Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi nell'indagine forense

CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE

DI ALESSANDRO BONU

Alessandro Bonu

Corso di INFORMATICA FORENSE (A.A. 2013/2014)

Laboratorio di analisi nell’indagine forense

DirICTo

Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)

CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU

Abbiamo visto..Abbiamo visto..

• Metodologia, nelle fasi di:

Acquisizione dell’incarico.

Acquisizione delle prove (reperti).

Tutela della prova e catena di custodia.

• Profilazione:

strategia del forenser in relazione al caso specifico;

del soggetto indagato, definita meglio in corso di analisi..


Qualche esempio di casi reali..


Ma cosa ci serve..?Ma cosa ci serve..?

• Una squadra organizzata, a seconda del caso specifico che può

essere più o meno complesso, in due o più.. si ha la possibilità di

confronto e un limite nei rischi.

• Il campo d’azione è troppo vasto, occorrono competenze specifiche

che spesso non sono esclusive del singolo.

• Sempre bene riconoscere i propri limiti e valutare di caso in caso la

strategia operativa.


Cosa dice la leggeCosa dice la legge

• Nel nostro ordinamento giuridico, non è presente una legislazione

specifica che definisca quali regole osservare per una corretta

acquisizione e conservazione delle prove informatiche.

• Non esiste neppure uno standard riconosciuto e consolidato

relativo alle tecniche di indagine.

• Il giudice, in sede di processo penale, ha il compito di verificare la

validità scientifica dei metodi e dei criteri di indagine per stabilirne

la loro affidabilità in sede di dibattimento.


Quali sono i limitiQuali sono i limiti• Investimenti?

Con un modesto investimento è possibile mettere in piedi un laboratorio di analisi adeguato.

• Strumenti?

Anche con un PC preparato ad hoc possiamo ottenere le informazioni che ci occorrono ma se sottodimensionato, le scarse performance potrebbero rallentare le operazioni.

• Software?

Commerciale o Open Source? Con open source (open forensics) si può fare tanto e bene..


Parole chiaveParole chiave

• Ridondanza:

Nessun dato acquisito deve essere perso o danneggiato

causa un guasto di apparati e/o supporti.

• Velocità:

Anche in questo caso il tempo è importante quando si

deve acquisire una importante mole di dati; si pensi ad

una intera azienda.


Basato su tre livelliBasato su tre livelli

• Sistemi di analisi:

in grado di estrapolare il dato in tempi rapidi.

• Sistemi Applicativi:

manipolazione del dato per l’acquisizione delle evidenze

del caso.

• Sistemi di Backup:

ridondanza dell’evidenza acquisita.


Ottimizzazione dei tempiOttimizzazione dei tempi• Demandare operazioni lunghe in tempi morti (week-end).

Acquisizione di copie forensi;

Analisi di log o ingenti moli di dati.

• Prediligere tools a linea di comando, più specifici e controllabili.

• Adattabilità nell'utilizzo degli strumenti:

Tools e software devono rappresentare degli strumenti atti a raggiungere l’obbiettivo d’indagine. Non devono rappresentare uno statico ambiente operativo. In taluni casi creati ad hoc: scripts

• Garantire l’inalterabilità dei dati:

Calcolo ricorsivo del valore di hash dei risultati ottenuti.


Documentazione di un laboratorio forenseDocumentazione di un laboratorio forense

• Catalogare materiali in ingresso ed uscita ivi inclusi i reperti da

analizzare.

• Fascicoli delle comunicazioni formali, sia interne che sterne.

• Fascicoli di indagine, (logistica sicura).

• I report delle indagini.

• Inventario degli strumenti tecnici.

• Valutare i costi di gestione.


La ricerca della prov


Attività di base della CFAttività di base della CF• Ricerca di una evidenza diretta (oggetto di indagine/quesito).

• Ricerca di una evidenza più ampia (ma non da trattare in sede di dibattimento).

• Verifica della presenza di software incriminato.

• Analisi dei file cancellati.

• Verifica dei supporti collegati.

• Ricerca di contenuti occultati o criptati.

• Analisi dei file temporanei, log di sistema e cache varie.

Man mano emerge il profilo del soggetto indagato..


