Lezione per il Corso di Perfezionamento in computer forensics e investigazioni digitali presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano.

1. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

2. Università degli
Studi di Milano Chi sono
Facoltà di
Giurisprudenza
Davide ‘Rebus’ Gabrini
Milano,
04.02.2010
Per chi lavoro non è un mistero.
Oltre a ciò:
Chi sono
Consulente tecnico e Perito forense
Anti-forensics
Distruzione
Docente di sicurezza informatica e
Occultamento computer forensics per Corsisoftware srl
Falsificazione Come vedete non sono qui in divisa 
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

3. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

4. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

5. Università degli
Studi di Milano Anti-forensics
Facoltà di
Giurisprudenza
Non ci crederete, ma c’è
Milano,
04.02.2010 gente che ha cose da
nascondere! ;-)
Chi sono
Anti-forensics
La conoscenza approfondita
Distruzione degli strumenti e delle
Occultamento procedure adottate dagli
Falsificazione analisti forensi permette di
Prevenzione individuarne le debolezze e
Cloud Computing studiare delle contromisure
Contatti preventive per intralciare,
vanificare o peggio ancora
sviare l’analisi, riducendo
quantità e qualità delle
informazioni disponibili
Davide Gabrini
Forensics Jedi

6. Università degli
Studi di Milano Anti-forensics Mitigation
Facoltà di
Giurisprudenza
… da qui la necessità di
Milano,
04.02.2010 studiare strategie e
contromisure per contenere
l’impatto dell’utilizzo di
Chi sono
tecniche di anti-forensics
Anti-forensics
Distruzione
Sfida aperta tra l'analista e
Occultamento quello che chiameremo
Falsificazione l'antagonista
Prevenzione
Cloud Computing
Le strategie o gli strumenti qui
indicati come contromisure non
Contatti
possono annullare le tecniche
di anti-forensic, ma tentano di
salvare il salvabile
Davide Gabrini
Forensics Jedi

7. Università degli
Studi di Milano Anti-forensics Mitigation
Facoltà di
Giurisprudenza
Svantaggi per l'analista
Milano,
04.02.2010
Arriva a misfatto compiuto
Tempo limitato
Chi sono e fiato sul collo
Anti-forensics
Non ancora del tutto
Distruzione onniscente ;-)
Occultamento
Spesso succube d'un solo
Falsificazione tool o dell'automazione
Prevenzione
I tool che usa possono
Cloud Computing
soffrire di bug o
Contatti implementazioni carenti
Le sue procedure tendono
ad essere codificate
Davide Gabrini
Forensics Jedi

8. Università degli
Studi di Milano Un esempio didattico: Microsoft COFEE
Facoltà di
Giurisprudenza
Milano,
Famigerato tool forense rilasciato da
04.02.2010
Microsoft, gratuito per le FF.OO.
Chi sono
Installato su pendrive,
consente di acquisire dati dai
Anti-forensics
Distruzione
Occultamento sistemi a cui viene collegato
Falsificazione
Prevenzione Tanto hype per un prodotto sì utile,
Cloud Computing
ma certo non innovativo
Contatti
Tanta pubblicità e tanta "segretezza"
non hanno fatto che attirare attenzione
Davide Gabrini
Forensics Jedi

9. Università degli
Studi di Milano COFEE vs DECAF
Facoltà di
Giurisprudenza
Milano,
30.11.2009: avvistata una vecchia
release di COFEE in the wild;
04.02.2010
Chi sono
Anti-forensics
15.12.2009: pubblicato DECAF, tool
Distruzione gratuito dichiaratamente antagonista.
Occultamento
Falsificazione L'approccio Security by obscurity
Prevenzione
Cloud Computing
fallisce per l’ennesima volta…
Contatti
Il problema è nella mancanza di
segretezza o nella rigidità dei metodi?
Davide Gabrini
Forensics Jedi

10. Università degli
Studi di Milano DECAF Lockdown Mode features
Facoltà di
Giurisprudenza Spoof MAC addresses of network adapters
Kill Processes: Quick shutdown of running processes
Milano,
04.02.2010
Shutdown Computer: On the fly machine power down
Chi sono
Disable network adapters
Anti-forensics
Distruzione
Disable USB ports
Occultamento Disable Floppy drive
Falsificazione Disable CD-ROM
Prevenzione
Disable Serial/Printer Ports
Cloud Computing
Contatti
Quick file/folder removal (Basic Windows delete)
Remove logs from the Event Viewer
Removes Azureus and BitTorrent clients
Remove cookies, cache, and history
Davide Gabrini
Forensics Jedi

