SlideShare una empresa de Scribd logo

DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

Sandro Rossetti
Sandro Rossetti
1 de 20
Descargar para leer sin conexión
DART Creative Commons Attribuzione-Non opere derivate 2.5 Dott. Stefano Fratepietro Dott. Massimiliano Dal Cero Next generation IR tool deftcon 2012 Maxi aula 1 - Palazzo di Giustizia di Torino venerdì 6 aprile 2012
Incident Response Un incidente informatico è un evento identificato su un determinato sistema informatico che possa ledere alla stabilità e alla sicurezza del sistema stesso. • L’evento può essere accertato o presunto • Segnalato da un utente o dai sistemi di monitoraggio venerdì 6 aprile 2012
First responder First responder • E’ il soggetto che arriva per primo sulla scena del crimine e che accederà per primo al sistema oggetto di indagine • E’ responsabile dell’analisi e della preservazione dell’originalità del dato venerdì 6 aprile 2012
First responder • Identifica gli oggetti coinvolti • Protegge la scena del crimine da eventuali alterazioni dovute da attività invasive dei propri colleghi • Raccoglie tutte le informazioni, digitali e non, utili al caso • Crea una relazione di first response con le attività svolte • Appone, ove necessario, gli opportuni sigilli per evitare alterazioni future venerdì 6 aprile 2012
First responder Joint special operation university https://jsou.socom.mil/Pages/Default.aspx https://jsou.socom.mil/Pages/2009JSOUPublications.aspx venerdì 6 aprile 2012
Tante soluzioni ma sparse e poco note • Mancanza di uno strumento personalizzabile senza l’obbligo di ricompilare codice sorgente • Assenza di raccolte di applicativi ottimizzati per attività di Incident Response • Assenza di strumenti di controllo dell’integrità dei propri applicativi in tempo reale venerdì 6 aprile 2012
IR pronto all’uso DART • Controllo dell’integrità dell’applicativo prima dell’avvio • Alto livello di personalizzazione • Applicativi, liberamente re-distribuibili per licenza d’uso, per eseguire attività di IR e Live Forensics • Binari dei principali sistemi operativi Windows, Linux e OS X venerdì 6 aprile 2012
DART ObjectPascal (Delphi) Open Source Creazione di binari puri (no FW) Linguaggio multi piattaforma venerdì 6 aprile 2012
DART Directory Tree venerdì 6 aprile 2012
DART XML Conf venerdì 6 aprile 2012
DART XML Conf venerdì 6 aprile 2012
DART XML Conf (empty) venerdì 6 aprile 2012
DART AUDIT LOG venerdì 6 aprile 2012
DART - Potenzialità • Acquisizione memorie di massa • Dump memoria ram • Calcolo di hash • Analisi processi • Analisi traffico di rete • Analisi registro di Windows • Antimalware e Antirootkit • Time line degli eventi del sistema • Analisi navigazione Internet e posta elettronica • Password cracking E molto altro... venerdì 6 aprile 2012
Esempio Caso D’uso avvio smartSniff e indago su attività anomale di rete venerdì 6 aprile 2012
Esempio Caso D’uso indago sulle socket aperte e il relativi processi venerdì 6 aprile 2012
Esempio Caso D’uso analizzo il processo venerdì 6 aprile 2012
Esempio Caso D’uso analizzo le dll associate al processo venerdì 6 aprile 2012
Controllo degli hash dei file di interesse Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare? http://www.nsrl.nist.gov The National Software Reference Library (NSRL) Si se ho pochi sistemi... in alternativa: 19 venerdì 6 aprile 2012
Grazie per lʼattenzione. Dott. Stefano Fratepietro stefano@deftlinux.net steve.deftlinux.net Twitter: stevedeft Domande? Dott. Massimiliano Dal Cero massimiliano@deftlinux.net Twitter: yattamax venerdì 6 aprile 2012

Recomendados

DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...Sandro Rossetti
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigation2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigationDavide Gabrini
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 

Recomendados

DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...Sandro Rossetti
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigation2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigationDavide Gabrini
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...Edoardo E. Artese
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...Luca Dalle Vedove
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmateAlessandro Selli
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 
DPI overview
DPI overviewDPI overview
DPI overviewLuca Lomi
 
Offensive security con strumenti open source
Offensive security con strumenti open sourceOffensive security con strumenti open source
Offensive security con strumenti open sourcePordenone LUG
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensicsitis e.divini san severino marche
 
Open data e Open Source: l'accoppiata vincente e concreta.
Open data e Open Source: l'accoppiata vincente e concreta.Open data e Open Source: l'accoppiata vincente e concreta.
Open data e Open Source: l'accoppiata vincente e concreta.Antonio De Marinis
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
IoT e l'integrazione cloud edge
IoT e l'integrazione cloud edgeIoT e l'integrazione cloud edge
IoT e l'integrazione cloud edgeOpenIO Object Storage
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIOVMUG IT
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineSandro Rossetti
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...ciii_inginf
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualSandro Rossetti
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Sandro Rossetti
 

Más contenido relacionado

Similar a DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...Edoardo E. Artese
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...Luca Dalle Vedove
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 
DPI overview
DPI overviewDPI overview
DPI overviewLuca Lomi
 
Offensive security con strumenti open source
Offensive security con strumenti open sourceOffensive security con strumenti open source
Offensive security con strumenti open sourcePordenone LUG
 
