Il Laboratorio di analisi forense

657 views
591 views

Published on

A cura di Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
657
On SlideShare
0
From Embeds
0
Number of Embeds
343
Actions
Shares
0
Downloads
23
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Il Laboratorio di analisi forense

  1. 1. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Alessandro Bonu Corso di INFORMATICA FORENSE (A.A. 2013/2014) Laboratorio di analisi nell’indagine forense DirICTo Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)
  2. 2. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Abbiamo visto.. • Metodologia, nelle fasi di:  Acquisizione dell’incarico.  Acquisizione delle prove (reperti).  Tutela della prova e catena di custodia. • Profilazione:  strategia del forenser in relazione al caso specifico;  del soggetto indagato, definita meglio in corso di analisi..
  3. 3. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Qualche esempio di casi reali..
  4. 4. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Ma cosa ci serve..? • Una squadra organizzata, a seconda del caso specifico che può essere più o meno complesso, in due o più.. si ha la possibilità di confronto e un limite nei rischi. • Il campo d’azione è troppo vasto, occorrono competenze specifiche che spesso non sono esclusive del singolo. • Sempre bene riconoscere i propri limiti e valutare di caso in caso la strategia operativa.
  5. 5. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Cosa dice la legge • Nel nostro ordinamento giuridico, non è presente una legislazione specifica che definisca quali regole osservare per una corretta acquisizione e conservazione delle prove informatiche. • Non esiste neppure uno standard riconosciuto e consolidato relativo alle tecniche di indagine. • Il giudice, in sede di processo penale, ha il compito di verificare la validità scientifica dei metodi e dei criteri di indagine per stabilirne la loro affidabilità in sede di dibattimento.
  6. 6. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Quali sono i limiti • Investimenti?  Con un modesto investimento è possibile mettere in piedi un laboratorio di analisi adeguato. • Strumenti?  Anche con un PC preparato ad hoc possiamo ottenere le informazioni che ci occorrono ma se sottodimensionato, le scarse performance potrebbero rallentare le operazioni. • Software?  Commerciale o Open Source? Con open source (open forensics) si può fare tanto e bene..
  7. 7. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Parole chiave • Ridondanza:  Nessun dato acquisito deve essere perso o danneggiato causa un guasto di apparati e/o supporti. • Velocità:  Anche in questo caso il tempo è importante quando si deve acquisire una importante mole di dati; si pensi ad una intera azienda.
  8. 8. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Basato su tre livelli • Sistemi di analisi:  in grado di estrapolare il dato in tempi rapidi. • Sistemi Applicativi:  manipolazione del dato per l’acquisizione delle evidenze del caso. • Sistemi di Backup:  ridondanza dell’evidenza acquisita.
  9. 9. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Ottimizzazione dei tempi • Demandare operazioni lunghe in tempi morti (week-end).  Acquisizione di copie forensi;  Analisi di log o ingenti moli di dati. • Prediligere tools a linea di comando, più specifici e controllabili. • Adattabilità nell'utilizzo degli strumenti:  Tools e software devono rappresentare degli strumenti atti a raggiungere l’obbiettivo d’indagine. Non devono rappresentare uno statico ambiente operativo. In taluni casi creati ad hoc: scripts • Garantire l’inalterabilità dei dati:  Calcolo ricorsivo del valore di hash dei risultati ottenuti.
  10. 10. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Documentazione di un laboratorio forense • Catalogare materiali in ingresso ed uscita ivi inclusi i reperti da analizzare. • Fascicoli delle comunicazioni formali, sia interne che sterne. • Fascicoli di indagine, (logistica sicura). • I report delle indagini. • Inventario degli strumenti tecnici. • Valutare i costi di gestione.
  11. 11. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU La ricerca della prov Files images timeline
  12. 12. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Attività di base della CF • Ricerca di una evidenza diretta (oggetto di indagine/quesito). • Ricerca di una evidenza più ampia (ma non da trattare in sede di dibattimento). • Verifica della presenza di software incriminato. • Analisi dei file cancellati. • Verifica dei supporti collegati. • Ricerca di contenuti occultati o criptati. • Analisi dei file temporanei, log di sistema e cache varie. Man mano emerge il profilo del soggetto indagato..