11. Università degli
Studi di Milano Anti-forensics
Facoltà di
Giurisprudenza
Le tecniche sono classificabili in 4 categorie principali:
Milano,
04.02.2010
Chi sono Distruzione
Anti-forensics
Distruzione
Occultamento
Falsificazione
Occultamento
Prevenzione
Cloud Computing
Contatti Falsificazione
Contraccezione
Davide Gabrini
Forensics Jedi

12. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

13. Università degli
Studi di Milano Distruzione
La distruzione delle tracce informatiche è
Facoltà di
Giurisprudenza
Milano,
04.02.2010 paragonabile alla cancellazione delle impronte
digitali dall'arma del delitto
Chi sono
Anti-forensics Cancellazione file con metodi comuni
Distruzione
Wiping di file, partizioni, device
Occultamento
Falsificazione
In questi scenari, le tracce sono state prodotte
Prevenzione
Cloud Computing
e hanno avuto un certo periodo di vita.
Contatti
Se ora non sono reperibili, occorre trovare dei
"testimoni" della loro esistenza.
Davide Gabrini
Forensics Jedi

14. Università degli
Studi di Milano Distruzione
Contromisure
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Anzitutto i tool non sempre fanno ciò che dicono…
Recupero file cancellati tramite analisi dei metadati
Chi sono del filesystem
Anti-forensics File carving
Distruzione Foremost, Scalpel, photorec… ReviveIt…
Occultamento
Analisi delle fonti alternative
Falsificazione
La distruzione di tracce può generare altre tracce
Prevenzione
Cloud Computing
File di swap, cache, file temporanei, ibernazione…
Contatti Log, registri di eventi, dati recenti, database…
Backup!
Spesso è determinante il fattore tempo!
Davide Gabrini
Forensics Jedi

15. Università degli
Studi di Milano Distruzione
Contromisure
Facoltà di
Giurisprudenza
"Ma mi ha detto mio cuggino che una
Milano,
04.02.2010
sola passata di wiping non basta!"
Gli studi esistono:
Chi sono
Anti-forensics
Distruzione
STM (Scanning Tunneling Microscopy)
Occultamento SPM (Scanning Probe Microscopy)
Falsificazione
MFM (Magnetic Forse Microscopy)
Prevenzione
Cloud Computing
AFM (Atomic Force Microscopy)
Contatti Si basano sull'isteresi dei livelli di
magnetizzazione e sul disallineamento delle tracce
Eppure non si ha notizia di laboratori civili che
offrano questi servizi…
Davide Gabrini
Forensics Jedi

16. Università degli
Studi di Milano Distruzione
Hardware self-destruct Trigger
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
C’è chi è arrivato a costruirsi un degausser casareccio…
Ovviamente però esistono altri metodi meno appariscenti per
Davide Gabrini
Forensics Jedi
comandare procedure di autodistruzione anche da remoto

17. Università degli
Studi di Milano Distruzione
Uno strumento più alla portata
Facoltà di
Giurisprudenza
Milano,
04.02.2010
è SecureTrayUtil
Chi sono Supporta diversi sistemi
Anti-forensics
Distruzione
On-The-Fly Encryption (OTFE)
Occultamento
Consente di configurare hotkey per
Falsificazione
Prevenzione
montare o smontare partizioni cifrate
Cloud Computing
Esegue il wiping con diversi trigger
Contatti
Hotkey, Serial switch, connessioni TCP autenticate
Prende precauzioni paranoiche
Wiping parallelo, pulizia registro, orologio di sistema…
Davide Gabrini
Forensics Jedi

18. Università degli
Studi di Milano Distruzione
Contromisure
Facoltà di
Giurisprudenza
Milano,
04.02.2010 Intervenire con tempestività!
Isolare la scena del crimine
Chi sono sia fisicamente che logicamente
Anti-forensics Acquisire le memorie volatili
Distruzione Individuare e acquisire eventuali
Occultamento
volumi cifrati montati
Falsificazione
L'ordine di priorità delle operazioni va deciso
Prevenzione
in ragione del contesto
Cloud Computing
Possono essere d'aiuto tool di raccolta delle
Contatti
informazioni automatizzati
Spegnere gli apparati solo quando
assolutamente certi di poterlo fare
Davide Gabrini
Diffidare delle procedure di spegnimento comuni
Forensics Jedi

