Your SlideShare is downloading. ×
Digital Forensics: metodologie analisi multipiattaforma
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Digital Forensics: metodologie analisi multipiattaforma

853
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
853
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. #LINUX DAY NAPOLI 2011 Digital Forensicsmetodologie di analisi multipiattaforma A CURA DI MARCO FERRIGNO - Security & system independent researcher - - Developer of the Italian Debian GNU/Linux HOWTOs - gplus.to/marko.ferrigno #all_contacts
  • 2. Digital Forensics - introPROPEDEUTICITA: NOZIONI BASILARI SULLUTILIZZO DEI SISTEMI OPERATIVI, NOZIONI BASILARI SUI FILE SYSTEM, [CNMNS] AVER SEGUITO LINTERVENTO DELLO SCORSO ANNO ^_^COSA IMPAREREMO DA QUESTO TALK: ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI SU SISTEMI WINDOWS, METODOLOGIE DI ANALISI SU SISTEM MAC OS X, METODOLOGIE DI ANALISI SU GNU/LINUX, SECURITY ALERTS. RIASSUNTO DELLA PUNTATA PRECEDENTE ...
  • 3. Digital forensics - back to futureANALISI FORENSE – COSE REALMENTENORMATIVA RILEVANTE IN AMBITO GIURIDICO LA DATA RETENTIONLAQUISIZIONE DEL DATOSOFTWARE OPEN SOURCE PER LACQUISIZIONE - CASI DUSO: DD DDRESCUE DCFLDDLINTEGRITA DEL DATO HASHINGL AFF (ADVANCED FORENSICS FORMAT)LACQUISIZIONE DI DEVICE IN SISTEMI RAID
  • 4. Digital forensics ­ back to futureUTILIZZO DI UN LIVE CD LINUX DAFT, CAINE, HELIX – SPECIFICHE TECNICHELANALISI DEL DATO I FILE CANCELLATISLEUTH KIT ( AUTOPSY)AUTOPSY – CARATTERISTICHEAUTOPSY – CASO DUSOLA TIMELINELIMITI E OSTACOLI CRITTOGRAFIA STEGANOGRAFIA DATA HIDING & VIRTUALIZZAZIONE
  • 5. Digital forensics ­ back to futureCASI REALI FURTO DI UN PORTATILE INTERCETTAZIONE SU SKYPE SPIONAGGIO INDUSTRIALECONCLUSIONI:“ NON CE NULLA DI PEGGIO DEL NONSAPERE CHE COSA HAI DAVANTI … “ TORNIAMO A NOI ...
  • 6. Digital Forensics laboratorio di analisiPRIMO LIMITE: € ?CALMA && SANGUE FREDDO: E POSSIBILE ALLESTIRE UN LABORATORIOANCHE CON UN INVESTIMENTO MODESTO O ADDIRITTURA CON MATERIALEDI SCARTO.PREREQUISITO NECESSARIO: FANTASIA E SPIRITO DI INIZIATIVALE SOLUZIONI COMMERCIALI SONO AL DI FUORI DELLESSERE DEFINITEFORENSICS IN BOX … BASTI PENSARE A COME IL SISTEMA OPERATIVODELLA MACCHINA DEBBA ESSERE MANTENUTO IL PIU STABILE POSSIBILE”IL SOFTWARE, IN GRAZIA DI DIO E DETERMINISTICO E NON CAOTICO …CON LA POSSIBILE ESCLUSIONE DI WINDOWS” (cit.)
  • 7. Digital Forensics laboratorio di analisiPAROLE CHIAVE (NON SOLO PER UN FORENSICS EXPERT) RIDONDANZA VELOCITALABORATORIO DI ANALISI - SCHEMA DI UTILIZZO A TRE LIVELLI: SISTEMI DI ANALISI APPLICATION SERVER BACKUP SERVER OPPURE ...
