Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano           Chi sono
    Facoltà di
 Giurisprudenza
                   Davide ‘Rebus’ Gabri...
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano                       Anti-forensics
    Facoltà di
 Giurisprudenza
                     ...
Università degli
Studi di Milano                  Anti-forensics Mitigation
    Facoltà di
 Giurisprudenza
               ...
Università degli
Studi di Milano                Anti-forensics Mitigation
    Facoltà di
 Giurisprudenza
                 ...
Università degli
Studi di Milano      Un esempio didattico: Microsoft COFEE
    Facoltà di
 Giurisprudenza

    Milano,
  ...
Università degli
Studi di Milano                COFEE vs DECAF
    Facoltà di
 Giurisprudenza

    Milano,
               ...
Università degli
Studi di Milano         DECAF Lockdown Mode features
    Facoltà di
 Giurisprudenza    Spoof MAC addresse...
Università degli
Studi di Milano                       Anti-forensics
    Facoltà di
 Giurisprudenza
                   Le...
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano                       Distruzione
                   La distruzione delle tracce informat...
Università degli
Studi di Milano                            Distruzione
                   Contromisure
    Facoltà di
 Gi...
Università degli
Studi di Milano                      Distruzione
                   Contromisure
    Facoltà di
 Giurispr...
Università degli
Studi di Milano                         Distruzione
                   Hardware self-destruct Trigger
   ...
Università degli
Studi di Milano                        Distruzione
                     Uno strumento più alla portata
  ...
Università degli
Studi di Milano                       Distruzione
                   Contromisure
    Facoltà di
 Giurisp...
Università degli
Studi di Milano                     Distruzione
                      Absolute Software offre un
    Faco...
Università degli
Studi di Milano                      Distruzione
                      Ensconce Data Technology ha un
   ...
Università degli
Studi di Milano                  Distruzione
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010



...
Università degli
Studi di Milano                    Distruzione
                   Il primo evidente problema della
    Fa...
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano                    Occultamento
                   E' una strategia paragonabile
    Faco...
Università degli
Studi di Milano                 Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
                ...
Università degli
Studi di Milano               Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
                  ...
Università degli
Studi di Milano              Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
                   ...
Università degli
Studi di Milano    Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi s...
Università degli
Studi di Milano    Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi s...
Università degli
Studi di Milano    Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi s...
Università degli
Studi di Milano                     Occultamento
                   Microsoft Mobile Memory Mouse 8000, u...
Università degli
Studi di Milano                         Occultamento
                     La motherboard Asus P5E3 Deluxe...
Università degli
Studi di Milano               Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
                  ...
Università degli
Studi di Milano                        Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
         ...
Università degli
Studi di Milano    Occultamento
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi s...
Università degli
Studi di Milano                         Occultamento
                   Esistono poi tanti metodi logici…...
Università degli
Studi di Milano                                Occultamento
                   Inoltre, il posto migliore...
Università degli
Studi di Milano                    Occultamento
                   Storage device subvertion
    Facoltà ...
Università degli
Studi di Milano                     Occultamento
                     Storage device subvertion
    Facol...
Università degli
Studi di Milano                            Occultamento
                       Host Protected Area
    Fa...
Università degli
Studi di Milano                          Occultamento
                       Disc Configuration Overlay
 ...
Università degli
Studi di Milano                    Occultamento
                   Contromisure
    Facoltà di
 Giurispru...
Università degli
Studi di Milano                        Occultamento

                      Crittografia
    Facoltà di
 G...
Università degli
Studi di Milano                            Occultamento
                   Contromisure:
    Facoltà di
 ...
Università degli
Studi di Milano                    Occultamento
                     Rootkit
    Facoltà di
 Giurispruden...
Università degli
Studi di Milano                  Occultamento
                   Contromisure:
    Facoltà di
 Giurisprud...
Università degli
Studi di Milano                        Occultamento
                     Breaking forensic tool
    Facol...
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano                          Falsificazione
                   E' come lasciare intenzionalme...
Università degli
Studi di Milano                     Falsificazione
                   Furti d’identità
    Facoltà di
 Gi...
Università degli
Studi di Milano                       Falsificazione
    Facoltà di
 Giurisprudenza

    Milano,
  04.02....
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano                    Prevenire alla fonte
    Facoltà di
 Giurisprudenza
                  ...
Università degli
Studi di Milano