19. Università degli
Studi di Milano Distruzione
Absolute Software offre un
Facoltà di
Giurisprudenza
servizio chiamato Computrace
Milano,
04.02.2010
Chi sono
Permette al cliente di chiamare una
Anti-forensics hotline e richiedere il wiping da
Distruzione remoto
Occultamento
di un computer rubato
Falsificazione
Prevenzione Può funzionare solo se questo si
Cloud Computing
connette ad Internet…
Contatti
Con appositi software, si può attivare
l’autodistruzione di PDA e smartphone
tramite SMS (remotePROTECT, SMS Kill Pill...)
Davide Gabrini
Forensics Jedi

20. Università degli
Studi di Milano Distruzione
Ensconce Data Technology ha un
Facoltà di
Giurisprudenza
Milano,
04.02.2010 brevetto di “dead on demand" per hard disk
Si può configurare l’autodistruzione combinando
Chi sono
diversi trigger:
Anti-forensics
Distruzione
tentativi di rimozione
Occultamento
forzatura fisica
Falsificazione
coordinate GPS
Prevenzione chiamate cellulari
Cloud Computing cambiamento di temperatura
Contatti ecc. ecc.
Viene rilasciato all’interno del drive
un composto chimico che distrugge
la superficie del disco
Davide Gabrini
Forensics Jedi

21. Università degli
Studi di Milano Distruzione
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Altri sistemi bloccano o sovrascrivono
Contatti
un device dopo un certo numero
di tentativi di accesso falliti
Davide Gabrini
Forensics Jedi

22. Università degli
Studi di Milano Distruzione
Il primo evidente problema della
Facoltà di
Giurisprudenza
distruzione di dati è ovviamente la
Milano,
04.02.2010
perdita irreversibile di informazioni
Chi sono
Anti-forensics
anche per l'antagonista!
Distruzione
Occultamento
Falsificazione
Se si tratta di informazioni che gli sono
Prevenzione utili, cercherà di distuggerle solo se
Cloud Computing
costretto e il più tardi possibile.
Contatti
Altrimenti cercherà di occultarle
Davide Gabrini
Forensics Jedi

23. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

24. Università degli
Studi di Milano Occultamento
E' una strategia paragonabile
Facoltà di
Giurisprudenza
Milano,
04.02.2010 all’occultamento dell’arma del delitto,
o del corpo del reato (ad esempio la refurtiva)
Chi sono
Anti-forensics
Distruzione Nascondere i dati, anziché
Occultamento
Falsificazione
distruggerli, permette di
Prevenzione
mantenerne la disponibilità
Cloud Computing
Le tecniche e gli strumenti sono
Contatti
numerosi e possono essere applicati in
combinazione
Davide Gabrini
Forensics Jedi

25. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
La prima fase di un'indagine
04.02.2010
digitale, l'identificazione, è anche
Chi sono
la prima a poter essere attaccata
Anti-forensics
Distruzione
Se l'evidence non viene individuata,
Occultamento
non sarà né acquisita né analizzata
Falsificazione
Prevenzione
L'occultamento può avvenire a livello
Cloud Computing logico, ma anche con metodi molto più
Contatti tradizionali…
Davide Gabrini
Forensics Jedi

26. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
Dimensioni ridotte
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

27. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
Aspetto ingannevole
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

28. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

29. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

30. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

31. Università degli
Studi di Milano Occultamento
Microsoft Mobile Memory Mouse 8000, un
Facoltà di
Giurisprudenza
Milano,
04.02.2010 nuovo mouse wireless che intergra moduli di
memoria flash per un quantitativo pari a 1GB.
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Che si fa, si torna a sequestrare i mouse? ;-)
Davide Gabrini
Forensics Jedi

32. Università degli
Studi di Milano Occultamento
La motherboard Asus P5E3 Deluxe
Facoltà di
Giurisprudenza
Milano,
04.02.2010 integra un s.o. Linux con interfaccia grafica, Firefox e Skype
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Qualcuno diceva che basta sequestrare gli hard-disk?
Davide Gabrini
Forensics Jedi

33. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
Le console per giochi sono veri PC…
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

34. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
…e i media center pure!
04.02.2010
I lettori DVD Kiss, per esempio, possono avere:
Chi sono
•Hard disk interno da 200 GB
Anti-forensics
•USB 2.0
Distruzione •Porta Ethernet
Occultamento •Collegamento WiFi
Falsificazione •Sistema operativo Linux
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

35. Università degli
Studi di Milano Occultamento
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

36. Università degli
Studi di Milano Occultamento
Esistono poi tanti metodi logici…
Facoltà di
Giurisprudenza
Milano,
04.02.2010 Data Encapsulation
Codifiche alternative
Chi sono Alterazioni dei file
Anti-forensics Modifica estensione (pare incredibile…)
Distruzione Alterazioni header (transmogrify)
Occultamento
Packing eseguibili
Falsificazione
Alterazioni hash (known bad)
Prevenzione
Modifica bit non significativi; append di dati; conversioni
Cloud Computing di formato; ridimensionamento , ricampionamento ,
Contatti ricompilazione…
Per i well known good, generazione di collisioni
Possibile, certo, ma non così banale…
Davide Gabrini
Forensics Jedi

37. Università degli
Studi di Milano Occultamento
Inoltre, il posto migliore dove
Facoltà di
Giurisprudenza
Milano,
04.02.2010 nascondere un albero è una foresta!
Chi sono iduzione segnale/rumore
Anti-forensics Inserimento di falsi positivi
Distruzione Inserimento di elementi di disturbo
Occultamento Incremento di tempo e costi per l’analisi
Falsificazione Contromisure
Prevenzione
Cloud Computing viluppo di motori di scansione più potenti
(analisi statistica, pattern matching, fuzzy signature…)
Contatti
ool specifici per l’analisi degli eseguibili
sare i database di hash con cognizione
Non confidare nelle black list, usare più algoritmi
Davide Gabrini
Forensics Jedi

38. Università degli
Studi di Milano Occultamento
Storage device subvertion
Facoltà di
Giurisprudenza
Alternate Data Stream (NTFS)
Milano,
04.02.2010
Uso degli spazi di Slack
Chi sono
Unix filesystem:
Anti-forensics
Rune fs (bad blocks, oltre 4GB)
Distruzione
Occultamento
Waffen fs (journal, ext2, 32MB)
Falsificazione
KY fs (null directory, illimitato)
Prevenzione Data mule fs (reserved space, padding)
Cloud Computing NTFS: Frag FS (slack MFT) e altre possibilità…
Contatti Manipolazione delle tabelle delle partizioni
Data injection
Disallineamento
Saturazione
Davide Gabrini
Forensics Jedi

39. Università degli
Studi di Milano Occultamento
Storage device subvertion
Facoltà di
Giurisprudenza
Manipolazioni a basso livello dei device
Milano,
04.02.2010
HPA: Host Protected Area
Chi sono
DCO: Disc Configuration Overlay
Anti-forensics
Distruzione
Bad sector a basso livello:
Occultamento P-List: Primary Defect List
Falsificazione G-List: Grown Defect List
Prevenzione
SA: System Area (firmware)
Cloud Computing
Iniezione di dati nelle memorie flash dei
Contatti
dispositivi hardware
Impatto devastante se sono stati sequestrati
soltanto i dischi!
Davide Gabrini
Forensics Jedi

40. Università degli
Studi di Milano Occultamento
Host Protected Area
Facoltà di
Giurisprudenza
Area del disco non accessibile dal S.O.
Milano,
04.02.2010
Usata per informazioni di ripristino
Chi sono
Non visibile dal BIOS
Anti-forensics
Distruzione
Invisibile a certi tool forensi
Occultamento
Linux la rileva e la disabilita 
Falsificazione Utilizzabile quindi per nascondere dati
Prevenzione 0 90GB 100GB
Cloud Computing
Area visibile HPA
Contatti
Contromisure:
Confronto parametri IDENTIFY_ADDRESS
READ_NATIVE_MAX_ADDRESS (tramite comandi ATA)
Utilizzo di software in grado di rilevare HPA
Davide Gabrini
Forensics Jedi
p.e. disk_stat e disk_sreset in Sleuth Kit

