nanni bassetti - smau bari 2011

Nanni Bassetti http://www.cfitaly.net 1

Digital Forensics

Best Practices

Di Nanni Bassetti

www.nannibassetti.com

http://www.cfitaly.net 2Nanni Bassetti

Definizione

La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una fonte di prova digitale, preservandola da eventuali alterazioni.

Scientifica: ripetibile (Galileo Galilei)è la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell'esperimento.

Fonte di prova: deve garantire il suo uso in tribunale


La STORIA1984 FBI Magnetic Media Program created... this later becomes the Computer

Analysis and Response Team (CART)

1995 International Organization on Computer Evidence (IOCE) formed

� RFC3227 -Guidelines for Evidence Collection and Archiving (2002)

� USA –Department of Justice -Searchingand SeizingComputers(2002)

� USA –IACP -Best Practices for Seizing Electronic Evidence (2006)

� USA –DoJ–Electronic Crime Scene Investigation v. 2 (2008)

� UK –ACPO –Computer Based Evidence Guidelines v.4 (2008) - Associationof Chief Police Officers (ACPO) guidelines

Computer Forensics Tool Testing (CFTT) by NIST (National Institute of Standards and Technology)


Definizione

I campi d’azione della Digital Forensics sono:

1) Indagini interne ad una azienda

2) Supporto alla Polizia Giudiziaria ed ai PM (CTU)

3) Supporto ai privati indagati (CTP)

4) Valutazione danni

5) Spionaggio

6) Frode

7) Pedopornografia

8) Violazione policy

9) Ricatto

10) Terrorismo


DefinizioneLe fasi principali sono 4:

1) Identificazione

2) Acquisizione

3) Analisi e valutazione

4) Presentazione


L’identificazione ed acquisizione

Sulla scena del crimine bisogna, innanzi

tutto, identificare ogni dispositivo che

possa contenere fonti di prova (digital

evidences), per poi acquisirlo.



Attualmente i dispositivi digitali che possono

contenere le prove sono tantissimi e spesso

sono così, inseriti nel nostro habitat da non

farci più caso.

Esempi:

1) Computers

2) Memory cards

3) Nastri digitali



5) SIM cards

6) Cd-DVD rom

7) Smart printers

8) Smart Fax

9) Lettori MP3/AVI

10) Playstation et similia

11) ecc.



Al momento dell’analisi della scena si dovrà

capire cosa prendere per poi analizzarlo.

Durante i sequestri si potrebbero ignorare o

tralasciare alcuni dispositivi che

potrebbero contenere informazioni

preziose.



Non è detto che la prova, la cosidetta

“smoking gun” sia sul computer di casa….

Anzi potrebbe essere su un DVD con la

copertina degli “Aristogatti” di Walt Disney



� Nella fase di sequestro si potrebbero

commettere degli errori.

� Questo perché la D.F. è ancora una

scienza senza protocollo comune.

� Non ci si preoccupa della ripetibilità del

metodo utilizzato



� Non ci si preoccupa della preservazione

della prova

� Non ci si preoccupa della catena di

custodia e del corretto modo di presentare

i risultati delle indagini informatiche

(reporting)



La D.F. si divide in 2 branche la live analisys

e la post mortem

Ognuna di esse ha regole diverse, dato che

la live è un’analisi su un sistema acceso

ed in funzione

La post mortem è su un sistema spento



Analisi Post Mortem

Il dispositivo è spento quindi è necessario acquisire tutti i dati presenti sul disco rigido in maniera raw o bit a bit.

Così da avere un clone perfetto dell’hard disk, compresi i files cancellati e lo slack space su un supporto esterno oppure un file immagine.

Verificare tutto con i codici di hash MD5 e SHA1 o altri.


La codifica HASHHASH -> Fonte: Wikipedia

• Nel linguaggio scientifico, l'hash è una funzione

univoca operante in un solo senso (ossia, che non

può essere invertita), atta alla trasformazione di un

testo di lunghezza arbitraria in una stringa di

lunghezza fissa, relativamente limitata. Tale stringa

rappresenta una sorta di "impronta digitale" del testo

in chiaro, e viene detta valore di hash, checksum

crittografico o message digest.

L(lenght)= X bits , 4 bits (nibble) sono una cifra Hex quindi X/4=numero cifrehex generate.

MD5: L=128bits genera una stringa di 128/4=32 hex chars


Fonte: Wikipedia


La codifica HASHFonte: Wikipedia

Un attacco preimage su un hash è un tentativo di trovare un messaggio che abbia uno specifico valore hash. Ci sono due tipi di attacchi preimage:

� Primo attacco preimage: Dato un hash h, A trovare un messaggio m tale che hash (m) = h.

