Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

Click here to load reader

  • date post

    28-Nov-2014
  • Category

    Software

  • view

    152
  • download

    0

Embed Size (px)

description

 

Transcript of Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux

  • 1. Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012
  • 2. Post mortem (Dopo lo spegnimento del sistema) Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione On the fly (Direttamente sul sistema posto ad analisi) Nel caso di sistemi RAID l'acquisizione "al volo" quasi obbligatoria Su network Sia nel caso di acquisizione post mortem, sia nel caso di acquisizione on the fly possibile salvare l'output direttamente durante la fase di acquisizione in altri PC o dischi della LAN appositamente configurati Gli strumenti utilizzati sono netcat ssh 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 2
  • 3. Individuazione del device da acquisire Essere certi di avere accesso in sola lettura al device Calcolo hash del device Acquisizione del device con creazione hash Verifica degli hash calcolati Copia su un altro supporto dellimmagine acquisita con relativa verifica hash 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 3
  • 4. Gruppo di continuit Tutti i sistemi ed i dispositivi utilizzati per l'acquisizione vanno collegati ad un gruppo di continuit Write blocker hardware Un write blocker un dispositivo hardware che viene collegato al disco da acquisire in modo da bloccarne l'accesso in scrittura Possibilmente deve essere certificato dal Dipartimento della Giustizia U.S.A. Adattatori di ogni genere o almeno quelli pi comuni SATA, IDE, SAS, Firewire, USB Tanto spazio su hard disk locale o su rete (PC dedicato o NAS) per memorizzare i dati acquisiti 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 4
  • 5. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 5
  • 6. A causa delle limitazioni fisiche del supporto di destinazione (es. backup su DVD) oppure per motivi di compatibilit di filesystem (es. FAT32, nel caso in cui pi periti debbano lavorare con sistemi eterogenei), limmagine deve essere divisa in file pi piccoli. E possibile dividerla direttamente in fase di acquisizione utilizzando il comando split. 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 6 #dd if=/dev/sda | split -d -b 4500m - image.split. Nel caso dell'utilizzo di tool di acquisizione pi evoluti (es. dcfldd, ewfaquire, aimage, guymager) possibile dividere le immagini nativamente senza luso di altri tools.
  • 7. Garantisce che la copia del device sia inalterata ed identica all'originale Si utilizzano funzioni hash Gli algoritmi pi utilizzati sono MD5 e SHA-1, ma ne esistono altri E' possibile ripetere la verifica sulle copie forensi o sui supporti originali in qualsiasi momento per dimostrare che i dati non sono stati alterati 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 7
  • 8. L'algoritmo restituisce una stringa di numeri e lettere (detto digest) a partire da un qualsiasi flusso di bit di qualsiasi dimensione finita La stringa di output univoca per ogni documento identificandolo. Perci, l'algoritmo utilizzabile per la firma digitale La lunghezza del digest varia a seconda degli algoritmi utilizzati L'algoritmo non invertibile, cio non si pu ricavare la sequenza di bit in ingresso a partire dal digest 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 8
  • 9. MD5 (RFC 1321) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input) SHA-1 (RFC 3174) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 160 bit (con lunghezza fissa di 40 valori esadecimali, indipendentemente dalla stringa di input) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 9
  • 10. Quando due sequenze di bit differenti generano lo stesso hash si parla di collisione La qualit di una funzione di hash misurata direttamente in base alla difficolt nell'individuare due testi che generino una collisione Si riusciti a generare una collisione negli algoritmi HAVAL, RIPEMD, MD2, MD4, MD5 e SHA-1 dimostrando che non sono sicuri 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 10
  • 11. Per ovviare a problemi di collisione si devono: Usare algoritmi pi sofisticati (ma spesso la legge considera validi solo alcuni algoritmi) Validare i risultati con due algoritmi diversi Impossibile generare una collisione per entrambi gli hash contemporaneamente 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 11
  • 12. Per verificare lintegrit di unimmagine possibile procedere in diversi modi: 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 12 #afinfo v image.aff # md5sum image.dd # sha1sum image.dd #ewfverify image.E01 RAW: EWF: AFF: E possibile verificare lhash delle immagini anche con Dhash importando il file contenente lhash da verificare e indicando il file immagine o il device
  • 13. Fare sempre unulteriore copia dellimmagine acquisita e verificarne l'integrit 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 13
  • 14. I formati di acquisizione pi utilizzati sono: RAW EWF (Expert Witness Compression) AFF (Advanced Forensics Format) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 14
  • 15. RAW Copia bit a bit del device da acquisire Nessuna compressione E' supportato da tutti i tools di analisi forense Non supporta i metadati all'interno dell'immagine 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 15
  • 16. EWF (Expert Witness Compression) Standard de facto per le analisi forensi E' supportato dai software di analisi open source (Autopsy, PyFlag) E' supportato dai software commerciali (EnCase, Ftk, ecc...) E' possibile includere metadati (anche se in modo limitato) nell'immagine acquisita: Data/ora acquisizione Nome esaminatore Note extra Password Hash MD5 dell'intera immagine Supporta la compressione dell'immagine Ricerca all'interno dell'immagine acquisita Immagini divisibili e "montabili" al volo Formato proprietario (la compatibilit ottenuta tramite il reverse engineering) 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 16
  • 17. AFF (Advanced Forensics Format) E' supportato dai software open source Supporta la compressione dell'immagine Supporta la cifratura dell'immagine Dimensione immagine illimitata (non necessario splittare) Immagini divisibili E' possibile includere un numero illimitato di metadati (anche in un file xml separato) Formato open source 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 17
  • 18. Riga di comando dd dcfldd dc3dd ddrescue dd_rescue ewfaquire aimage cyClone 30 marzo 2012 - Torino - DEFT Conference 2012: Acquisizione di memorie di massa con