2009 10-24 foss-e-computer-forensics

1,692 views

Published on

Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,692
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
36
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

2009 10-24 foss-e-computer-forensics

  1. 1. FOSS nella Computer Forensics LinuxDay 2009 Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits LinuxDay 2009 Davide Gabrini Digital Forensic Jedi Pavia/Vigevano, 24 ottobre 2009
  2. 2. FOSS nella Computer Forensics LinuxDay 2009 Chi sono Il pinguino investigatore: l’open source per Davide ‘Rebus’ Gabrini l’informatica forense Per chi lavoro non è un mistero. Presentazioni Oltre a ciò: Applicazione Consulente tecnico e Perito forense Open vs Closed Docente di sicurezza informatica e Acquisizione Intercettazioni computer forensics per Corsisoftware srl Distribuzioni Come vedete non sono qui in divisa  Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  3. 3. FOSS nella Computer Forensics LinuxDay 2009 Computer Forensics Il pinguino investigatore: l’open source per l’informatica Da Wikipedia: “computer forense forensics is a technological, Presentazioni systematic inspection of the Applicazione computer system and its Open vs Closed contents for evidence or Acquisizione supportive evidence of a Intercettazioni crime or other computer use Distribuzioni that is being inspected” Analisi Man pages Community L’obiettivo è dunque quello di evidenziare dei Credits fatti pertinenti l’indagine da sottoporre a giudizio Davide Gabrini Digital Forensic Jedi
  4. 4. FOSS nella Computer Forensics LinuxDay 2009 Cosa NON è Il pinguino investigatore: l’open source per Fantascienza televisiva: CSI, NCIS, l’informatica forense Criminal Minds, RIS ecc. propinano Presentazioni solitamente boiate Applicazione …e al cinema è anche peggio! Open vs Closed Acquisizione Intercettazioni Distribuzioni Anche gli organi di Analisi informazione (non del Man pages Community settore) spesso instillano Credits convinzioni del tutto infondate… Davide Gabrini Digital Forensic Jedi
  5. 5. FOSS nella Computer Forensics LinuxDay 2009 Scopi di un’analisi forense Il pinguino investigatore: l’open source per Confermare o escludere un evento l’informatica forense Individuare tracce e informazioni utili Presentazioni a circostanziarlo Applicazione Open vs Closed Acquisire e conservare le tracce in Acquisizione maniera idonea, che garantisca integrità e non ripudiabilità Intercettazioni Distribuzioni Analisi Man pages Interpretare e correlare le evidenze Community acquisite Credits Riferire con precisione ed efficienza, in Davide Gabrini maniera idonea Digital Forensic Jedi
  6. 6. FOSS nella Computer Forensics LinuxDay 2009 Le fasi canoniche Il pinguino investigatore: l’open source per l’informatica forense Identificazione Presentazioni Applicazione Open vs Closed Acquisizione / Preservazione Acquisizione Intercettazioni Distribuzioni Analisi Analisi / Valutazione Man pages Community Credits Presentazione Davide Gabrini Digital Forensic Jedi
  7. 7. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Trasparenza l’informatica forense gli strumenti sono conosciuti, documentabili e verificabili anche dalla controparte Presentazioni Applicazione Disponibilità Open vs Closed non occorre acquistare software specifici (e costosi) Acquisizione per svolgere o controllare un'attività Intercettazioni Distribuzioni Varietà Analisi esistono soluzioni e supporto per una miriade di Man pages situazioni, anche improbabili (ad esempio per i filesystem) Community Credits Adattabilità i sorgenti sono modificabili per ogni esigenza Davide Gabrini specifica Digital Forensic Jedi
  8. 8. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Flessibilità l’informatica forense il paradigma Unix "tutto è un file" permette di gestire uniformemente anche situazioni nuove Presentazioni Applicazione Modalità read-only Open vs Closed Linux è per natura poco invasivo e ha comunque Acquisizione supporto nativo per modalità di sola lettura Intercettazioni Distribuzioni Loopback Analisi l'uso di loopback device e di device mapper può Man pages rivelarsi molto utile Community Credits Aderenza agli standard spesso i software commerciali usano Davide Gabrini implementazioni arbitrarie e formati chiusi Digital Forensic Jedi
