La copia forense: modalità operative (pt. 2)

Università di Cagliari
Dipartimento di Ingegneria
Elettrica ed Elettronica
Coordinatore: Massimo Farina
Seminario di
INFORMATICA FORENSE
A.A. 2014/2015
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
alessandro.bonu@gmail.com

SEMINARIO DI INFORMATICA FORENSE
di Alessandro Bonu
I REPERTI OGGETTO DI ANALISI
In qualunque scena del crimine
troviamo dispositivi high-tech.
Tra quest'ultimi, quelli di interesse
per la computer forensics sono
quelli in grado, in qualsiasi modo,
di memorizzare informazioni.

di Alessandro Bonu
ESERCITAZIONE - LEZIONE 1
“Una società di ricerca finanziata dal governo ha messo a punto
un nuovo sistema di cifratura che consentirebbe un vantaggio
consistente alla nazione, permettendo comunicazioni
virtualmente inviolabili. Ovviamente se anche altre nazioni
ottengono lo stesso sistema si perde il vantaggio, per cui il livello
di segretezza del progetto è massimo.
C’è un problema: il responsabile della sicurezza informatica della
società si è accorto di un accesso insolito ad alcuni file del
progetto, in particolare allo schema elettronico del
dispositivo. Con l’aiuto delle forze dell’ordine si è riusciti a
prendere con le mani nel sacco il presunto colpevole, ma l’unica
irregolarità rilevata è un pendrive USB trovato indosso al
sospetto.”

di Alessandro Bonu
REGOLE DI INGAGGIO
• Il reperto è la pendrive usb;
• La pendrive sospetta viene consegnata al forenser incaricato al quale
vengono date le seguenti regole di ingaggio:
1. calcolo dell’hash del device in md5 e sha1;
2. la pendrive non presenta etichette o riferimenti esterni, si richiede pertanto
l’estrazione del S.N. (Serial Number) e modello della stessa;
3. analisi e tipologia del/i filesystem;
4. offset iniziale del/i filesystem (potrebbero esserci più partizioni)
5. acquisizione della copia forense;
6. verifica e riscontro della corretta esecuzione della copia;
7. stesure della relazione tecnica;
8. preparazione per la consegna del reperto e della copia.

di Alessandro Bonu
LINEE GUIDA PER IL FORENSER
• Utilizzo della distribuzione live: NBCAINE 4.0
• Per i punti 3 e 4 utilizzare comandi da shell;
• Per il punto 5 e 6 utilizzare GUYMAGER e riscontro con AIR, per scrupolo eseguire anche una
copia con dd da riga di comando;
• Tutte le evidenze devono scrupolosamente essere verificate con hash md5 e sha1, in caso di
non corrispondenza degli hash ripetere l’operazione fino ad avere esatta corrispondenza;
• Non ci sono regole specifiche per la stesura della relazione: deve descrivere tutte le attività
senza che si possa obiettare che la copia risulti differente rispetto al reperto originale,
(rimasto intatto come da consegna);
• Una volta terminata la relazione finale, descrivere la preparazione del reperto e del materiale
oggetto dell’incarico e pronti per la consegna.
• Tutte le attività possono essere analizzate e descritte teoricamente, il consiglio, per chi
potesse, è quello di simulare il tutto praticamente utilizzando una qualsiasi chiavetta usb per
simulare il reperto oggetto di indagine, creando una piccola partizione di 1 GB e scrivendoci
alcuni file. Una volta definito che quello è il reperto ricordatevi sempre che dev’essere
cristallizzato.

di Alessandro Bonu
UTILIZZO DELLA DISTRIBUZIONE LIVE DI NBCAINE 4.0
• mi collego sul sito di riferimento e scarico la ISO di Nbcaine 4.0
 http://www.caine-live.net/Downloads/nbcaine4.0.iso
 Utilizzo il tool Unetbooting per creare un device di boot con la distro di
nbcaine 4.0 (http://unetbootin.sourceforge.net) appena scaricata

di Alessandro Bonu
CREAZIONE DEL SUPPORTO/DEVICE LIVE
1. CD live => masterizzazione della ISO
2. USB bootable => tool “Unetbootin”

