7 laboratorio-di-analisi-forense bonu-04.02 (1)

CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE
FORENSE
DI ALESSANDRO BONU
Alessandro Bonu
Corso di
INFORMATICA FORENSE (A.A. 2013/2014)
Laboratorio di analisi nell’indagine forense
DirICTo
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle
Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie
(coordinamento delle attività a cura di Massimo Farina)

CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE
DI ALESSANDRO BONU
Abbiamo visto..
• Metodologia, nelle fasi di:
 Acquisizione dell’incarico.
 Acquisizione delle prove (reperti).
 Tutela della prova e catena di custodia.
• Profilazione:
 strategia del forenser in relazione al caso specifico;
 del soggetto indagato, definita meglio in corso di analisi..

DI ALESSANDRO BONU
Qualche esempio di casi reali..

DI ALESSANDRO BONU
Ma cosa ci serve..?
• Una squadra organizzata, a seconda del caso specifico che può
essere più o meno complesso, in due o più.. si ha la possibilità di
confronto e un limite nei rischi.
• Il campo d’azione è troppo vasto, occorrono competenze specifiche
che spesso non sono esclusive del singolo.
• Sempre bene riconoscere i propri limiti e valutare di caso in caso la
strategia operativa.

DI ALESSANDRO BONU
Cosa dice la legge
• Nel nostro ordinamento giuridico, non è presente una legislazione
specifica che definisca quali regole osservare per una corretta
acquisizione e conservazione delle prove informatiche.
• Non esiste neppure uno standard riconosciuto e consolidato
relativo alle tecniche di indagine.
• Il giudice, in sede di processo penale, ha il compito di verificare la
validità scientifica dei metodi e dei criteri di indagine per stabilirne
la loro affidabilità in sede di dibattimento.

DI ALESSANDRO BONU
Quali sono i limiti
• Investimenti?
 Con un modesto investimento è possibile mettere in piedi
un laboratorio di analisi adeguato.
• Strumenti?
 Anche con un PC preparato ad hoc possiamo ottenere le
informazioni che ci occorrono ma se sottodimensionato, le
scarse performance potrebbero rallentare le operazioni.
• Software?
 Commerciale o Open Source? Con open source (open
forensics) si può fare tanto e bene..

DI ALESSANDRO BONU
Parole chiave
• Ridondanza:
 Nessun dato acquisito deve essere perso o danneggiato
causa un guasto di apparati e/o supporti.
• Velocità:
 Anche in questo caso il tempo è importante quando si
deve acquisire una importante mole di dati; si pensi ad una
intera azienda.

DI ALESSANDRO BONU
Basato su tre livelli
• Sistemi di analisi:
 in grado di estrapolare il dato in tempi rapidi.
• Sistemi Applicativi:
 manipolazione del dato per l’acquisizione delle evidenze
del caso.
• Sistemi di Backup:
 ridondanza dell’evidenza acquisita.

DI ALESSANDRO BONU
Ottimizzazione dei tempi
• Demandare operazioni lunghe in tempi morti (week-end).
 Acquisizione di copie forensi;
 Analisi di log o ingenti moli di dati.
• Prediligere tools a linea di comando, più specifici e controllabili.
• Adattabilità nell'utilizzo degli strumenti:
 Tools e software devono rappresentare degli strumenti atti a raggiungere
l’obbiettivo d’indagine. Non devono rappresentare uno statico ambiente
operativo. In taluni casi creati ad hoc: scripts
• Garantire l’inalterabilità dei dati:
 Calcolo ricorsivo del valore di hash dei risultati ottenuti.

DI ALESSANDRO BONU
Documentazione di un laboratorio forense
• Catalogare materiali in ingresso ed uscita ivi inclusi i reperti da
analizzare.
• Fascicoli delle comunicazioni formali, sia interne che sterne.
• Fascicoli di indagine, (logistica sicura).
• I report delle indagini.
• Inventario degli strumenti tecnici.
• Valutare i costi di gestione.

DI ALESSANDRO BONU
La ricerca della prov
Files
images
timeline

DI ALESSANDRO BONU
Attività di base della CF
• Ricerca di una evidenza diretta (oggetto di indagine/quesito).
• Ricerca di una evidenza più ampia (ma non da trattare in sede di
dibattimento).
• Verifica della presenza di software incriminato.
• Analisi dei file cancellati.
• Verifica dei supporti collegati.
• Ricerca di contenuti occultati o criptati.
• Analisi dei file temporanei, log di sistema e cache varie.
Man mano emerge il profilo del soggetto indagato..