    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Chi sono

  Anti-for...
Università degli
Studi di Milano        Cloud Computing = anti-forensics?
                   Il cloud computing può essere...
Università degli
Studi di Milano                   Cloud Computing
                     Il termine cloud computing indica ...
Università degli
Studi di Milano    Cloud Computing
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010




       Ch...
Università degli
Studi di Milano          Esempi di servizi in Cloud
                   Storage
    Facoltà di
 Giurisprud...
Università degli
Studi di Milano                Cloud Computing
                      Le risorse usate per crimini
    Fac...
Università degli
Studi di Milano    Cloud computing e cybercrime
    Facoltà di
 Giurisprudenza

    Milano,
  04.02.2010
...
Università degli
Studi di Milano            Cloud Computing e forensics
                     L'approccio tradizionale che ...
Università degli
Studi di Milano          Cloud Computing e forensics 
    Facoltà di
 Giurisprudenza

    Milano,
      ...
Università degli
Studi di Milano                       Conclusioni
    Facoltà di
 Giurisprudenza

    Milano,
           ...
Università degli
Studi di Milano                           Contatti
    Facoltà di

                   Davide Rebus Gabrin...
Upcoming SlideShare
Loading in...5
×

2010 02-04 uni-mi_antiforensicmitigation

716

Published on

Lezione per il Corso di Perfezionamento in computer forensics e investigazioni digitali presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
716
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
38
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2010 02-04 uni-mi_antiforensicmitigation

