nanni bassetti - smau bari 2011
TRANSCRIPT
Nanni Bassetti http://www.cfitaly.net 1
Digital Forensics
Best Practices
Di Nanni Bassetti
www.nannibassetti.com
http://www.cfitaly.net 2Nanni Bassetti
Definizione
La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una fonte di prova digitale, preservandola da eventuali alterazioni.
Scientifica: ripetibile (Galileo Galilei)è la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell'esperimento.
Fonte di prova: deve garantire il suo uso in tribunale
http://www.cfitaly.net 3Nanni Bassetti
La STORIA1984 FBI Magnetic Media Program created... this later becomes the Computer
Analysis and Response Team (CART)
1995 International Organization on Computer Evidence (IOCE) formed
� RFC3227 -Guidelines for Evidence Collection and Archiving (2002)
� USA –Department of Justice -Searchingand SeizingComputers(2002)
� USA –IACP -Best Practices for Seizing Electronic Evidence (2006)
� USA –DoJ–Electronic Crime Scene Investigation v. 2 (2008)
� UK –ACPO –Computer Based Evidence Guidelines v.4 (2008) - Associationof Chief Police Officers (ACPO) guidelines
Computer Forensics Tool Testing (CFTT) by NIST (National Institute of Standards and Technology)
http://www.cfitaly.net 4Nanni Bassetti
Definizione
I campi d’azione della Digital Forensics sono:
1) Indagini interne ad una azienda
2) Supporto alla Polizia Giudiziaria ed ai PM (CTU)
3) Supporto ai privati indagati (CTP)
4) Valutazione danni
5) Spionaggio
6) Frode
7) Pedopornografia
8) Violazione policy
9) Ricatto
10) Terrorismo
http://www.cfitaly.net 5Nanni Bassetti
DefinizioneLe fasi principali sono 4:
1) Identificazione
2) Acquisizione
3) Analisi e valutazione
4) Presentazione
http://www.cfitaly.net 6Nanni Bassetti
L’identificazione ed acquisizione
Sulla scena del crimine bisogna, innanzi
tutto, identificare ogni dispositivo che
possa contenere fonti di prova (digital
evidences), per poi acquisirlo.
http://www.cfitaly.net 7Nanni Bassetti
L’identificazione ed acquisizione
Attualmente i dispositivi digitali che possono
contenere le prove sono tantissimi e spesso
sono così, inseriti nel nostro habitat da non
farci più caso.
Esempi:
1) Computers
2) Memory cards
3) Nastri digitali
http://www.cfitaly.net 8Nanni Bassetti
L’identificazione ed acquisizione
5) SIM cards
6) Cd-DVD rom
7) Smart printers
8) Smart Fax
9) Lettori MP3/AVI
10) Playstation et similia
11) ecc.
http://www.cfitaly.net 10Nanni Bassetti
L’identificazione ed acquisizione
Al momento dell’analisi della scena si dovrà
capire cosa prendere per poi analizzarlo.
Durante i sequestri si potrebbero ignorare o
tralasciare alcuni dispositivi che
potrebbero contenere informazioni
preziose.
http://www.cfitaly.net 11Nanni Bassetti
L’identificazione ed acquisizione
Non è detto che la prova, la cosidetta
“smoking gun” sia sul computer di casa….
Anzi potrebbe essere su un DVD con la
copertina degli “Aristogatti” di Walt Disney
http://www.cfitaly.net 12Nanni Bassetti
L’identificazione ed acquisizione
� Nella fase di sequestro si potrebbero
commettere degli errori.
� Questo perché la D.F. è ancora una
scienza senza protocollo comune.
� Non ci si preoccupa della ripetibilità del
metodo utilizzato
http://www.cfitaly.net 13Nanni Bassetti
L’identificazione ed acquisizione
� Non ci si preoccupa della preservazione
della prova
� Non ci si preoccupa della catena di
custodia e del corretto modo di presentare
i risultati delle indagini informatiche
(reporting)
http://www.cfitaly.net 14Nanni Bassetti
L’identificazione ed acquisizione
La D.F. si divide in 2 branche la live analisys
e la post mortem
Ognuna di esse ha regole diverse, dato che
la live è un’analisi su un sistema acceso
ed in funzione
La post mortem è su un sistema spento
http://www.cfitaly.net 15Nanni Bassetti
L’identificazione ed acquisizione
Analisi Post Mortem
Il dispositivo è spento quindi è necessario acquisire tutti i dati presenti sul disco rigido in maniera raw o bit a bit.
