Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una...

download Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera"

If you can't read please download the document

  • date post

    17-Nov-2014
  • Category

    Documents

  • view

    1.024
  • download

    4

Embed Size (px)

description

 

Transcript of Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una...

  • 1. Creative Commons Attribuzione-Non opere derivate 2.5La virtualizzazione nella Computer Forensics:lanalisi di una scatola neraPaolo Dal CheccoDEFTCON 2013 - Bologna1Monday, May 6, 13

2. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Chi sono Consulente di Informatica Forense Ph.D. Sicurezza Informatica @dipinfo TO Fondatore DEFT Association Digital Forensics Bureau (DiFoB) di Torino Digit Law S.r.l. di Milano Security Brokers S.c.p.A.2Monday, May 6, 13 3. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Denizione di Virtualizzazione Implementazione software di un computer che esegue come se fosse unamacchina sica "Duplicato efciente e isolato di una macchina reale" (Popek e Goldberg, 1974)3Monday, May 6, 13 4. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Host e Guest Host: macchina sica (esterna) Guest: macchina virtuale (interna) VMM:Virtual Machine Monitor (hypervisor) Collegamenti di rete: bridge, NAT, host o customHardwareHost (Sistema Operativo)App AppGuest 1(Sistema Operativo)Virtual Machine Monitor (VMM)App AppGuest 2(Sistema Operativo)...App AppGuest n(Sistema Operativo)4Monday, May 6, 13 5. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013MacchineVirtuali e Computer Forensics Diversi punti di vista e di contatto: test software in ambiente isolato virtualizzazione di immagini forensi acquisizione di macchine virtuali acquisizione di macchine siche formati proprietari, software proprietariogestionali, database, script, macro utilizzo di live distro su workstation Win(DEFT viene fornito anche come macchinavirtuale) questioni legate sicurezza o crittograaoggi5Monday, May 6, 13 6. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Eseguire inVM unimmagine forense Tre alternative:1. Conversione del disco da immagine forense a disco virtuale Richiede tempo e spazio, necessario partire da DD/RAW Portabile al 100%2. Creazione di un disco virtuale che referenzia limmagine forense Non occupa spazio aggiuntivo, pochi le E portabile se si parte da un DD/RAW3. Mount dellIMG come disco virtuale Immediato e non occupa spazio Non portabile6Monday, May 6, 13 7. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Eseguire inVM unimmagine forense disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete7Monday, May 6, 13 8. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 20131: Conversione del disco da RAW IMG a disco virtuale La conversione produce un le grande quanto limmagine,sostanzialmente aggiunge header/footer Ok se limmagine forense in DD, altrimenti si converte in DDrichiedendo quindi un passaggio ulteriore.Tool pi usati: Virtual Box (Windows, Linux, Mac OS) VBoxManage convertfromraw imagele.ddvmdkname.vmdk --formatVMDK qemu (Linux) qemu-img convert imagele.dd -Ovmdk vmdkname.vmdk Una volta creato il disco, si crea una nuovamacchina virtuale che utilizza il disco appena creato8Monday, May 6, 13 9. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 20132: creazione disco virtuale che referenzia IMG Si crea un disco virtuale (VMDK, etc...) che referenzia, al suo interno,limmagine forense Si pu fare a mano [dd2vm] impostando nel le di congurazione del discovirtuale la geometria del disco contenuto nellimmagine forense Se non si dispone di unimmagine RAW, usare FTK Imager per montare unaraw device (per LiveView) o eventualmente xmount per emulare un RAW Esistono tool gratuiti e a pagamento per creare il disco virtuale: Live View (per Win) [livevw] dd2vmdk (in C per Win, Linux, Mac) [dd2vmdk] raw2vmdk (in Java per Win, Linux, Mac) [raw2vmdk] ProDiscover Basic Edition [pdisc] EnCase Physical Disk Emulator (PDE) [ecpdm] Virtual Forensic Computing (VFC) [gdvfc]9Monday, May 6, 13 10. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013LiveView Sviluppato da Carnegie Mellon University Basato su Java, non pi aggiornato Pu virtualizzare: immagini raw di dischi immagini raw di partizioni dischi sici (connessi via USB o rewire) immagini in formati proprietari (tramite software di terzeparti come FTK Imager) Ottimo per Windows, in parte anche Linux, tool molto usato In parte risolve anche i conitti hardware legati allavirtualizzazione10Monday, May 6, 13 11. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013LiveView Necessita di: VMware Server 1.xFull Install oVMwareWorkstation 5.5+ Java RuntimeEnvironment VMware Disk MountUtility11Monday, May 6, 13 12. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 20133: Mount di immagine forense come virtual disk In tempo reale, tramite FUSE, limmagine forense viene vistadal sistema operativo come un le di un lesystem virtuale(VMDK,VHD oVDI) permettendo anche la scrittura su unle di cache Si pu utilizzare xmount (Linux/Mac), gratuito e OpenSource [pinguinhq]xmount --in ewf --out vmdk --cache mycache.binimg.e?? /mnt/vmdkfusermount -u /mnt/vmdk Una volta che abbiamo il disco virtuale, possiamo creare elanciare la macchina virtuale che lo utilizza. Cosa otteniamo?12Monday, May 6, 13 13. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013BSOD13Monday, May 6, 13 14. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013BSOD Con Windows, ma anche con Mac OS, lavvio di unaVMnata da una PM non va sempre liscio, cos come quando sicambia lhardware di una macchina lasciando il disco Sia suVMware sia suVirtualBox possono vericarsiproblemi con i driver IDE, HAL, estensioni kernel, etc...che impediscono il boot. Si possono risolvere a mano [vbxwin] o utilizzare gliscript OpenGates e OpenJobs [pinguinhq] di Gillen Dan Sono ISO che vanno avviate (OpenGates va prima creata)come LiveCD allinterno della virtual machine (guest) inmodo che possano patchare il disco virtualeVMDK/VHD14Monday, May 6, 13 15. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013OpenGates Patch del registro per abilitarei legacy IDE drivers Azzera le password degliutenti (chntpw) Rimuove i driver che possonoandare in conitto con lhw Determina gli HAL utilizzati (importante quando si migra suVirtualBox) Risolve i problemi di licenza/convalida che emergonoquando Windows si sveglia su un altro hardware Stampa informazioni utili per congurare laVM15Monday, May 6, 13 16. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013OpenJobs Installa un bootloader perrendere il disco avviabile(v10.5 e v10.6). Installa le estensioni peril kernel Hackintosh Rimuove estensioni del kernel che possono andarein conitto con il nuovo hardware (v10.7 e 10.8). Azzera le password degli utenti Stampa informazioni utili per congurare laVM16Monday, May 6, 13 17. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Lo sapevate?17Monday, May 6, 13 18. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Lo sapevate? Sembrer ovvio, ma un guest a 64 bit non gira su hw a 32bit... Un software in grado di capire se dentro unaVM o fuori (ScoopyNG[scoopyng],VMDetect [vmdetect], Red Pill [rdpill]) Per forzare un delay sul BIOS e avere tempo di lanciare OpenGates, aggiungerenel le di congurazione .vmx la riga bios.bootDelay = "xxxx" (xxxx inmillisecondi) Per forzare lentrata nel BIOS al boot aggiungere bios.forceSetupOnce ="TRUE" Se Windows richiede lattivazione: La modalit provvisoria funziona sempre (XP) tool di dubbia provenienza o legalit... (XP) rundll32.exe syssetup | SetupOobeBnk (7) sysprep /generalize | slmgr.vbs rearm | rundll32slc.dll,SLReArmWindows | slmgr /rearm18Monday, May 6, 13 19. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera19Monday, May 6, 13 20. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera Le scatole nere spesso non sono che deicomputer con Sistema Operativo proprietario oanche standard I dati sono memorizzati su supporti diarchiviazione, se possibile SSD (protetti e isolati)e con lesystem proprietari Es. QNX, OS/FS application critical e real timeutilizzato in centrali nucleari, auto, navi, etc..[osqnx]) o anche semplicemente FAT 16/32...20Monday, May 6, 13 21. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera SistemaOperativoreal-timeUnix-likePOSIX-compliantcommerciale Esistonodriver perLinux21Monday, May 6, 13 22. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera22Monday, May 6, 13 23. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera Caso reale nel quale ci si pu imbattere quellodi una scatola nera con hardware obsoleto,software e formato proprietari Cosa fare se non si hanno alternative?Virtualizzare...23Monday, May 6, 13 24. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera Copia forense del disco con Guymager (DEFT)24Monday, May 6, 13 25. Paolo Dal Checco - [email protected] nella Computer Forensics - DEFTCON 2013Analisi di una scatola nera Veriche integrit e coerenza dati con ausilio di(super)timeline e log2timeline,TSK o Autopsy (DEFT)25Monday, May 6, 13 26. Paolo Dal C