Sistema di intercettazione telematica LayerShell Il sistema di intercettazione telematica LayerShell, di proprietà della società T.O.I. Srl, è una suite (pacchetto) composto da vari software realizzati per offrire un esperienza di investigazione e di analisi dei dati il più intuitiva e semplice possibile, consentendo alle autorità giudiziarie di poter svolgere il lavoro in maniera efficace. Il cuore del sistema è l agent, software realizzato utilizzando le più recenti tecnologie di programmazione avanzata e tecniche stealth esistenti in circolazione. L agent può essere inoculato tramite email, come allegato in un file MP3 ad esempio, o essere inglobato in un setup di terze parti, come ad esempio l installazione di un programma per visualizzare PDF come Acrobat Reader, o un editor di testo, o un aggiornamento di Microsoft Windows. Può essere inoltre incapsulato all interno di una chiavetta per la navigazione Internet. Non è rintracciabile dagli antivirus (testato con la maggior parte dei software in commercio), non è presente tra i programmi in esecuzione nel task manager del sistema operativo, e non è visibile su disco. La riservatezza e la segretezza del sistema sono chiavi imprescindibili per effettuare operazioni pulite di intercettazione telematica. Le operazioni di intercettazione coprono tutte le aree sensibili di un attività telematica, ovvero desktop, tasti premuti, webcam, audio e forensica in tempo reale. I dati raccolti vengono incapsulati all interno di sessioni altamente criptate con sofisticati algoritmi di crittografia quali AES con chiavi a 256 bit, prima di essere inviati alla centrale di raccolta dati locata presso la procura. Questo per evitare che i dati sensibili relativi all indagine vengano rubati o comunque visionati da occhi indiscreti (vedi hacker). La centrale di raccolta dati opera in H24 in attesa dei dati, che raccoglie e organizza all interno di un database. Questa passa in seguito una copia dei dati ad un client apposito di consultazione, che può essere locato negli uffici della P.G., il quale, tramite un player apposito, riproduce la sessione esatta delle attività svolte dell indagato. Il player consente durante la consultazione, la scrittura di note, brogliaccio e trascrizione. Tutti i dati vengono inoltre salvati su di un unità di backup con scadenza giornaliera, tramite un apposito software facente parte della suite LayerShell.
Elenco delle caratteristiche della suite. La suite è composta dai seguenti programmi: Agent di intercettazione; Centrale di raccolta dati; Client di consultazione dei dati; Player di sessioni con trascrizione, note e brogliaccio; Utility di backup dei dati (completamente automatizzata); Quick Setup: installazione dell agent con due click, in un tempo netto di 3-4 secondi, utile in caso di installazioni on-the-fly durante perquisizione; Embedded Setup: installazione dell agent inglobato in un setup reale di terze di un qualsiasi programma commerciale; Internet Key Setup: installazione dell agent inglobato in una chiavetta di navigazione internet mobile; MP3 Binder: installazione dell agent tramite file MP3 E inoltre possibile veicolare l agent in un pacchetto contenente files PDF o documenti di vario genere. Offriamo inoltre la possibilità di utilizzare il nostro sistema di fake email & fake webserver, attraverso il quale siamo capaci di inviare email a nome di mittenti qualunque (ad esempio INAIL, INPS e così via) con link che riferiscono all agent da inoculare, ma che reindirizzano al sito vero e proprio del mittente in maniera del tutto trasparente.
Agent Caratteristiche tecniche: - Nascosto su disco; - Invisibile dal task manager; - Cattura fotogrammi desktop ad intervalli personalizzabili; - Cattura fotogrammi webcam ad intervalli personalizzabili; - Cattura audio (Skype): Windows Vista/7/8 : mix microfono + speakers; Windows XP : solo microfono; Codec: G729b (DSP: echo cancellation, noise reduction) VOIP audio catturato (streaming in diretta); - Cattura le seguenti password precedentemente salvate su disco: Internet Explorer (Version 4.0-9.0); Mozilla Firefox (All Versions); Google Chrome; Opera; MSN Messenger; Windows Messenger (In Windows XP); Windows Live Messenger (In Windows XP/Vista/7); Yahoo Messenger (Versions 5.x and 6.x); Google Talk; ICQ Lite 4.x/5.x/2003; AOL Instant Messenger v4.6 or below, AIM 6.x, and AIM Pro; Trillian; Trillian Astra; Miranda; GAIM/Pidgin; MySpace IM; PaltalkScene; Digsby; - Shell remota (prompt comandi DOS); - Cattura tasti premuti (Keylogger); - Live Forensic: forensica in tempo reale sulla macchina remota, anche dei dispositivi USB connessi. Possibilità di eseguire, rinominare, spostare, cancellare e scaricare files, anche di grosse dimensioni (1-2 Gigabyte); - Non rilevabile dagli Antivirus;
- Nascosto nel filesystem (invisibile su disco); - Dati catturati vengono crittografati a 256 bit con algoritmo AES prima dell'invio; - Informazioni sull'hardware della macchina remota e sui processi in esecuzione. Possibilità di terminare processi; - Possibilità di aggiornare l'agent da remoto (update); - Possibilità di autodistruggersi al termine dell'indagine (tramite apposito comando dalla centrale); Testato su Windows XP, Vista, Seven e sistemi a 64 bit della famiglia Microsoft. Testato con successo in attività sensibili di intercettazione telematica.
