Cybercrime: investigazione forense e mitigazione (p.1)

Università di Cagliari
Dipartimento di Ingegneria
Elettrica ed Elettronica
Docente:(Massimo(Farina(
Seminario)di)
INFORMATICA*FORENSE*
A.A.)2014/2015)
Cybercrime:*inves8gazione*forense**
e*mi8gazione*(pt.*1)*
di)Luca)Savoldi)

SEMINARIO DI INFORMATICA FORENSE
Cybercrime:*inves8gazione*forense*e*mi8gazione*(pt.*1)*
di Luca Savoldi
Cosa è la computer Forensics?
*
*
La Computer Forensics, o informatica forense, è la disciplina che si
occupa dell’identificazione, della conservazione, dell’analisi e della
documentazione dei reperti informatici al fine di presentare prove digitali
valide in procedure civili e penali.
*
*
Una)primo)dis;nguo)è)che)l’analisi forense può essere eseguita:
-Live
-Post Mortem
*

di Luca Savoldi
Computer Forensics
Cosa è la Computer Forensics
Disciplina che si occupa:
•  dell'identificazione
•  dell’acquisizione
•  della preservazione
•  dello studio e analisi
•  della documentazione
delle memorie rilevate nei computer o sistemi informativi in
generale, al fine di evidenziare prove per scopi di indagine.

di Luca Savoldi
L’analisi live
Viene eseguita su dispositivi accesi.
Lo scopo principale è quello di cristallizzare lo stato delle
cose dal quale potrebbe emergere una flagranza di reato.
(Vedi lo scambio di codici di carte di credito, lo sharing di
file pedopornografici, accessi abusi a sistemi informatici
ecc.)

di Luca Savoldi
Analisi cosiddetta post-mortem è eseguita su dispositivi
spenti.
Attraverso la strumentazione hardware e software che l’ufficio
ha a disposizione si procede a:
! Acquisizione dei dati
! Analisi dei contenuti
! Ricostruzione degli eventi
! Raccolta e conservazione
delle fonti di prova
! Relazione
! Reperto
Analisi cosiddetta post-mortem è eseguita su dispositivi
spenti.
Attraverso la strumentazione hardware e software che
l’ufficio ha a disposizione si procede a:
 Acquisizione dei dati
 Analisi dei contenuti
 Ricostruzione degli eventi
 Raccolta e conservazione
delle fonti di prova
 Relazione
 Reperto
7
COMPUTER FORENSICSCOMPUTER FORENSICS

di Luca Savoldi
Cosa è la computer Forensics?
*
*
L’informatica forense contempla varie discipline:
•  Computer Forensics (acquisizione, trattamento ed analisi delle prove)
•  Network Forensics (Intercettazione ed analisi del traffico di rete);
•  Mobile Forensics
•  Esperimenti giudiziali virtuali
•  Prove digitali
•  Indagini informatiche
*

di Luca Savoldi
"Non c'è alcun ramo delle scienze
investigative così poco praticato,
eppure tanto importante, qual è l'arte
d'interpretare le orme"
Sherlock Holmes
“Se conosci te stesso e conosci il tuo
nemico, non dovrai mai temere la
sconfitta”
Sun Tzu - “L’arte della guerra”

CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
*
Regola*n.1*della*computer*forensics:*l’acquisizione*deve*essere*
RIPETIBILE*
*
•  Bisogna) congelare )il)dato)informa;co)ed)esaminare)
successivamente)una)copia)dell originale…)
•  Se)viene)commesso)un)errore)non)si)può)cliccare)sul)tasto)
annulla …)
)
")Ctrl)Z)Ctrl)Z)Ctrl)Z)")
(o)cmd)Z..))

