SlideShare ist ein Scribd-Unternehmen logo
1 von 30
Downloaden Sie, um offline zu lesen
LINUX DAY NAPOLI 2010

     CYBER FORENSICS:
ACQUISIZIONE E ANALISI DEI DATI

        A CURA DI MARCO FERRIGNO

- Developer of the Italian Debian GNU/Linux HOWTOs -
            Jabber ID: m.ferrigno@xmpp.jp
              marko.ferrigno@gmail.com
A n a lis i f o r e n s e

PROPEDEUTICITA':
   NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE,
   NOZIONI BASILARI SUI FILESYSTEM.


COSA IMPAREREMO DA QUESTO TALK:
   CONCETTO DI COMPUTER FORENSICS,
   METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA
   POSTO SOTTO SEQUESTRO
   METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.
Analisi forense: cos'è realmente?

E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE,
ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI
TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO
INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI
GIUDIZIARI.
IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI:
  ACQUISIZIONE (TARGET INFORMATICO)*
  ANALISI (TARGET INFORMATICO)*
  INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)
  VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)


*ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE
A n a lis i f o r e n s e :
     n o r m a t iv a r ile v a n t e in a m b it o
                      g iu r id ic o
LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA
DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE:


 MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA,

 INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL
 CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA'
 AMMINISTRATIVA DEGLI ENTI,

 MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO
 PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO
 DELLE INDAGINI INFORMATICHE,

 MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA
 NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)
Analisi forense:
            l'acquisizione del dato
ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI.

ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE
L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME,
L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE.

QUANDO ACQUISIRE IL DATO:

 NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE),

 OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL
SEQUESTRO GIUDIZIARIO DEI SUPPORTI

MODI DI ACQUISIRE IL DATO:

 ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE
ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL
CASO),

 COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE
TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI
ALTERARE IL REPERTO ORIGINALE.
Analisi forense:
software open source per l'acquisizione
SOLUZIONI A CODICE APERTO:
DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE
COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O
SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE.
QUAL'E' L'IDEA?
DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE
QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI
SINGOLO BYTE SU UN ALTRO FILE
CARATTERISTICHE:
AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA
OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI
GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE
VARIANTI:
DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI
DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG
A n a lis i f o r e n s e :
         s o ftw a re o p e n s o u rc e p e r
                  l' a c q u is iz io n e
IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL
COMANDO “fdisk -l” CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI
ATTUALMENTE COLLEGATI AL SISTEMA

LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA'

 PER DD:

“dd if=/sorgente of=/destinazione”

 PER DDRESCUE:

“dd_rescue /sorgente /destinazione/chiavettausb.img”

IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA
ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL
FILE “chiavettausb.img”

 PER DCFLDD:

“dclfdd if=/sorgente of=/destinazione”
Apertura terminale [da menu o ALT+F2, nome terminale]




Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)
DD applicato sull'intero device




DD applicato sull'intero device con interruzione inaspettata (o volontaria!)




DD applicato su una parte del device
DDRESCUE in azione
DCFLDD in azione
Analisi forense:
       integrità del dato acquisito
L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE
IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO
L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO)
ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT
MEDIANTE MD5SUM E SHA1SUM


SINTASSI MD5SUM:
“md5sum /dev/nomedevice/” PER IL DEVICE
“md5sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
SINTASSI SHA1SUM:
“sha1sum /dev/nomedevice/” PER IL DEVICE
“sha1sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
Analisi forense:
AFF (Advanced Forensics Format)
AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO
LICENZA BSD

CARATTERISTICA PRINCIPALE:

ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA
L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA
MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN
UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO.

ALTRE CARATTERISTICHE:

 ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA,

  PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE
L'IMMAGINE

 VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI
SULLO HASH ....

PRODUCE FILE COMPRESSI PICCOLI.
Analisi forense:
acquisizione di device in sistemi RAID
LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A
SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO
ACQUISIRE

ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE

UN ESEMPIO: HARD DISK IN RAID 5!

LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON
AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON
SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO
IN QUESTIONE SARA' INUTILIZZABILE

SOLUZIONE RAID HARDWARE:

ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL
CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI
POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE
FOSSE UN NORMALE HARD DISK STAND ALONE

SOLUZIONE RAID SOFTWARE:

E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO
PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!
Analisi forense: utilizzo di un live
              cd linux

DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI
IN UN SUPPORTO FISICO

ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI.
IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON
SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI
PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.
Analisi forense: utilizzo di un live
              cd linux
SPECIFICHE PARTICOLARITA':

 DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE
PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A
QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN
SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE

  INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI
COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA
INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA
RAM

 UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE
DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP,
ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO

 FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I
FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E
QUELLI ORAMAI OBSOLETI

 TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER
ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON
OPEN SOURCE
Analisi forense: l'analisi del dato

LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE
FEDELI DEI DEVICE ACQUISITI

L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI
PROVE INFORMATICHE UTILI AI FINI PROBATORI

NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO:

                          I DATI CANCELLATI!

SOLUZIONE:

NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER
L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS
RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB
GUI: AUTOPSY
Analisi forense: Autopsy
SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN
SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI
PIU' DIFFUSI FILESYSTEM:

FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE)

NTFS (WINDOWS NT SERIES)

EXT2, EXT3 (GNU/LINUX)

UFS (UNIX, BSD)

ISO 9660 (CD-ROM)

ZFS (SOLARIS)

RAW

SWAP

MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)
Analisi forense:
          Autopsy - caratteristiche
 INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI
PROGRAMMI,

 GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA
LETTURA),

 CALCOLO DI HASH MD5,

 ACCURATA ANALISI DI DEVICE,

 RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI ,

 RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI,

 ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO,

 CREAZIONE DI TIMELINE,

 CREAZIONE DI REPORT RIASSUNTIVI
Analisi del reperto utilizzando
                Autopsy


AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE
ACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COME
QUELLE ACQUISITE IN FORMATO AFF O ENCASE*


ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE



*SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.
Analisi del reperto utilizzando Autopsy
 Recupero file cancellati
Analisi del reperto utilizzando Autopsy
 Timeline
Analisi forense: la Timeline

NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI
TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA..

ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI
SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD
ANALISI

PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO
FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO

ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE
CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E'
STABILIRE DATA ED ORA DEL DECESSO

IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA
RICERCA E L'ANALISI DEI DATI .

PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL
SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO
ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA
OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .
Analisi forense: limiti e ostacoli
CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA
(3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA'
TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE
LA VARIABILITA' DELLO SPAZIO DI CHIAVI

SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE
MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!)

SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME:
 FILE TEMORANEI
 FILE CANCELLATI
 BACKUP

STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E'
POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE
VETTORE

SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA
CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO
CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA
(BASSISSIMA PROBABILITA' DI SUCCESSO !!!)

DATA HIDING & VIRTUALIZZAZIONE
Analisi forense: casi reali
                         FURTO DI UN PORTATILE


ANTEFATTO
VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL
PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA

RICHIESTA
VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI

OPERAZIONI & TECNICHE UTILIZZATE
SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA
DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH
DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY
SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E'
STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO

RISULTATO
IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO
AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO
USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !
Analisi forense: casi reali
                       INTECETTAZIONI SU SKYPE

ANTEFATTO
UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE
COMUNICA REGOLARMENTE TRAMITE SKYPE

RICHIESTA
OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA'
DEL SOSPETTO

OPERAZIONI & TECNICHE UTILIZZATE
REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI
ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI
DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A
CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN.
IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE
PREPARATO

RISULTATO
I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO
Analisi forense: casi reali
                       SPIONAGGIO INDUSTRIALE
ANTEFATTO
UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE
SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE
STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI,
MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI
E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO,
DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE
NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN
GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE
DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU'
SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON
GLI STESSI CODICI DEI PEZZI ORIGINALI

RICHIESTA
TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI

OPERAZIONI & TECNICHE UTILIZZATE (1/2)
UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE
MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER
CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE
MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.
Analisi forense: casi reali
OPERAZIONI & TECNICHE UTILIZZATE (2/2)
VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE
AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL
CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE
CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER
AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO
OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE
CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL
PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE
UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI
PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL
PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL
TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI
AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL
CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU
CONTROSPIONAGGIO INDUSTRIALE

RISULTATO
E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI
DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO
CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON
SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE
Boxroom … e non solo!

