Embed Size (px)
Citation preview
CONSULENTE INFORMATICO
Marco [email protected]
19 Settembre 2008 Ordine degli Avvocati di Bergamo
Auditorium del Collegio Sant’Alessandro
Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete telematica.
Alcuni software di sniffing:
- CommView (a pagamento)- Ethereal (free)- WireShark (free)
Packet Sniffer
La comunicazione viene spezzettata in tanti pezzi
Packet Sniffer
From: 66.76.230.140
To: 213.44.56.72
Ogni pezzo viene identificato come “pacchetto” Il pacchetto contiene informazioni essenziali per la ricostruzione
della comunicazione (Mittente, Destinatario ...)
Protocol: FTPPart: 1 of 3
La catena di custodia
I pacchetti vengono inviati attraverso la rete
Rimandami il pacchetto 2! grazie
Eccolo di nuovo ... !
Può capitare che qualche pacchetto vada perso durante la trasmissione
MITTENTE
DESTINATARIO
Packet Sniffer
Non sempre i pacchetti arrivano in ordine Quindi il client destinatario deve
riordinarli
Packet Sniffer – l’ordine dei pacchetti
L’utilizzo di programmi di sniffing per la lettura dei pacchetti
Programmi di sniffing
CommView – L’interfaccia
IP del mittente (locale)
Packet Sniffer - CommView
L’IP del destinatario (remoto)
CommView – L’interfaccia
Packet Sniffer - CommView
Numero di pacchetti ricevuti
Packet Sniffer - CommView
CommView – L’interfaccia
Numero di pacchetti inviati
CommView – L’interfaccia
Packet Sniffer - CommView
Direzione della trasmissione (IN / OUT)
CommView – L’interfaccia
Packet Sniffer - CommView
Numero delle sessioni TCP/IP attive
CommView – L’interfaccia
Packet Sniffer - CommView
Porte utilizzate per la trasmissione
CommView – L’interfaccia
Packet Sniffer - CommView
Hostname del computer remoto
CommView – L’interfaccia
Packet Sniffer - CommView
Numero di bytes trasmessi per la comunicazione
CommView – L’interfaccia
Packet Sniffer - CommView
outgoing incomingSelezione del pacchetto
Direzione della comunicazione
Packet Sniffer – CommView, un esempio di applicazione
Raw packet details (hexadecimal/plain text)
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
Dettaglio pacchetto
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
Java applet – ricerca dell’URL sul quale sono ospitati i file
Packet Sniffer – CommView, un esempio di applicazione
Inizia la cattura
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
Cattura iniziata
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
Inizia il download
Ricorda il nome file
Packet Sniffer – CommView, un esempio di applicazione
Stop cattura
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
Ricerca nome file
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
http://128.242.207.175/stoniotheman/50cent/50cent-04.zib
Trovato l’URL
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
Perquisizione, ricerca e cautelazione degli elementi di prova
• Perquisizione: analisi ambientale• Individuazione delle evidenze di interesse investigativo• Stabilire se è pertinente, nel qual caso:• È un PC? È in funzione?In caso affermativo:• Verifica della flagranza• Idoneo spegnimento• Verifica di eventuali supporti• Esecuzione del hashing sul supporto ( MD5, SHA1 etc)• SEQUESTRO
Computer Forensics – la definizione
Computer Forensics
La Computer forensics è la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa.
I dispositivi hardware – system forensic
Sono interi sistemi, computer/server, dedicati alla computer forensics. Sono caratterizzati da consistenti volumi di archiviazione (storage), ridondanza elettrica per garantire la continuità dell’attività anche in caso di black-out o improvvisi abbassamenti di tensione, grande memoria RAM oltre che a sistemi multiprocessore per garantire una maggiore velocità di calcolo e una serie di periferiche (r/w) per la lettura dei più svariati supporti di massa.
System forensic
I dispositivi hardware – write blocker
Write blocker
Sono strumenti portatili che permettono di leggere i più svariati supporti di massa preservandone il contenuto. In pratica non permettono la modifica / la scrittura accidentale . Vengono posizionati (solitamente attraverso interfaccia USB) tra il computer utilizzato per l’analisi e il supporto oggetto di analisi.
Creazione dell’immagine forense – bit stream image
-l’immagine forense è una esatta copia bit per bit del supporto di massa originale. Questa include anche tutti i file cancellati oltre allo spazio non allocato- quella definita semplicemente copia oppure mirror image non è il termine più adatto a descrivere l’immagine forense
Cosa bisogna sapere• Quando chiedete una immagine, assicuratevi di conoscere quello che state chiedendo• Un’immagine Ghost non è una immagine forense (a meno che non venga espressamente richiesto al programma la cosidetta forensic Ghost image, altrimenti potrebbe non esserlo)•Un’immagine potrebbe non essere una completa immagine forense così come una copia•Per sicurezza richiedere esplicitamente una IMMAGINE FORENSE, in questo modo si evitano possibili incomprensioni
L’immagine forense:
Creazione dell’immagine forense – bit stream image
- In un mondo ideale-La prova informatica (supporto di massa) deve essere protetto da scrittura (mediante l’utilizzo di apposito hardware o software)-Il supporto di massa di destinazione dove essere pulito mediante procedura di Wipe-Utilizzo di procedure di boot forensic mediante CD live (helix)
- Nel mondo reale- utilizzo diretto delle macchine (personal computer) contenenti le prove del reato- non si utilizzano sistemi di write blocker per l’analisi delle prove- utilizzo di software write blocker- i write blocker non vengono applicati a tutti i supporti di massa riscontrati (caso delle Usb-pen)
La creazione dell’immagine forense:
La creazione dell’immagine forense – un metodo rischioso
Disco destinazione per l’immagine forense
Macchina sospetta
Forensic boot CDCon write blocker software
La creazione dell’immagine forense – un buon metodo
Disco destinazione per l’immagine forense
Forensic system
Forensic boot CDCon write blocker software
Disco sorgente fonte di prova
La creazione dell’immagine forense – un ottimo metodo
Disco destinazione per l’immagine forense
Forensic system Disco sorgente fonte di prova
Write blocker
Hashing – la firma digitale nelle prove informatiche
Nel linguaggio scientifico, l'hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest.In informatica, la funzione di trasformazione che genera l'hash opera sui bit di un file qualsiasi, restituendo una stringa di bit di lunghezza predefinita. Spesso il nome della funzione di hash include il numero di bit che questa genera: ad esempio, SHA-256 genera una stringa di 256 bit.
Fonte: wikipedia
Hash:
La catena di custodia
E’ importante considerare:
- la prova informatica deve essere sempre accompagnata da un sistema per garantire l’inalterabilità della stessa nel corso dell’indagine (Digital Hash). Qualsiasi sia la prova acquisita deve essere verificata e quanto prima applicato l’algoritmo di HASH. La pratica della Computer Forensics prevede tutto questo nella fase di sequestro, dando evidenza cartacea all’interessato contenente l’elenco del materiale sequestrato e con le rispettive stringhe di hash ottenute;
- l’analisi deve essere sempre effettuata, ove possibile, con delle copie e non sui supporti originali. Questa tecnica viene definita (off-line analysis)
19 Settembre 2008 – Ordine degli avvocati di Bergamo
Grazie per l’attenzione
Marco [email protected]