41. Università degli
Studi di Milano Occultamento
Disc Configuration Overlay
Facoltà di
Giurisprudenza
Milano,
04.02.2010 Modifica il limite READ_NATIVE_MAX_ADDRESS
Ancor più invisibile ai comuni SW
Chi sono
Alcuni tool forensi la rilevano
Anti-forensics
Distruzione
Linux ancora no 
Occultamento
Utilizzabile per nascondere dati
Falsificazione
0 80GB 90GB 100GB
Prevenzione
Cloud Computing Area visibile HPA DCO
Contatti
Contromisure:
Verifica parametri READ_NATIVE_MAX_ADDRESS e
DEVICE_CONFIGURATION_IDENTIFY
Utilizzo di software in grado di rilevare DCO
Davide Gabrini p.e. HDAT2 o TAFT – The ATA Forensic Tool
Forensics Jedi

42. Università degli
Studi di Milano Occultamento
Contromisure
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Attenzione agli spazi di memoria
meno sfruttati
Chi sono
Non permettere ad un solo tool forense
Anti-forensics
di fare tutto il lavoro
Distruzione
Occultamento
Verifica dei parametri hardware
Falsificazione
anche con i valori indicati sulle etichette
o nella documentazione del produttore
Prevenzione
Cloud Computing Spesso sono utili gli stessi tool usati
Contatti dell’antagonista (p.e. HDAT2)
Analisi statistica degli slack space per
riconoscere pattern inusuali (good luck…)
Davide Gabrini
Forensics Jedi

43. Università degli
Studi di Milano Occultamento
Crittografia
Facoltà di
Giurisprudenza
Milano,
04.02.2010
(imbarazzo della scelta…)
Chi sono Steganografia
Anti-forensics
(Least Significant Bit, color reduction, noise…
Distruzione spazi ridondanti, commenti, alignment space…)
Occultamento
Falsificazione Plausible deniability
Prevenzione (Quando è impossibile determinare se si è in presenza di un
Cloud Computing documento crittografato oppure no)
Contatti
Ovvero la bestia nera d’ogni
analista…
Davide Gabrini
Forensics Jedi

44. Università degli
Studi di Milano Occultamento
Contromisure:
Facoltà di
Giurisprudenza
Milano,
04.02.2010 Analisi live quando possibile
Rilevamento e acquisizione volumi cifrati montati
Chi sono
Rilevamento footprint di software "antagonisti"
Anti-forensics
(StegDetect, Outguess, Stego Suite, SAFDB…)
Distruzione
Occultamento
Test entropici (FTK)
Falsificazione Verifica di conformità agli standard
Prevenzione (p.e. out-of-range values)
Cloud Computing Sfruttamento di vulnerabilità dei software
Contatti Feature nascoste / backdoor / bug / errori di progettazione
Attacchi a dizionario
Brute force
Rubber-hose? ;-)
Davide Gabrini
Forensics Jedi

45. Università degli
Studi di Milano Occultamento
Rootkit
Facoltà di
Giurisprudenza
Milano,
user space (ring 3)
04.02.2010
Chi sono
kernel space (ring 0)
Anti-forensics
Distruzione VM based
Occultamento
Falsificazione Efficaci solo nel corso di analisi live
Prevenzione
Cloud Computing
Possono rilevare l'azione dei tool forensi
Contatti
Possono alterare i risultati di un tool
forense, p.e. impedendo l'acquisizione di
un'evidence
Davide Gabrini
Forensics Jedi

46. Università degli
Studi di Milano Occultamento
Contromisure:
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Acquisizione delle memorie volatili
Chi sono Cattura dell'eventuale traffico di rete
Anti-forensics
Distruzione
Acquisizione degli storage device
Occultamento
“post mortem”
Falsificazione
Scansioni AV / Rootkit revealer
Prevenzione
Cloud Computing Riproduzione dello scenario in ambiente
Contatti protetto (sandbox o virtual machine) che
ne consenta lo studio dall'esterno
Davide Gabrini
Forensics Jedi

