Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo

1,249 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,249
On SlideShare
0
From Embeds
0
Number of Embeds
33
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo

    1. 1. CONSULENTE INFORMATICO Marco Signorelli [email_address] 19 Settembre 2008 Ordine degli Avvocati di Bergamo Auditorium del Collegio Sant’Alessandro
    2. 2. Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete telematica. <ul><li>Alcuni software di sniffing: </li></ul><ul><li>CommView (a pagamento) </li></ul><ul><li>Ethereal (free) </li></ul><ul><li>WireShark (free) </li></ul>Packet Sniffer
    3. 3. La comunicazione viene spezzettata in tanti pezzi Packet Sniffer
    4. 4. From: 66.76.230.140 To: 213.44.56.72 Ogni pezzo viene identificato come “pacchetto” Il pacchetto contiene informazioni essenziali per la ricostruzione della comunicazione (Mittente, Destinatario ...) Protocol: FTP Part: 1 of 3 La catena di custodia
    5. 5. I pacchetti vengono inviati attraverso la rete Rimandami il pacchetto 2! grazie Eccolo di nuovo ... ! Può capitare che qualche pacchetto vada perso durante la trasmissione MITTENTE DESTINATARIO Packet Sniffer
    6. 6. Non sempre i pacchetti arrivano in ordine Quindi il client destinatario deve riordinarli Packet Sniffer – l’ordine dei pacchetti
    7. 7. L’utilizzo di programmi di sniffing per la lettura dei pacchetti Programmi di sniffing
    8. 8. CommView – L’interfaccia IP del mittente (locale) Packet Sniffer - CommView
    9. 9. CommView – L’interfaccia L’IP del destinatario (remoto) Packet Sniffer - CommView
    10. 10. CommView – L’interfaccia Numero di pacchetti ricevuti Packet Sniffer - CommView
    11. 11. Numero di pacchetti inviati CommView – L’interfaccia Packet Sniffer - CommView
    12. 12. Direzione della trasmissione (IN / OUT) CommView – L’interfaccia Packet Sniffer - CommView
    13. 13. Numero delle sessioni TCP/IP attive CommView – L’interfaccia Packet Sniffer - CommView
    14. 14. Porte utilizzate per la trasmissione CommView – L’interfaccia Packet Sniffer - CommView
    15. 15. Hostname del computer remoto CommView – L’interfaccia Packet Sniffer - CommView
    16. 16. Numero di bytes trasmessi per la comunicazione CommView – L’interfaccia Packet Sniffer - CommView
    17. 17. Packet Sniffer – CommView, un esempio di applicazione outgoing incoming Selezione del pacchetto Direzione della comunicazione
    18. 18. Raw packet details (hexadecimal/plain text) Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    19. 19. Dettaglio pacchetto Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    20. 20. Packet Sniffer – CommView, un esempio di applicazione Java applet – ricerca dell’URL sul quale sono ospitati i file
    21. 21. Inizia la cattura Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    22. 22. Cattura iniziata Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    23. 23. Inizia il download Packet Sniffer – CommView, un esempio di applicazione Ricorda il nome file
    24. 24. Stop c attura Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    25. 25. Ricerca nome file Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    26. 26. http://128.242.207.175/stoniotheman/50cent/50cent-04.zib Trovato l’URL Packet Sniffer – CommView, un esempio di applicazione outgoing incoming
    27. 27. Perquisizione, ricerca e cautelazione degli elementi di prova <ul><li>Perquisizione: analisi ambientale </li></ul><ul><li>Individuazione delle evidenze di interesse investigativo </li></ul><ul><li>Stabilire se è pertinente, nel qual caso: </li></ul><ul><li>È un PC? È in funzione? </li></ul><ul><li>In caso affermativo: </li></ul><ul><li>Verifica della flagranza </li></ul><ul><li>Idoneo spegnimento </li></ul><ul><li>Verifica di eventuali supporti </li></ul><ul><li>Esecuzione del hashing sul supporto ( MD5, SHA1 etc) </li></ul><ul><li>SEQUESTRO </li></ul>
    28. 28. Computer Forensics – la definizione Computer Forensics La Computer forensics è la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa.
    29. 29. I dispositivi hardware – system forensic Sono interi sistemi, computer/server, dedicati alla computer forensics. Sono caratterizzati da consistenti volumi di archiviazione (storage), ridondanza elettrica per garantire la continuità dell’attività anche in caso di black-out o improvvisi abbassamenti di tensione, grande memoria RAM oltre che a sistemi multiprocessore per garantire una maggiore velocità di calcolo e una serie di periferiche (r/w) per la lettura dei più svariati supporti di massa. System forensic
    30. 30. I dispositivi hardware – write blocker Write blocker Sono strumenti portatili che permettono di leggere i più svariati supporti di massa preservandone il contenuto. In pratica non permettono la modifica / la scrittura accidentale . Vengono posizionati (solitamente attraverso interfaccia USB) tra il computer utilizzato per l’analisi e il supporto oggetto di analisi.
    31. 31. Creazione dell’immagine forense – bit stream image <ul><li>l’immagine forense è una esatta copia bit per bit del supporto di massa originale. Questa include anche tutti i file cancellati oltre allo spazio non allocato </li></ul><ul><li>quella definita semplicemente copia oppure mirror image non è il termine più adatto a descrivere l’immagine forense </li></ul><ul><li>Cosa bisogna sapere </li></ul><ul><li>Quando chiedete una immagine, assicuratevi di conoscere quello che state chiedendo </li></ul><ul><li>Un’immagine Ghost non è una immagine forense (a meno che non venga espressamente richiesto al programma la cosidetta forensic Ghost image, altrimenti potrebbe non esserlo) </li></ul><ul><li>Un’immagine potrebbe non essere una completa immagine forense così come una copia </li></ul><ul><li>Per sicurezza richiedere esplicitamente una IMMAGINE FORENSE, in questo modo si evitano possibili incomprensioni </li></ul>L’immagine forense:
    32. 32. Creazione dell’immagine forense – bit stream image <ul><li>In un mondo ideale </li></ul><ul><ul><li>La prova informatica (supporto di massa) deve essere protetto da scrittura (mediante l’utilizzo di apposito hardware o software) </li></ul></ul><ul><ul><li>Il supporto di massa di destinazione dove essere pulito mediante procedura di Wipe </li></ul></ul><ul><ul><li>Utilizzo di procedure di boot forensic mediante CD live (helix) </li></ul></ul><ul><li>Nel mondo reale </li></ul><ul><ul><li>utilizzo diretto delle macchine (personal computer) contenenti le prove del reato </li></ul></ul><ul><ul><li>non si utilizzano sistemi di write blocker per l’analisi delle prove </li></ul></ul><ul><ul><li>utilizzo di software write blocker </li></ul></ul><ul><ul><li>i write blocker non vengono applicati a tutti i supporti di massa riscontrati (caso delle Usb-pen) </li></ul></ul>La creazione dell’immagine forense:
    33. 33. La creazione dell’immagine forense – un metodo rischioso Disco destinazione per l’immagine forense Macchina sospetta Forensic boot CD Con write blocker software
    34. 34. La creazione dell’immagine forense – un buon metodo Disco destinazione per l’immagine forense Forensic system Forensic boot CD Con write blocker software Disco sorgente fonte di prova
    35. 35. La creazione dell’immagine forense – un ottimo metodo Disco destinazione per l’immagine forense Forensic system Disco sorgente fonte di prova Write blocker
    36. 36. Hashing – la firma digitale nelle prove informatiche Nel linguaggio scientifico, l' hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di &quot;impronta digitale&quot; del testo in chiaro, e viene detta valore di hash , checksum crittografico o message digest . In informatica, la funzione di trasformazione che genera l'hash opera sui bit di un file qualsiasi, restituendo una stringa di bit di lunghezza predefinita. Spesso il nome della funzione di hash include il numero di bit che questa genera: ad esempio, SHA-256 genera una stringa di 256 bit. Fonte: wikipedia Hash:
    37. 37. La catena di custodia E’ importante considerare: - la prova informatica deve essere sempre accompagnata da un sistema per garantire l’inalterabilità della stessa nel corso dell’indagine (Digital Hash). Qualsiasi sia la prova acquisita deve essere verificata e quanto prima applicato l’algoritmo di HASH. La pratica della Computer Forensics prevede tutto questo nella fase di sequestro, dando evidenza cartacea all’interessato contenente l’elenco del materiale sequestrato e con le rispettive stringhe di hash ottenute; - l’analisi deve essere sempre effettuata, ove possibile, con delle copie e non sui supporti originali. Questa tecnica viene definita (off-line analysis)
    38. 38. 19 Settembre 2008 – Ordine degli avvocati di Bergamo Grazie per l’attenzione Marco Signorelli [email_address]

    ×