  1. 1. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  2. 2. Università degli Studi di Milano Chi sono Facoltà di Giurisprudenza Davide ‘Rebus’ Gabrini Milano, 04.02.2010 Per chi lavoro non è un mistero. Oltre a ciò: Chi sono Consulente tecnico e Perito forense Anti-forensics Distruzione Docente di sicurezza informatica e Occultamento computer forensics per Corsisoftware srl Falsificazione Come vedete non sono qui in divisa  Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  3. 3. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  4. 4. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  5. 5. Università degli Studi di Milano Anti-forensics Facoltà di Giurisprudenza Non ci crederete, ma c’è Milano, 04.02.2010 gente che ha cose da nascondere! ;-) Chi sono Anti-forensics La conoscenza approfondita Distruzione degli strumenti e delle Occultamento procedure adottate dagli Falsificazione analisti forensi permette di Prevenzione individuarne le debolezze e Cloud Computing studiare delle contromisure Contatti preventive per intralciare, vanificare o peggio ancora sviare l’analisi, riducendo quantità e qualità delle informazioni disponibili Davide Gabrini Forensics Jedi
  6. 6. Università degli Studi di Milano Anti-forensics Mitigation Facoltà di Giurisprudenza … da qui la necessità di Milano, 04.02.2010 studiare strategie e contromisure per contenere l’impatto dell’utilizzo di Chi sono tecniche di anti-forensics Anti-forensics Distruzione Sfida aperta tra l'analista e Occultamento quello che chiameremo Falsificazione l'antagonista Prevenzione Cloud Computing Le strategie o gli strumenti qui indicati come contromisure non Contatti possono annullare le tecniche di anti-forensic, ma tentano di salvare il salvabile Davide Gabrini Forensics Jedi
  7. 7. Università degli Studi di Milano Anti-forensics Mitigation Facoltà di Giurisprudenza Svantaggi per l'analista Milano, 04.02.2010 Arriva a misfatto compiuto Tempo limitato Chi sono e fiato sul collo Anti-forensics Non ancora del tutto Distruzione onniscente ;-) Occultamento Spesso succube d'un solo Falsificazione tool o dell'automazione Prevenzione I tool che usa possono Cloud Computing soffrire di bug o Contatti implementazioni carenti Le sue procedure tendono ad essere codificate Davide Gabrini Forensics Jedi
  8. 8. Università degli Studi di Milano Un esempio didattico: Microsoft COFEE Facoltà di Giurisprudenza Milano, Famigerato tool forense rilasciato da 04.02.2010 Microsoft, gratuito per le FF.OO. Chi sono Installato su pendrive, consente di acquisire dati dai Anti-forensics Distruzione Occultamento sistemi a cui viene collegato Falsificazione Prevenzione Tanto hype per un prodotto sì utile, Cloud Computing ma certo non innovativo Contatti Tanta pubblicità e tanta "segretezza" non hanno fatto che attirare attenzione Davide Gabrini Forensics Jedi
  9. 9. Università degli Studi di Milano COFEE vs DECAF Facoltà di Giurisprudenza Milano, 30.11.2009: avvistata una vecchia release di COFEE in the wild; 04.02.2010 Chi sono Anti-forensics 15.12.2009: pubblicato DECAF, tool Distruzione gratuito dichiaratamente antagonista. Occultamento Falsificazione L'approccio Security by obscurity Prevenzione Cloud Computing fallisce per l’ennesima volta… Contatti Il problema è nella mancanza di segretezza o nella rigidità dei metodi? Davide Gabrini Forensics Jedi
  10. 10. Università degli Studi di Milano DECAF Lockdown Mode features Facoltà di Giurisprudenza Spoof MAC addresses of network adapters Kill Processes: Quick shutdown of running processes Milano, 04.02.2010 Shutdown Computer: On the fly machine power down Chi sono Disable network adapters Anti-forensics Distruzione Disable USB ports Occultamento Disable Floppy drive Falsificazione Disable CD-ROM Prevenzione Disable Serial/Printer Ports Cloud Computing Contatti Quick file/folder removal (Basic Windows delete) Remove logs from the Event Viewer Removes Azureus and BitTorrent clients Remove cookies, cache, and history Davide Gabrini Forensics Jedi
  11. 11. Università degli Studi di Milano Anti-forensics Facoltà di Giurisprudenza Le tecniche sono classificabili in 4 categorie principali: Milano, 04.02.2010 Chi sono Distruzione Anti-forensics Distruzione Occultamento Falsificazione Occultamento Prevenzione Cloud Computing Contatti Falsificazione Contraccezione Davide Gabrini Forensics Jedi
