Politiche e strumenti per le indagini nell'Informatica Forense
-
Upload
antonio-notarangelo -
Category
Data & Analytics
-
view
123 -
download
2
Transcript of Politiche e strumenti per le indagini nell'Informatica Forense
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Cosa sono: Tecniche usate per
scoprire le prove in una grande
varietà di crimini come
• furto di segreti commerciali;
• protezione di proprietà intellettuali;
• generale abuso di computer.
Obiettivo: fornire prove sufficienti per
permettere all’autore del reato penale
di essere perseguito a norma di legge.
2
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Probing: l’hacker
indaga sulla struttura
organizzativa, le
capacità della rete e
le misure di sicurezza
del firewall da
attaccare;
Invading: il
precedente passo ha
fornito dati a
sufficienza per poter
effettuare un
tentativo di accesso al
sistema designato;
Mischief: una volta
ottenuto l’accesso,
l’hacker può
compiere qualsiasi
attività illecita a lui
congeniale;
Covering Tracks:
l’hacker cerca di
coprire qualsiasi
segno che
dimostrerebbe il suo
attacco.
3
Esame CBD a.a. 2013/2014, Antonio Notarangelo
• Raccogliere le prove rappresenta l’attività principale del CNF.
• Nei crimini informatici, le prove vengono raccolte da diverse
componenti del sistema.
• Una informazione non diventa prova sino a quando non
viene commesso un crimine,
e questa informazione è usata
per trovare degli indizi.
• Ogni dato raccolto dal sistema
viene quindi etichettato come
«potenziale prova».
4
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Esperti in grado di portare avanti delle indagini
forensi.
Essi debbono avere tre requisiti essenziali:
• Le capacità investigative di un detective;
• Le competenze giuridiche di
un avvocato;
• Le competenze
informatiche di un hacker.
5
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Conservare le
informazioni
Pianificazione
della risposta
Addestramento
Accelerazione
delle indagini
Prevenire
attività
anonime
Proteggere le
prove
7
Esame CBD a.a. 2013/2014, Antonio Notarangelo
• Memorizzare sistematicamente i file delle applicazioni
e degli utenti locali come potenziali prove
• Stabilire una politica che permetta alla società di
accedere ad ogni file nel suo sistema senza permesso
Copiare e
conservare i file
delle applicazioni e
degli utenti locali
• Permette la creazione di una Timeline, una guida per
correlare eventi e attacchi
• Documentare le caratteristiche hardware e software
del sistema (computer e rete)
Copiare e
conservare i log
relativi dei computer
e delle attività di
rete
8
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Istituire una squadra forense
• Questa squadra dovrebbe comprendere membri dei vertici aziendali, delle risorse umane
e dello staff tecnico.
Istituire una procedura di risposta ad un’intrusione
• Creare una guida passo-dopo-passo che l’impiegato deve seguire se un attacco viene
identificato
• La procedura dovrebbe includere chi e come contattare, e quali informazioni debbano
essere riportate
Formalizzare una procedura investigativa
• Determinare l’esatta natura del crimine informatico e se è in corso o completato
• Fare due copie esatte degli HDD colpiti attraverso uno strumento che crei una immagine
del disco
• Copiare i log dei computer e della rete
• Limitare l’accesso ai sistemi colpiti
9
Esame CBD a.a. 2013/2014, Antonio Notarangelo
• I membri della squadra devono essere pronti a prendere decisioni
importanti
Addestrare la squadra di risposta
• Deve usare le sue competenze per capire se un crime è stato
commesso, se si da chi e come è avvenuto, e trovare le prove
• Devono conoscere la configurazione del sistema e padronanza delle
tecniche di hacking
• Devono sapersi destreggiare tra le leggi
Addestrare la squadra investigativa
10
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Utilizzare
tecniche di
fusione di
informazioni
Indicizzare i
dati
Proibire
l’uso di
programmi
di ripulitura
del disco
Proibire la
cifratura di
file personali
11
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Onion routing
• Permette al proprietario dell’impresa di
vedere tutto quello che accade dietro il
firewall, ma continua a fornire
l’anonimato alla compagnia al di fuori
del firewall
Inserire informazioni sulla data,
l’ora e l’utente in un file
• Stabilire una politica obbligatoria per
inserire queste informazioni in un file
Usare metodi di autenticazione
dell’utente sicuri
• Password o qualunque altro metodo
che possa assicurare l’effettiva convalida
dell’utente
Usare forti meccanismi di
controllo sugli utenti
• Stabilire le politiche di accesso e
modifica dei file in base ai permessi
dell’utente
12
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Controllare rigidamente gli accessi amministrativi al
sistema di archiviazione di potenziali prove
Cifrare le prove e le connessioni
Utilizzare una tecnologia di controllo di integrità dei
dati
13
Esame CBD a.a. 2013/2014, Antonio Notarangelo
• La società sta diventando sempre più dipendente dai computer, per
questo la sicurezza rappresenta una questione con priorità assoluta.
• Non bastano più misure preventive, servono
dei metodi per poter perseguire i criminali
informatici a norma di legge.
• Alcune delle politiche proposte sono
state già prese in considerazione da
molti manager di società, ma non bastano.
• Ogni azienda che si rispetti ha bisogno di una organizzazione CNF
e di un piano di addestramento, completo di politiche e procedure
CNF.
