SEMINARIO DIGITAL FORENSICS forensics16.pdfLEGGE 18 MARZO 2008 nr. 48 4/10 Con legge 18 marzo 2008...

Seminario Digital Forensics Ordine degli Ingegneri BAT

SEMINARIO SEMINARIO DIGITAL FORENSICS


D E F I N I Z I O N E 1/3

E’ difficile dare una definizione univoca ed esaustiva.

In linea generale per Digital Forensics* si indica quell’attività tecnico-investigativa

Pag. 2 di 90

In linea generale per Digital Forensics* si indica quell’attività tecnico-investigativa

finalizzata all’individuazione, acquisizione, preservazione, gestione, analisi ed

interpretazione di tracce digitali, rinvenibili all’interno di elaboratori o dispositivi

elettronici, nonché la loro correlazione ai fatti, circostanze, ipotesi e tracce di qualsiasi

natura rinvenute o comunque afferenti al fatto investigativo.

* La “s” finale è riferibile al concetto di “forensics sciences”



Scopo dell’informatica forense è quello pertanto di :

• Individuare

• acquisire

Pag. 3 di 90

• acquisire

• documentare

• interpretare

I DATI rinvenuti all’interno di un dispositivo elettronico



L’interpretazione del dato non può e non deve essere una sterile analisi sistemica di tipo

ingegneristico e automatizzato ma deve tener conto del contesti investigativo, degli

indizi acquisiti e degli elementi e ipotesi formulate nel corso delle indagini.

Pag. 4 di 90

indizi acquisiti e degli elementi e ipotesi formulate nel corso delle indagini.

E’ fondamentale, sia nel ruoto del CT del PM che di CTP dell’avvocato una stretta

collaborazione e sinergia affinché l’evidenza digitale possa assumere il ruolo di FONTE

DI PROVA in un tribunale


CHI E’ L’ INVESTIGATORE

INFORMATICO

L’investigatore informatico è un professionista con ottime capacità e conoscenze

informatiche ed elettroniche, un minimo di capacità investigative e buone conoscenze

Pag. 5 di 90

delle norme che attengono la materia.

Una fredda e spersonalizzata analisi di prove scientifiche non sono sufficienti poiché le

evidenze devono essere collegate ai fatti reato e agli eventi accaduti.

?? ONE BAND MAN ??


L E G G E N D E 1/5

Decodificare una password in poco tempo

Link : http://random-ize.com/how-long-to-hack-pass/ la previsione di trovare la

password di un file protetto con key “valerio.catino12”

Pag. 6 di 90


L E G G E N D E 2/5

Violare qualsiasi rete e/o sistema

Pag. 7 di 90


L E G G E N D E 3/5

L’acquisizione e l’analisi avviene velocemente….alla velocità dei calcolatori

Pag. 8 di 90


L E G G E N D E 4/5

Nulla si crea, nulla si distrugge tutto si trasforma - Lavoisier

Magic

Pag. 9 di 90

Magicnumericfilter


L E G G E N D E 5/5

Il cellulare/tabulato mi dice dove sei stato al millimetro (seduto davanti al pc)

Pag. 10 di 90


L E G G E N D E – C O N C L U S I O N I

Questo lavoro si scontra con una serie di ostacoli, :

1. limitazioni delle tecniche, strumenti e conoscenze di cui dispone il professionista;

Pag. 11 di 90

2. Le nuove tecnologie – cloud, criptografia, dischi a stato solido, cellulari…

3. Serie televisive investigative

4. l'ignoranza informatica

Il rischio è che «il committente» ritenga che tutto sia possibile, tutto sia veloce e tutti i

sistemi ricadano in un unico calderone chiamato informatica.


LEGGE 18 MARZO 2008 nr. 48 1/10

La prova digitale è per se stessa fragile, facilmente alterabile e modificabile.

Pertanto un consulente maldestro potrebbe compromettere e inquinare, anche

Pag. 12 di 90

inconsapevolmente, la scena del crimine.

La fase più delicata è sicuramente quella riferibile alla repertazione e all’acquisizione

degli elementi di prova di natura digitale.


LEGGE 18 MARZO 2008 nr. 48 2/10

Raramente in passato la gestione della prova informatica rispecchiava i requisiti minimi

imposti dalla comunità scientifica internazionale e certamente l’assenza di una specifica

Pag. 13 di 90

disciplina codificata non facilitava il giudizio della sua ammissibilità o utilizzabilità in

sede dibattimentale


LEGGE 18 MARZO 2008 nr. 48 3/10

L’entrata in vigore della legge 18 marzo 2008 n. 48 ha di fatto sancito l’introduzione dei

principi fondanti della computer forensics all’interno del nostro ordinamento,

Pag. 14 di 90

prevedendo importanti aspetti legati alla gestione di quegli elementi di prova che, per

loro natura, presentano caratteristiche di estrema volatilità e fragilità


LEGGE 18 MARZO 2008 nr. 48 4/10

Con legge 18 marzo 2008 n. 48, pubblicata in Gazzetta Ufficiale il 4 aprile 2008 n. 80,