Centrale raccolta dati LayerShell La centrale fornisce una serie di funzioni, quali: - Possibilità di gestire la configurazione dell'agent; - Gestione delle sessioni ricevute dall agent; - Controllo totale della macchina remota tramite Shell di Windows; - Gestione files scaricati dall'agent; - Visione remota dei dati (Forensica) in tempo reale con Live Forensic; - Possibilità di configurare un indirizzo email per ricevere le notifiche (connessioni dell'agent); - Possibilità di inviare SMS in caso di connessione dell agent; - Allarme audio da tacitare, in caso di ricezione lista drives (ad esempio se il target inserisce una chiave USB); - Visualizzazione informazioni hardware della macchina con possibilità di esportazione su file di testo; - Visualizzazione dei processi remoti con possibilità di terminarli; - Log eventi filtrabile per data; Le sessioni vengono visualizzate tramite un raffinato sistema di filtraggio, è infatti possibile impostare filtri per: Data di ricezione delle sessioni; Numero di progressivo (esempio, dal progressivo 1 al progressivo 15); Importanza della sessione; Sessioni che contengono un determinato testo all interno della trascrizione o del brogliaccio; Sessioni già esaminate; Questi filtri possono essere combinati a piacere per effettuare una ricerca avanzata e raffinata. Per sessione si intende un pacchetto dati ricevuto dalla centrale, criptato e compresso, contenente audio, video, webcam, tasti premuti, processi attivi nel sistema e storyboard. Ogni sessione ha un suo livello di importanza, determinabile dall ufficiale di PG, impostabile su 4 livelli: Poco importante, Importante, Molto Importante, Da Verificare. Ogni qualvolta una sessione viene aperta tramite il Player apposito, questa viene impostata come già visitata, come succede per i link http che visualizziamo normalmente quando navighiamo con il browser su internet.
Schermata principale della centrale di raccolta dati.
Schermata di analisi delle sessioni ricevute
Schermata di analisi dei files ricevuti (sessioni, files scaricati tramite forensica, etc.)
Schermata della forensica in tempo reale.
Schermata della console remota.
Player di sessioni Il player di sessioni viene utilizzato per riprodurre l attività intercettata sul computer dell indagato. Essendo completamente integrato nella centrale di raccolta dati e nel client di consultazione (il quale è una versione limitata e ridotta della centrale di raccolta dati, che permette la visualizzazione delle sessioni e l inserimento delle trascrizioni, brogliaccio e note), consente un utilizzo intuitivo e facilita notevolmente il lavoro degli ufficiali di PG. Nella schermata soprastante possiamo notare dall alto verso il basso, partendo da sinistra, il pannello del desktop (dove vediamo il logo del programma), sotto la forma d onda dell audio catturato, la timeline e il pannello per l inserimento del brogliaccio e della trascrizione.
Questi vengono salvati direttamente sul database della centrale di raccolta dati. Sulla colonna di destra possiamo notare il pannello della webcam, il riproduttore dei tasti premuti, il regolatore di velocità di riproduzione e lo storyboard della sessione. Il suo funzionamento è simile a quello di un normale player di video, con i pulsanti di play, pausa e stop. Quando l ufficiale di PG scrive nel brogliaccio o nella trascrizione, la riproduzione viene interrotta. Questa riprende dopo tot secondi (configurabili) durante il quale non viene premuto nessun tasto. Come enunciato precedentemente, il player utilizzato dal client di consultazione dati non salva questi (trascrizione, brogliaccio, importanza della sessione, note) in loco, ma sul server di raccolta dati locato in procura. Il sistema è sviluppato interamente dalla nostra azienda, quindi è possibile personalizzarlo a seconda delle esigenze dalla P.G.