� Secondo preimage attacco: Dato un messaggio fisso m1, Trovare un messaggio diverso m2 tale che hash (m2) = hash (M1).


La codifica HASHFonte: Wikipedia

Un attacco collisione su un hash è un

tentativo di trovare due contenuti che

generino lo stesso hash.

hash(m1)=hash(m2)

Differisce dal second preimage nel fatto che

non c’è un m1 preordinato.


La codifica HASHhttp://tools.ietf.org/html/rfc4270

There are two categories of attacks.

Attacks against the "collision-free" property:

� A "collision attack" allows an attacker to find two messages M1 and M2 that have the same hashvalue in fewer than 2^(L/2) attempts.

Attacks against the "one-way" property:

� A "first-preimage attack" allows an attacker who knows a desired hash value to find a messagethat results in that value in fewer than 2^L attempts.

� A "second-preimage attack" allows an attacker who has a desired message M1 to find anothermessage M2 that has the same hash value in fewer than 2^L attempts.

The two preimage attacks are very similar. In a first-preimage attack, you know a hash value but notthe message that created it, and you want to discover any message with the known hash value; in the second-preimage attack, you have a message and you want to find a second message that

has the same hash. Attacks that can find one type of preimage can often find the other as well.

All the currently known practical or almost-practical attacks on MD5 and SHA-1 are

collision attacks.A preimaging attack that costs trillions of dollars and takes decades to preimage one desired

hash value or one message is not practical; one that costs a few thousand dollars and takes a few weeks might be very practical.


Sulla scena del crimine



EVITARE di:

1) Aver fretta.

2) Improvvisarsi esperti su sistemi sconosciuti.

3) Usare strumenti non collaudati e/o improvvisati.

4) Esprimere pareri personali, NOI siamo TECNICI non Avvocati o Psicologi.

5) Rilevare sempre il tempo e la data usando strumenti affidabili e attenzione al

formato (GMT o UTC).



UFED

CellDek

Mobile Forensics


Impacchettamento

Conservazione del disco originale e

creazione della catena di custodia,

ossia seriale, hash, passaggi di

mano, ecc.


MOBILE DEVICES� PDA, Cell Phone & Digital Camera

� Personal digital assistants, cell

phones e le digital cameras possono

conservare dati direttamente nella

memoria interna o possono

contenere memorie rimovibili.

� • Se il dispositivo è “off”, non metterlo in

“on”. (in pratica non accenderlo!) in situ.


MOBILE DEVICES•Lasciare accesi i mobile device serve ad evitare che

all’accensione si presentino password o altri blocchi ed isolarlo dal campo.

• Se possibile, fotografare il display e le schermate.

• Etichettare e acquisire tutti i cavi (compresi quelli di alimentazione) e portarli insieme al dispositivo.

• Mantenere il dispositivo in carica.

• Se il dispositivo non può essere mantenuto in carica, l’analisi deve essere fatta prima che si scarichi la batteria per collezionare più dati possibili, che potrebbero andar persi dopo lo spegnimento e la riaccensione.

• Sequestrare media aggiuntivi (memory sticks, compact flash, etc) e tenerle lontano da fonti magnetiche o radio.

• Documentare ogni passo fatto.


Check this out !� Usare i guanti elettrostatici.

� Fotografare e documentare tutte le fasi di acquisizione

� Utilizzare dischi affidabili.

� Consigliabile l’utilizzare del write blocker hardware per proteggere i dischi sorgente

� Calcolare sempre il codice hash del disco sorgente e dei file interessanti

� Utilizzare buste elettrostatiche e impacchettare i dischi in contenitori anticaduta

� Analizzare i dispositivi in ambiente sicuro.

� Garantire la riservatezza, integrità e disponibilità dei dati trattati

� A fine incarico, ove possibile, non conservare i dati acquisiti.

� Di fronte ad un sistema non conosciuto non improvvisare ma prendere le opportune precauzioni con i giusti tempi.


Live Analysis

� Se sulla scena criminis l’informazione si trova su un sistema acceso?

� Se il computer non può essere spento per motivi di sicurezza? (es. computer medicali, militari, videosorveglianza, ecc.)

� Se lo spegnimento del computer creasse danno anche a terzi? (es. server di posta elettronica, database server, ecc,)


Live Analysis

� Altri casi:

� Il disco è criptato

� Ciò che si cerca è in RAM

� L’accesso al sistema è biometrico (impronta, retina, ecc.)