S.O. n. 79, è stata recepita la Convenzione di Budapest (2001) sulla criminalità

informatica. La Convenzione si compone di tre distinte sezioni:

Pag. 15 di 90

1. armonizzazione di norme di diritto sostanziale tra i vari Stati firmatari al fine di

garantire l’omogeneità delle incriminazioni;

2. disciplina processuale ed all’innovazione degli strumenti investigativi da applicare

all’acquisizione probatoria delle evidenze digitali;

3. le basi per una concreta e fattiva collaborazione tra gli Stati, snellendo le

procedure rogatoriali di assistenza giudiziaria internazionale, per ridurre i tempi di

accesso agli elementi di prova in materia di cyber crimes.


LEGGE 18 MARZO 2008 nr. 48 5/10

La prima modifica importante è quella sull’art. 491 bis del codice penale, in cui è

stato “smaterializzato” il concetto di documento informatico, sottraendolo dal

fardello del “supporto”20 a cui faceva riferimento la formulazione originaria

Pag. 16 di 90

introdotta dalla L. 547/93, rinviando dunque alla medesima definizione introdotta dal

Codice dell’Amministrazione Digitale (decreto legislativo 7 marzo 2005, n. 82)

Il secondo comma dell’art. 491 bis, abrogato dalla L. 48/2008, recitava: “A tal fine per

documento informatico si intende qualunque supporto informatico contenente dati

o informazioni aventi efficacia probatoria o programmi specificamente destinati ad

elaborarli”. 21 L’art. 1 let. p del d.lgs. 82/2005 definisce “documento informatico: la

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.


LEGGE 18 MARZO 2008 nr. 48 6/10

Il provvedimento di ratifica ha poi esplicitamente previsto alcune regole di corretta

gestione dell’evidenza informatica. Tali metodologie, seppur da tempo entrate a far

parte di una corretta prassi investigativa da parte di reparti specializzati delle forze di

Pag. 17 di 90

polizia e della comunità scientifica, non sempre vedevano una loro puntuale

attuazione, a scapito di un’altalenante utilizzabilità della prova stessa nelle fasi

dibattimentali. Insomma è stato introdotto il concetto di Best Practices.

Non vengono mai indicate le modalità esecutorie.


LEGGE 18 MARZO 2008 nr. 48 7/10

Un primo riferimento alle best practices lo troviamo nell’art. 8 che introduce la

locuzione “anche in relazione a sistemi informatici o telematici, adottando misure

Pag. 18 di 90

tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne

l’alterazione” estendendo di fatto la possibilità di ricerca delle tracce o degli effetti

materiali del reato ai sistemi informatici e telematici2


LEGGE 18 MARZO 2008 nr. 48 8/10

Gli aspetti fondamentali che implica sono molteplici:

Pag. 19 di 90

• In primo luogo vi è la sacralità della conservazione dei dati originali, sia in

previsione di ulteriori analisi eventualmente necessarie in futuro sia, più

semplicemente, nell’ottica di garantire che, anche a distanza di mesi od anni, ci

possa essere sempre la possibilità, per le parti processuali, di riferirsi e di

confrontarsi con i dati originali


LEGGE 18 MARZO 2008 nr. 48 9/10

• Il secondo importante punto fa riferimento all’inalterabilità del dato nel suo

complesso: il legislatore, nell’introdurre questo fondamentale vincolo, individua

Pag. 20 di 90

correttamente l’estrema labilità della traccia digitale, imponendo dunque idonee

misure che vadano ad evitare ogni minima sua alterazione, anche qualora si operi

in regime di estrema urgenza;

• La ripetibilità di ogni operazione effettuata.


LEGGE 18 MARZO 2008 nr. 48 10/10

• Analoghe modifiche compaiono altresì nella previsione della perquisizione

d’iniziativa della P.G. di cui all’art.352 c.p.p., evidenziando ancora, come per il già

Pag. 21 di 90

citato dispositivo di cui all’art. 354 c.p.p., che le esigenze d’urgenza non possano

prevalere sull’obbligatorietà dell’utilizzo di metodologie quantomeno di carattere

forensically sound


B E S T B E S T P R A C T I C E S


F a s i f o n d a m e n t a l i d e l l a

D i g i t a l F o r e n s i c s

• Identificazione

• Repertazione e Acquisizione

Pag. 23 di 90

• Analisi

• Presentazione




• IDENTIFICAZIONE

L’immaterialità dell’evidenza digitale si scontra indubbiamente con la materialità

Pag. 24 di 90

L’immaterialità dell’evidenza digitale si scontra indubbiamente con la materialità

tipica del supporto ove questa risulta memorizzata. Sebbene per alcune

tipologie di supporti la loro individuazione non dovrebbe risultare difficoltosa,

per esempio nel caso in cui ci si trovi di fronte a floppy-disk, pen-drive, hard-

disk, ovvero memorie allo stato solido quali SD, Compact Flash, etc.; vi è però da

soffermasi sulle problematiche relative all’individuazione di dispositivi non

semplicisticamente identificabili come tali.