DI ALESSANDRO BONU
Dove si trova il dato? ..iniziamo a ragionarci
• Sembra banale ma la prima cosa da capire è dove si trova il
dato oggetto di indagine;
• Celare piccoli dispositivi è semplicissimo e anche in fase di
sequestro qualcosa può sfuggire;
• A questo si aggiunga il fatto che all’interno degli stessi
dispositivi i dati potrebbero essere celati utilizzando anche
tecniche particolari (es. steganografia).
Un caso recita di una persona accusata di distribuzione di materiale
pedopornografico. Venne identificato e sequestrato il computer del soggetto
indiziato e si lavorò a lungo per cercare le prove per le quali venne accusato. Si poté
evidenziare il fatto che non ci fossero tracce alcune del materiale indiziato. Sul
sistema però venivano adoperate con perizia pulizie di cache, file temporanei e
recenti, inoltre la cancellazione avveniva non nella modalità classica ma con un
deleter sicuro a più passaggi.
I dati rilevanti ai fini dell'indagine furono alla fine due: URL riferite a siti di pedofilia
e tracce su registry dell'utilizzo di un hard disk esterno che però non fu rinvenuto in
sede di perquisizione. Il caso venne archiviato ma il rinvenimento del predetto
device avrebbe molto probabilmente fornito elementi utili ai fini dell'indagine.

DI ALESSANDRO BONU
Occultamento dei dati
• Intenzioni malevole:
 scrittura malware, diffusione di segreti a danno di terzi, ecc..;
• Intenzioni benevole/lecite
 segretezza di dati in ambito privato/lavorativo, ecc..;
• Alcune tecniche..
 Crittografia: tecnica di rappresentazione di un messaggio in una forma tale che
l’informazione in essa contenuta possa essere recepita solo dal destinatario.
 Steganografia: tecnica che si prefigge di nascondere la comunicazione tra due
o più interlocutori.
 Logistiche: delocalizzazione degli apparati e supporti

DI ALESSANDRO BONU
Occultamento logico
benvenuti nel corso di Computer Forensics
..una normale immagine, apparentemente!

DI ALESSANDRO BONU
Come si fa?
• Banalmente:
 Windows /Linux:
o C:propmt> copy /b <file_org>+<file_add>
o Es. : copy /b stego.jpg+segreto.txt / cat segreto.txt >> segreto.txt

DI ALESSANDRO BONU
Occultamento fisico
• E’ di rilevante importanza che la parte indagata non sospetti
un eventuale provvedimento a suo carico: perché??
A quanti verrebbe in mente di guardare una ferita?

DI ALESSANDRO BONU
Dove focalizzare l’attenzione
• Di norma i dispositivi oggetto di analisi sono:
 Lettori multimediali;
 HD esterni;
 Supporti USB;
 Smartphone;
 NAS/CLOUD;
 Stampanti;
 Altri dispositivi in grado di memorizzare dati.

DI ALESSANDRO BONU
E’ sempre possibile sequestrare i reperti?

DI ALESSANDRO BONU
Alcune considerazioni..
• Nella fase del sequestro occorre attenersi a quanto recitano le
disposizioni di legge “..l’autorità giudiziaria acquisisce il corpo del
reato o le cose pertinenti necessarie per l’accertamento dei fatti..”;
• Può accadere che nel compimento di suddette operazioni, vengano
acquisiti reperti che al fine probatorio risultano inutili;
• Opportuno è pertanto attenersi sempre al caso specifico e valutare
attentamente il profilo dell'indagato, sia perché lo stesso non venga
sottovalutato ma soprattutto perché non venga messo in condizioni
tali da limitare l’utilizzo di strumenti utili in ambito aziendale e
lavorativo e non a fine probatorio.

DI ALESSANDRO BONU
La copia forense
• La duplicazione del dato dev’essere tale da non poter essere
contestata;
• La duplicazione deve essere 1:1 rispetto al supporto oggetto di
indagine e pertanto identico (livello logico sul quale operare);
• Questo comporta che l’intero device venga replicato,
comprendendo struttura e spazio libero dello stesso
(copia bit-a-bit);
• Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al
dispositivo fisico a prescindere dall’effettiva quantità di informazioni
contenute.
• Una volta accertato quanto sopra il file logico (la copia forense)
andrà firmata e utilizzata in Read-Only.

