Diario di un computer forense

CORSO DI INFORMATICA FORENSE – Titolo lezione

di AUTORE

Andrea Cappai

Corso di INFORMATICA FORENSE (A.A. 2013/2014)

DIARIO DI UN COMPUTER FORENSER

DirICTo

Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)


di AUTORE

DIARIO DI UN COMPUTER FORENSER

• Definizione di Digital Forensics;

• Metodologia forense;

• Introduzione alla Digital Forensics;

• Case study ed esercizi tecnici;

• Il futuro (grigio) della Digital Forensics.

Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER

di ANDREA CAPPAI


di AUTORE

DEFINIZIONE DI DIGITAL FORENSICS

L’unico protocollo applicabile è il metodo scientifico, ovvero la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile (Wikipedia).

La Digital Forensics è quella disciplina scientifica che regola l’identificazione, l’acquisizione, la preservazione, l’analisi ed il reporting di fonti di prova digitali al fine di renderle utilizzabili in un processo giuridico.


di ANDREA CAPPAI


di AUTORE


Le fasi della Digital Forensics sono: identificazione, acquisizione, preservazione, analisi, reporting. Le copie post mortem di un dispositivo di memorizzazione di massa, laddove possibile, vanno effettuate bit-a-bit con verifica di codice hash, una funzione matematica che genera un codice univoco e non reversibile.

Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l’osservazione e l’esperimento; dall’altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell’esperimento.


di ANDREA CAPPAI


di AUTORE


Un investigatore deve essere in grado di avvicinarsi a un sistema informativo per determinare se esso sia stato utilizzato in attività illecite o non autorizzate, avendo cura di non alterare le possibili prove.

La scena del crimine può quindi essere un computer, un supporto rimovibile, una rete o qualsiasi altro medium digitale. Poiché la disciplina coinvolge la materia legale, il valore di una prova in sede processuale varia a seconda della legislazione. Quindi è necessario sapere come e che tipo di prova può essere considerata valida in Italia.


di ANDREA CAPPAI


di AUTORE

METODOLOGIA FORENSE

La Computer Forensics è una nuova branca della Polizia scientifica, ragion per cui si prospettano due situazioni;

• ad ogni caso si scoprono nuovi metodi analisi e di approccio alla situazione;

• la stessa evidenza, affidata a periti diversi o addirittura allo stesso forenser in due tempi diversi, potrebbe produrre risultati differenti. E’ necessario un metodo di lavoro che permetta di evitare ai forenser gli stessi errori, reinventare le stesse cose. In questo modo si potrebbero ottenere una serie di vantaggi.


di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER

di ANDREA CAPPAI

E’ necessario un metodo di lavoro che permetta di evitare ai forenser gli stessi errori, reinventare le stesse cose. In questo modo si potrebbero ottenere una serie di vantaggi.


di AUTORE

METODOLOGIA FORENSE

• Normalizzazione dei risultati Applicando la stessa metodologia sarebbe possibile ottenere risultati molto simili pur rivolgendosi a periti diversi, almeno per le fasi più sensibili, come l’acquisizione delle evidenze.

•Minore dispersione di energie La mancanza di comunicazione e una legislazione carente fanno sì che ogni forenser debba affrontare gli stessi problemi già affrontati da altri e debba trovarvi soluzione. Ciò, inevitabilmente, complica il lavoro e ruba tempo ed energie all’unica fase in cui la personalità del perito può esprimersi, ovvero quella dell’analsi delle evidenze.



di ANDREA CAPPAI


di AUTORE

METODOLOGIA FORENSE

• Minore possibilità alla controparte Applicare un metodo che abbia già superato più volte le forche caudine del dibattimento eviterebbe di dare agio agli avvocati di parte, di trovare un vizio di forma o un cavillo legale che possa invalidare tutto il lavoro svolto.

• Verificabilità dei risultati L’uso di un metodo comune permetterebbe ai periti di parte avversa di controllare in maniera più semplice e incontrovertibile i risultati ottenuti dagli investigatori.



di ANDREA CAPPAI


di AUTORE

INTRODUZIONE ALLA DIGITAL FORENSICS

• Dove possibile affiancarsi ad un esperto;

• Prendere confindenza con i sistemi operativi Linux;

• Studiare le Best Practices;

• Informarsi su gruppi, mailing list, forum;

• Conoscenze base sugli articoli di legge;

• Sperimentare;

• STUDIARE, STUDIARE, STUDIARE;



di ANDREA CAPPAI


di AUTORE

CASO # 1 – FURTO DI INFORMAZIONI



di ANDREA CAPPAI


di AUTORE


• Si indagava in merito alla rilevazione ed utilizzazione di segreti di ufficio (ex art. 326 C. P.), la cui diffusione ha compromesso la cattura di un pericolo latitante.

