Smau bologna 2013 stefano fratepietro pallavolo

Bologna Fiere - Smau 2013

L’AVVOCATO E IL CONSULENTE TECNICO INFORMATICO

Una partita di pallavolo!

mercoledì 19 giugno 13

I RUOLI

Palleggiatore: è la persona che prepara l’attaccante

Martello: è la persona che attacca risolvendo l’alzata

2

Julio Velasco


LA FORMAZIONEPalleggiatori aka consulenti tecniciDott. Stefano Fratepietro• CISO di Tesla Consulting s.r.l.s.• Consulente di Informatica Forense per procure e privati• Presidente dell’ Associazione DEFT nonchè papà del sistema DEFT Linux

Martello aka l’ avvocatoAvv. Marco Sforzi•Avvocato penalista del Foro di Bologna•Dottore di ricerca in diritto penale presso l'Università degli Studi di Trento, si occupa di diritto penale delle tecnologie informatiche professionalmente e scientificamente, ha collaborato con le Università di Trento e Bologna quale professore a contratto, ed ha partecipato a ricerche scientifiche anche in ambito europeo sui temi della criminalità informatica (COMCRIME 1999)•Membro del Comitato scientifico della Camera penale di Bologna “F. Bricola” 3mercoledì 19 giugno 13

L’ HACKER E LA TELEFONATA

Scenario

• Il tecnico di una azienda che si occupa principalmente di centralini VoIP viene accusato di aver violato il sistema informativo di una azienda cliente per eseguire attività di scansione della rete Internet alla ricerca di altri sistemi vulnerabili

• Con questo tipo di attività l’azienda afferma che l’ambiente di produzione e validazione subirono forti rallentamenti nell’erogazione del servizio

4mercoledì 19 giugno 13


Scenario

• Dopo i rilevamenti sul posto eseguiti dalla polizia postale, viene dichiarato che la violazione sarebbe avvenuta su un server che ospita un server Asterisk VoIP

• L’imputato avrebbe violato il sistema “con una telefonata”, essendo stato proprio lui a chiamare quel numero di telefono proprio nel momento in cui si sono riscontrate le prime attività di intrusione





Attività dell’attaccante

• L’attaccante, sfruttando una delle tante vulnerabilità delle prime versioni di Asterisk, è riuscito ad eseguire una remote shell

• Tramite la remote shell ha iniziato a studiare il comportamento del server, notando che spesso vi erano chiamate non risposte da una numerazione mobile (il cellulare dell’imputato)

• L’imputato come controllo del servizio h24, eseguiva una chiamata al numero di telefono del centralino per verificarne la funzionalità utilizzando la propria sim/utenza



http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Asterisk 8mercoledì 19 giugno 13

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Asterisk

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Asterisk


Attività dell’attaccante

• L’attaccante ha configurato Asterisk tale per cui tutte le operazioni malevole fossero eseguite da script lanciati dalla ricezione della telefonata dell’imputato

• add user toor abilitato ad accesso via ssh

• cambio privilegi

• installazione nmap

• cancellazione log



Analisi dei documenti della pg

• La polizia giudiziaria decide di non sequestrare il server ma di estrapolare solo le informazioni considerate “di interesse”

“Non possiamo sequestrare il server e non possiamo nemmeno spegnerlo perchè fermeremmo la produttività dell’azienda”

• Il file system del server non viene acquisito tramite una bit stream immage ma vengono estrapolati file per un totale del 2% dei file totali presenti nel sistema

• Vengono prodotti un cd-rom con dentro:

• Il file motd del server violato che riportava la firma di un gruppo di hacker brasiliani

• Estrapolazioni di log di sistema provenienti non da /var/log ma dal database mysql usato da Asterisk

• Output di una scansione Nmap 10mercoledì 19 giugno 13


Analisi dei documenti della pg

• L’analisi dei log della rete evidenzia che le connessioni considerate “anomale” hanno origine da un IP italiano attestato ad una adsl di un ufficio che non ha nulla a che fare con l’indagato

• Le analisi sul posto da parte degli ufficiali di pg riscontreranno che l’ufficio in questione aveva il modem/router esposto sulla rete Internet con password di administrator di default

• Non vengono acquisiti log dell’apparato, ne vengono controllati i pc dell’ufficio.



Analisi del pc dell’indagato

• Non vengono riscontrate alcune evidence di interesse

• L’agente di pg nelle conclusioni evidenzia che il livello di conoscenza informatica dell’indagato “è altissimo” e che pertanto potrebbe aver già rimosso in modo sicuro il tutto

• Pur non avendo prove tangibili si sono permessi di scrivere una nota di interesse molto compromettente



Principali errori

• Non viene acquisita la memoria del server

• Non vengono eseguiti approfondimenti nei pc dell’ufficio da dove è partito l’attacco

• Totale improvvisazione nell’interpretazione di log generati da Asterisk (per gli operatori era la prima volta in tutta la loro vita che vedevano Asterisk configurato e funzionante su un server)

• Affermazioni pesanti senza alcuna prova informatica13


L’ HACKER E LA TELEFONATALa perizia di parte

Obiettivo principale fu quello di evidenziare gli errori della pg

Spiegare al pm e al giudice come “lavorano” gli hacker (lamer) e cos’è il motd e il perchè qualcuno deve lasciare una firma

Spiegare al pm e al giudice come gli operatori di pg abbiano eseguito una analisi del server senza considerare

• la loro totale ignoranza su Asterisk e Linux

• l’aver ignorato completamente l’ufficio da dove sono partite le connessioni ssh con l’utenza toor

• eventuali file cancellati 14mercoledì 19 giugno 13

L’ HACKER E LA TELEFONATACOM’E’ ANDATA?

