27.9.2013 - Venezia - ISACA VENICE Chapter 1 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Metodi per la Forensic Analysis e il recupero dei dati.
Un caso reale di
intrusione abusiva MARCO ZANOVELLO
Venezia, 27 settembre 2013
Soluzioni e sicurezza per applicazioni mobile e payments
27.9.2013 - Venezia - ISACA VENICE Chapter 2 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Metodi per la forensic analysis e il recupero dei dati.
Un caso reale di
intrusione abusiva
27.9.2013 - Venezia - ISACA VENICE Chapter 3 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Soluzioni e sicurezza per applicazioni mobile e payments
Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese.
SPONSOR DELL’EVENTO
Sponsor e sostenitori di ISACA VENICE Chapter
Con il patrocinio di
27.9.2013 - Venezia - ISACA VENICE Chapter 4 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
MARCO ZANOVELLO
Sono Direttore Tecnico presso Yarix S.r.l., dove mi mi occupo di sicurezza informatica e analisi forense Laureato in Ingegneria Elettronica all’Università degli Studi di Padova Lead Auditor ISO 27001 Lead Auditor ISO 20000 CISA ITIL V3.0 Foundation
27.9.2013 - Venezia - ISACA VENICE Chapter 5 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ABSTRACT
Speso accade che il fatto di trascurare dettagli apparentemente banali può portare a conseguenze disastrose.
Ciò è vero in moltissime situazioni, incluse quelle che coinvolgono aspetti legati alla sicurezza informatica e alla gestione della sicurezza delle informazioni.
Nel seguito si presenterà un esempio (basato su un caso reale anonimizzato) di quali possano essere le conseguenze di un accesso abusivo ad una rete informatica, e le modalità con cui si sono gestite le operazione di recupero dati e di individuazione delle cause e dei responsabili dell’azione illecita.
27.9.2013 - Venezia - ISACA VENICE Chapter 6 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Agenda
•DEFINIZIONE DELLO SCENARIO E BREVE ANTEFATTO
• IL «D-DAY» •GESTIONE DELL’INCIDENTE
NELL’IMMEDIATEZZA DEI FATTI • L’ATTIVITA’ INVESTIGATIVA
27.9.2013 - Venezia - ISACA VENICE Chapter 7 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Lo Scenario
- Azienda a ristretta base azionaria
- Multinazionale con filiali in 10 paesi esteri
- Gestione IT centralizzata e monopolizzata da una persona
27.9.2013 - Venezia - ISACA VENICE Chapter 8 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Lo Scenario
- Dal 2010 al 2012 si verificano una serie di fuoriuscite di
dipendenti che avviano una attività concorrente
- Nel 2012 se ne va anche l'IT manager
27.9.2013 - Venezia - ISACA VENICE Chapter 9 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Il «D-Day»
Lunedì mattina, ore 8.00: - Il server di posta non risponde più - Il file server non risponde più - Il gestionale non risponde più - I file locali improvvisamente spariscono
…. Azienda bloccata !!
27.9.2013 - Venezia - ISACA VENICE Chapter 10 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
DEFINIZIONE DEL PERIMETRO
- Infrastruttura Virtuale
- Storage condiviso (SAN)
- Dominio Active Directory
27.9.2013 - Venezia - ISACA VENICE Chapter 11 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
DIAGNOSI
- VM Cancellate da LUN
- Backup criptato (Truecrypt)
- Logon script modificato per cancellare tutti i dati anche sui
pc client
…… non è stato un incidente !!
27.9.2013 - Venezia - ISACA VENICE Chapter 12 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
ESIGENZA AZIENDALE:
- Il Business non si deve fermare
⇒Necessità di attuare attività sistemistiche di ripristino
ESIGENZA INVESTIGATIVA: - La scena criminis non deve essere modificata ⇒ Necessità di individuare e preservare le evidenze - Spegnimento di tutti sistemi - SAN - Server - Firewall (VPN)
27.9.2013 - Venezia - ISACA VENICE Chapter 13 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
CONDIZIONI AL CONTORNO
- RAID
- Dischi SAS
- Volumi in RAID
- LUN accessibili solo via FC
- 5TB di dati effettivi
27.9.2013 - Venezia - ISACA VENICE Chapter 14 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
PRECEDENZA ALL’ACQUISIZIONE FORENSE - Blocco ulteriori possibilità di connessioni esterne di tutte le
sedi - Boot mediante cd Caine su Host ESX (collegamento FC
verso SAN) - Acquisizione con Guymager su supporto collegato via
USB all’host ESX - Tempi non stimabili a priori
OBBIETTIVO - Ricerca partizioni cancellate con Encase
- SAN formattata VMFS (FS proprietario Vmware) - Dischi virtuali delle VM contenuti nella partizione
VMFS - Partizioni dischi VM in formato NTFS
27.9.2013 - Venezia - ISACA VENICE Chapter 15 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
RECUPERO DELLE VIRTUAL MACHINES
Utilizzo dell’MBR come indicatore - Si trova nel settore 0 del disco - Esiste solo 1 MBR in ogni disco - Ha una dimensione di 512 byte - Contiene il codice per eseguire
il VBR - Ha una firma 0x55 0xAA
(magic number)
27.9.2013 - Venezia - ISACA VENICE Chapter 16 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
RIPRISTINO A BUON FINE MA …..