Allora si esegue un’analisi “live” del sistema:

� Uso di determinati tool

� Reporting di tutte le operazioni svolte

� Si procede seguendo l’ordine di volatilità


Live Analysis

� Registri di sistema

� Memoria cache

� Memoria delle periferiche (es. tabelle di routing)

� Processi in esecuzione

� Dischi

� Dati di log remoto e dati di controllo rilevanti per il sistema in esame

� Configurazione fisica del sistema informatico

� Topologia della rete

� Floppy

� CD/DVD e supporti ottici


L’identificazione ed acquisizioneNon ci soffermeremo molto sulle regole dell’analisi live perché è legata

ad un evento in fieri ed è meno frequente…

� RAM dump (win32dd, mdd, memimage, FTK Imager)

� Acquisition of volatile system information (processes, sysinternals, nirsoft, wft, ecc.)

� Logical copying of files

� Live acquisition of the entire system (FTK Imager, dd, ecc.)

Si ricordino dei semplici principi:



1) Non spegnere il sistema con la procedura di spegnimento

2) Non usare programmi della macchina sospetta

3) Dump della RAM (quando e se possibile)

4) Cercare di copiare i media bit a bit

5) Lanciare un programma di listing dei processi, utenti, insomma salvare

tutte le informazioni di runtime

6) Scollegarlo dalla rete se non serve essere connessi

7) Documentare tutto quello che si sta facendo

8) Eseguire tutti i tools (esterni) di Live Analisys

9) Principio di inderterminazione di Heisenberg (gatto di Schroedinger)


L’Analisi

1. L’analisi va effettuata sempre sulle copie

e MAI sull’originale.

2. Si usino tools accettati de facto dalla

comunità scientifica

3. Open Source Vs Closed Source

4. L’esperienza e la fantasia

5. Il profiling


L’Analisi

Tutte le analisi e ricerche devono essere

eseguite sulla copia (meglio se copia

della copia)

In ambiente virtuale (VMWare,

Qemu,Virtualbox, ecc.)

Questo per il fine della ripetibilità


L’Analisi

I tools possono essere commerciali o open

source, l’importante che siano accettati

dalla comunità dei C.F. experts, al fine di

fugare dubbi sull’affidabilità dello

strumento usato.

In caso di sviluppo di strumenti nuovi, è utile

fornire il codice sorgente.


L’Analisi

I tools commerciali potrebbero avere varie

problematiche, come tutto ciò di cui non

si conosce il sorgente:

1) Bugs

2) Formati troppo proprietari

3) Fine dello sviluppo del sw


L’Analisi

I tools Open Source hanno dei vantaggi

indiscutibili:

1) Controllo dei Bugs da parte della

community degli sviluppatori

2) Formati aperti e compatibili

3) Sorgenti aperti a tutti -> Si sa cosa fanno


L’Analisi

La scelta NON deve essere radicale, ci sono

sw commerciali che fanno cose che gli open

source non fanno e viceversa


L’Analisi

Live distro Linux:

1.CAINE

2.DEFT

3.FORLEX

4.FCCU

5.HELIX

TOOLS OPEN SOURCE:


Write Blocker & Co.


Write Blocker & Co.FONTE: http://www.marcomattiucci.it/writeblockers.php

I write-blocker sono di tre tipologie fondamentali:

� (a) Firmware based: orientati ad impiegare le primitive del BIOS ed a gestire la loro inibizione in qualsiasi tipo di scrittura;

� (b) Software o Driver based: sono software di basso livello (in ambiente windows dei driver) orientati ad intercettare qualsiasi interruzione hardware o software che diriga qualsiasi tipo di scrittura verso la memoria di massa considerata. In questo caso è quindi il sistema operativo ad impedire l'alterazione e non il BIOS. Sempre di conseguenza eventuali bug del sistema operativo hanno un immediato effetto sulla garanzia di funzionamento del write-blocker.

� (c) Hardware based: sono veri e propri dispositivi elettronici che "tagliano" il bus di comunicazione tra unità di storage fisica e scheda madre (generalmente) e si interpongono come intermediari valutando ed eventualmente inibendo tutto ciò che entra ed esce dal dispositivo target.


L’Analisi

• ◦Encase(GuidanceSoftware)

• ◦ForensicToolkit (Access Data)

• ◦X-WaysForensic(X-Ways)

• ◦P2 Commander(Paraben Corporation)

• ◦Pro Discover(TechnologyPathways)

• ◦Macintosh Forensic(Blackbag)

TOOLS CLOSED SOURCE:


L’Analisi

Non bastano solo i tools a scoprire le prove ci vuole anche:

� Esperienza

� Fantasia

� Arte

� Magia ;-)

A volte le prove sono in posti introvabili, protette da password, dentro le

immagini (steganografia), nelle thumbnails, in files con headers modificati, su

server internet, ecc. ecc.