Dove si trova il dato? ..iniziamo a ragionarciDove si trova il dato? ..iniziamo a ragionarci

• Sembra banale ma la prima cosa da capire è dove si trova il

dato oggetto di indagine;

• Celare piccoli dispositivi è semplicissimo e anche in fase di

sequestro qualcosa può sfuggire;

• A questo si aggiunga il fatto che all’interno degli stessi

dispositivi i dati potrebbero essere celati utilizzando anche

tecniche particolari (es. steganografia).

Un caso recita di una persona accusata di distribuzione di materiale

pedopornografico. Venne identificato e sequestrato il computer del soggetto

indiziato e si lavorò a lungo per cercare le prove per le quali venne accusato. Si poté

evidenziare il fatto che non ci fossero tracce alcune del materiale indiziato. Sul

sistema però venivano adoperate con perizia pulizie di cache, file temporanei e

recenti, inoltre la cancellazione avveniva non nella modalità classica ma con un

deleter sicuro a più passaggi.

I dati rilevanti ai fini dell'indagine furono alla fine due: URL riferite a siti di pedofilia e

tracce su registry dell'utilizzo di un hard disk esterno che però non fu rinvenuto in

sede di perquisizione. Il caso venne archiviato ma il rinvenimento del predetto

device avrebbe molto probabilmente fornito elementi utili ai fini dell'indagine.


Occultamento dei datiOccultamento dei dati• Intenzioni malevole:

scrittura malware, diffusione di segreti a danno di terzi, ecc..;

• Intenzioni benevole/lecite

segretezza di dati in ambito privato/lavorativo, ecc..;

• Alcune tecniche..

Crittografia: tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario.

Steganografia: tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.

Logistiche: delocalizzazione degli apparati e supporti


Occultamento logicoOccultamento logico

benvenuti nel corso di Computer Forensics

..una normale immagine, apparentemente!


Come si fa?Come si fa?• Banalmente:

Windows /Linux:

o C:\propmt> copy /b <file_org>+<file_add>

o Es. : copy /b stego.jpg+segreto.txt / cat segreto.txt >> segreto.txt


Occultamento fisicoOccultamento fisico

• E’ di rilevante importanza che la parte indagata non sospetti

un eventuale provvedimento a suo carico: perché??

A quanti verrebbe in mente di guardare una ferita?


Dove focalizzare l’attenzioneDove focalizzare l’attenzione

• Di norma i dispositivi oggetto di analisi sono:

Lettori multimediali;

HD esterni;

Supporti USB;

Smartphone;

NAS/CLOUD;

Stampanti;

Altri dispositivi in grado di memorizzare dati.


E’ sempre possibile sequestrare i reperti?E’ sempre possibile sequestrare i reperti?


Alcune considerazioni..Alcune considerazioni..• Nella fase del sequestro occorre attenersi a quanto recitano le

disposizioni di legge “..l’autorità giudiziaria acquisisce il corpo del

reato o le cose pertinenti necessarie per l’accertamento dei fatti..”;

• Può accadere che nel compimento di suddette operazioni, vengano

acquisiti reperti che al fine probatorio risultano inutili;

• Opportuno è pertanto attenersi sempre al caso specifico e valutare

attentamente il profilo dell'indagato, sia perché lo stesso non venga

sottovalutato ma soprattutto perché non venga messo in condizioni

tali da limitare l’utilizzo di strumenti utili in ambito aziendale e

lavorativo e non a fine probatorio.


La copia forenseLa copia forense

• La duplicazione del dato dev’essere tale da non poter essere contestata;

• La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e pertanto identico (livello logico sul quale operare);

• Questo comporta che l’intero device venga replicato, comprendendo struttura e spazio libero dello stesso (copia bit-a-bit);

• Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al dispositivo fisico a prescindere dall’effettiva quantità di informazioni contenute.

• Una volta accertato quanto sopra il file logico (la copia forense) andrà firmata e utilizzata in Read-Only.


Clone del deviceClone del device


Validazione della copia forenseValidazione della copia forense

• Operazione fondamentale è validare la copia logica confrontandola

con l’originale. Tra le due deve esserci perfetta corrispondenza.