DI ALESSANDRO BONU
Clone del device
DEVICE.IMG
bit-a-bit
data
sector

DI ALESSANDRO BONU
Validazione della copia forense
• Operazione fondamentale è validare la copia logica confrontandola
con l’originale. Tra le due deve esserci perfetta corrispondenza.
• La validazione può essere eseguita attraverso programmi di hash
come l’MD5 e SHA1 i quali applicano una funzione non invertibile
ed atta alla trasformazione di un testo di lunghezza arbitraria in una
stringa di lunghezza fissata.
• Il risultato dell'hash viene visto come una sorta di impronta digitale
dell’evidenza, esso si definisce anche “valore di hash”.

DI ALESSANDRO BONU
Software e hardware da utilizzare
• Sul mercato sono disponibili diversi software che consentono di effettuare
la copia bit-a-bit di un supporto di memoria:
 Dispositivi HW ad hoc, con dei limiti:
o Tecnologia specifica;
o Singoli dischi;
 Software specializzati (es.dd, semplice e in grado si essere mostrato a livello di
file sorgente);
• Ideale, dotarsi di una buona workstation forense con le interfacce più
utilizzate sul mercato.

DI ALESSANDRO BONU
Write Blocker
• Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità
della prova;
• Esistono due differenti metodologie per garantire il write blocking:
 Write blocker software;
o Agisce sull’operazione di mounting dell’hard disk da parte del sistema
operativo.
 Write blocker hardware;
o dispositivo fisico che viene posto tra l’hard disk e la macchina di acquisizione
forense.

DI ALESSANDRO BONU
Intercettazione del dato
• Definire i target e non indiscriminatamente, pena:
 Violazione della legge;
 Perdita di tempo;
 Mancanza degli obbiettivi oggetto di indagine.
• Problemi legati alla connessione in rete (span port):
 Il target è l’amministratore di sistema;
 Lo switch è troppo esposto ed in evidenza;
 Lo switch non dispone delle funzionalità necessarie a monitorare il traffico
• «Man in the middle»:
 Impossibilità di raggiungere lo switch;
 Deviazione del traffico di rete A > B = A > C > B

DI ALESSANDRO BONU
Man in the middle

DI ALESSANDRO BONU
Relazione tecnica
• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici
dell’analisi ma solo ciò che interessa dal punto di vista giuridico;
• Semplificata: colui che legge e valuta l’esito è di principio un fruitore
inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,
bisogna eliminare terminologie non consuete e spiegare a livello
elementare quanto rilevato;
• Asettica: non deve contenere giudizi personali dell’operatore né tanto
meno valutazioni legali sulle informazioni rilevate a meno che tali
considerazioni non siano state espressamente richieste.

DI ALESSANDRO BONU
Quando non si può fare a meno di agire sulla scena del
crimine, cosa succede?
• Talvolta l’analisi deve iniziare prima della copia o del sequestro fisico.
• Nessuno evita di considerare che la metodologia dello spegnimento
forzato determini perdite di dati, soprattutto in ambito di RAM, ma:
 Si è ritenuto che il costo di queste perdite fosse minimo rispetto a far
interagire un NON specialista con la macchina ad ottenere
direttamente informazioni;
 Si riesce a ridurre un minimo la sovrascrittura dei dati cancellati sulle
memorie di massa attive;
 È necessario quindi, in queste condizioni, accedere alla macchina
direttamente con competenza e prontezza.

DI ALESSANDRO BONU
Rischi di uno spegnimento forzato
• Dati non persistenti: sussistono per la massima parte in RAM e quindi la
loro degradazione nello spegnimento forzato è pressoché totale.
• Cripto: possono esistere protezioni cripto per intere partizioni che al
momento dell’impiego della macchina sono abbassate per evidenti
necessità di impiego della memoria di massa; allo spegnimento del
sistema l’accesso alla partizione cripto può risultare complicata se non
impossibile.
• Server: per grandi sistemi l’idea di spegnerli per repertare è frutto solo
dell’ignoranza. Le costruzioni dati che possono risultare all’interno dei
server sono in generale così complesse che, pensare di repertare dei dati
in maniera raw per poi ricostruirli in maniera sensata e completa,
determina un problema impossibile da risolvere.
• Necessità: di analizzare qualsiasi servizio “live” attivo sulla macchina.

