2010 02-04 uni-mi_antiforensicmitigation

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti

Università degli Studi di Milano

Facoltà di Giurisprudenza

Milano, 04.02.2010

Davide GabriniForensics Jedi

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sonoChi sono

Davide ‘Rebus’ Gabrini

Per chi lavoro non è un mistero.

Oltre a ciò:

Consulente tecnico e Perito forense

Docente di sicurezza informatica e computer forensics per Corsisoftware srlCome vedete non sono qui in divisa

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Non ci crederete, ma c’è gente che ha cose da

nascondere! ;-)

La conoscenza approfondita degli strumenti e delle

procedure adottate dagli analisti forensi permette di individuarne le debolezze e

studiare delle contromisure preventive per intralciare, vanificare o peggio ancora sviare l’analisi, riducendo quantità e qualità delle

informazioni disponibili

Anti-forensicsAnti-forensics

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Anti-forensics MitigationAnti-forensics Mitigation

… da qui la necessità di studiare strategie e

contromisure per contenere l’impatto dell’utilizzo di tecniche di anti-forensics

Sfida aperta tra l'analista e quello che chiameremo

l'antagonista

Le strategie o gli strumenti qui indicati come contromisure non possono annullare le tecniche di anti-forensic, ma tentano di

salvare il salvabile

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Anti-forensics MitigationAnti-forensics Mitigation

Svantaggi per l'analista Arriva a misfatto compiuto Tempo limitato

e fiato sul collo Non ancora del tutto

onniscente ;-) Spesso succube d'un solo

tool o dell'automazione I tool che usa possono

soffrire di bug o implementazioni carenti

Le sue procedure tendono ad essere codificate

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Famigerato tool forense rilasciato da Microsoft, gratuito per le FF.OO.

Installato su pendrive, consente di acquisire dati daisistemi a cui viene collegato

Tanto hype per un prodotto sì utile, ma certo non innovativo

Tanta pubblicità e tanta "segretezza" non hanno fatto che attirare attenzione

Un esempio didattico: Microsoft COFEEUn esempio didattico: Microsoft COFEE

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


30.11.2009: avvistata una vecchia release di COFEE in the wild;

15.12.2009: pubblicato DECAF, tool gratuito dichiaratamente antagonista.

L'approccio Security by obscurity fallisce per l’ennesima volta…

Il problema è nella mancanza di segretezza o nella rigidità dei metodi?

COFEE vs DECAFCOFEE vs DECAF

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Spoof MAC addresses of network adapters Kill Processes: Quick shutdown of running processes Shutdown Computer: On the fly machine power down Disable network adapters Disable USB ports Disable Floppy drive Disable CD-ROM Disable Serial/Printer Ports Quick file/folder removal (Basic Windows delete) Remove logs from the Event Viewer Removes Azureus and BitTorrent clients Remove cookies, cache, and history

DECAF Lockdown Mode featuresDECAF Lockdown Mode features

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Le tecniche sono classificabili in 4 categorie principali:

Distruzione

Occultamento

Falsificazione

Contraccezione

Anti-forensicsAnti-forensics

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


La distruzione delle tracce informatiche è paragonabile alla cancellazione delle impronte digitali dall'arma del delitto

Cancellazione file con metodi comuni

Wiping di file, partizioni, device

In questi scenari, le tracce sono state prodotte e hanno avuto un certo periodo di vita.

Se ora non sono reperibili, occorre trovare dei "testimoni" della loro esistenza.

DistruzioneDistruzione

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


ContromisureAnzitutto i tool non sempre fanno ciò che dicono…

Recupero file cancellati tramite analisi dei metadati del filesystem

File carving Foremost, Scalpel, photorec… ReviveIt…

Analisi delle fonti alternative La distruzione di tracce può generare altre tracce File di swap, cache, file temporanei, ibernazione… Log, registri di eventi, dati recenti, database… Backup!

Spesso è determinante il fattore tempo!


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Contromisure "Ma mi ha detto mio cuggino che una

sola passata di wiping non basta!" Gli studi esistono:

STM (Scanning Tunneling Microscopy)SPM (Scanning Probe Microscopy)MFM (Magnetic Forse Microscopy)AFM (Atomic Force Microscopy)

Si basano sull'isteresi dei livelli di magnetizzazione e sul disallineamento delle tracce

Eppure non si ha notizia di laboratori civili che offrano questi servizi…


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Hardware self-destruct TriggerDistruzioneDistruzione

C’è chi è arrivato a costruirsi un degausser casareccio…Ovviamente però esistono altri metodi meno appariscenti per comandare procedure di autodistruzione anche da remoto

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Uno strumento più alla portata è SecureTrayUtil

Supporta diversi sistemi On-The-Fly Encryption (OTFE)

Consente di configurare hotkey per montare o smontare partizioni cifrate

Esegue il wiping con diversi triggerHotkey, Serial switch, connessioni TCP autenticate

Prende precauzioni paranoicheWiping parallelo, pulizia registro, orologio di sistema…


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Contromisure Intervenire con tempestività!

Isolare la scena del criminesia fisicamente che logicamente

Acquisire le memorie volatiliIndividuare e acquisire eventuali volumi cifrati montatiL'ordine di priorità delle operazioni va deciso in ragione del contestoPossono essere d'aiuto tool di raccolta delle informazioni automatizzati

Spegnere gli apparati solo quando assolutamente certi di poterlo fare

Diffidare delle procedure di spegnimento comuni


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Absolute Software offre un servizio chiamato Computrace

Permette al cliente di chiamare una hotline e richiedere il wiping da remoto di un computer rubatoPuò funzionare solo se questo si connette ad Internet…

Con appositi software, si può attivare l’autodistruzione di PDA e smartphone tramite SMS (remotePROTECT, SMS Kill Pill...)


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Ensconce Data Technology ha un brevetto di “dead on demand" per hard disk

Si può configurare l’autodistruzione combinando diversi trigger:

tentativi di rimozioneforzatura fisicacoordinate GPSchiamate cellularicambiamento di temperatura ecc. ecc.

Viene rilasciato all’interno del drive un composto chimico che distrugge la superficie del disco


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Altri sistemi bloccano o sovrascrivono un device dopo un certo numero

di tentativi di accesso falliti


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Il primo evidente problema della distruzione di dati è ovviamente la perdita irreversibile di informazioni anche per l'antagonista!

Se si tratta di informazioni che gli sono utili, cercherà di distuggerle solo se

costretto e il più tardi possibile.

Altrimenti cercherà di occultarle


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


E' una strategia paragonabile all’occultamento dell’arma del delitto,o del corpo del reato (ad esempio la refurtiva)

Nascondere i dati, anziché distruggerli, permette di mantenerne la disponibilità

Le tecniche e gli strumenti sono numerosi e possono essere applicati in combinazione

OccultamentoOccultamento

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


La prima fase di un'indagine digitale, l'identificazione, è anche la prima a poter essere attaccata

Se l'evidence non viene individuata, non sarà né acquisita né analizzata

L'occultamento può avvenire a livello logico, ma anche con metodi molto più tradizionali…


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Dimensioni ridotte


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Aspetto ingannevole


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010



Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Microsoft Mobile Memory Mouse 8000, un nuovo mouse wireless che intergra moduli di memoria flash per un quantitativo pari a 1GB.

Che si fa, si torna a sequestrare i mouse? ;-)


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


La motherboard Asus P5E3 Deluxe integra un s.o. Linux con interfaccia grafica, Firefox e Skype

Qualcuno diceva che basta sequestrare gli hard-disk?


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Le console per giochi sono veri PC…


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


…e i media center pure!I lettori DVD Kiss, per esempio, possono avere:•Hard disk interno da 200 GB•USB 2.0•Porta Ethernet•Collegamento WiFi•Sistema operativo Linux


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010



Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Esistono poi tanti metodi logici… Data Encapsulation Codifiche alternative Alterazioni dei file

Modifica estensione (pare incredibile…)

Alterazioni header (transmogrify)

Packing eseguibiliAlterazioni hash (known bad)

Modifica bit non significativi; append di dati; conversioni di formato; ridimensionamento , ricampionamento , ricompilazione…

Per i well known good, generazione di collisioniPossibile, certo, ma non così banale…


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Inoltre, il posto migliore dove nascondere un albero è una foresta!