di Alessandro Bonu
PREPARAZIONE DEL PC OPERATIVO
• Verifico da BIOS: ordine di avvio dei device e ora corretta

di Alessandro Bonu
AVVIO DELL’AMBIENTE OPERATIVO
• Inserimento del device di boot per l’esecuzione della copia live di
NBCAINE 4.0 come impostato da BIOS
CD
USB

di Alessandro Bonu
PREPARAZIONE AREA DEDICATA AL CASO
• Cartella principale dedicata al caso:
 es. case-kingston
• Sottocartelle organizzate:
 acquisizioni
 risultati
 report
 temp
NOTA IMPORTANTE! = backup del lavoro svolto

di Alessandro Bonu
PENDRIVE SUSPECT = REPERTO ORIGINALE
• Trattare con molta cautela..
• Non presenta riferimenti esterni (modello e serial number)

di Alessandro Bonu
COLLEGAMENTO DEL REPERTO
• con tutte le cautele del caso collegare il reperto = pendrive usb al pc
operativo che esegue la live di nbcaine;
• si apre una shell di comando e si verifica con il comando dmesg se il
dispositivo è stato riconosciuto correttamente.

di Alessandro Bonu
1. CALCOLO DELL’HASH DEL DEVICE
• output a video
 md5sum /dev/sdb && sha1 /dev/sdb
• output su file hash-kingston
• md5sum /dev/sdb > risultati/hash-kingston
• sha1 /dev/sdb >> risultati/hash-kingston

di Alessandro Bonu
2. ACQUISIZIONE DELLE INFO SUL DEVICE
• Per ottenere le info su device usb, eseguire il seguente comando da shell:
 cat /proc/scsi/usb-storage/*
 cat /proc/scsi/usb-storage/* > risultati/kingston.device

di Alessandro Bonu
3. VERIFICA DELLA TIPOLOGIA DEL/I FILESYSTEM
• Eseguire il seguente comando da shell: fdisk -l /dev/sdb

di Alessandro Bonu
4. VERIFICA DEGLI OFFSET*
*Indica la distanza tra due elementi all'interno di un gruppo di elementi dello
stesso tipo. (es.ELEMENTI= A R T S G K E | OFFSET DI K RISPETTO A T = 3)
• eseguire il comando da shell per la verifica delle partizioni: mmls /dev/sdb
 offset partizione FAT32 = 0000000063
 offset partizione LINUX = 0002088450

di Alessandro Bonu
VERIFICA PARTIZIONE WINDOWS
• fsstat -f fat -o 0000000063 /dev/sdb

di Alessandro Bonu
VERIFICA PARTIZIONE LINUX
• fsstat -f ext3 -o 0002088450 /dev/sdb

di Alessandro Bonu
5. ACQUISIZIONE DELLA COPIA FORENSE: GUYMAGER

di Alessandro Bonu
COMPARAZIONE DEGLI HASH MD5 E SHA1
• Una volta terminata la copia la prima cosa da fare è verificare che gli hash
corrispondano a quelli estratti per il device originale (/dev/sdb)

di Alessandro Bonu
6. ANALISI DEL FILESYSTEM DELL’IMMAGINE ACQUISITA

di Alessandro Bonu
COMPARAZIONE DI IMMAGINE E DEVICE CON FDISK

di Alessandro Bonu
COPIA DELL’IMMAGINE CON GUYMAGER
• importante è anche fare copia della copia sulla quale lavorare e averne
sempre una intonsa da dove poter riprendere in caso di problemi, questo
evita tutta la procedura di acquisizione e verifica già vista in precedenza

di Alessandro Bonu
MOUNT DELLA COPIA FORENSE

di Alessandro Bonu
CLUSTER SIZE
• fsstat -f fat -o 63 kingston.dd

di Alessandro Bonu
7. RELAZIONE TECNICA
• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici
dell’analisi ma solo ciò che interessa dal punto di vista giuridico;
• Semplificata: colui che legge e valuta l’esito è di principio un fruitore
inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,
bisogna eliminare terminologie non consuete e spiegare a livello
elementare quanto rilevato;
• Asettica: non deve contenere giudizi personali dell’operatore né tanto
meno valutazioni legali sulle informazioni rilevate a meno che tali
considerazioni non siano state espressamente richieste.

