Best Practices per acquisizione sito web

40
Best-practices per acquisizione sito web Milano, 31 maggio 2012 A cura di Donato La Muscatella, Davide Paltrinieri, Marco Carlo Spada, Paolo Verderi 1

Transcript of Best Practices per acquisizione sito web

Best-practices per acquisizione sito web

Milano, 31 maggio 2012

A cura di

Donato La Muscatella, Davide Paltrinieri, Marco Carlo Spada, Paolo Verderi

1

2

Premessa metodologica

3

Marco Carlo Spada - BP per acquisizione siti web

• La “Fonte Originaria”

Best Practices per l’acquisizione di siti Web

• La “Cristallizzazione” della prova

44

http://ark.intel.com/products/47921/Intel-Xeon-Processor-X5660-(12M-Cache-2_80-GHz-6_40-GTs-Intel-QPI)

Marco Carlo Spada - BP per acquisizione siti web

?

Best Practices per l’acquisizione di siti Web

5

Marco Carlo Spada - BP per acquisizione siti web

• Ciò che stiamo vedendo sul nostro browser:

… si presenta allo stesso modo dappertutto?

… o “nasce”, “vive” e “muore” così come lo vediamo, solo nel contesto in cui ci troviamo?

Best Practices per l’acquisizione di siti Web

6

Marco Carlo Spada - BP per acquisizione siti web

• Al cospetto dei quesiti che ci siamo posti:

… come affrontiamo il problema della “Cristallizzazione” della prova?

… quali tecniche e quali accorgimenti ci consentiranno di ridurre al minimo la probabilità che quanto stiamo affermando sia condizionato da fattori tali da invalidarne la forza probatoria?

Best Practices per l’acquisizione di siti Web

7

I Profili Giuridici

COSA FACCIO ?

COME LO FACCIO?

STRATEGIA DIFENSIVA

8

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Cosa faccio?

Si tratta di un’attività ripetibile o irripetibile?

9

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Cosa faccio?

In base alle caratteristiche della Rete, ed ai principi espressi dalla giurisprudenza in tema di indagini tecniche, l’acquisizione di evidenze digitali da un sito web deve essere qualificata come accertamento urgente.

10

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Cosa faccio?

se si tratta di un’attività che determina una “alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale”

se si tratta di un’attività che fornisce la garanzia di poter riprodurre informazioni identiche a quelle contenute nell’originale “per un numero indefinito di volte”

(cfr. Cass.Pen., I, 05.03.2009, Stabile, CED 243150 e Cass.Pen., I,

30.04.2009, Corvino, CED 244454)

11

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Cosa faccio?

Non si tratta del tipo di analisi svolta (art. 117 d.a.), ma del mero decorso del tempo che, per fattori intrinseci o estrinseci, potrebbe comportare significative variazioni del contesto web (art. 360 c.p.p.).

12

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

La novità dello strumento di prova non implica la sua atipicità, che è concetto di relazione riferito alle previsioni del catalogo legale.

13

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

Le metodologie di web forensics costituiscono strumenti di prova di elevata specializzazione scientifica, che, come tali, trovano regolamentazione nei criteri che la giurisprudenza ha elaborato per la nuova prova scientifica.

14

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

15

Frye Test (1923)

Daubert Test (1993)

(Cass. Pen., V, 09.07.1993)

Kumho Tyre (1999)

generale condivisione

affidabilità

controllo tra pari

tasso di errore noto

pertinenza con il tema di prova

libero convincimento giudiziale

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

A questi si aggiungono :

affidabilità ed indipendenza dell’esperto;

finalità per cui si muove

(cfr. Cass. Pen., V, 13.12.2010, n. 43786, Cozzini et

al.)

16

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

Esiste quindi la possibilità di migliorare le tecniche di acquisizione costantemente, ma, a parer nostro, non potranno mai esistere delle vere e proprie best practices codificate!

17

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

La stessa Suprema Corte, in un caso noto agli esperti, ha distinto la probabilità statistica dalla probabilità logica, obbligando il giudice a verificare la validità della legge scientifica nel caso concreto, esaminando la coerenza della prova tecnica con le altre emergenze processuali.

(cfr. Cass. Pen., S.U., 10.07.2002, n. 30328,

Franzese)

18

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

Si passa, dunque, attraverso successivi processi di falsificazione, aumentando le fonti di informazione (tendenzialmente neutre) per confermare la validità della tesi proposta.

19

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

Come lo faccio?

Trova applicazione nel processo, quindi, una regola logica definita inferenza finale, che costituisce una caratteristica del metodo scientifico… ed il principio base dell’intelligence investigativa.

(David Steele et

al.)

20

Best Practices per l’acquisizione di siti Web

Donato La Muscatella – I profili Giuridici

21

I Profili Tecnici

22

Paolo Verderi – Se la prova che mi porti riesco a farla in casa...

Far partire la registrazione “esterna” poi “interna”.Visualizzare la o le connessioni di rete e il contenuto del file hosts.Visualizzare l'assenza di condivisioni, incluso quelle amministrative.Azzerare la cache del browser.

Caricare il programma di sniffing (es.Wireshark).Fare un traceroute al server DNS e al server NTP.Sincronizzazione dell’ora su un server NTP.

Caricare il browser e aprire la pagina di Google.Cercare sito “bersaglio” e cliccare sul link di Google al sito.

Visualizzare il sito.Verificare di chi è il sito (http://whois.domaintools.com/<nome_sito>).Verificare di chi è il sito (http://www.wipmania.com/whois/<ip_sito>/?ff).

Chiudere il browser.Salvare traffico e chiudere il programma di sniffing.

Fermare la registrazione “interna” e salvare video.Comprimere i due file in uno zip.Firmare lo zip con firma digitale, e verificare la firma.

Fermare la registrazione “esterna”.Add-on

Avviare un programma in background che reitera il traceroute al server NTP.la sincronizzazione dell’ora su un server NTP.il traceroute al server del sito.

Fare un check del sito con httpreconRegistrare la pagina visualizzata con hashbot

Best Practices per l’acquisizione di siti Web

23

Paolo Verderi – Se la prova che mi porti riesco a farla in casa..

Best Practices per l’acquisizione di siti Web

24

Marco Carlo Spada – analisi della prima realizzazione

• Analisi del file di cattura del traffico

tcpdump -n –r perfezionisti.pcap –s 1515 | lesstcpdump -n –r perfezionisti.pcap -s 1515 arp

Best Practices per l’acquisizione di siti Web

25

Marco Carlo Spada – analisi della prima realizzazione

• Analisi del file di cattura del traffico

Best Practices per l’acquisizione di siti Web

26

Marco Carlo Spada – seconda realizzazione

• Seconda realizzazione:

Best Practices per l’acquisizione di siti Web

27

Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..

Best Practices per l’acquisizione di siti Web

28

Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..

Best Practices per l’acquisizione di siti Web

Far partire la registrazione “esterna” poi “interna”.Visualizzare la o le connessioni di rete e il contenuto del file hosts.Visualizzare l'assenza di condivisioni, incluso quelle amministrative.Azzerare la cache del browser.

Caricare il programma di sniffing (es.Wireshark).Fare un traceroute al server DNS e al server NTP.Sincronizzazione dell’ora su un server NTP.

Caricare il browser e aprire la pagina di Google.Cercare sito “bersaglio” e cliccare sul link di Google al sito.

Visualizzare il sito.Verificare di chi è il sito (http://whois.domaintools.com/<nome_sito>).Verificare di chi è il sito (http://www.wipmania.com/whois/<ip_sito>/?ff).

Chiudere il browser.Salvare traffico e chiudere il programma di sniffing.

Fermare la registrazione “interna” e salvare video.Comprimere i due file in uno zip.Firmare lo zip con firma digitale, e verificare la firma.

Fermare la registrazione “esterna”.Add-on

Avviare un programma in background che reitera il traceroute al server NTP.la sincronizzazione dell’ora su un server NTP.il traceroute al server del sito.

Fare un check del sito con httpreconRegistrare la pagina visualizzata con hashbot

29

Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..

Best Practices per l’acquisizione di siti Web

30

Paolo Verderi – Se la prova che mi porti riesco a farla in laboratorio..

Aggiungere gli hop mancanti.

Ricostruire lo stesso web server.

Aggiungere il file di log sul server.

Best Practices per l’acquisizione di siti Web

31

Conclusioni

32

Davide Paltrinieri - Siti web con contenuti dinamici

Siti web con contenuti dinamici

• La rappresentazione è frutto dell'interazione tra client e server.

• Possibile presenza di codice eseguibile dalla web application all'interno del database.

Best Practices per l’acquisizione di siti Web

33

Strumenti di terze parti per l'acquisizione

1) Hashbot

2) DEFT Live Forensics

Davide Paltrinieri - Siti web con contenuti dinamici

Best Practices per l’acquisizione di siti Web

34

Hashbot

PRO:– Ottimo per siti con contenuti statici;– Terza parte “fidata”.

CONTRO:– Limitato per siti con contenuti dinamici;– dimensione massima di 2MB per ogni file acquisibile;– problema pagine accessibili solo tramite autenticazione.

Davide Paltrinieri - Siti web con contenuti dinamici

Best Practices per l’acquisizione di siti Web

35

Deft Live-Forensics (procedura di Davide “rebus” Gabrini)

Protocollo composto da 5 parti:

1) Setup2) Screencast3) Network dump4) Log 5) Report

Davide Paltrinieri - Siti web con contenuti dinamici

Best Practices per l’acquisizione di siti Web

36

Cosa manca:– dump (acquisizione integrale) dei sorgentisorgenti dell'intero sito web.– dump del databasedatabase (se possibile).

Perchè???

– interazioneinterazione tra client (user-agent, cookie, ... ) e server.– Possibile presenza di codice eseguibilecodice eseguibile (malware) dalla web application

all'interno del database.

Davide Paltrinieri - Siti web con contenuti dinamici

Best Practices per l’acquisizione di siti Web

37

Davide Paltrinieri - Conclusioni

Falsi miti da sfatare

Le connessioni HTTPS eviterebbero il MITM... Falso!– SSL Hijiacking– Certificati SSL rubati

Uno screencast della navigazione è sufficiente... Falso!– Browser scripting (es. Grease-Monkey)

Il dump del traffico di rete è sufficiente... Falso!– Transparent firewall ( + packet filtering)– Client Scripting (modifica “al volo” .pcap)

Best Practices per l’acquisizione di siti Web

38

Conclusioni

L'importanza della verifica della corrispondenza fra il filmato della navigazione e il contenuto dell’acquisizione del traffico di rete generato durante la navigazione stessa

Davide Paltrinieri - Conclusioni

Best Practices per l’acquisizione di siti Web

39

Davide Paltrinieri - Conclusioni

Best Practices per l’acquisizione di siti Web

Conclusioni

Attività da aggiungere all’acquisizione:

– traceroute ai server DNS e NTP usati;– esecuzione reiterata di traceroute verso il server oggetto;– interrogazioni NTP in background durante l’acquisizione;– .pcap.pcap hash chaining.