14
Esame CBD a.a. 2013/2014, Antonio Notarangelo
• Gli esperti CNF (Whitehats) continuano a combattere per rimanere
al passo coi criminali informatici (Blackhats).
• Gli sforzi profusi dal CNF vanno in due direzioni:
1) Valutare l’impatto dell’atto o degli atti dannosi o sospetti;
2) Raccogliere le informazioni che legalmente collegano l’atto o gli atti
che hanno causato il
danno all’autore.
• Come si possono raccogliere informazioni
sui Blackhats senza mettere a
rischio un sistema reale?
16
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Honeynets: Rete di produzioni interconnesse e nodi Honeypot;
Proteggono le risorse di produzione distraendo l’intruso dal vero
obiettivo;
Concepite per raccogliere informazioni sugli intrusi mentre cercano di
contenere le azioni che i Blackhats possono effettuare.
Honeypots: Sistemi host che attraggono gli intrusi ad entrare nell’ host emulando
una nota vulnerabilità;
Essenzialmente sono sistemi di produzione che non hanno dati di
valore;
Il loro compito è quello di catturare e analizzare dati per poter
imparare qualcosa sulla community dei Blackhats.
17
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Registrare ogni
possibile aspetto
dell’attività di un
Blackhat, dalle
battiture ai pacchetti
trasmessi;
Lo scopo della
cattura dei dati è
quello di
determinare gli usi,
le tattiche, gli
strumenti e le
motivazioni di un
criminale;
Una volta
collezionate le
informazioni, i
Blackhat vengono
profilati e le loro
tecniche analizzate;
Il profilo determina
la firma di un
Blackhat, in questo
modo potrà essere
riconosciuto
durante un attacco.
18
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Una volta che l’intruso entra nella Honeytrap, potrebbe essere
capace di utilizzare alcuni componenti della Honeytrap per scopi
illeciti.
Il Blackhat potrebbe attaccare lo stesso Honeytrap, proteggendo la
sue azioni dai controlli dell’ Honeytrap oppure distruggendo, o
modificando, il log delle attività dell’ Honeytrap.
Quando viene attratto un intruso, il possessore dell’Honeytrap si
assume le responsabilità per le azioni del criminale.
19
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Dimostrare reati relativi ai partecipanti invitati è giuridicamente più
complicato che per gli atti effettuati dagli intrusi non invitati.
Anche se un crimine viene provato, se l’intruso è stato attirato
nell’Honeytrap, ci sono buone possibilità che possa difendersi da un
caso di «trappola».
Gli operatori dell’Honeytrap potrebbero incorrere in problemi di
privacy.
20
Esame CBD a.a. 2013/2014, Antonio Notarangelo
PRO
• L’ Honeytrap agisce da firewall;
• Aumenta la possibilità di confrontare il Blackhat presente nel sistema di produzioni con quello nell’ Honeytrap.
CONTRO
• Architettura «resource intensive»;
• Gli intrusi attratti nell’ Honeytrap potrebbero successivamente attaccare il sistema di produzione.
PRO
• Architettura implementabile con
meno risorse;
• L’ Honeytrap è indipendente dal
sistema di produzione.
CONTRO
• Entrambi i sistemi devono essere
attaccati per incastrare il
criminale;
• E’ più difficile connettere l’intruso
di un sistema con quello
dell’altro sistema.
22
Esame CBD a.a. 2013/2014, Antonio Notarangelo
A -> Identità A -> Tattiche
A ->
Strumenti
A ->
Obiettivi
A -> Altre
informazioni
B -> TatticheB ->
Strumenti
B -> ObiettiviB -> Altre
informazioni
25
Esame CBD a.a. 2013/2014, Antonio Notarangelo
26
• L’investigazione HTFI stabilisce l’identità del criminale A, ma A non può essere accusato perché è stato attirato nell’ Honeytrap;
• L’investigazione PSFI fornisce una firma parziale del criminale B e un report dei danni che ha provocato, ma non la sua identità;
• Come possiamo usare le informazioni che conosciamo sul criminale A per scoprire l’identità del criminale B?
• Se riuscissimo a dimostrare che la firma di B è identica a quella di A, allora potremmo affermare con certezza che A e B sono la stessa persona;
• Una volta conosciuta l’identità di A, il riscontro consentirebbe di perseguire il caso a norma di legge.
Esame CBD a.a. 2013/2014, Antonio Notarangelo
• Attraverso le due architetture presentate, possiamo implementare
metodi di sicurezza che possono assicurare alla giustizia dei criminali o
respingere i loro attacchi conoscendo il loro modus operandi;
• I modelli di implementazione di tali architetture permettono di ottenere
buoni risultati anche senza investire molto nelle infrastrutture;
27
• Il sistema non è così pretenzioso da
considerarsi infallibile, ci sono tantissimi
altri metodi per poter aumentare la
sicurezza in una grande azienda;
• Usare tecniche di intelligenza artificiale
potrebbero conferire ai firewall una
maggiore elasticità nel prendere alcune
decisioni.
Esame CBD a.a. 2013/2014, Antonio Notarangelo
Policies to Enhance Computer and Network
Forensics
Alec Yasinsac, Yanet Manzano
http://www.cs.fsu.edu/~yasinsac/Papers/MY01.pdf
Honeytraps, A Network Forensic Tool
Alec Yasinsac, Yanet Manzano
http://www.cs.fsu.edu/~yasinsac/Papers/MY02.pdf
28