SlideShare una empresa de Scribd logo

Cyber Forensic

NaLUG
NaLUG

Linux Day Napoli 2010 - Credits Marco Ferrigno - www.nalug.net

Tecnología
1 de 30
Descargar para leer sin conexión
LINUX DAY NAPOLI 2010 CYBER FORENSICS: ACQUISIZIONE E ANALISI DEI DATI A CURA DI MARCO FERRIGNO - Developer of the Italian Debian GNU/Linux HOWTOs - Jabber ID: m.ferrigno@xmpp.jp marko.ferrigno@gmail.com
Analisi forense PROPEDEUTICITA': NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE, NOZIONI BASILARI SUI FILESYSTEM. COSA IMPAREREMO DA QUESTO TALK: CONCETTO DI COMPUTER FORENSICS, METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA POSTO SOTTO SEQUESTRO METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.
Analisi forense: cos'è realmente? E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE, ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI GIUDIZIARI. IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI: ACQUISIZIONE (TARGET INFORMATICO)* ANALISI (TARGET INFORMATICO)* INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) *ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE
Analisi forense: normativa rilevante in ambito giuridico LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE: MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA, INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA' AMMINISTRATIVA DEGLI ENTI, MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO DELLE INDAGINI INFORMATICHE, MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)
Analisi forense: l'acquisizione del dato ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI. ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME, L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE. QUANDO ACQUISIRE IL DATO: NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE), OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL SEQUESTRO GIUDIZIARIO DEI SUPPORTI MODI DI ACQUISIRE IL DATO: ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL CASO), COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI ALTERARE IL REPERTO ORIGINALE.
Analisi forense: software open source per l'acquisizione SOLUZIONI A CODICE APERTO: DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE. QUAL'E' L'IDEA? DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI SINGOLO BYTE SU UN ALTRO FILE CARATTERISTICHE: AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE VARIANTI: DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG
Analisi forense: software open source per l'acquisizione IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL COMANDO “fdisk -l” CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI ATTUALMENTE COLLEGATI AL SISTEMA LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA' PER DD: “dd if=/sorgente of=/destinazione” PER DDRESCUE: “dd_rescue /sorgente /destinazione/chiavettausb.img” IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL FILE “chiavettausb.img” PER DCFLDD: “dclfdd if=/sorgente of=/destinazione”
Apertura terminale [da menu o ALT+F2, nome terminale] Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)
DD applicato sull'intero device con interruzione inaspettata (o volontaria!) DD applicato su una parte del device DD applicato sull'intero device
DDRESCUE in azione
DCFLDD in azione
Analisi forense: integrità del dato acquisito L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO) ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT MEDIANTE MD5SUM E SHA1SUM SINTASSI MD5SUM: “md5sum /dev/nomedevice/” PER IL DEVICE “md5sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA SINTASSI SHA1SUM: “sha1sum /dev/nomedevice/” PER IL DEVICE “sha1sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
Analisi forense: AFF (Advanced Forensics Format) AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO LICENZA BSD CARATTERISTICA PRINCIPALE: ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO. ALTRE CARATTERISTICHE: ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA, PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE L'IMMAGINE VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI SULLO HASH .... PRODUCE FILE COMPRESSI PICCOLI.
Analisi forense: acquisizione di device in sistemi RAID LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO ACQUISIRE ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE UN ESEMPIO: HARD DISK IN RAID 5! LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO IN QUESTIONE SARA' INUTILIZZABILE SOLUZIONE RAID HARDWARE: ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE FOSSE UN NORMALE HARD DISK STAND ALONE SOLUZIONE RAID SOFTWARE: E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!
Analisi forense: utilizzo di un live cd linux DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI IN UN SUPPORTO FISICO ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI. IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.
Analisi forense: utilizzo di un live cd linux SPECIFICHE PARTICOLARITA': DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA RAM UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP, ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E QUELLI ORAMAI OBSOLETI TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON OPEN SOURCE
Analisi forense: l'analisi del dato LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE FEDELI DEI DEVICE ACQUISITI L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI PROVE INFORMATICHE UTILI AI FINI PROBATORI NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO: I DATI CANCELLATI! SOLUZIONE: NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB GUI: AUTOPSY
Analisi forense: Autopsy SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI PIU' DIFFUSI FILESYSTEM: FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE) NTFS (WINDOWS NT SERIES) EXT2, EXT3 (GNU/LINUX) UFS (UNIX, BSD) ISO 9660 (CD-ROM) ZFS (SOLARIS) RAW SWAP MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)
Analisi forense: Autopsy - caratteristiche INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI PROGRAMMI, GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA LETTURA), CALCOLO DI HASH MD5, ACCURATA ANALISI DI DEVICE, RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI , RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI, ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO, CREAZIONE DI TIMELINE, CREAZIONE DI REPORT RIASSUNTIVI
Analisi del reperto utilizzando Autopsy AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE ACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COME QUELLE ACQUISITE IN FORMATO AFF O ENCASE* ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE *SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.
Analisi del reperto utilizzando Autopsy Recupero file cancellati
Analisi del reperto utilizzando Autopsy Timeline
Analisi forense: la Timeline NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA.. ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD ANALISI PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E' STABILIRE DATA ED ORA DEL DECESSO IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA RICERCA E L'ANALISI DEI DATI . PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .
Analisi forense: limiti e ostacoli CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA (3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA' TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE LA VARIABILITA' DELLO SPAZIO DI CHIAVI SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!) SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME: FILE TEMORANEI FILE CANCELLATI BACKUP STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E' POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE VETTORE SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA (BASSISSIMA PROBABILITA' DI SUCCESSO !!!) DATA HIDING & VIRTUALIZZAZIONE
Analisi forense: casi reali FURTO DI UN PORTATILE ANTEFATTO VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA RICHIESTA VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI OPERAZIONI & TECNICHE UTILIZZATE SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E' STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO RISULTATO IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !
Analisi forense: casi reali INTECETTAZIONI SU SKYPE ANTEFATTO UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE COMUNICA REGOLARMENTE TRAMITE SKYPE RICHIESTA OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA' DEL SOSPETTO OPERAZIONI & TECNICHE UTILIZZATE REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN. IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE PREPARATO RISULTATO I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO
Analisi forense: casi reali SPIONAGGIO INDUSTRIALE ANTEFATTO UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI, MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO, DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU' SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON GLI STESSI CODICI DEI PEZZI ORIGINALI RICHIESTA TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI OPERAZIONI & TECNICHE UTILIZZATE (1/2) UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.
Analisi forense: casi reali OPERAZIONI & TECNICHE UTILIZZATE (2/2) VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU CONTROSPIONAGGIO INDUSTRIALE RISULTATO E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE
Boxroom … e non solo! ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI E LAVORO DI SQUADRA, ANALISI DI UN SISTEMA WINDOWS, ANALISI DI UN SISTEMA MAC OS X, ANALISI DI UN SISTEMA LINUX, ANALISI DEI SUPPORTI OTTICI, MOBILE FORENSICS, ANALISI DI MEDIA NON CONVENZIONALI, NETWORK FORENSICS
Conclusioni “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “

Recomendados

Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxMarco Ferrigno
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaMarco Ferrigno
 

Recomendados

Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxMarco Ferrigno
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaMarco Ferrigno
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Hardening
HardeningHardening
HardeningNaLUG
 
Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discoveryameft
 
Rootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNARootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNAMichele Bologna
 
Corso formazione Linux
Corso formazione LinuxCorso formazione Linux
Corso formazione LinuxErcole Palmeri
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slidesLinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slidesMaurizio Antonelli
 
Digital Forensic
Digital ForensicDigital Forensic
Digital ForensicNaLUG
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding LinuxNaLUG
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensicsitis e.divini san severino marche
 
Ti base 2020b
Ti base 2020bTi base 2020b
Ti base 2020bSalvatore Cianciabella
 
Ti base 2020
Ti base 2020Ti base 2020
Ti base 2020Salvatore Cianciabella
 
La disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneLa disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneVincenzo Virgilio
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1I.S.I.S. "Antonio Serra" - Napoli
 
TI_2022.pptx
TI_2022.pptxTI_2022.pptx
TI_2022.pptxSalvatore Cianciabella
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informaticheGiovanni Fiorino
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : ArduinoNaLUG
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
Ti 2021 22_new
Ti 2021 22_newTi 2021 22_new
Ti 2021 22_newSalvatoreCianciabell
 

Más contenido relacionado

La actualidad más candente

Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Hardening
HardeningHardening
HardeningNaLUG
 
Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discoveryameft
 
Rootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNARootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNAMichele Bologna
 