  13. 13. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Dove si trova il dato? ..iniziamo a ragionarci • Sembra banale ma la prima cosa da capire è dove si trova il dato oggetto di indagine; • Celare piccoli dispositivi è semplicissimo e anche in fase di sequestro qualcosa può sfuggire; • A questo si aggiunga il fatto che all’interno degli stessi dispositivi i dati potrebbero essere celati utilizzando anche tecniche particolari (es. steganografia). Un caso recita di una persona accusata di distribuzione di materiale pedopornografico. Venne identificato e sequestrato il computer del soggetto indiziato e si lavorò a lungo per cercare le prove per le quali venne accusato. Si poté evidenziare il fatto che non ci fossero tracce alcune del materiale indiziato. Sul sistema però venivano adoperate con perizia pulizie di cache, file temporanei e recenti, inoltre la cancellazione avveniva non nella modalità classica ma con un deleter sicuro a più passaggi. I dati rilevanti ai fini dell'indagine furono alla fine due: URL riferite a siti di pedofilia e tracce su registry dell'utilizzo di un hard disk esterno che però non fu rinvenuto in sede di perquisizione. Il caso venne archiviato ma il rinvenimento del predetto device avrebbe molto probabilmente fornito elementi utili ai fini dell'indagine.
  14. 14. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Occultamento dei dati • Intenzioni malevole:  scrittura malware, diffusione di segreti a danno di terzi, ecc..; • Intenzioni benevole/lecite  segretezza di dati in ambito privato/lavorativo, ecc..; • Alcune tecniche..  Crittografia: tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario.  Steganografia: tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.  Logistiche: delocalizzazione degli apparati e supporti
  15. 15. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Occultamento logico benvenuti nel corso di Computer Forensics ..una normale immagine, apparentemente!
  16. 16. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Come si fa? • Banalmente:  Windows /Linux: o C:propmt> copy /b <file_org>+<file_add> o Es. : copy /b stego.jpg+segreto.txt / cat segreto.txt >> segreto.txt
  17. 17. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Occultamento fisico • E’ di rilevante importanza che la parte indagata non sospetti un eventuale provvedimento a suo carico: perché?? A quanti verrebbe in mente di guardare una ferita?
  18. 18. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Dove focalizzare l’attenzione • Di norma i dispositivi oggetto di analisi sono:  Lettori multimediali;  HD esterni;  Supporti USB;  Smartphone;  NAS/CLOUD;  Stampanti;  Altri dispositivi in grado di memorizzare dati.
  19. 19. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU E’ sempre possibile sequestrare i reperti?
  20. 20. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Alcune considerazioni.. • Nella fase del sequestro occorre attenersi a quanto recitano le disposizioni di legge “..l’autorità giudiziaria acquisisce il corpo del reato o le cose pertinenti necessarie per l’accertamento dei fatti..”; • Può accadere che nel compimento di suddette operazioni, vengano acquisiti reperti che al fine probatorio risultano inutili; • Opportuno è pertanto attenersi sempre al caso specifico e valutare attentamente il profilo dell'indagato, sia perché lo stesso non venga sottovalutato ma soprattutto perché non venga messo in condizioni tali da limitare l’utilizzo di strumenti utili in ambito aziendale e lavorativo e non a fine probatorio.
  21. 21. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU La copia forense • La duplicazione del dato dev’essere tale da non poter essere contestata; • La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e pertanto identico (livello logico sul quale operare); • Questo comporta che l’intero device venga replicato, comprendendo struttura e spazio libero dello stesso (copia bit-a-bit); • Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al dispositivo fisico a prescindere dall’effettiva quantità di informazioni contenute. • Una volta accertato quanto sopra il file logico (la copia forense) andrà firmata e utilizzata in Read-Only.