  • 8. Digital Forensics laboratorio di analisiOPENAFS - DISTRIBUTED COMPUTINGUN PO DI STORIA: META ANNI 80: NASCE NEI LABORATORI TRANSARC LAFS 1994: TRANSARC E ACQUISITA DA IBM 15 AGOSTO 2000: IBM RILASCIA LINTERO PRODOTTO SOTTO LICENZA OPEN.CARATTERISTICHE TECNICHE: SISTEMA DI AUTENTICAZIONE BASATO SU KERBEROS / HEIMDAL / MIT LOCATION INDIPENDENT UNIFIED NAMED SPACE REALE LALBERO DI RETE E COMPOSTO DA VOLUMI ATOMICI DATABASE SERVER (LOCALIZZAZIONE, GESTIONE, PERMESSI) CACHE SERVER LATO CLIENT RAPPORTO CLIENT/SERVER DI 114.000:1
  • 9. Digital Forensics laboratorio di analisiOPENAFS - VANTAGGI: PIÙ SERVER COME SE NE FOSSE UNO REPLICAZIONE SICUREZZA (ATTENZIONE ALLANTITESI FORENSE) BACKUP NATIVO GESTIONE DA QUALUNQUE NODO (CON ACCOUNT KERBEROS E DIRITTI AMMINISTRATIVI … ovviamente!)
  • 10. Digital Forensics laboratorio di analisiCARATTERISTICHE CONSIGLIATE: MACCHINE DA ANALISI/AQUISIZIONE: CABINET DA SERVER PORTATILII/O: IL PROBLEMA DEL BUS DI INTERCONNESSIONE TRA PERIFERICHE (PCI)→ PCI vs PCI-X vs PCI EXPRESS REPARTO DISCHI EFFICIENTE E DI GRANDE CAPACITA SISTEMA RAID (GNU/LINUX E IL RAID SOFTWARE vs IL RAID HARDWARE)CONNESSIONI DI RETE: INTERFACCE GIGABIT feat. TRUNK→ CASO DUSO: DD + NETCAT MACCHINE DA ANALISI/TEST FISSE: LIMPATTO GPU FILE/APPLICATION SERVER: root@host:/# modprobe paranoia BACKUP: NATIVO FS, DISCO ESTERNO O NASTRO MA SOPRATTUTTO ...
  • 11. Digital Forensics laboratorio di analisiSISTEMA OPERATIVO: PERCHE GNU/LINUX (IN MAGGIORANZA): ARCHITETTURA UNIX-LIKE AMPIO SUPPORTO DI FILE SYSTEM KERNEL MONOLITICO MODULARE AMPIA POSSIBILITA DI PERSONALIZZAZIONE OTTIMI TOOLS DI CORREDO COSTI DI LICENZA CONTENUTI O INESISTENTISOFTWARE OPEN SOURCE vs CLOSED SOURCE: ...
  • 12. Digital Forensics metodologie di analisiNON ESISTE UNA METODOLOGIA GENERALE DI INDAGINE FORENSE: IL CAMPO E PIONERISTICO GIURISTI vs INFORMATICI ACCADEMICI vs AUTODIDATTI CAMPO DAZIONE TROPPO VASTO: IL CONCETTO DI SQUADRAIL TRATTAMENTO DELLA PROVA: RIPETIBILITA DEGLI ACCERTAMENTI E RIDONDANZA DELLA PROVA DOCUMENTARE OGNI AZIONE FATTA SU DI ESSA METTERE LA CONTROPARTE IN CONDIZIONE DI REPLICARE QUANTO FATTO