ALLESTIMENTO DI UN LABORATORIO DI ANALISI,

METODOLOGIE DI ANALISI E LAVORO DI SQUADRA,

ANALISI DI UN SISTEMA WINDOWS,

ANALISI DI UN SISTEMA MAC OS X,

ANALISI DI UN SISTEMA LINUX,

ANALISI DEI SUPPORTI OTTICI,

MOBILE FORENSICS,

ANALISI DI MEDIA NON CONVENZIONALI,

NETWORK FORENSICS
Conclusioni




“ NON C'E' NULLA DI PEGGIO DEL NON
 SAPERE CHE COSA HAI DAVANTI … “

Weitere ähnliche Inhalte

Was ist angesagt?

Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Hardening
HardeningHardening
HardeningNaLUG
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaMarco Ferrigno
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
introduzione_a_pfSense
introduzione_a_pfSenseintroduzione_a_pfSense
introduzione_a_pfSenseMassimo Giaimo
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Seminario crittografia-linux-day-2004
Seminario crittografia-linux-day-2004Seminario crittografia-linux-day-2004
Seminario crittografia-linux-day-2004Flavio Castelli
 
Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discoveryameft
 

Was ist angesagt? (18)

Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
Hardening
HardeningHardening
Hardening
 
Attacchi e difese
Attacchi e difeseAttacchi e difese
Attacchi e difese
 
Data Hiding
Data HidingData Hiding
Data Hiding
 
Malware
MalwareMalware
Malware
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnica
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)
 
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaforma
 
introduzione_a_pfSense
introduzione_a_pfSenseintroduzione_a_pfSense
introduzione_a_pfSense
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e Sicurezza
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
 
PfSense Cluster
PfSense ClusterPfSense Cluster
PfSense Cluster
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016
 
Seminario crittografia-linux-day-2004
Seminario crittografia-linux-day-2004Seminario crittografia-linux-day-2004
Seminario crittografia-linux-day-2004
 
Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discovery
 
Cheope
CheopeCheope
Cheope
 

Ähnlich wie Cyber Forensics - Acquisizione e analisi dei dati

Digital Forensic
Digital ForensicDigital Forensic
Digital ForensicNaLUG
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding LinuxNaLUG
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : ArduinoNaLUG
 
La disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneLa disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneVincenzo Virgilio
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)Stefano Dall'Agata
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informaticheGiovanni Fiorino
 
Workshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriWorkshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriAngelo Giordano
 
Corso multimedi ale
Corso multimedi aleCorso multimedi ale
Corso multimedi alealefix85
 
Lug Roma3 Corso Linux Base
Lug Roma3   Corso Linux BaseLug Roma3   Corso Linux Base
Lug Roma3 Corso Linux Basefosk
 
Elementidi informatica
Elementidi informaticaElementidi informatica
Elementidi informaticagiu89
 
Linux & Open Source : Lezione Tre
Linux & Open Source : Lezione TreLinux & Open Source : Lezione Tre
Linux & Open Source : Lezione TreDario Mazza
 

Ähnlich wie Cyber Forensics - Acquisizione e analisi dei dati (20)

Digital Forensic
Digital ForensicDigital Forensic
Digital Forensic
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding Linux
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : Arduino
 
Ti base 2020
Ti base 2020Ti base 2020
Ti base 2020
 
Ti base 2020b
Ti base 2020bTi base 2020b
Ti base 2020b
 
La disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneLa disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezione
 
Ti 2021 22_new
Ti 2021 22_newTi 2021 22_new
Ti 2021 22_new
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informatiche
 
Workshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli IngegneriWorkshop sul Free Software Ordine degli Ingegneri
Workshop sul Free Software Ordine degli Ingegneri
 