di Alessandro Bonu
CATENA DI CUSTODIA
• La catena di custodia è un documento che contiene le informazioni di ciò che è stato fatto
con la prova originale e con le copie forensi realizzate, a partire dall'acquisizione fino ad
arrivare al giorno del processo.
• Tipiche informazioni che possono essere contenute inizialmente in questo documento sono:
 Numero del caso
 Società incaricata dell'investigazione
 Investigatore assegnato al caso
 Natura e breve descrizione del caso
 Investigatore incaricato della duplicazione dei dati
 Data e ora di inizio custodia
 Luogo in cui il supporto è stato rinvenuto
 Produttore del supporto
 Modello del supporto
 Numero di serie del supporto
• Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, nella
catena di custodia, dovrà essere aggiunta un'informazione contenente:
 Nome dell'incaricato all'analisi
 Data e ora di presa in carico del supporto
 Data e ora di restituzione del supporto

di Alessandro Bonu
8. CONSEGNA DEL MATERIALE
• predisposizione della catena di custodia;
• preparazione del materiale da
consegnare con opprtuni imballaggi e
sigilli;
• consegna al committente.

di Alessandro Bonu
FINE ESERCITAZIONE
sessione domande e risposte
prima di procedere..

di Alessandro Bonu
CI METTIAMO DALL’ALTRA PARTE
• adesso impersoniamo il soggetto che
riceve il materiale e deve trattare la
prova:
potrebbe in questo caso trattarsi di un
collega al quale si passa la fase di analisi
potrebbe essere un perito che deve
operare per l’analisi del caso

di Alessandro Bonu
FRAGILITA’ DEI REPERTI
• Tutti i dispositivi oggetto di interesse
(REPERTI) vanno gestiti e controllati con i
dovuti accorgimenti del caso.
• Non possono essere gestiti con
leggerezza da parte dell'operatore.
• Fragilità della prova: data l'immaterialità
della prova contenuta al suo interno, con
estrema facilità può essere distrutta od
alterata.

di Alessandro Bonu
DA DOVE SI INIZIA?
• predisposizione della catena di custodia
del materiale ricevuto;
• si stabiliscono tempi e risorse;
• si procede alla predisposizione di un
ambiente operativo in relazione quella
che sarà la strategia da adottare:
PROFILO INVESTIGATIVO.

di Alessandro Bonu
IL DATO
• a questo punto si passa alla fase di analisi e ricerca
del dato..
MA QUAL È IL DATO DA RICERCARE?
L'aspetto più importante per un digital
forenser è quello di seguire una
metodologia investigativa standard e ben
definita per la soluzione del problema
forense che gli è stato sottoposto.

di Alessandro Bonu
REGOLE DI INGAGGIO
1. Acquisire il reperto
 file immagine
2. Eseguire l’analisi per l’acquisizione delle seguenti
evidenze:
 informazioni su utilizzo di tool di acquisizione di
informazioni dalla rete;
 l’utilizzo della mail con allegati;
 consultazione di alcuni siti di hacking o relativi ad
attività illecite;
 utilizzo di social network.
• Relazione tecnica e consegna del materiale elaborato.

di Alessandro Bonu
EVIDENZE DA RICERCARE
• invio mail a utente alexand@tiscali.it con
allegato;
• consultazione dei seguente siti web:
hackday.com
blackhat.com
jumptuck.com
informazioni in merito ad attacchi DDoS
• eventuale account e utilizzo di facebook
• utilizzo di programmi di sniff in rete

di Alessandro Bonu
METODOLOGIA INVESTIGATIVA
• Profilo investigativo: determinazione dei passi
operativi necessari allo svolgimento del caso,
tenendo in considerazione il tempo necessario per
ciascuno;
• Determinazione delle risorse necessarie (hardware,
software open source e professionali);
• Determinazione dei rischi e relativa predisposizione
di una catena di custodia;
• Analisi e recupero della prova digitale;
• Stesura del report finale (relazione tecnica).

di Alessandro Bonu
LA PROVA INFORMATICA / REPERTO
OFF-LINE ON-LINE

di Alessandro Bonu
OFF-LINE / POST MORTEM
• ..rimozione dei dispositivi di memoria
predisposizione della catena di custodia
acquisizione delle prove (file immagine)
• FILE IMMAGINE
acquisizione delle info sul file
mount dell’immagine
analisi e ricerca
documentazione di tutte le attività operative
recupero della prova
predisposizione della catena di custodia

di Alessandro Bonu
ON-LINE / LIVE
• ACQUISIZIONE LIVE
 analisi e valutazione del rischio, i tempi sono molto
importanti in questo caso;
 analisi irripetibile, presenza delle parti e verbalizzazione
del tutto;
 acquisizione dell’immagine del desktop;
 dump della memoria volatile (in questo caso si manipola il
reperto che perde la sua caratteristica della
cristallizzazione);
 spegnimento del sistema staccando il cavo di
alimentazione;
 rimozione di tutti i dispositivi di memoria..

di Alessandro Bonu
ACQUISIZIONE DEL DESKTOP CRISTALLIZZATO

di Alessandro Bonu
ACQUISIZIONE DEL DESKTOP

di Alessandro Bonu
PRIMI ELEMENTI DA VALUTARE
1. Il soggetto è colto in flagrante
 elementi richiesti nelle regole di ingaggio (incarico),
sono già evidenti:
1. il sito blackhat.com
2. uno sniffer di rete operativo e visibile sul desktop
2. Profilo del soggetto
 si evidenzia una buona dose di ingenuità
 un apparente ma effettivo disordine che fa pensare che
non curi troppo la gestione e l’organizzazione dei dati
presenti all’interno del suo sistema/computer

di Alessandro Bonu
DUMP DELLA MEMORIA VOLATIVE / RAM
• non tocchiamo altro e procediamo con il
dump: ma cosa succede?
da questo momento in poi la prova diventa
irripetibile in quanto per procedere con il
dump occorre eseguire in memoria un
programma dedicato;
conseguente variazione dei registri di
memoria e perdita della cristallizzazione
originale;
bugia.. una variante è stata già eseguita..

di Alessandro Bonu
FTKIMAGER
• Viene utilizzato per creare immagini forensi di:
Hard drive
CD e DVD
RAM
• Mostrare i contenuti di:
dischi locali
periferiche locali con storage
• Mostra i contenuti dei dump effettuati

di Alessandro Bonu
DUMP DELLA RAM

di Alessandro Bonu
FTK IMAGER: RESTITUISCE UN LOG DI ATTIVITÀ
• Created By AccessData® FTK® Imager 3.1.2.0
 Case Information: xxxxxxxxxxx
 Case Number: xxxxxxxxxxx
 Evidence Number: xxxxxxxxxxx
 Unique Description: xxxxxxxxxxx
 Examiner: xxxxxxxxxxx
• Notes:
 Information for xxxxxxxxxxxxxxxx
• [Computed Hashes]
 MD5 checksum: c8c931761211e246af9fd601a6d0b258
 SHA1 checksum: 9cf522a3ac6e3937afc8e9c1f75d3e720836292f
• Image information:
 Acquisition started: Fri Jan 23 16:33:07 2015
 Acquisition finished: Fri Jan 23 16:35:23 2015

di Alessandro Bonu
APERTURA DEL FILE IMMAGINE ACQUISITO

di Alessandro Bonu
ANALISI DEL DUMP

di Alessandro Bonu
MOLTI DATI UTILI PRESENTI IN MEMORIA

di Alessandro Bonu
ANALISI DEI PROCESSI CON VM MAP
• Tool di analisi dei processi in esecuzione sviluppato da Mark Russinovic

di Alessandro Bonu
WIN-UFO (ULTIMATE FORENSICS OUTFLOW)
• win-ufo.org
• Informazioni preliminari sul caso e avvio..

di Alessandro Bonu
I TOOLS DI WIN-UFO

di Alessandro Bonu
RICERCA DATI SU FACEBOOK
• evidenza di un accesso su facebook
• username e password memorizzati
• EVIDENZA PRESENTE!

