LINUX DAY NAPOLI 2010     CYBER FORENSICS:ACQUISIZIONE E ANALISI DEI DATI        A CURA DI MARCO FERRIGNO- Developer of th...
A n a lis i f o r e n s ePROPEDEUTICITA:   NOZIONI BASILARI SULLUTILIZZO DI SISTEMI UNIX-LIKE,   NOZIONI BASILARI SUI FILE...
Analisi forense: cosè realmente?E LA DISCIPLINA CHE CONCERNE LE ATTIVITA DI INDIVIDUAZIONE,ESTRAZIONE, CONSERVAZIONE, PROT...
A n a lis i f o r e n s e :     n o r m a t iv a r ile v a n t e in a m b it o                      g iu r id ic oLA LEGGE...
Analisi forense:            lacquisizione del datoACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI.ATTE...
Analisi forense:software open source per lacquisizioneSOLUZIONI A CODICE APERTO:DATASET DEFINITION (DD): TOOL SOLITAMENTE ...
Apertura terminale [da menu o ALT+F2, nome terminale]Output di “fdisk -l”, localizzazione della partizione da analizzare (...
DD applicato sullintero deviceDD applicato sullintero device con interruzione inaspettata (o volontaria!)DD applicato su u...
DDRESCUE in azione
DCFLDD in azione
Analisi forense:       integrità del dato acquisitoL IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L IMPRONTA DIGITALEIMPORTANZ...
Analisi forense:AFF (Advanced Forensics Format)AFF E UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTOLICENZA BSDC...
Analisi forense:acquisizione di device in sistemi RAIDLE OPERAZIONI FINORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIV...
Analisi forense: utilizzo di un live              cd linuxDEFT, CAINE ED HELIX SONO DEI SISTEMI PER LANALISI FORENSE CONTE...
Analisi forense: utilizzo di un live              cd linuxSPECIFICHE PARTICOLARITA: DRIVER: HELIX IN PARTICOLARE INCORPORA...
Analisi forense: lanalisi del datoLA PROCEDURA D ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIEFEDELI DEI DEVICE ACQUISITI...
Analisi forense: AutopsySLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPENSOURCE PER LANALISI DI IMMAGINI E DEVI...
Analisi forense:          Autopsy - caratteristiche INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARIPROGRAMMI, GARA...
Analisi del reperto utilizzando                AutopsyAUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLEACQUI...
Analisi del reperto utilizzando Autopsy Recupero file cancellati
Analisi del reperto utilizzando Autopsy Timeline
Analisi forense: la TimelineNELLINFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DITUTTI GLI EVENTI STORICI AVVE...
Analisi forense: limiti e ostacoliCRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FINORA(3DES, AES-128, AES-254...
Analisi forense: casi reali                         FURTO DI UN PORTATILEANTEFATTOVIENE RUBATO UN PORTATILE A UN INGEGNERE...
Analisi forense: casi reali                       INTECETTAZIONI SU SKYPEANTEFATTOUN PUBBLICO MINISTERO SOSPETTA DI ATTIVI...
Analisi forense: casi reali                       SPIONAGGIO INDUSTRIALEANTEFATTOUNAZIENDA LEADER IN UN MERCATO DI NICCHIA...
Analisi forense: casi realiOPERAZIONI & TECNICHE UTILIZZATE (2/2)VIENE USATA A MO DI SONDA UNA MACCHINA LINUX POSTA SULLA ...
Boxroom … e non solo!ALLESTIMENTO DI UN LABORATORIO DI ANALISI,METODOLOGIE DI ANALISI E LAVORO DI SQUADRA,ANALISI DI UN SI...
Conclusioni“ NON CE NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “
Cyber Forensics - Acquisizione e analisi dei dati
Upcoming SlideShare
Loading in...5
×

Cyber Forensics - Acquisizione e analisi dei dati

1,952

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,952
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
36
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cyber Forensics - Acquisizione e analisi dei dati

  1. 1. LINUX DAY NAPOLI 2010 CYBER FORENSICS:ACQUISIZIONE E ANALISI DEI DATI A CURA DI MARCO FERRIGNO- Developer of the Italian Debian GNU/Linux HOWTOs - Jabber ID: m.ferrigno@xmpp.jp marko.ferrigno@gmail.com
  2. 2. A n a lis i f o r e n s ePROPEDEUTICITA: NOZIONI BASILARI SULLUTILIZZO DI SISTEMI UNIX-LIKE, NOZIONI BASILARI SUI FILESYSTEM.COSA IMPAREREMO DA QUESTO TALK: CONCETTO DI COMPUTER FORENSICS, METODOLOGIE E SOFTWARE PER LACQUISIZIONE DI DATI DI UN SISTEMA POSTO SOTTO SEQUESTRO METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.