  22. 22. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Clone del device DEVICE.IMG bit-a-bit data sector
  23. 23. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Validazione della copia forense • Operazione fondamentale è validare la copia logica confrontandola con l’originale. Tra le due deve esserci perfetta corrispondenza. • La validazione può essere eseguita attraverso programmi di hash come l’MD5 e SHA1 i quali applicano una funzione non invertibile ed atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissata. • Il risultato dell'hash viene visto come una sorta di impronta digitale dell’evidenza, esso si definisce anche “valore di hash”.
  24. 24. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Software e hardware da utilizzare • Sul mercato sono disponibili diversi software che consentono di effettuare la copia bit-a-bit di un supporto di memoria:  Dispositivi HW ad hoc, con dei limiti: o Tecnologia specifica; o Singoli dischi;  Software specializzati (es.dd, semplice e in grado si essere mostrato a livello di file sorgente); • Ideale, dotarsi di una buona workstation forense con le interfacce più utilizzate sul mercato.
  25. 25. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Write Blocker • Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità della prova; • Esistono due differenti metodologie per garantire il write blocking:  Write blocker software; o Agisce sull’operazione di mounting dell’hard disk da parte del sistema operativo.  Write blocker hardware; o dispositivo fisico che viene posto tra l’hard disk e la macchina di acquisizione forense.
  26. 26. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Intercettazione del dato • Definire i target e non indiscriminatamente, pena:  Violazione della legge;  Perdita di tempo;  Mancanza degli obbiettivi oggetto di indagine. • Problemi legati alla connessione in rete (span port):  Il target è l’amministratore di sistema;  Lo switch è troppo esposto ed in evidenza;  Lo switch non dispone delle funzionalità necessarie a monitorare il traffico • «Man in the middle»:  Impossibilità di raggiungere lo switch;  Deviazione del traffico di rete A > B = A > C > B
  27. 27. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Man in the middle
  28. 28. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Relazione tecnica • Sintetica: dato che non necessita di riportare eccessivi particolari tecnici dell’analisi ma solo ciò che interessa dal punto di vista giuridico; • Semplificata: colui che legge e valuta l’esito è di principio un fruitore inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile, bisogna eliminare terminologie non consuete e spiegare a livello elementare quanto rilevato; • Asettica: non deve contenere giudizi personali dell’operatore né tanto meno valutazioni legali sulle informazioni rilevate a meno che tali considerazioni non siano state espressamente richieste.
  29. 29. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Quando non si può fare a meno di agire sulla scena del crimine, cosa succede? • Talvolta l’analisi deve iniziare prima della copia o del sequestro fisico. • Nessuno evita di considerare che la metodologia dello spegnimento forzato determini perdite di dati, soprattutto in ambito di RAM, ma:  Si è ritenuto che il costo di queste perdite fosse minimo rispetto a far interagire un NON specialista con la macchina ad ottenere direttamente informazioni;  Si riesce a ridurre un minimo la sovrascrittura dei dati cancellati sulle memorie di massa attive;  È necessario quindi, in queste condizioni, accedere alla macchina direttamente con competenza e prontezza.
  30. 30. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Rischi di uno spegnimento forzato • Dati non persistenti: sussistono per la massima parte in RAM e quindi la loro degradazione nello spegnimento forzato è pressoché totale. • Cripto: possono esistere protezioni cripto per intere partizioni che al momento dell’impiego della macchina sono abbassate per evidenti necessità di impiego della memoria di massa; allo spegnimento del sistema l’accesso alla partizione cripto può risultare complicata se non impossibile. • Server: per grandi sistemi l’idea di spegnerli per repertare è frutto solo dell’ignoranza. Le costruzioni dati che possono risultare all’interno dei server sono in generale così complesse che, pensare di repertare dei dati in maniera raw per poi ricostruirli in maniera sensata e completa, determina un problema impossibile da risolvere. • Necessità: di analizzare qualsiasi servizio “live” attivo sulla macchina.