  • 13. Digital Forensics metodologie di analisiIL METODO SCIENTIFICO DI GALILEO GALILEI: OSSERVARE E DESCRIVERE UN DATO FENOMENO FORMULARE UNIPOTESI CHE LO POSSA SPIEGARE PREVEDERE UNA O PIÙ CONSEGUENZE DIPENDENTI DA QUESTA IPOTESI VERIFICARE IN MODO SPERIMENTALE LE CONSEGUENZE CONFERMARE O CONFUTARE LIPOTESI INIZIALETRADOTTO PER UN COMPUTER FORENSICS EXPERT: CERCARE UNEVIDENZA DIRETTA CERCARE, IN SECONDA ANALISI, UNEVIDENZA DA RICERCA PIÙ ESTESA VERIFICARE LA PRESENZA DI PROGRAMMI P2P EFFETTUARE UNANALISI DEI FILE CANCELLATI VERIFICA DEI SUPPORTI COLLEGATI ESAMINARE I FILE DI LOG/TEMP DI UN PROGRAMMA DI MASTERIZZAZIONE CONTENUTI STEGANOGRAFATI
  • 14. Digital Forensics metodologie di analisiOTTIMIZZARE I TEMPI: PENSARE IN TERMINI DI 24H DEMANDARE LE OPERAZIONI PIU LUNGHE NEI WEEKEND MINIMIZZARE I TRASFERIMENTI PREDILIGERE TOOL A LINEA DI COMANDO USARE SISTEMI DI CONTROLLO REMOTONON ESSERE LEGATI A UNO SPECIFICO AMBIENTE: LADATTABILITA→ ”IL CASO ENCASE””IL COMPUTER FORENSICS EXPERT DEVE VEDERE OGNI SOFTWARE COME UN POSSIBILE STRUMENTO PER RIUSCIRE A TERMINARE IL PROPRIO LAVORO E NON COME UN AMBIENTE INDISPENSABILE IN CUI OPERARE” (cit.)
  • 15. Digital Forensics metodologie di analisiSVILUPPARE UN SOFTWARE SECONDO NECESSITA:USARE LINGUAGGI CHE SIANO DISPONIBILI PER PIU PIATTAFORME POSSIBILI→ OK: PERL, PYTHON, RUBY ...→ KO: VBS SE SI PREFERISCE SVILUPPARE IN C/C++, LO SI FACCIA CON LAPPOGGIO DIFRAMEWORK PER LA PORTABILITAGARANTIRE LINALTERABILITA DEI RISULTATI: ALBERATURA DEI RISULTATI CALCOLO RICORSIVO DEL VALORE DI HASH DI UNALBERATURA DI FILE md5deep -r PROVA/ > hash-files-md5.txt sha1deep -r PROVA/ > hash-files-sha1.txt USO DELLA FIRMA DIGITALE
  • 16. Digital Forensics metodologie di analisi ”POCHE COSE SONO PIÙ DANNOSE DELLA SUPERBIA UMANA” (INVOCANDO LARTICOLO 360 C.P.P.)BISOGNA TENER SEMPRE PRESENTE SIA I PROPRI LIMITI SIA QUELLI DELLATECNOLOGIA (E DELLE PERSONE) CON LA QUALE(I) SI HA A CHE FARE …CASI COMICI, LETTERATURA FORENSE SPICCIOLA: UN MAGISTRATO HA PRETESO IL SEQUESTRO DI UNA SUN25000 … CARABINIERI CHE DI UN COMPUTER SEQUESTRANO SOLO IL MONITOR … -_- UN AVVOCATO CHE VOLEVA UNA COPIA CONFORME DI HOTMAIL.COM GENTE DI CUI SOPRA CHE PRETENDE LO SPEGNIMENTO DI UN SISTEMACRITICO ALLINTERNO DI UN OSPEDALE AI FINI DI UN SEQUESTRO …CASI SERI && REALI: DISCO DANNEGGIATO → UTILIZZO DI DDRESCUE → HASHING NON CONFORME OPERAZIONE NON RIPETIBILE: DUMP DELLA RAM ACQUISIZIONE DI UN SISTEMA CHE NON PUÒ ESSERE SPENTO