Corso formazione Linux
Corso formazione LinuxCorso formazione Linux
Corso formazione LinuxErcole Palmeri
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slidesLinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slidesMaurizio Antonelli
 

La actualidad más candente (7)

Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
Hardening
HardeningHardening
Hardening
 
Fuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability DiscoveryFuzzing Techniques for Software Vulnerability Discovery
Fuzzing Techniques for Software Vulnerability Discovery
 
Rootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNARootkit: teoria e pratica. Michele BOLOGNA
Rootkit: teoria e pratica. Michele BOLOGNA
 
Corso formazione Linux
Corso formazione LinuxCorso formazione Linux
Corso formazione Linux
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)
 
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slidesLinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
LinuxDay 2004 - Linux - Storia e caratteristiche vincenti - slides
 

Similar a Cyber Forensic

Digital Forensic
Digital ForensicDigital Forensic
Digital ForensicNaLUG
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding LinuxNaLUG
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
La disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneLa disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneVincenzo Virgilio
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informaticheGiovanni Fiorino
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : ArduinoNaLUG
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoAndrea Rossetti
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)Stefano Dall'Agata
 
Architettura e nozioni di base
Architettura e nozioni di baseArchitettura e nozioni di base
Architettura e nozioni di baseFranco Marra
 

Similar a Cyber Forensic (20)

Digital Forensic
Digital ForensicDigital Forensic
Digital Forensic
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding Linux
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Ti base 2020b
Ti base 2020bTi base 2020b
Ti base 2020b
 
Ti base 2020
Ti base 2020Ti base 2020
Ti base 2020
 
La disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezioneLa disponibilita dei dati in azienda strategie di protezione
La disponibilita dei dati in azienda strategie di protezione
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1
 
TI_2022.pptx
TI_2022.pptxTI_2022.pptx
TI_2022.pptx
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informatiche
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : Arduino
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean
 
Data Hiding
Data HidingData Hiding
Data Hiding
 
Ti 2021 22_new
Ti 2021 22_newTi 2021 22_new
Ti 2021 22_new
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
 
Architettura e nozioni di base
Architettura e nozioni di baseArchitettura e nozioni di base
Architettura e nozioni di base
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Nessus
NessusNessus
Nessus
 

Más de NaLUG

Grid System
Grid SystemGrid System
Grid SystemNaLUG
 
Digital Divide
Digital DivideDigital Divide
Digital DivideNaLUG
 
Drupal
DrupalDrupal
DrupalNaLUG
 
Open Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracyOpen Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracyNaLUG
 
Net Neutrality: HoBBIT
Net Neutrality: HoBBITNet Neutrality: HoBBIT
Net Neutrality: HoBBITNaLUG
 
Opensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo TerritorialeOpensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo TerritorialeNaLUG
 
Knomos
Knomos Knomos
Knomos NaLUG
 
App comunicazione comune di Napoli
App comunicazione comune di NapoliApp comunicazione comune di Napoli
App comunicazione comune di NapoliNaLUG
 
BISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmarkBISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmarkNaLUG
 
ClearOS
ClearOSClearOS
ClearOSNaLUG
 
Software libero at ENEA
Software libero at ENEASoftware libero at ENEA
Software libero at ENEANaLUG
 
Una nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fnaUna nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fnaNaLUG
 
ROS@Unina
ROS@Unina ROS@Unina
ROS@Unina NaLUG
 
Python@Unina - Exercises
Python@Unina - ExercisesPython@Unina - Exercises
Python@Unina - ExercisesNaLUG
 
Python@Unina - Theory
Python@Unina - TheoryPython@Unina - Theory
Python@Unina - TheoryNaLUG
 
Linux@Unina
Linux@UninaLinux@Unina
Linux@UninaNaLUG
 
Dispositivi Medici con il software Libero
Dispositivi Medici con il software LiberoDispositivi Medici con il software Libero
Dispositivi Medici con il software LiberoNaLUG
 
OpenSource nel comune di Napoli
OpenSource nel comune di NapoliOpenSource nel comune di Napoli
OpenSource nel comune di NapoliNaLUG
 
MongoDB
MongoDBMongoDB
MongoDBNaLUG
 
Mobile OS
Mobile OSMobile OS
Mobile OSNaLUG
 

Más de NaLUG (20)

Grid System
Grid SystemGrid System
Grid System
 
Digital Divide
Digital DivideDigital Divide
Digital Divide
 
Drupal
DrupalDrupal
Drupal
 
Open Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracyOpen Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracy
 
