Upload
davide-gabrini
View
714
Download
0
Embed Size (px)
DESCRIPTION
Lezione per il Corso di Perfezionamento in computer forensics e investigazioni digitali presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano.
Citation preview
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sonoChi sono
Davide ‘Rebus’ Gabrini
Per chi lavoro non è un mistero.
Oltre a ciò:
Consulente tecnico e Perito forense
Docente di sicurezza informatica e computer forensics per Corsisoftware srlCome vedete non sono qui in divisa
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Non ci crederete, ma c’è gente che ha cose da
nascondere! ;-)
La conoscenza approfondita degli strumenti e delle
procedure adottate dagli analisti forensi permette di individuarne le debolezze e
studiare delle contromisure preventive per intralciare, vanificare o peggio ancora sviare l’analisi, riducendo quantità e qualità delle
informazioni disponibili
Anti-forensicsAnti-forensics
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Anti-forensics MitigationAnti-forensics Mitigation
… da qui la necessità di studiare strategie e
contromisure per contenere l’impatto dell’utilizzo di tecniche di anti-forensics
Sfida aperta tra l'analista e quello che chiameremo
l'antagonista
Le strategie o gli strumenti qui indicati come contromisure non possono annullare le tecniche di anti-forensic, ma tentano di
salvare il salvabile
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Anti-forensics MitigationAnti-forensics Mitigation
Svantaggi per l'analista Arriva a misfatto compiuto Tempo limitato
e fiato sul collo Non ancora del tutto
onniscente ;-) Spesso succube d'un solo
tool o dell'automazione I tool che usa possono
soffrire di bug o implementazioni carenti
Le sue procedure tendono ad essere codificate
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Famigerato tool forense rilasciato da Microsoft, gratuito per le FF.OO.
Installato su pendrive, consente di acquisire dati daisistemi a cui viene collegato
Tanto hype per un prodotto sì utile, ma certo non innovativo
Tanta pubblicità e tanta "segretezza" non hanno fatto che attirare attenzione
Un esempio didattico: Microsoft COFEEUn esempio didattico: Microsoft COFEE
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
30.11.2009: avvistata una vecchia release di COFEE in the wild;
15.12.2009: pubblicato DECAF, tool gratuito dichiaratamente antagonista.
L'approccio Security by obscurity fallisce per l’ennesima volta…
Il problema è nella mancanza di segretezza o nella rigidità dei metodi?
COFEE vs DECAFCOFEE vs DECAF
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Spoof MAC addresses of network adapters Kill Processes: Quick shutdown of running processes Shutdown Computer: On the fly machine power down Disable network adapters Disable USB ports Disable Floppy drive Disable CD-ROM Disable Serial/Printer Ports Quick file/folder removal (Basic Windows delete) Remove logs from the Event Viewer Removes Azureus and BitTorrent clients Remove cookies, cache, and history
DECAF Lockdown Mode featuresDECAF Lockdown Mode features
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Le tecniche sono classificabili in 4 categorie principali:
Distruzione
Occultamento
Falsificazione
Contraccezione
Anti-forensicsAnti-forensics
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
La distruzione delle tracce informatiche è paragonabile alla cancellazione delle impronte digitali dall'arma del delitto
Cancellazione file con metodi comuni
Wiping di file, partizioni, device
In questi scenari, le tracce sono state prodotte e hanno avuto un certo periodo di vita.
Se ora non sono reperibili, occorre trovare dei "testimoni" della loro esistenza.
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ContromisureAnzitutto i tool non sempre fanno ciò che dicono…
Recupero file cancellati tramite analisi dei metadati del filesystem
File carving Foremost, Scalpel, photorec… ReviveIt…
Analisi delle fonti alternative La distruzione di tracce può generare altre tracce File di swap, cache, file temporanei, ibernazione… Log, registri di eventi, dati recenti, database… Backup!
Spesso è determinante il fattore tempo!