- Presenza Snapshot VM mai reintegrati
⇒ Ripristino parziale (allo stato dello snapshot)
- Gestione LUN operate da SAN ⇒ Alcuni dati corrotti (settori reallocati dalla SAN)
27.9.2013 - Venezia - ISACA VENICE Chapter 17 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
RICERCA PER FILE SIGNATURE - File carving: Identificare il tipo di un file mediante
sequenze note di byte - Header
- Footer
- 50 4B 03 04 14 00 06 00 Microsoft Office Open XML Format Document
- FF D8 FF E0 xx xx 4A 46 49 46 00 JPEG/JFIF Graphic Files
- 45 6C 66 46 69 6C 65 00 Windows Vista event log file
27.9.2013 - Venezia - ISACA VENICE Chapter 18 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI
ESITO
- Recupero di file essenziali per l’azienda…
- Documenti Word con listini
- Immagini di etichette dei prodotti
- …e per l’attività investigativa
- Log eventi di Windows
27.9.2013 - Venezia - ISACA VENICE Chapter 19 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ATTIVITA’ INVESTIGATIVA
OBBIETTIVO PRIMARIO: Individuazione IP provenienza attacco Dati considerati:
- Event Log Windows - Recuperati usando file carving - Event Log classici svuotati … - … ma i nuovi event log 2008 no !! ⇒ Connessione RDP proveniente da server sede estera
azienda (VPN) - Log Firewall
- Non salvati su alcun syslog !!! - Locali al firewall (su SD) risalenti al 2010
RISULTATO: l’attacco è arrivato … da una sede estera
27.9.2013 - Venezia - ISACA VENICE Chapter 20 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ATTIVITA’ INVESTIGATIVA ACQUISIZIONE FORENSE DEL SERVER REMOTO
- Acquisizione Event Log server remoto - Event Log classici svuotati … - … ma anche in questo caso nuovi event log 2008 ci
sono ⇒ Individuazione IP pubblico di provenienza
- Accesso avvenuto con account di amministratore
locale - Nessun tentativo di bruteforce ⇒ conoscenza di credenziali e struttura informatica
dell’azienda
27.9.2013 - Venezia - ISACA VENICE Chapter 21 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ATTIVITA’ INVESTIGATIVA
PUNTO DELLA SITUAZIONE
- Ricostruzione sequenza delle operazioni
- Ricostruzione del percorso di attacco
- Identificazione degli IP pubblici da cui è partito l’attacco
… sappiamo tutto?
27.9.2013 - Venezia - ISACA VENICE Chapter 22 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ATTIVITA’ INVESTIGATIVA
CHE COS’E’ TOR??
- The Onion Router: sistema di anonimizzazione del traffico a «strati»
- La connessione da sorgente a destinazione passa per un circuito di nodi intermedi (router)
- Nessun router conosce la sorgente e la destinazione finale - Sistema a bassa latenza (dopo 10 minuti il circuito viene
rinegoziato e i log dei router cancellati) - Praticamente impossibile da tracciare … tutto perduto?
27.9.2013 - Venezia - ISACA VENICE Chapter 23 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ATTIVITA’ INVESTIGATIVA
PROFILO DELL’ATTACCO - Preparato meticolosamente ⇒ Probabilmente ha richiesto molto tempo e vari tentativi ⇒ Ci possono essere altre tracce di connessione
… sappiamo tutto?
- Presenza di ulteriori connessioni via RDP risalenti a 3-4 mesi prima con IP non TOR-izzato e non riconducibile a utenti leciti
- Nessun intervento programmato di manutenzione nelle date delle connessioni sospette
⇒ connessione non autorizzate ⇒ accesso abusivo ⇒ Produzione report immediato per attività di
congelamento log da parte delle FdO
27.9.2013 - Venezia - ISACA VENICE Chapter 24 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
ATTIVITA’ INVESTIGATIVA …. QUESTA VOLTA SI !
- Correlazione tra attività non lecite (accesso abusivo a
sistema) e IP pubblici - Possibilità di stabilire legame tra IP pubblici riscontrati e
potenziali autori - Possibilità di stabilire connessioni tra potenziali autori e
sfera d’interesse dell’azienda …Il colpevole ?
L’EX IT MANAGER
27.9.2013 - Venezia - ISACA VENICE Chapter 25 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
CONCLUSIONI
- Metodologia seguita - Individuazione strumenti migliori e priorità - Analisi approfondita , guidata dal profilo desunto del
potenziale attaccante e non limitata ai primi riscontri negativi
- Strumenti utilizzati - Encase - Caine
- Risultati - Azienda nuovamente operativa in 2 settimane - Raccolta evidenze senza alterazione scena - Individuazione probabili IP provenienza attacco forniti
alle FdO
27.9.2013 - Venezia - ISACA VENICE Chapter 26 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Domande …
27.9.2013 - Venezia - ISACA VENICE Chapter 27 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO
Grazie per l’attenzione!
MARCO ZANOVELLO +39 347 3906363 [email protected]