• Il P. M. riferiva che l’ipotesi di reato era da concentrarsi sul suo notebook, dal quale probabilmente erano state effettuate copie illegittime di alcuni file word.

• Analizzando i file word saltò subito all’occhio che essi avevano grandi dimensioni, quindi si ipotizzò che questi erano stati copiati mediante dispositivo esterno (verosimilmente penna USB) e non inviati via mail (operazione lunga e rischiosa).


di ANDREA CAPPAI


di AUTORE


• Ipotizzando che i dati fossero memorizzati in una penna USB si procedete ad una perquisizione informatica ai sensi dell’art. 247 C. P., al fine di verificare i vari dispositivi USB che erano stati connessi al notebook.



di ANDREA CAPPAI


di AUTORE


Vendor_ID e Product_ID sono una coppia di numeri univoca che identificano l’hardware e il relativo produttore.

Unica casa costruttrice che vendono con lo stesso Vendor_ID e Product_ID.


di ANDREA CAPPAI

PENNA USB


di ANDREA CAPPAI


di AUTORE


MARCA Vendor_ID:Product_ID

KRAUN AAAA:0001

MYFLASH AAAA:0001

KINGSTON BBBB:0010

MAXELL CCCC:1234

SANDISK AAAA:0001

• Stesso driver per gestire periferiche diverse



di ANDREA CAPPAI


di AUTORE


• SEMPLICE

Tool freeware USBDeview fornito dalla NirSodt, programma non installante ed eseguibile da una penna USB contenente tool forensi

• COMPLESSO

Analizzare le chiavi di Registro di Sistema

APPROCCI



di ANDREA CAPPAI


di AUTORE


• L’analisi del Registro di Sistema mediante il comando Regedit oppure con software ad hoc come AccessData Registry Viewer.

• Nella seguente chiave di registro troviamo le informazioni relative alle penne USB: HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Enum\USBSTOR

La sottochiave di Disk&Ven_XXX&Prod_XXX&RevXXX ci fornisce il numero seriale del dispositivo ma anche la data e orario di collegamento del dispositivo



di ANDREA CAPPAI


di AUTORE


- Registro di Sistema



di ANDREA CAPPAI


di AUTORE


• Il file setupapi.dev.log (o setupapi.log) fornisce la data di prima installazione e anche il Serial Number del dispositivo.

- setupapi.dev.log



di ANDREA CAPPAI


di AUTORE


• Una volta individuata la data di prima connessione e il Serial Number della probabile penna USB, abbiamo analizzato la seguente chiave di registro: HKEY_LOCAL_MACHINE\SYSTEM\Control\DeviceClasses\{XXXXXXXX-YYYYY-ZZZZ}

che fornisce la data di ultima connessione del dispositivo



di ANDREA CAPPAI


di AUTORE


Riassumendo:

Nel periodo di interesse è risultata una penna USB (Kingston DataTravel), non di proprietà del P. M., connessa al Notebook in questione.

• Chi poteva accedere al Notebook?

• L’ufficio era accessibile a chiunque?

• La penna USB aveva la disponibilità esclusiva?



di ANDREA CAPPAI


di AUTORE


L’ufficio del magistrato non aveva particolari misura di sicurezza e nel giorno di interesse tutti i suoi collaboratori erano in servizio. Ragion per cui, furono avvisate le parti e si procedette con una perquisizione reale all’interno delle stanze dei collaboratori, rinvenendo 4 penne USB.



di ANDREA CAPPAI


di AUTORE


Si analizzarono le penne e si evinse che la presunta pen drive incriminata era nella disponibilità di un Ispettore. Venne fatta in loco una copia bitstream del dispositivo, non si trovò nulla nell’area allocata dal file system.