• La validazione può essere eseguita attraverso programmi di hash

come l’MD5 e SHA1 i quali applicano una funzione non invertibile

ed atta alla trasformazione di un testo di lunghezza arbitraria in una

stringa di lunghezza fissata.

• Il risultato dell'hash viene visto come una sorta di impronta digitale

dell’evidenza, esso si definisce anche “valore di hash”.


Software e hardware da utilizzareSoftware e hardware da utilizzare

• Sul mercato sono disponibili diversi software che consentono di effettuare

la copia bit-a-bit di un supporto di memoria:

Dispositivi HW ad hoc, con dei limiti:

o Tecnologia specifica;

o Singoli dischi;

Software specializzati (es.dd, semplice e in grado si essere mostrato a livello di

file sorgente);

• Ideale, dotarsi di una buona workstation forense con le interfacce più

utilizzate sul mercato.


Write BlockerWrite Blocker

• Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità della prova;

• Esistono due differenti metodologie per garantire il write blocking:

Write blocker software;

o Agisce sull’operazione di mounting dell’hard disk da parte del sistema operativo.

Write blocker hardware;

o dispositivo fisico che viene posto tra l’hard disk e la macchina di acquisizione forense.


Intercettazione del datoIntercettazione del dato• Definire i target e non indiscriminatamente, pena:

Violazione della legge;

Perdita di tempo;

Mancanza degli obbiettivi oggetto di indagine.

• Problemi legati alla connessione in rete (span port):

Il target è l’amministratore di sistema;

Lo switch è troppo esposto ed in evidenza;

Lo switch non dispone delle funzionalità necessarie a monitorare il traffico

• «Man in the middle»:

Impossibilità di raggiungere lo switch;

Deviazione del traffico di rete A > B = A > C > B


Man in the middleMan in the middle


Relazione tecnicaRelazione tecnica

• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici

dell’analisi ma solo ciò che interessa dal punto di vista giuridico;

• Semplificata: colui che legge e valuta l’esito è di principio un fruitore

inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,

bisogna eliminare terminologie non consuete e spiegare a livello

elementare quanto rilevato;

• Asettica: non deve contenere giudizi personali dell’operatore né tanto

meno valutazioni legali sulle informazioni rilevate a meno che tali

considerazioni non siano state espressamente richieste.


Quando non si può fare a meno di agire sulla scena del Quando non si può fare a meno di agire sulla scena del crimine, cosa succede?crimine, cosa succede?• Talvolta l’analisi deve iniziare prima della copia o del sequestro fisico.

• Nessuno evita di considerare che la metodologia dello spegnimento forzato determini perdite di dati, soprattutto in ambito di RAM, ma:

Si è ritenuto che il costo di queste perdite fosse minimo rispetto a far interagire un NON specialista con la macchina ad ottenere direttamente informazioni;

Si riesce a ridurre un minimo la sovrascrittura dei dati cancellati sulle memorie di massa attive;

È necessario quindi, in queste condizioni, accedere alla macchina direttamente con competenza e prontezza.


Rischi di uno spegnimento forzatoRischi di uno spegnimento forzato• Dati non persistenti: sussistono per la massima parte in RAM e quindi la

loro degradazione nello spegnimento forzato è pressoché totale.

• Cripto: possono esistere protezioni cripto per intere partizioni che al momento dell’impiego della macchina sono abbassate per evidenti necessità di impiego della memoria di massa; allo spegnimento del sistema l’accesso alla partizione cripto può risultare complicata se non impossibile.

• Server: per grandi sistemi l’idea di spegnerli per repertare è frutto solo dell’ignoranza. Le costruzioni dati che possono risultare all’interno dei server sono in generale così complesse che, pensare di repertare dei dati in maniera raw per poi ricostruirli in maniera sensata e completa, determina un problema impossibile da risolvere.

• Necessità: di analizzare qualsiasi servizio “live” attivo sulla macchina.


