Introduzione alla computer forensic - acquisizione

1,798 views

Published on

La mia presentazione alla lezione 0 del corso di perfezionamento sulla computer forensics e le investigazioni digitali dell'università Statale di Milano a Gennaio 2010. Una introduzione ai concetti di computer forensics e acquisizione della prova digitale.

Published in: Technology, Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,798
On SlideShare
0
From Embeds
0
Number of Embeds
25
Actions
Shares
0
Downloads
62
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Introduzione alla computer forensic - acquisizione

  1. 1. il percorso più sicuro presenta
  2. 2. Sherlock Holmes in Uno studio in RGB Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  3. 3. Titoli di testa A fine tale by Claudio Criscione Principal Consultant @ Secure Network Dottorando @ Politecnico di Milano c.criscione@securenetwork.it twitter.com/paradoxengine Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  4. 4. Uno studio in RGB Holmes è alle prese con un nuovo caso ma questa volta, l'anno è il 2010 ed invece di un assassino ha un complotto per uccidere la regina da sventare Ovviamente, c'è l'informatica di mezzo. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  5. 5. Pensare al processo Il primo problema che Holmes dovrà affrontare sarà come iniziare ad indagare Dopo l'esperienza delle cascate di Reichenbach, preferisce l'idea di aiutare la polizia Come, dunque, può analizzare questi nuovi “computatori”? Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  6. 6. Scientifico (?) ● Chiediamo a Wikipedia ● Per scienza si intende un complesso organico di conoscenze ottenuto con un processo sistematico di acquisizione delle stesse allo scopo di giungere ad una descrizione precisa della realtà fattuale delle cose e delle leggi in base alle quali avvengono i fenomeni. ● In ambito moderno, gli elementi chiave del metodo scientifico sono l'osservazione sperimentale di un evento, la formulazione di un'ipotesi generale sotto cui questo evento si verifichi, e la possibilità di controllo dell'ipotesi mediante osservazioni successive. ● Per Holmes, il fulcro è la ripetibilità. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  7. 7. Il dato Datum : fatto Una descrizione elementare di un ente Nel mondo digitale, una sequenza di 1 e 0 Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  8. 8. Sistemi che manipolano dati Povero Sherlock! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  9. 9. Divide et impera: il perimetro Anche Holmes ha risorse finite Per cui decide di concentrarsi su quanto ha a disposizione. Analizzerà i dispositivi più classici e semplici. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  10. 10. Occhi aperti Per fortuna è Sherlock Holmes Altrimenti avrebbe potuto non notare quel piccolo Key Logger attaccato alla tastiera... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  11. 11. Pista calda? 2 modalità per affrontare il problema Live L'odore di Moriarty non è lontano In laboratorio In questo caso se non altro c'è il violino. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  12. 12. Cosa analizzare? Holmes e Watson si interrogano Dove si troverà il dato, su questo computer? Nei registri, nella cache, nel cavo, nei CD, nei floppy, nei dischi rigidi... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  13. 13. L'originale Perché un esperimento sia ripetibile, abbiamo bisogno che la torre di Pisa e la palla di cannone non cambino significativamente E' pur sempre possibile modificare la prova. Dobbiamo conservarla! Due differenze fondamentali tra il mondo digitale e quello analogico Possibilità di copia Facilità di alterazione Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  14. 14. E se Watson fosse ipnotizzato? Sherlock deve poter garantire che l'originale non venga alterato da nessuno Ha bisogno di garantire che esista una Catena di Custodia documentata e ferrea! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  15. 15. Dietro le quinte: la copia Vogliamo realizzare una COPIA ESATTA Una normale copia non va bene: metadati! Una copia scientificamente valida ha tutte le proprietà rilevanti dell'originale: è una copia bit-a-bit Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  16. 16. Acquisizione In genere si parla di acquisizione indicando il processo di trasferimento dall'Originale alla Copia Forense. Per sicurezza, spesso si realizza anche una copia di Lavoro oltre a quella Forense. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  17. 17. Software Numerosi software sono in grado di effettuare la copia Gratuiti, commerciali, per Windows o Linux Distribuzioni specializzate Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  18. 18. Un dubbio... “Eppure Watson”, fa notare Sherlock “se qualcuno modificasse questo programma per favorire Moriarty noi non lo sapremmo: chi sa come funziona questa diavoleria!” L'obiezione è assolutamente rilevante Ed è il motivo per cui dovremmo sempre usare software Open Source. Non è importante solo il risultato, ma anche il processo con il quale viene raggiunto, vero Sherlock? Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  19. 19. Hardware Anche il software OpenSource non ci mette al riparo dall'errore umano Per questo, è una buona idea usare dell'Hardware specifico Write Blocker Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  20. 20. Demo Acquisiamo una partizione da un disco rigido esterno mediante Write Blocker Useremo il software OpenSource dcfldd Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  21. 21. Obiezione, vostro onore! L'avvocato di Moriarty non si fa attendere Prima ancora di aver visionato le deduzioni di Holmes, fa notare che “certo, la copia all'inizio era identica” ma “è stata alterata in seguito” Sherlock è in difficoltà: anche giurare sul suo buon nome non servirà Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  22. 22. Un po' di matematica: l'Hash Ma fortunatamente Holmes è un buon matematico e sa cosa è una funzione di Hashing Da un numero di N cifre ad uno di K cifre Piccole variazioni = grandi cambiamenti Origine => Hash SI Hash => Origine NO Origine 1 => Hash 1; Origine 2 => Hash 2 SI Origine 1 => Hash 1; Origine 2 => Hash 1 NO* *Non arbitrariamente, almeno Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  23. 23. Hash e forensic Disco Originale => Hash Org Disco Originale => Copia Copia => Hash Cop Verifico che Hash Cop = Hash Org Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  24. 24. Demo Calcoliamo l'hash del disco e della sua immagine Modifichiamo l'immagine e ricalcoliamo l'hash Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  25. 25. E se fin qui era facile... Il criminale del nuovo millennio non si accontenta di un computer con dischi rigidi: cellulari, router, stampanti... La parte migliore? Le metodologie cambiano da dispositivo a dispositivo... Vediamo qualche esempio Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  26. 26. HD v 2.0 ● Un “semplice” disco rigido potrebbe ● Avere una partizione nascosta ● Essere cifrato ● Essere formattato in un formato “proprietario” ● Essere rotto ● Avere un connettore o un bus particolare (Ultra SCSI 3220 semi-wide in RAID 3 e mezzo in notazione polacca inversa) Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  27. 27. Cellulari ● Una brutta bestia! ● Sistemi proprietari ● Difficoltà hardware ● Backdoor, service mode etc... ● E d'altra parte... ● Tracce di accesso alla rete ● Storage locale Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  28. 28. Router ● Anche le appliance di casa come i router possono contenere informazioni critiche ● Accedere alle informazioni che contengono non è affatto facile ● JTAG Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  29. 29. A connected world Ma non basta! Wireless e mobile computing hanno disgregato i concetti di località del dato Qualcuno spieghi a Sherlock che quel cellulare può collegarsi a qualsiasi sito Web per comunicare, disporre... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  30. 30. Rappresentazione del dato Sherlock scoprirà presto che questo... 0101011101000100101 Non è più utile di questo Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  31. 31. Analizzare i dati Per questo, dovrà usare tecniche specifiche per “decifrare” quei numeri e dargli un significato A volte sarà necessario bypassare il Sistema Operativo (il bibliotecario) che si rifiuta di interpretare alcuni bit (i libri proibiti) Altro che “Elementare, Watson”! Ma questo è argomento della prossima puntata! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali

×