  31. 31. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Ordine di volatilità • Quando si raccolgono le prove digitali bisognerebbe procedere da quelle più volatili a quelle meno volatili. A titolo d'esempio, ecco un tipico ordine di volatilità di un sistema comune:  Memoria RAM;  File di paginazione (swap);  Informazioni su processi in esecuzione;  Dati di rete;  Porte in ascolto e connessioni attive;  File temporanei di sistema;  File di log di sistema e applicativi;  dispositivi di archiviazione.
  32. 32. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Reporting • È importante sottolineare che nell’attività live le attività principali dal punto di vista tecnico divengono minime. • Mentre l’approccio statico tende a generare attività ripetibili dal punto di vista sia tecnico che legale, le attività live sono irripetibili, da cui l’assoluta necessità di un affidabile reporting. • Notifica alle parti (vedi incarico_3.jpg).
  33. 33. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU L’irripetibilità del live forensic è: • Di natura tecnica: non esiste infatti possibilità di realizzare analisi e repertamento dati live senza modificare almeno una parte della memoria del sistema. • Di natura temporale: la situazione della macchina all’atto dell’attività è frutto del momento, la sua complessità è tale da non poter essere riprodotta.
  34. 34. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Cose da evitare • Dato che è fin troppo facile alterare le prove collezionate, vediamo gli errori tipici da evitare:  non spegnere il sistema prima di aver terminato la raccolta, non solo perché si perderebbero le prove che si sta recuperando, ma anche perché il sistema potrebbe aver subito modifiche in relazione all'operazione di chiusura e ripristino del sistema;  non fidarsi dei programmi installati sul sistema, ma utilizzare quelli validati da dispositivi protetti esterni;  non eseguire programmi che potrebbero alterare le informazioni sui tempi di accesso di tutti i file del sistema.
  35. 35. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Considerazioni sulla privacy • Rispettare le regole e le linee guida sulla privacy assicurarsi che nessuno autorizzato possa accedere alle informazioni fornite dalle prove raccolte. • Non invadere mai la privacy altrui, soprattutto se si stanno collezionando informazioni da aree in cui normalmente non si avrebbe accesso. • Attenersi sempre alle regole di ingaggio.
  36. 36. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Considerazioni legali • Le prove digitali devono essere:  ammissibili, cioè devono essere conformi a determinate norme legali perché possano essere usate in tribunale;  autentiche, ovvero bisogna poter dimostrare il collegamento tra il materiale probatorio e l'incidente;  complete, che non tengano cioè conto di un'unica prospettiva ma dell'intero accaduto;  affidabili, dato che non deve esserci nulla che possa dare adito a dubbi sulla loro autenticità o veridicità;  credibili, ovvero che siano allo stesso tempo comprensibili e attendibili per un tribunale.
  37. 37. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Passi di raccolta • Elencare i sistemi coinvolti nell'incidente e indicare da quali di questi verranno acquisite le prove. • Stabilire quali tra queste sono rilevanti ed ammissibili, tenendo sempre conto che è meglio raccoglierne troppe che troppo poche*. • Tenere sempre conto dell'ordine di volatilità. • Rimuovere le possibili vie esterne di modifica. • Usare gli strumenti di collezione adeguati. • Documentare ogni passaggio. • Non dimenticarsi delle persone coinvolte: prendere nota di chi è presente alle varie operazioni.
  38. 38. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Alcune considerazioni prima di iniziare.. • Non esiste un metodo o un software che si abbinano ad ogni singolo caso; • Esistono programmi , distribuzioni e quant’altro dedicati a questo campo (forensics) ma che magari non rispondono alle nostre esigenze. • Piccoli e banali tool di pochi kb a volte risolvono un caso..
  39. 39. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Qualche strumento utile • FTK Imager; • Autoruns; • Process Explorer; • Winmerge; • Currports; • Vmmap.
  40. 40. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Immagine di memoria • Ricordarsi che si tratta di operazione irripetibile..
  41. 41. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi della memoria
  42. 42. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi di un sistema Windows • Vantaggi:  Ben documentato;  Molto diffuso;  Ben supportato. • Svantaggi:  Log poco dettagliati;  Informazioni importanti in formato binario;  Profilazione;  Virus e vulnerabilità.