Ordine di volatilitàOrdine di volatilità• Quando si raccolgono le prove digitali bisognerebbe procedere da quelle

più volatili a quelle meno volatili. A titolo d'esempio, ecco un tipico ordine di volatilità di un sistema comune:

Memoria RAM;

File di paginazione (swap);

Informazioni su processi in esecuzione;

Dati di rete;

Porte in ascolto e connessioni attive;

File temporanei di sistema;

File di log di sistema e applicativi;

dispositivi di archiviazione.


ReportingReporting

• È importante sottolineare che nell’attività live le attività

principali dal punto di vista tecnico divengono minime.

• Mentre l’approccio statico tende a generare attività ripetibili

dal punto di vista sia tecnico che legale, le attività live sono

irripetibili, da cui l’assoluta necessità di un affidabile

reporting.

• Notifica alle parti (vedi incarico_3.jpg).


L’irripetibilità del live forensic è:L’irripetibilità del live forensic è:

• Di natura tecnica: non esiste infatti possibilità di realizzare

analisi e repertamento dati live senza modificare almeno una

parte della memoria del sistema.

• Di natura temporale: la situazione della macchina all’atto

dell’attività è frutto del momento, la sua complessità è tale da

non poter essere riprodotta.


Cose da evitareCose da evitare• Dato che è fin troppo facile alterare le prove collezionate, vediamo gli errori tipici

da evitare:

non spegnere il sistema prima di aver terminato la raccolta, non solo perché si

perderebbero le prove che si sta recuperando, ma anche perché il sistema

potrebbe aver subito modifiche in relazione all'operazione di chiusura e

ripristino del sistema;

non fidarsi dei programmi installati sul sistema, ma utilizzare quelli validati da

dispositivi protetti esterni;

non eseguire programmi che potrebbero alterare le informazioni sui tempi di

accesso di tutti i file del sistema.


Considerazioni sulla privacyConsiderazioni sulla privacy

• Rispettare le regole e le linee guida sulla privacy assicurarsi che

nessuno autorizzato possa accedere alle informazioni fornite dalle

prove raccolte.

• Non invadere mai la privacy altrui, soprattutto se si stanno

collezionando informazioni da aree in cui normalmente non si

avrebbe accesso.

• Attenersi sempre alle regole di ingaggio.


Considerazioni legaliConsiderazioni legali• Le prove digitali devono essere:

ammissibili, cioè devono essere conformi a determinate norme legali perché possano essere usate in tribunale;

autentiche, ovvero bisogna poter dimostrare il collegamento tra il materiale probatorio e l'incidente;

complete, che non tengano cioè conto di un'unica prospettiva ma dell'intero accaduto;

affidabili, dato che non deve esserci nulla che possa dare adito a dubbi sulla loro autenticità o veridicità;

credibili, ovvero che siano allo stesso tempo comprensibili e attendibili per un tribunale.


Passi di raccoltaPassi di raccolta• Elencare i sistemi coinvolti nell'incidente e indicare da quali di questi

verranno acquisite le prove.

• Stabilire quali tra queste sono rilevanti ed ammissibili, tenendo sempre conto che è meglio raccoglierne troppe che troppo poche*.

• Tenere sempre conto dell'ordine di volatilità.

• Rimuovere le possibili vie esterne di modifica.

• Usare gli strumenti di collezione adeguati.

• Documentare ogni passaggio.

• Non dimenticarsi delle persone coinvolte: prendere nota di chi è presente alle varie operazioni.


Alcune considerazioni prima di iniziare..Alcune considerazioni prima di iniziare..

• Non esiste un metodo o un software che si abbinano ad ogni

singolo caso;

• Esistono programmi , distribuzioni e quant’altro dedicati a

questo campo (forensics) ma che magari non rispondono alle

nostre esigenze.

• Piccoli e banali tool di pochi kb a volte risolvono un caso..


Qualche strumento utileQualche strumento utile

• FTK Imager;

• Autoruns;

• Process Explorer;

• Winmerge;

• Currports;

• Vmmap.


Immagine di memoriaImmagine di memoria• Ricordarsi che si tratta di operazione irripetibile..


Analisi della memoriaAnalisi della memoria


Analisi di un sistema WindowsAnalisi di un sistema Windows• Vantaggi:

Ben documentato;

Molto diffuso;

Ben supportato.

