Upload
phamnhan
View
215
Download
0
Embed Size (px)
Citation preview
Strumenti e tecniche per la creazione di un falso alibi digitale
Alfredo De Santis
Aprile 2011
Recenti procedimenti giudiziari
Rodney Bradford Bradford
– 17 ottobre 2009 – Aggiornamento propria pagina su Facebook
2
Digital Evidence • Computer
– log – applicazioni – documenti
• Terze parti (attività Internet) – Facebook, Picasa, YouTube, Gmail, DropBox, …
• Telefono – Tabulati – Localizzazione apparato mobile
• Fotografia digitale – Foto – Memoria
3
Prevalenza digital evidence • Effetto CSI
– Sempre maggiore coscienza della presenza e del valore delle tracce digitali
– Sempre perfetta – Non visibile in tribunale, ma mediata da esperti
4
Digital Evidence: un problema
• Origine delle azioni
• Siamo certi dell’origine? – Mancanza di identificazione forte
• Vediamo un caso concreto, ma ipotetico
5
Alibi digitale Ho un alibi digitale!
6
Alibi digitale
• Lavorato con il computer • Connesso ad Internet mediante
una linea ADSL da casa sua
!"#$%&%'%!$
())*&+%!&*$)!,-./*"$
0-*1&%,*&/!$2$0/#&3456$)!,-./*"$
!"#$7&*$
7
Ho un alibi digitale!
Alibi digitale
8
• Documento Microsoft Office
modifica, salvataggio, conversione in PDF, e stampa
• Visualizzazione foto e filmati presenti sul computer
• Internet visualizzazione foto e filmati da YouTube e Picasa invio e-mail tramite Gmail chat/post su Facebook copia di backup di alcuni file (tra cui la tesi) su DropBox
())*&+%!&*$)!,-./*"$!"#$%&%'%!$
!"#$7&*$
0-*1&%,*&/!$2$0/#&3456$)!,-./*"$
Alibi digitale: tracce
9
Analisi computer: file, log, cache, cronologia, …
Tracce da terze parti
Numero telefono, Indirizzo IP
Alibi digitale: Telefonate
10
• Documento Microsoft Office
modifica, salvataggio, conversione in PDF, e stampa
• Visualizzazione foto e filmati presenti sul computer
• Internet visualizzazione foto e filmati da YouTube e Picasa invio e-mail tramite Gmail chat/post su Facebook copia di backup di alcuni file (tra cui la tesi) su DropBox
• Telefonate da casa sua dal telefono fisso e dal suo cellulare verso alcune numerazioni (sia fisse che mobili)
())*&+%!&*$)!,-./*"$!"#$%&%'%!$
!"#$7&*$
0-*1&%,*&/!$2$0/#&3456$)!,-./*"$
Alibi digitale: Telefonate analisi forense
11
Analisi cellulare
• Documento Microsoft Office
modifica, salvataggio, conversione in PDF, e stampa
• Visualizzazione foto e filmati presenti sul computer
• Internet visualizzazione foto e filmati da YouTube e Picasa invio e-mail tramite Gmail chat/post su Facebook copia di backup di alcuni file (tra cui la tesi) su DropBox
• Telefonate da casa sua dal telefono fisso e dal suo cellulare verso alcune numerazioni (sia fisse che mobili)
())*&+%!&*$)!,-./*"$!"#$%&%'%!$
!"#$7&*$
0-*1&%,*&/!$2$0/#&3456$)!,-./*"$
Tabulati telefonici
Localizzazione cellulare
Alibi digitale falso • Complice
• Origine delle azioni
• Siamo certi dell’origine? – Mancanza di identificazione forte
12
Indistinguibilità
Indagato o complice ?
13
Alibi digitale falso • Complice • Automatismo
• Origine delle azioni
• Siamo certi dell’origine? – Mancanza di identificazione forte
14
Indistinguibilità
Uomo o automatismo?
8$+*&3$9:;,:<$=!.+*>?%)@9:?*A:BCDEBFGEBF<$H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$=!.+*>?%)@9:?*A:BFGGBUFEBF<$H%&H#%/()IJ*9:N*+%”<$8$
15
Indistinguibilità
Uomo o automatismo?
