Digital Evidence - di-srv.unisa.itads/SicurezzaWeb/FalsoAlibiDigitale.pdf · – Facebook, Picasa,...

Strumenti e tecniche per la creazione di un falso alibi digitale

Alfredo De Santis

Aprile 2011

Recenti procedimenti giudiziari

Rodney Bradford Bradford

–  17 ottobre 2009 –  Aggiornamento propria pagina su Facebook

2

Digital Evidence •  Computer

–  log –  applicazioni –  documenti

•  Terze parti (attività Internet) –  Facebook, Picasa, YouTube, Gmail, DropBox, …

•  Telefono –  Tabulati –  Localizzazione apparato mobile

•  Fotografia digitale –  Foto –  Memoria

3

Prevalenza digital evidence •  Effetto CSI

–  Sempre maggiore coscienza della presenza e del valore delle tracce digitali

–  Sempre perfetta –  Non visibile in tribunale, ma mediata da esperti

4

Digital Evidence: un problema

•  Origine delle azioni

•  Siamo certi dell’origine? –  Mancanza di identificazione forte

•  Vediamo un caso concreto, ma ipotetico

5

Alibi digitale Ho un alibi digitale!

6

Alibi digitale

•  Lavorato con il computer •  Connesso ad Internet mediante

una linea ADSL da casa sua

!"#$%&%'%!$

())*&+%!&*$)!,-./*"$

0-*1&%,*&/!$2$0/#&3456$)!,-./*"$

!"#$7&*$

7

Ho un alibi digitale!

Alibi digitale

8

•  Documento Microsoft Office

modifica, salvataggio, conversione in PDF, e stampa

•  Visualizzazione foto e filmati presenti sul computer

•  Internet visualizzazione foto e filmati da YouTube e Picasa invio e-mail tramite Gmail chat/post su Facebook copia di backup di alcuni file (tra cui la tesi) su DropBox

())*&+%!&*$)!,-./*"$!"#$%&%'%!$

!"#$7&*$

0-*1&%,*&/!$2$0/#&3456$)!,-./*"$

Alibi digitale: tracce

9

Analisi computer: file, log, cache, cronologia, …

Tracce da terze parti

Numero telefono, Indirizzo IP

Alibi digitale: Telefonate

10





•  Telefonate da casa sua dal telefono fisso e dal suo cellulare verso alcune numerazioni (sia fisse che mobili)

())*&+%!&*$)!,-./*"$!"#$%&%'%!$

!"#$7&*$

0-*1&%,*&/!$2$0/#&3456$)!,-./*"$

Alibi digitale: Telefonate analisi forense

11

Analisi cellulare





•  Telefonate da casa sua dal telefono fisso e dal suo cellulare verso alcune numerazioni (sia fisse che mobili)

())*&+%!&*$)!,-./*"$!"#$%&%'%!$

!"#$7&*$

0-*1&%,*&/!$2$0/#&3456$)!,-./*"$

Tabulati telefonici

Localizzazione cellulare

Alibi digitale falso •  Complice



12

Indistinguibilità

Indagato o complice ?

13

Alibi digitale falso •  Complice •  Automatismo



14

Indistinguibilità

Uomo o automatismo?

8$+*&3$9:;,:<$=!.+*>?%)@9:?*A:BCDEBFGEBF<$H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$=!.+*>?%)@9:?*A:BFGGBUFEBF<$H%&H#%/()IJ*9:N*+%”<$8$

15

Indistinguibilità

Uomo o automatismo?

8$+*&3$9:;,:<$=!.+*>?%)@9:?*A:BCDEBFGEBF<$H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$=!.+*>?%)@9:?*A:BFGGBUFEBF<$H%&H#%/()IJ*9:N*+%”<$8$

Vediamo come realizzarlo

16

Falso Alibi digitale

17

Apri documento x Inserisci testo “abc” … Attendi 5 minuti … Apri Internet Explorer www.ansa.it … www.facebook.com Inserisci e-mail Inserisci password …

Programma eseguito sul computer


18

Apri documento x Inserisci testo “abc” … Attendi 5 minuti … Apri Internet Explorer www.ansa.it … www.facebook.com Inserisci e-mail Inserisci password …





Evidenze digitali automatismo “indesiderate”