DI ALESSANDRO BONU
Ordine di volatilità
• Quando si raccolgono le prove digitali bisognerebbe procedere da quelle
più volatili a quelle meno volatili. A titolo d'esempio, ecco un tipico ordine
di volatilità di un sistema comune:
 Memoria RAM;
 File di paginazione (swap);
 Informazioni su processi in esecuzione;
 Dati di rete;
 Porte in ascolto e connessioni attive;
 File temporanei di sistema;
 File di log di sistema e applicativi;
 dispositivi di archiviazione.

DI ALESSANDRO BONU
Reporting
• È importante sottolineare che nell’attività live le attività
principali dal punto di vista tecnico divengono minime.
• Mentre l’approccio statico tende a generare attività ripetibili
dal punto di vista sia tecnico che legale, le attività live sono
irripetibili, da cui l’assoluta necessità di un affidabile
reporting.
• Notifica alle parti (vedi incarico_3.jpg).

DI ALESSANDRO BONU
L’irripetibilità del live forensic è:
• Di natura tecnica: non esiste infatti possibilità di realizzare
analisi e repertamento dati live senza modificare almeno una
parte della memoria del sistema.
• Di natura temporale: la situazione della macchina all’atto
dell’attività è frutto del momento, la sua complessità è tale da
non poter essere riprodotta.

DI ALESSANDRO BONU
Cose da evitare
• Dato che è fin troppo facile alterare le prove collezionate, vediamo gli errori tipici
da evitare:
 non spegnere il sistema prima di aver terminato la raccolta, non solo perché si
perderebbero le prove che si sta recuperando, ma anche perché il sistema
potrebbe aver subito modifiche in relazione all'operazione di chiusura e
ripristino del sistema;
 non fidarsi dei programmi installati sul sistema, ma utilizzare quelli validati da
dispositivi protetti esterni;
 non eseguire programmi che potrebbero alterare le informazioni sui tempi di
accesso di tutti i file del sistema.

DI ALESSANDRO BONU
Considerazioni sulla privacy
• Rispettare le regole e le linee guida sulla privacy assicurarsi che
nessuno autorizzato possa accedere alle informazioni fornite dalle
prove raccolte.
• Non invadere mai la privacy altrui, soprattutto se si stanno
collezionando informazioni da aree in cui normalmente non si
avrebbe accesso.
• Attenersi sempre alle regole di ingaggio.

DI ALESSANDRO BONU
Considerazioni legali
• Le prove digitali devono essere:
 ammissibili, cioè devono essere conformi a determinate norme legali
perché possano essere usate in tribunale;
 autentiche, ovvero bisogna poter dimostrare il collegamento tra il
materiale probatorio e l'incidente;
 complete, che non tengano cioè conto di un'unica prospettiva ma
dell'intero accaduto;
 affidabili, dato che non deve esserci nulla che possa dare adito a dubbi
sulla loro autenticità o veridicità;
 credibili, ovvero che siano allo stesso tempo comprensibili e attendibili
per un tribunale.

DI ALESSANDRO BONU
Passi di raccolta
• Elencare i sistemi coinvolti nell'incidente e indicare da quali di questi
verranno acquisite le prove.
• Stabilire quali tra queste sono rilevanti ed ammissibili, tenendo sempre
conto che è meglio raccoglierne troppe che troppo poche*.
• Tenere sempre conto dell'ordine di volatilità.
• Rimuovere le possibili vie esterne di modifica.
• Usare gli strumenti di collezione adeguati.
• Documentare ogni passaggio.
• Non dimenticarsi delle persone coinvolte: prendere nota di chi è presente
alle varie operazioni.

DI ALESSANDRO BONU
Alcune considerazioni prima di iniziare..
• Non esiste un metodo o un software che si abbinano ad ogni
singolo caso;
• Esistono programmi , distribuzioni e quant’altro dedicati a
questo campo (forensics) ma che magari non rispondono alle
nostre esigenze.
• Piccoli e banali tool di pochi kb a volte risolvono un caso..

DI ALESSANDRO BONU
Qualche strumento utile
• FTK Imager;
• Autoruns;
• Process Explorer;
• Winmerge;
• Currports;
• Vmmap.

DI ALESSANDRO BONU
Immagine di memoria
• Ricordarsi che si tratta di operazione irripetibile..

DI ALESSANDRO BONU
Analisi della memoria

DI ALESSANDRO BONU
Analisi di un sistema Windows
• Vantaggi:
 Ben documentato;
 Molto diffuso;
 Ben supportato.
• Svantaggi:
 Log poco dettagliati;
 Informazioni importanti in formato binario;
 Profilazione;
 Virus e vulnerabilità.