di Luca Savoldi
EVITARE ASSOLUTAMENTE:
• FRETTA: vi farà perdere la concentrazione e agevolerà l errore umano
• STRUMENTI IMPROVVISATI e non collaudati
• STRESS
• Collaboratori agitati che non vedono l ora di accendere quel maledetto PC
• Di improvvisare, ovvero fare cose di cui non si ha padronanza assoluta

di Luca Savoldi
CyberCrime)
•  Esiste un vero e proprio mercato nero del cybercrime il cui
danno prodotto è stato stimato valere complessivamente
tra i trecento e i mille miliardi di dollari (1 trilione!!)
1.000.000.000.000$
•  Un impatto sul PIL mondiale che va dallo 0,4 all’1,4%
(Fonte Mcafee e CSIS ottobre 2013)

di Luca Savoldi
CyberCrime)
•  Il valore del CyberCrime ha superato (di molto) il valore del mercato della
droga
•  I motivi sono “semplici”:
•  Invisibilità:nessuno vede il crimine che compi; nessuno ti conosce. Se commetto una
rapina ci metto la faccia, rischio la vita; se commetto una frode su internet nessuno
mi vede, sono sulla mia poltrona di casa.
•  Intoccabilità: per gli stessi motivi di sopra, ho la sensazione di essere intoccabile in
quanto “non sono io”
•  Poco sforzo, tanta resa: una sola azione, migliaia o milioni di truffati. Se commetto
una truffa nel mondo reale la faccio “one to one”, su internet a milioni di persone.
•  Geoposizionamento: i criminali tendono a commettere azioni nei paesi/città vicine.
Su internet cambio continente senza alzarmi dalla poltrona.
•  Cooperazione world wide: facilità
di allestire una (ma anche più di
una) banda senza distinzione di
luogo e senza conoscersi
•  …

di Luca Savoldi
Ruoli del mercato nero
•  Un attacco di phishing riuscito comprende di solito una serie di attività
cui partecipano diverse persone, ognuna con un ruolo diverso.
•  Generalmente gli aggressori non dispongono di tutte le competenze
necessarie per svolgere tutte queste attività e devono quindi fare
affidamento l'uno sull'altro per coprire tutte le aree di specializzazione.
•  Fortunatamente, molti phisher non sembrano avere una preparazione
tecnica abbastanza avanzata per sfruttare le vulnerabilità del software
e introdursi nei sistemi, né molti di loro sembrano essere in grado di
automatizzare le proprie truffe mediante un sofisticato software bot o
altri programmi di utilità specializzati.
CyberCrime | L’organizzazione

di Luca Savoldi
CyberCrime)|)Black)Market)
Ruoli del mercato nero
• Alcuni dei diversi ruoli necessari per portare a compimento un attacco:
•  Spammer: responsabile dell'invio di e-mail di phishing al maggior numero di indirizzi di e-mail possibile.
•  Progettisti Web: responsabili della creazione di siti Web nocivi che assomigliano il più possibile a quelli
legittimi da emulare.
•  Exploiter: in genere aggressori dilettanti noti come "script kiddies", ragazzini degli script, i quali
identificano i computer vittima (chiamati "root") che saranno utilizzati per ospitare un sito di phishing o per
trasmettere i messaggi di spamming. In alcuni casi, gli exploiter si introducono direttamente nei database
di carte di credito per raccogliere i dati, saltando del tutto la fase di phishing.
•  Cassieri: responsabili del ritiro dei fondi da una carta di credito o da un conto bancario compromessi e
della trasformazione in denaro per conto del phisher.
•  Ricettatori: questi membri sono in grado di ricevere merci acquistate con i dati di carte di credito rubati
presso un punto di raccolta non rintracciabile.I beni acquistati con informazioni su carte di credito e conti
correnti bancari rubate sono considerati "carded" e i truffatori di questo tipo "carder”.

di Luca Savoldi
CyberCrime | Gestione del lavoro

di Luca Savoldi
CyberCrime)|)Black)Market)
Merci sul mercato nero
•  Phisher e truffatori commerciano in un'ampissima varietà di articoli. Di
seguito viene presentato un elenco parziale di articoli considerati di valore:
•  numeri di carte di credito: di solito, perché questi abbiano valore devono essere
accompagnati anche dai numeri CVV2 (numeri di 3-4 cifre sul retro della carta)
•  accesso root o amministrativo a server: server violati ai quali hanno accesso i
truffatori vengono utilizzati per ospitare i siti di phishing e sono normalmente chiamati
"root" dai partecipanti a questi forum e chat.
•  elenchi di indirizzi di e-mail: vengono utilizzati per pubblicità spamming o come
destinatari di una truffa di phishing.
•  conti di servizi di pagamento on-line, come e-gold. E-gold è popolare tra i truffatori
perché il denaro viene inviato immediatamente e non è generalmente
rintracciabile.
•  valuta contraffatta: il denaro contraffatto viene
stampato e inviato tramite posta ordinaria
•  conti bancari on-line.

di Luca Savoldi
Esempio)di)indagine)forense)per)
caso))cyber)crime)con)mi;gazione)
del)danno)
16)

di Luca Savoldi
17)

di Luca Savoldi
Prima)osservazione:)i)tempi)
18)
Invio mail possibile
truffa: 10/10/14 h.21.28
Intercettata e primo
allert : 11/10/14 h.08.40
con escalation immediato
Segnalazione per indagine:
11/10/14 h.08.56

di Luca Savoldi
19)
L’osservazione della cronologia degli eventi ci permette
di trarre due ipotesi:
•  Il processo di intercettazione della minaccia escalation
e apertura dell’incidente è stato esemplare ed
estremamente celere
•  L’incidente è ancora in corso e forse è ancora
possibile limitarne l’accadimento e/o mitigarne le
conseguenze.

di Luca Savoldi
20)
Quali sono le priorità per il richiedente?
(considerando che “la rapina” è in corso)
•  Bloccare l’azione criminale
•  Mitigarne gli effetti
•  Contenere il danno
•  Individuare le responsabilità (o meglio, verificare che non ci sia una
responsabilità propria)
•  Individuare il colpevole (o meglio, essere sicuri che non sia nessuno di
interno)
•  Documentare il tutto
•  Avvisare le forze dell’ordine
Quindi le priorità sono:
1)  velocità! (molta velocità)
2)  Bloccare l’azione (ma questo può portare a dover modificare gli elementi)
3)  Documentare il tutto e fare in modo che possa avere valore legale.

di Luca Savoldi
21)
Riguardiamo le regole della forensic:
1)  L’acquisizione deve essere RIPETIBILE
Ma qui per mitigare il rischio molto probabilmente dovremo modificare
qualcosa..
Da evitare Assolutamente:
• FRETTA
Noi abbiamo fretta, terribilmente fretta!
• STRUMENTI IMPROVVISATI e non collaudati
Non sappiamo cosa ci aspetta e se troviamo qualcosa di sconosciuto
non possiamo permetterci di aspettare di avere uno strumento che non
abbiamo; forse dovremmo inventarlo..

di Luca Savoldi
22)
• STRESS
Forse ne avremo un po’
• Di improvvisare, ovvero fare cose di cui non si ha padronanza assoluta
Eppure dobbiamo fare in modo che il nostro operato possa avere valore legale.
Se commettiamo un errore possiamo compromettere le prove.

di Luca Savoldi
23)
Partiamo.
•  Come prima cosa assegniamo un nome al caso
Caso AZPN4S7U4
• Durante l’attività saremo di frette e potremmo dover fare più
acquisizione live, quindi prepariamoci quello che serve e in particolare
prepariamo il repository dove metteremo i dati

di Luca Savoldi
24)
Diario delle attività
E’ molto importante documentare tutti i passaggi, anche per noi stessi (ci
ricorderemo tutto quello che abbiamo fatto? Lo sapremo documentare)
Ci sono 2 possibilità:
•  Registrare l’intera sessione: in questo caso possiamo o parlare durante le
attività specificando i passaggi principali, oppure utilizzare un generico file
Word
•  Fare screenshot di ogni passaggio o di ogni evidenza: annotare
comunque ogni passaggio.

di Luca Savoldi
Una)fase)del)
repertamento:))
)
•  Rilevazione)dello)scarto)
orario)dal)bios)del)
computer)analizzato:)
)
•  )Avere)sempre)un)
orologio)preciso)e)
sincronizzato)
•  )Accedete)al)bios)solo)
dopo)aver)scollegato)le)
memorie)di)massa)
)
)Fare)foto)o,)meglio,)riprendere)con)una)videocamera!)
L’importanza)del)TEMPO)

di Luca Savoldi
26)

di Luca Savoldi
27)
Errori di ortografia, italiano stentato, accenti mancanti, indirizzo mail
(mittente) improbabile, dati sociali errati.

di Luca Savoldi
28)
Errori di ortografia, italiano stentato, accenti mancanti, indirizzo mail
(mittente) improbabile, dati sociali errati.
http://ridavi.cl/alitalia/alitalia.html

di Luca Savoldi
29)
Cercare tracce della mail sul web
•  Ci può dare informazioni utili sul nostro caso
•  Ci può far capire quanto sia già diffusa (utenti che ne parlano)

di Luca Savoldi
30)
Per la distribuzione del
messaggio artefatto è stato
utilizzato anche il servizio
“NewsLetter on line”
Il portale dovrebbe essere
estraneo al caso, in ogni caso
alla luce anche di alcune
lacune dello stesso
(impossibilità di richiedere
l’eliminazione del contenuto,
italiano stentato, continua
apertura di popup con
contenuti malevoli e altro)
acquisiamo almeno la singola
pagina e il whois con i dati
dell’intestatario

di Luca Savoldi
31)
Analisi link alla pagina fake: http://ridavi.cl/alitalia/alitalia.html
Cosa è il sito ridavi.cl?
•  Ad una prima analisi
sembra il sito di un
impresa di costruzioni
cileno

di Luca Savoldi
32)
I dati inseriti nel whois
combaciano con i dati di
contatto contenuti nel sito

di Luca Savoldi
33)
Ulteriori ricerche
confermano la veridicità
dell’impresa e del sito
internet

di Luca Savoldi
34)
Da questa prima parte di analisi possiamo dedurre che la
pagina malevola è stata caricata su un portale
precedentemente violato dall’attaccante.
Il contenuto malevolo è stato caricato in una pagina
interna senza modificare la funzionalità del sito,
probabilmente per non destare sospetti nei gestori del
sito stesso.

di Luca Savoldi
35)
Analisi visiva della pagina
Si ricavano alcuni spunti:
•  La lingua è perfetta.
•  La grafica riprende
fedelmente la vecchia
grafica originale

di Luca Savoldi
36)
Analisi sorgente della pagina
Si nota abbastanza
chiaramente che il codice
sorgente è quello originale,
probabilmente salvato in
locale, modificato e
caricato su questo server
Si nota anche che molti
componenti vengono
caricati direttamente da un
sito originale

di Luca Savoldi
37)
Analisi sorgente della pagina
Identifichiamo una parte
sufficientemente particolare della
pagina e cerchiamola sul web

di Luca Savoldi
38)
Questa pagina ci sembra di
conoscerla.
E’ importante?

di Luca Savoldi
39)
Da questa parte di analisi emerge che l’attaccante ha
utilizzato una copia di una pagina di login originale in
disuso ma ancora attiva su una pagina secondaria del
sito.
Questa evidenza apre la possibilità ad una possibile
mitigazione d’emergenza, eliminando la pagina in
oggetto o, meglio, inserire l’avviso di possibile minaccia.

di Luca Savoldi
40)
Modificata: lol.php Originale: Login.aspx
Ora sappiamo che sul server ci sarà anche una pagina lol.php
Riusciamo a capire dove finiscono i dati inseriti?
Confrontiamo la pagina modificata con l’originale per identificare gli interventi
compiuti e cercare ulteriori tracce
Rileviamo che l’unica modifica è nell’action del form di login:

di Luca Savoldi
41)
Utilizziamo ancora il nostro assistente per ricercare se tracce sul web

di Luca Savoldi
42)
La condizione è la medesima, i file
vengono salvati su cars.txt
Pagina html che contiene il form
lol.php
cars.txt

di Luca Savoldi
43)
Le indicazioni per creare una perfetta pagina
di phishing per gli account Facebook.
Il concetto è lo stesso, salvare in locale la
pagine login.php, modificare l’action post con
il nostro lol.php che a sua volta salva i dati in
un file locale lol.txt.
Anche qui sul server violato ci saranno 3 file:
Login.html
lol.php (o hello.php)
lol.txt

di Luca Savoldi
44)
Molto simile, lol.php salva su
file locale data.txt
Pagina html che contiene il form
lol.php
data.txt

di Luca Savoldi
45)
Pagina html che contiene il
form
lol.php
data.txt
Login.html
lol.php (o hello.php)
lol.txt
Pagina html che contiene il
form
lol.php
cars.txt
Abbiamo (almeno) 3 risultati con situazioni comparabili, possiamo ipotizzare che
anche nel nostro caso sia utilizzata la stessa logica.
Quale sarà quello corretto?

di Luca Savoldi
Proviamo)ﬁnchè)non)troviamo)il)nome)corre_o)
46)
Con questo dato possiamo attivare
un’azione di mitigazione:
•  Monitorando e gestendo gli
account inseriti
•  Inserendo una grande quantità di
dati fittizi per “annacquare” i dati
reali (ma occhio all’ip)

di Luca Savoldi
47)
In un tempo limitato siamo riusciti a ricostruire “la scena
del crimine” ed ad acquisire elementi sufficienti per
attivare un piano di mitigazione degli effetti del crimine.
Ora dobbiamo acquisire la prova digitale.

di Luca Savoldi
Acquisizione del sito
48)
In questo caso eseguendo l’acquisizione live del sito può
essere complessa:
•  Il sito “ospitante” può non essere di interesse e
apportare materiale inutile
•  Usando le funzioni di crawler automatico probabilmente
“frizzeremo” il sito originale (perché richiamato nel
codice html)
•  Probabilmente non prenderemo la pagina users.txt che
invece di serve

di Luca Savoldi
49)
Dovremo quindi prelevare unicamente le pagine di
interesse:
•  Alitalia.html
•  users.txt
•  index.html

di Luca Savoldi
50)
Quale strumento utilizzare?
•  FAW (Windows)
•  HTTrack (Windows, Linux, OSX, Android)
•  SiteSucker
•  …

di Luca Savoldi
Chiusura
51)
Venerdi h 21.28: Invio di Mail di phishing
Sabato h 8.40: Alert per possibile minaccia
Sabato h 8.42: Escalation
Sabato h 8.46: Apertura Security Incident
Sabato h 8.50: Avvio Investigazione forense
Sabato h 10.50: Identificazione di tutte le componenti della minaccia
Sabato h 11.10: Acquisizione file users e mitigazione dell’attacco.
Sabato h 11.30: Acquisizioni finali e chiusura indagine

di Luca Savoldi
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o  Tu sei libero:
•  di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,
eseguire o recitare l'opera;
•  di modificare quest’opera;
•  Alle seguenti condizioni:
#  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o
da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi
avallino te o il modo in cui tu usi l’opera.
#  Non commerciale. Non puoi usare quest’opera per fini commerciali.
#  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o
equivalente a questa.
o  In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini
della licenza di quest’opera.
o  Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di
queste condizioni.
o  Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto
sopra
Licenza)

Cybercrime: investigazione forense e mitigazione (p.1)

Recommended

Recommended

More Related Content

Similar to Cybercrime: investigazione forense e mitigazione (p.1)

Similar to Cybercrime: investigazione forense e mitigazione (p.1) (20)

More from Massimo Farina

More from Massimo Farina (20)

Recently uploaded

Recently uploaded (17)

Cybercrime: investigazione forense e mitigazione (p.1)