  • 17. Analisi di un sistema Windows ”VIRUS, LIBRERIE DI SISTEMA CHE SI SOVRASCRIVONO SOTTO LINFLUENZA DI INFLUSSI ASTRALI … SE CÈ UN MOTIVO PLAUSIBILE PER IL QUALE QUASI UN MILIARDO DI PERSONE STANNO LAVORANDO CON QUESTO SISTEMA A MESFUGGE. IO CON UN COMPUTER CI DEBBO LAVORARE NON FARGLI DA BALIA ...”VANTAGGI: È BEN DOCUMENTATO DIFFUSISSIMO BEN SUPPORTATOSVANTAGGI: LOG-GA POCHISSIMO INFORMAZIONI VITALI IN FORMATO BINARIO PROFILAZIONE VIRUS &CO
  • 18. Analisi di un sistema WindowsINIZIO DELLANALISI: IL PARTIZIONAMENTO MBR - LDM - GPT GPT/LDMIL FILE DI SWAP: pagefile.sysDUMP DELLA RAM (IN CASO DI SOSPENSIONE): hyberfil.sysREGISTRY: WINDOWS 95/98/98SE: User.dat, System.dat(GLI UTENTI NON LOGGATI SONO IN ..WINDOWSPROFILENOMEUTENTE) WINDOWS ME: Classes.dat NT_FAMILY (NT/2000/2003/XP/VISTA/2008/SEV7N):… WINDOWSSYSTEM32CONFIG → Software, System, SAM, Security, Default ...DOCUMENTS AND SETTINGSNOMEUTENTENTuser.dat → H_Key_Current_UserTHUMBS.DB:CI PENSA VINETTO
  • 19. Analisi di un sistema WindowsCACHING DELLE PASSWORD:DOGMA N°1 DELLANALISTA FORENSE: ”LE PASSWORD POSTE A PROTEZIONEDI UN SISTEMA NON SONO UN OSTACOLO.”POSSEDENDO I DIRITTI DI AMMINISTRATORE SULLA MACCHINA DI ANALISI,QUESTI SARANNO IMPLICITAMENTE TRASFERITI NEL FILE SYSTEM DELLAMACCHINA ANALIZZATA.DAI TRISTEMENTE FAMOSI FILE *.pwl …… ALLASSENZA OBBLIGATA DI UN DOMAIN CONTROLLER.PROGRAMMI UTILI: CAIN & ABEL ROCKXP PASSWORD REMINDER… AH DIMENTICAVO, SIAMO AL GNU/LINUX DAY PASSWORD UNMASK→ POSSIEDE TUTTE LE FUNZIONI DEI SUOI PROGRAMMI CONCORRENTI CON INPIÙ: KEY-LOGGER SPECIFICO PER EMAIL E FTP CLIENT È DISPONIBILI IL SUO CODICE SORGENTE
  • 20. Analisi di un sistema WindowsWINDOWS LIVECDDUE PROGETTI OPEN SOURCE: BART PE UBCD4WINPER OVVIE RAGIONI DI LICENZA ENTRAMBI I PROGETTI NON POSSONOCONTENERE IL SISTEMA OPERATIVO. I PACCHETTI VANNO LANCIATI EPREPARANO L*.ISO DA MASTERIZZARE COMPLETA DI TUTTO IL NECESSARIOENTRAMBI I PROGETTI SI BASANO SU UNA STRUTTURA A PLUG-IN CHE PUÒESSERE ESPANSA A PIACERE AGGIUNGENDO DRIVER E ULTERIORIPROGRAMMIPER LE SOLE FORZE DELLORDINE, MICROSOFT METTE A DISPOSIZIONE UNLIVECD DI PROPRIA CREAZIONE: WINFELA COMUNITÀ OPEN SOURCE NON È RIMASTA A GUARDARE: È NATO WINFERNO
  • 21. Analisi di un sistema WindowsDATA HIDING:SEBBENE IL SISTEMA NON ABBIA UNINTERFACCIA CHE PERMETTA ALLUTENTEDI LAVORARE A BASSO LIVELLO, IL FILE SYSTEM NTFS OFFRE MOLTI SPUNTI ACHI VOLESSE NASCONDERE DATI: ALTERNATIVE DATA STREAM → NASCOSTI NEL MASTER FILE TABLE BADBLOCK ($Badclus) → MARCARE COME ”BAD” SETTORI DEL DISCO SPARSE ATTRIBUTE → IDEM COME SOPRA, MA RIFERITO AI SETTORI BOOT SECTOR → SU 16 SETTORI ALLOCATI PER LA PARTIZIONE DI AVVIO,NTFS NE USA MENO DI UNO
  • 22. Analisi di un sistema Mac OS X ”DESIGN MINIMALISTA, CASE IN ALLUMINIO, MELA ILLUMINATA, SISTEMA OPERATIVO UNIX-BASED … IL SIGNORE SÌ CHE SE NE INTENDE … FORSE!”PER UN ANALISTA FORENSE CHE NON ABBIA UNESPERIENZA SPECIFICA SUQUESTA PIATTAFORMA, MAC RISULTA UN OSSO DUROASSIOMA FONDAMENTALE DELLINFORMATICA:”SE È UNIX E VUOI UNA CONFIGURAZIONE, VAI IN /etc”TRADOTTO IN APPLE LANGUAGE: NETINFOATTENZIONE ALLA CARTELLA machines (→ hosts) E AL RAMO /users (→ passwd)DA NETINFO A OPENDIRECTORY (>10.5)LE INFORMAZIONI SUGLI UTENTI SONO QUI:/var/db/netinfo/local.nidb.migratedE SONO CONVERTITE IN FORMATO BINARIO → MacKrack OPPURE ...
  • 23. Analisi di un sistema Mac OS X PER ESTRARRE LE PASSWORD DA UN DATABASE NETINFO DI UN MAC OS X10.2 nidump passwd … DI UN MAC OS X 10.3 E 10.4Cercare il file con il nome corrispondente allID utente nella directory:/var/db/shadow/hashAVRÀ IL SEGUENTE FORMATO:D47F3AF827A48F7DFA4F2C1F12D68CD608460EB13C5CA0C4CA9516712F7FED9501424F955C11F92EFEF0B79D7FA3FB6BE56A9F99 … DI UN MAC OS X >= 10.5 dscl (per estrarre gli UID dei singoli account)AVRÀ UN FORMATO INSCRIVIBILE NEL POCO SPAZIO CHE RESTA IN QUESTASLIDE, QUINDI VE LO SPIEGO COSÌ:LA PASSWORD STANDARD È SALVATA DAL 169° CARATTERE ED È LUNGA 48CARATTERI, È IN FORMATO SHA-1 ED È CODIFICATA CON UN SALTO DI 4 BYTEPOSTO IN TESTA
  • 24. Analisi di un sistema Mac OS XPRIVACY & SECURITY:MAC OS X UTILIZZA UN SISTEMA DI CRITTOGRAFIA FORTE (AES-128)ALLINTERNO DI TUTTO IL SISTEMA OPERATIVO. CIÒ SI TRADUCE IN UNUTILIZZO DI QUESTULTIMA IN MANIERA MOLTO PIÙ PERVASIVA DI QUANTO NONCI SI ASPETTEREBBEFILEVAULT:MEDIANTE POCHI PASSAGGI È POSSIBILE RENDERE MOLTE DELLEINFORMAZIONI INACCESSIBILI (ANCHE I FILE DI SWAP) A CHIUNQUE, IVICOMPRESO UN EVENTUALE COMPUTER FORENSICS EXPERT.UN AIUTO PUÒ VENIRE DAGLI sparse.bundle NON CRITTOGRAFATI(… E DA UNA PASSWORD DI LOGIN DEBOLE, OVVIAMENTE!)