Così da avere un clone perfetto dell’hard disk, compresi i files cancellati e lo slack space su un supporto esterno oppure un file immagine.
Verificare tutto con i codici di hash MD5 e SHA1 o altri.
http://www.cfitaly.net 16Nanni Bassetti
La codifica HASHHASH -> Fonte: Wikipedia
• Nel linguaggio scientifico, l'hash è una funzione
univoca operante in un solo senso (ossia, che non
può essere invertita), atta alla trasformazione di un
testo di lunghezza arbitraria in una stringa di
lunghezza fissa, relativamente limitata. Tale stringa
rappresenta una sorta di "impronta digitale" del testo
in chiaro, e viene detta valore di hash, checksum
crittografico o message digest.
L(lenght)= X bits , 4 bits (nibble) sono una cifra Hex quindi X/4=numero cifrehex generate.
MD5: L=128bits genera una stringa di 128/4=32 hex chars
http://www.cfitaly.net 18Nanni Bassetti
La codifica HASHFonte: Wikipedia
Un attacco preimage su un hash è un tentativo di trovare un messaggio che abbia uno specifico valore hash. Ci sono due tipi di attacchi preimage:
� Primo attacco preimage: Dato un hash h, A trovare un messaggio m tale che hash (m) = h.
� Secondo preimage attacco: Dato un messaggio fisso m1, Trovare un messaggio diverso m2 tale che hash (m2) = hash (M1).
http://www.cfitaly.net 19Nanni Bassetti
La codifica HASHFonte: Wikipedia
Un attacco collisione su un hash è un
tentativo di trovare due contenuti che
generino lo stesso hash.
hash(m1)=hash(m2)
Differisce dal second preimage nel fatto che
non c’è un m1 preordinato.
http://www.cfitaly.net 20Nanni Bassetti
La codifica HASHhttp://tools.ietf.org/html/rfc4270
There are two categories of attacks.
Attacks against the "collision-free" property:
� A "collision attack" allows an attacker to find two messages M1 and M2 that have the same hashvalue in fewer than 2^(L/2) attempts.
Attacks against the "one-way" property:
� A "first-preimage attack" allows an attacker who knows a desired hash value to find a messagethat results in that value in fewer than 2^L attempts.
� A "second-preimage attack" allows an attacker who has a desired message M1 to find anothermessage M2 that has the same hash value in fewer than 2^L attempts.
The two preimage attacks are very similar. In a first-preimage attack, you know a hash value but notthe message that created it, and you want to discover any message with the known hash value; in the second-preimage attack, you have a message and you want to find a second message that
has the same hash. Attacks that can find one type of preimage can often find the other as well.
All the currently known practical or almost-practical attacks on MD5 and SHA-1 are
collision attacks.A preimaging attack that costs trillions of dollars and takes decades to preimage one desired
hash value or one message is not practical; one that costs a few thousand dollars and takes a few weeks might be very practical.
http://www.cfitaly.net 22Nanni Bassetti
Sulla scena del crimine
EVITARE di:
1) Aver fretta.
2) Improvvisarsi esperti su sistemi sconosciuti.
3) Usare strumenti non collaudati e/o improvvisati.
4) Esprimere pareri personali, NOI siamo TECNICI non Avvocati o Psicologi.
5) Rilevare sempre il tempo e la data usando strumenti affidabili e attenzione al
formato (GMT o UTC).
http://www.cfitaly.net 26Nanni Bassetti
Impacchettamento
Conservazione del disco originale e
creazione della catena di custodia,
ossia seriale, hash, passaggi di
mano, ecc.
http://www.cfitaly.net 27Nanni Bassetti
MOBILE DEVICES� PDA, Cell Phone & Digital Camera
� Personal digital assistants, cell
phones e le digital cameras possono
conservare dati direttamente nella
memoria interna o possono
contenere memorie rimovibili.
� • Se il dispositivo è “off”, non metterlo in
“on”. (in pratica non accenderlo!) in situ.
http://www.cfitaly.net 28Nanni Bassetti
MOBILE DEVICES•Lasciare accesi i mobile device serve ad evitare che
all’accensione si presentino password o altri blocchi ed isolarlo dal campo.
• Se possibile, fotografare il display e le schermate.
• Etichettare e acquisire tutti i cavi (compresi quelli di alimentazione) e portarli insieme al dispositivo.
• Mantenere il dispositivo in carica.
• Se il dispositivo non può essere mantenuto in carica, l’analisi deve essere fatta prima che si scarichi la batteria per collezionare più dati possibili, che potrebbero andar persi dopo lo spegnimento e la riaccensione.
• Sequestrare media aggiuntivi (memory sticks, compact flash, etc) e tenerle lontano da fonti magnetiche o radio.
• Documentare ogni passo fatto.
http://www.cfitaly.net 29Nanni Bassetti
Check this out !� Usare i guanti elettrostatici.
� Fotografare e documentare tutte le fasi di acquisizione
� Utilizzare dischi affidabili.
� Consigliabile l’utilizzare del write blocker hardware per proteggere i dischi sorgente
� Calcolare sempre il codice hash del disco sorgente e dei file interessanti
� Utilizzare buste elettrostatiche e impacchettare i dischi in contenitori anticaduta
� Analizzare i dispositivi in ambiente sicuro.
� Garantire la riservatezza, integrità e disponibilità dei dati trattati
� A fine incarico, ove possibile, non conservare i dati acquisiti.
� Di fronte ad un sistema non conosciuto non improvvisare ma prendere le opportune precauzioni con i giusti tempi.
http://www.cfitaly.net 30Nanni Bassetti
Live Analysis
� Se sulla scena criminis l’informazione si trova su un sistema acceso?
� Se il computer non può essere spento per motivi di sicurezza? (es. computer medicali, militari, videosorveglianza, ecc.)
� Se lo spegnimento del computer creasse danno anche a terzi? (es. server di posta elettronica, database server, ecc,)
http://www.cfitaly.net 31Nanni Bassetti
Live Analysis
� Altri casi:
� Il disco è criptato
� Ciò che si cerca è in RAM
� L’accesso al sistema è biometrico (impronta, retina, ecc.)
Allora si esegue un’analisi “live” del sistema:
� Uso di determinati tool
� Reporting di tutte le operazioni svolte
� Si procede seguendo l’ordine di volatilità
http://www.cfitaly.net 32Nanni Bassetti
Live Analysis
� Registri di sistema
� Memoria cache
� Memoria delle periferiche (es. tabelle di routing)
� Processi in esecuzione
� Dischi
� Dati di log remoto e dati di controllo rilevanti per il sistema in esame
� Configurazione fisica del sistema informatico
� Topologia della rete
� Floppy
� CD/DVD e supporti ottici
http://www.cfitaly.net 33Nanni Bassetti
L’identificazione ed acquisizioneNon ci soffermeremo molto sulle regole dell’analisi live perché è legata
ad un evento in fieri ed è meno frequente…
� RAM dump (win32dd, mdd, memimage, FTK Imager)
� Acquisition of volatile system information (processes, sysinternals, nirsoft, wft, ecc.)
� Logical copying of files
� Live acquisition of the entire system (FTK Imager, dd, ecc.)
Si ricordino dei semplici principi:
http://www.cfitaly.net 34Nanni Bassetti
L’identificazione ed acquisizione
1) Non spegnere il sistema con la procedura di spegnimento
2) Non usare programmi della macchina sospetta
3) Dump della RAM (quando e se possibile)
4) Cercare di copiare i media bit a bit
5) Lanciare un programma di listing dei processi, utenti, insomma salvare
tutte le informazioni di runtime
6) Scollegarlo dalla rete se non serve essere connessi
7) Documentare tutto quello che si sta facendo
8) Eseguire tutti i tools (esterni) di Live Analisys
9) Principio di inderterminazione di Heisenberg (gatto di Schroedinger)
http://www.cfitaly.net 35Nanni Bassetti
L’Analisi
1. L’analisi va effettuata sempre sulle copie
e MAI sull’originale.
