Politiche e strumenti per le indagini nell'Informatica Forense

Scritto da Alec Yasinsac e Yanet Manzano

Presentazione di Antonio Notarangelo

Esame CBD a.a. 2013/2014, Antonio Notarangelo

Cosa sono: Tecniche usate per

scoprire le prove in una grande

varietà di crimini come

• furto di segreti commerciali;

• protezione di proprietà intellettuali;

• generale abuso di computer.

Obiettivo: fornire prove sufficienti per

permettere all’autore del reato penale

di essere perseguito a norma di legge.

2


Probing: l’hacker

indaga sulla struttura

organizzativa, le

capacità della rete e

le misure di sicurezza

del firewall da

attaccare;

Invading: il

precedente passo ha

fornito dati a

sufficienza per poter

effettuare un

tentativo di accesso al

sistema designato;

Mischief: una volta

ottenuto l’accesso,

l’hacker può

compiere qualsiasi

attività illecita a lui

congeniale;

Covering Tracks:

l’hacker cerca di

coprire qualsiasi

segno che

dimostrerebbe il suo

attacco.

3


• Raccogliere le prove rappresenta l’attività principale del CNF.

• Nei crimini informatici, le prove vengono raccolte da diverse

componenti del sistema.

• Una informazione non diventa prova sino a quando non

viene commesso un crimine,

e questa informazione è usata

per trovare degli indizi.

• Ogni dato raccolto dal sistema

viene quindi etichettato come

«potenziale prova».

4


Esperti in grado di portare avanti delle indagini

forensi.

Essi debbono avere tre requisiti essenziali:

• Le capacità investigative di un detective;

• Le competenze giuridiche di

un avvocato;

• Le competenze

informatiche di un hacker.

5


6


Conservare le

informazioni

Pianificazione

della risposta

Addestramento

Accelerazione

delle indagini

Prevenire

attività

anonime

Proteggere le

prove

7


• Memorizzare sistematicamente i file delle applicazioni

e degli utenti locali come potenziali prove

• Stabilire una politica che permetta alla società di

accedere ad ogni file nel suo sistema senza permesso

Copiare e

conservare i file

delle applicazioni e

degli utenti locali

• Permette la creazione di una Timeline, una guida per

correlare eventi e attacchi

• Documentare le caratteristiche hardware e software

del sistema (computer e rete)

Copiare e

conservare i log

relativi dei computer

e delle attività di

rete

8


Istituire una squadra forense

• Questa squadra dovrebbe comprendere membri dei vertici aziendali, delle risorse umane

e dello staff tecnico.

Istituire una procedura di risposta ad un’intrusione

• Creare una guida passo-dopo-passo che l’impiegato deve seguire se un attacco viene

identificato

• La procedura dovrebbe includere chi e come contattare, e quali informazioni debbano

essere riportate

Formalizzare una procedura investigativa

• Determinare l’esatta natura del crimine informatico e se è in corso o completato

• Fare due copie esatte degli HDD colpiti attraverso uno strumento che crei una immagine

del disco

• Copiare i log dei computer e della rete

• Limitare l’accesso ai sistemi colpiti

9


• I membri della squadra devono essere pronti a prendere decisioni

importanti

Addestrare la squadra di risposta

• Deve usare le sue competenze per capire se un crime è stato

commesso, se si da chi e come è avvenuto, e trovare le prove

• Devono conoscere la configurazione del sistema e padronanza delle

tecniche di hacking

• Devono sapersi destreggiare tra le leggi

Addestrare la squadra investigativa

10


Utilizzare

tecniche di

fusione di

informazioni

Indicizzare i

dati

Proibire

l’uso di

programmi

di ripulitura

del disco

Proibire la

cifratura di

file personali

11


Onion routing

• Permette al proprietario dell’impresa di

vedere tutto quello che accade dietro il

firewall, ma continua a fornire

l’anonimato alla compagnia al di fuori

del firewall

Inserire informazioni sulla data,

l’ora e l’utente in un file

• Stabilire una politica obbligatoria per

inserire queste informazioni in un file

Usare metodi di autenticazione

dell’utente sicuri

• Password o qualunque altro metodo

che possa assicurare l’effettiva convalida

dell’utente

Usare forti meccanismi di

controllo sugli utenti

• Stabilire le politiche di accesso e

modifica dei file in base ai permessi

dell’utente

12


Controllare rigidamente gli accessi amministrativi al

sistema di archiviazione di potenziali prove

Cifrare le prove e le connessioni

Utilizzare una tecnologia di controllo di integrità dei

dati

13


• La società sta diventando sempre più dipendente dai computer, per

questo la sicurezza rappresenta una questione con priorità assoluta.

• Non bastano più misure preventive, servono

dei metodi per poter perseguire i criminali

informatici a norma di legge.

• Alcune delle politiche proposte sono

state già prese in considerazione da

molti manager di società, ma non bastano.

• Ogni azienda che si rispetti ha bisogno di una organizzazione CNF

e di un piano di addestramento, completo di politiche e procedure

CNF.

