deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi...

40
TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines Relatore: Federico Grattirio

Transcript of deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi...

Page 1: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Relatore: Federico Grattirio

Page 2: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Indice:

Introduzione Architettura Sviluppi

Cos’è una timeline ?

A cosa serve ?

Dove posso trovare le

informazioni ?

Come ottenere una

timeline ?

Analisi e problemi

Tool disponibili

Timeshark

Case of study

Page 3: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Timeline nelle analisi forensi

● Metodo rapido e intuitivo per comprendere la sequenza degli eventiavvenuti in una determinata finestra temporale

● Ricostruire le attività di un utente o di un intruso

● Ricostruire le fasi di un attacco informatico

● Individuare il punto di compromissione originale

● Individuare le cause di un incidente

● Evidenziare incongruenze sintomo di attività illecite o antiforensics

● Gli eventi provengono da una pluralità di fonti eteronegee

● Gli eventi di natura digitale sono registrati in quantità tali da richiederenecessariamente una trattazione automatizzata

● Raccogliere una ricca base dati è ormai relativamente semplice…

● …elaborarla invece no

Introduzione Architettura SviluppiCase of study

Page 4: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Dove posso trovare le informazioni ?

● Filesystem

Introduzione Architettura SviluppiCase of study

Page 5: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Dove posso trovare le informazioni ?

● Filesystem

● File di log (sistema e applicazioni)

Introduzione Architettura SviluppiCase of study

Page 6: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Dove posso trovare le informazioni ?

● Filesystem

● File di log (sistema e applicazioni)

● Cronologia e cache dei browser

Introduzione Architettura SviluppiCase of study

Page 7: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Dove posso trovare le informazioni ?

● Filesystem

● File di log (sistema e applicazioni)

● Cronologia e cache dei browser

● Metadati interni ai documenti

Introduzione Architettura SviluppiCase of study

Page 8: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Dove posso trovare le informazioni ?

● Filesystem

● File di log (sistema e applicazioni)

● Cronologia e cache dei browser

● Metadati interni ai documenti

● ...e molti altri, anche esterni al sistema in esame

● log dei provider, tabulati telefonici, sistemi di videosorveglianza…

Introduzione Architettura SviluppiCase of study

Page 9: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Come ottenere una timeline ?

Introduzione Architettura SviluppiCase of study

Page 10: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Analisi e problemi

● Grandi moli di dati

○ Timeline derivanti dal solo journal NTFS possono avere dai 500.000 a2.000.000 eventi

● Grande varietà di formati in input

○ I timestamp sono registrati in formati diversi, che variano da sistemaoperativo, filesystem, applicazioni…

○ Le timeline possono provenire dai report di diversi tool diacquisizione o carving

○ Gli eventi possono essere stati registrati da diversi sistemi, con diversifusi orari o time skew rilevanti

● Complessità di visualizzazione

● Complessità di analisi

Introduzione Architettura SviluppiCase of study

Page 11: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili - Autopsy

Introduzione Architettura SviluppiCase of study

• Open source

• Funzione ancora in beta (e si vede…)

• Base dati limitata al filesystem

• Accesso diretto alla sorgente dell’evento

• Non permette di applicare filtri alla timeline

• Non permette di evidenziare gli eventi

• Disponibile solo per Windows e DEFT

Page 12: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili – Kibana

Introduzione Architettura SviluppiCase of study

• Open source e web based

• Interfacciabile con Plaso/log2timeline

• Altamente scalabile

• Non disegnato specificamente per analisi forensi

• Nessun accesso alla sorgente

Page 13: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili – 4n6time

Introduzione Architettura SviluppiCase of study

• Non è open source

• Buona integrazione coi backend

• Interfaccia molto evoluta, ma ancora difettosa (navigazione visuale, accesso

alla sorgente, gestione filtri, paginazione…)

• Strumento potente, ma non adattabile

Page 14: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili – Aftertime

Introduzione Architettura SviluppiCase of study

• Sorgenti chiusi

• Licenza d’uso fortemente limitante

• Ottimo supporto agli artefatti, ma non estensibile

• Interfaccia intuitiva, ma non priva di difetti (accesso alla sorgente, bookmark…)