Corso multimedi ale
Corso multimedi aleCorso multimedi ale
Corso multimedi ale
 
Lug Roma3 Corso Linux Base
Lug Roma3   Corso Linux BaseLug Roma3   Corso Linux Base
Lug Roma3 Corso Linux Base
 
Elementidi informatica
Elementidi informaticaElementidi informatica
Elementidi informatica
 
Lezione tre
Lezione treLezione tre
Lezione tre
 
Linux & Open Source : Lezione Tre
Linux & Open Source : Lezione TreLinux & Open Source : Lezione Tre
Linux & Open Source : Lezione Tre
 

Cyber Forensics - Acquisizione e analisi dei dati

  • 1. LINUX DAY NAPOLI 2010 CYBER FORENSICS: ACQUISIZIONE E ANALISI DEI DATI A CURA DI MARCO FERRIGNO - Developer of the Italian Debian GNU/Linux HOWTOs - Jabber ID: m.ferrigno@xmpp.jp marko.ferrigno@gmail.com
  • 2. A n a lis i f o r e n s e PROPEDEUTICITA': NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE, NOZIONI BASILARI SUI FILESYSTEM. COSA IMPAREREMO DA QUESTO TALK: CONCETTO DI COMPUTER FORENSICS, METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA POSTO SOTTO SEQUESTRO METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.
  • 3. Analisi forense: cos'è realmente? E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE, ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI GIUDIZIARI. IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI: ACQUISIZIONE (TARGET INFORMATICO)* ANALISI (TARGET INFORMATICO)* INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) *ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE
  • 4. A n a lis i f o r e n s e : n o r m a t iv a r ile v a n t e in a m b it o g iu r id ic o LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE: MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA, INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA' AMMINISTRATIVA DEGLI ENTI, MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO DELLE INDAGINI INFORMATICHE, MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)
  • 5. Analisi forense: l'acquisizione del dato ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI. ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME, L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE. QUANDO ACQUISIRE IL DATO: NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE), OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL SEQUESTRO GIUDIZIARIO DEI SUPPORTI MODI DI ACQUISIRE IL DATO: ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL CASO), COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI ALTERARE IL REPERTO ORIGINALE.
  • 6. Analisi forense: software open source per l'acquisizione SOLUZIONI A CODICE APERTO: DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE. QUAL'E' L'IDEA? DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI SINGOLO BYTE SU UN ALTRO FILE CARATTERISTICHE: AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE VARIANTI: DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG
  • 7. A n a lis i f o r e n s e : s o ftw a re o p e n s o u rc e p e r l' a c q u is iz io n e IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL COMANDO “fdisk -l” CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI ATTUALMENTE COLLEGATI AL SISTEMA LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA' PER DD: “dd if=/sorgente of=/destinazione” PER DDRESCUE: “dd_rescue /sorgente /destinazione/chiavettausb.img” IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL FILE “chiavettausb.img” PER DCFLDD: “dclfdd if=/sorgente of=/destinazione”
  • 8. Apertura terminale [da menu o ALT+F2, nome terminale] Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)
  • 9. DD applicato sull'intero device DD applicato sull'intero device con interruzione inaspettata (o volontaria!) DD applicato su una parte del device
  • 12. Analisi forense: integrità del dato acquisito L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO) ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT MEDIANTE MD5SUM E SHA1SUM SINTASSI MD5SUM: “md5sum /dev/nomedevice/” PER IL DEVICE “md5sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA SINTASSI SHA1SUM: “sha1sum /dev/nomedevice/” PER IL DEVICE “sha1sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
  • 13. Analisi forense: AFF (Advanced Forensics Format) AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO LICENZA BSD CARATTERISTICA PRINCIPALE: ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO. ALTRE CARATTERISTICHE: ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA, PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE L'IMMAGINE VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI SULLO HASH .... PRODUCE FILE COMPRESSI PICCOLI.
  • 14. Analisi forense: acquisizione di device in sistemi RAID LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO ACQUISIRE ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE UN ESEMPIO: HARD DISK IN RAID 5! LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO IN QUESTIONE SARA' INUTILIZZABILE SOLUZIONE RAID HARDWARE: ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE FOSSE UN NORMALE HARD DISK STAND ALONE SOLUZIONE RAID SOFTWARE: E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!