  43. 43. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi di un sistema Linux • Vantaggi  Molte informazioni in più rispetto ad un sistema Windows;  Esistono decine di log differenti pieni di informazioni;  Il sistema è più standardizzato e ordinato. • Svantaggi  la piena libertà lasciata all'amministratore di sistema compresa la possibilità di ricompilare il kernel rende difficile da gestire l'analisi forense.
  44. 44. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU TOOL qualche vediamo
  45. 45. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autorun
  46. 46. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Currports
  47. 47. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Process Explorer
  48. 48. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Process Monitor
  49. 49. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi dei file
  50. 50. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi disco
  51. 51. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Procediamo con qualche esempio.. • Abbiamo sequestrato un hard disk
  52. 52. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Non dimenticare le procedure!! ORA DI INIZIO delle attività??? Di pari passo alle attività tecniche dovranno essere eseguite, scrupolosamente, tutte le attività di reporting
  53. 53. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Sincronizzazione di data e ora • Prima di addentrarci nella parte che riguarda la copia forense dell’hd, è opportuno sincronizzare la data e l’ora della macchina in esame, accedendo al bios.
  54. 54. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Utilizzo del write blocker
  55. 55. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU • Air 2.0.0, come Guymager, è un tool grafico che permette l’acquisizione di un device digitale fornendo una serie di servizi aggiuntivi:  comprimere l’immagine con gzip/bzip2;  dividere l’immagine in sotto immagini (split);  lavorare in una rete TCP/IP tramite netcat/cryptcat;  verificare l’immagine con hash MD5,SHA1/256/384/512;  la possibilità di fare una sanitizzazione (wiping) del disco.
  56. 56. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Schermata di acquisizione
  57. 57. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Log del risultato
  58. 58. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Copia della prova • Copia intera:  Unico supporto. • Tramite l’opzione split:  è possibile eventualmente frammentare la copia;  calcolo dell’hash md5 su ogni split per verificarne la correttezza; • Si lavora sulla copia.
  59. 59. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi della copia
  60. 60. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Nuovo caso con autopsy
  61. 61. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Riassemblaggio • Ottenere l’immagine intera da una splittata  Comando “cat” da terminale e redirezione “>>” su un file con estensione dd. o cat img_01.dd img_02.dd img_03.dd img_nn.dd >> img_full.dd  Lavorare sulla copia ottenuta;  Montare in sola lettura per copiare le cartelle di sistema e di registro. o mount -t <file system_type> -o loop,ro,noexec img_full /mnt/hd_forensics
  62. 62. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Attività da effettuare • Ricerca file multimediali e documenti rilevanti; • Ricerca di informazioni sulla navigazione; • Ricerca di informazioni sul registro di sistema; • Ricerca di informazioni di amministrazione del sistema; • Ricerca di dati o partizioni criptate; • Timeline dell’attività del sistema.
  63. 63. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • Strumento di interfaccia grafica basato sul tool di analisi investigativa digitale The Sleuth Kit; • Open Source per piattaforma Unix; • Per ambiente windows Gygwin.
  64. 64. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Ricerca dell’evidenza • File analysis
  65. 65. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • MD5
  66. 66. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • File type/sorting
  67. 67. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • Timeline and file activity
  68. 68. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • Keyword search
  69. 69. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • Meta Data Analysis
  70. 70. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Autopsy • Image details
  71. 71. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Riassumendo.. • Autopsy Forensic Browser:  Timeline dell’attività del sistema;  Navigazione dell’immagine dell’hdd e ricerca files per estensioni. • OphCrack  Crack delle password di amministratore del sistema. • Pasco:  Estrazione delle informazioni di navigazione. • LiveView e tools di Nirsoft:  Ricerca delle password di completamento memorizzate dal browser. • RegLookup e MiTeC Windows Registry Recovery:  Estrazione delle informazioni dal registro di sistema. • Tchunt/TCDiscover e Passware kit enterprise:  RicercaDecifrazione di una partizione cifrata con TrueCrypt.