  12. 12. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  13. 13. Università degli Studi di Milano Distruzione La distruzione delle tracce informatiche è Facoltà di Giurisprudenza Milano, 04.02.2010 paragonabile alla cancellazione delle impronte digitali dall'arma del delitto Chi sono Anti-forensics Cancellazione file con metodi comuni Distruzione Wiping di file, partizioni, device Occultamento Falsificazione In questi scenari, le tracce sono state prodotte Prevenzione Cloud Computing e hanno avuto un certo periodo di vita. Contatti Se ora non sono reperibili, occorre trovare dei "testimoni" della loro esistenza. Davide Gabrini Forensics Jedi
  14. 14. Università degli Studi di Milano Distruzione Contromisure Facoltà di Giurisprudenza Milano, 04.02.2010 Anzitutto i tool non sempre fanno ciò che dicono… Recupero file cancellati tramite analisi dei metadati Chi sono del filesystem Anti-forensics File carving Distruzione Foremost, Scalpel, photorec… ReviveIt… Occultamento Analisi delle fonti alternative Falsificazione La distruzione di tracce può generare altre tracce Prevenzione Cloud Computing File di swap, cache, file temporanei, ibernazione… Contatti Log, registri di eventi, dati recenti, database… Backup! Spesso è determinante il fattore tempo! Davide Gabrini Forensics Jedi
  15. 15. Università degli Studi di Milano Distruzione Contromisure Facoltà di Giurisprudenza "Ma mi ha detto mio cuggino che una Milano, 04.02.2010 sola passata di wiping non basta!" Gli studi esistono: Chi sono Anti-forensics Distruzione STM (Scanning Tunneling Microscopy) Occultamento SPM (Scanning Probe Microscopy) Falsificazione MFM (Magnetic Forse Microscopy) Prevenzione Cloud Computing AFM (Atomic Force Microscopy) Contatti Si basano sull'isteresi dei livelli di magnetizzazione e sul disallineamento delle tracce Eppure non si ha notizia di laboratori civili che offrano questi servizi… Davide Gabrini Forensics Jedi
  16. 16. Università degli Studi di Milano Distruzione Hardware self-destruct Trigger Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti C’è chi è arrivato a costruirsi un degausser casareccio… Ovviamente però esistono altri metodi meno appariscenti per Davide Gabrini Forensics Jedi comandare procedure di autodistruzione anche da remoto
  17. 17. Università degli Studi di Milano Distruzione Uno strumento più alla portata Facoltà di Giurisprudenza Milano, 04.02.2010 è SecureTrayUtil Chi sono Supporta diversi sistemi Anti-forensics Distruzione On-The-Fly Encryption (OTFE) Occultamento Consente di configurare hotkey per Falsificazione Prevenzione montare o smontare partizioni cifrate Cloud Computing Esegue il wiping con diversi trigger Contatti Hotkey, Serial switch, connessioni TCP autenticate Prende precauzioni paranoiche Wiping parallelo, pulizia registro, orologio di sistema… Davide Gabrini Forensics Jedi
  18. 18. Università degli Studi di Milano Distruzione Contromisure Facoltà di Giurisprudenza Milano, 04.02.2010 Intervenire con tempestività! Isolare la scena del crimine Chi sono sia fisicamente che logicamente Anti-forensics Acquisire le memorie volatili Distruzione Individuare e acquisire eventuali Occultamento volumi cifrati montati Falsificazione L'ordine di priorità delle operazioni va deciso Prevenzione in ragione del contesto Cloud Computing Possono essere d'aiuto tool di raccolta delle Contatti informazioni automatizzati Spegnere gli apparati solo quando assolutamente certi di poterlo fare Davide Gabrini Diffidare delle procedure di spegnimento comuni Forensics Jedi
  19. 19. Università degli Studi di Milano Distruzione Absolute Software offre un Facoltà di Giurisprudenza servizio chiamato Computrace Milano, 04.02.2010 Chi sono Permette al cliente di chiamare una Anti-forensics hotline e richiedere il wiping da Distruzione remoto Occultamento di un computer rubato Falsificazione Prevenzione Può funzionare solo se questo si Cloud Computing connette ad Internet… Contatti Con appositi software, si può attivare l’autodistruzione di PDA e smartphone tramite SMS (remotePROTECT, SMS Kill Pill...) Davide Gabrini Forensics Jedi
  20. 20. Università degli Studi di Milano Distruzione Ensconce Data Technology ha un Facoltà di Giurisprudenza Milano, 04.02.2010 brevetto di “dead on demand" per hard disk Si può configurare l’autodistruzione combinando Chi sono diversi trigger: Anti-forensics Distruzione tentativi di rimozione Occultamento forzatura fisica Falsificazione coordinate GPS Prevenzione chiamate cellulari Cloud Computing cambiamento di temperatura Contatti ecc. ecc. Viene rilasciato all’interno del drive un composto chimico che distrugge la superficie del disco Davide Gabrini Forensics Jedi