• Svantaggi:

Log poco dettagliati;

Informazioni importanti in formato binario;

Profilazione;

Virus e vulnerabilità.


Analisi di un sistema LinuxAnalisi di un sistema Linux• Vantaggi

Molte informazioni in più rispetto ad un sistema Windows;

Esistono decine di log differenti pieni di informazioni;

Il sistema è più standardizzato e ordinato.

• Svantaggi

la piena libertà lasciata all'amministratore di sistema compresa la possibilità di ricompilare il kernel rende difficile da gestire l'analisi forense.


AutorunAutorun


CurrportsCurrports


Process ExplorerProcess Explorer


Process MonitorProcess Monitor


Analisi dei fileAnalisi dei file


Analisi discoAnalisi disco


Procediamo con qualche esempio..Procediamo con qualche esempio..

• Abbiamo sequestrato un hard disk


Non dimenticare le procedure!!Non dimenticare le procedure!!

ORA DI INIZIO delle attività???

Di pari passo alle attività tecniche dovranno essere eseguite,

scrupolosamente, tutte le attività di reporting


Sincronizzazione di data e oraSincronizzazione di data e ora

• Prima di addentrarci nella parte che riguarda la copia forense dell’hd, è opportuno sincronizzare la data e l’ora della macchina in esame, accedendo al bios.


Utilizzo del write blockerUtilizzo del write blocker


• Air 2.0.0, come Guymager, è un tool grafico che permette l’acquisizione di un device digitale fornendo una serie di servizi aggiuntivi:

comprimere l’immagine con gzip/bzip2;

dividere l’immagine in sotto immagini (split);

lavorare in una rete TCP/IP tramite netcat/cryptcat;

verificare l’immagine con hash MD5,SHA1/256/384/512;

la possibilità di fare una sanitizzazione (wiping) del disco.


Schermata di acquisizioneSchermata di acquisizione


Log del risultatoLog del risultato


Copia della provaCopia della prova• Copia intera:

Unico supporto.

• Tramite l’opzione split:

è possibile eventualmente frammentare la copia;

calcolo dell’hash md5 su ogni split per verificarne la correttezza;

• Si lavora sulla copia.


Analisi della copiaAnalisi della copia


Nuovo caso con autopsyNuovo caso con autopsy


RiassemblaggioRiassemblaggio• Ottenere l’immagine intera da una splittata

Comando “cat” da terminale e redirezione “>>” su un file con estensione dd.

o cat img_01.dd img_02.dd img_03.dd img_nn.dd >> img_full.dd

Lavorare sulla copia ottenuta;

Montare in sola lettura per copiare le cartelle di sistema e di registro.

o mount -t <file system_type> -o loop,ro,noexec img_full /mnt/hd_forensics


Attività da effettuareAttività da effettuare

• Ricerca file multimediali e documenti rilevanti;

• Ricerca di informazioni sulla navigazione;

• Ricerca di informazioni sul registro di sistema;

• Ricerca di informazioni di amministrazione del sistema;

• Ricerca di dati o partizioni criptate;

• Timeline dell’attività del sistema.


AutopsyAutopsy• Strumento di interfaccia grafica basato sul tool di analisi investigativa

digitale The Sleuth Kit;

• Open Source per piattaforma Unix;

• Per ambiente windows Gygwin.


Ricerca dell’evidenzaRicerca dell’evidenza• File analysis


AutopsyAutopsy• MD5


AutopsyAutopsy• File type/sorting


AutopsyAutopsy• Timeline and file activity


AutopsyAutopsy• Keyword search


AutopsyAutopsy• Meta Data Analysis


AutopsyAutopsy• Image details


Riassumendo..Riassumendo..• Autopsy Forensic Browser:

Timeline dell’attività del sistema;

Navigazione dell’immagine dell’hdd e ricerca files per estensioni.

• OphCrack

Crack delle password di amministratore del sistema.

• Pasco:

Estrazione delle informazioni di navigazione.

• LiveView e tools di Nirsoft:

Ricerca delle password di completamento memorizzate dal browser.

• RegLookup e MiTeC Windows Registry Recovery:

Estrazione delle informazioni dal registro di sistema.