8$+*&3$9:;,:<$=!.+*>?%)@9:?*A:BCDEBFGEBF<$H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$=!.+*>?%)@9:?*A:BFGGBUFEBF<$H%&H#%/()IJ*9:N*+%”<$8$
Vediamo come realizzarlo
16
Falso Alibi digitale
17
Apri documento x Inserisci testo “abc” … Attendi 5 minuti … Apri Internet Explorer www.ansa.it … www.facebook.com Inserisci e-mail Inserisci password …
Programma eseguito sul computer
Falso Alibi digitale
18
Apri documento x Inserisci testo “abc” … Attendi 5 minuti … Apri Internet Explorer www.ansa.it … www.facebook.com Inserisci e-mail Inserisci password …
Programma eseguito sul computer
Tracce da terze parti
Numero telefono, Indirizzo IP
Analisi computer: file, log, cache, cronologia, …
Evidenze digitali automatismo “indesiderate”
• Script che ha prodotto l’alibi digitale • Tracce esecuzione script
– Registro di sistema – Prefetch – File memoria virtuale
• Evidenze digitali sospette (potrebbero essere state utili per la costruzione di un automatismo) – Esecuzione di programmi o comandi sospetti – Presenza degli strumenti per la produzione dello script
o per la sua esecuzione – Tracce dell’attività necessaria per la produzione dello
script
19
Evidenze digitali automatismo “indesiderate”
• Script che ha prodotto l’alibi digitale • Tracce esecuzione script
– Registro di sistema – Prefetch – File memoria virtuale
• Evidenze digitali sospette (potrebbero essere state utili per la costruzione di un automatismo) – Esecuzione di programmi o comandi sospetti – Presenza degli strumenti per la produzione dello script
o per la sua esecuzione – Tracce dell’attività necessaria per la produzione dello
script
20
Sviluppo e testing dello script in un ambiente virtuale
(magari su supporto esterno)
Falso Alibi digitale
21
Apri documento x Inserisci testo “abc” … Attendi 5 minuti … Apri Internet Explorer www.ansa.it … www.facebook.com Inserisci e-mail Inserisci password … Cancella tracce indesiderate Cancella te stesso
Programma eseguito sul computer
Tracce da terze parti
Numero telefono, Indirizzo IP
Analisi computer: file, log, cache, cronologia, …
Metodologia creazione automatismo per un generico sistema operativo
• Rilevamento tracce dello script • Impostazioni S.O. per minimizzare tracce
– Uso tool di ottimizzazione (tweaking) • Costruire lo script per l’automazione
– Automazione azioni – Cancellazione tracce “indesiderate” – Cancellazione se stesso
• Verificare se rimangono tracce digitali “indesiderate”, nel caso torna all’inizio
22
Creazione automatica di evidenze digitali (dopo aver saputo quali sono le tracce)
1. Fissare una sequenza di operazioni: Story board della simulazione, durata, robustezza delle tracce
2. Codificarle in un programma per il computer Registrare con uno strumento di automazione un programma che eseguirà le azioni individuate e che poi sarà eseguito
3. Eseguire il programma quando si necessita dell’alibi
4. Rendere “indistinguibile” l’esecuzione automatica da quella umana Cancellare solo le “poche” tracce connesse all’esistenza dell’automatismo che proverebbero che è stato eseguito da uno script anziché dall’uomo
23
Autocancellazione script
• Non occorre intervento umano dopo l’esecuzione • Senza utilizzare supporti esterni come CD/DVD
o penne USB • Solo software • Il programma deve riscrivere qualcosa su se
stesso! – Altrimenti è possibile individuarlo in memoria - Sovrascrittura multipla, se si vuole!
24
Difficoltà creazione automatismo
E’ necessario essere un hacker esperto?
Occorrono strumenti costosi/illeciti/introvabili? No, comune computer e software freeware!
25
(./!,#'%!&*$ P#)%?*$
>#&)*??#'%!&*$/"#))*$%&3*+%3*"#/*$ (55#+/#&'#$V#)%?*$
(./!)#&)*??#'%!&*$ T!&$V#)%?*$
L&$#?/*"&#IJ#B$)#&)*??#'%!&*$,#&.#?*$2$+.--!"/!$>K$2$KWK$2$X*&3"%J*$ (55#+/#&'#$V#)%?*$
Casi di studio • Windows XP SP3
• Windows VISTA
• Vediamo ora alcuni highlight della nostra realizzazione dell’alibi digitale !
