Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

483 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
483
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

  1. 1. Marco GiorgiPalazzo di Giustizia di Torino30 marzo 2012
  2. 2.  Post mortem (Dopo lo spegnimento del sistema)◦ Si smonta il dispositivo e lo si collega ad un PC dedicato allacquisizione On the fly (Direttamente sul sistema posto ad analisi)◦ Nel caso di sistemi RAID lacquisizione "al volo" è quasi obbligatoria Su network◦ Sia nel caso di acquisizione post mortem, sia nel caso di acquisizioneon the fly è possibile salvare loutput direttamente durante la fase diacquisizione in altri PC o dischi della LAN appositamente configurati◦ Gli strumenti utilizzati sono◦ netcat◦ ssh30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 2
  3. 3.  Individuazione del device da acquisire Essere certi di avere accesso in sola lettura al device Calcolo hash del device Acquisizione del device con creazione hash Verifica degli hash calcolati Copia su un altro supporto dell’immagine acquisita conrelativa verifica hash30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 3
  4. 4.  Gruppo di continuità◦ Tutti i sistemi ed i dispositivi utilizzati per lacquisizione vannocollegati ad un gruppo di continuità Write blocker hardware◦ Un write blocker è un dispositivo hardware che viene collegatoal disco da acquisire in modo da bloccarne laccesso inscrittura◦ Possibilmente deve essere certificato dal Dipartimento dellaGiustizia U.S.A. Adattatori di ogni genere o almeno quelli più comuni◦ SATA, IDE, SAS, Firewire, USB Tanto spazio su hard disk locale o su rete (PC dedicato oNAS) per memorizzare i dati acquisiti30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 4
  5. 5. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 5
  6. 6. A causa delle limitazioni fisiche del supporto di destinazione(es. backup su DVD) oppure per motivi di compatibilità difilesystem (es. FAT32, nel caso in cui più periti debbanolavorare con sistemi eterogenei), l’immagine deve essere divisain file più piccoli.E’ possibile dividerla direttamente in fase di acquisizioneutilizzando il comando split.30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 6#dd if=/dev/sda | split -d -b 4500m - image.split.Nel caso dellutilizzo di tool di acquisizione più evoluti (es. dcfldd,ewfaquire, aimage, guymager) è possibile dividere le immagininativamente senza l’uso di altri tools.
  7. 7.  Garantisce che la copia del device sia inalterata ed identicaalloriginale Si utilizzano funzioni hash Gli algoritmi più utilizzati sono MD5 e SHA-1, ma neesistono altri E possibile ripetere la verifica sulle copie forensi o suisupporti originali in qualsiasi momento per dimostrare chei dati non sono stati alterati30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 7
  8. 8.  Lalgoritmo restituisce una stringa di numeri e lettere(detto digest) a partire da un qualsiasi flusso di bit diqualsiasi dimensione finita La stringa di output è univoca per ogni documentoidentificandolo. Perciò, lalgoritmo è utilizzabile per lafirma digitale La lunghezza del digest varia a seconda degli algoritmiutilizzati Lalgoritmo non è invertibile, cioè non si può ricavare lasequenza di bit in ingresso a partire dal digest30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 8
  9. 9.  MD5 (RFC 1321)Prende in input una stringa di lunghezza arbitraria e neproduce in output unaltra a 128 bit (con lunghezza fissadi 32 valori esadecimali, indipendentemente dalla stringadi input) SHA-1 (RFC 3174)Prende in input una stringa di lunghezza arbitraria e neproduce in output unaltra a 160 bit (con lunghezza fissadi 40 valori esadecimali, indipendentemente dalla stringadi input)30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 9
  10. 10.  Quando due sequenze di bit differenti generano lo stessohash si parla di collisione La qualità di una funzione di hash è misurata direttamentein base alla difficoltà nellindividuare due testi chegenerino una collisione Si è riusciti a generare una collisione negli algoritmiHAVAL, RIPEMD, MD2, MD4, MD5 e SHA-1 dimostrandoche non sono sicuri30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 10
  11. 11. Per ovviare a problemi di collisione si devono: Usare algoritmi più sofisticati (ma spesso la leggeconsidera validi solo alcuni algoritmi) Validare i risultati con due algoritmi diversi◦ Impossibile generare una collisione per entrambi gli hashcontemporaneamente30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 11
  12. 12. Per verificare l’integrità di un’immagine è possibile procederein diversi modi:30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 12#afinfo –v image.aff# md5sum image.dd # sha1sum image.dd#ewfverify image.E01RAW:EWF:AFF:E’ possibile verificare l’hash delle immagini anche con Dhashimportando il file contenente l’hash da verificare e indicandoil file immagine o il device
