Best-practices per acquisizione sito web
Milano, 31 maggio 2012
A cura di
Donato La Muscatella, Davide Paltrinieri, Marco Carlo Spada, Paolo Verderi
1
3
Marco Carlo Spada - BP per acquisizione siti web
• La “Fonte Originaria”
Best Practices per l’acquisizione di siti Web
• La “Cristallizzazione” della prova
44
http://ark.intel.com/products/47921/Intel-Xeon-Processor-X5660-(12M-Cache-2_80-GHz-6_40-GTs-Intel-QPI)
Marco Carlo Spada - BP per acquisizione siti web
?
Best Practices per l’acquisizione di siti Web
5
Marco Carlo Spada - BP per acquisizione siti web
• Ciò che stiamo vedendo sul nostro browser:
… si presenta allo stesso modo dappertutto?
… o “nasce”, “vive” e “muore” così come lo vediamo, solo nel contesto in cui ci troviamo?
Best Practices per l’acquisizione di siti Web
6
Marco Carlo Spada - BP per acquisizione siti web
• Al cospetto dei quesiti che ci siamo posti:
… come affrontiamo il problema della “Cristallizzazione” della prova?
… quali tecniche e quali accorgimenti ci consentiranno di ridurre al minimo la probabilità che quanto stiamo affermando sia condizionato da fattori tali da invalidarne la forza probatoria?
Best Practices per l’acquisizione di siti Web
COSA FACCIO ?
COME LO FACCIO?
STRATEGIA DIFENSIVA
8
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Cosa faccio?
Si tratta di un’attività ripetibile o irripetibile?
9
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Cosa faccio?
In base alle caratteristiche della Rete, ed ai principi espressi dalla giurisprudenza in tema di indagini tecniche, l’acquisizione di evidenze digitali da un sito web deve essere qualificata come accertamento urgente.
10
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Cosa faccio?
se si tratta di un’attività che determina una “alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale”
se si tratta di un’attività che fornisce la garanzia di poter riprodurre informazioni identiche a quelle contenute nell’originale “per un numero indefinito di volte”
(cfr. Cass.Pen., I, 05.03.2009, Stabile, CED 243150 e Cass.Pen., I,
30.04.2009, Corvino, CED 244454)
11
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Cosa faccio?
Non si tratta del tipo di analisi svolta (art. 117 d.a.), ma del mero decorso del tempo che, per fattori intrinseci o estrinseci, potrebbe comportare significative variazioni del contesto web (art. 360 c.p.p.).
12
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
La novità dello strumento di prova non implica la sua atipicità, che è concetto di relazione riferito alle previsioni del catalogo legale.
13
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
Le metodologie di web forensics costituiscono strumenti di prova di elevata specializzazione scientifica, che, come tali, trovano regolamentazione nei criteri che la giurisprudenza ha elaborato per la nuova prova scientifica.
14
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
15
Frye Test (1923)
Daubert Test (1993)
(Cass. Pen., V, 09.07.1993)
Kumho Tyre (1999)
generale condivisione
affidabilità
controllo tra pari
tasso di errore noto
pertinenza con il tema di prova
libero convincimento giudiziale
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
A questi si aggiungono :
affidabilità ed indipendenza dell’esperto;
finalità per cui si muove
(cfr. Cass. Pen., V, 13.12.2010, n. 43786, Cozzini et
al.)
16
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
Esiste quindi la possibilità di migliorare le tecniche di acquisizione costantemente, ma, a parer nostro, non potranno mai esistere delle vere e proprie best practices codificate!
17
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
La stessa Suprema Corte, in un caso noto agli esperti, ha distinto la probabilità statistica dalla probabilità logica, obbligando il giudice a verificare la validità della legge scientifica nel caso concreto, esaminando la coerenza della prova tecnica con le altre emergenze processuali.
(cfr. Cass. Pen., S.U., 10.07.2002, n. 30328,
Franzese)
18
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
Si passa, dunque, attraverso successivi processi di falsificazione, aumentando le fonti di informazione (tendenzialmente neutre) per confermare la validità della tesi proposta.
19
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
Come lo faccio?
Trova applicazione nel processo, quindi, una regola logica definita inferenza finale, che costituisce una caratteristica del metodo scientifico… ed il principio base dell’intelligence investigativa.
(David Steele et
al.)
20
Best Practices per l’acquisizione di siti Web
Donato La Muscatella – I profili Giuridici
22
Paolo Verderi – Se la prova che mi porti riesco a farla in casa...
Far partire la registrazione “esterna” poi “interna”.Visualizzare la o le connessioni di rete e il contenuto del file hosts.Visualizzare l'assenza di condivisioni, incluso quelle amministrative.Azzerare la cache del browser.
Caricare il programma di sniffing (es.Wireshark).Fare un traceroute al server DNS e al server NTP.Sincronizzazione dell’ora su un server NTP.
Caricare il browser e aprire la pagina di Google.Cercare sito “bersaglio” e cliccare sul link di Google al sito.
Visualizzare il sito.Verificare di chi è il sito (http://whois.domaintools.com/<nome_sito>).Verificare di chi è il sito (http://www.wipmania.com/whois/<ip_sito>/?ff).
Chiudere il browser.Salvare traffico e chiudere il programma di sniffing.
Fermare la registrazione “interna” e salvare video.Comprimere i due file in uno zip.Firmare lo zip con firma digitale, e verificare la firma.