PHOTOREC – Data Carving

PHOTOREC è un programma open source che permette di realizzare il data carving, ovvero un’attività di ricerca di file presenti su memorie di massa o loro immagini raw, bypassando il file system e effettuando ricerche a basso livello, cioè bit a bit, al fine di scovare dati recuperabili, anche nei casi in cui il dispositivo o il filesystem risultano seriamente danneggiati o riformattati.



di ANDREA CAPPAI


di ANDREA CAPPAI


di AUTORE


- PHOTOREC 6.14, Data Recovery Utility



di ANDREA CAPPAI


di AUTORE

CASO # 1 – FURTO DI INFORMAZIONI Si sceglie il dispositivo dal quale recuperare i dati, mediante l’opzione Search si seleziona su che file system andranno salvati i file recuperati e successivamente dove cercare i dati (area non allocata).



di ANDREA CAPPAI


di AUTORE


Settati tutti i parametri si avvia la fase di recupero il cui avanzamento verrà mostrato a video in tempo reale. Terminata l’operazione di recupero, PHOTOREC produce un file di log dove vengono riportate tutte le attività svolte.

Terminata l’operazione di recupero, PHOTOREC fù in grado di recuperare i tre file Word, contenenti le Ordinanze di Custodia Cautelare oggetto dell’indagine.



di ANDREA CAPPAI


di AUTORE

CASO # 2 – PEDOPORNOGRAFIA ONLINE



di ANDREA CAPPAI


di AUTORE


Dopo oltre un mese di ricerche non trovammo alcuna prova nel hard-disk in sequestro.

Usammo vari software di recupero dati, ma nessuno di questi restituì alcun risultato utile ai fini dell’indagine.

Purtroppo il computer era stato ripetutamente deframmentato e i file di interesse sovrascritti. Le chiavi di ricerca, lo storico delle ricerche su Emule, mostravano tracce di file a contenuto pedopornografico.

Pensammo che forse l’utente avrebbe potuto dimenticare qualcosa, infatti ci venne in mente di analizzare il file di swap di windows (pagefile.sys). L’idea di usare un editor esadecimale su un file di 2GB non era entusiasmante.



di ANDREA CAPPAI


di AUTORE


Per cui usammo FOREMOST un tool per fare il carving sui file di swap. Provammo e trovammo le immagini che stavamo cercando.

Essendo le immagini su un file di swap, non era possibile determinare se queste fossero state conservate o solamente visionate tramite il browser.

Non furono utili ai fini dell’indagine ma questo ci fece capire che un tool per il carving (PHOTOREC o FOREMOST) sulle partizioni di swap o sui file di hybernation, devono sempre essere presenti negli strumenti di analisi.




di ANDREA CAPPAI


di AUTORE


- FOREMOST



di ANDREA CAPPAI


di AUTORE


- Log FOREMOST



di ANDREA CAPPAI

NB: Si consiglia di allegare tutti i log forniti dai software utilizzati


di AUTORE

CASO # 3 – SPYPHONE



di ANDREA CAPPAI


di AUTORE


Ci venne consegnato un telefono cellulare Nokia modello E7 per eseguire ricerca su eventuali programmi spia installati al suo interno.

Venne inserita una SIM non attiva e procedemmo all’estrapolazione e alla successiva analisi dei dati mediante l’ausilio di OXYGEN FORENSIC SUITE.

Dalla analisi delle app, dei servizi attivi non notammo nulla di anomalo.

Venne controllato anche il tabulato telefonico alla ricerca di eventuali anomalie ma sembrò che non ci fosse nulla di rilevante.



di ANDREA CAPPAI


di AUTORE


- OXYGEN FORENSIC SUITE



di ANDREA CAPPAI


di AUTORE


Iniziammo la ricerca di parole chiavi attinenti il caso in esame mediante l’ausilio del OXYGEN e un risultato interessante lo ottenemmo grazie all’ IMEI e al numero del telefono.

Trovammo un file di testo denominato traxURL.txt dove veniva riportato un link ad un sito seguito da indicazioni su IMEI e numero di telefono in oggetto.

http://www.XXXXXX.com/track.php;+393485YYYY;35486404ZZZZZZ;



di ANDREA CAPPAI


di AUTORE




di ANDREA CAPPAI

- File traxURL.txt


di AUTORE


Inserendo dei campi casuali ci compaiono delle schermate con indicazioni su Storico Chiamate, sms, mail ed altri campi che lasciarono intendere che avevamo trovato quello che stavamo cercando. Logicamente i file di log erano vuoti in quanto il nostro account non era valido.



di ANDREA CAPPAI

Venne copiato il link trovato(eliminando numero e IMEI) su un browser e ci appare una pagina bianca con due campi da inserire:

User e Password.


di AUTORE




di ANDREA CAPPAI

-Schermata login SpyPhone


di AUTORE




di ANDREA CAPPAI

-Schermata impostazioni SpyPhone


di AUTORE


Non ci restava che trovare user e password per poter accedere al account del telefono spiato. Ragion per cui decidemmo di contattare i fornitori del servizio ed acquistammo un software spia.