• Tchunt/TCDiscover e Passware kit enterprise:

Ricerca\Decifrazione di una partizione cifrata con TrueCrypt.


OphCrack OphCrack • Crack password Windows


Pasco per estrarre le evidenzePasco per estrarre le evidenze• Export dettagliato dei dati utili: history, cookies, cronologie..


Tools di Nirsoft per analisi forense Tools di Nirsoft per analisi forense • Numero elevato di tools che permettono di:

Recuperare le password;

Monitorare la rete;

Prelevare informazioni dal browser;

Visualizzare informazioni dal disco.

In particolare: IE Pass View, IE Cache View, IE History View ed IE Cookies View.


Macchine Virtuali VMwareMacchine Virtuali VMware• LiveView


Analisi del registro del sistema Analisi del registro del sistema • Dove è contenuto il registro di Windows?

Nella cartella config di system32:

File “default”;

File “SAM”;

File “SECURITY”;

File “software”;

File “system”.

• Reglookup

Comando di linea utilizzato per leggere all'interno del registro di sistema;

Genera un output su CSV;

Il file generato può essere importato da un programma per la gestione di fogli elettronici (Access).


Export di registroExport di registro


MiTeC Windows Registry Recovery MiTeC Windows Registry Recovery • Le sue caratteristiche:

Freeware;

Tool grafico che mostra informazioni del sistema organizzando i dati del registro;

Funziona su piattaforma Windows;

Non c’è bisogno di installazione;

Funziona su dati offline (molto adatto all’analisi forense);


Partizioni criptate?Partizioni criptate?• Ricerca di una partizione o file cifrata con TrueCrypt

• Cos’è TrueCrypt?

Software Open Source per cifrare dischi;

Crea un disco virtuale cifrato e permette di montarlo come se fosse un disco fisico;

Permette di cifrare una partizione o un disco su cui è installato Windows;

Permette di cifrare interi dischi o dispositivi USB.


Tracce di cryptingTracce di crypting

• TrueCrypt può essere utilizzato anche in modalità portable:

senza installazione;

• Un volume di TrueCrypt va montato per essere utilizzato;

• Il registro di Windows memorizza tutti i dispositivi montati sul sistema;

Nell’entry del registro di sistema: MountedDevices

• I dati cifrati appaiono come una sequenza pseudo-random -> difficoltà ad individuare una partizione virtuale cifrata!

• Soluzione: TCDiscover e Tchunt che ricercano files che abbiano determinate caratteristiche.


Tchunt e TCDiscover Tchunt e TCDiscover

• Tchunt lavora su un classico disco;

• TCDiscover lavora su un’immagine dd.

• Una volta individuata una possibile partizione cifrata con Truecrypt si può:

Provare ad individuare la password;

Provare a decifrare il contenuto della partizione.


Dove potrebbe essere la password del crypt?Dove potrebbe essere la password del crypt?• Nel dump della memoria con partizione montata;

• Nel file hiberfill.sys;

• Altrimenti si può procedere con un brute force.


LABLAB

Una società di ricerca finanziata dal governo ha messo a punto

un nuovo sistema di cifratura che consentirebbe un vantaggio

consistente alla nazione, permettendo comunicazioni

virtualmente inviolabili. Ovviamente se anche altre nazioni

ottengono lo stesso sistema si perde il vantaggio, per cui il livello

di segretezza del progetto è massimo.

C’è un problema: il responsabile della sicurezza informatica della

società si è accorto di un accesso insolito ad alcuni file del

progetto, in particolare allo schema elettronico del dispositivo.


Il “reperto”Il “reperto”

Con l’aiuto delle forze dell’ordine è riuscito a prendere con le mani nel sacco il

presunto colpevole, ma l’unica irregolarità rilevata è un pen drive USB trovato indosso

al sospetto. Ad un primo esame nel pen drive non sembrano essere presenti file

sospetti, ed il problema è che in questa situazione potrà contestare al sospetto

soltanto una violazione delle politiche di sicurezza aziendali, che vietano di introdurre

qualsiasi dispositivo o supporto di memorizzazione nell’azienda. In questo caso il

massimo che può capitare è un richiamo ufficiale ed una multa salata, ma niente di

più.