• Tempi di reazione insoddisfacenti

Page 15: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili - FTK

Introduzione Architettura SviluppiCase of study

• Raccolta dati basata su log2timeline

• Accesso diretto alla sorgente

• Interfaccia grafica scarsamente produttiva

• Software proprietario

• Disponibile solo per Windows

Page 16: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili - Encase

Introduzione Architettura SviluppiCase of study

• Interfaccia limitata, ma molto reattiva

• Accesso diretto alla sorgente dell’evento

• Base dati limitata ai timestamp del filesystem

• Reportistica inadeguata

• Software proprietario

• Disponibile solo per Windows

Page 17: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili - Webscavator

Introduzione Architettura SviluppiCase of study

• Open source

• Ottima interfaccia

• Filtri preconfigurati e report intuitivi

• Permette solo l’analisi di timeline derivanti da navigazione web

Page 18: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tool disponibili - IEF

Introduzione Architettura SviluppiCase of study

• Lunghi tempi di caricamento

• Interfaccia molto reattiva

• Base dati ampia, ma comunque limitata ai risultati di IEF

• Software proprietario

• Disponibile solo per Windows

Page 19: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Timeshark

● Open source

● Multipiattaforma

● Tempi di risposta adeguati anche con grandi moli di dati

● Interfaccia punta e clicca, intuitivo, semplicità di utilizzo

● Possibilità di segnalare eventi sospetti

● Possibilità di aggregare più eventi

● Possibilità di filtrare e colorare gli eventi

● Possibilità di personalizzazione del software

Introduzione Architettura SviluppiCase of study

Page 20: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Indice:

Introduzione Architettura Sviluppi

Struttura generale

Plugin

Tecnologie

Case of study

Page 21: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Struttura generale

● Model: Gestione dei dati presenti nel

database

● View: Gestione della visualizzazione dei

dati

● Controller: Gestione della elaborazione

dei dati

● Plugin managers: Gestione dei plugin

Introduzione Architettura SviluppiCase of study

Page 22: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Plugin

● Caricati dinamicamente all’avvio di Timeshark

● Plugin scanner -> Permettono l’interpretazione di file in input

● Plugin filtro -> Permettono la creazione di filtri standard

● Plugin di visualizzazione -> Permettono la creazione di svariati punti di vista

sul database

● Plugin di export -> Permettono l’esportazione dei dati nel formato desiderato

Introduzione Architettura SviluppiCase of study

Page 23: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Tecnologie

● Python

○ Linguaggio di programmazione multipiattaforma

● Librerie Qt

○ Librerie grafiche multipiattaforma per lo sviluppo di interfacce grafiche

● SqLite

○ Libreria software per la creazione di un database relazionale

Introduzione Architettura SviluppiCase of study

Page 24: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Indice:

Introduzione Architettura SviluppiCase of study

Page 25: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Case of study

Dati:

● Journal derivato da partizione NTFS

Obiettivo:

● Ricavare eventi compresi tra le ore 07:27 e le ore 07:30

● Evidenziare gli eventi di creazione file

● Segnalare tramite tag gli eventi che comprendono solo il tipo “file_created”

Workflow:

Creazione

analisiAggiunta file Aggiunta filtri Aggiunta tag

Introduzione Architettura SviluppiCase of study

Page 26: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Creazione analisi

Introduzione Architettura SviluppiCase of study

Page 27: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Creazione analisi

Introduzione Architettura SviluppiCase of study

Page 28: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta file

Introduzione Architettura SviluppiCase of study

Page 29: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta file

Introduzione Architettura SviluppiCase of study

Page 30: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta filtro

Introduzione Architettura SviluppiCase of study

Page 31: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta filtro

Introduzione Architettura SviluppiCase of study

Page 32: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta filtro

Introduzione Architettura SviluppiCase of study

Page 33: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta filtro

Introduzione Architettura SviluppiCase of study

Page 34: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta tag

Introduzione Architettura SviluppiCase of study

Page 35: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Aggiunta tag

Introduzione Architettura SviluppiCase of study

Page 36: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Export data

Introduzione Architettura SviluppiCase of study

Page 37: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Results

Introduzione Architettura SviluppiCase of study

Page 38: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Indice:

Introduzione Architettura SviluppiCase of study

Page 39: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Sviluppi

Sviluppi:

● Creazione di plugin di visualizzazione grafica delle timeline

● Creazione di plugin di visualizzazione di statistiche/sessioni presenti nei dati

analizzati

● Creazione di plugin per l’importazione dei più comuni file derivanti da tool di

estrazione e carving

● Creazione di plugin per l’esportazione in formato xml (con xsl)

● Link diretto alla sorgente dell’evento

Introduzione Architettura SviluppiCase of study

Page 40: deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizzazione e l’analisi delle supertimelines

Introduzione Architettura SviluppiCase of study

Timeshark v. 0.1

Contatti:

• Federico grattirio

<[email protected]>

Acknowledgement:

• Antonio Barili

• Davide Gabrini Domande ?