DARTCreative Commons Attribuzione-Non opere derivate 2.5Dott. Stefano FratepietroDott. Massimiliano Dal CeroNext generatio...
Incident ResponseUn incidente informatico è un eventoidentificato su un determinato sistemainformatico che possa ledere all...
First responderFirst responder• E’ il soggetto che arriva per primo sullascena del crimine e che accederà perprimo al sist...
First responder• Identifica gli oggetti coinvolti• Protegge la scena del crimine da eventuali alterazionidovute da attività...
First responderJoint special operation universityhttps://jsou.socom.mil/Pages/Default.aspxhttps://jsou.socom.mil/Pages/200...
Tante soluzioni masparse e poco note• Mancanza di uno strumentopersonalizzabile senza l’obbligo diricompilare codice sorge...
IR pronto all’usoDART• Controllo dell’integrità dell’applicativoprima dell’avvio• Alto livello di personalizzazione• Appli...
DARTObjectPascal (Delphi) Open SourceCreazione di binari puri (no FW)Linguaggio multi piattaformavenerdì 6 aprile 2012
DARTDirectory Treevenerdì 6 aprile 2012
DARTXML Confvenerdì 6 aprile 2012
DARTXML Confvenerdì 6 aprile 2012
DARTXML Conf (empty)venerdì 6 aprile 2012
DARTAUDIT LOGvenerdì 6 aprile 2012
DART - Potenzialità• Acquisizione memorie di massa• Dump memoria ram• Calcolo di hash• Analisi processi• Analisi traffico d...
Esempio Caso D’usoavvio smartSniff e indago su attività anomale di retevenerdì 6 aprile 2012
Esempio Caso D’usoindago sulle socket aperte e il relativi processivenerdì 6 aprile 2012
Esempio Caso D’usoanalizzo il processovenerdì 6 aprile 2012
Esempio Caso D’usoanalizzo le dll associate al processovenerdì 6 aprile 2012
Controllo degli hashdei file di interesseCalcoliamo l’hash del file sperando di trovarequalcuno che abbia la stessa release ...
Grazie per lʼattenzione.Dott. Stefano Fratepietrostefano@deftlinux.netsteve.deftlinux.netTwitter: stevedeftDomande?Dott. M...
Upcoming SlideShare
Loading in …5
×

DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

370 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
370
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

  1. 1. DARTCreative Commons Attribuzione-Non opere derivate 2.5Dott. Stefano FratepietroDott. Massimiliano Dal CeroNext generation IR tooldeftcon 2012Maxi aula 1 - Palazzo di Giustizia di Torinovenerdì 6 aprile 2012
  2. 2. Incident ResponseUn incidente informatico è un eventoidentificato su un determinato sistemainformatico che possa ledere alla stabilità ealla sicurezza del sistema stesso.• L’evento può essere accertato o presunto• Segnalato da un utente o dai sistemi dimonitoraggiovenerdì 6 aprile 2012
  3. 3. First responderFirst responder• E’ il soggetto che arriva per primo sullascena del crimine e che accederà perprimo al sistema oggetto di indagine• E’ responsabile dell’analisi e dellapreservazione dell’originalità del datovenerdì 6 aprile 2012
  4. 4. First responder• Identifica gli oggetti coinvolti• Protegge la scena del crimine da eventuali alterazionidovute da attività invasive dei propri colleghi• Raccoglie tutte le informazioni, digitali e non, utili alcaso• Crea una relazione di first response con le attivitàsvolte• Appone, ove necessario, gli opportuni sigilli perevitare alterazioni futurevenerdì 6 aprile 2012
  5. 5. First responderJoint special operation universityhttps://jsou.socom.mil/Pages/Default.aspxhttps://jsou.socom.mil/Pages/2009JSOUPublications.aspxvenerdì 6 aprile 2012
  6. 6. Tante soluzioni masparse e poco note• Mancanza di uno strumentopersonalizzabile senza l’obbligo diricompilare codice sorgente• Assenza di raccolte di applicativi ottimizzatiper attività di Incident Response• Assenza di strumenti di controllodell’integrità dei propri applicativi in temporealevenerdì 6 aprile 2012
  7. 7. IR pronto all’usoDART• Controllo dell’integrità dell’applicativoprima dell’avvio• Alto livello di personalizzazione• Applicativi, liberamente re-distribuibili perlicenza d’uso, per eseguire attività di IR eLive Forensics• Binari dei principali sistemi operativiWindows, Linux e OS Xvenerdì 6 aprile 2012
  8. 8. DARTObjectPascal (Delphi) Open SourceCreazione di binari puri (no FW)Linguaggio multi piattaformavenerdì 6 aprile 2012
  9. 9. DARTDirectory Treevenerdì 6 aprile 2012
  10. 10. DARTXML Confvenerdì 6 aprile 2012
  11. 11. DARTXML Confvenerdì 6 aprile 2012
  12. 12. DARTXML Conf (empty)venerdì 6 aprile 2012
  13. 13. DARTAUDIT LOGvenerdì 6 aprile 2012
  14. 14. DART - Potenzialità• Acquisizione memorie di massa• Dump memoria ram• Calcolo di hash• Analisi processi• Analisi traffico di rete• Analisi registro di Windows• Antimalware e Antirootkit• Time line degli eventi del sistema• Analisi navigazione Internet e posta elettronica• Password crackingE molto altro...venerdì 6 aprile 2012
  15. 15. Esempio Caso D’usoavvio smartSniff e indago su attività anomale di retevenerdì 6 aprile 2012
  16. 16. Esempio Caso D’usoindago sulle socket aperte e il relativi processivenerdì 6 aprile 2012
  17. 17. Esempio Caso D’usoanalizzo il processovenerdì 6 aprile 2012
  18. 18. Esempio Caso D’usoanalizzo le dll associate al processovenerdì 6 aprile 2012
  19. 19. Controllo degli hashdei file di interesseCalcoliamo l’hash del file sperando di trovarequalcuno che abbia la stessa release e verificare?http://www.nsrl.nist.govThe National Software Reference Library (NSRL)Si se ho pochi sistemi... in alternativa:19venerdì 6 aprile 2012
  20. 20. Grazie per lʼattenzione.Dott. Stefano Fratepietrostefano@deftlinux.netsteve.deftlinux.netTwitter: stevedeftDomande?Dott. Massimiliano Dal Ceromassimiliano@deftlinux.netTwitter: yattamaxvenerdì 6 aprile 2012

×