1Danilo Massa, 08/02/2007

Introduzione all’analisi forense:metodologie e strumentiDanilo Massa

Sessione di Studio AIEA

Torino 08/02/2007

2Danilo Massa, 08/02/2007

Contenuti

1. Analisi forense: come, quando e perchè

2. Metodologie di analisi forense

3. I processi aziendali a supporto

4. Casi reali

5. Domande e risposte

3Danilo Massa, 08/02/2007

Analisi forense – come

L’analisi forense consiste nella ricerca e conservazione di evidenze digitali di reato.

Queste evidenze devo essere:

Ammissibili, per poter essere utilizzate in sede legale

Autentiche, ovvero strettamente legate ai media digitali da cui sono state rilevate

Complete, correlando tutte le informazioni possibili

Affidabili, per non sollevare dubbi sulla loro autenticità

Credibili, permettendo a chiunque di ricostruire il processo che ha portato alla loro rilevazione ottenendo gli stessi risultati

4Danilo Massa, 08/02/2007

Analisi forense – quando

In seguito ad un incidente informatico (di sicurezza o meno)

Durante una causa legale in sede di perizia

Durante le indagini (preliminari o meno) relative ad un reato

5Danilo Massa, 08/02/2007

Analisi forense – perché

In seguito ad un incidente informatico (di sicurezza o meno)

Durante una causa legale in sede di perizia

Durante le indagini (preliminari o meno) relative ad un reato

Per individuare un responsabile dell’accaduto

Per determinare cosa è accaduto

Per verificare la reale entità dei danni

Per accertare e registrare oggettivamente le responsabilità (C.T.U.)

Per definire al meglio la propria posizione rispetto ai fatti accaduti (C.T.P.)

Per incrementare le spese processuali e giungere ad un accordo privato tra le parti (sede civile)

Per acquisire dati oggettivi sull’ipotesi di reato

Per acquisire evidenze digitali da utilizzare in sede di giudizio

6Danilo Massa, 08/02/2007

Metodologie di analisi forense

Mirano ad acquisire e conservare le evidenze digitali, costituite nella maggior parte dei casi da:

File (es. documenti, log applicativi)

Metadati (es. tempi di accesso ai file)

E nella loro conservazione mediante:

Sequestro/conservazione fisica in luogo sicuro ed idoneo

Catena di custodia

7Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont)

Differiscono a seconda del media da porre sotto analisi e dal suo “stato”.

Un flusso di dati su una rete di elaboratoriAnalisi “live”

Un dispositivo di memorizzazioneAnalisi “live” (es. pc alimentato ed acceso)

Analisi “dead” (es. pc spento)

Altri dispositivi (es. telefoni cellulari, PDA, rilevatori presenze etc.)

8Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont)

Nel caso dell’analisi “live” di un flusso di dati su una rete è necessario avere:

la possibilità di connettere un dispositivo di analisi su un router/switch dotato di porta configurabile in modalità spanning/monitoring oppure in alternativa …

predisporre un HUB da inserire nel corretto segmento di rete che si vuole analizzare

le corrette autorizzazioni legali per eseguire l’attività di intercettazione (es. cfr art 266-270 C.P.P, art 617 C.P.) oppure in alternativa …

la competenza per una analisi delle sole informazioni di “busta” per preservare la riservatezza e la privacy di coloro che attuano il flusso di dati

9Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont)

Nel caso dell’analisi “live” di un dispositivo di memorizzazione è necessario avere:

un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare e …

la possibilità di connetterlo sullo stesso router/switch che ospita l’elaboratore che lo ospita oppure in alternativa …

predisporre un HUB da inserire tra l’elaboratore a cui è connesso il dispositivo di memorizzazione da analizzare ed il router/switch che lo ospita

le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa …

una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi

10Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont)

Nel caso dell’analisi “dead” di un dispositivo di memorizzazione è necessario avere:

un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare

le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa …

una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi

11Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont)

L’analisi di “altri dispositivi” è tecnicamente simile a quella dei dispositivi di memorizzazione (“live” o “dead”) in quanto consiste nell’estrazione, in modalità forensicamente valida, dei dati memorizzati sugli stessi.

E’ però necessario avere:

adeguati strumenti tecnici (es. cavi di connessione PC – cellulare)

le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa …

una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi

12Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont)

Punti di attenzione:

è necessario possedere strumenti tecnologici (software specifico e dispositivi fisici)

è necessario possedere competenze specifiche di analisi forense

è necessario porre elevata attenzione alle vigenti leggi, normative e policy aziendali

13Danilo Massa, 08/02/2007

I processi aziendali a supporto

Alcuni processi aziendali, procedure e prassi possono aiutare l’analista forense nella sua attività.

Questi possono essere divisi in due macro livelli:

Tecnologico

Processo

14Danilo Massa, 08/02/2007

I processi aziendali a supporto (cont)

A livello tecnologico vi sono attività del tipo:

messa in sicurezza di sistemi operativi, dispositivi di rete ed applicazioni (web, c/s, etc)

realizzazione di backup affidabili di dati, configurazioni e log

presenza di sistemi di monitoring applicativo o meglio sistemi IDS/IPS

aggiornamento costante dei sistemi (patch, update ed upgrade)

15Danilo Massa, 08/02/2007

I processi aziendali a supporto (cont)

A livello di processo vi sono:

• AUP (Acceptable Use/r Policy)

• policy di sicurezza aggiornate, ben documentate e diffuse

• efficiente e documentata gestione dei change

• procedure per la gestione degli incidenti informatici (e non solo)

16Danilo Massa, 08/02/2007

Casi reali

Sistema: “dead” (spento dal Cliente)Copia forensicamente validaCreazione catena di custodiaMessa in sicurezza dei supporti originaliAnalisi della copia

AGRO-ALIMENTARE

Evento: impossibilità di accedere come amministratore al S.O. della macchina da tempo indefinitoIpotesi del Cliente: accesso da parte di un hacker al server di contro dei PLC

AT

TIV

ITA

’IN

CID

EN

TE

SE

TT

OR

E

Disco con S.O. danneggiato (HW), file delle password non leggibile.

L.L.: installare ed utilizzare un sistema di monitoring

RIS

UL

TA

TI

17Danilo Massa, 08/02/2007

Casi reali

Sistemi: “dead” (spenti dal Cliente)Copia forensicamente validaCreazione catena di custodiaMessa in sicurezza dei supporti originaliAnalisi della copia

INDUSTRIA

Evento: licenziamento dipendenteIpotesi del Cliente: azioni contrarie alle politiche aziendali e possibili attività illegali

AT

TIV

ITA

’IN

CID

EN

TE

SE

TT

OR

E

Raccolta di evidenze digitali di reato che giustificavano il licenziamento

RIS

UL

TA

TI

18Danilo Massa, 08/02/2007

Casi reali

Sistemi: “live” Attivazione sistema di intercettazione delle “buste”Generazione file di intercettazione forensiCreazione catena di custodiaAnalisi dei dati

BANCARIO

Evento: attività anomala sulla rete intranetIpotesi del Cliente: problemi di configurazione di nuovi dispositivi di rete da poco installati

AT

TIV

ITA

’IN

CID

EN

TE

SE

TT

OR

E

Individuazione server compromesso da hacker, segnalato l’accaduto alle forze dell’ordine

L.L. installare sistemi IDS/IPS e definire procedura di gestione degli incidenti

RIS

UL

TA

TI

19Danilo Massa, 08/02/2007

Domande e risposte

Danilo Massa (danilo.massa@altran-cis.it)

20Danilo Massa, 08/02/2007

Grazie per la partecipazione