2. Si usino tools accettati de facto dalla
comunità scientifica
3. Open Source Vs Closed Source
4. L’esperienza e la fantasia
5. Il profiling
http://www.cfitaly.net 36Nanni Bassetti
L’Analisi
Tutte le analisi e ricerche devono essere
eseguite sulla copia (meglio se copia
della copia)
In ambiente virtuale (VMWare,
Qemu,Virtualbox, ecc.)
Questo per il fine della ripetibilità
http://www.cfitaly.net 37Nanni Bassetti
L’Analisi
I tools possono essere commerciali o open
source, l’importante che siano accettati
dalla comunità dei C.F. experts, al fine di
fugare dubbi sull’affidabilità dello
strumento usato.
In caso di sviluppo di strumenti nuovi, è utile
fornire il codice sorgente.
http://www.cfitaly.net 38Nanni Bassetti
L’Analisi
I tools commerciali potrebbero avere varie
problematiche, come tutto ciò di cui non
si conosce il sorgente:
1) Bugs
2) Formati troppo proprietari
3) Fine dello sviluppo del sw
http://www.cfitaly.net 39Nanni Bassetti
L’Analisi
I tools Open Source hanno dei vantaggi
indiscutibili:
1) Controllo dei Bugs da parte della
community degli sviluppatori
2) Formati aperti e compatibili
3) Sorgenti aperti a tutti -> Si sa cosa fanno
http://www.cfitaly.net 40Nanni Bassetti
L’Analisi
La scelta NON deve essere radicale, ci sono
sw commerciali che fanno cose che gli open
source non fanno e viceversa
http://www.cfitaly.net 42Nanni Bassetti
L’Analisi
Live distro Linux:
1.CAINE
2.DEFT
3.FORLEX
4.FCCU
5.HELIX
TOOLS OPEN SOURCE:
http://www.cfitaly.net 45Nanni Bassetti
Write Blocker & Co.FONTE: http://www.marcomattiucci.it/writeblockers.php
I write-blocker sono di tre tipologie fondamentali:
� (a) Firmware based: orientati ad impiegare le primitive del BIOS ed a gestire la loro inibizione in qualsiasi tipo di scrittura;
� (b) Software o Driver based: sono software di basso livello (in ambiente windows dei driver) orientati ad intercettare qualsiasi interruzione hardware o software che diriga qualsiasi tipo di scrittura verso la memoria di massa considerata. In questo caso è quindi il sistema operativo ad impedire l'alterazione e non il BIOS. Sempre di conseguenza eventuali bug del sistema operativo hanno un immediato effetto sulla garanzia di funzionamento del write-blocker.
� (c) Hardware based: sono veri e propri dispositivi elettronici che "tagliano" il bus di comunicazione tra unità di storage fisica e scheda madre (generalmente) e si interpongono come intermediari valutando ed eventualmente inibendo tutto ciò che entra ed esce dal dispositivo target.
http://www.cfitaly.net 46Nanni Bassetti
L’Analisi
• ◦Encase(GuidanceSoftware)
• ◦ForensicToolkit (Access Data)
• ◦X-WaysForensic(X-Ways)
• ◦P2 Commander(Paraben Corporation)
• ◦Pro Discover(TechnologyPathways)
• ◦Macintosh Forensic(Blackbag)
TOOLS CLOSED SOURCE:
http://www.cfitaly.net 47Nanni Bassetti
L’Analisi
Non bastano solo i tools a scoprire le prove ci vuole anche:
� Esperienza
� Fantasia
� Arte
� Magia ;-)
A volte le prove sono in posti introvabili, protette da password, dentro le
immagini (steganografia), nelle thumbnails, in files con headers modificati, su
server internet, ecc. ecc.
http://www.cfitaly.net 48Nanni Bassetti
Reporting e Presentazione
Dall’acquisizione sino alla consegna delle prove il tutto
deve essere documentato con i moduli della CATENA
DI CUSTODIA (verbali), in modo da avere sempre la
tracciabilità della prova.