•  Script che ha prodotto l’alibi digitale •  Tracce esecuzione script

–  Registro di sistema –  Prefetch –  File memoria virtuale

•  Evidenze digitali sospette (potrebbero essere state utili per la costruzione di un automatismo) –  Esecuzione di programmi o comandi sospetti –  Presenza degli strumenti per la produzione dello script

o per la sua esecuzione –  Tracce dell’attività necessaria per la produzione dello

script

19

Evidenze digitali automatismo “indesiderate”

•  Script che ha prodotto l’alibi digitale •  Tracce esecuzione script

–  Registro di sistema –  Prefetch –  File memoria virtuale

•  Evidenze digitali sospette (potrebbero essere state utili per la costruzione di un automatismo) –  Esecuzione di programmi o comandi sospetti –  Presenza degli strumenti per la produzione dello script

o per la sua esecuzione –  Tracce dell’attività necessaria per la produzione dello

script

20

Sviluppo e testing dello script in un ambiente virtuale

(magari su supporto esterno)


21

Apri documento x Inserisci testo “abc” … Attendi 5 minuti … Apri Internet Explorer www.ansa.it … www.facebook.com Inserisci e-mail Inserisci password … Cancella tracce indesiderate Cancella te stesso





Metodologia creazione automatismo per un generico sistema operativo

•  Rilevamento tracce dello script •  Impostazioni S.O. per minimizzare tracce

–  Uso tool di ottimizzazione (tweaking) •  Costruire lo script per l’automazione

–  Automazione azioni –  Cancellazione tracce “indesiderate” –  Cancellazione se stesso

•  Verificare se rimangono tracce digitali “indesiderate”, nel caso torna all’inizio

22

Creazione automatica di evidenze digitali (dopo aver saputo quali sono le tracce)

1.  Fissare una sequenza di operazioni: Story board della simulazione, durata, robustezza delle tracce

2.  Codificarle in un programma per il computer Registrare con uno strumento di automazione un programma che eseguirà le azioni individuate e che poi sarà eseguito

3.  Eseguire il programma quando si necessita dell’alibi

4.  Rendere “indistinguibile” l’esecuzione automatica da quella umana Cancellare solo le “poche” tracce connesse all’esistenza dell’automatismo che proverebbero che è stato eseguito da uno script anziché dall’uomo

23

Autocancellazione script

•  Non occorre intervento umano dopo l’esecuzione •  Senza utilizzare supporti esterni come CD/DVD

o penne USB •  Solo software •  Il programma deve riscrivere qualcosa su se

stesso! –  Altrimenti è possibile individuarlo in memoria - Sovrascrittura multipla, se si vuole!

24

Difficoltà creazione automatismo

E’ necessario essere un hacker esperto?

Occorrono strumenti costosi/illeciti/introvabili? No, comune computer e software freeware!

25

(./!,#'%!&*$ P#)%?*$

>#&)*??#'%!&*$/"#))*$%&3*+%3*"#/*$ (55#+/#&'#$V#)%?*$

(./!)#&)*??#'%!&*$ T!&$V#)%?*$

L&$#?/*"&#IJ#B$)#&)*??#'%!&*$,#&.#?*$2$+.--!"/!$>K$2$KWK$2$X*&3"%J*$ (55#+/#&'#$V#)%?*$

Casi di studio •  Windows XP SP3

•  Windows VISTA

•  Vediamo ora alcuni highlight della nostra realizzazione dell’alibi digitale !

26

Schedulazione automatica operazioni

•  AutoHotKey (per Windows)

•  AutoIt (per Windows)

•  Windows Host Script (per Windows)

•  DoThisNow (per Windows e Linux)

•  GNU Xnee (per Linux)

•  Automator (per Mac Os X)

27

AutoIt v3 •  Freeware •  BASIC-like •  Facile da imparare •  Simula movimenti mouse •  Simula battitura tastiera •  Muove, ridimensiona e manipola finestre •  Esegue eseguibili Windows e DOS •  Funziona con il Registry •  Funziona con la clipboard per tagliare/incollare testo

