla forma
dei dati (desiderata) in
uscita
Modularità:
● Input (Capture Dissector)
● Output (Dispatcher)
● Protocolli (Dissector)
DEFTCON 2012
Xplico come NFAT
Con la collaborazione di Stefano Fratepietro di DEFT Linux
Gestire le decodifiche
● Decodificare i dati relativi ad
un ampio arco temporale
● Presentare i dati ricostruiti
●
Multi utente
● Interfaccia Web
●
DEFTCON 2012
Demo
DEFTCON 2012
Sviluppi Futuri
Integrazione di nDPI (progetto nTOP)
➔ Yahoo Chat
➔ TLS/SSL (disponendo delle chiavi)
➔ Skinny (VoIP)
➔
DEFTCON 2012
Domande e Riferimenti
Domande, dubbi, perplessità ?
Riferimenti utili:
Sito: http://www.xplico.org
WebDemo: http://demo.xplico.org
Wiki: http://wiki.xplico.org
Forum: http://forum.xplico.org
Email: [email protected]
[email protected]
Sito: http://www.iserm.com
DEFTCON 2012