Your SlideShare is downloading. ×
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

124

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
124
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. DARTCreative Commons Attribuzione-Non opere derivate 2.5Dott. Stefano FratepietroDott. Massimiliano Dal CeroNext generation IR tooldeftcon 2012Maxi aula 1 - Palazzo di Giustizia di Torinovenerdì 6 aprile 2012
  • 2. Incident ResponseUn incidente informatico è un eventoidentificato su un determinato sistemainformatico che possa ledere alla stabilità ealla sicurezza del sistema stesso.• L’evento può essere accertato o presunto• Segnalato da un utente o dai sistemi dimonitoraggiovenerdì 6 aprile 2012
  • 3. First responderFirst responder• E’ il soggetto che arriva per primo sullascena del crimine e che accederà perprimo al sistema oggetto di indagine• E’ responsabile dell’analisi e dellapreservazione dell’originalità del datovenerdì 6 aprile 2012
  • 4. First responder• Identifica gli oggetti coinvolti• Protegge la scena del crimine da eventuali alterazionidovute da attività invasive dei propri colleghi• Raccoglie tutte le informazioni, digitali e non, utili alcaso• Crea una relazione di first response con le attivitàsvolte• Appone, ove necessario, gli opportuni sigilli perevitare alterazioni futurevenerdì 6 aprile 2012
  • 5. First responderJoint special operation universityhttps://jsou.socom.mil/Pages/Default.aspxhttps://jsou.socom.mil/Pages/2009JSOUPublications.aspxvenerdì 6 aprile 2012
  • 6. Tante soluzioni masparse e poco note• Mancanza di uno strumentopersonalizzabile senza l’obbligo diricompilare codice sorgente• Assenza di raccolte di applicativi ottimizzatiper attività di Incident Response• Assenza di strumenti di controllodell’integrità dei propri applicativi in temporealevenerdì 6 aprile 2012
  • 7. IR pronto all’usoDART• Controllo dell’integrità dell’applicativoprima dell’avvio• Alto livello di personalizzazione• Applicativi, liberamente re-distribuibili perlicenza d’uso, per eseguire attività di IR eLive Forensics• Binari dei principali sistemi operativiWindows, Linux e OS Xvenerdì 6 aprile 2012
  • 8. DARTObjectPascal (Delphi) Open SourceCreazione di binari puri (no FW)Linguaggio multi piattaformavenerdì 6 aprile 2012
  • 9. DARTDirectory Treevenerdì 6 aprile 2012
  • 10. DARTXML Confvenerdì 6 aprile 2012
  • 11. DARTXML Confvenerdì 6 aprile 2012
  • 12. DARTXML Conf (empty)venerdì 6 aprile 2012
  • 13. DARTAUDIT LOGvenerdì 6 aprile 2012
  • 14. DART - Potenzialità• Acquisizione memorie di massa• Dump memoria ram• Calcolo di hash• Analisi processi• Analisi traffico di rete• Analisi registro di Windows• Antimalware e Antirootkit• Time line degli eventi del sistema• Analisi navigazione Internet e posta elettronica• Password crackingE molto altro...venerdì 6 aprile 2012
  • 15. Esempio Caso D’usoavvio smartSniff e indago su attività anomale di retevenerdì 6 aprile 2012
  • 16. Esempio Caso D’usoindago sulle socket aperte e il relativi processivenerdì 6 aprile 2012
  • 17. Esempio Caso D’usoanalizzo il processovenerdì 6 aprile 2012
  • 18. Esempio Caso D’usoanalizzo le dll associate al processovenerdì 6 aprile 2012
  • 19. Controllo degli hashdei file di interesseCalcoliamo l’hash del file sperando di trovarequalcuno che abbia la stessa release e verificare?http://www.nsrl.nist.govThe National Software Reference Library (NSRL)Si se ho pochi sistemi... in alternativa:19venerdì 6 aprile 2012
  • 20. Grazie per lʼattenzione.Dott. Stefano Fratepietrostefano@deftlinux.netsteve.deftlinux.netTwitter: stevedeftDomande?Dott. Massimiliano Dal Ceromassimiliano@deftlinux.netTwitter: yattamaxvenerdì 6 aprile 2012

×