14

Scritto da Alec Yasinsac e Yanet Manzano

Presentazione di Antonio Notarangelo


• Gli esperti CNF (Whitehats) continuano a combattere per rimanere

al passo coi criminali informatici (Blackhats).

• Gli sforzi profusi dal CNF vanno in due direzioni:

1) Valutare l’impatto dell’atto o degli atti dannosi o sospetti;

2) Raccogliere le informazioni che legalmente collegano l’atto o gli atti

che hanno causato il

danno all’autore.

• Come si possono raccogliere informazioni

sui Blackhats senza mettere a

rischio un sistema reale?

16


Honeynets: Rete di produzioni interconnesse e nodi Honeypot;

Proteggono le risorse di produzione distraendo l’intruso dal vero

obiettivo;

Concepite per raccogliere informazioni sugli intrusi mentre cercano di

contenere le azioni che i Blackhats possono effettuare.

Honeypots: Sistemi host che attraggono gli intrusi ad entrare nell’ host emulando

una nota vulnerabilità;

Essenzialmente sono sistemi di produzione che non hanno dati di

valore;

Il loro compito è quello di catturare e analizzare dati per poter

imparare qualcosa sulla community dei Blackhats.

17


Registrare ogni

possibile aspetto

dell’attività di un

Blackhat, dalle

battiture ai pacchetti

trasmessi;

Lo scopo della

cattura dei dati è

quello di

determinare gli usi,

le tattiche, gli

strumenti e le

motivazioni di un

criminale;

Una volta

collezionate le

informazioni, i

Blackhat vengono

profilati e le loro

tecniche analizzate;

Il profilo determina

la firma di un

Blackhat, in questo

modo potrà essere

riconosciuto

durante un attacco.

18


Una volta che l’intruso entra nella Honeytrap, potrebbe essere

capace di utilizzare alcuni componenti della Honeytrap per scopi

illeciti.

Il Blackhat potrebbe attaccare lo stesso Honeytrap, proteggendo la

sue azioni dai controlli dell’ Honeytrap oppure distruggendo, o

modificando, il log delle attività dell’ Honeytrap.

Quando viene attratto un intruso, il possessore dell’Honeytrap si

assume le responsabilità per le azioni del criminale.

19


Dimostrare reati relativi ai partecipanti invitati è giuridicamente più

complicato che per gli atti effettuati dagli intrusi non invitati.

Anche se un crimine viene provato, se l’intruso è stato attirato

nell’Honeytrap, ci sono buone possibilità che possa difendersi da un

caso di «trappola».

Gli operatori dell’Honeytrap potrebbero incorrere in problemi di

privacy.

20


21


PRO

• L’ Honeytrap agisce da firewall;

• Aumenta la possibilità di confrontare il Blackhat presente nel sistema di produzioni con quello nell’ Honeytrap.

CONTRO

• Architettura «resource intensive»;

• Gli intrusi attratti nell’ Honeytrap potrebbero successivamente attaccare il sistema di produzione.

PRO

• Architettura implementabile con

meno risorse;

• L’ Honeytrap è indipendente dal

sistema di produzione.

CONTRO

• Entrambi i sistemi devono essere

attaccati per incastrare il

criminale;

• E’ più difficile connettere l’intruso

di un sistema con quello

dell’altro sistema.

22


23


24


A -> Identità A -> Tattiche

A ->

Strumenti

A ->

Obiettivi

A -> Altre

informazioni

B -> TatticheB ->

Strumenti

B -> ObiettiviB -> Altre

informazioni

25


26

• L’investigazione HTFI stabilisce l’identità del criminale A, ma A non può essere accusato perché è stato attirato nell’ Honeytrap;

• L’investigazione PSFI fornisce una firma parziale del criminale B e un report dei danni che ha provocato, ma non la sua identità;

• Come possiamo usare le informazioni che conosciamo sul criminale A per scoprire l’identità del criminale B?

• Se riuscissimo a dimostrare che la firma di B è identica a quella di A, allora potremmo affermare con certezza che A e B sono la stessa persona;

• Una volta conosciuta l’identità di A, il riscontro consentirebbe di perseguire il caso a norma di legge.


• Attraverso le due architetture presentate, possiamo implementare

metodi di sicurezza che possono assicurare alla giustizia dei criminali o

respingere i loro attacchi conoscendo il loro modus operandi;

• I modelli di implementazione di tali architetture permettono di ottenere

buoni risultati anche senza investire molto nelle infrastrutture;

27

• Il sistema non è così pretenzioso da

considerarsi infallibile, ci sono tantissimi

altri metodi per poter aumentare la

sicurezza in una grande azienda;

• Usare tecniche di intelligenza artificiale

potrebbero conferire ai firewall una

maggiore elasticità nel prendere alcune

decisioni.


Policies to Enhance Computer and Network

Forensics

Alec Yasinsac, Yanet Manzano

http://www.cs.fsu.edu/~yasinsac/Papers/MY01.pdf

Honeytraps, A Network Forensic Tool

Alec Yasinsac, Yanet Manzano


28



Politiche e strumenti per le indagini nell'Informatica Forense

Data & Analytics

Transcript of Politiche e strumenti per le indagini nell'Informatica Forense