  • 25. Analisi di un sistema Mac OS XDATA HIDING: ALLINTERNO DEI PACCHETTI APPLICAZIONE: LALBERATURA È SCRIVIBILE,QUINDI AL SUO INTERNO È POSSIBILE INSERIRE QUALUNQUE TIPO DI FILE (LEDIMENSIONI AUMENTANO DI CONSEGUENZA) INTERVENIRE SUI BAD BLOCK RESOURCE FORK DEI FILE
  • 26. Analisi di un sistema GNU/LinuxLANALISI: DISPONIAMO DI TONNELLATE DI INFORMAZIONI IN PIÙ RISPETTO AI SISTEMIOPERATIVI VISTI PRECEDENTEMENTE LIBERTÀ ”AMMINISTRATIVA”I LOG:SYSLOG SI BASA SU UN DEMONE CHIAMATO SYSLOGD, ESSO SI INCARICA DIEFFETTUARE IL SERVIZIO DI DATA COLLECTING PER LINTERO SISTEMA.LE ENTRY SYSLOG SONO GESTITE TRAMITE DUE PARAMETRI: FACILITY ESEVERITY (RFC 3164)DI NORMA I FILE DI LOG SI TROVANO NELLA DIRECTORY /VAR/LOG.IL PIÙ SIGNIFICATIVO TRA QUESTI È SICURAMENTE IL FILE ”MESSAGES” DOVESONO CONTENUTI LA MAGGIOR PARTE DEGLI EVENTI OCCORSI ALLINTERNODELLA MACCHINA (ENTRY RELATIVE ALLHARDWARE COLLEGATO ESCOLLEGATO, FILE SYSTEM MONTATI E SMONTATI, EVENTI CRITICI …)ATTENZIONE A wtmp→ last wtmp
  • 27. Analisi di un sistema GNU/LinuxAUTENTICAZIONE:/etc/passwd → ELENCO DEGLI UTENTI/etc/shadow → ELENCO DELLE PASSWORDLE DISTRIBUZIONI GNU/LINUX SI AVVALGONO DI UN SISTEMA DIAUTENTICAZIONE NOTO COME PAM (PLUGGABLE AUTHENTICATION MODULE)MEDIANTE LE PAM UN SISTEMA LINUX PUÒ VARIARE LA MANIERA IN CUILUTENTE VIENE AUTENTICATO SENZA CHE LE APPLICAZIONI DEBBANO INALCUN MODO ESSERE VARIATE
  • 28. Analisi di un sistema GNU/LinuxHOME DIRECTORY: DATI DELLUTENTE SHELL HISTORY CACHE FILE CON CONFIGURAZIONEVAR: LOG DI SISTEMA SPOOL DI STAMPA MAIL IN TRANSITO TABLESPACE DEGLI RDBM CACHE DI SISTEMA CONFIGURAZIONE DEI VARI TOOL DATABASE DEI PACCHETTI INSTALLATI FILE DI BIND DATABASE DI LDAP DATABASE DI SISTEMA AFS DATABASE DI KERBEROSCONDIVISIONE DATI:NFS, SMB, CIFS, NCP, AFS, OPENAFS, CODA, LUSTRE, APPLE FILE SERVER ...
  • 29. Analisi di un sistema GNU/LinuxDATA HIDING:LUNICA LIMITAZIONE È LA FANTASIA! FILE SYSTEM DENTRO UN FILE SYSTEM UTILIZZO DELLA TRACCIA 0 FILE SYSTEM STEGANOGRAFICO UTILIZZO DI UN SISTEMA RAID
  • 30. Security AlertsIL CASO STUXNET:Stuxnet è il primo worm che spia e riprogramma macchine industriali. Infetta PC dotati disistema operativo Windows e software WinCC e PCS 7. Il virus si propaga tramite pennaUSB o tramite rete, e si attiva alle semplice apertura in visione del dispositivo che locontiene. È stato scoperto nel giugno del 2010 da VirusBlokAda, una società di sicurezzabielorussa.Stuxnet è in grado di riprogrammare il controllore logico e di nascondere le modificheIL CASO POLITICO E LO SPIONAGGIO INDUSTRIALEDUQU: STUXNET RETURN:JMINET7.SYS (DUQU) == MRXCLS.SYS (STUXNET)
  • 31. Conclusioni“ NON CE NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “ … Repetita iuvant :)