Se invece si riuscisse a trovare prova che dentro il pen drive vi sono file appartenenti

al progetto del sistema crittografico la cosa assumerebbe ben altri contorni. In

particolare il file che si sospetta sia presente nel pen drive dovrebbe essere uno

schema elettronico.


Le regole di ingaggioLe regole di ingaggio

• Il nostro compito è analizzare l’immagine del pen drive e verificare se

all’interno esista un file con uno schema elettronico, nascosto o meno.

• Queste le regole d’ingaggio:

il pen drive è formattato con filesystem FAT;

non è stata usata nessuna crittografia, non ci sono password da scoprire;

non sono stati usati programmi sviluppati appositamente;

il file, se c’è, è in un formato assolutamente comune, non è stata utilizzata una

applicazione dedicata agli schemi elettronici, altrimenti sarebbe stato

impossibile aprire il file senza quella applicazione.


Il nostro obbiettivoIl nostro obbiettivo

• Verificare se vi è effettivamente uno schema elettronico

nascosto nel pen-drive.

• Capire dove è nascosto.

• In che formato file è memorizzato.

• la procedura per estrarlo deve poter essere ripetibile,

sempre ammettendo che il file ci sia.


Acquisizione dell’immagineAcquisizione dell’immagine

• FTK Imager


Tipologia di deviceTipologia di device


Quale deviceQuale device


Attività di analisiAttività di analisi• L'investigatore, ricevuto il file immagine lo salva all'interno della directory

di lavoro, denominata “lab-pendrive”;

• Si procede al calcolo dell'hash MD5 con il seguente comando:

# lab-pendrive> md5sum pendrive.img

3f00610a55d3846bba4c199f1e15c1f5 pendrive.img


Tipologia di file e il contenuto dei bytes inizialiTipologia di file e il contenuto dei bytes iniziali• # lab-pendrive> file pendrive.img

pendrive.img: x86 boot sector,

mkdosfs boot message display, code offset 0x3c,

OEM--ID " mkdosfs", sectors/cluster 4,

root entries 512, sectors 32768 (volumes <=32 MB) ,

Media descriptor 0xf8, sectors/FAT 32,

heads 64, serial number 0x472050f2, label: " ",

FAT (16 bit)


Analisi dell’immagine: HEXAnalisi dell’immagine: HEX• contenuto dell'immagine pendrive.img visualizzato l'editor esadecimale

con:

# lab-pendrive> hexedit pendrive.img


Analisi dell’immagine: FTK ImagerAnalisi dell’immagine: FTK Imager


ForemostForemost• foremost, un programma per recuperare file cancellati o non leggibili a causa di

una corruzione del filesystem.

• Il vantaggio nell'uso di foremost consiste nella creazione di una cartella per ogni tipo di file che si vuole recuperare (doc/ jpg/ docx/ avi/ ...) all'interno dell aquale andranno a finire tutti i file con la stessa estensione. Lo svantaggio è che i file perderanno il loro nome originale per assumere quello di un numero.

• Per installare il programma in una distribuzione linux derivata da Red-Hat, o che comunque usa yum come installatore dei pacchetti (Fedora, Suse, CentOS, ecc...), bisogna dare il seguente comando (con diritti amministrativi):

• yum install foremost

• se invece si deve installare il programma in una distribuzione linux derivata da Debian, o che comunque usa apt-get come installatore dei pacchetti (Ubuntu, Mepis, Xandros, ecc...), bisogna dare il seguente comando (con diritti amministrativi):

• apt-get install foremost


ForemostForemost• deducendo di trovarsi davanti all'immagine della partizione presente su u

na chiave usb formattata con file system FAT16.