Riduzione segnale/rumore

Inserimento di falsi positivi Inserimento di elementi di disturbo Incremento di tempo e costi per l’analisi

ContromisureS

viluppo di motori di scansione più potenti(analisi statistica, pattern matching, fuzzy signature…)

Tool specifici per l’analisi degli eseguibili

Usare i database di hash con cognizioneNon confidare nelle black list, usare più algoritmi


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Storage device subvertionAlternate Data Stream (NTFS)Uso degli spazi di SlackUnix filesystem:

Rune fs (bad blocks, oltre 4GB)Waffen fs (journal, ext2, 32MB)KY fs (null directory, illimitato)Data mule fs (reserved space, padding)

NTFS: Frag FS (slack MFT) e altre possibilità…

Manipolazione delle tabelle delle partizioniData injectionDisallineamentoSaturazione


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Storage device subvertionManipolazioni a basso livello dei device

HPA: Host Protected AreaDCO: Disc Configuration OverlayBad sector a basso livello:

P-List: Primary Defect ListG-List: Grown Defect ListSA: System Area (firmware)

Iniezione di dati nelle memorie flash dei dispositivi hardware

Impatto devastante se sono stati sequestrati soltanto i dischi!


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Host Protected AreaArea del disco non accessibile dal S.O.Usata per informazioni di ripristinoNon visibile dal BIOSInvisibile a certi tool forensi

Linux la rileva e la disabilita

Utilizzabile quindi per nascondere dati


Contromisure: Confronto parametri IDENTIFY_ADDRESS

READ_NATIVE_MAX_ADDRESS (tramite comandi ATA) Utilizzo di software in grado di rilevare HPA

p.e. disk_stat e disk_sreset in Sleuth Kit

Area visibile HPA

0 90GB 100GB

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Disc Configuration OverlayModifica il limite READ_NATIVE_MAX_ADDRESS

Ancor più invisibile ai comuni SWAlcuni tool forensi la rilevanoLinux ancora no

Utilizzabile per nascondere dati


Contromisure: Verifica parametri READ_NATIVE_MAX_ADDRESS e

DEVICE_CONFIGURATION_IDENTIFY Utilizzo di software in grado di rilevare DCO

p.e. HDAT2 o TAFT – The ATA Forensic Tool

Area visibile DCO

0 80GB 100GB

HPA

90GB

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


ContromisureAttenzione agli spazi di memoria meno sfruttati Non permettere ad un solo tool forense di fare tutto il lavoro

Verifica dei parametri hardwareanche con i valori indicati sulle etichetteo nella documentazione del produttore

Spesso sono utili gli stessi tool usati dell’antagonista (p.e. HDAT2)

Analisi statistica degli slack space per riconoscere pattern inusuali (good luck…)


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Crittografia(imbarazzo della scelta…)

Steganografia(Least Significant Bit, color reduction, noise… spazi ridondanti, commenti, alignment space…)

Plausible deniability(Quando è impossibile determinare se si è in presenza di un documento crittografato oppure no)

Ovvero la bestia nera d’ogni analista…


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Contromisure: Analisi live quando possibile Rilevamento e acquisizione volumi cifrati montati Rilevamento footprint di software "antagonisti"

(StegDetect, Outguess, Stego Suite, SAFDB…)

Test entropici (FTK)

Verifica di conformità agli standard(p.e. out-of-range values)

Sfruttamento di vulnerabilità dei softwareFeature nascoste / backdoor / bug / errori di progettazione

Attacchi a dizionario Brute force Rubber-hose? ;-)


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Rootkit

user space (ring 3)

kernel space (ring 0)

VM based

Efficaci solo nel corso di analisi live

Possono rilevare l'azione dei tool forensi

Possono alterare i risultati di un tool forense, p.e. impedendo l'acquisizione di un'evidence


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Contromisure: Acquisizione delle memorie volatili Cattura dell'eventuale traffico di rete Acquisizione degli storage device

“post mortem” Scansioni AV / Rootkit revealer Riproduzione dello scenario in ambiente

protetto (sandbox o virtual machine) che ne consenta lo studio dall'esterno


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Breaking forensic tool

Certi attacchi sono direttamente mirati a sovvertire il funzionamento di specifici tool forensi

Negli anni, sono stati resi noti attacchi utilizzabili sia verso strumenti commerciali, come Encase, che verso strumenti open source

Il pay-load andava dal DoS fino all'esecuzione di codice arbitrario ("Exploitare la macchina dell'analista è una voluttà da fine gourmet" )

Contromisure: Variegare gli strumenti utilizzati Non dipendere da un solo tool o dall’automazione


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


E' come lasciare intenzionalmente sul luogo del delitto tracce depistanti

Alterazioni timestamp (attributi MACE)CancellazioneSovrascrittura

RandomMirata

Contromisure Verifica attributo Entry modified (NTFS) Confronto con altri attributi

Standard Information Attributes ↔ FileName (NTFS)Verifica MAC interni ai documentiEsistenza di link, chiavi di registro, log…

