Introduzione alla computer forensic - acquisizione

il percorso il percorso pipiù sicuroù sicuro

presentapresenta

Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali

Sherlock Holmesin

Uno studio in RGB


Titoli di testa

A fine tale by

Claudio CriscionePrincipal Consultant @ Secure Network

Dottorando @ Politecnico di Milano

[email protected]/paradoxengine

mailto:[email protected]


Uno studio in RGB

Holmes è alle prese con un nuovo caso

ma questa volta, l'anno è il 2010

ed invece di un assassino ha un complotto per uccidere la regina da sventare

Ovviamente, c'è l'informatica di mezzo.


Pensare al processo

Il primo problema che Holmes dovrà affrontare sarà come iniziare ad indagare

Dopo l'esperienza delle cascate di Reichenbach, preferisce l'idea di aiutare la

polizia

Come, dunque, può analizzare questi nuovi “computatori”?


Scientifico (?)

● Chiediamo a Wikipedia● Per scienza si intende un complesso organico di conoscenze ottenuto

con un processo sistematico di acquisizione delle stesse allo scopo di giungere ad una descrizione precisa della realtà fattuale delle cose e delle leggi in base alle quali avvengono i fenomeni.

● In ambito moderno, gli elementi chiave del metodo scientifico sono l'osservazione sperimentale di un evento, la formulazione di un'ipotesi generale sotto cui questo evento si verifichi, e la possibilità di controllo dell'ipotesi mediante osservazioni successive.

● Per Holmes, il fulcro è la ripetibilità.


Il dato

Datum : fatto

Una descrizione elementare di un ente

Nel mondo digitale, una sequenza di 1 e 0


Sistemi che manipolano dati

Povero Sherlock!


Divide et impera: il perimetro

Anche Holmes ha risorse finite

Per cui decide di concentrarsi su quanto ha a disposizione.

Analizzerà i dispositivi più classici e semplici.


Occhi aperti

Per fortuna è Sherlock Holmes

Altrimenti avrebbe potuto non notare quel piccolo Key Logger attaccato alla tastiera...


Pista calda?

2 modalità per affrontare il problema

Live

L'odore di Moriarty non è lontano

In laboratorio

In questo caso se non altro c'è il violino.


Cosa analizzare?

Holmes e Watson si interrogano

Dove si troverà il dato, su questo computer?

Nei registri, nella cache, nel cavo, nei CD, nei floppy, nei dischi rigidi...


L'originale

Perché un esperimento sia ripetibile, abbiamo bisogno che la torre di Pisa e la palla di cannone non

cambino significativamente

E' pur sempre possibile modificare la prova.

Dobbiamo conservarla!

Due differenze fondamentali tra il mondo digitale e quello analogico

Possibilità di copia

Facilità di alterazione


E se Watson fosse ipnotizzato?

Sherlock deve poter garantire che l'originale non venga alterato da nessuno

Ha bisogno di garantire che esista una Catena di Custodia documentata e ferrea!


Dietro le quinte: la copia

Vogliamo realizzare una COPIA ESATTA

Una normale copia non va bene: metadati!

Una copia scientificamente valida ha tutte le proprietà rilevanti dell'originale: è una

copia bit-a-bit


Acquisizione

In genere si parla di acquisizione indicando il processo di trasferimento dall'Originale alla Copia Forense.

Per sicurezza, spesso si realizza anche una copia di Lavoro oltre a quella Forense.


Software

Numerosi software sono in grado di effettuare la copia

Gratuiti, commerciali, per Windows o Linux

Distribuzioni specializzate


Un dubbio...

“Eppure Watson”, fa notare Sherlock “se qualcuno modificasse questo programma per favorire Moriarty noi non lo sapremmo: chi sa come funziona questa

diavoleria!”

L'obiezione è assolutamente rilevante

Ed è il motivo per cui dovremmo sempre usare software Open Source.

Non è importante solo il risultato, ma anche il processo con il quale viene raggiunto, vero Sherlock?


Hardware

Anche il software OpenSource non ci mette al riparo dall'errore umano

Per questo, è una buona idea usare dell'Hardware specifico

Write Blocker


Demo

Acquisiamo una partizione da un disco rigido esterno mediante Write Blocker

Useremo il software OpenSource dcfldd


Obiezione, vostro onore!

L'avvocato di Moriarty non si fa attendere

Prima ancora di aver visionato le deduzioni di Holmes, fa notare che “certo, la copia all'inizio era identica” ma “è stata alterata in seguito”

Sherlock è in difficoltà: anche giurare sul suo buon nome non servirà


Un po' di matematica: l'Hash

Ma fortunatamente Holmes è un buon matematico e sa cosa è una funzione di Hashing

Da un numero di N cifre ad uno di K cifre

Piccole variazioni = grandi cambiamenti

Origine => Hash SI

Hash => Origine NO

Origine 1 => Hash 1; Origine 2 => Hash 2 SI

Origine 1 => Hash 1; Origine 2 => Hash 1 NO*

*Non arbitrariamente, almeno


Hash e forensic

Disco Originale => Hash Org

Disco Originale => Copia

Copia => Hash Cop

Verifico che

Hash Cop = Hash Org


Demo

Calcoliamo l'hash del disco e della sua immagine

Modifichiamo l'immagine e ricalcoliamo l'hash


E se fin qui era facile...

Il criminale del nuovo millennio non si accontenta di un computer con dischi rigidi: cellulari, router, stampanti...

La parte migliore? Le metodologie cambiano da dispositivo a dispositivo...

Vediamo qualche esempio


HD v 2.0

● Un “semplice” disco rigido potrebbe● Avere una partizione nascosta● Essere cifrato● Essere formattato in un formato

“proprietario”● Essere rotto● Avere un connettore o un bus particolare

(Ultra SCSI 3220 semi-wide in RAID 3 e mezzo in notazione polacca inversa)


Cellulari

● Una brutta bestia!● Sistemi proprietari● Difficoltà hardware● Backdoor, service mode etc...

● E d'altra parte...● Tracce di accesso alla rete● Storage locale


Router

● Anche le appliance di casa come i router possono contenere informazioni critiche

● Accedere alle informazioni che contengono non è affatto facile

● JTAG


A connected world

Ma non basta!

Wireless e mobile computing hanno disgregato i concetti di località del dato

Qualcuno spieghi a Sherlock che quel cellulare può collegarsi a qualsiasi sito Web

per comunicare, disporre...


Rappresentazione del dato

Sherlock scoprirà presto che questo...

0101011101000100101

Non è più utile di questo


Analizzare i dati

Per questo, dovrà usare tecniche specifiche per “decifrare” quei numeri e dargli un significato

A volte sarà necessario bypassare il Sistema Operativo (il bibliotecario) che si rifiuta di

interpretare alcuni bit (i libri proibiti)

Altro che “Elementare, Watson”!

Ma questo è argomento della prossima puntata!

Technology

Introduzione alla computer forensic - acquisizione