Fermare la registrazione “esterna”.Add-on
Avviare un programma in background che reitera il traceroute al server NTP.la sincronizzazione dell’ora su un server NTP.il traceroute al server del sito.
Fare un check del sito con httpreconRegistrare la pagina visualizzata con hashbot
Best Practices per l’acquisizione di siti Web
23
Paolo Verderi – Se la prova che mi porti riesco a farla in casa..
Best Practices per l’acquisizione di siti Web
24
Marco Carlo Spada – analisi della prima realizzazione
• Analisi del file di cattura del traffico
tcpdump -n –r perfezionisti.pcap –s 1515 | lesstcpdump -n –r perfezionisti.pcap -s 1515 arp
Best Practices per l’acquisizione di siti Web
25
Marco Carlo Spada – analisi della prima realizzazione
• Analisi del file di cattura del traffico
Best Practices per l’acquisizione di siti Web
26
Marco Carlo Spada – seconda realizzazione
• Seconda realizzazione:
Best Practices per l’acquisizione di siti Web
27
Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..
Best Practices per l’acquisizione di siti Web
28
Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..
Best Practices per l’acquisizione di siti Web
Far partire la registrazione “esterna” poi “interna”.Visualizzare la o le connessioni di rete e il contenuto del file hosts.Visualizzare l'assenza di condivisioni, incluso quelle amministrative.Azzerare la cache del browser.
Caricare il programma di sniffing (es.Wireshark).Fare un traceroute al server DNS e al server NTP.Sincronizzazione dell’ora su un server NTP.
Caricare il browser e aprire la pagina di Google.Cercare sito “bersaglio” e cliccare sul link di Google al sito.
Visualizzare il sito.Verificare di chi è il sito (http://whois.domaintools.com/<nome_sito>).Verificare di chi è il sito (http://www.wipmania.com/whois/<ip_sito>/?ff).
Chiudere il browser.Salvare traffico e chiudere il programma di sniffing.
Fermare la registrazione “interna” e salvare video.Comprimere i due file in uno zip.Firmare lo zip con firma digitale, e verificare la firma.
Fermare la registrazione “esterna”.Add-on
Avviare un programma in background che reitera il traceroute al server NTP.la sincronizzazione dell’ora su un server NTP.il traceroute al server del sito.
Fare un check del sito con httpreconRegistrare la pagina visualizzata con hashbot
29
Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..
Best Practices per l’acquisizione di siti Web
30
Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..
Aggiungere gli hop mancanti.
Ricostruire lo stesso web server.
Aggiungere il file di log sul server.
Best Practices per l’acquisizione di siti Web
32
Davide Paltrinieri - Siti web con contenuti dinamici
Siti web con contenuti dinamici
• La rappresentazione è frutto dell'interazione tra client e server.
• Possibile presenza di codice eseguibile dalla web application all'interno del database.
Best Practices per l’acquisizione di siti Web
33
Strumenti di terze parti per l'acquisizione
1) Hashbot
2) DEFT Live Forensics
Davide Paltrinieri - Siti web con contenuti dinamici
Best Practices per l’acquisizione di siti Web
34
Hashbot
PRO:– Ottimo per siti con contenuti statici;– Terza parte “fidata”.
CONTRO:– Limitato per siti con contenuti dinamici;– dimensione massima di 2MB per ogni file acquisibile;– problema pagine accessibili solo tramite autenticazione.
Davide Paltrinieri - Siti web con contenuti dinamici
Best Practices per l’acquisizione di siti Web
35
Deft Live-Forensics (procedura di Davide “rebus” Gabrini)
Protocollo composto da 5 parti:
1) Setup2) Screencast3) Network dump4) Log 5) Report
Davide Paltrinieri - Siti web con contenuti dinamici
Best Practices per l’acquisizione di siti Web
36
Cosa manca:– dump (acquisizione integrale) dei sorgentisorgenti dell'intero sito web.– dump del databasedatabase (se possibile).
Perchè???
– interazioneinterazione tra client (user-agent, cookie, ... ) e server.– Possibile presenza di codice eseguibilecodice eseguibile (malware) dalla web application
all'interno del database.
Davide Paltrinieri - Siti web con contenuti dinamici
Best Practices per l’acquisizione di siti Web
37
Davide Paltrinieri - Conclusioni
Falsi miti da sfatare
Le connessioni HTTPS eviterebbero il MITM... Falso!– SSL Hijiacking– Certificati SSL rubati
Uno screencast della navigazione è sufficiente... Falso!– Browser scripting (es. Grease-Monkey)
Il dump del traffico di rete è sufficiente... Falso!– Transparent firewall ( + packet filtering)– Client Scripting (modifica “al volo” .pcap)
Best Practices per l’acquisizione di siti Web
38
Conclusioni
L'importanza della verifica della corrispondenza fra il filmato della navigazione e il contenuto dell’acquisizione del traffico di rete generato durante la navigazione stessa
Davide Paltrinieri - Conclusioni
Best Practices per l’acquisizione di siti Web
39
Davide Paltrinieri - Conclusioni
Best Practices per l’acquisizione di siti Web
Conclusioni
Attività da aggiungere all’acquisizione:
– traceroute ai server DNS e NTP usati;– esecuzione reiterata di traceroute verso il server oggetto;– interrogazioni NTP in background durante l’acquisizione;– .pcap.pcap hash chaining.
Grazie per l’attenzione
Donato La Muscatella
Davide Paltrinieri
Marco Carlo Spada
Paolo Verderi
40