47. Università degli
Studi di Milano Occultamento
Breaking forensic tool
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Certi attacchi sono direttamente mirati a
sovvertire il funzionamento di specifici tool forensi
Chi sono
Anti-forensics Negli anni, sono stati resi noti attacchi utilizzabili
Distruzione sia verso strumenti commerciali, come Encase,
Occultamento che verso strumenti open source
Falsificazione
Prevenzione
Il pay-load andava dal DoS fino all'esecuzione di
Cloud Computing
codice arbitrario ("Exploitare la macchina dell'analista
Contatti è una voluttà da fine gourmet" )
Contromisure:
Variegare gli strumenti utilizzati
Non dipendere da un solo tool o dall’automazione
Davide Gabrini
Forensics Jedi

48. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

49. Università degli
Studi di Milano Falsificazione
E' come lasciare intenzionalmente sul luogo
Facoltà di
Giurisprudenza
Milano,
04.02.2010 del delitto tracce depistanti
Alterazioni timestamp (attributi MACE)
Chi sono Cancellazione
Anti-forensics Sovrascrittura
Distruzione Random
Occultamento
Mirata
Falsificazione Contromisure
Prevenzione Verifica attributo Entry modified (NTFS)
Cloud Computing
Confronto con altri attributi
Contatti Standard Information Attributes ↔ FileName (NTFS)
Verifica MAC interni ai documenti
Esistenza di link, chiavi di registro, log…
Analisi della timeline correlata con altri eventi
continui, anche rilevati da sistemi esterni
Davide Gabrini
Forensics Jedi

50. Università degli
Studi di Milano Falsificazione
Furti d’identità
Facoltà di
Giurisprudenza
Milano,
04.02.2010 Furto di credenziali
Utilizzo di macchine zombie
Chi sono
Furto di connettività
Anti-forensics
Qualcuno ha pensato WiFi? ;-)
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

51. Università degli
Studi di Milano Falsificazione
Facoltà di
Giurisprudenza
Milano,
04.02.2010 Falsi indizi / prove contraffatte
Alterazione dei log
Chi sono
Inserimenti fittizi
Anti-forensics
Inserimenti malformati
Distruzione
Occultamento
Flooding
Falsificazione
Prevenzione Contromisure:
Cloud Computing
Attenta interpolazione di quante più fonti possibile
Contatti
Confronto con dati esterni al sistema
compromesso
Davide Gabrini
Forensics Jedi

52. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

53. Università degli
Studi di Milano Prevenire alla fonte
Facoltà di
Giurisprudenza
E' come indossare dei guanti prima di
Milano,
04.02.2010 impugnare la pistola: meglio non lasciare impronte,
anziché doverle poi cancellare…
Chi sono Disattivazione funzioni di auditing
Anti-forensics
Bypass degli eventi rilevati
Distruzione
Esecuzione malware in RAM
Occultamento
Memory injection (Meterpreter)
Falsificazione
Process puppeteering
Prevenzione
Inibizione swapping
Cloud Computing
rexec
Contatti
Contromisure:
Dump delle memorie volatili
Attenta interpolazione di più fonti possibile
Confronto con dati esterni al sistema
Davide Gabrini
Forensics Jedi

54. Università degli
Studi di Milano
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

55. Università degli
Studi di Milano Cloud Computing = anti-forensics?
Il cloud computing può essere
Facoltà di
Giurisprudenza
Milano,
04.02.2010
impiegato, più o meno
Chi sono
intenzionalmente, come strategia di
Anti-forensics depistaggio
Può permettere di defilarsi e di
Distruzione
Occultamento
Falsificazione confondere, complicare, ostacolare,
Prevenzione
Cloud Computing
ritardare e persino bloccare le indagini
Contatti Non si tratta di una nuova tecnologia,
ma di un nuovo paradigma
Davide Gabrini
Forensics Jedi

56. Università degli
Studi di Milano Cloud Computing
Il termine cloud computing indica un
Facoltà di
Giurisprudenza
Milano,
04.02.2010 insieme di risorse hardware e software
distribuite e remotamente accessibili e usabili
Chi sono
Il cloud computing è indicato da molti analisti
Anti-forensics
come “the next big thing”
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