  21. 21. Università degli Studi di Milano Distruzione Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Altri sistemi bloccano o sovrascrivono Contatti un device dopo un certo numero di tentativi di accesso falliti Davide Gabrini Forensics Jedi
  22. 22. Università degli Studi di Milano Distruzione Il primo evidente problema della Facoltà di Giurisprudenza distruzione di dati è ovviamente la Milano, 04.02.2010 perdita irreversibile di informazioni Chi sono Anti-forensics anche per l'antagonista! Distruzione Occultamento Falsificazione Se si tratta di informazioni che gli sono Prevenzione utili, cercherà di distuggerle solo se Cloud Computing costretto e il più tardi possibile. Contatti Altrimenti cercherà di occultarle Davide Gabrini Forensics Jedi
  23. 23. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  24. 24. Università degli Studi di Milano Occultamento E' una strategia paragonabile Facoltà di Giurisprudenza Milano, 04.02.2010 all’occultamento dell’arma del delitto, o del corpo del reato (ad esempio la refurtiva) Chi sono Anti-forensics Distruzione Nascondere i dati, anziché Occultamento Falsificazione distruggerli, permette di Prevenzione mantenerne la disponibilità Cloud Computing Le tecniche e gli strumenti sono Contatti numerosi e possono essere applicati in combinazione Davide Gabrini Forensics Jedi
  25. 25. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, La prima fase di un'indagine 04.02.2010 digitale, l'identificazione, è anche Chi sono la prima a poter essere attaccata Anti-forensics Distruzione Se l'evidence non viene individuata, Occultamento non sarà né acquisita né analizzata Falsificazione Prevenzione L'occultamento può avvenire a livello Cloud Computing logico, ma anche con metodi molto più Contatti tradizionali… Davide Gabrini Forensics Jedi
  26. 26. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, Dimensioni ridotte 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  27. 27. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, Aspetto ingannevole 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  28. 28. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  29. 29. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  30. 30. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  31. 31. Università degli Studi di Milano Occultamento Microsoft Mobile Memory Mouse 8000, un Facoltà di Giurisprudenza Milano, 04.02.2010 nuovo mouse wireless che intergra moduli di memoria flash per un quantitativo pari a 1GB. Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Che si fa, si torna a sequestrare i mouse? ;-) Davide Gabrini Forensics Jedi
  32. 32. Università degli Studi di Milano Occultamento La motherboard Asus P5E3 Deluxe Facoltà di Giurisprudenza Milano, 04.02.2010 integra un s.o. Linux con interfaccia grafica, Firefox e Skype Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Qualcuno diceva che basta sequestrare gli hard-disk? Davide Gabrini Forensics Jedi
  33. 33. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, Le console per giochi sono veri PC… 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  34. 34. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, …e i media center pure! 04.02.2010 I lettori DVD Kiss, per esempio, possono avere: Chi sono •Hard disk interno da 200 GB Anti-forensics •USB 2.0 Distruzione •Porta Ethernet Occultamento •Collegamento WiFi Falsificazione •Sistema operativo Linux Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  35. 35. Università degli Studi di Milano Occultamento Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  36. 36. Università degli Studi di Milano Occultamento Esistono poi tanti metodi logici… Facoltà di Giurisprudenza Milano, 04.02.2010 Data Encapsulation Codifiche alternative Chi sono Alterazioni dei file Anti-forensics Modifica estensione (pare incredibile…) Distruzione Alterazioni header (transmogrify) Occultamento Packing eseguibili Falsificazione Alterazioni hash (known bad) Prevenzione Modifica bit non significativi; append di dati; conversioni Cloud Computing di formato; ridimensionamento , ricampionamento , Contatti ricompilazione… Per i well known good, generazione di collisioni Possibile, certo, ma non così banale… Davide Gabrini Forensics Jedi