  9. 9. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source Il pinguino investigatore: l’open source per Ricerca iSEC Partners 1 agosto 2007 l’informatica forense Test eseguito tramite fuzzing casuale o indotto su file, filesystem e dischi Presentazioni Obiettivi: Applicazione Open vs Closed Data hiding Acquisizione Code execution Intercettazioni Evidence corruption Distribuzioni Analisi Denial of service Man pages Tool analizzati: Community The Sleuth Kit Credits Encase Davide Gabrini Digital Forensic Jedi
  10. 10. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source - TSK Il pinguino investigatore: l’open source per TSK comprende(va) 23 diversi tool l’informatica forense Sono state rilevate vulnerabilità in grado di Presentazioni causare crash e loop infiniti in 4 di essi: Applicazione fls Open vs Closed Acquisizione fsstat Intercettazioni icat Distribuzioni Analisi istat Man pages Community La disponibilità del codice ha reso possibile Credits l'analisi dei bug e la loro correzione Tutti i bug sono stati fixati dalla versione 2.09 (oggi siamo alla 3.0.1) Davide Gabrini Digital Forensic Jedi
  11. 11. FOSS nella Computer Forensics LinuxDay 2009 Open Source vs Closed Source - Encase Il pinguino investigatore: l’open source per Testate le versioni 6.2 e 6.5 l’informatica forense Sono state rilevate vulnerabilità in grado di impedire l'acquisizione di dischi, generare crash Presentazioni e nascondere dati. Applicazione Open vs Closed L'indisponibilità del codice ha reso problematico Acquisizione isolare i bug e impossibile correggerli Intercettazioni Il servizio di acquisizione remota della versione Distribuzioni Enterprise è soggetto ad hijacking a causa di Analisi autenticazione debole Man pages Community Guidance Software ha minimizzato ma risolto i Credits problemi di Encase Forensic dalla versione 6.7, mentre ha negato il problema di Encase Enterprise Davide Gabrini Digital Forensic Jedi
  12. 12. FOSS nella Computer Forensics LinuxDay 2009 Identificazione e Acquisizione Il pinguino investigatore: Riconoscimenti di device e filesystem l’open source per l’informatica forense lshw Presentazioni hdparm Applicazione disk_stat (da Sleuthkit) Open vs Closed Acquisizione fdisk, mmls ecc. Intercettazioni Distribuzioni Esecuzione copie bit-level Analisi raw=interoperabilità Man pages (e compliance con la RFC3227) Community Credits dd dd_rescue Davide Gabrini Digital Forensic Jedi dcfldd, dc3dd ecc.
  13. 13. FOSS nella Computer Forensics LinuxDay 2009 Acquisizione Il pinguino investigatore: l’open source per Potenza delle pipe  l’informatica forense split Presentazioni md5sum, sha1, 2hash, DHash… Applicazione Open vs Closed gzip Acquisizione netcat Intercettazioni Distribuzioni redirezione stderr 2> Analisi Man pages Front-end grafici Community AIR Credits Adepto Davide Gabrini Guymager Digital Forensic Jedi
  14. 14. FOSS nella Computer Forensics LinuxDay 2009 Acquisizione Il pinguino investigatore: l’open source per Esempi di comandi per l'acquisizione: l’informatica forense # dd if=/dev/hda of=hda.dd conv=noerror,sync bs=512 Presentazioni Applicazione # dd if=/dev/hda conv=noerror,sync bs=512 | split –b Open vs Closed 1550m – hda_image Acquisizione Intercettazioni # dd if=/dev/hda1 skip=0 conv=noerror ibs=512 | gzip -1 | Distribuzioni dd of=hda1.raw.gz seek=0 obs=8192 Analisi Man pages # dcfldd if=/dev/hda conv=noerror,sync hashwindow=0 hashlog=hda.md5.txt of=hda.dd Community Credits Server# nc –l –p 31337 > image.dd Client# dd if=/dev/hda bs=2048 | nc {$ip_server} 3l337 Davide Gabrini Digital Forensic Jedi
  15. 15. FOSS nella Computer Forensics LinuxDay 2009 AIR Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  16. 16. FOSS nella Computer Forensics LinuxDay 2009 Adepto Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  17. 17. FOSS nella Computer Forensics LinuxDay 2009 Intercettazioni Il pinguino investigatore: l’open source per Formato pcap come standard de facto l’informatica forense tcpdump Presentazioni wireshark Applicazione tshark Open vs Closed Acquisizione ettercap Intercettazioni snort Distribuzioni Analisi airodump Man pages kismet Community Credits ecc. ecc. Davide Gabrini Digital Forensic Jedi
  18. 18. FOSS nella Computer Forensics LinuxDay 2009 Intercettazioni Il pinguino investigatore: l’open source per Ricostruzione del traffico l’informatica forense wireshark (statistiche, flussi, filtri…) Presentazioni tcptrace (estrazione flussi vari protocolli) Applicazione chaosreader (flussi e report HTML) Open vs Closed Acquisizione tcpxtract (estrapolazione file per tipo) Intercettazioni PyFlag Xplico Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  19. 19. FOSS nella Computer Forensics LinuxDay 2009 Xplico (1) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  20. 20. FOSS nella Computer Forensics LinuxDay 2009 Xplico (2) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  21. 21. FOSS nella Computer Forensics LinuxDay 2009 Xplico (3) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  22. 22. FOSS nella Computer Forensics LinuxDay 2009 Distribuzioni Il pinguino investigatore: l’open source per Distribuzioni live specifiche l’informatica forense c'erano una volta FIRE e Knoppix std… Presentazioni Helix Applicazione Open vs Closed DEFT Acquisizione FCCD Intercettazioni Distribuzioni BackTrack Analisi ForLex, Caine, PlainSight… Man pages Community L'analista può scegliere i suoi Credits strumenti, ma non può comunque Davide Gabrini scegliere l'obiettivo dell'analisi…  Digital Forensic Jedi
  23. 23. FOSS nella Computer Forensics LinuxDay 2009 Virtual appliance Il pinguino investigatore: l’open source per Virtualizzare la workstation di analisi l’informatica forense può dare alcuni vantaggi: Presentazioni Ambiente ottimizzato e preconfigurato Applicazione Facilità di backup, migrazione, Open vs Closed Acquisizione ripristino e duplicazione Intercettazioni Remotizzazione dei task di analisi Distribuzioni Analisi Distribuzioni in virtual machine: Man pages Community CERT Forensic Appliance Credits SANS Investigative Forensic Toolkit (SIFT) Davide Gabrini V-DEFT Digital Forensic Jedi
  24. 24. FOSS nella Computer Forensics LinuxDay 2009 Sleuthkit & Autopsy Il pinguino investigatore: fsstat analizza la struttura dei filesystem l’open source per l’informatica forense Filename Presentazioni fls naviga un'immagine forense senza montarla Applicazione Metadati Open vs Closed Acquisizione icat estrae file basandosi sul primo settore Intercettazioni ils naviga nella struttura dei metadati Distribuzioni istat visualizza i metadati di una entry Analisi Man pages Data unit Community Credits dcat estrae il contenuto di un blocco dls estrae informazioni dallo slack space Davide Gabrini dstat visualizza informazioni su un cluster Digital Forensic Jedi
  25. 25. FOSS nella Computer Forensics LinuxDay 2009 Sleuthkit & Autopsy Il pinguino investigatore: disk_sreset resetta il disco tramite comandi ATA l’open source per l’informatica a basso livello forense mactime costruisce una timeline delle attività Presentazioni svolte sui file Applicazione sorter verifica il matching tra l'estensione di un Open vs Closed Acquisizione file e il suo effettivo contenuto. Inoltre verifica i file Intercettazioni di sistema utilizzando il database NIST NSRL Distribuzioni Autopsy, infine, è il front-end web ai tool di Analisi Sleuthkit, che consente di lavorare anche da remoto Man pages con un qualunque browser Community Credits Davide Gabrini Digital Forensic Jedi
