Seminario di INFORMATICA FORENSE - ICT 4 …ict4forensics.diee.unica.it/wp-content/uploads/2015/01/A.Bonu... · SEMINARIO DI INFORMATICA FORENSE La copia forense: modalità operative

Università di CagliariDipartimento di Ingegneria

Elettrica ed Elettronica

Coordinatore: Massimo Farina

Seminario di

INFORMATICA FORENSEA.A. 2014/2015

La copia forense: modalità operativeESERCITAZIONE PRATICA

parte 1

di Alessandro [email protected]

SEMINARIO DI INFORMATICA FORENSE

La copia forense: modalità operative (pt. 2)di Alessandro Bonu

ESERCITAZIONE - LEZIONE 1

“Una società di ricerca finanziata dal governo ha messo a punto un nuovo sistema di cifratura che consentirebbe un vantaggio consistente alla nazione, permettendo comunicazioni virtualmente inviolabili. Ovviamente se anche altre nazioni ottengono lo stesso sistema si perde il vantaggio, per cui il livello di segretezza del progetto è massimo.

C’è un problema: il responsabile della sicurezza informatica della società si è accorto di un accesso insolito ad alcuni file del progetto, in particolare allo schema elettronico del dispositivo. Con l’aiuto delle forze dell’ordine si è riusciti a prendere con le mani nel sacco il presunto colpevole, ma l’unica irregolarità rilevata è un pendrive USB trovato indosso al sospetto.”



REGOLE DI INGAGGIO

• Il reperto è la pendrive usb;

• La pendrive sospetta viene consegnata al forenser incaricato al quale vengono date le seguenti regole di ingaggio:

1. calcolo dell’hash del device in md5 e sha1;

2. la pendrive non presenta etichette o riferimenti esterni, si richiede pertanto l’estrazione del S.N. (Serial Number) e modello della stessa;

3. analisi e tipologia del/i filesystem;

4. offset iniziale del/i filesystem (potrebbero esserci più partizioni)

5. acquisizione della copia forense;

6. verifica e riscontro della corretta esecuzione della copia;

7. stesure della relazione tecnica;

8. preparazione per la consegna del reperto e della copia.



LINEE GUIDA PER IL FORENSER• Utilizzo della distribuzione live: NBCAINE 4.0

• Per i punti 3 e 4 utilizzare comandi da shell;

• Per il punto 5 e 6 utilizzare GUYMAGER e riscontro con AIR, per scrupolo eseguire anche una copia con dd da riga di comando;

• Tutte le evidenze devono scrupolosamente essere verificate con hash md5 e sha1, in caso di non corrispondenza degli hash ripetere l’operazione fino ad avere esatta corrispondenza;

• Non ci sono regole specifiche per la stesura della relazione: deve descrivere tutte le attività senza che si possa obiettare che la copia risulti differente rispetto al reperto originale, (rimasto intatto come da consegna);

• Una volta terminata la relazione finale, descrivere la preparazione del reperto e del materiale oggetto dell’incarico e pronti per la consegna.

• Tutte le attività possono essere analizzate e descritte teoricamente, il consiglio, per chi potesse, è quello di simulare il tutto praticamente utilizzando una qualsiasi chiavetta usb per simulare il reperto oggetto di indagine, creando una piccola partizione di 1 GB e scrivendoci alcuni file. Una volta definito che quello è il reperto ricordatevi sempre che dev’essere cristallizzato.

http://www.caine-live.net/Downloads/nbcaine4.0.iso



UTILIZZO DELLA DISTRIBUZIONE LIVE DI NBCAINE 4.0• mi collego sul sito di riferimento e scarico la ISO di Nbcaine 4.0


Utilizzo il tool Unetbooting per creare un device di boot con la distro di nbcaine 4.0 (http://unetbootin.sourceforge.net) appena scaricata



http://unetbootin.sourceforge.net



CREAZIONE DEL SUPPORTO/DEVICE LIVE

1. CD live => masterizzazione della ISO

2. USB bootable => tool “Unetbootin”



PREPARAZIONE DEL PC OPERATIVO

• Verifico da BIOS: ordine di avvio dei device e ora corretta



AVVIO DELL’AMBIENTE OPERATIVO• Inserimento del device di boot per l’esecuzione della copia live di

NBCAINE 4.0 come impostato da BIOS

CD

USB



PREPARAZIONE AREA DEDICATA AL CASO

• Cartella principale dedicata al caso:

es. case-kingston

• Sottocartelle organizzate:

acquisizioni

risultati

report

temp

NOTA IMPORTANTE! = backup del lavoro svolto



PENDRIVE SUSPECT = REPERTO ORIGINALE

• Trattare con molta cautela..