  37. 37. Università degli Studi di Milano Occultamento Inoltre, il posto migliore dove Facoltà di Giurisprudenza Milano, 04.02.2010 nascondere un albero è una foresta! Chi sono iduzione segnale/rumore Anti-forensics Inserimento di falsi positivi Distruzione Inserimento di elementi di disturbo Occultamento Incremento di tempo e costi per l’analisi Falsificazione Contromisure Prevenzione Cloud Computing viluppo di motori di scansione più potenti (analisi statistica, pattern matching, fuzzy signature…) Contatti ool specifici per l’analisi degli eseguibili sare i database di hash con cognizione Non confidare nelle black list, usare più algoritmi Davide Gabrini Forensics Jedi
  38. 38. Università degli Studi di Milano Occultamento Storage device subvertion Facoltà di Giurisprudenza Alternate Data Stream (NTFS) Milano, 04.02.2010 Uso degli spazi di Slack Chi sono Unix filesystem: Anti-forensics Rune fs (bad blocks, oltre 4GB) Distruzione Occultamento Waffen fs (journal, ext2, 32MB) Falsificazione KY fs (null directory, illimitato) Prevenzione Data mule fs (reserved space, padding) Cloud Computing NTFS: Frag FS (slack MFT) e altre possibilità… Contatti Manipolazione delle tabelle delle partizioni Data injection Disallineamento Saturazione Davide Gabrini Forensics Jedi
  39. 39. Università degli Studi di Milano Occultamento Storage device subvertion Facoltà di Giurisprudenza Manipolazioni a basso livello dei device Milano, 04.02.2010 HPA: Host Protected Area Chi sono DCO: Disc Configuration Overlay Anti-forensics Distruzione Bad sector a basso livello: Occultamento P-List: Primary Defect List Falsificazione G-List: Grown Defect List Prevenzione SA: System Area (firmware) Cloud Computing Iniezione di dati nelle memorie flash dei Contatti dispositivi hardware Impatto devastante se sono stati sequestrati soltanto i dischi! Davide Gabrini Forensics Jedi
  40. 40. Università degli Studi di Milano Occultamento Host Protected Area Facoltà di Giurisprudenza Area del disco non accessibile dal S.O. Milano, 04.02.2010 Usata per informazioni di ripristino Chi sono Non visibile dal BIOS Anti-forensics Distruzione Invisibile a certi tool forensi Occultamento Linux la rileva e la disabilita  Falsificazione Utilizzabile quindi per nascondere dati Prevenzione 0 90GB 100GB Cloud Computing Area visibile HPA Contatti Contromisure: Confronto parametri IDENTIFY_ADDRESS READ_NATIVE_MAX_ADDRESS (tramite comandi ATA) Utilizzo di software in grado di rilevare HPA Davide Gabrini Forensics Jedi p.e. disk_stat e disk_sreset in Sleuth Kit
  41. 41. Università degli Studi di Milano Occultamento Disc Configuration Overlay Facoltà di Giurisprudenza Milano, 04.02.2010 Modifica il limite READ_NATIVE_MAX_ADDRESS Ancor più invisibile ai comuni SW Chi sono Alcuni tool forensi la rilevano Anti-forensics Distruzione Linux ancora no  Occultamento Utilizzabile per nascondere dati Falsificazione 0 80GB 90GB 100GB Prevenzione Cloud Computing Area visibile HPA DCO Contatti Contromisure: Verifica parametri READ_NATIVE_MAX_ADDRESS e DEVICE_CONFIGURATION_IDENTIFY Utilizzo di software in grado di rilevare DCO Davide Gabrini p.e. HDAT2 o TAFT – The ATA Forensic Tool Forensics Jedi
  42. 42. Università degli Studi di Milano Occultamento Contromisure Facoltà di Giurisprudenza Milano, 04.02.2010 Attenzione agli spazi di memoria meno sfruttati Chi sono Non permettere ad un solo tool forense Anti-forensics di fare tutto il lavoro Distruzione Occultamento Verifica dei parametri hardware Falsificazione anche con i valori indicati sulle etichette o nella documentazione del produttore Prevenzione Cloud Computing Spesso sono utili gli stessi tool usati Contatti dell’antagonista (p.e. HDAT2) Analisi statistica degli slack space per riconoscere pattern inusuali (good luck…) Davide Gabrini Forensics Jedi
  43. 43. Università degli Studi di Milano Occultamento Crittografia Facoltà di Giurisprudenza Milano, 04.02.2010 (imbarazzo della scelta…) Chi sono Steganografia Anti-forensics (Least Significant Bit, color reduction, noise… Distruzione spazi ridondanti, commenti, alignment space…) Occultamento Falsificazione Plausible deniability Prevenzione (Quando è impossibile determinare se si è in presenza di un Cloud Computing documento crittografato oppure no) Contatti Ovvero la bestia nera d’ogni analista… Davide Gabrini Forensics Jedi
  44. 44. Università degli Studi di Milano Occultamento Contromisure: Facoltà di Giurisprudenza Milano, 04.02.2010 Analisi live quando possibile Rilevamento e acquisizione volumi cifrati montati Chi sono Rilevamento footprint di software "antagonisti" Anti-forensics (StegDetect, Outguess, Stego Suite, SAFDB…) Distruzione Occultamento Test entropici (FTK) Falsificazione Verifica di conformità agli standard Prevenzione (p.e. out-of-range values) Cloud Computing Sfruttamento di vulnerabilità dei software Contatti Feature nascoste / backdoor / bug / errori di progettazione Attacchi a dizionario Brute force Rubber-hose? ;-) Davide Gabrini Forensics Jedi