  26. 26. FOSS nella Computer Forensics LinuxDay 2009 PyFlag Il pinguino investigatore: l’open source per Forensic and Log Analysis GUI l’informatica forense interfaccia web per l'analisi di immagini forensi, di file di log, di dump pcap e di dump della RAM Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  27. 27. FOSS nella Computer Forensics LinuxDay 2009 PyFlag (1) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  28. 28. FOSS nella Computer Forensics LinuxDay 2009 PyFlag (2) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  29. 29. FOSS nella Computer Forensics LinuxDay 2009 PyFlag (3) Il pinguino investigatore: l’open source per l’informatica forense Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  30. 30. FOSS nella Computer Forensics LinuxDay 2009 Supporti ottici Il pinguino investigatore: l’open source per DVDisaster per il recupero dati da l’informatica forense supporti parzialmente danneggiati Presentazioni Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  31. 31. FOSS nella Computer Forensics LinuxDay 2009 Mobile Forensics Il pinguino investigatore: l’open source per TULP2G solo per Windows, ma l’informatica forense comunque open source, per l'acquisizione di Presentazioni dati da cellulari e dispositivi mobili Applicazione Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  32. 32. FOSS nella Computer Forensics LinuxDay 2009 Mobile Forensics Il pinguino investigatore: l’open source per MIAT (Mobile Internal Acquisition Tool) è l’informatica forense un progetto open source dell'Università “Tor Presentazioni Vergata” di Roma per la mobile forensics di Applicazione dispositivi Symbian e Windows Mobile Open vs Closed Acquisizione Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  33. 33. FOSS nella Computer Forensics LinuxDay 2009 Analisi dei file Il pinguino investigatore: l’open source per file per riconoscere il tipo del file l’informatica forense dal suo contenuto Presentazioni retriever e catfish per Applicazione indicizzare file di vario tipo Open vs Closed strings, grep, sort, uniq… Acquisizione Intercettazioni xxd, Khexedit ecc… Distribuzioni Analisi konqueror per browsing e anteprime Man pages Fccu-docprop, jhead, pdfinfo, hachoir ecc. Community Credits per estrarre i metadati da file e documenti stegdetect (outguess) rileva contenuti Davide Gabrini Digital Forensic Jedi steganografati
  34. 34. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Sistema Il pinguino investigatore: l’open source per rifiuti e dumpster_dive analizzano le l’informatica forense informazioni relative al cestino di Windows Presentazioni GrokEVT per il log degli eventi di Applicazione Windows Open vs Closed lnk-parser per i file di link di Windows Acquisizione Intercettazioni Registro di Windows: Distribuzioni regviewer Analisi Man pages RegLookup Community RegRipper Credits UserAssist.pl Davide Gabrini SandMan (hiberfil.sys) Digital Forensic Jedi
  35. 35. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: RAM Il pinguino investigatore: l’open source per Acquisizione l’informatica forense msramdmp Presentazioni Applicazione memimage (Princeton University) Open vs Closed MDD Acquisizione Intercettazioni Win32dd (user-space!) Distribuzioni Analisi Man pages Analisi Community Volatility Credits keyfinder (Princeton University) Davide Gabrini Digital Forensic Jedi
  36. 36. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Browser Il pinguino investigatore: l’open source per pasco analizza i file index.dat relativi l’informatica forense alla cronologia di Internet Explorer Presentazioni galleta e cookie_cruncher analizzano i cookie di Internet Explorer Applicazione Open vs Closed Acquisizione Intercettazioni mork.pl (history.dat di Firefox) Distribuzioni f3e (Firefox e Chrome) Analisi Man pages Safari Forensic Tools per le Community Credits evidence di Safari Davide Gabrini Digital Forensic Jedi
  37. 37. FOSS nella Computer Forensics LinuxDay 2009 Attività dell’utente: Mail Il pinguino investigatore: l’open source per eindeutig per archivi DBX di Outlook l’informatica forense Express Presentazioni grepmail per archivi mbox, anche Applicazione Open vs Closed compressi Acquisizione libpst per il parsing degli archivi PST di Microsoft Outlook Intercettazioni Distribuzioni Analisi Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  38. 38. FOSS nella Computer Forensics LinuxDay 2009 Macchine virtuali Il pinguino investigatore: l’open source per Può essere utile eseguire un'immagine del l’informatica forense sistema in analisi all'interno di una VM Presentazioni Virtualbox Applicazione QEMU Open vs Closed Acquisizione XEN Intercettazioni LiveView Distribuzioni Analisi Le password sono aggirabili: Man pages Community chntpw Credits cmosPwd Davide Gabrini Ophcrack Digital Forensic Jedi