28

Sito ANSA: consultazione news 8$

".&$9:>YZX"!1"#,$P%?*+Z=!'%??#$P%"*V![Z7"*V![\*[*:<$

+*&3$9:]/”<$

+*&3$9:^^^\#&+#\%/:<$

+*&3$9:_STNSR`”<$

=!.+*>?%)@$9:?*A:B:FaG:B:DGG:B:U:<$

H%&H#%/()IJ*$9:X!?%I)#:<$

+?**-$9aEEE<$

8$

$

$

29

Facebook: autenticazione 8$

+*&3$9:]/”<$

+*&3$9:^^^\V#)*5!!@\)!,:<$

+*&3$9:_STNSR`:<$

H%&H#%/()IJ*9:P#)*5!!@:<$

+*&3$9:_N(b`:<$ $$

+*&3$9”#&%)#+c5?.\%/:< $$

+*&3$9:_N(b`:<$$

+*&3$9:-#++^!"3:< $$

+*&3$9:_STNSR`:<$

8$

30

Picasa: Consultazione Foto 8$

+*&3$9:]/:<$

+*&3$9:^^^\-%)#+#\)!,:<$

+*&3$9:_STNSR`”<$

^%&^#%/#)IJ*$9:X%)#+#:<$

+*&3$9:0*)!&3#$1.*""#$,!&3%#?*:<$

+*&3$9:_STNSR`”<$

H%&H#%/()IJ*9”=!'%??#$P%"*V![:<$

,!.+*)?%)@$9:?*A:B:UUE:B:dDe:B:U:<$

V!"$f%gU$/!$UE$+/*-$U$$+*&3$9:_"%1h/`:<$$+?**-$9GEEE<$

&*[/$8$

31


+*&3$9:]/:<$

+*&3$9:^^^\-%)#+#\)!,:<$

+*&3$9:_STNSR`”<$

^%&^#%/#)IJ*$9:X%)#+#:<$

+*&3$9:0*)!&3#$1.*""#$,!&3%#?*:<$

+*&3$9:_STNSR`”<$

H%&H#%/()IJ*9”=!'%??#$P%"*V![:<$

,!.+*)?%)@$9:?*A:B:UUE:B:dDe:B:U:<$

V!"$f%gU$/!$UE$+/*-$U$$+*&3$9:_"%1h/`:<$$+?**-$9GEEE<$

&*[/$8$

32


+*&3$9:]/:<$

+*&3$9:^^^\-%)#+#\)!,:<$

+*&3$9:_STNSR`”<$

^%&^#%/#)IJ*$9:X%)#+#:<$

+*&3$9:0*)!&3#$1.*""#$,!&3%#?*:<$

+*&3$9:_STNSR`”<$

H%&H#%/()IJ*9”=!'%??#$P%"*V![:<$

,!.+*)?%)@$9:?*A:B:UUE:B:dDe:B:U:<$

V!"$f%gU$/!$UE$+/*-$U$$+*&3$9:_"%1h/`:<$$+?**-$9GEEE<$

&*[/$8$

33

Scrittura e Salvataggio documento 8$

+*&3$9:;,:<$

=!.+*>?%)@9:?*A:BCDEBFGEBF<$

H%&H#%/()IJ*9:KLMLN(O$PQRST0L>:B::<$

=!.+*>?%)@9:?*A:BFGGBUFEBF<$

H%&H#%/()IJ*9:N*+%”<$

+*&3$9:O#$+*)!&3#$1.*""#$,!&3%#?*$i$%?$)!&j%k!$8”<$

+*&3$9:lV:< $$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_"%1h/`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_S&/*"`“<$

8$ 34


+*&3$9:;,:<$

=!.+*>?%)@9:?*A:BCDEBFGEBF<$


=!.+*>?%)@9:?*A:BFGGBUFEBF<$

H%&H#%/()IJ*9:N*+%”<$

+*&3$9:O#$+*)!&3#$1.*""#$,!&3%#?*$i$%?$)!&j%k!$8”<$

+*&3$9:lV:< $$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_"%1h/`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_S&/*"`“<$

8$ 35


+*&3$9:;,:<$

=!.+*>?%)@9:?*A:BCDEBFGEBF<$


=!.+*>?%)@9:?*A:BFGGBUFEBF<$

H%&H#%/()IJ*9:N*+%”<$

+*&3$9:O#$+*)!&3#$1.*""#$,!&3%#?*$i$%?$)!&j%k!”<$

+*&3$9:lV:< $$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_"%1h/`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_3!^&`:<$

+*&3$9:_S&/*"`“<$

8$36

Telefonate

8$+*&3$9‘(N_m`),1+g:DeEeEEEEU”’<$+*&3$9:_STNSR`”<$+*&3$9”Nh%+$%+$#$/*+/$0=0]n”<$+*&3$9:_STNSR`”<$8$