  13. 13. Fare sempre un’ulteriore copia dell’immagine acquisita everificarne lintegrità30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 13
  14. 14. I formati di acquisizione più utilizzati sono: RAW EWF (Expert Witness Compression) AFF (Advanced Forensics Format)30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 14
  15. 15. RAW Copia bit a bit del device da acquisire Nessuna compressione E supportato da tutti i tools di analisi forense Non supporta i metadati allinterno dellimmagine30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 15
  16. 16. EWF (Expert Witness Compression) Standard de facto per le analisi forensi E supportato dai software di analisi open source (Autopsy, PyFlag) E supportato dai software commerciali (EnCase, Ftk, ecc...) E possibile includere metadati (anche se in modo limitato)nellimmagine acquisita:◦ Data/ora acquisizione◦ Nome esaminatore◦ Note extra◦ Password◦ Hash MD5 dellintera immagine Supporta la compressione dellimmagine Ricerca allinterno dellimmagine acquisita Immagini divisibili e "montabili" al volo Formato proprietario (la compatibilità è ottenuta tramite il reverseengineering) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 16
  17. 17. AFF (Advanced Forensics Format) E supportato dai software open source Supporta la compressione dellimmagine Supporta la cifratura dellimmagine Dimensione immagine illimitata (non è necessario splittare) Immagini divisibili E possibile includere un numero illimitato di metadati (anchein un file xml separato) Formato open source 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 17
  18. 18. Riga di comando◦ dd◦ dcfldd◦ dc3dd◦ ddrescue◦ dd_rescue◦ ewfaquire◦ aimage◦ cyClone30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 18GUI◦ dhash◦ guymager
  19. 19. dd è il padre di tutti i tools di acquisizione, consente diacquisire i dati bit a bit in formato raw.Nativamente non supporta la compressione dei dati, ma èpossibile comprimere il data stream tramite l’uso delle pipe.#dd if=/dev/sda - | bzip2 > /mnt/image.dd.bz230 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 19
  20. 20.  Evoluzione di dd Permette di riversare il contenuto di un discodirettamente su di un’altro Permette lacquisizione di memorie di massa chepresentano errori durante laccesso a determinati settoridel disco impostando su zero i bit non leggibili Durante l’acquisizione della memoria lapplicazionefornisce aggiornamenti su quanti byte sono stati letti escritti, quanti errori di lettura sono stati riscontrati e lavelocità di acquisizione calcolata per byte/s.30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 20
  21. 21.  Evoluzione di dd Non è legato allo sviluppo di ddrescue Non salta semplicemente il blocco danneggiato, ma tentadi leggerlo ricorrendo a tecniche diverse (es. variandodinamicamente la lunghezza dei blocchi) Durante l’acquisizione della memoria lapplicazionefornisce informazioni sullo stato delle operazioni correnti.30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 21
  22. 22. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 22dcfldd è una versione avanzata di dd sviluppata dalDipartimento della Difesa degli U.S.A. Calcolo al volo degli hash (MD5, SHA-1) dell’immagine Indicatore di avanzamento sui dati acquisiti Output simultaneo su più file (o dischi) Output divisibile in più file Log
  23. 23. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 23# dd if=/dev/sda of=image.dd# dcfldd if=/dev/sda hash=md5,sha256 md5log=image.md5sha256log=image.sha256 of=/mnt/image.dd Su rete Locale#dd if=/dev/sda - | ssh user@192.168.1.20 “cat > /mnt/img/image.dd”#nc -l -p 2525 | dd of=/mnt/store/image.dd#dd if=/dev/sda bs=512 | nc $ip_server 2525ServerClient
  24. 24. Wizard per l’acquisizione guidata che permette di effettuarel’acquisizione delle immagini rispondendo a semplicidomande visualizzate a video Acquisizione in diversi formati(raw, ewf, aff) Compressione (ewf, aff) Calcolo hash Log30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 24
  25. 25. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 25 Acquisizione in formato raw (dd) Consente compressione (bz2) Calcolo hash◦ MD5◦ SHA-1◦ SFV Calcolo del tempo residuo di acquisizione 10% più veloce nel calcolo degli hash rispetto a gli altri tools Log
  26. 26. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 26
  27. 27. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 27
  28. 28. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 28 Acquisizione in diversi formati:◦ raw◦ ewf◦ aff Calcolo hash:◦ MD5◦ SHA-256 Inserimento metadati per formato ewf Split per formato ewf Utile nel caso in cui si debba fare più di un’acquisizionecontemporaneamente Personalizzabile tramite file di configurazione Log
  29. 29. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 29
  30. 30. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 30
  31. 31. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 31
  32. 32. blackmoon.105@gmail.com30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 32Marco Giorgi

×