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure "Ma mi ha detto mio cuggino che una
sola passata di wiping non basta!" Gli studi esistono:
STM (Scanning Tunneling Microscopy)SPM (Scanning Probe Microscopy)MFM (Magnetic Forse Microscopy)AFM (Atomic Force Microscopy)
Si basano sull'isteresi dei livelli di magnetizzazione e sul disallineamento delle tracce
Eppure non si ha notizia di laboratori civili che offrano questi servizi…
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Hardware self-destruct TriggerDistruzioneDistruzione
C’è chi è arrivato a costruirsi un degausser casareccio…Ovviamente però esistono altri metodi meno appariscenti per comandare procedure di autodistruzione anche da remoto
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Uno strumento più alla portata è SecureTrayUtil
Supporta diversi sistemi On-The-Fly Encryption (OTFE)
Consente di configurare hotkey per montare o smontare partizioni cifrate
Esegue il wiping con diversi triggerHotkey, Serial switch, connessioni TCP autenticate
Prende precauzioni paranoicheWiping parallelo, pulizia registro, orologio di sistema…
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure Intervenire con tempestività!
Isolare la scena del criminesia fisicamente che logicamente
Acquisire le memorie volatiliIndividuare e acquisire eventuali volumi cifrati montatiL'ordine di priorità delle operazioni va deciso in ragione del contestoPossono essere d'aiuto tool di raccolta delle informazioni automatizzati
Spegnere gli apparati solo quando assolutamente certi di poterlo fare
Diffidare delle procedure di spegnimento comuni
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Absolute Software offre un servizio chiamato Computrace
Permette al cliente di chiamare una hotline e richiedere il wiping da remoto di un computer rubatoPuò funzionare solo se questo si connette ad Internet…
Con appositi software, si può attivare l’autodistruzione di PDA e smartphone tramite SMS (remotePROTECT, SMS Kill Pill...)
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Ensconce Data Technology ha un brevetto di “dead on demand" per hard disk
Si può configurare l’autodistruzione combinando diversi trigger:
tentativi di rimozioneforzatura fisicacoordinate GPSchiamate cellularicambiamento di temperatura ecc. ecc.
Viene rilasciato all’interno del drive un composto chimico che distrugge la superficie del disco
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Altri sistemi bloccano o sovrascrivono un device dopo un certo numero
di tentativi di accesso falliti
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Il primo evidente problema della distruzione di dati è ovviamente la perdita irreversibile di informazioni anche per l'antagonista!
Se si tratta di informazioni che gli sono utili, cercherà di distuggerle solo se
costretto e il più tardi possibile.
Altrimenti cercherà di occultarle
DistruzioneDistruzione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
E' una strategia paragonabile all’occultamento dell’arma del delitto,o del corpo del reato (ad esempio la refurtiva)
Nascondere i dati, anziché distruggerli, permette di mantenerne la disponibilità
Le tecniche e gli strumenti sono numerosi e possono essere applicati in combinazione
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
La prima fase di un'indagine digitale, l'identificazione, è anche la prima a poter essere attaccata
Se l'evidence non viene individuata, non sarà né acquisita né analizzata
L'occultamento può avvenire a livello logico, ma anche con metodi molto più tradizionali…
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Dimensioni ridotte
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Aspetto ingannevole
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Microsoft Mobile Memory Mouse 8000, un nuovo mouse wireless che intergra moduli di memoria flash per un quantitativo pari a 1GB.
Che si fa, si torna a sequestrare i mouse? ;-)
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
La motherboard Asus P5E3 Deluxe integra un s.o. Linux con interfaccia grafica, Firefox e Skype
Qualcuno diceva che basta sequestrare gli hard-disk?
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Le console per giochi sono veri PC…
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
…e i media center pure!I lettori DVD Kiss, per esempio, possono avere:•Hard disk interno da 200 GB•USB 2.0•Porta Ethernet•Collegamento WiFi•Sistema operativo Linux
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Esistono poi tanti metodi logici… Data Encapsulation Codifiche alternative Alterazioni dei file
Modifica estensione (pare incredibile…)
Alterazioni header (transmogrify)
Packing eseguibiliAlterazioni hash (known bad)
Modifica bit non significativi; append di dati; conversioni di formato; ridimensionamento , ricampionamento , ricompilazione…
Per i well known good, generazione di collisioniPossibile, certo, ma non così banale…
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Inoltre, il posto migliore dove nascondere un albero è una foresta!