DI ALESSANDRO BONU
Analisi di un sistema Linux
• Vantaggi
 Molte informazioni in più rispetto ad un sistema Windows;
 Esistono decine di log differenti pieni di informazioni;
 Il sistema è più standardizzato e ordinato.
• Svantaggi
 la piena libertà lasciata all'amministratore di sistema
compresa la possibilità di ricompilare il kernel rende
difficile da gestire l'analisi forense.

DI ALESSANDRO BONU
TOOL
qualche
vediamo

DI ALESSANDRO BONU
Autorun

DI ALESSANDRO BONU
Currports

DI ALESSANDRO BONU
Process Explorer

DI ALESSANDRO BONU
Process Monitor

DI ALESSANDRO BONU
Analisi dei file

DI ALESSANDRO BONU
Analisi disco

DI ALESSANDRO BONU
Procediamo con qualche esempio..
• Abbiamo sequestrato un hard disk

DI ALESSANDRO BONU
Non dimenticare le procedure!!
ORA DI INIZIO
delle attività???
Di pari passo alle attività tecniche
dovranno essere eseguite,
scrupolosamente, tutte
le attività di reporting

DI ALESSANDRO BONU
Sincronizzazione di data e ora
• Prima di addentrarci nella parte che riguarda la copia forense dell’hd, è
opportuno sincronizzare la data e l’ora della macchina in esame,
accedendo al bios.

DI ALESSANDRO BONU
Utilizzo del write blocker

DI ALESSANDRO BONU
• Air 2.0.0, come Guymager, è un tool grafico che permette
l’acquisizione di un device digitale fornendo una serie di
servizi aggiuntivi:
 comprimere l’immagine con gzip/bzip2;
 dividere l’immagine in sotto immagini (split);
 lavorare in una rete TCP/IP tramite netcat/cryptcat;
 verificare l’immagine con hash MD5,SHA1/256/384/512;
 la possibilità di fare una sanitizzazione (wiping) del disco.

DI ALESSANDRO BONU
Schermata di acquisizione

DI ALESSANDRO BONU
Log del risultato

DI ALESSANDRO BONU
Copia della prova
• Copia intera:
 Unico supporto.
• Tramite l’opzione split:
 è possibile eventualmente frammentare la copia;
 calcolo dell’hash md5 su ogni split per verificarne la
correttezza;
• Si lavora sulla copia.

DI ALESSANDRO BONU
Analisi della copia

DI ALESSANDRO BONU
Nuovo caso con autopsy

DI ALESSANDRO BONU
Riassemblaggio
• Ottenere l’immagine intera da una splittata
 Comando “cat” da terminale e redirezione “>>” su un file con
estensione dd.
o cat img_01.dd img_02.dd img_03.dd img_nn.dd >> img_full.dd
 Lavorare sulla copia ottenuta;
 Montare in sola lettura per copiare le cartelle di sistema e di registro.
o mount -t <file system_type> -o loop,ro,noexec img_full
/mnt/hd_forensics

DI ALESSANDRO BONU
Attività da effettuare
• Ricerca file multimediali e documenti rilevanti;
• Ricerca di informazioni sulla navigazione;
• Ricerca di informazioni sul registro di sistema;
• Ricerca di informazioni di amministrazione del sistema;
• Ricerca di dati o partizioni criptate;
• Timeline dell’attività del sistema.

DI ALESSANDRO BONU
Autopsy
• Strumento di interfaccia grafica basato sul tool di analisi investigativa
digitale The Sleuth Kit;
• Open Source per piattaforma Unix;
• Per ambiente windows Gygwin.

DI ALESSANDRO BONU
Ricerca dell’evidenza
• File analysis

DI ALESSANDRO BONU
Autopsy
• MD5

DI ALESSANDRO BONU
Autopsy
• File type/sorting

DI ALESSANDRO BONU
Autopsy
• Timeline and file activity

DI ALESSANDRO BONU
Autopsy
• Keyword search

DI ALESSANDRO BONU
Autopsy
• Meta Data Analysis

DI ALESSANDRO BONU
Autopsy
• Image details

DI ALESSANDRO BONU
Riassumendo..
• Autopsy Forensic Browser:
 Timeline dell’attività del sistema;
 Navigazione dell’immagine dell’hdd e ricerca files per estensioni.
• OphCrack
 Crack delle password di amministratore del sistema.
• Pasco:
 Estrazione delle informazioni di navigazione.
• LiveView e tools di Nirsoft:
 Ricerca delle password di completamento memorizzate dal browser.
• RegLookup e MiTeC Windows Registry Recovery:
 Estrazione delle informazioni dal registro di sistema.
• Tchunt/TCDiscover e Passware kit enterprise:
 RicercaDecifrazione di una partizione cifrata con TrueCrypt.