26
Schedulazione automatica operazioni
• AutoHotKey (per Windows)
• AutoIt (per Windows)
• Windows Host Script (per Windows)
• DoThisNow (per Windows e Linux)
• GNU Xnee (per Linux)
• Automator (per Mac Os X)
27
AutoIt v3 • Freeware • BASIC-like • Facile da imparare • Simula movimenti mouse • Simula battitura tastiera • Muove, ridimensiona e manipola finestre • Esegue eseguibili Windows e DOS • Funziona con il Registry • Funziona con la clipboard per tagliare/incollare testo
28
Sito ANSA: consultazione news 8$
".&$9:>YZX"!1"#,$P%?*+Z=!'%??#$P%"*V![Z7"*V![\*[*:<$
+*&3$9:]/”<$
+*&3$9:^^^\#&+#\%/:<$
+*&3$9:_STNSR`”<$
=!.+*>?%)@$9:?*A:B:FaG:B:DGG:B:U:<$
H%&H#%/()IJ*$9:X!?%I)#:<$
+?**-$9aEEE<$
8$
$
$
29
Facebook: autenticazione 8$
+*&3$9:]/”<$
+*&3$9:^^^\V#)*5!!@\)!,:<$
+*&3$9:_STNSR`:<$
H%&H#%/()IJ*9:P#)*5!!@:<$
+*&3$9:_N(b`:<$ $$
+*&3$9”#&%)#+c5?.\%/:< $$
+*&3$9:_N(b`:<$$
+*&3$9:-#++^!"3:< $$
+*&3$9:_STNSR`:<$
8$
30
Picasa: Consultazione Foto 8$
+*&3$9:]/:<$
+*&3$9:^^^\-%)#+#\)!,:<$
+*&3$9:_STNSR`”<$
^%&^#%/#)IJ*$9:X%)#+#:<$
+*&3$9:0*)!&3#$1.*""#$,!&3%#?*:<$
+*&3$9:_STNSR`”<$
H%&H#%/()IJ*9”=!'%??#$P%"*V![:<$
,!.+*)?%)@$9:?*A:B:UUE:B:dDe:B:U:<$
V!"$f%gU$/!$UE$+/*-$U$$+*&3$9:_"%1h/`:<$$+?**-$9GEEE<$
&*[/$8$
31
Picasa: Consultazione Foto 8$
+*&3$9:]/:<$
+*&3$9:^^^\-%)#+#\)!,:<$
+*&3$9:_STNSR`”<$
^%&^#%/#)IJ*$9:X%)#+#:<$
+*&3$9:0*)!&3#$1.*""#$,!&3%#?*:<$
+*&3$9:_STNSR`”<$
H%&H#%/()IJ*9”=!'%??#$P%"*V![:<$
,!.+*)?%)@$9:?*A:B:UUE:B:dDe:B:U:<$
V!"$f%gU$/!$UE$+/*-$U$$+*&3$9:_"%1h/`:<$$+?**-$9GEEE<$
&*[/$8$
32
Picasa: Consultazione Foto 8$
+*&3$9:]/:<$
+*&3$9:^^^\-%)#+#\)!,:<$
+*&3$9:_STNSR`”<$
^%&^#%/#)IJ*$9:X%)#+#:<$
+*&3$9:0*)!&3#$1.*""#$,!&3%#?*:<$
+*&3$9:_STNSR`”<$
H%&H#%/()IJ*9”=!'%??#$P%"*V![:<$
,!.+*)?%)@$9:?*A:B:UUE:B:dDe:B:U:<$
V!"$f%gU$/!$UE$+/*-$U$$+*&3$9:_"%1h/`:<$$+?**-$9GEEE<$
&*[/$8$
33
Scrittura e Salvataggio documento 8$
+*&3$9:;,:<$
=!.+*>?%)@9:?*A:BCDEBFGEBF<$
H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$
=!.+*>?%)@9:?*A:BFGGBUFEBF<$
H%&H#%/()IJ*9:N*+%”<$
+*&3$9:O#$+*)!&3#$1.*""#$,!&3%#?*$i$%?$)!&j%k!$8”<$
+*&3$9:lV:< $$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_"%1h/`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_S&/*"`“<$
8$ 34
Scrittura e Salvataggio documento 8$
+*&3$9:;,:<$
=!.+*>?%)@9:?*A:BCDEBFGEBF<$
H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$
=!.+*>?%)@9:?*A:BFGGBUFEBF<$
H%&H#%/()IJ*9:N*+%”<$
+*&3$9:O#$+*)!&3#$1.*""#$,!&3%#?*$i$%?$)!&j%k!$8”<$
+*&3$9:lV:< $$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_"%1h/`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_S&/*"`“<$
8$ 35
Scrittura e Salvataggio documento 8$
+*&3$9:;,:<$
=!.+*>?%)@9:?*A:BCDEBFGEBF<$
H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$
=!.+*>?%)@9:?*A:BFGGBUFEBF<$
H%&H#%/()IJ*9:N*+%”<$
+*&3$9:O#$+*)!&3#$1.*""#$,!&3%#?*$i$%?$)!&j%k!”<$
+*&3$9:lV:< $$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_"%1h/`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_3!^&`:<$
+*&3$9:_S&/*"`“<$
8$36
Telefonate
8$+*&3$9‘(N_m`),1+g:DeEeEEEEU”’<$+*&3$9:_STNSR`”<$+*&3$9”Nh%+$%+$#$/*+/$0=0]n”<$+*&3$9:_STNSR`”<$8$
37
Telefonate
o+!$p6-*"N*",%&#?$
38
Telefonate$8$