Net Neutrality: HoBBIT
Net Neutrality: HoBBITNet Neutrality: HoBBIT
Net Neutrality: HoBBIT
 
Opensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo TerritorialeOpensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo Territoriale
 
Knomos
Knomos Knomos
Knomos
 
App comunicazione comune di Napoli
App comunicazione comune di NapoliApp comunicazione comune di Napoli
App comunicazione comune di Napoli
 
BISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmarkBISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmark
 
ClearOS
ClearOSClearOS
ClearOS
 
Software libero at ENEA
Software libero at ENEASoftware libero at ENEA
Software libero at ENEA
 
Una nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fnaUna nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fna
 
ROS@Unina
ROS@Unina ROS@Unina
ROS@Unina
 
Python@Unina - Exercises
Python@Unina - ExercisesPython@Unina - Exercises
Python@Unina - Exercises
 
Python@Unina - Theory
Python@Unina - TheoryPython@Unina - Theory
Python@Unina - Theory
 
Linux@Unina
Linux@UninaLinux@Unina
Linux@Unina
 
Dispositivi Medici con il software Libero
Dispositivi Medici con il software LiberoDispositivi Medici con il software Libero
Dispositivi Medici con il software Libero
 
OpenSource nel comune di Napoli
OpenSource nel comune di NapoliOpenSource nel comune di Napoli
OpenSource nel comune di Napoli
 
MongoDB
MongoDBMongoDB
MongoDB
 
Mobile OS
Mobile OSMobile OS
Mobile OS
 

Cyber Forensic

  • 1. LINUX DAY NAPOLI 2010 CYBER FORENSICS: ACQUISIZIONE E ANALISI DEI DATI A CURA DI MARCO FERRIGNO - Developer of the Italian Debian GNU/Linux HOWTOs - Jabber ID: m.ferrigno@xmpp.jp marko.ferrigno@gmail.com
  • 2. Analisi forense PROPEDEUTICITA': NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE, NOZIONI BASILARI SUI FILESYSTEM. COSA IMPAREREMO DA QUESTO TALK: CONCETTO DI COMPUTER FORENSICS, METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA POSTO SOTTO SEQUESTRO METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.
  • 3. Analisi forense: cos'è realmente? E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE, ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI GIUDIZIARI. IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI: ACQUISIZIONE (TARGET INFORMATICO)* ANALISI (TARGET INFORMATICO)* INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) *ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE
  • 4. Analisi forense: normativa rilevante in ambito giuridico LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE: MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA, INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA' AMMINISTRATIVA DEGLI ENTI, MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO DELLE INDAGINI INFORMATICHE, MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)
  • 5. Analisi forense: l'acquisizione del dato ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI. ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME, L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE. QUANDO ACQUISIRE IL DATO: NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE), OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL SEQUESTRO GIUDIZIARIO DEI SUPPORTI MODI DI ACQUISIRE IL DATO: ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL CASO), COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI ALTERARE IL REPERTO ORIGINALE.
  • 6. Analisi forense: software open source per l'acquisizione SOLUZIONI A CODICE APERTO: DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE. QUAL'E' L'IDEA? DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI SINGOLO BYTE SU UN ALTRO FILE CARATTERISTICHE: AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE VARIANTI: DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG
  • 7. Analisi forense: software open source per l'acquisizione IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL COMANDO “fdisk -l” CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI ATTUALMENTE COLLEGATI AL SISTEMA LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA' PER DD: “dd if=/sorgente of=/destinazione” PER DDRESCUE: “dd_rescue /sorgente /destinazione/chiavettausb.img” IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL FILE “chiavettausb.img” PER DCFLDD: “dclfdd if=/sorgente of=/destinazione”
  • 8. Apertura terminale [da menu o ALT+F2, nome terminale] Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)
  • 9. DD applicato sull'intero device con interruzione inaspettata (o volontaria!) DD applicato su una parte del device DD applicato sull'intero device
  • 12. Analisi forense: integrità del dato acquisito L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO) ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT MEDIANTE MD5SUM E SHA1SUM SINTASSI MD5SUM: “md5sum /dev/nomedevice/” PER IL DEVICE “md5sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA SINTASSI SHA1SUM: “sha1sum /dev/nomedevice/” PER IL DEVICE “sha1sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
  • 13. Analisi forense: AFF (Advanced Forensics Format) AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO LICENZA BSD CARATTERISTICA PRINCIPALE: ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO. ALTRE CARATTERISTICHE: ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA, PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE L'IMMAGINE VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI SULLO HASH .... PRODUCE FILE COMPRESSI PICCOLI.
  • 14. Analisi forense: acquisizione di device in sistemi RAID LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO ACQUISIRE ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE UN ESEMPIO: HARD DISK IN RAID 5! LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO IN QUESTIONE SARA' INUTILIZZABILE SOLUZIONE RAID HARDWARE: ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE FOSSE UN NORMALE HARD DISK STAND ALONE SOLUZIONE RAID SOFTWARE: E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!
  • 15. Analisi forense: utilizzo di un live cd linux DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI IN UN SUPPORTO FISICO ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI. IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.
  • 16. Analisi forense: utilizzo di un live cd linux SPECIFICHE PARTICOLARITA': DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA RAM UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP, ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E QUELLI ORAMAI OBSOLETI TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON OPEN SOURCE
  • 17. Analisi forense: l'analisi del dato LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE FEDELI DEI DEVICE ACQUISITI L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI PROVE INFORMATICHE UTILI AI FINI PROBATORI NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO: I DATI CANCELLATI! SOLUZIONE: NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB GUI: AUTOPSY
  • 18. Analisi forense: Autopsy SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI PIU' DIFFUSI FILESYSTEM: FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE) NTFS (WINDOWS NT SERIES) EXT2, EXT3 (GNU/LINUX) UFS (UNIX, BSD) ISO 9660 (CD-ROM) ZFS (SOLARIS) RAW SWAP MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)
  • 19. Analisi forense: Autopsy - caratteristiche INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI PROGRAMMI, GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA LETTURA), CALCOLO DI HASH MD5, ACCURATA ANALISI DI DEVICE, RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI , RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI, ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO, CREAZIONE DI TIMELINE, CREAZIONE DI REPORT RIASSUNTIVI
  • 20. Analisi del reperto utilizzando Autopsy AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE ACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COME QUELLE ACQUISITE IN FORMATO AFF O ENCASE* ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE *SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.
  • 21. Analisi del reperto utilizzando Autopsy Recupero file cancellati
  • 22. Analisi del reperto utilizzando Autopsy Timeline
  • 23. Analisi forense: la Timeline NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA.. ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD ANALISI PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E' STABILIRE DATA ED ORA DEL DECESSO IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA RICERCA E L'ANALISI DEI DATI . PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .
  • 24. Analisi forense: limiti e ostacoli CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA (3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA' TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE LA VARIABILITA' DELLO SPAZIO DI CHIAVI SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!) SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME: FILE TEMORANEI FILE CANCELLATI BACKUP STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E' POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE VETTORE SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA (BASSISSIMA PROBABILITA' DI SUCCESSO !!!) DATA HIDING & VIRTUALIZZAZIONE
  • 25. Analisi forense: casi reali FURTO DI UN PORTATILE ANTEFATTO VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA RICHIESTA VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI OPERAZIONI & TECNICHE UTILIZZATE SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E' STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO RISULTATO IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !
  • 26. Analisi forense: casi reali INTECETTAZIONI SU SKYPE ANTEFATTO UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE COMUNICA REGOLARMENTE TRAMITE SKYPE RICHIESTA OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA' DEL SOSPETTO OPERAZIONI & TECNICHE UTILIZZATE REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN. IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE PREPARATO RISULTATO I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO
  • 27. Analisi forense: casi reali SPIONAGGIO INDUSTRIALE ANTEFATTO UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI, MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO, DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU' SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON GLI STESSI CODICI DEI PEZZI ORIGINALI RICHIESTA TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI OPERAZIONI & TECNICHE UTILIZZATE (1/2) UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.
  • 28. Analisi forense: casi reali OPERAZIONI & TECNICHE UTILIZZATE (2/2) VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU CONTROSPIONAGGIO INDUSTRIALE RISULTATO E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE
  • 29. Boxroom … e non solo! ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI E LAVORO DI SQUADRA, ANALISI DI UN SISTEMA WINDOWS, ANALISI DI UN SISTEMA MAC OS X, ANALISI DI UN SISTEMA LINUX, ANALISI DEI SUPPORTI OTTICI, MOBILE FORENSICS, ANALISI DI MEDIA NON CONVENZIONALI, NETWORK FORENSICS
  • 30. Conclusioni “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “