Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools
1. DART
Creative Commons Attribuzione-Non opere derivate 2.5
Dott. Stefano Fratepietro
Dott. Massimiliano Dal Cero
Next generation IR tool
deftcon 2012
Maxi aula 1 - Palazzo di Giustizia di Torino
venerdì 6 aprile 2012
2. Incident Response
Un incidente informatico è un evento
identificato su un determinato sistema
informatico che possa ledere alla stabilità e
alla sicurezza del sistema stesso.
• L’evento può essere accertato o presunto
• Segnalato da un utente o dai sistemi di
monitoraggio
venerdì 6 aprile 2012
3. First responder
First responder
• E’ il soggetto che arriva per primo sulla
scena del crimine e che accederà per
primo al sistema oggetto di indagine
• E’ responsabile dell’analisi e della
preservazione dell’originalità del dato
venerdì 6 aprile 2012
4. First responder
• Identifica gli oggetti coinvolti
• Protegge la scena del crimine da eventuali alterazioni
dovute da attività invasive dei propri colleghi
• Raccoglie tutte le informazioni, digitali e non, utili al
caso
• Crea una relazione di first response con le attività
svolte
• Appone, ove necessario, gli opportuni sigilli per
evitare alterazioni future
venerdì 6 aprile 2012
5. First responder
Joint special operation university
https://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx
venerdì 6 aprile 2012
6. Tante soluzioni ma
sparse e poco note
• Mancanza di uno strumento
personalizzabile senza l’obbligo di
ricompilare codice sorgente
• Assenza di raccolte di applicativi ottimizzati
per attività di Incident Response
• Assenza di strumenti di controllo
dell’integrità dei propri applicativi in tempo
reale
venerdì 6 aprile 2012
7. IR pronto all’uso
DART
• Controllo dell’integrità dell’applicativo
prima dell’avvio
• Alto livello di personalizzazione
• Applicativi, liberamente re-distribuibili per
licenza d’uso, per eseguire attività di IR e
Live Forensics
• Binari dei principali sistemi operativi
Windows, Linux e OS X
venerdì 6 aprile 2012
14. DART - Potenzialità
• Acquisizione memorie di massa
• Dump memoria ram
• Calcolo di hash
• Analisi processi
• Analisi traffico di rete
• Analisi registro di Windows
• Antimalware e Antirootkit
• Time line degli eventi del sistema
• Analisi navigazione Internet e posta elettronica
• Password cracking
E molto altro...
venerdì 6 aprile 2012
19. Controllo degli hash
dei file di interesse
Calcoliamo l’hash del file sperando di trovare
qualcuno che abbia la stessa release e verificare?
http://www.nsrl.nist.gov
The National Software Reference Library (NSRL)
Si se ho pochi sistemi... in alternativa:
19
venerdì 6 aprile 2012
20. Grazie per lʼattenzione.
Dott. Stefano Fratepietro
stefano@deftlinux.net
steve.deftlinux.net
Twitter: stevedeft
Domande?
Dott. Massimiliano Dal Cero
massimiliano@deftlinux.net
Twitter: yattamax
venerdì 6 aprile 2012