  72. 72. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU OphCrack • Crack password Windows
  73. 73. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Pasco per estrarre le evidenze • Export dettagliato dei dati utili: history, cookies, cronologie..
  74. 74. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Tools di Nirsoft per analisi forense • Numero elevato di tools che permettono di:  Recuperare le password;  Monitorare la rete;  Prelevare informazioni dal browser;  Visualizzare informazioni dal disco.  In particolare: IE Pass View, IE Cache View, IE History View ed IE Cookies View.
  75. 75. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Macchine Virtuali VMware • LiveView
  76. 76. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi del registro del sistema • Dove è contenuto il registro di Windows?  Nella cartella config di system32:  File “default”;  File “SAM”;  File “SECURITY”;  File “software”;  File “system”. • Reglookup  Comando di linea utilizzato per leggere all'interno del registro di sistema;  Genera un output su CSV;  Il file generato può essere importato da un programma per la gestione di fogli elettronici (Access).
  77. 77. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Export di registro
  78. 78. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU MiTeC Windows Registry Recovery • Le sue caratteristiche:  Freeware;  Tool grafico che mostra informazioni del sistema organizzando i dati del registro;  Funziona su piattaforma Windows;  Non c’è bisogno di installazione;  Funziona su dati offline (molto adatto all’analisi forense);
  79. 79. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Partizioni criptate? • Ricerca di una partizione o file cifrata con TrueCrypt • Cos’è TrueCrypt?  Software Open Source per cifrare dischi;  Crea un disco virtuale cifrato e permette di montarlo come se fosse un disco fisico;  Permette di cifrare una partizione o un disco su cui è installato Windows;  Permette di cifrare interi dischi o dispositivi USB.
  80. 80. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Tracce di crypting • TrueCrypt può essere utilizzato anche in modalità portable:  senza installazione; • Un volume di TrueCrypt va montato per essere utilizzato; • Il registro di Windows memorizza tutti i dispositivi montati sul sistema;  Nell’entry del registro di sistema: MountedDevices • I dati cifrati appaiono come una sequenza pseudo-random -> difficoltà ad individuare una partizione virtuale cifrata! • Soluzione: TCDiscover e Tchunt che ricercano files che abbiano determinate caratteristiche.
  81. 81. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Tchunt e TCDiscover • Tchunt lavora su un classico disco; • TCDiscover lavora su un’immagine dd. • Una volta individuata una possibile partizione cifrata con Truecrypt si può:  Provare ad individuare la password;  Provare a decifrare il contenuto della partizione.
  82. 82. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Dove potrebbe essere la password del crypt? • Nel dump della memoria con partizione montata; • Nel file hiberfill.sys; • Altrimenti si può procedere con un brute force.
  83. 83. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Simulazione di un caso
  84. 84. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU LAB Una società di ricerca finanziata dal governo ha messo a punto un nuovo sistema di cifratura che consentirebbe un vantaggio consistente alla nazione, permettendo comunicazioni virtualmente inviolabili. Ovviamente se anche altre nazioni ottengono lo stesso sistema si perde il vantaggio, per cui il livello di segretezza del progetto è massimo. C’è un problema: il responsabile della sicurezza informatica della società si è accorto di un accesso insolito ad alcuni file del progetto, in particolare allo schema elettronico del dispositivo.
  85. 85. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Il “reperto” Con l’aiuto delle forze dell’ordine è riuscito a prendere con le mani nel sacco il presunto colpevole, ma l’unica irregolarità rilevata è un pen drive USB trovato indosso al sospetto. Ad un primo esame nel pen drive non sembrano essere presenti file sospetti, ed il problema è che in questa situazione potrà contestare al sospetto soltanto una violazione delle politiche di sicurezza aziendali, che vietano di introdurre qualsiasi dispositivo o supporto di memorizzazione nell’azienda. In questo caso il massimo che può capitare è un richiamo ufficiale ed una multa salata, ma niente di più. Se invece si riuscisse a trovare prova che dentro il pen drive vi sono file appartenenti al progetto del sistema crittografico la cosa assumerebbe ben altri contorni. In particolare il file che si sospetta sia presente nel pen drive dovrebbe essere uno schema elettronico.