Riduzione segnale/rumore
Inserimento di falsi positivi Inserimento di elementi di disturbo Incremento di tempo e costi per l’analisi
ContromisureS
viluppo di motori di scansione più potenti(analisi statistica, pattern matching, fuzzy signature…)
Tool specifici per l’analisi degli eseguibili
Usare i database di hash con cognizioneNon confidare nelle black list, usare più algoritmi
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Storage device subvertionAlternate Data Stream (NTFS)Uso degli spazi di SlackUnix filesystem:
Rune fs (bad blocks, oltre 4GB)Waffen fs (journal, ext2, 32MB)KY fs (null directory, illimitato)Data mule fs (reserved space, padding)
NTFS: Frag FS (slack MFT) e altre possibilità…
Manipolazione delle tabelle delle partizioniData injectionDisallineamentoSaturazione
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Storage device subvertionManipolazioni a basso livello dei device
HPA: Host Protected AreaDCO: Disc Configuration OverlayBad sector a basso livello:
P-List: Primary Defect ListG-List: Grown Defect ListSA: System Area (firmware)
Iniezione di dati nelle memorie flash dei dispositivi hardware
Impatto devastante se sono stati sequestrati soltanto i dischi!
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Host Protected AreaArea del disco non accessibile dal S.O.Usata per informazioni di ripristinoNon visibile dal BIOSInvisibile a certi tool forensi
Linux la rileva e la disabilita
Utilizzabile quindi per nascondere dati
OccultamentoOccultamento
Contromisure: Confronto parametri IDENTIFY_ADDRESS
READ_NATIVE_MAX_ADDRESS (tramite comandi ATA) Utilizzo di software in grado di rilevare HPA
p.e. disk_stat e disk_sreset in Sleuth Kit
Area visibile HPA
0 90GB 100GB
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Disc Configuration OverlayModifica il limite READ_NATIVE_MAX_ADDRESS
Ancor più invisibile ai comuni SWAlcuni tool forensi la rilevanoLinux ancora no
Utilizzabile per nascondere dati
OccultamentoOccultamento
Contromisure: Verifica parametri READ_NATIVE_MAX_ADDRESS e
DEVICE_CONFIGURATION_IDENTIFY Utilizzo di software in grado di rilevare DCO
p.e. HDAT2 o TAFT – The ATA Forensic Tool
Area visibile DCO
0 80GB 100GB
HPA
90GB
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ContromisureAttenzione agli spazi di memoria meno sfruttati Non permettere ad un solo tool forense di fare tutto il lavoro
Verifica dei parametri hardwareanche con i valori indicati sulle etichetteo nella documentazione del produttore
Spesso sono utili gli stessi tool usati dell’antagonista (p.e. HDAT2)
Analisi statistica degli slack space per riconoscere pattern inusuali (good luck…)
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Crittografia(imbarazzo della scelta…)
Steganografia(Least Significant Bit, color reduction, noise… spazi ridondanti, commenti, alignment space…)
Plausible deniability(Quando è impossibile determinare se si è in presenza di un documento crittografato oppure no)
Ovvero la bestia nera d’ogni analista…
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure: Analisi live quando possibile Rilevamento e acquisizione volumi cifrati montati Rilevamento footprint di software "antagonisti"
(StegDetect, Outguess, Stego Suite, SAFDB…)
Test entropici (FTK)
Verifica di conformità agli standard(p.e. out-of-range values)
Sfruttamento di vulnerabilità dei softwareFeature nascoste / backdoor / bug / errori di progettazione
Attacchi a dizionario Brute force Rubber-hose? ;-)
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Rootkit
user space (ring 3)
kernel space (ring 0)
VM based
Efficaci solo nel corso di analisi live
Possono rilevare l'azione dei tool forensi
Possono alterare i risultati di un tool forense, p.e. impedendo l'acquisizione di un'evidence
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure: Acquisizione delle memorie volatili Cattura dell'eventuale traffico di rete Acquisizione degli storage device
“post mortem” Scansioni AV / Rootkit revealer Riproduzione dello scenario in ambiente
protetto (sandbox o virtual machine) che ne consenta lo studio dall'esterno
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Breaking forensic tool
Certi attacchi sono direttamente mirati a sovvertire il funzionamento di specifici tool forensi
Negli anni, sono stati resi noti attacchi utilizzabili sia verso strumenti commerciali, come Encase, che verso strumenti open source
Il pay-load andava dal DoS fino all'esecuzione di codice arbitrario ("Exploitare la macchina dell'analista è una voluttà da fine gourmet" )
Contromisure: Variegare gli strumenti utilizzati Non dipendere da un solo tool o dall’automazione
OccultamentoOccultamento
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
E' come lasciare intenzionalmente sul luogo del delitto tracce depistanti