DI ALESSANDRO BONU
OphCrack
• Crack password Windows

DI ALESSANDRO BONU
Pasco per estrarre le evidenze
• Export dettagliato dei dati utili: history, cookies, cronologie..

DI ALESSANDRO BONU
Tools di Nirsoft per analisi forense
• Numero elevato di tools che permettono di:
 Recuperare le password;
 Monitorare la rete;
 Prelevare informazioni dal browser;
 Visualizzare informazioni dal disco.
 In particolare: IE Pass View, IE Cache View, IE History View ed IE Cookies View.

DI ALESSANDRO BONU
Macchine Virtuali VMware
• LiveView

DI ALESSANDRO BONU
Analisi del registro del sistema
• Dove è contenuto il registro di Windows?
 Nella cartella config di system32:
 File “default”;
 File “SAM”;
 File “SECURITY”;
 File “software”;
 File “system”.
• Reglookup
 Comando di linea utilizzato per leggere all'interno del registro di sistema;
 Genera un output su CSV;
 Il file generato può essere importato da un programma per la gestione di fogli
elettronici (Access).

DI ALESSANDRO BONU
Export di registro

DI ALESSANDRO BONU
MiTeC Windows Registry Recovery
• Le sue caratteristiche:
 Freeware;
 Tool grafico che mostra informazioni del sistema organizzando i dati del
registro;
 Funziona su piattaforma Windows;
 Non c’è bisogno di installazione;
 Funziona su dati offline (molto adatto all’analisi forense);

DI ALESSANDRO BONU
Partizioni criptate?
• Ricerca di una partizione o file cifrata con TrueCrypt
• Cos’è TrueCrypt?
 Software Open Source per cifrare dischi;
 Crea un disco virtuale cifrato e permette di montarlo come
se fosse un disco fisico;
 Permette di cifrare una partizione o un disco su cui è
installato Windows;
 Permette di cifrare interi dischi o dispositivi USB.

DI ALESSANDRO BONU
Tracce di crypting
• TrueCrypt può essere utilizzato anche in modalità portable:
 senza installazione;
• Un volume di TrueCrypt va montato per essere utilizzato;
• Il registro di Windows memorizza tutti i dispositivi montati sul sistema;
 Nell’entry del registro di sistema: MountedDevices
• I dati cifrati appaiono come una sequenza pseudo-random -> difficoltà ad
individuare una partizione virtuale cifrata!
• Soluzione: TCDiscover e Tchunt che ricercano files che abbiano
determinate caratteristiche.

DI ALESSANDRO BONU
Tchunt e TCDiscover
• Tchunt lavora su un classico disco;
• TCDiscover lavora su un’immagine dd.
• Una volta individuata una possibile partizione cifrata con Truecrypt
si può:
 Provare ad individuare la password;
 Provare a decifrare il contenuto della partizione.

DI ALESSANDRO BONU
Dove potrebbe essere la password del crypt?
• Nel dump della memoria con partizione montata;
• Nel file hiberfill.sys;
• Altrimenti si può procedere con un brute force.

DI ALESSANDRO BONU
Simulazione
di
un
caso

DI ALESSANDRO BONU
LAB
Una società di ricerca finanziata dal governo ha messo a punto
un nuovo sistema di cifratura che consentirebbe un vantaggio
consistente alla nazione, permettendo comunicazioni
virtualmente inviolabili. Ovviamente se anche altre nazioni
ottengono lo stesso sistema si perde il vantaggio, per cui il livello
di segretezza del progetto è massimo.
C’è un problema: il responsabile della sicurezza informatica della
società si è accorto di un accesso insolito ad alcuni file del
progetto, in particolare allo schema elettronico del dispositivo.

DI ALESSANDRO BONU
Il “reperto”
Con l’aiuto delle forze dell’ordine è riuscito a prendere con le mani nel sacco il
presunto colpevole, ma l’unica irregolarità rilevata è un pen drive USB trovato indosso
al sospetto. Ad un primo esame nel pen drive non sembrano essere presenti file
sospetti, ed il problema è che in questa situazione potrà contestare al sospetto
soltanto una violazione delle politiche di sicurezza aziendali, che vietano di introdurre
qualsiasi dispositivo o supporto di memorizzazione nell’azienda. In questo caso il
massimo che può capitare è un richiamo ufficiale ed una multa salata, ma niente di
più.
Se invece si riuscisse a trovare prova che dentro il pen drive vi sono file appartenenti al
progetto del sistema crittografico la cosa assumerebbe ben altri contorni. In
particolare il file che si sospetta sia presente nel pen drive dovrebbe essere uno
schema elettronico.