  45. 45. Università degli Studi di Milano Occultamento Rootkit Facoltà di Giurisprudenza Milano, user space (ring 3) 04.02.2010 Chi sono kernel space (ring 0) Anti-forensics Distruzione VM based Occultamento Falsificazione Efficaci solo nel corso di analisi live Prevenzione Cloud Computing Possono rilevare l'azione dei tool forensi Contatti Possono alterare i risultati di un tool forense, p.e. impedendo l'acquisizione di un'evidence Davide Gabrini Forensics Jedi
  46. 46. Università degli Studi di Milano Occultamento Contromisure: Facoltà di Giurisprudenza Milano, 04.02.2010 Acquisizione delle memorie volatili Chi sono Cattura dell'eventuale traffico di rete Anti-forensics Distruzione Acquisizione degli storage device Occultamento “post mortem” Falsificazione Scansioni AV / Rootkit revealer Prevenzione Cloud Computing Riproduzione dello scenario in ambiente Contatti protetto (sandbox o virtual machine) che ne consenta lo studio dall'esterno Davide Gabrini Forensics Jedi
  47. 47. Università degli Studi di Milano Occultamento Breaking forensic tool Facoltà di Giurisprudenza Milano, 04.02.2010 Certi attacchi sono direttamente mirati a sovvertire il funzionamento di specifici tool forensi Chi sono Anti-forensics Negli anni, sono stati resi noti attacchi utilizzabili Distruzione sia verso strumenti commerciali, come Encase, Occultamento che verso strumenti open source Falsificazione Prevenzione Il pay-load andava dal DoS fino all'esecuzione di Cloud Computing codice arbitrario ("Exploitare la macchina dell'analista Contatti è una voluttà da fine gourmet" ) Contromisure: Variegare gli strumenti utilizzati Non dipendere da un solo tool o dall’automazione Davide Gabrini Forensics Jedi
  48. 48. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  49. 49. Università degli Studi di Milano Falsificazione E' come lasciare intenzionalmente sul luogo Facoltà di Giurisprudenza Milano, 04.02.2010 del delitto tracce depistanti Alterazioni timestamp (attributi MACE) Chi sono Cancellazione Anti-forensics Sovrascrittura Distruzione Random Occultamento Mirata Falsificazione Contromisure Prevenzione Verifica attributo Entry modified (NTFS) Cloud Computing Confronto con altri attributi Contatti Standard Information Attributes ↔ FileName (NTFS) Verifica MAC interni ai documenti Esistenza di link, chiavi di registro, log… Analisi della timeline correlata con altri eventi continui, anche rilevati da sistemi esterni Davide Gabrini Forensics Jedi
  50. 50. Università degli Studi di Milano Falsificazione Furti d’identità Facoltà di Giurisprudenza Milano, 04.02.2010 Furto di credenziali Utilizzo di macchine zombie Chi sono Furto di connettività Anti-forensics Qualcuno ha pensato WiFi? ;-) Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  51. 51. Università degli Studi di Milano Falsificazione Facoltà di Giurisprudenza Milano, 04.02.2010 Falsi indizi / prove contraffatte Alterazione dei log Chi sono Inserimenti fittizi Anti-forensics Inserimenti malformati Distruzione Occultamento Flooding Falsificazione Prevenzione Contromisure: Cloud Computing Attenta interpolazione di quante più fonti possibile Contatti Confronto con dati esterni al sistema compromesso Davide Gabrini Forensics Jedi
  52. 52. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  53. 53. Università degli Studi di Milano Prevenire alla fonte Facoltà di Giurisprudenza E' come indossare dei guanti prima di Milano, 04.02.2010 impugnare la pistola: meglio non lasciare impronte, anziché doverle poi cancellare… Chi sono Disattivazione funzioni di auditing Anti-forensics Bypass degli eventi rilevati Distruzione Esecuzione malware in RAM Occultamento Memory injection (Meterpreter) Falsificazione Process puppeteering Prevenzione Inibizione swapping Cloud Computing rexec Contatti Contromisure: Dump delle memorie volatili Attenta interpolazione di più fonti possibile Confronto con dati esterni al sistema Davide Gabrini Forensics Jedi
  54. 54. Università degli Studi di Milano Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  55. 55. Università degli Studi di Milano Cloud Computing = anti-forensics? Il cloud computing può essere Facoltà di Giurisprudenza Milano, 04.02.2010 impiegato, più o meno Chi sono intenzionalmente, come strategia di Anti-forensics depistaggio Può permettere di defilarsi e di Distruzione Occultamento Falsificazione confondere, complicare, ostacolare, Prevenzione Cloud Computing ritardare e persino bloccare le indagini Contatti Non si tratta di una nuova tecnologia, ma di un nuovo paradigma Davide Gabrini Forensics Jedi