Alterazioni timestamp (attributi MACE)CancellazioneSovrascrittura
RandomMirata
Contromisure Verifica attributo Entry modified (NTFS) Confronto con altri attributi
Standard Information Attributes ↔ FileName (NTFS)Verifica MAC interni ai documentiEsistenza di link, chiavi di registro, log…
Analisi della timeline correlata con altri eventi continui, anche rilevati da sistemi esterni
FalsificazioneFalsificazione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Furti d’identitàFurto di credenzialiUtilizzo di macchine zombieFurto di connettività
Qualcuno ha pensato WiFi? ;-)
FalsificazioneFalsificazione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Falsi indizi / prove contraffatte Alterazione dei log
Inserimenti fittiziInserimenti malformatiFlooding
Contromisure:Attenta interpolazione di quante più fonti possibileConfronto con dati esterni al sistema compromesso
FalsificazioneFalsificazione
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
E' come indossare dei guanti prima di impugnare la pistola: meglio non lasciare impronte, anziché doverle poi cancellare…
Disattivazione funzioni di auditing Bypass degli eventi rilevati Esecuzione malware in RAM
Memory injection (Meterpreter)Process puppeteeringInibizione swappingrexec
Contromisure:Dump delle memorie volatiliAttenta interpolazione di più fonti possibileConfronto con dati esterni al sistema
Prevenire alla fontePrevenire alla fonte
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Il cloud computing può essere impiegato, più o meno intenzionalmente, come strategia di depistaggio
Può permettere di defilarsi e di confondere, complicare, ostacolare, ritardare e persino bloccare le indagini
Non si tratta di una nuova tecnologia, ma di un nuovo paradigma
Cloud Computing = anti-forensics?Cloud Computing = anti-forensics?
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Il termine cloud computing indica un insieme di risorse hardware e software distribuite e remotamente accessibili e usabili
Il cloud computing è indicato da molti analisti come “the next big thing”
Cloud ComputingCloud Computing
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Cloud ComputingCloud Computing
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
StorageSkyDrive, Gdrive, Amazon S3…
ApplicazioniWebmail, Google Docs, Windows Live, Photoshop, Meebo, Spoon…
PiattaformeWindows Azure, Facebook, Amazon Web Services, ajaxWindows, GlideOS… eyeOS, gOS, Chrome OS, JoliCloud…
InfrastruttureAmazon EC2, GoGrid, ElasticHost…
Esempi di servizi in CloudEsempi di servizi in Cloud
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Le risorse usate per crimini informatici possono essere allocate remotamente
Non solo lo storage, ma anche le risorse computazionali!
Interi sistemi possono essere allocati dinamicamente, utilizzati e deallocati
Le possibilità di analisi vengono così drasticamente ridotte
Cloud ComputingCloud Computing
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Cloud computing e cybercrimeCloud computing e cybercrime
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
L'approccio tradizionale che prevedeperquisizione-sequestro-analisi è vanificato
Già l'identificazione potrebbe essere problematica: cosa si trova dove?
Le risorse sono probabilmente distribuite su diversi sistemi, di diversi provider, in diversi paesi…
limiti giurisdizionaliscarsa armonizzazione delle norme in materiamancanza di accordi internazionaliscarsa collaborazione delle autorità localiritardi burocraticiproblemi di data-retention
Cloud Computing e forensicsCloud Computing e forensics
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Nel corso di un'analisi, potrebbe esser problematico stabilire chi ha avuto accesso a quale risorsa…
Tuttavia anche soluzioni per l'analisi forense possono venire dalle nuvole ;-)
Avere una workstation di analisi virtualizzata nella stessa cloud potrebbe rivelarsi una saggia precauzione
Altre risorse potrebbero essere allocate "elasticamente" al momento del bisogno
Il tutto però comporta problemi di sicurezza e di riservatezza non trascurabili
Cloud Computing e forensics Cloud Computing e forensics
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ConclusioniConclusioni
Le procedure di Computer Forensics sono vulnerabili
nell’hardware nel software nel wetware
Quelle di anti-forensics pure
L’analista ha bisogno di tempo per l’analisi per la formazione
Nessun software fa il lavoro di un investigatore
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ContattiContatti
Davide Rebus Gabrinie-mail:[email protected]@poliziadistato.it
GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.ascKeyID: 0x176560F7
Queste e altre cazzate su www.tipiloschi.net
<vendor>
Piaciuto? Ne volete ancora? A Milano il 23, 24 e 25 febbraio Corso intensivo IISFA (www.iisfa.it) di Computer e Mobile Forensics
</vendor>