Reporting e Presentazione

Dall’acquisizione sino alla consegna delle prove il tutto

deve essere documentato con i moduli della CATENA

DI CUSTODIA (verbali), in modo da avere sempre la

tracciabilità della prova.

Alla fine dell’analisi, bisognerà ricostruire gli eventi accaduti

sul dispositivo analizzato e tutti i passi eseguiti per

l’analisi, per poi spiegarli nel report finale da

consegnare a chi di competenza (PM, Avvocati, P.G.,

ecc.) [Premessa (riportante i quesiti e l’incarico) –

Operazioni svolte – Risposta ai quesiti – Conclusioni]


Reporting e Presentazione

Il report non deve essere scritto in linguaggio “stregonesco informatico”, ma deve essere il più semplice e chiaro possibile, per ovvie ragioni….

Le prove vanno registrate su supporti ottici/magnetici e codificate con hash MD5, SHA1

Personalmente firmo anche col pennarello i supporti consegnati ☺


LA FORENSICS STATION

� Un computer abbastanza potente

� Hard disk esterni firewire/usb2/ata/sata

� Write blocker

� Software O.S. / C.S.

� Scheda di rete (alta velocità)

� Masterizzatore DVD


ACCERTAMENTI TECNICI RIPETIBILI E NON

RIPETIBILIAccertamenti tecnici

(fonte http://www.crimine.it/pagina.asp?ID=165)

PREMESSA:E’ opportuno premettere che la dizione “Accertamenti Tecnici Ripetibili” non è contemplata nel c.p.p., si può però affermare che rientrano in questa categoria tutti quelli a cui fa riferimento l’Art.359 c.p.p. e cioè tutti gli accertamenti svolti dai consulenti Tecnici del P.M. ma con i limiti previsti dall’Art. 360 c.p.p. la cui dizione “Accertamenti Tecnici non Ripetibili” impone precisi obblighi al P.M..

E’ ovvio pertanto che tutto quanto non rientra nelle disposizioni del predetto articolo 360 èchiaramente “ripetibile”.

L’Art. 359 c.p.p. (Consulenti tecnici del P.M.) prevede che il P.M., quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. Il consulente può essere autorizzato dal P.M. ad assistere a singoli atti di indagine.

L’Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili) prevede che, quando gli accertamenti previsti dall’artt. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il P.M. avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici. I difensori nonché i consulenti tecnici eventualmente nominati, hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni o riserve.

IMPORTANTI: Legge 48/2008 e DPR 115/2002


Links interessanti:� http://www.cfitaly.net

http://www.nannibassetti.com/dblog

� http://www.denisfrati.it

� http://www.caine-live.net (CAINE)

� http://www2.opensourceforensics.org/ (Carrier)

� http://www.cybercrimes.it

� http://www.ictlex.com

� http://www.iisfa.it/

� http://forensics.typepad.com/

� http://www.marcomattiucci.it/

� http://www.ossblog.it/

� http://www.forensicswiki.org/

� http://www.forensicfocus.com

� http://sourceforge.net/apps/mediawiki/air-imager/index.php?title=Main_Page (AIR)

� www.guidancesoftware.com/ (ENCASE)

� www.accessdata.com/products/ (UTK)

� http://www.techpathways.com/ProDiscoverDFT.htm (PRODISCOVER)

� http://www.e-fense.com/helix/forum/index.php (HELIX)

� www.winhex.com/ (X-Ways)

� http://scripts4cf.sourceforge.net/

� http://sfdumper.sourceforge.net/


Conclusioni

Arrivederci e buona caccia! ☺

Queste slides sono rilasciate con licenza

Creative Commons

“Attribuzione-Non commerciale-Condividi allo stesso modo 2.5”

, il cui testo e’ disponibile sul sito

http://creativecommons.org/licenses/by-ncsa/2.5/it/legalcode


CONTATTI

NBS di Nanni Bassetti

Information Technology Consultant

http://www.nannibassetti.com/

E-Mail: [email protected]

Cell. +39-3476587097

nanni bassetti - smau bari 2011

Technology

nanni bassettilidentificazione

nanni bassetti http

computer di casa

fonte di prova digitale

usa department

standards and technologyhttp

ctu3 supporto

azienda2 supporto