• Non presenta riferimenti esterni (modello e serial number)



COLLEGAMENTO DEL REPERTO

• con tutte le cautele del caso collegare il reperto = pendrive usb al pc operativo che esegue la live di nbcaine;

• si apre una shell di comando e si verifica con il comando dmesg se il dispositivo è stato riconosciuto correttamente.



1. CALCOLO DELL’HASH DEL DEVICE

• output a video

md5sum /dev/sdb && sha1 /dev/sdb

• output su file hash-kingston

• md5sum /dev/sdb > risultati/hash-kingston

• sha1 /dev/sdb >> risultati/hash-kingston



2. ACQUISIZIONE DELLE INFO SUL DEVICE

• Per ottenere le info su device usb, eseguire il seguente comando da shell:

cat /proc/scsi/usb-storage/*

cat /proc/scsi/usb-storage/* > risultati/kingston.device



3. VERIFICA DELLA TIPOLOGIA DEL/I FILESYSTEM

• Eseguire il seguente comando da shell: fdisk -l /dev/sdb



4. VERIFICA DEGLI OFFSET**Indica la distanza tra due elementi all'interno di un gruppo di elementi dello stesso tipo. (es.ELEMENTI= A R T S G K E | OFFSET DI K RISPETTO A T = 3)

• eseguire il comando da shell per la verifica delle partizioni: mmls /dev/sdb

offset partizione FAT32 = 0000000063

offset partizione LINUX = 0002088450



VERIFICA PARTIZIONE WINDOWS

• fsstat -f fat -o 0000000063 /dev/sdb



VERIFICA PARTIZIONE LINUX

• fsstat -f ext3 -o 0002088450 /dev/sdb



5. ACQUISIZIONE DELLA COPIA FORENSE: GUYMAGER



COMPARAZIONE DEGLI HASH MD5 E SHA1• Una volta terminata la copia la prima cosa da fare è verificare che gli hash

corrispondano a quelli estratti per il device originale (/dev/sdb)



6. ANALISI DEL FILESYSTEM DELL’IMMAGINE ACQUISITA



COMPARAZIONE DI IMMAGINE E DEVICE CON FDISK



COPIA DELL’IMMAGINE CON GUYMAGER

• importante è anche fare copia della copia sulla quale lavorare e averne sempre una intonsa da dove poter riprendere in caso di problemi, questo evita tutta la procedura di acquisizione e verifica già vista in precedenza



MOUNT DELLA COPIA FORENSE



CLUSTER SIZE

• fsstat -f fat -o 63 kingston.dd



7. RELAZIONE TECNICA

• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici

dell’analisi ma solo ciò che interessa dal punto di vista giuridico;

• Semplificata: colui che legge e valuta l’esito è di principio un fruitore

inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,

bisogna eliminare terminologie non consuete e spiegare a livello

elementare quanto rilevato;

• Asettica: non deve contenere giudizi personali dell’operatore né tanto

meno valutazioni legali sulle informazioni rilevate a meno che tali

considerazioni non siano state espressamente richieste.



CATENA DI CUSTODIA• La catena di custodia è un documento che contiene le informazioni di ciò che è stato fatto

con la prova originale e con le copie forensi realizzate, a partire dall'acquisizione fino ad arrivare al giorno del processo.

• Tipiche informazioni che possono essere contenute inizialmente in questo documento sono:

Numero del caso

Società incaricata dell'investigazione

Investigatore assegnato al caso

Natura e breve descrizione del caso

Investigatore incaricato della duplicazione dei dati

Data e ora di inizio custodia

Luogo in cui il supporto è stato rinvenuto

Produttore del supporto

Modello del supporto

Numero di serie del supporto

• Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, nella catena di custodia, dovrà essere aggiunta un'informazione contenente:

Nome dell'incaricato all'analisi Data e ora di presa in carico del supporto Data e ora di restituzione del supporto



8. CONSEGNA DEL MATERIALE

• predisposizione della catena di custodia;

• preparazione del materiale da consegnare con opprtuni imballaggi e sigilli;

• consegna al committente.



Fine esercitazione

[email protected]

it.linkedin.com/in/abonu

@abonu

mailto:[email protected]

http://it.linkedin.com/in/abonu

https://twitter.com/?lang=it



29

Licenza

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi

ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modoin cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne

un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente aquesta.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini dellalicenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Documents

Seminario di INFORMATICA FORENSE - ICT 4 …ict4forensics.diee.unica.it/wp-content/uploads/2015/01/A.Bonu... · SEMINARIO DI INFORMATICA FORENSE La copia forense: modalità operative