  3. 3. Analisi forense: cosè realmente?E LA DISCIPLINA CHE CONCERNE LE ATTIVITA DI INDIVIDUAZIONE,ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DITRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTOINFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSIGIUDIZIARI.IL TRATTAMENTO DEL REPERTO INFORMATICO E SUDDIVISO IN 4 FASI: ACQUISIZIONE (TARGET INFORMATICO)* ANALISI (TARGET INFORMATICO)* INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)*ARGOMENTO DELLA SEDUTA CON LAUSILIO DI STRUMENTI OPEN SOURCE
  4. 4. A n a lis i f o r e n s e : n o r m a t iv a r ile v a n t e in a m b it o g iu r id ic oLA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICADELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE: MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA INFORMATICA, INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL CATALOGO DEI REATI PER I QUALI E PREVISTA LA RESPONSABILITA AMMINISTRATIVA DEGLI ENTI, MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO PER LE FORZE DI POLIZIA LUTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO DELLE INDAGINI INFORMATICHE, MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA NELLART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)
  5. 5. Analisi forense: lacquisizione del datoACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI.ATTENZIONE: ELA FASE PIU DELICATA E COMPLESSA IN ASSOLUTO, SELACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME,LANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE.QUANDO ACQUISIRE IL DATO: NELL IMMEDIATEZZA DELLINTERVENTO (SCENA DEL CRIMINE), OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO ILSEQUESTRO GIUDIZIARIO DEI SUPPORTIMODI DI ACQUISIRE IL DATO: ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVEATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DELCASO), COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHETRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DIALTERARE IL REPERTO ORIGINALE.
  6. 6. Analisi forense:software open source per lacquisizioneSOLUZIONI A CODICE APERTO:DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARECOPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE OSEQUENZIALE. E TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE.QUALE LIDEA?DD SFRUTTA LASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDEREQUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNISINGOLO BYTE SU UN ALTRO FILECARATTERISTICHE:AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNAOTTIMIZZAZIONE NE COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATIGARANTISCONO UNASSOLUTA FEDELTA TRA LA COPIA E IL DATO ORIGINALEVARIANTI:DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATIDCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG
  7. 7. A n a lis i f o r e n s e : s o ftw a re o p e n s o u rc e p e r l a c q u is iz io n eIL PRIMO STEP E LACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE ILCOMANDO “fdisk -l” CHE DA COME OUTPUT LA LISTA DEI DISPOSITIVIATTUALMENTE COLLEGATI AL SISTEMALA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA PER DD:“dd if=/sorgente of=/destinazione” PER DDRESCUE:“dd_rescue /sorgente /destinazione/chiavettausb.img”IL PROGRAMMA TERMINERA SENZA DARE ALCUN MESSAGGIO DI AVVENUTAACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO LESISTENZA DELFILE “chiavettausb.img” PER DCFLDD:“dclfdd if=/sorgente of=/destinazione”
  8. 8. Apertura terminale [da menu o ALT+F2, nome terminale]Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)
  9. 9. DD applicato sullintero deviceDD applicato sullintero device con interruzione inaspettata (o volontaria!)DD applicato su una parte del device
  10. 10. DDRESCUE in azione
  11. 11. DCFLDD in azione
  12. 12. Analisi forense: integrità del dato acquisitoL IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L IMPRONTA DIGITALEIMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPOLANALISI (LA PROVA E VALIDA SE I VALORI CORRISPONDONO)ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUTMEDIANTE MD5SUM E SHA1SUMSINTASSI MD5SUM:“md5sum /dev/nomedevice/” PER IL DEVICE“md5sum /home/utente/analisi/chiavettausb.img” PER LIMMAGINE ACQUISITASINTASSI SHA1SUM:“sha1sum /dev/nomedevice/” PER IL DEVICE“sha1sum /home/utente/analisi/chiavettausb.img” PER LIMMAGINE ACQUISITA
  13. 13. Analisi forense:AFF (Advanced Forensics Format)AFF E UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTOLICENZA BSDCARATTERISTICA PRINCIPALE:ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZALIMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LAMEMORIZZAZIONE DI META INFORMAZIONI SIA ALLINTERNO DEL FILE CHE INUN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO.ALTRE CARATTERISTICHE: ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA, PERMETTE LAPERTURA E LA LETTURA SENZA DOVER DECOMPRIMERELIMMAGINE VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATISULLO HASH ....PRODUCE FILE COMPRESSI PICCOLI.
  14. 14. Analisi forense:acquisizione di device in sistemi RAIDLE OPERAZIONI FINORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, ASECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMOACQUISIREATTENZIONE: RAID HARDWARE VS RAID SOFTWAREUN ESEMPIO: HARD DISK IN RAID 5!LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA TOTALMENTE INUTILE PERCHE NONAVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NONSAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTOIN QUESTIONE SARA INUTILIZZABILESOLUZIONE RAID HARDWARE:ATTUARE LACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE ILCONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POIPOTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SEFOSSE UN NORMALE HARD DISK STAND ALONESOLUZIONE RAID SOFTWARE:E DOBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDOPREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!
  15. 15. Analisi forense: utilizzo di un live cd linuxDEFT, CAINE ED HELIX SONO DEI SISTEMI PER LANALISI FORENSE CONTENUTIIN UN SUPPORTO FISICOALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI.IN CASO CONTRARIO E POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NONSOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DIPROGRAMMI SPECIALIZZATI PER LANALISI FORENSE.
  16. 16. Analisi forense: utilizzo di un live cd linuxSPECIFICHE PARTICOLARITA: DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHEPROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE AQUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E QUELLO DI FORNIRE UNSUPPORTO AI SISTEMI RAID QUANTO PIU AMPIO POSSIBILE INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU LEGGERA DEICOMUNI KDE E GNOME. DEFT E LUNICA CHE PARTE DI DEFAULT SENZAINTERFACCIA GRAFICA. TALE PARTICOLARITA E UTILE NEI SISTEMI CON POCARAM UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLEDISTRO CITATE UTILIZZERA UN FILESYSTEM O UNA PARTIZIONE COME SWAP,ANCHE SE LUTENTE CERCA DI FORZARE TALE COMPORTAMENTO FILE SYSTEM: IL KERNEL E COMPILATO IN MODO TALE DA VEDERE TUTTI IFILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI EQUELLI ORAMAI OBSOLETI TOOL: SI E CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PERANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NONOPEN SOURCE
  17. 17. Analisi forense: lanalisi del datoLA PROCEDURA D ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIEFEDELI DEI DEVICE ACQUISITILANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILIPROVE INFORMATICHE UTILI AI FINI PROBATORINON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO: I DATI CANCELLATI!SOLUZIONE:NELLAMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PERLANALISI FORENSE DI REPERTI E LO SLEUTH KIT (INSIEME DI TOOLSRICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEBGUI: AUTOPSY
  18. 18. Analisi forense: AutopsySLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPENSOURCE PER LANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEIPIU DIFFUSI FILESYSTEM:FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE)NTFS (WINDOWS NT SERIES)EXT2, EXT3 (GNU/LINUX)UFS (UNIX, BSD)ISO 9660 (CD-ROM)ZFS (SOLARIS)RAWSWAPMANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)
  19. 19. Analisi forense: Autopsy - caratteristiche INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARIPROGRAMMI, GARANZIA DI INALTERABILITA DEI DATI ANALIZZATI (ACCESSO IN SOLALETTURA), CALCOLO DI HASH MD5, ACCURATA ANALISI DI DEVICE, RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI , RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI, ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO, CREAZIONE DI TIMELINE, CREAZIONE DI REPORT RIASSUNTIVI
  20. 20. Analisi del reperto utilizzando AutopsyAUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLEACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COMEQUELLE ACQUISITE IN FORMATO AFF O ENCASE*ATTENZIONE: LA FASE DI ANALISI NON E PER NULLA STANDARDIZZABILE*SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.
  21. 21. Analisi del reperto utilizzando Autopsy Recupero file cancellati
  22. 22. Analisi del reperto utilizzando Autopsy Timeline
  23. 23. Analisi forense: la TimelineNELLINFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DITUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA..ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTISUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO ADANALISIPERCHE LA NECESSITA DI UNA TIMELINE? PERCHE UN ELEMENTOFONDAMENTALE NELLA SCENA DEL CRIMINE E IL TEMPOESEMPIO: CASO TIPICO IN CUI LE FORZE DELLORDINE HANNO A CHE FARECON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE ESTABILIRE DATA ED ORA DEL DECESSOIMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LARICERCA E LANALISI DEI DATI .PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DELSISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMOANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMAOPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .
  24. 24. Analisi forense: limiti e ostacoliCRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FINORA(3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITATALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRELA VARIABILITA DELLO SPAZIO DI CHIAVISOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHEMIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!)SOLUZIONIE 2: AGGIRARE LOSTACOLO. COME: FILE TEMORANEI FILE CANCELLATI BACKUPSTEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE EPOSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALLINTERNO DI UN FILEVETTORESOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E PER NULLACERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICOCHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA(BASSISSIMA PROBABILITA DI SUCCESSO !!!)DATA HIDING & VIRTUALIZZAZIONE
  25. 25. Analisi forense: casi reali FURTO DI UN PORTATILEANTEFATTOVIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA. ILPORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIARICHIESTAVERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNIOPERAZIONI & TECNICHE UTILIZZATESMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINADI ANALISI E UTILIZZO DI DD PIU VALIDAZIONE TRAMITE HASHDEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSYSERVIRA A CAPIRE COSA E ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON ESTATO TRA LE MANI DEL LEGITTIMO PROPRIETARIORISULTATOIL PORTATILE E STATO ACCESO UN ORA DOPO IL FURTO. TUTTI I FILE DI TIPOAUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTOUSB COLLEGATO AL SISTEMA. IL FURTO NON E STATO CASUALE !
  26. 26. Analisi forense: casi reali INTECETTAZIONI SU SKYPEANTEFATTOUN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA EVERSIVA UN INDIVIDUO CHECOMUNICA REGOLARMENTE TRAMITE SKYPERICHIESTAOTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITADEL SOSPETTOOPERAZIONI & TECNICHE UTILIZZATEREALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DIENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINIDI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO ACASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN.IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTEPREPARATORISULTATOI FILE AUDIO EVIDENZIANO LATTIVITA EVERSIVA DEL SOSPETTO
  27. 27. Analisi forense: casi reali SPIONAGGIO INDUSTRIALEANTEFATTOUNAZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTESPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONESTRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI,MACCHINE CHE DATA LA SPECIFICITA SONO A TUTTI GLI EFFETTI PEZZI UNICIE PER LE QUALI NON SEMBRA IPOTIZZABILE NE POSSIBILE LINVESTIMENTO,DA PARTE DI UNAZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHENECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO INGRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTEDALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E RESA PIUSOSPETTA DAL FATTO CHE LORDINE DEI PEZZI DI RICAMBIO AVVIENE CONGLI STESSI CODICI DEI PEZZI ORIGINALIRICHIESTATROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONIOPERAZIONI & TECNICHE UTILIZZATE (1/2)UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NEMODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E UTILE PERCAPIRE SE IL PROGETTO E MODIFICATO DALLINTERNO DELLAZIENDA O SEMAGARI E OTTENUTO TRAMITE UNOPERAZIONE DI REVERSE ENGINEERING.
  28. 28. Analisi forense: casi realiOPERAZIONI & TECNICHE UTILIZZATE (2/2)VIENE USATA A MO DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONEAZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE ILCODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETECONSEGUENTE. LO SCOPO, NATURALMENTE, E CAPIRE CHI POSSA AVERAVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZOOBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHECONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO ILPLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTEUN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DIPROGETTO). AL DI FUORI DELLORARIO DI LAVORO VIENE ESEGUITO ILPLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DELTRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTIAZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO ALCLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SUCONTROSPIONAGGIO INDUSTRIALERISULTATOE STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAIDATABASE DELLAZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATOCONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NONSIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE
  29. 29. Boxroom … e non solo!ALLESTIMENTO DI UN LABORATORIO DI ANALISI,METODOLOGIE DI ANALISI E LAVORO DI SQUADRA,ANALISI DI UN SISTEMA WINDOWS,ANALISI DI UN SISTEMA MAC OS X,ANALISI DI UN SISTEMA LINUX,ANALISI DEI SUPPORTI OTTICI,MOBILE FORENSICS,ANALISI DI MEDIA NON CONVENZIONALI,NETWORK FORENSICS
  30. 30. Conclusioni“ NON CE NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “

×