• L’ avvocato ha attaccato sui punti deboli delle varie relazioni citando per tutta la durata del processo, la perizia fatta dal consulente

• Il giudice ha compreso gli errori di valutazione e la totale assenza di prove schiaccianti

• L’ imputato è stato assolto


SEQUESTRO SERVER

• L’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici, può stabilire, per esigenze legate alla regolare fo r n i tu r a de i medes im i servizi, che la loro acquisizione avvenga, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali.


FILE DI LOG

• Una connessione wi fi può essere utilizzata anche da terzi che possono essersi intromessi illecitamente nel sistema informatico dell’imputato (Tribunale Roma, giugno 2012).

• Le prove della connessione ad un sito internet acquisite presso gli internet service provider, attraverso i cd log di connessione, ovvero le prove dell’accesso ad un determinato sito internet, se non acquisite e conservate secondo le norme di legge, sono inutilizzabili (Tribunale Roma, giugno 2012, Tribunale Chieti, maggio 2006).


REATI CONTESTABILI

• Accesso abusivo a sistema telematico: da 1 a 5 anni

• Danneggiamento informatico: da 1 a 5 anni

• Installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche da 1 a 5 anni

• Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche: da 1 a 5 anni


VIOLAZIONE DI SEGRETI INDUSTRIALI


• Un dipendente lascia l’azienda (o la sta per lasciare) e c’è il sospetto che abbia trafugato materiale riservato (progetti, elenco clienti, documenti, etc...) copiandolo su una sua chiavetta USB o inviandolo via email, anche cancellandolo dal PC aziendale e togliendolo quindi dalla disponibilità della società

• L’Avvocato e il Consulente Informatico vengono chiamati per far luce su quanto accaduto e valutare come procedere (eventualmente ricuperando i dati se di valore)

CASE STUDY



File activity timeline with daily summary

Si rileva inserimento penna USB il 1 e 2 ottobre anche su PC di altri dipendenti in pausa pranzo22


• Cercare tracce di invio email o copia massiva su USB

• Cercare file cancellati, valutarne il contenuto aziendale e quando possibile data di cancellazione (danneggiamento)

• Valutare se c’è stato accesso abusivo

• Cercare di dimostrare l’autore delle attività rilevate (incrociando anche bollature di ingresso e metadati digitali)

• Cercare di dimostrare l’utilizzo delle informazioni sottratte (valutare IP email ricevute dai clienti, errori sul DB, etc...)

COME PREPARARE L’ATTACCO


INDICAZIONI TECNICHE

• RFC 3227: “Guidelines for Evidence Collection and Archiving”

• ISO 27037: “Guidelines for identification, collection, acquisition and preservation of digital evidence” standardizza la RFC 3227

• Introducono concetti come ordine di volatilità, minimizzazione dei cambiamenti ai dati, approccio metodico, documentazione, integrità, catena di custodia, ripetibilità, riproducibilità


COSA NON FARE

• Mancata copia forense (bitstream) dei supporti

• Accensione e utilizzo del PC originale

• Mancata conservazione dei supporti originali

• Mancata apposizione di data certa

• Monitoraggio del dipendente in tempo reale

• Violazione Privacy25


COSA NON FARE

• Errata repertazione (hash, sigilli, catena di conservazione)

• Uso di strumenti di duplicazione inadeguati (es. Norton Ghost)

• Utilizzo di strumenti di analisi o metodologie non adeguate (es. RegExp malformate)

• Per l’Avvocato: non chiamare il CT all’ultimo momento (meglio iniziare insieme fin dall’inizio e soprattuto fare “allenamenti”)

• Per il CT: non fare l’Avvocato (vale anche il viceversa)


• Il CT sa tecnicamente cosa fare.... può farlo?

• Acquisizione dell’hard disk senza il consenso del dipendente

• Monitoraggio dell’email senza il consenso del dipendente

• Mancanza di policy sull’utilizzo delle pendrive o dei propri dati

• Contestazione accesso abusivo a sistema telematico

• Normativa su rivelazione dei segreti e applicabilità in Italia

QUESTIONI APERTE


PRIVACY

• Cosa succede se l’Hard Disk viene acquisito con il consenso del dipendente?

• Violazione della normativa sulla privacy o reato penale ?

• Ammissibilità della prova nel procedimento penale/civile?

• Cosa succede se monitoro l’email aziendale (@azienda.it) senza il consenso del dipendente ?

• Violazione della normativa sulla privacy o illecito civile o nulla?28


SEGRETI INDUSTRIALI

• Esistenza di un segreto industriale

• Esistenza di NDA e di policy per tutelare la riservatezza dei dati

• Prova dell’accesso al segreto industriale

• Prova del trasferimento di tale segreto industriale al competitor

• Prova dell’utilizzo del segreto industriale da parte del competitor


ACCESSO ABUSIVO

• Policy di autorizzazione all’accesso ai dati del dipendente

• Policy circa l’utilizzo di pen drive

• Volontà espressa dell’azienda di “escludere l’accesso”

• Indifferenza delle misure di sicurezza

• Momento consumativo del reato ?


CONCLUSIONI

• Ognuno ha ruoli ben distinti, è la collaborazione che conta!

• Conoscere le mosse dell’avvocato senza svelarle ed anticiparle

• Allenarsi insieme, sin dall’inizio

• Il consulente tecnico non deve fare l’avvocato... e viceversa!


Technology

Smau bologna 2013 stefano fratepietro pallavolo