+*&3$9:(NKXEeaaCaGad:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9:(NKXDeEeeEEEdd:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9:(NK$EeaaCaGadq:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9:(NK$DeEeEEEEUq:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9‘(N_m`),1+g:DeEeEEEEU”’<$
+*&3$9:_STNSR`”<$
+*&3$9”Nh%+$%+$#$/*+/$0=0]n”<$
+*&3$9:_STNSR`”<$
8$
$
$
sms
da cellulare
da fisso
39
Telefonate$8$
+*&3$9:(NKXEeaaCaGad:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9:(NKXDeEeeEEEdd:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9:(NK$EeaaCaGadq:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9:(NK$DeEeEEEEUq:<$
+*&3$9:_STNSR`”<$
8$
+*&3$9‘(N_m`),1+g:DeEeEEEEU”’<$
+*&3$9:_STNSR`”<$
+*&3$9”Nh%+$%+$#$/*+/$0=0]n”<$
+*&3$9:_STNSR`”<$
8$
$
$
sms
da cellulare
da fisso
40
Rete cellulare
Base Transceiver Station interfaccia radio con i terminali mobili
Base Station Controller
BTS posizionata su un tetto
IMEI • International Mobile Equipment Identity • Codice numerico che identifica univocamente terminale mobile
• Si può visualizzare digitando *#06# • Salvato nella scheda madre del cellulare
• All'avvio di ogni chiamata trasmesso alla rete dell'operatore • Blacklist convivisa dagli operatori (cellulari rubati bloccati)
• Analisi IMEI http://www.numberingplans.com/?page=analysis&sub=imeinr
8 cifre 6 cifre 1-2 cifra
Type Allocation Code SNR
SIM Subscriber Identification Module – Smart Card con processore, OS, File System,
Applicazioni – Protetto da PIN – Proprietà dell’Operatore (i.e. trusted)
Tracce dell’esecuzione di un programma
1. File System 2. Memoria Virtuale 3. Registro di Windows
Eliminazione delle tracce indesiderate: – Impostazione del sistema operativo per
limitarne la presenza (senza creare sospetti)
– Cancellazione a posteriori con un programma apposito
44
Tracce dell’esecuzione di un programma (file system)
Se la chiave del registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters] contiene il valore 1 o 3 Windows copierà il file eseguibile creando un file temporaneo con estensione .pf nella directory: C:\WINDOWS\Prefetch
45
I programmi di ottimizzazione automaticamente caricano il valore 0 disabilitando il prefetch
Tracce dell’esecuzione di un programma (memoria virtuale)
• Durante l’esecuzione la memoria di un programma viene copiata nel file pagefile.sys (memoria virtuale)
• Ciò consente l’esecuzione di programmi di taglia maggiore ma penalizza notevolmente le prestazioni
• Per disabilitare tale funzione, dalle “Proprietà di Sistema” si imposta a 0 la taglia della memoria virtuale
46
Tracce dell’esecuzione di un programma (registro di Windows)
Eseguibile lanciato con i meccanismi dell’Explorer di Windows:
47
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache HKEY_USERS\S-1-5-21-2025429265-688789844-854245398-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache
contengono il nome, completo di path, del comando eseguito
Tracce dell’esecuzione di un programma (registro di Windows)
Tracce lasciate dalla esecuzione di un eseguibile lanciato mediante istruzioni su riga di comando (Shell DOS)
48
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
contiene il valore: c:\windows\system32\cmd.exe
La nostra soluzione prevede l’esecuzione di un unico file batch (.BAT) lanciato dalla Shell DOS
Anatomia del programma
1 Esecuzione script AutoIt – Senza lasciare tracce indesiderate
2 Cancellazione script AutoIt – Riscrittura del file dello script (wiping)
3 Autocancellazione – Sottoprogramma per il wiping – File batch
49
Lo script batch @ECHO off Sleep 3600 c:\windows\temp\AB345ED8.tmp java HelloWorld c:\windows\temp\AB345ED8.tmp shutdown –s for /l %%a in (1,1,1) do ( echo 1234567>ppp for /l %%b in (1,1,15) do ( echo 1234567>>ppp ))
50
S+*).'%!&*$
>#&)*??#'%!&*$+)"%-/$(./!L/$(./!)#&)*??#'%!&*$"!.I&*$^%-%&1$
(./!)#&)*??#'%!&*$3*?$5#/)h$
Avvio dello script di AutoIt
• sleep 3600 (cioè attendere un’ora)
• Su XP richiede l’installazione del Windows Server 2003 SDK
• In alternativa piccolo programma ad-hoc
• Meglio non usare lo scheduler di Windows
51
Avvio dello script di AutoIt
• Il file che contiene l’eseguibile relativo allo script di AutoIt è: C:\WINDOWS\Temp\A18D5E7.tmp
52
Cancellazione dello script AutoIt
HelloWorld (String[] argv)
Classe Java che implementa il wiping dei blocchi degli argomenti argv
53
Autocancellazione
• Un file eseguibile in esecuzione non può essere sovrascritto/cancellato: Chi cancella il cancellatore ?
• Con un linguaggio interpretato (Python, Java) si può fare ! – il codice viene caricato in memoria prima di essere
eseguito – È possibile anche modificare dinamicamente il
programma in esecuzione e trasformarlo in un programma che fa altro (code injection)
54
Autocancellazione Non cancelliamo il file HelloWorld.class (resterebbero tracce della sua esistenza sul file system) Lo trasformiamo:
55
!"#$%&'&$())'*+$$,-,.$/'0'!"#$%&')1(2&'3,%/'4(%5'671.%589:'(.8);''$_$$$$p*??!H!"?3$#?$g$5+<'*+$$,-,.$/6;='''''>,.6%51'%'?'@='%'A'(.8)B$+581C='%DD;'$$$$$$$$#?\^%-*P%?*9$#"1+r%s<q$$$$$$$$$$#?\"*-?#)*P%?*9:p*??!H!"?3:<q'$$$`$`$
!"#$%&'&$())'*+$$,-,.$/'0'!"#$%&')1(2&'3,%/'4(%5671.%589:'(.8);'''_$$$$$06+/*,\!"#$%&'(#)(*+
+”,-)./+0!(1!234$$$`$`$
b%&#"6$>!3*$
L&t*)I!&$
Rimozione del file batch
• Uno script (.BAT) può cancellare se stesso … ma solo se di taglia limitata: for /l %%a in (1,1,1) do ( echo 1234567 > ppp for /l %%b in (1,1,15) do ( echo 1234567 >> ppp ))
• Tracce rimaste: – Programma che stampa “Salve Mondo” – File batch ppp con 15 righe contenenti la stringa “1234567” (nomi e contenuti possono cambiare ma deve rimanere qualcosa anche con caratteri casuali)
56
Altre tecniche per “ultima cancellazione”
• manuale,
• dispositivo USB,
• RAMDisk,
• automatica,
• …
57
Ulteriori accortenze a supporto dell’alibi
• Riconoscimento utente dai batteri lasciati dai polpastrelli
• Sbalzi corrente elettrica – portatile, gruppo UPS
• Testing
• Evitare analisi Anomaly Detection
58
Alibi perfetto e rischi
Qualcosa può andare sempre storto: – Eventi casuali (visita amico a casa, ladro, …) – Interruzione Provider Internet – Rottura PC – Catastrofi naturali “Se qualcosa può andar male, lo farà” (Legge di Murphy)
59
Evitare falso alibi digitale • Uomo o automatismo
CAPTCHA
• Indagato o Complice
Autenticazione Forte
• Log totali o parziali, veri o modificati
Log certificati
Usabilità, convenienza economica ?
60