37

Telefonate

o+!$p6-*"N*",%&#?$

38

Telefonate$8$

+*&3$9:(NKXEeaaCaGad:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9:(NKXDeEeeEEEdd:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9:(NK$EeaaCaGadq:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9:(NK$DeEeEEEEUq:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9‘(N_m`),1+g:DeEeEEEEU”’<$

+*&3$9:_STNSR`”<$

+*&3$9”Nh%+$%+$#$/*+/$0=0]n”<$

+*&3$9:_STNSR`”<$

8$

$

$

sms

da cellulare

da fisso

39

Telefonate$8$

+*&3$9:(NKXEeaaCaGad:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9:(NKXDeEeeEEEdd:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9:(NK$EeaaCaGadq:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9:(NK$DeEeEEEEUq:<$

+*&3$9:_STNSR`”<$

8$

+*&3$9‘(N_m`),1+g:DeEeEEEEU”’<$

+*&3$9:_STNSR`”<$

+*&3$9”Nh%+$%+$#$/*+/$0=0]n”<$

+*&3$9:_STNSR`”<$

8$

$

$

sms

da cellulare

da fisso

40

Rete cellulare

Base Transceiver Station interfaccia radio con i terminali mobili

Base Station Controller

BTS posizionata su un tetto

IMEI •  International Mobile Equipment Identity •  Codice numerico che identifica univocamente terminale mobile

•  Si può visualizzare digitando *#06# •  Salvato nella scheda madre del cellulare

•  All'avvio di ogni chiamata trasmesso alla rete dell'operatore •  Blacklist convivisa dagli operatori (cellulari rubati bloccati)

•  Analisi IMEI http://www.numberingplans.com/?page=analysis&sub=imeinr

8 cifre 6 cifre 1-2 cifra

Type Allocation Code SNR

SIM Subscriber Identification Module –  Smart Card con processore, OS, File System,

Applicazioni –  Protetto da PIN –  Proprietà dell’Operatore (i.e. trusted)

Tracce dell’esecuzione di un programma

1.  File System 2.  Memoria Virtuale 3.  Registro di Windows

Eliminazione delle tracce indesiderate: –  Impostazione del sistema operativo per

limitarne la presenza (senza creare sospetti)

–  Cancellazione a posteriori con un programma apposito

44

Tracce dell’esecuzione di un programma (file system)

Se la chiave del registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters] contiene il valore 1 o 3 Windows copierà il file eseguibile creando un file temporaneo con estensione .pf nella directory: C:\WINDOWS\Prefetch

45

I programmi di ottimizzazione automaticamente caricano il valore 0 disabilitando il prefetch

Tracce dell’esecuzione di un programma (memoria virtuale)

•  Durante l’esecuzione la memoria di un programma viene copiata nel file pagefile.sys (memoria virtuale)

•  Ciò consente l’esecuzione di programmi di taglia maggiore ma penalizza notevolmente le prestazioni

•  Per disabilitare tale funzione, dalle “Proprietà di Sistema” si imposta a 0 la taglia della memoria virtuale

46

Tracce dell’esecuzione di un programma (registro di Windows)

Eseguibile lanciato con i meccanismi dell’Explorer di Windows:

47

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache HKEY_USERS\S-1-5-21-2025429265-688789844-854245398-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache

contengono il nome, completo di path, del comando eseguito

Tracce dell’esecuzione di un programma (registro di Windows)

Tracce lasciate dalla esecuzione di un eseguibile lanciato mediante istruzioni su riga di comando (Shell DOS)

48

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

contiene il valore: c:\windows\system32\cmd.exe

La nostra soluzione prevede l’esecuzione di un unico file batch (.BAT) lanciato dalla Shell DOS

Anatomia del programma

1  Esecuzione script AutoIt –  Senza lasciare tracce indesiderate

2  Cancellazione script AutoIt –  Riscrittura del file dello script (wiping)

3  Autocancellazione –  Sottoprogramma per il wiping –  File batch

49

Lo script batch @ECHO off Sleep 3600 c:\windows\temp\AB345ED8.tmp java HelloWorld c:\windows\temp\AB345ED8.tmp shutdown –s for /l %%a in (1,1,1) do ( echo 1234567>ppp for /l %%b in (1,1,15) do ( echo 1234567>>ppp ))