Open data e Open Source: l'accoppiata vincente e concreta.
Open data e Open Source: l'accoppiata vincente e concreta.Open data e Open Source: l'accoppiata vincente e concreta.
Open data e Open Source: l'accoppiata vincente e concreta.Antonio De Marinis
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIOVMUG IT
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineSandro Rossetti
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...ciii_inginf
 

Similar a DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools (20)

Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
Intelligenza Artificiale e Robotica - Applicazioni industriali e responsabili...
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
Analisi di strumenti per la raccolta automatica di informazioni al fine di at...
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'
 
DPI overview
DPI overviewDPI overview
DPI overview
 
Offensive security con strumenti open source
Offensive security con strumenti open sourceOffensive security con strumenti open source
Offensive security con strumenti open source
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Open data e Open Source: l'accoppiata vincente e concreta.
Open data e Open Source: l'accoppiata vincente e concreta.Open data e Open Source: l'accoppiata vincente e concreta.
Open data e Open Source: l'accoppiata vincente e concreta.
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
IoT e l'integrazione cloud edge
IoT e l'integrazione cloud edgeIoT e l'integrazione cloud edge
IoT e l'integrazione cloud edge
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
 
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
 

Más de Sandro Rossetti

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualSandro Rossetti
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Sandro Rossetti
 
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...Sandro Rossetti
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsSandro Rossetti
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsSandro Rossetti
 
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostSandro Rossetti
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxSandro Rossetti
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Sandro Rossetti
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicSandro Rossetti
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Sandro Rossetti
 
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Sandro Rossetti
 
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Sandro Rossetti
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeSandro Rossetti
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Sandro Rossetti
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiSandro Rossetti
 
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Sandro Rossetti
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Sandro Rossetti
 

Más de Sandro Rossetti (18)

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
 
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
 
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4most
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
 
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
 
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
 

DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

  • 1. DART Creative Commons Attribuzione-Non opere derivate 2.5 Dott. Stefano Fratepietro Dott. Massimiliano Dal Cero Next generation IR tool deftcon 2012 Maxi aula 1 - Palazzo di Giustizia di Torino venerdì 6 aprile 2012
  • 2. Incident Response Un incidente informatico è un evento identificato su un determinato sistema informatico che possa ledere alla stabilità e alla sicurezza del sistema stesso. • L’evento può essere accertato o presunto • Segnalato da un utente o dai sistemi di monitoraggio venerdì 6 aprile 2012
  • 3. First responder First responder • E’ il soggetto che arriva per primo sulla scena del crimine e che accederà per primo al sistema oggetto di indagine • E’ responsabile dell’analisi e della preservazione dell’originalità del dato venerdì 6 aprile 2012
  • 4. First responder • Identifica gli oggetti coinvolti • Protegge la scena del crimine da eventuali alterazioni dovute da attività invasive dei propri colleghi • Raccoglie tutte le informazioni, digitali e non, utili al caso • Crea una relazione di first response con le attività svolte • Appone, ove necessario, gli opportuni sigilli per evitare alterazioni future venerdì 6 aprile 2012
  • 5. First responder Joint special operation university https://jsou.socom.mil/Pages/Default.aspx https://jsou.socom.mil/Pages/2009JSOUPublications.aspx venerdì 6 aprile 2012
  • 6. Tante soluzioni ma sparse e poco note • Mancanza di uno strumento personalizzabile senza l’obbligo di ricompilare codice sorgente • Assenza di raccolte di applicativi ottimizzati per attività di Incident Response • Assenza di strumenti di controllo dell’integrità dei propri applicativi in tempo reale venerdì 6 aprile 2012
  • 7. IR pronto all’uso DART • Controllo dell’integrità dell’applicativo prima dell’avvio • Alto livello di personalizzazione • Applicativi, liberamente re-distribuibili per licenza d’uso, per eseguire attività di IR e Live Forensics • Binari dei principali sistemi operativi Windows, Linux e OS X venerdì 6 aprile 2012
  • 8. DART ObjectPascal (Delphi) Open Source Creazione di binari puri (no FW) Linguaggio multi piattaforma venerdì 6 aprile 2012
  • 14. DART - Potenzialità • Acquisizione memorie di massa • Dump memoria ram • Calcolo di hash • Analisi processi • Analisi traffico di rete • Analisi registro di Windows • Antimalware e Antirootkit • Time line degli eventi del sistema • Analisi navigazione Internet e posta elettronica • Password cracking E molto altro... venerdì 6 aprile 2012
  • 15. Esempio Caso D’uso avvio smartSniff e indago su attività anomale di rete venerdì 6 aprile 2012
  • 16. Esempio Caso D’uso indago sulle socket aperte e il relativi processi venerdì 6 aprile 2012
  • 17. Esempio Caso D’uso analizzo il processo venerdì 6 aprile 2012
  • 18. Esempio Caso D’uso analizzo le dll associate al processo venerdì 6 aprile 2012
  • 19. Controllo degli hash dei file di interesse Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare? http://www.nsrl.nist.gov The National Software Reference Library (NSRL) Si se ho pochi sistemi... in alternativa: 19 venerdì 6 aprile 2012
  • 20. Grazie per lʼattenzione. Dott. Stefano Fratepietro stefano@deftlinux.net steve.deftlinux.net Twitter: stevedeft Domande? Dott. Massimiliano Dal Cero massimiliano@deftlinux.net Twitter: yattamax venerdì 6 aprile 2012