DI ALESSANDRO BONU
Le regole di ingaggio
• Il nostro compito è analizzare l’immagine del pen drive e verificare se
all’interno esista un file con uno schema elettronico, nascosto o meno.
• Queste le regole d’ingaggio:
 il pen drive è formattato con filesystem FAT;
 non è stata usata nessuna crittografia, non ci sono password da scoprire;
 non sono stati usati programmi sviluppati appositamente;
 il file, se c’è, è in un formato assolutamente comune, non è stata utilizzata una
applicazione dedicata agli schemi elettronici, altrimenti sarebbe stato
impossibile aprire il file senza quella applicazione.

DI ALESSANDRO BONU
Il nostro obbiettivo
• Verificare se vi è effettivamente uno schema elettronico
nascosto nel pen-drive.
• Capire dove è nascosto.
• In che formato file è memorizzato.
• la procedura per estrarlo deve poter essere ripetibile,
sempre ammettendo che il file ci sia.

DI ALESSANDRO BONU
Acquisizione dell’immagine
• FTK Imager

DI ALESSANDRO BONU
Tipologia di device

DI ALESSANDRO BONU
Quale device

DI ALESSANDRO BONU
Attività di analisi
• L'investigatore, ricevuto il file immagine lo salva all'interno della directory
di lavoro, denominata “lab-pendrive”;
• Si procede al calcolo dell'hash MD5 con il seguente comando:
 # lab-pendrive> md5sum pendrive.img
3f00610a55d3846bba4c199f1e15c1f5 pendrive.img

DI ALESSANDRO BONU
Tipologia di file e il contenuto dei bytes iniziali
• # lab-pendrive> file pendrive.img
 pendrive.img: x86 boot sector,
 mkdosfs boot message display,
 code offset 0x3c,
 OEM--ID " mkdosfs",
 sectors/cluster 4,
 root entries 512,
 sectors 32768 (volumes <=32 MB) ,
 Media descriptor 0xf8,
 sectors/FAT 32,
 heads 64, serial number 0x472050f2,
 label: " ",
 FAT (16 bit)

DI ALESSANDRO BONU
Analisi dell’immagine: HEX
• contenuto dell'immagine pendrive.img visualizzato l'editor esadecimale
con:
 # lab-pendrive> hexedit pendrive.img

DI ALESSANDRO BONU
Analisi dell’immagine: FTK Imager

DI ALESSANDRO BONU
Foremost
• foremost, un programma per recuperare file cancellati o non leggibili a causa di
una corruzione del filesystem.
• Il vantaggio nell'uso di foremost consiste nella creazione di una cartella per ogni
tipo di file che si vuole recuperare (doc/ jpg/ docx/ avi/ ...) all'interno dell aquale
andranno a finire tutti i file con la stessa estensione. Lo svantaggio è che i file
perderanno il loro nome originale per assumere quello di un numero.
• Per installare il programma in una distribuzione linux derivata da Red-Hat, o che
comunque usa yum come installatore dei pacchetti (Fedora, Suse, CentOS, ecc...),
bisogna dare il seguente comando (con diritti amministrativi):
• yum install foremost
• se invece si deve installare il programma in una distribuzione linux derivata da
Debian, o che comunque usa apt-get come installatore dei pacchetti (Ubuntu,
Mepis, Xandros, ecc...), bisogna dare il seguente comando (con diritti
amministrativi):
• apt-get install foremost

DI ALESSANDRO BONU
Foremost
• deducendo di trovarsi davanti all'immagine della partizione presente su u
na chiave usb formattata con file system FAT16.
• Si crea la seguente directory di output per il tool di data carving Foremost,
 foremost_data
• Si esegue il seguente comando:
• # lab-pendrive> foremost -o foremost_data/ --i pendrive.img
 -i Indica da quale partizione, o suo file immagine (dd-dump), leggere i file da recuperare
 -o Indica la cartella da usare per salvare i file recuperati
processing: pendrive.img

