HackInBo® Forensic Games, fase #3: l'indagine

Inviato da rebus il Sab, 12/08/2023 - 11:18

sblocco smartphoneProsegue la serie di post sui Forensic Games: eravamo rimasti alla fine del sopralluogo e ci apprestavamo ad affrontare la fase di indagine.

Indipendentemente da cosa le squadre fossero riuscite a raccogliere durante il sopralluogo informatico, con le operazioni di rilievo in live forensics o con la repertazione fisica, a tutti sono state fornite le medesime informazioni, istruzioni e quesiti:

I fatti si sono svolti nella mattina di giovedì 8 giugno 2023 (sic).
Alle ore 12.00 un dipendente dell'hotel ha richiesto i soccorsi.
Alle ore 12.15 è arrivato sul posto il personale del 118.
Alle ore 12.25 sono intervenuti gli specialisti della Polizia Scientifica.
Da quel momento i dispositivi elettronici sono stati messi in sicurezza e il loro contenuto duplicato integralmente.

In questa cartella, c'è una selezione dei file rilevanti estratti da tali copie forensi, sufficienti a rispondere ai seguenti quesiti:

  1. Con chi si è incontrato il prof. Antani prima della conferenza?
  2. Con chi ha comunicato il professore durante la permanenza nella sala conferenze?
  3. A che ora il professore ha finito di lavorare alla presentazione?
  4. Quali dispositivi di storage esterni sono stati collegati al notebook durante la mattinata?
  5. Come è stato collegato il notebook a Internet? Con quale IP locale?
  6. A che ora è stato acceso il notebook, e a che ora è stato spento? Qual è il suo hostname?
  7. Quali programmi applicativi sono stati eseguiti dall’utente nel corso della mattinata?
  8. Quali termini sono stati ricercati su Internet tra le 10.00 e le 11.00?

Nella cartella consegnata alle squadre erano presenti questi file, scaricabili da TipiLoschi.net:
https://www.tipiloschi.net/HIB23/pendrive.root.ad1
https://www.tipiloschi.net/HIB23/pendrive.root.ad1.txt
https://www.tipiloschi.net/HIB23/zanhotel_sda2_root_hotspots.ad1
https://www.tipiloschi.net/HIB23/zanhotel_sda2_root_hotspots.ad1.txt

Sappiamo benissimo che è pressochè impossibile completare questa indagine nei soli 45 minuti (!) che le squadre avevano a disposizione, il loro scopo infatti era di andare il più avanti possibile nell'indagine, non di concluderla.

Per voi è diverso: voi non avete limiti di tempo, quindi gustatevi l'impresa. E anzi, visto che avete tempo, aggiungo un paio di quesiti:

Quesiti aggiuntivi, per i solutori più che abili:
9. Come è morto il professore?
10. Dove si trova il pendrive verde?
11. Chi si è appropriato abusivamente dei documenti del prof. Antani?

Come ho detto alle squadre partecipanti, può darsi che vi occorrano degli specifici approfondimenti di indagine per completare la quest: che siano atti di iniziativa o che richiedano delega dell'Autorità Giudiziaria, potete richiedermeli via mail a rebus@tipiloschi.net, e se la richiesta è sensata vi fornirò tutti gli elementi utili alla vostra indagine. Potete scrivermi anche solo per un suggerimento se avete perso l'orientamento, non costa nulla ;)

Lascerò passare un po' di tempo prima di pubblicare il post con le soluzioni, se intanto volete mandarvi le vostre, l'indirizzo e-mail è sempre quello sopra. Buone indagini!

 

Etichette