Ci venne inviato il software e successivamente username e password per accedere al sito/server contenente le informazioni sul telefono controllato. Installammo il software nel nostro telefono (previo invio IMEI del telefono spiato alla società che forniva il software).

Usammo il nostro telefono in modo da simulare una situazione reale e quindi il trasferimento dei dati spiati al server.



di ANDREA CAPPAI


di AUTORE


Estrapolammo il contenuto del nostro telefono spiato in cerca di dati utili per il proseguo per l’indagine, ma purtroppo trovammo anche nel nostro caso il link con l’IMEI e il numero del nostro telefono ma nessuna informazione su username e password per accere al sito.

Dalle ulteriori analisi scoprimmo che il servizio dello spyphone era quasi impossibile da trovare e inoltre la trasmissione dei dati (al sito) avveniva mediante connessione GPRS/UMTS con costi aggiuntivi difficilmente rintracciabili nella bolletta.



di ANDREA CAPPAI

Con le username e password fornite dalla società fornitrice del software entrammo nel server/sito e trovammo tutti i dati catturati dal nostro telefono.


di AUTORE


Purtroppo capimmo che nel telefono non erano presente tracce del log al sito ma solo della connessione per inviare i dati.

L’unica strada da percorrere era supporre che “lo spione” avesse commesso l’errore di aver effettuato l’accesso dal telefono.

Per capire se fosse stato commesso questo passo falso, venne effettuato un accesso al server dal nostro telefono spiato con una successiva acquisizione del cellulare per eseguire un analisi approfondita.



di ANDREA CAPPAI

Nella web cache del nostro telefono trovammo un file di log dove veniva riportato il link al server seguito da username e password separati da uno spazio (entrambi in esadecimale)


di AUTORE


Con nostra sorpresa trovammo nella web cache lo stesso log nel telefono oggetto di analisi, ossia:

http://www.xxxpanel.com/track.php;61646d696e2070617373776f7264

61646d696e2070617373776f7264 in questa stringa era presente username e password per accedere al sito.

Mediante un semplice convertitore HEX->Testo ottenemmo che

61646d696e admin

70617373776f7264 password



di ANDREA CAPPAI

admin e password erano le “complicate” chiavi di accesso al server (il 20 in esadecimale sta ad indicare lo spazio). Provammo la combinazione e riuscimmo a dimostrare che il Nokia E/ conteneva un software spia.


di AUTORE

CASO # 4 – WHATSAPP FORENSIC



di ANDREA CAPPAI


di AUTORE


Analisi di uno smartphone Samsung S3 con Android 4.1.2 mediante l’utilizzo del UFED e Physical Analyzer

Il database contenente i messaggi di WhatsApp è di tipo SqlLite 3.0 e si trova in:

data\com.whatsapp\databases\msgstore.db

Se viene cancellato un record i SQLBrowser o SQLite non vedono i record cancellati e quindi non è possibile eseguire query per recuperare i messaggi.

Ragion per cui prima dell'acquisizione fisica tramite UFED Touch del mio Samsung S3 con Android 4.1.2, si è provveduto a cancellare due (il primo ed il terzo) messaggi di una conversazione dal mio WhatsApp, come in figura:



di ANDREA CAPPAI


di AUTORE




di ANDREA CAPPAI

Finita l'acquisizione ed ottenuto il file DumpData.bin, siamo andati ad aprire con il viewer esadecimale il file msgstoredb.db e a cercare le parole chiave dei messaggi cancellati, ottenendo una visualizzazione esadecimale come questa:


di AUTORE




di ANDREA CAPPAI


di AUTORE


Il messaggio si compone del numero del mittente, seguito da un numero, che rappresenta la data senza l'ora, del messaggio in Unix Epoch Time, ossia il numero di secondi passati dal 01/01/1970 alle 00:00:00, con una semplice conversione con programmi come DCode o http://www.epochconverter.com, si ricava che il numero: 1385917163 è la data 01 Dec 2013 alle ore 15:28:33, quindi l'orario non è esatto.