57. Università degli
Studi di Milano Cloud Computing
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

58. Università degli
Studi di Milano Esempi di servizi in Cloud
Storage
Facoltà di
Giurisprudenza
Milano,
04.02.2010
SkyDrive, Gdrive, Amazon S3…
Chi sono Applicazioni
Anti-forensics
Webmail, Google Docs, Windows Live,
Photoshop, Meebo, Spoon…
Distruzione
Occultamento
Falsificazione Piattaforme
Prevenzione
Cloud Computing
Windows Azure, Facebook, Amazon Web
Contatti
Services, ajaxWindows, GlideOS…
eyeOS, gOS, Chrome OS, JoliCloud…
Infrastrutture
Davide Gabrini
Amazon EC2, GoGrid, ElasticHost…
Forensics Jedi

59. Università degli
Studi di Milano Cloud Computing
Le risorse usate per crimini
Facoltà di
Giurisprudenza
Milano,
04.02.2010
informatici possono essere allocate
Chi sono remotamente
Anti-forensics
Distruzione
Non solo lo storage, ma anche le
Occultamento risorse computazionali!
Falsificazione
Prevenzione
Interi sistemi possono essere allocati
Cloud Computing dinamicamente, utilizzati e deallocati
Le possibilità di analisi vengono così
Contatti
drasticamente ridotte
Davide Gabrini
Forensics Jedi

60. Università degli
Studi di Milano Cloud computing e cybercrime
Facoltà di
Giurisprudenza
Milano,
04.02.2010
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Davide Gabrini
Forensics Jedi

61. Università degli
Studi di Milano Cloud Computing e forensics
L'approccio tradizionale che prevede
Facoltà di
Giurisprudenza
Milano,
04.02.2010 perquisizione-sequestro-analisi è vanificato
Già l'identificazione potrebbe essere
Chi sono
problematica: cosa si trova dove?
Anti-forensics
Distruzione
Le risorse sono probabilmente distribuite su
Occultamento
diversi sistemi, di diversi provider, in diversi
Falsificazione
paesi…
Prevenzione limiti giurisdizionali
Cloud Computing
scarsa armonizzazione delle norme in materia
Contatti
mancanza di accordi internazionali
scarsa collaborazione delle autorità locali
ritardi burocratici
Davide Gabrini
Forensics Jedi problemi di data-retention

62. Università degli
Studi di Milano Cloud Computing e forensics 
Facoltà di
Giurisprudenza
Milano,
Nel corso di un'analisi, potrebbe
04.02.2010
esser problematico stabilire chi ha avuto
Chi sono
accesso a quale risorsa…
Anti-forensics Tuttavia anche soluzioni per l'analisi
Distruzione forense possono venire dalle nuvole ;-)
Avere una workstation di analisi
Occultamento
Falsificazione
Prevenzione virtualizzata nella stessa cloud potrebbe
Cloud Computing rivelarsi una saggia precauzione
Contatti
Altre risorse potrebbero essere allocate
"elasticamente" al momento del bisogno
Il tutto però comporta problemi di
Davide Gabrini
Forensics Jedi
sicurezza e di riservatezza non trascurabili

63. Università degli
Studi di Milano Conclusioni
Facoltà di
Giurisprudenza
Milano,
Le procedure di Computer Forensics sono
04.02.2010
vulnerabili
nell’hardware
Chi sono
Anti-forensics
nel software
Distruzione nel wetware
Occultamento
Quelle di anti-forensics pure 
Falsificazione
Prevenzione
Cloud Computing L’analista ha bisogno di tempo
Contatti per l’analisi
per la formazione
Nessun software fa il lavoro di un investigatore
Davide Gabrini
Forensics Jedi

64. Università degli
Studi di Milano Contatti
Facoltà di
Davide Rebus Gabrini
Giurisprudenza
Milano,
04.02.2010
e-mail:
rebus@mensa.it
Chi sono
davide.gabrini@poliziadistato.it
Anti-forensics
GPG Public Key: (available on keyserver.linux.it)
Distruzione
www.tipiloschi.net/rebus.asc
Occultamento
KeyID: 0x176560F7
Falsificazione
Queste e altre cazzate su www.tipiloschi.net
Prevenzione
Cloud Computing
Contatti
<vendor>
Piaciuto? Ne volete ancora?
A Milano il 23, 24 e 25 febbraio
Corso intensivo IISFA (www.iisfa.it)
di Computer e Mobile Forensics
Davide Gabrini
Forensics Jedi </vendor>