• Si crea la seguente directory di output per il tool di data carving Foremost,

foremost_data

• Si esegue il seguente comando:

• # lab-pendrive> foremost -o foremost_data/ --i pendrive.img -i Indica da quale partizione, o suo file immagine (dd-dump), leggere i file da recuperare -o Indica la cartella da usare per salvare i file recuperati

processing: pendrive.img


Output ForemostOutput Foremost• Passiamo ora ad analizzare il contenuto dell’output ottenuto da Foremost:

Listiamo il contenuto della cartella foremost_data su un file output_foremost.txt:

o # lab-pendrive/foremost_data> ls -lhR > output_foremost.txt

Calcoliamo ora l’hash ricorsivo su tutto l’output ottenuto:

o # lab-pendrive/foremost_data> md5deep -r > md5_output_foremost.txt


Cosa è stato estrattoCosa è stato estratto• L'analisi di quanto estratto dall'immagine da Foremost evidenzia la presen

ta di un file in formato zip:

# lab-pendrive/foremost_data> ls -l jpg/

0468233f759fc67abd9f896a0b0476ce foremost_data/zip/00012253.zip protetto da password. (Lo stesso non viene preso in considerazione in quanto non contemplato nelle “regole d'ingaggio”).

• 12 files in formato jpg

# lab-pendrive/foremost_data> ls

00002249.jpg 00005237.jpg 00010873.jpg 00010881.jpg 00010905.jpg 00012561.jpg 00002713.jpg 00010869.jpg 00010877.jpg 00010897.jpg 00010917.jpg 00014501.jpg


Cosa è stato estrattoCosa è stato estratto• verificando che solo il file 00002713.jpg contiene al suo interno un immagi

ne in formato .jpg, file della dimensione di 3,6kB rappresentante miniatura dell'immagine stessa.

• 6 file in formato ole, riconosciuti come Microsoft Installer:

# lab-pendrive/foremost_data> ls -l ole/* o 00000109.ole: Microsoft Installer

o 00000141.ole: Microsoft Installer





i primi due non riportano informazioni di rilievo, nel terzo e quarto troviamo, visionandone il contenuto con un editor esadecimale, informazioni relative a file in formato .pps visualizzati durante la navigazione in rete.


StegdetectStegdetect• Con il tool Stegdetect si evidenziano delle positività:

# lab-pendrive/foremost_data> stegdetect *

o 00002249.jpg : negative

o 00002713.jpg : negative o 00005237.jpg : jphide(**) o 00010869.jpg : negative



o 00010881.jpg : outguess(old)(**)


o 00010905.jpg : negative o 00010917.jpg : negative o 00012561.jpg : outguess(old)(*) o 00014501.jpg : skipped (false positive likely)


Profilo dell’indagatoProfilo dell’indagato

Da questa prima analisi si potrebbe ipotizzare che il possessore della chiave si

a un utente Linux alle prime armi (vedasi la guida ai comandi linux), ma con

una discreta conoscenza del web e capace di svolgere operazioni di medio

complessità avvalendosi di guide (come l'installazione e configurazione del

CMS).

Si decide quindi di esaminare l'immagine della chiave con Autopsy Forensic

Browser, interfaccia grafica, dello SleuthKit.


L’indizioL’indizio

• Analizzando i file testuali della cartella /olib/src si possono leggere

i contenuti dei file:

changeLog e README che indicano la scrittura di un programma che serve a

convertire i file prodotti da ORCAD (noto software di progettazione

elettronica) in formato gEDA (altro software di progettazione elettronica),

ambedue i software usano file ASCII, rispettivamente con estensioni .ASC e

.SYM.


Bingo!Bingo!

• Sfogliando i files è presente un file "dict" nella cartella fcrackzip-03.

• Un file senza estensione, che risultava essere alla analisi del tool file un formato ASCII.

• Guardo il contenuto del file e vedo l'header che inizia con JVBER cercando su GOOGLE ho trovato che è un formato trasformabile in PDF tramite una codifica base64.

• Utilizzando l'utility base64 mi è bastato fare:

base64 -d dict > dict.pdf

• Poi aprendo il file dict.pdf con Acrobat Reader è comparso lo schema elettronico.


Grazie per l’attenzione!

[email protected]

it.linkedin.com/in/abonu

mailto:[email protected]

CORSO DI INFORMATICA FORENSE - IL LABORATORIO DI ANALISI NELL’INDAGINE FORENSE DI ALESSANDRO BONU 105

LICENZALICENZAAttribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero:

di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera

di creare opere derivate Alle seguenti condizioni:

Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera

risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di

quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi nell'indagine forense

Education

Transcript of Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi nell'indagine forense