Bisogna trovare la data e l'ora (timestamp) esatta di questo messaggio, facendo un po' di prove e confrontando con i messaggi in chiaro, scopriamo che i primi sei (6) byte successivi alla fine del testo del messaggio, rappresentano il timestamp dello stesso con data ed ora corretti.



di ANDREA CAPPAI


di AUTORE


Infatti preleviamo i 6 byte successivi del primo messaggio: 01 42 AE FF E8 20 e 01 42 AF 1F BA 5F e li traduciamo in decimale con la calcolatrice e poi convertiamo il numero in Unix Milliseconds Time, infatti qui il timestamp è in millisecondi e non in secondi, poi impostiamo DCode in UTC+1 (siamo in Italia in ora solare quindi UTC+1). Otteniamo 1385915476000 che trasformato corrisponde a domenica 01 Dicembre 2013 alle ore 17:31:16 +01



di ANDREA CAPPAI


di AUTORE


Stessa procedura per l’altro messaggio: 1385917561439 che corrisponde a domenica 01 Dicembre 2013 alle ore 18:06:01 +01



di ANDREA CAPPAI


di AUTORE




di ANDREA CAPPAI

Concludiamo avendo estratto due messaggi cancellati, abbiamo ricavato il mittente, il destinatario, il testo ed il timestamp.


di AUTORE

CASO # 5 – ANTIFORENSIC HW



di ANDREA CAPPAI


di AUTORE


Ricapitolando… • Obiettivo della forense: ricostruire “cosa è successo” • Obiettivo più preciso: applicare metodi scientifici (=ripetibili) di analisi delle evidenze informatiche al fine di produrre delle prove • Fasi Raccolta dell'evidenza (acquisizione) Identificazione delle prove Valutazione ed analisi tecnico/legale Presentazione dei risultati



di ANDREA CAPPAI


di AUTORE


Quali fasi dipendono significativamente dalla tecnologia? Raccolta dell'evidenza: uso di tool per

l'acquisizione quanto più possibile ripetibile delle fonti di prova, e per la loro custodia e verifica

Identificazione delle prove: uso di tool per l'analisi

e la ricostruzione, tipicamente, da file system



di ANDREA CAPPAI


di AUTORE


Interferendo si può compromettere l'analisi Transitoriamente: se si interferisce con la fase di

identificazione in modo ovviabile Definitivamente: se si interferisce con la fase di

acquisizione, o comunque si modifica l'evidenza in modo non ovviabile



di ANDREA CAPPAI


di AUTORE


Anti Forensic: Insieme di tecniche che mirano a confondere i tool, o usare i tool e i loro risultati per confondere l'analista forense Andiamo a colpire dove fa male:

Scala dei tempi Log Recupero di file cancellati Identificazione di file ed eseguibili Steganografia e metodi per nascondere dati



di ANDREA CAPPAI


di AUTORE


HID: Human Interface Device (FALSO ALIBI) Basato su un processore Atmel che esegue comandi memorizzati su una SD • Atmel 32bit AVR RISC-based; • MicroSD card reader; • Connettore standard USB Tipo A.



di ANDREA CAPPAI


di AUTORE


HID: Human Interface Device

Navigare su Internet; Inviare una mail; Scrivere un documento; Scrivere del codice.



di ANDREA CAPPAI


di AUTORE


Elementi di analisi per identificare il device USB



di ANDREA CAPPAI


di AUTORE


Conclusione: Un attacco del genere non viene riconosciuto visto che risulta installata una tastiera USB e non una penna USB con del codice all’interno; L’hw potrebbe essere nascosto in device insospettabili (es. mouse, Printer)



di ANDREA CAPPAI


di AUTORE

IL FUTURO DELLA DIGITAL FORENSIC

Fonte: https://docs.google.com/file/d/0B5O5baJ0lza9bTZ2QVFPcGhuTTZyejFjRG5xTUFyNllTSTdj/edit



di ANDREA CAPPAI


di AUTORE


I dischi auto-criptanti e auto-cancellanti Al giorno oggi dobbiamo constatare la presenza sul mercato di particolari hard disk che, una volta inizializzati su un computer tramite dei microcodici nei loro firmware, raccolgono alcune informazioni sul sistema ospite, sicché nel momento in cui dovessero esser spostati su un altro sistema, anche solo ai fini di effettuare una copia forense ed anche con l’uso del write blocker, questi potrebbero far partire una procedura interna di self-crypting o self-wiping, il che significherebbe perdere irrimediabilmente i loro contenuto.

Nel caso in cui un modello di hard disk con il self-encrypting sia rubato e tenti di connettersi a un sistema non-familiare, il disco rigido e l’host iniziano un processo di autenticazione. Se il tentativo di autenticazione ha esito negativo, il disco può essere configurato per negare l’accesso o cripto/cancellare i dati sensibili.



di ANDREA CAPPAI


di AUTORE


BitLocker Drive Encryption

I vostri dati sono protetti con crittografia dell’intero volume del sistema operativo Windows. Se il computer è dotato di un TPM compatibile, BitLocker utilizza il TPM per bloccare le chiavi di crittografia che proteggono i dati. Di conseguenza, le chiavi non sono accessibili finché il TPM ha verificato lo stato del computer.

La crittografia dell’intero volume protegge tutti i dati, compreso il sistema operativo, il registro di Windows, i files temporanei, e il files di ibernazione.

Le chiavi necessarie per decriptare i dati rimangono bloccati dal TPM, quindi un attaccante non può leggere i dati semplicemente rimuovendo il disco rigido e installandolo in un altro computer. Il TPM è un microchip progettato per fornire funzioni relative alla sicurezza di base, che coinvolgono principalmente le chiavi di crittografia. Il TPM è di solito installato sulla scheda madre di un computer desktop o portatile, e comunica con il resto del sistema usando un bus hardware.



di ANDREA CAPPAI


di AUTORE


BitLocker Drive Encryption

Computer che incorporano un TPM hanno la capacità di creare chiavi crittografiche e crittografare loro in modo che possano essere decifrati solo dal TPM. Se anche si riuscisse a ricavare una key per il decrypting poi servirebbe anche l’eventuale password per l’unlock del disco.



di ANDREA CAPPAI

SSD e l’auto corrosione

I dischi allo stato solido subiscono il fenomeno dell’”auto-corrosione”, ossia quando si cancella un file, il comando TRIM del sistema operativo dice al controller del disco di cancellarlo, quindi il file va nella garbage collection. Poichè gli SSD seguono la regola del wear leveling e per cancellare un file devono prima scrivere, le operazioni di cancellazione non sono in tempo reale, ma in background e gestite dal controller, poi una volta cancellati i blocchi, non si recupera più il file, poiché sovrascritto.


di AUTORE


Quindi, quando si stacca un SSD e lo si attacca ad un altro computer, il write blocker non blocca l’auto-corrosione, dato che il fenomeno si attiva dall’interno, appena il controller riceve corrente elettrica. L’unico sistema per bypassare questo problema è quello di effettuare il chip-off, ossia il dissaldamento dei chip di memoria del disco ed il conseguente dump, con tutta la difficoltà che ne deriva, sia tecnica sia di ricostruzione dei dati.



di ANDREA CAPPAI

SSD e l’auto corrosione

A questa lista si aggiungono altre difficoltà: i dispositivi mobili (cellulari, tablet, ecc.) sono tanti e in differenti modelli, i sw/hw per il dump e le analisi sono pochi, limitati e costosi e con aggiornamenti lenti rispetto all’uscita impetuosa di nuovi modelli e sistemi operativi. Inoltre, molti dati sono attualmente sui Cloud, quindi sparsi su più server nel mondo.

Altro


di AUTORE


Investigator weakness – sempre più Gb/Tb da gestire, costi, complessità, si parla di dischi di parecchi gigabyte o terabyte, Raid, usare tecniche di data hiding e a quel punto le analisi da condurre porterebbero via moltissime risorse in termini di tempo e denaro, costringendo l’investigatore a lavorare con serie difficoltà.



di ANDREA CAPPAI

Altro

Awareness – Aumentano le competenze e la consapevolezza tecnica degli utenti: oggi criptano, cancellano in maniera sicura, usano pw, data storare online, macchine virtuali, TOR, TrueCrypt, PGP, AxCrypt, Bitlocker, Live distro, Secure Eraser, Wipe, Ccleaner, Disk Eraser, UPX, ecc.

• ATA HDD PW – una banalità anche se vecchia ma ancora un bell’ostacolo. Ci sono due modalità di ATA Password security, HIGH e MAXIMUM, se la security è HIGH si può sbloccare il disco con la password USER o quella MASTER (di fabbrica), se è MAXIMUM solo con la password USER.


di AUTORE


Una conseguenza dell’uso di questi strumenti è che la regola del pull-the-plug (staccare la spina) su apparati accesi, va rivista e meditata, visto che dopo lo spegnimento ci si potrebbe trovare di fronte ad un sistema completamente criptato o inaccessibile.

Usare TOR su un computer implica render le proprie navigazioni ed iscrizioni a siti completamente anonime, infatti, la navigazione con TOR attivato non lascia tracce sul computer, si possono raggiungere siti che esistono solo nella anonymity network e non raggiungibili dal normale web, ma presenti solo sul deep web o dark web, una serie di servizi (hidden services) e siti funzionanti solo sui computer degli utenti e non registrati su alcun DNS e ogni collegamento è criptato. La moneta utilizzata è il bitcoin o il litecoin, cripto-valute virtuali peer-to-peer, senza intermediari appunto, che rendono pressoché impossibile la tracciatura.



di ANDREA CAPPAI

Esempi e conseguenze


di AUTORE


Dulcis in fundo, esiste anche una gnu/linux distro chiamata TAILS, che permette un bootstrap da pendrive o dvd-rom, già configurata per l’utilizzo di TOR e altri servizi di anonimizzazione e che non lascia alcuna traccia su hard disk o su pendrive, considerando che all’uscita opera un wiping (cancellazione sicura) di ogni residuo d’informazione (questo per la versione su pendrive usb).



di ANDREA CAPPAI

Esempi e conseguenze


di AUTORE


La nostra L. 48/2008 recita in più articoli:

“...quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi.“.



di ANDREA CAPPAI

Conclusioni


di AUTORE




di ANDREA CAPPAI

Conclusioni

Inoltre: “... In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti”.


di AUTORE




di ANDREA CAPPAI

Conclusioni

Di fronte a tali tecnologie e mutamenti culturali, va da sè che l’operatività dell’investigatore informatico sarà sempre più limitata e difficoltosa; molti dati andranno dispersi o non saranno recuperabili e quello descritto in questo contesto è solo la punta dell’iceberg, perché sicuramente nasceranno nuove tecnologie e sistemi di difficile approccio, mentre la tecnologia a disposizione dell’investigatore ha un andamento molto più lento, considerando che molti strumenti software sono ricavati da reverse engineering e che non riescono ad aggiornarsi così velocemente.


di AUTORE




di ANDREA CAPPAI

Conclusioni

L’unica costante nell’evoluzione e nella race condition tra strumenti forensi e mondo informatico in veloce divenire e mutamento è l’uso del nostro cervello, della metodologia scientifica e del problem-solving. Gli operatori dovranno cercare di adattare i loro mezzi e le loro conoscenze al fine di trarre il massimo delle informazioni possibili, anche se non si utilizzeranno i metodi finora conosciuti, il viaggio è cominciato, le nubi si avvicinano, apriamo gli ombrelli dunque!

https://docs.google.com/file/d/0B5O5baJ0lza9bTZ2QVFPcGhuTTZyejFjRG5xTUFyNllTSTdj/edit


di AUTORE

BIBLIOGRAFIA E SITOGRAFIA

• Computer Forensics – A. Ghirardini, G. Faggioli - Apogeo

• https://groups.google.com/forum/#!forum/cfitaly

• Computer Forensics e Indagini Digitali – S. Aterno, G. Costabile, M. Mattiucci, G. Mazzaraco – Experta Edizioni

• Indagini Digitali – N. Bassetti – Settima Edizione

•http://www.marcomattiucci.it/


di ANDREA CAPPAI

•http://goo.gl/nw5c


di ANDREA CAPPAI

•http://www.4n6.it/doc/meeting2013/Antiforensics_v0_lite.pdf

•https://www.facebook.com/kareltecnologie


di AUTORE

Grazie per la cortese attenzione

Andrea Cappai [email protected]



di ANDREA CAPPAI


di AUTORE 75

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore

o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per

crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra


di ANDREA CAPPAI

Diario di un computer forense

Presentations & Public Speaking

Transcript of Diario di un computer forense