  • 15. Analisi forense: utilizzo di un live cd linux DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI IN UN SUPPORTO FISICO ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI. IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.
  • 16. Analisi forense: utilizzo di un live cd linux SPECIFICHE PARTICOLARITA': DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA RAM UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP, ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E QUELLI ORAMAI OBSOLETI TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON OPEN SOURCE
  • 17. Analisi forense: l'analisi del dato LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE FEDELI DEI DEVICE ACQUISITI L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI PROVE INFORMATICHE UTILI AI FINI PROBATORI NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO: I DATI CANCELLATI! SOLUZIONE: NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB GUI: AUTOPSY
  • 18. Analisi forense: Autopsy SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI PIU' DIFFUSI FILESYSTEM: FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE) NTFS (WINDOWS NT SERIES) EXT2, EXT3 (GNU/LINUX) UFS (UNIX, BSD) ISO 9660 (CD-ROM) ZFS (SOLARIS) RAW SWAP MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)
  • 19. Analisi forense: Autopsy - caratteristiche INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI PROGRAMMI, GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA LETTURA), CALCOLO DI HASH MD5, ACCURATA ANALISI DI DEVICE, RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI , RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI, ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO, CREAZIONE DI TIMELINE, CREAZIONE DI REPORT RIASSUNTIVI
  • 20. Analisi del reperto utilizzando Autopsy AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE ACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COME QUELLE ACQUISITE IN FORMATO AFF O ENCASE* ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE *SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.
  • 21. Analisi del reperto utilizzando Autopsy Recupero file cancellati
  • 22. Analisi del reperto utilizzando Autopsy Timeline
  • 23. Analisi forense: la Timeline NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA.. ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD ANALISI PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E' STABILIRE DATA ED ORA DEL DECESSO IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA RICERCA E L'ANALISI DEI DATI . PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .
  • 24. Analisi forense: limiti e ostacoli CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA (3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA' TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE LA VARIABILITA' DELLO SPAZIO DI CHIAVI SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!) SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME: FILE TEMORANEI FILE CANCELLATI BACKUP STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E' POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE VETTORE SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA (BASSISSIMA PROBABILITA' DI SUCCESSO !!!) DATA HIDING & VIRTUALIZZAZIONE
  • 25. Analisi forense: casi reali FURTO DI UN PORTATILE ANTEFATTO VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA RICHIESTA VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI OPERAZIONI & TECNICHE UTILIZZATE SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E' STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO RISULTATO IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !
  • 26. Analisi forense: casi reali INTECETTAZIONI SU SKYPE ANTEFATTO UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE COMUNICA REGOLARMENTE TRAMITE SKYPE RICHIESTA OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA' DEL SOSPETTO OPERAZIONI & TECNICHE UTILIZZATE REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN. IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE PREPARATO RISULTATO I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO
  • 27. Analisi forense: casi reali SPIONAGGIO INDUSTRIALE ANTEFATTO UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI, MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO, DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU' SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON GLI STESSI CODICI DEI PEZZI ORIGINALI RICHIESTA TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI OPERAZIONI & TECNICHE UTILIZZATE (1/2) UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.
  • 28. Analisi forense: casi reali OPERAZIONI & TECNICHE UTILIZZATE (2/2) VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU CONTROSPIONAGGIO INDUSTRIALE RISULTATO E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE
  • 29. Boxroom … e non solo! ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI E LAVORO DI SQUADRA, ANALISI DI UN SISTEMA WINDOWS, ANALISI DI UN SISTEMA MAC OS X, ANALISI DI UN SISTEMA LINUX, ANALISI DEI SUPPORTI OTTICI, MOBILE FORENSICS, ANALISI DI MEDIA NON CONVENZIONALI, NETWORK FORENSICS
  • 30. Conclusioni “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “