Live forensics e Cloud Computing

1,720 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,720
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
78
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Live forensics e Cloud Computing

  1. 1. IISFA Italian Chapter I sequestri nell’età dell’informatica: dal mouse pad al cloud computing Milano, 06.02.2010 Chi sono Live Forensics Condizioni Best Practices Rootkit Tools Cloud Computing Cos’è Com’è Chi c’è Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  2. 2. IISFA Italian Chapter I sequestri nell’età Chi sono dell’informatica: dal mouse pad al cloud computing Davide ‘Rebus’ Gabrini Milano, 06.02.2010 Agente di Polizia Giudiziaria, in Chi sono forza alla Polizia delle Comunicazioni Live Forensics Condizioni Consulente tecnico e Perito forense Best Practices Docente di sicurezza informatica e computer forensics per Corsisoftware srl Rootkit Tools Cloud Computing Socio istituzionale IISFA Cos’è Com’è Come vedete non sono qui in divisa  Chi c’è Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  3. 3. IISFA Italian Chapter I sequestri nell’età dell’informatica: dal mouse pad al cloud computing Milano, 06.02.2010 Chi sono Live Forensics Condizioni Best Practices Rootkit Tools Cloud Computing Cos’è Com’è Chi c’è Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  4. 4. IISFA Italian Chapter I sequestri nell’età Analisi Live vs Post-mortem dell’informatica: dal mouse pad al cloud computing Accade spesso, in sede di perquisizione, Milano, 06.02.2010 di rinvenire sistemi accesi Chi sono Si è davanti ad una scelta: Live Forensics Condizioni Spegnerli subito per procedere ad acquisizione Best Practices e analisi post-mortem Rootkit Tools Eseguire rilievi mentre sono in esecuzione Cloud Computing Cos’è Entrambe le scelte hanno pro e contro, Com’è dipendenti anche da: Chi c’è Cybercrime Competenza del personale impiegato Indagini Strumentazione a disposizione Contatti Perdita di dati e loro rilevanza Davide Gabrini Forensics Jedi
  5. 5. IISFA Italian Chapter I sequestri nell’età Necessità di interventi live dell’informatica: dal mouse pad al cloud computing Con lo spegnimento, alcuni dati Milano, 06.02.2010 sono definitivamente persi: Chi sono Live Forensics memorie volatili Condizioni stato di rete, sistema, applicazioni ecc. Best Practices Rootkit chat in corso, cronologia di una shell… Tools eventi in corso che non prevedono log Cloud Computing Cos’è volumi cifrati (BitLocker, FileVault, Com’è Chi c’è TrueCrypt, PGDisk, BestCrypt ecc. ecc.) Cybercrime Per acquisire queste informazioni è Indagini Contatti indispensabile interagire col sistema, Davide Gabrini anche se ciò significa perturbarlo Forensics Jedi
  6. 6. IISFA Italian Chapter I sequestri nell’età Necessità di interventi live dell’informatica: dal mouse pad al cloud computing Se il sistema è in esecuzione, qualsiasi Milano, 06.02.2010 azione lo modificherà Chi sono tanto vale intraprendere azioni utili… Live Forensics Se il sistema non è fisicamente rimovibile Condizioni Best Practices Se il sistema non può essere spento Rootkit Se il sistema non può essere acquisito Tools Cloud Computing nella sua interezza Cos’è Se le informazioni volatili possono essere Com’è Chi c’è rilevanti ai fini dell'indagine Cybercrime Se è in esecuzione una distribuzione live… Indagini Contatti Davide Gabrini Forensics Jedi
  7. 7. IISFA Italian Chapter I sequestri nell’età Invasività dell’informatica: dal mouse pad al cloud computing Il sistema viene sicuramente perturbato Milano, 06.02.2010 le modifiche sono note? Chi sono Live Forensics sono documentabili? Condizioni Best Practices intaccano significativamente il risultato Rootkit dell'analisi? Tools Cloud Computing ogni modifica distrugge qualcosa Cos’è ne vale la pena? Com’è Chi c’è Cybercrime Gli accertamenti svolti su sistemi Indagini accesi non saranno ripetibili Contatti Davide Gabrini Forensics Jedi
  8. 8. IISFA Italian Chapter I sequestri nell’età Live forensics best practices dell’informatica: dal mouse pad al L'intervento dell'utente deve essere ridotto al minimo cloud computing Milano, 06.02.2010 Ogni azione deve essere indispensabile e meno invasiva possibile Chi sono Le modifiche ai dati memorizzati staticamente devono essere Live Forensics ridotte all'inevitabile Condizioni Best Practices Le acquisizioni hanno priorità secondo l'ordine di volatilità Rootkit Ogni azione intrapresa deve essere scrupolosamente Tools verbalizzata, con gli opportuni riferimenti temporali Cloud Computing Gli strumenti utilizzati devono essere fidati, il più possibile Cos’è indipendenti dal sistema e impiegare il minimo delle risorse; Com’è non devono produrre alterazioni né ai dati né ai metadati Chi c’è Cybercrime I dati estratti vanno sottoposti ad hash e duplicati prima di Indagini procedere all'analisi Contatti I dati che non sono volatili devono preferibilmente essere acquisiti secondo metodologia tradizionale Davide Gabrini Forensics Jedi
  9. 9. IISFA Italian Chapter I sequestri nell’età Live forensics best practices dell’informatica: dal mouse pad al cloud computing E’ necessario comprendere le azioni che si Milano, 06.02.2010 stanno per compiere e le loro conseguenze Chi sono Richiedere se necessario l’intervento di Live Forensics personale specializzato Condizioni Best Practices E’ consigliabile attenersi agli obiettivi Rootkit Tools dell’indagine, evitando divagazioni Cloud Computing Quando si può scegliere tra acquisire e Cos’è Com’è analizzare, prima si acquisisce, poi si Chi c’è analizza, non il contrario! Cybercrime Indagini La live forensics non dovrebbe Contatti sostituirsi all'analisi post-mortem, ma Davide Gabrini Forensics Jedi esserne complementare
  10. 10. IISFA Italian Chapter I sequestri nell’età Nemici delle live forensics dell’informatica: dal mouse pad al cloud computing Rootkit Milano, 06.02.2010 user space (ring 3) Chi sono Live Forensics kernel space (ring 0) Condizioni hardware hypervisors (ring -1) Best Practices Rootkit SMM: System Management Mode (ring -2) Tools Cloud Computing E' arduo riuscire a rilevarli Cos’è Com’è Possono rilevare l'azione dei tool forensi Chi c’è Cybercrime Possono alterare i risultati di un tool Indagini forense, p.e. impedendo l'acquisizione di Contatti un'evidence Davide Gabrini Forensics Jedi Rendono necessaria l'analisi post-mortem
  11. 11. IISFA Italian Chapter I sequestri nell’età Strumenti automatizzati dell’informatica: dal mouse pad al cloud computing Per eseguire rilievi in maniera rapida e precisa, è Milano, 06.02.2010 possibile avvalersi di specifici tool: Chi sono WFT: Windows Forensic Toolchest Live Forensics FRU: First Responder Utility Condizioni Best Practices IRCR2: Incident Response Collection Report Rootkit Tools COFEE: Computer Online Forensic Evidence Extractor Cloud Computing MIR-ROR, RAPIER, Live Response, Drive Prophet… Cos’è Com’è Opportunamente configurati ed impiegati, possono Chi c’è coprire le esigenze di e-discovery, incident response, Cybercrime triage e forensics. Indagini Contatti Davide Gabrini Forensics Jedi
  12. 12. IISFA Italian Chapter I sequestri nell’età dell’informatica: dal mouse pad al cloud computing Milano, 06.02.2010 Chi sono Live Forensics Condizioni Best Practices Rootkit Tools Cloud Computing Cos’è Com’è Chi c’è Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  13. 13. IISFA Italian Chapter I sequestri nell’età Cloud Computing dell’informatica: dal mouse pad al cloud computing Il termine cloud computing indica un insieme di Milano, 06.02.2010 risorse hardware e software distribuite e remotamente accessibili e usabili Chi sono Live Forensics Il cloud computing è indicato da molti analisti Condizioni come “the next big thing” Best Practices Non si basa su nuove tecnologie, ma su un nuovo Rootkit Tools paradigma Cloud Computing Cos’è Com’è Chi c’è Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  14. 14. IISFA Italian Chapter I sequestri nell’età Cloud Computing dell’informatica: dal mouse pad al cloud computing La tendenza è quella di Milano, 06.02.2010 rendere le risorse ubique Gli usi sono molteplici: Chi sono Live Forensics E-mail Condizioni Best Practices Database Rootkit Storage on-line Tools Project Management Cloud Computing Cos’è Snail Mail Com’è Voicemail Chi c’è Cybercrime e molto altro… Indagini Contatti Tutte cose che esistono da tempo, ma per cui sta cambiando rapidamente l’offerta da parte degli ISP Davide Gabrini Forensics Jedi
  15. 15. IISFA Italian Chapter I sequestri nell’età Esempi di servizi in Cloud dell’informatica: dal mouse pad al cloud computing Storage e altri servizi Milano, 06.02.2010 SkyDrive, Gdrive, Amazon S3… Chi sono PayPal, Google Maps, Flickr, Youtube… Live Forensics Condizioni Applicazioni (SaaS: Software as a Service) Best Practices Webmail, Google Docs, Windows Live, Photoshop, Rootkit Meebo, Spoon… Tools Cloud Computing Piattaforme (PaaS: Platform as a Service) Cos’è Windows Azure, Facebook, Amazon Web Services, Com’è Chi c’è ajaxWindows, GlideOS… Cybercrime eyeOS, gOS, Chrome OS, JoliCloud… Indagini Contatti Infrastrutture (IaaS: Infrastructure as a Service) Amazon EC2, GoGrid, ElasticHost… Davide Gabrini Forensics Jedi
  16. 16. IISFA Italian Chapter I sequestri nell’età Cloud Computing dell’informatica: dal mouse pad al cloud computing L'interesse commerciale delle aziende è Milano, 06.02.2010 condiviso anche dalla criminalità Chi sono Live Forensics Il cloud computing può essere Condizioni impiegato, più o meno intenzionalmente, Best Practices Rootkit come strategia di anti-forensics Tools Cloud Computing Può permettere di defilarsi e di Cos’è Com’è confondere, complicare, ostacolare, Chi c’è ritardare e persino bloccare le indagini Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  17. 17. IISFA Italian Chapter I sequestri nell’età Cloud computing e cybercrime dell’informatica: dal mouse pad al cloud computing Milano, 06.02.2010 D’altro canto, una botnet non è forse Chi sono una grande cloud clandestina? Live Forensics Condizioni Best Practices Rootkit Tools Cloud Computing Cos’è Com’è Chi c’è Cybercrime Indagini Contatti Davide Gabrini Forensics Jedi
  18. 18. IISFA Italian Chapter I sequestri nell’età Cloud Computing dell’informatica: dal mouse pad al cloud computing Le risorse usate per crimini Milano, 06.02.2010 informatici possono essere allocate Chi sono Live Forensics remotamente, anche al di fuori dei Condizioni confini nazionali Best Practices Rootkit Non solo lo storage, ma anche le Tools Cloud Computing risorse computazionali! Interi sistemi possono essere allocati Cos’è Com’è Chi c’è Cybercrime dinamicamente, utilizzati e deallocati Indagini Contatti Le possibilità di analisi vengono così drasticamente ridotte Davide Gabrini Forensics Jedi
  19. 19. IISFA Italian Chapter I sequestri nell’età Cloud Computing e forensics dell’informatica: dal mouse pad al cloud computing L'approccio tradizionale che prevede Milano, 06.02.2010 perquisizione-sequestro-analisi è vanificato Chi sono Già l'identificazione potrebbe essere problematica: Live Forensics cosa si trova dove? Condizioni Le risorse sono probabilmente distribuite su Best Practices Rootkit diversi sistemi, di diversi provider, in diversi paesi… Tools limiti giurisdizionali Cloud Computing Cos’è scarsa armonizzazione delle norme in materia Com’è mancanza di accordi internazionali Chi c’è Cybercrime scarsa collaborazione delle autorità locali Indagini Contatti ritardi burocratici problemi di data-retention Davide Gabrini Forensics Jedi
  20. 20. IISFA Italian Chapter I sequestri nell’età Cloud computing e acquisizioni dell’informatica: dal mouse pad al cloud computing Informazioni di interesse investigativo Milano, 06.02.2010 possono essere ricercate: Lato server: acquisizione presso i Chi sono Live Forensics Condizioni Best Practices provider di dati giacenti, log, dati di Rootkit registrazione… Tools Cloud Computing Lato client: artefatti dei browser e di altre eventuali applicazioni client Cos’è Com’è In transito: intercettazione delle Chi c’è Cybercrime Indagini Contatti comunicazioni tra utente e cloud (sempre che non siano cifrate) Davide Gabrini Forensics Jedi
  21. 21. IISFA Italian Chapter I sequestri nell’età Cloud Computing e forensics dell’informatica: dal mouse pad al cloud computing Anche soluzioni per l'analisi forense Milano, 06.02.2010 possono venire dalle nuvole  Chi sono Disporre di una workstation di analisi Live Forensics Condizioni virtualizzata nella stessa cloud potrebbe Best Practices rivelarsi vantaggioso Rootkit Tools Al momento del bisogno, si potrebbero Cloud Computing allocare "elasticamente" in cloud le risorse Cos’è Com’è necessarie all'analisi Chi c’è Cybercrime E' una strategia utile per le aziende, ma Indagini difficilmente proponibile per le FF.OO., Contatti per ovvi problemi di riservatezza Davide Gabrini Forensics Jedi
  22. 22. IISFA Italian Chapter I sequestri nell’età Contatti dell’informatica: dal mouse pad al cloud computing Davide Rebus Gabrini Milano, 06.02.2010 e-mail: Chi sono rebus@mensa.it Live Forensics davide.gabrini@poliziadistato.it Condizioni Best Practices GPG Public Key: (available on keyserver.linux.it) Rootkit www.tipiloschi.net/rebus.asc Tools www.tipiloschi.net/davidegabrini.asc Cloud Computing KeyID: 0x176560F7 Cos’è Com’è Instant Messaging: Chi c’è MSN therebus@hotmail.com Cybercrime ICQ 115159498 Indagini Yahoo! therebus Skype therebus Contatti Davide Gabrini Queste e altre simili faccende su http://www.tipiloschi.net Forensics Jedi

×