Alla fine dell’analisi, bisognerà ricostruire gli eventi accaduti
sul dispositivo analizzato e tutti i passi eseguiti per
l’analisi, per poi spiegarli nel report finale da
consegnare a chi di competenza (PM, Avvocati, P.G.,
ecc.) [Premessa (riportante i quesiti e l’incarico) –
Operazioni svolte – Risposta ai quesiti – Conclusioni]
http://www.cfitaly.net 49Nanni Bassetti
Reporting e Presentazione
Il report non deve essere scritto in linguaggio “stregonesco informatico”, ma deve essere il più semplice e chiaro possibile, per ovvie ragioni….
Le prove vanno registrate su supporti ottici/magnetici e codificate con hash MD5, SHA1
Personalmente firmo anche col pennarello i supporti consegnati ☺
http://www.cfitaly.net 50Nanni Bassetti
LA FORENSICS STATION
� Un computer abbastanza potente
� Hard disk esterni firewire/usb2/ata/sata
� Write blocker
� Software O.S. / C.S.
� Scheda di rete (alta velocità)
� Masterizzatore DVD
http://www.cfitaly.net 51Nanni Bassetti
ACCERTAMENTI TECNICI RIPETIBILI E NON
RIPETIBILIAccertamenti tecnici
(fonte http://www.crimine.it/pagina.asp?ID=165)
PREMESSA:E’ opportuno premettere che la dizione “Accertamenti Tecnici Ripetibili” non è contemplata nel c.p.p., si può però affermare che rientrano in questa categoria tutti quelli a cui fa riferimento l’Art.359 c.p.p. e cioè tutti gli accertamenti svolti dai consulenti Tecnici del P.M. ma con i limiti previsti dall’Art. 360 c.p.p. la cui dizione “Accertamenti Tecnici non Ripetibili” impone precisi obblighi al P.M..
E’ ovvio pertanto che tutto quanto non rientra nelle disposizioni del predetto articolo 360 èchiaramente “ripetibile”.
L’Art. 359 c.p.p. (Consulenti tecnici del P.M.) prevede che il P.M., quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. Il consulente può essere autorizzato dal P.M. ad assistere a singoli atti di indagine.
L’Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili) prevede che, quando gli accertamenti previsti dall’artt. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il P.M. avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici. I difensori nonché i consulenti tecnici eventualmente nominati, hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni o riserve.
IMPORTANTI: Legge 48/2008 e DPR 115/2002
http://www.cfitaly.net 52Nanni Bassetti
Links interessanti:� http://www.cfitaly.net
http://www.nannibassetti.com/dblog
� http://www.denisfrati.it
� http://www.caine-live.net (CAINE)
� http://www2.opensourceforensics.org/ (Carrier)
� http://www.cybercrimes.it
� http://www.ictlex.com
� http://www.iisfa.it/
� http://forensics.typepad.com/
� http://www.marcomattiucci.it/
� http://www.ossblog.it/
� http://www.forensicswiki.org/
� http://www.forensicfocus.com
� http://sourceforge.net/apps/mediawiki/air-imager/index.php?title=Main_Page (AIR)
� www.guidancesoftware.com/ (ENCASE)
� www.accessdata.com/products/ (UTK)
� http://www.techpathways.com/ProDiscoverDFT.htm (PRODISCOVER)
� http://www.e-fense.com/helix/forum/index.php (HELIX)
� www.winhex.com/ (X-Ways)
� http://scripts4cf.sourceforge.net/
� http://sfdumper.sourceforge.net/
http://www.cfitaly.net 53Nanni Bassetti
Conclusioni
Arrivederci e buona caccia! ☺
Queste slides sono rilasciate con licenza
Creative Commons
“Attribuzione-Non commerciale-Condividi allo stesso modo 2.5”
, il cui testo e’ disponibile sul sito
http://creativecommons.org/licenses/by-ncsa/2.5/it/legalcode
http://www.cfitaly.net 54Nanni Bassetti
CONTATTI
NBS di Nanni Bassetti
Information Technology Consultant
http://www.nannibassetti.com/
E-Mail: [email protected]
Cell. +39-3476587097