Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera"
Upcoming SlideShare
Loading in...5
×
 

Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera"

on

  • 856 views

 

Statistics

Views

Total Views
856
Slideshare-icon Views on SlideShare
856
Embed Views
0

Actions

Likes
0
Downloads
39
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera" Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera" Presentation Transcript

    • Creative Commons Attribuzione-Non opere derivate 2.5La virtualizzazione nella Computer Forensics:l’analisi di una “scatola nera”Paolo Dal CheccoDEFTCON 2013 - Bologna1Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Chi sono• Consulente di Informatica Forense• Ph.D. Sicurezza Informatica @dipinfo TO• Fondatore DEFT Association• Digital Forensics Bureau (DiFoB) di Torino• Digit Law S.r.l. di Milano• Security Brokers S.c.p.A.2Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Definizione di “Virtualizzazione”• Implementazione software di un computer che “esegue” come se fosse unamacchina fisica• "Duplicato efficiente e isolato di una macchina reale" (Popek e Goldberg, 1974)3Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Host e Guest• Host: macchina fisica (esterna)• Guest: macchina virtuale (interna)• VMM:Virtual Machine Monitor (hypervisor)• Collegamenti di rete: bridge, NAT, host o customHardwareHost (Sistema Operativo)App AppGuest 1(Sistema Operativo)Virtual Machine Monitor (VMM)App AppGuest 2(Sistema Operativo)...App AppGuest n(Sistema Operativo)4Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013MacchineVirtuali e Computer Forensics• Diversi punti di vista e di contatto:• test software in ambiente isolato• virtualizzazione di immagini forensi• acquisizione di macchine virtuali• acquisizione di macchine fisiche• formati proprietari, software proprietariogestionali, database, script, macro• utilizzo di live distro su workstation Win(DEFT viene fornito anche come macchinavirtuale)• questioni legate sicurezza o crittografiaoggi5Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Eseguire inVM un’immagine forense• Tre alternative:1. Conversione del disco da immagine forense a disco virtuale• Richiede tempo e spazio, è necessario partire da DD/RAW• Portabile al 100%2. Creazione di un disco virtuale che referenzia l’immagine forense• Non occupa spazio aggiuntivo, pochi file• E’ portabile se si parte da un DD/RAW3. Mount dell’IMG come disco virtuale• Immediato e non occupa spazio• Non è portabile6Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Eseguire inVM un’immagine forense• disabilitare scheda di rete• disabilitare scheda di rete• disabilitare scheda di rete• disabilitare scheda di rete• disabilitare scheda di rete• disabilitare scheda di rete7Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 20131: Conversione del disco da RAW IMG a disco virtuale• La conversione produce un file grande quanto l’immagine,sostanzialmente aggiunge header/footer• Ok se l’immagine forense è in DD, altrimenti si converte in DDrichiedendo quindi un passaggio ulteriore.Tool più usati:• Virtual Box (Windows, Linux, Mac OS)• “VBoxManage convertfromraw imagefile.ddvmdkname.vmdk --formatVMDK”• qemu (Linux)• “qemu-img convert imagefile.dd -Ovmdk vmdkname.vmdk”• Una volta creato il disco, si crea una nuovamacchina virtuale che utilizza il disco appena creato8Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 20132: creazione disco virtuale che referenzia IMG• Si crea un disco virtuale (VMDK, etc...) che referenzia, al suo interno,l’immagine forense• Si può fare a mano [dd2vm] impostando nel file di configurazione del discovirtuale la geometria del disco contenuto nell’immagine forense• Se non si dispone di un’immagine RAW, usare FTK Imager per montare unaraw device (per LiveView) o eventualmente xmount per emulare un RAW• Esistono tool gratuiti e a pagamento per creare il disco virtuale:• Live View (per Win) [livevw]• dd2vmdk (in C per Win, Linux, Mac) [dd2vmdk]• raw2vmdk (in Java per Win, Linux, Mac) [raw2vmdk]• ProDiscover Basic Edition [pdisc]• EnCase Physical Disk Emulator (PDE) [ecpdm]• Virtual Forensic Computing (VFC) [gdvfc]9Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013LiveView• Sviluppato da Carnegie Mellon University• Basato su Java, non più aggiornato• Può virtualizzare:• immagini raw di dischi• immagini raw di partizioni• dischi fisici (connessi via USB o firewire)• immagini in formati proprietari (tramite software di terzeparti come FTK Imager)• Ottimo per Windows, in parte anche Linux, tool molto usato• In parte risolve anche i conflitti hardware legati allavirtualizzazione10Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013LiveView• Necessita di:• VMware Server 1.xFull Install oVMwareWorkstation 5.5+• Java RuntimeEnvironment• VMware Disk MountUtility11Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 20133: Mount di immagine forense come virtual disk• In tempo reale, tramite FUSE, l’immagine forense viene vistadal sistema operativo come un file di un filesystem virtuale(VMDK,VHD oVDI) permettendo anche la scrittura su unfile di cache• Si può utilizzare xmount (Linux/Mac), gratuito e OpenSource [pinguinhq]xmount --in ewf --out vmdk --cache mycache.binimg.e?? /mnt/vmdkfusermount -u /mnt/vmdk• Una volta che abbiamo il disco virtuale, possiamo creare elanciare la macchina virtuale che lo utilizza. Cosa otteniamo?12Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013BSOD13Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013BSOD• Con Windows, ma anche con Mac OS, l’avvio di unaVMnata da una PM non va sempre liscio, così come quando sicambia l’hardware di una macchina lasciando il disco• Sia suVMware sia suVirtualBox possono verificarsiproblemi con i driver IDE, HAL, estensioni kernel, etc...che impediscono il boot.• Si possono risolvere a mano [vbxwin] o utilizzare gliscript OpenGates e OpenJobs [pinguinhq] di Gillen Dan• Sono ISO che vanno avviate (OpenGates va prima creata)come LiveCD all’interno della virtual machine (guest) inmodo che possano patchare il disco virtualeVMDK/VHD14Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013OpenGates• Patch del registro per abilitarei legacy IDE drivers• Azzera le password degliutenti (chntpw)• Rimuove i driver che possonoandare in conflitto con l’hw• Determina gli HAL utilizzati (importante quando si migra suVirtualBox)• “Risolve” i problemi di licenza/convalida che emergonoquando Windows si “sveglia” su un altro hardware• Stampa informazioni utili per configurare laVM15Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013OpenJobs• Installa un bootloader perrendere il disco avviabile(v10.5 e v10.6).• Installa le estensioni peril kernel Hackintosh• Rimuove estensioni del kernel che possono andarein conflitto con il nuovo hardware (v10.7 e 10.8).• Azzera le password degli utenti• Stampa informazioni utili per configurare laVM16Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Lo sapevate?17Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Lo sapevate?• Sembrerà ovvio, ma un guest a 64 bit non gira su hw a 32bit...• Un software è in grado di capire se è dentro unaVM o fuori (ScoopyNG[scoopyng],VMDetect [vmdetect], Red Pill [rdpill])• Per forzare un delay sul BIOS e avere tempo di lanciare OpenGates, aggiungerenel file di configurazione .vmx la riga bios.bootDelay = "xxxx" (xxxx inmillisecondi)• Per forzare l’entrata nel BIOS al boot aggiungere bios.forceSetupOnce ="TRUE"• Se Windows richiede l’attivazione:• La modalità provvisoria funziona sempre• (XP) tool di dubbia provenienza o legalità...• (XP) rundll32.exe syssetup | SetupOobeBnk• (7) sysprep /generalize | slmgr.vbs rearm | rundll32slc.dll,SLReArmWindows | slmgr /rearm18Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’19Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Le scatole nere spesso non sono che deicomputer con Sistema Operativo proprietario oanche standard• I dati sono memorizzati su supporti diarchiviazione, se possibile SSD (protetti e isolati)e con filesystem proprietari• Es. QNX, OS/FS application critical e real timeutilizzato in centrali nucleari, auto, navi, etc..[osqnx]) o anche semplicemente FAT 16/32...20Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• SistemaOperativoreal-timeUnix-likePOSIX-compliantcommerciale• Esistonodriver perLinux21Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’22Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Caso reale nel quale ci si può imbattere è quellodi una scatola nera con hardware obsoleto,software e formato proprietari• Cosa fare se non si hanno alternative?Virtualizzare...23Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Copia forense del disco con Guymager (DEFT)24Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Verifiche integrità e coerenza dati con ausilio di(super)timeline e log2timeline,TSK o Autopsy (DEFT)25Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Virtualizzazione disco tramite LiveView oppure dd2vmdko raw2vmdk (DEFT8) o con gli altri metodi descritti26Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Avvio in ambiente virtuale tramiteVMware oVirtualbox (installabile in DEFT)27Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Elaborazione dei tracciati storici precedentil’incidente28Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Analisi di una ‘scatola nera’• Esportazione delle informazioni rilevanti (se nonè disponibile funzione di esportazione, si puòoperare con screenshot)29Monday, May 6, 13
    • Paolo Dal Checco - paolo@dalchecco.itLaVirtualizzazione nella Computer Forensics - DEFTCON 2013Bibliografia (bit.ly)[dd2vm] www.schatzforensic.com.au/2006/p2v[dd2vmdk] dd2vmdk.sourceforge.net[ecpdm] www.guidancesoftware.com/computer-forensics-software-disk-emulator.htm[gdvfc] www.virtualforensiccomputing.com/vfc-faq.php[livevw] liveview.sourceforge.net[pinguinhq] www.pinguin.lu[pdisc] www.techpathways.com/desktopdefault.aspx?tabindex=8&tabid=14[raw2vmdk] raw2vmdk.sourceforge.net[rdpill] www.ouah.org/Red_%20Pill.html[scoopyng] www.trapkit.de/research/vmm/scoopyng/[vmdetect] www.codeproject.com/Articles/9823/Detect-if-your-program-is-running-inside-a-Virtual[vmwcnv] www.vmware.com/products/converter[vbxwin] www.virtualbox.org/wiki/Migrate_Windows[veeambkp] www.veeam.com/it/vmware-esx-backup.html[osqnx] www.qnx.com/company/customer_stories30Monday, May 6, 13