  39. 39. FOSS nella Computer Forensics LinuxDay 2009 File carving Il pinguino investigatore: fatback recupera file cancellati da partizioni FAT l’open source per l’informatica forense e2recover inceve su partizioni Ext2 foremost e scalpel eseguono ricerca sequenziale Presentazioni e pattern matching basandosi su un set di header e Applicazione footer Open vs Closed Acquisizione photorec fa altrettanto: nato per recuperare Intercettazioni immagini, le sue potenzialità sono state estese Distribuzioni bmap estrae lo slack space alla fine di ogni file Analisi Man pages dls, come detto, consente di estrarre da Community un'immagine forense i dati relativi ai cluster Credits non allocati Davide Gabrini Digital Forensic Jedi
  40. 40. FOSS nella Computer Forensics LinuxDay 2009 Rilevamento Malware Il pinguino investigatore: l’open source per chkrootkit l’informatica rkhunter forense Presentazioni Applicazione zeppoo Open vs Closed Acquisizione ClamAV Intercettazioni Distribuzioni Analisi Man pages Possibile rilevare file sospetti Community Credits anche con l'uso di apposite hash Davide Gabrini table (p.e. NSRL) Digital Forensic Jedi
  41. 41. FOSS nella Computer Forensics LinuxDay 2009 Reverse engineering Il pinguino investigatore: l’open source per Dissezione (buona fortuna…) l’informatica forense Fenris Presentazioni faust Applicazione Open vs Closed gdb Acquisizione Intercettazioni Distribuzioni Analisi Analisi live del malware Man pages emulazione (Wine) Community Credits sandbox (chroot, Plash) Davide Gabrini Virtual Machine Digital Forensic Jedi
  42. 42. FOSS nella Computer Forensics LinuxDay 2009 Beginner’s guide: www.linuxleo.com Il pinguino investigatore: l’open source per The law envorcement and forensic l’informatica forense examiner's introduction tu Linux Presentazioni Utilissima guida, rivolta a Applicazione principianti, per muovere i Open vs Closed primi passi nel mondo della Acquisizione Intercettazioni computer forensics attuata Distribuzioni con strumenti open source Analisi Sono a disposizione anche Man pages alcune immagini forensi di Community esempio per esercitazioni Credits didattiche Davide Gabrini Digital Forensic Jedi
  43. 43. FOSS nella Computer Forensics LinuxDay 2009 Realtà associative Il pinguino investigatore: l’open source per IISFA: International Information l’informatica forense Systems Forensic Association Presentazioni www.iisfa.it Applicazione Open vs Closed Unica associazione del settore Acquisizione Intercettazioni presente in Italia Distribuzioni Analisi Mailing list nazionale, seminari, Man pages convegni, workshop, corsi di formazione Community Credits Certificazione CIFI (Certified Davide Gabrini Information Forensics Investigator) Digital Forensic Jedi
  44. 44. FOSS nella Computer Forensics LinuxDay 2009 Mailing list e community Il pinguino investigatore: l’open source per Linux_forensics (Yahoo Groups) l’informatica forense Win4n6 (Yahoo Groups) Presentazioni Applicazione CFI (Computer Forensics Italy) Open vs Closed www.cfitaly.net Acquisizione Intercettazioni Distribuzioni ML forensics su Sikurezza.org Analisi www.sikurezza.org/lists/listinfo/forensics Man pages Community Credits Davide Gabrini Digital Forensic Jedi
  45. 45. FOSS nella Computer Forensics LinuxDay 2009 Teniamoci in contatto… Il pinguino investigatore: l’open source per Davide Rebus Gabrini l’informatica forense e-mail: rebus@mensa.it Presentazioni davide.gabrini@poliziadistato.it Applicazione GPG Public Key: (available on keyserver.linux.it) Open vs Closed www.tipiloschi.net/rebus.asc Acquisizione www.tipiloschi.net/davidegabrini.asc Intercettazioni KeyID: 0x176560F7 Distribuzioni Instant Messaging: Analisi MSN therebus@hotmail.com Man pages ICQ 115159498 Community Yahoo! therebus Skype therebus Credits Queste e altre cazzate su http://www.tipiloschi.net e Davide Gabrini http://rebus.splinder.com Digital Forensic Jedi

×