di Alessandro Bonu
RICERCA SOFTWARE DI SNIFFING
• Evidenza presente anche in questo caso:
Nirsoft SmartSniff

di Alessandro Bonu
RICERCA DATI DI NAVIGAZIONE

di Alessandro Bonu
TIMELINE ACTIVITY

di Alessandro Bonu
OFF-LINE
Terminata la fase di acquisizione delle evidenze live e irripetibili si
procede:
• si spegne il sistema/computer staccando direttamente
l’alimentazione, in questo modo si evita che un corretto
shutdown vada a chiudere o sovrascrivere informazioni utili.
• Se per es. fosse stato programmata la cancellazione del
pagefile.sys piuttosto che la cronologia dei browser o dei file
recenti alla chiusura delle applicazioni, questo verrebbe
evitato.
• Una volta che il sistema è spento, si estraggono tutti i supporti
di memoria, si predispone la catena di custodia e si procede
con la copia forense dei reperti per l’acquisizione del file
immagine che andremo ad analizzare.

di Alessandro Bonu
LA COPIA DELLA COPIA
• Terminata la copia forense con le procedure viste nella parte 1 è
necessario:
 fare sempre una o più copia dell’immagine acquisita e
verificarne l'integrità;
 in particolar modo quando si lavora su file image e poter
sempre fare un roll-back, evitando tutto il procedimento di
riacquisizione.

di Alessandro Bonu
L’ANALISI
A questo punto si può procedere con la fase di analisi:
 su file immagine: montato in ro come se fosse un device:
mount -o ro,nodev,noexec,noatime,offset=xxxxxx,loop
/<path>/file.img /mnt/<dir-mount>
 su device clone: il risultato è identico, ma con un device
clone è anche possibile riesumare il sistema originale in
versione live. Occorre notare che in questo caso i risultati
ottenuti possono essere utilizzati dal forenser solo per
incrociare e verificare dati ottenuti con l’analisi del file
immagine cristallizzato.
 E’ ovvio che eseguendo l’analisi in questa modalità la
prova originale risulta alterata e pertanto inutilizzabile.

di Alessandro Bonu
OPZIONI DI MOUNT
• ro: forza il montaggio in sola lettura;
• nodev: non interpreta i file di dispositivo presenti sul
filesystem;
• noexec non permette l’esecuzione dei file eseguibili
presenti sul filesystem;
• noatime: non aggiorna la data di accesso ai singoli file o
directory;
• loop: specifica al kernel che il primo parametro non è un
device ma un file immagine
• offset: il primo blocco del file system che si intende
montare

di Alessandro Bonu
ANALISI DELLA PROVA OFF-LINE

di Alessandro Bonu
AUTOPSY
• Autopsy Forensic Browser fornisce l'interfaccia grafica e l'ambiente di
collegamento dei vari programmi, permettendo di ottenere risultati
omogenei ed una gestione strutturata del caso.

di Alessandro Bonu
AUTOPSY: CARATTERISTICHE
• E' bene chiarire che non si tratta di un tool
“tuttofare”, non ha funzionalità di copia e
duplicazione disco:
non permette la maggior parte delle analisi
funzionali a livello applicativo (es. analisi
registry windows, analisi mail, .dat files);
non è adatto alla network forensics;
svolge al meglio le funzioni per le quali è
progettato: in particolare l'analisi a livello
filesystem.

di Alessandro Bonu
I DATI DEL CASO

di Alessandro Bonu
MOUNT DEL FILE IMMAGINE

di Alessandro Bonu
RICERCA DI HACKDAY
• 10 riferimenti trovati
 Hex o ASCII

di Alessandro Bonu
RICERCA DI JUMPTUCK.COM

di Alessandro Bonu
RICERCA DI MAIL INVIATE

di Alessandro Bonu
RICERCA DATI SU FACEBOOK

di Alessandro Bonu
Grazie per l’attenzione
alessandro.bonu@gmail.com
it.linkedin.com/in/abonu
@abonu

di Alessandro Bonu
71
Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,
eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo
in cui tu usi l’opera.
 Non commerciale. Non puoi usare quest’opera per fini commerciali.
 Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne
un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a
questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della
licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

La copia forense: modalità operative (pt. 2)

More Related Content

Viewers also liked

Similar to La copia forense: modalità operative (pt. 2)

More from Alessandro Bonu

La copia forense: modalità operative (pt. 2)