Analisi della timeline correlata con altri eventi continui, anche rilevati da sistemi esterni

FalsificazioneFalsificazione

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Furti d’identitàFurto di credenzialiUtilizzo di macchine zombieFurto di connettività

Qualcuno ha pensato WiFi? ;-)


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Falsi indizi / prove contraffatte Alterazione dei log

Inserimenti fittiziInserimenti malformatiFlooding

Contromisure:Attenta interpolazione di quante più fonti possibileConfronto con dati esterni al sistema compromesso


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


E' come indossare dei guanti prima di impugnare la pistola: meglio non lasciare impronte, anziché doverle poi cancellare…

Disattivazione funzioni di auditing Bypass degli eventi rilevati Esecuzione malware in RAM

Memory injection (Meterpreter)Process puppeteeringInibizione swappingrexec

Contromisure:Dump delle memorie volatiliAttenta interpolazione di più fonti possibileConfronto con dati esterni al sistema

Prevenire alla fontePrevenire alla fonte

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Il cloud computing può essere impiegato, più o meno intenzionalmente, come strategia di depistaggio

Può permettere di defilarsi e di confondere, complicare, ostacolare, ritardare e persino bloccare le indagini

Non si tratta di una nuova tecnologia, ma di un nuovo paradigma

Cloud Computing = anti-forensics?Cloud Computing = anti-forensics?

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Il termine cloud computing indica un insieme di risorse hardware e software distribuite e remotamente accessibili e usabili

Il cloud computing è indicato da molti analisti come “the next big thing”

Cloud ComputingCloud Computing

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010



Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


StorageSkyDrive, Gdrive, Amazon S3…

ApplicazioniWebmail, Google Docs, Windows Live, Photoshop, Meebo, Spoon…

PiattaformeWindows Azure, Facebook, Amazon Web Services, ajaxWindows, GlideOS… eyeOS, gOS, Chrome OS, JoliCloud…

InfrastruttureAmazon EC2, GoGrid, ElasticHost…

Esempi di servizi in CloudEsempi di servizi in Cloud

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Le risorse usate per crimini informatici possono essere allocate remotamente

Non solo lo storage, ma anche le risorse computazionali!

Interi sistemi possono essere allocati dinamicamente, utilizzati e deallocati

Le possibilità di analisi vengono così drasticamente ridotte


Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Cloud computing e cybercrimeCloud computing e cybercrime

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


L'approccio tradizionale che prevedeperquisizione-sequestro-analisi è vanificato

Già l'identificazione potrebbe essere problematica: cosa si trova dove?

Le risorse sono probabilmente distribuite su diversi sistemi, di diversi provider, in diversi paesi…

limiti giurisdizionaliscarsa armonizzazione delle norme in materiamancanza di accordi internazionaliscarsa collaborazione delle autorità localiritardi burocraticiproblemi di data-retention

Cloud Computing e forensicsCloud Computing e forensics

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


Nel corso di un'analisi, potrebbe esser problematico stabilire chi ha avuto accesso a quale risorsa…

Tuttavia anche soluzioni per l'analisi forense possono venire dalle nuvole ;-)

Avere una workstation di analisi virtualizzata nella stessa cloud potrebbe rivelarsi una saggia precauzione

Altre risorse potrebbero essere allocate "elasticamente" al momento del bisogno

Il tutto però comporta problemi di sicurezza e di riservatezza non trascurabili

Cloud Computing e forensics Cloud Computing e forensics

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


ConclusioniConclusioni

Le procedure di Computer Forensics sono vulnerabili

nell’hardware nel software nel wetware

Quelle di anti-forensics pure

L’analista ha bisogno di tempo per l’analisi per la formazione

Nessun software fa il lavoro di un investigatore

Chi sono

Anti-forensics

Distruzione

Occultamento

Falsificazione

Prevenzione

Cloud Computing

Contatti



Milano, 04.02.2010


ContattiContatti

Davide Rebus Gabrinie-mail:[email protected]@poliziadistato.it

GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.ascKeyID: 0x176560F7

Queste e altre cazzate su www.tipiloschi.net

<vendor>

Piaciuto? Ne volete ancora? A Milano il 23, 24 e 25 febbraio Corso intensivo IISFA (www.iisfa.it) di Computer e Mobile Forensics

</vendor>

http://www.tipiloschi.net/

2010 02-04 uni-mi_antiforensicmitigation

Documents

Transcript of 2010 02-04 uni-mi_antiforensicmitigation