  86. 86. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Le regole di ingaggio • Il nostro compito è analizzare l’immagine del pen drive e verificare se all’interno esista un file con uno schema elettronico, nascosto o meno. • Queste le regole d’ingaggio:  il pen drive è formattato con filesystem FAT;  non è stata usata nessuna crittografia, non ci sono password da scoprire;  non sono stati usati programmi sviluppati appositamente;  il file, se c’è, è in un formato assolutamente comune, non è stata utilizzata una applicazione dedicata agli schemi elettronici, altrimenti sarebbe stato impossibile aprire il file senza quella applicazione.
  87. 87. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Il nostro obbiettivo • Verificare se vi è effettivamente uno schema elettronico nascosto nel pen-drive. • Capire dove è nascosto. • In che formato file è memorizzato. • la procedura per estrarlo deve poter essere ripetibile, sempre ammettendo che il file ci sia.
  88. 88. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Acquisizione dell’immagine • FTK Imager
  89. 89. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Tipologia di device
  90. 90. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Quale device
  91. 91. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Attività di analisi • L'investigatore, ricevuto il file immagine lo salva all'interno della directory di lavoro, denominata “lab-pendrive”; • Si procede al calcolo dell'hash MD5 con il seguente comando:  # lab-pendrive> md5sum pendrive.img 3f00610a55d3846bba4c199f1e15c1f5 pendrive.img
  92. 92. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Tipologia di file e il contenuto dei bytes iniziali • # lab-pendrive> file pendrive.img  pendrive.img: x86 boot sector,  mkdosfs boot message display,  code offset 0x3c,  OEM--ID " mkdosfs",  sectors/cluster 4,  root entries 512,  sectors 32768 (volumes <=32 MB) ,  Media descriptor 0xf8,  sectors/FAT 32,  heads 64, serial number 0x472050f2,  label: " ",  FAT (16 bit)
  93. 93. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi dell’immagine: HEX • contenuto dell'immagine pendrive.img visualizzato l'editor esadecimale con:  # lab-pendrive> hexedit pendrive.img
  94. 94. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Analisi dell’immagine: FTK Imager
  95. 95. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Foremost • foremost, un programma per recuperare file cancellati o non leggibili a causa di una corruzione del filesystem. • Il vantaggio nell'uso di foremost consiste nella creazione di una cartella per ogni tipo di file che si vuole recuperare (doc/ jpg/ docx/ avi/ ...) all'interno dell aquale andranno a finire tutti i file con la stessa estensione. Lo svantaggio è che i file perderanno il loro nome originale per assumere quello di un numero. • Per installare il programma in una distribuzione linux derivata da Red-Hat, o che comunque usa yum come installatore dei pacchetti (Fedora, Suse, CentOS, ecc...), bisogna dare il seguente comando (con diritti amministrativi): • yum install foremost • se invece si deve installare il programma in una distribuzione linux derivata da Debian, o che comunque usa apt-get come installatore dei pacchetti (Ubuntu, Mepis, Xandros, ecc...), bisogna dare il seguente comando (con diritti amministrativi): • apt-get install foremost
  96. 96. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Foremost • deducendo di trovarsi davanti all'immagine della partizione presente su u na chiave usb formattata con file system FAT16. • Si crea la seguente directory di output per il tool di data carving Foremost,  foremost_data • Si esegue il seguente comando: • # lab-pendrive> foremost -o foremost_data/ --i pendrive.img  -i Indica da quale partizione, o suo file immagine (dd-dump), leggere i file da recuperare  -o Indica la cartella da usare per salvare i file recuperati processing: pendrive.img
  97. 97. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Output Foremost • Passiamo ora ad analizzare il contenuto dell’output ottenuto da Foremost:  Listiamo il contenuto della cartella foremost_data su un file output_foremost.txt: o # lab-pendrive/foremost_data> ls -lhR > output_foremost.txt  Calcoliamo ora l’hash ricorsivo su tutto l’output ottenuto: o # lab-pendrive/foremost_data> md5deep -r > md5_output_foremost.txt