50

S+*).'%!&*$

>#&)*??#'%!&*$+)"%-/$(./!L/$(./!)#&)*??#'%!&*$"!.I&*$^%-%&1$

(./!)#&)*??#'%!&*$3*?$5#/)h$

Avvio dello script di AutoIt

•  sleep 3600 (cioè attendere un’ora)

•  Su XP richiede l’installazione del Windows Server 2003 SDK

•  In alternativa piccolo programma ad-hoc

•  Meglio non usare lo scheduler di Windows

51

Avvio dello script di AutoIt

•  Il file che contiene l’eseguibile relativo allo script di AutoIt è: C:\WINDOWS\Temp\A18D5E7.tmp

52

Cancellazione dello script AutoIt

HelloWorld (String[] argv)

Classe Java che implementa il wiping dei blocchi degli argomenti argv

53

Autocancellazione

•  Un file eseguibile in esecuzione non può essere sovrascritto/cancellato: Chi cancella il cancellatore ?

•  Con un linguaggio interpretato (Python, Java) si può fare ! –  il codice viene caricato in memoria prima di essere

eseguito –  È possibile anche modificare dinamicamente il

programma in esecuzione e trasformarlo in un programma che fa altro (code injection)

54

Autocancellazione Non cancelliamo il file HelloWorld.class (resterebbero tracce della sua esistenza sul file system) Lo trasformiamo:

55

!"#$%&'&$())'*+$$,-,.$/'0'!"#$%&')1(2&'3,%/'4(%5'671.%589:'(.8);''$_$$$$p*??!H!"?3$#?$g$5+<'*+$$,-,.$/6;='''''>,.6%51'%'?'@='%'A'(.8)B$+581C='%DD;'$$$$$$$$#?\^%-*P%?*9$#"1+r%s<q$$$$$$$$$$#?\"*-?#)*P%?*9:p*??!H!"?3:<q'$$$`$`$

!"#$%&'&$())'*+$$,-,.$/'0'!"#$%&')1(2&'3,%/'4(%5671.%589:'(.8);'''_$$$$$06+/*,\!"#$%&'(#)(*+

+”,-)./+0!(1!234$$$`$`$

b%&#"6$>!3*$

L&t*)I!&$

Rimozione del file batch

•  Uno script (.BAT) può cancellare se stesso … ma solo se di taglia limitata: for /l %%a in (1,1,1) do ( echo 1234567 > ppp for /l %%b in (1,1,15) do ( echo 1234567 >> ppp ))

•  Tracce rimaste: – Programma che stampa “Salve Mondo” – File batch ppp con 15 righe contenenti la stringa “1234567” (nomi e contenuti possono cambiare ma deve rimanere qualcosa anche con caratteri casuali)

56

Altre tecniche per “ultima cancellazione”

•  manuale,

•  dispositivo USB,

•  RAMDisk,

•  automatica,

•  …

57

Ulteriori accortenze a supporto dell’alibi

•  Riconoscimento utente dai batteri lasciati dai polpastrelli

•  Sbalzi corrente elettrica –  portatile, gruppo UPS

•  Testing

•  Evitare analisi Anomaly Detection

58

Alibi perfetto e rischi

Qualcosa può andare sempre storto: –  Eventi casuali (visita amico a casa, ladro, …) –  Interruzione Provider Internet –  Rottura PC –  Catastrofi naturali “Se qualcosa può andar male, lo farà” (Legge di Murphy)

59

Evitare falso alibi digitale •  Uomo o automatismo

CAPTCHA

•  Indagato o Complice

Autenticazione Forte

•  Log totali o parziali, veri o modificati

Log certificati

Usabilità, convenienza economica ?

60

Alibi digitale: vero o falso? •  Analisi forense corretta

•  Esistenza tracce digitali non implica un alibi certo

•  Cum grano salis

Digital Evidence integrate con prove acquisite mediante tecniche di indagine tradizionale

61

Domande?

62

Digital Evidence - di-srv.unisa.itads/SicurezzaWeb/FalsoAlibiDigitale.pdf · – Facebook, Picasa,...

Documents

Transcript of Digital Evidence - di-srv.unisa.itads/SicurezzaWeb/FalsoAlibiDigitale.pdf · – Facebook, Picasa,...