  56. 56. Università degli Studi di Milano Cloud Computing Il termine cloud computing indica un Facoltà di Giurisprudenza Milano, 04.02.2010 insieme di risorse hardware e software distribuite e remotamente accessibili e usabili Chi sono Il cloud computing è indicato da molti analisti Anti-forensics come “the next big thing” Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  57. 57. Università degli Studi di Milano Cloud Computing Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  58. 58. Università degli Studi di Milano Esempi di servizi in Cloud Storage Facoltà di Giurisprudenza Milano, 04.02.2010 SkyDrive, Gdrive, Amazon S3… Chi sono Applicazioni Anti-forensics Webmail, Google Docs, Windows Live, Photoshop, Meebo, Spoon… Distruzione Occultamento Falsificazione Piattaforme Prevenzione Cloud Computing Windows Azure, Facebook, Amazon Web Contatti Services, ajaxWindows, GlideOS… eyeOS, gOS, Chrome OS, JoliCloud… Infrastrutture Davide Gabrini Amazon EC2, GoGrid, ElasticHost… Forensics Jedi
  59. 59. Università degli Studi di Milano Cloud Computing Le risorse usate per crimini Facoltà di Giurisprudenza Milano, 04.02.2010 informatici possono essere allocate Chi sono remotamente Anti-forensics Distruzione Non solo lo storage, ma anche le Occultamento risorse computazionali! Falsificazione Prevenzione Interi sistemi possono essere allocati Cloud Computing dinamicamente, utilizzati e deallocati Le possibilità di analisi vengono così Contatti drasticamente ridotte Davide Gabrini Forensics Jedi
  60. 60. Università degli Studi di Milano Cloud computing e cybercrime Facoltà di Giurisprudenza Milano, 04.02.2010 Chi sono Anti-forensics Distruzione Occultamento Falsificazione Prevenzione Cloud Computing Contatti Davide Gabrini Forensics Jedi
  61. 61. Università degli Studi di Milano Cloud Computing e forensics L'approccio tradizionale che prevede Facoltà di Giurisprudenza Milano, 04.02.2010 perquisizione-sequestro-analisi è vanificato Già l'identificazione potrebbe essere Chi sono problematica: cosa si trova dove? Anti-forensics Distruzione Le risorse sono probabilmente distribuite su Occultamento diversi sistemi, di diversi provider, in diversi Falsificazione paesi… Prevenzione limiti giurisdizionali Cloud Computing scarsa armonizzazione delle norme in materia Contatti mancanza di accordi internazionali scarsa collaborazione delle autorità locali ritardi burocratici Davide Gabrini Forensics Jedi problemi di data-retention
  62. 62. Università degli Studi di Milano Cloud Computing e forensics  Facoltà di Giurisprudenza Milano, Nel corso di un'analisi, potrebbe 04.02.2010 esser problematico stabilire chi ha avuto Chi sono accesso a quale risorsa… Anti-forensics Tuttavia anche soluzioni per l'analisi Distruzione forense possono venire dalle nuvole ;-) Avere una workstation di analisi Occultamento Falsificazione Prevenzione virtualizzata nella stessa cloud potrebbe Cloud Computing rivelarsi una saggia precauzione Contatti Altre risorse potrebbero essere allocate "elasticamente" al momento del bisogno Il tutto però comporta problemi di Davide Gabrini Forensics Jedi sicurezza e di riservatezza non trascurabili
  63. 63. Università degli Studi di Milano Conclusioni Facoltà di Giurisprudenza Milano, Le procedure di Computer Forensics sono 04.02.2010 vulnerabili nell’hardware Chi sono Anti-forensics nel software Distruzione nel wetware Occultamento Quelle di anti-forensics pure  Falsificazione Prevenzione Cloud Computing L’analista ha bisogno di tempo Contatti per l’analisi per la formazione Nessun software fa il lavoro di un investigatore Davide Gabrini Forensics Jedi
  64. 64. Università degli Studi di Milano Contatti Facoltà di Davide Rebus Gabrini Giurisprudenza Milano, 04.02.2010 e-mail: rebus@mensa.it Chi sono davide.gabrini@poliziadistato.it Anti-forensics GPG Public Key: (available on keyserver.linux.it) Distruzione www.tipiloschi.net/rebus.asc Occultamento KeyID: 0x176560F7 Falsificazione Queste e altre cazzate su www.tipiloschi.net Prevenzione Cloud Computing Contatti <vendor> Piaciuto? Ne volete ancora? A Milano il 23, 24 e 25 febbraio Corso intensivo IISFA (www.iisfa.it) di Computer e Mobile Forensics Davide Gabrini Forensics Jedi </vendor>
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×