DI ALESSANDRO BONU
Output Foremost
• Passiamo ora ad analizzare il contenuto dell’output ottenuto da Foremost:
 Listiamo il contenuto della cartella foremost_data su un file
output_foremost.txt:
o # lab-pendrive/foremost_data> ls -lhR > output_foremost.txt
 Calcoliamo ora l’hash ricorsivo su tutto l’output ottenuto:
o # lab-pendrive/foremost_data> md5deep -r > md5_output_foremost.txt

DI ALESSANDRO BONU
Cosa è stato estratto
• L'analisi di quanto estratto dall'immagine da Foremost evidenzia la present
a di un file in formato zip:
 # lab-pendrive/foremost_data> ls -l jpg/
0468233f759fc67abd9f896a0b0476ce foremost_data/zip/00012253.zip
protetto da password. (Lo stesso non viene preso in considerazione in
quanto non contemplato nelle “regole d'ingaggio”).
• 12 files in formato jpg
 # lab-pendrive/foremost_data> ls
00002249.jpg 00005237.jpg 00010873.jpg 00010881.jpg 00010905.jpg 00
012561.jpg 00002713.jpg 00010869.jpg 00010877.jpg 00010897.jpg 0001
0917.jpg 00014501.jpg

DI ALESSANDRO BONU
Cosa è stato estratto
• verificando che solo il file 00002713.jpg contiene al suo interno un immagi
ne in formato .jpg, file della dimensione di 3,6kB rappresentante miniatura
dell'immagine stessa.
• 6 file in formato ole, riconosciuti come Microsoft Installer:
 # lab-pendrive/foremost_data> ls -l ole/*
o 00000109.ole: Microsoft Installer
 i primi due non riportano informazioni di rilievo, nel terzo e quarto troviamo, vi
sionandone il contenuto con un editor esadecimale, informazioni relative a file
in formato .pps visualizzati durante la navigazione in rete.

DI ALESSANDRO BONU
Stegdetect
• Con il tool Stegdetect si evidenziano delle positività:
 # lab-pendrive/foremost_data> stegdetect *
o 00002249.jpg : negative
o 00005237.jpg : jphide(**)
o 00010881.jpg : outguess(old)(**)
o 00012561.jpg : outguess(old)(*)
o 00014501.jpg : skipped (false positive likely)

DI ALESSANDRO BONU
Profilo dell’indagato
Da questa prima analisi si potrebbe ipotizzare che il possessore della chiave si
a un utente Linux alle prime armi (vedasi la guida ai comandi linux), ma con
una discreta conoscenza del web e capace di svolgere operazioni di medio
complessità avvalendosi di guide (come l'installazione e configurazione del
CMS).
Si decide quindi di esaminare l'immagine della chiave con Autopsy Forensic
Browser, interfaccia grafica, dello SleuthKit.

DI ALESSANDRO BONU
L’indizio
• Analizzando i file testuali della cartella /olib/src si possono leggere
i contenuti dei file:
 changeLog e README che indicano la scrittura di un programma che serve a
convertire i file prodotti da ORCAD (noto software di progettazione
elettronica) in formato gEDA (altro software di progettazione elettronica),
ambedue i software usano file ASCII, rispettivamente con estensioni .ASC e
.SYM.

DI ALESSANDRO BONU
Bingo!
• Sfogliando i files è presente un file "dict" nella cartella fcrackzip-03.
• Un file senza estensione, che risultava essere alla analisi del tool file
un formato ASCII.
• Guardo il contenuto del file e vedo l'header che inizia con JVBER
cercando su GOOGLE ho trovato che è un formato trasformabile in
PDF tramite una codifica base64.
• Utilizzando l'utility base64 mi è bastato fare:
 base64 -d dict > dict.pdf
• Poi aprendo il file dict.pdf con Acrobat Reader è comparso lo
schema elettronico.

DI ALESSANDRO BONU
Grazie per l’attenzione!
alessandro.bonu@gmail.com
it.linkedin.com/in/abonu

DI ALESSANDRO BONU
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati
dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non
suggerire che essi avallino te o il modo in cui tu usi l’opera.
 Non commerciale. Non puoi usare quest’opera per fini commerciali.
 Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenza
identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i
termini della licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di
queste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto
sopra

7 laboratorio-di-analisi-forense bonu-04.02 (1)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 7 laboratorio-di-analisi-forense bonu-04.02 (1)

Similar to 7 laboratorio-di-analisi-forense bonu-04.02 (1) (20)

More from Massimo Farina

More from Massimo Farina (20)

7 laboratorio-di-analisi-forense bonu-04.02 (1)