  98. 98. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Cosa è stato estratto • L'analisi di quanto estratto dall'immagine da Foremost evidenzia la present a di un file in formato zip:  # lab-pendrive/foremost_data> ls -l jpg/ 0468233f759fc67abd9f896a0b0476ce foremost_data/zip/00012253.zip protetto da password. (Lo stesso non viene preso in considerazione in quanto non contemplato nelle “regole d'ingaggio”). • 12 files in formato jpg  # lab-pendrive/foremost_data> ls 00002249.jpg 00005237.jpg 00010873.jpg 00010881.jpg 00010905.jpg 00 012561.jpg 00002713.jpg 00010869.jpg 00010877.jpg 00010897.jpg 0001 0917.jpg 00014501.jpg
  99. 99. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Cosa è stato estratto • verificando che solo il file 00002713.jpg contiene al suo interno un immagi ne in formato .jpg, file della dimensione di 3,6kB rappresentante miniatura dell'immagine stessa. • 6 file in formato ole, riconosciuti come Microsoft Installer:  # lab-pendrive/foremost_data> ls -l ole/* o 00000109.ole: Microsoft Installer o 00000141.ole: Microsoft Installer o 00003065.ole: Microsoft Installer o 00003129.ole: Microsoft Installer o 00003173.ole: Microsoft Installer o 00003265.ole: Microsoft Installer  i primi due non riportano informazioni di rilievo, nel terzo e quarto troviamo, vi sionandone il contenuto con un editor esadecimale, informazioni relative a file in formato .pps visualizzati durante la navigazione in rete.
  100. 100. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Stegdetect • Con il tool Stegdetect si evidenziano delle positività:  # lab-pendrive/foremost_data> stegdetect * o 00002249.jpg : negative o 00002713.jpg : negative o 00005237.jpg : jphide(**) o 00010869.jpg : negative o 00010873.jpg : negative o 00010877.jpg : negative o 00010881.jpg : outguess(old)(**) o 00010897.jpg : negative o 00010905.jpg : negative o 00010917.jpg : negative o 00012561.jpg : outguess(old)(*) o 00014501.jpg : skipped (false positive likely)
  101. 101. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Profilo dell’indagato Da questa prima analisi si potrebbe ipotizzare che il possessore della chiave si a un utente Linux alle prime armi (vedasi la guida ai comandi linux), ma con una discreta conoscenza del web e capace di svolgere operazioni di medio complessità avvalendosi di guide (come l'installazione e configurazione del CMS). Si decide quindi di esaminare l'immagine della chiave con Autopsy Forensic Browser, interfaccia grafica, dello SleuthKit.
  102. 102. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU L’indizio • Analizzando i file testuali della cartella /olib/src si possono leggere i contenuti dei file:  changeLog e README che indicano la scrittura di un programma che serve a convertire i file prodotti da ORCAD (noto software di progettazione elettronica) in formato gEDA (altro software di progettazione elettronica), ambedue i software usano file ASCII, rispettivamente con estensioni .ASC e .SYM.
  103. 103. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Bingo! • Sfogliando i files è presente un file "dict" nella cartella fcrackzip-03. • Un file senza estensione, che risultava essere alla analisi del tool file un formato ASCII. • Guardo il contenuto del file e vedo l'header che inizia con JVBER cercando su GOOGLE ho trovato che è un formato trasformabile in PDF tramite una codifica base64. • Utilizzando l'utility base64 mi è bastato fare:  base64 -d dict > dict.pdf • Poi aprendo il file dict.pdf con Acrobat Reader è comparso lo schema elettronico.
  104. 104. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Grazie per l’attenzione! alessandro.bonu@gmail.com it.linkedin.com/in/abonu
  105. 105. CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o Tu sei libero: • di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; • di modificare quest’opera; • Alle seguenti condizioni:  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.  Non commerciale. Non puoi usare quest’opera per fini commerciali.  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa. o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

×