• IDENTIFICAZIONE

Pag. 25 di 90




• IDENTIFICAZIONE

Pag. 26 di 90




• IDENTIFICAZIONE

Pag. 27 di 90




• IDENTIFICAZIONE

Pag. 28 di 90

Sulla scena del crimine o presunto tale sarà indispensabile comprendere cosa

acquisire senza avere fretta per evitare di commettere errori, tenendo sempre

ben a mente che l’acquisizione della prova può essere condotta con in live

analisys o post mortem. Ognuna di esse ha regole diverse, dato che la live è

un’analisi su un sistema acceso ed in funzione La post mortem è su un sistema

spento




• IDENTIFICAZIONE

Pag. 29 di 90

Se l’apparecchiatura identificata non rientra nel proprio bagaglio culturale è

bene NON procedere e NON improvvisare al fine di non distruggere o inficiare

l’acquisizione della prova.




• IDENTIFICAZIONE - Catena di Custodia (chain of custody) 1/2

Pag. 30 di 90

Identificazione

Acquisizione

Analisi

Relazione

Catena di custodia





Pag. 31 di 90

Per chain of custody si intendono tutte quelle operazioni, opportunamente

documentate e dettagliate in ordine cronologico, che definiscono quando, come,

dove e a quale scopo un reperto viene gestito (rinvenuto, repertato, depositato,

trasmesso ad altri organi od uffici, acquisito, analizzato….).





Pag. 32 di 90

Tali procedure hanno lo scopo di garantire che l’autenticità e l’integrità di quel

reperto sia stata mantenuta in ogni fase, dalla sua individuazione alla

presentazione nelle aule di Tribunale. Il primo documento legato ad una corretta

gestione della catena di custodia deve necessariamente nascere dal sopralluogo e

dal suo relativo sequestro. In particolare il codice di rito contempla l’obbligo di

verbalizzare sia le attività del sopralluogo che quelle di sequestro.




• IDENTIFICAZIONE – Isolamento e preservazione della prova

E’ la fase immediatamente successiva

Pag. 33 di 90

E’ la fase immediatamente successiva

all’individuazione della prova. Complessa nel

caso in cui la prova digitale sia su una RAM o

una CACHE (live analisys). Più semplice è la

repertazione di un disco rigido.




• Acquisizione

L’acquisizione dell’evidenza digitale può essere considerata di sicuro la fase

Pag. 34 di 90

L’acquisizione dell’evidenza digitale può essere considerata di sicuro la fase

più delicata di tutto il procedimento.

In regime di ripetibilitàArt. 359 c.p.p

In regime di ripetibilitàArt. 360 c.p.p




• Acquisizione

L’Accertamento tecnico ripetibile non è previsto nel c.p.p. ma è implicitamente inglobato all’interno

Pag. 35 di 90

L’Accertamento tecnico ripetibile non è previsto nel c.p.p. ma è implicitamente inglobato all’interno dell’Art 359 c.p.p. e cioè tutti quegli accertamenti svolti da consulenti Tecnici del P.M.

L’Art. 359 c.p.p. (Consulenti tecnici del P.M.) prevede che il P.M., quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. Il consulente può essere autorizzato dal P.M. ad assistere a singoli atti di indagine.

L’Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili) prevede che, quando gli accertamenti previsti dall’artt. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il P.M. avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici. I difensori nonché i consulenti tecnici eventualmente nominati, hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni o riserve.




• Acquisizione

Ispezione ex art. 246 cpp.

Pag. 36 di 90

Ispezione ex art. 246 cpp.

Proprio perché l’hardware, qualunque esso sia, non è più considerato prova ma un semplice contenitore della stessa (l’evidenza digitale) non è necessario il sequestro ma un’ispezione delegata ex art. 246 cpp che consente in contraddittorio l’acquisizione (una masterizzazione, …) della prova.




• Acquisizione (post mortem) WRITE BLOCKER

Nell’acquisire il dato non bisogna mai perdere di vista la necessità di preservare

Pag. 37 di 90

Nell’acquisire il dato non bisogna mai perdere di vista la necessità di preservare la genuinità dello stesso evitando ogni possibile modifica





Un write blocker è un dispositivo che si interpone tra il dispositivo da acquisire

Pag. 38 di 90

Un write blocker è un dispositivo che si interpone tra il dispositivo da acquisire (hard disk, chiavetta usb…) ed il computer ed intercetta i comandi di scrittura che potrebbero modificare lo stato della prova. I write blocker supportano vari tipi di interfaccia , ATA, SCSI, USB, Serial Ata, Firewire





Un write blocker può essere anche software. Modifica la tabella degli interrupt

Pag. 39 di 90

Un write blocker può essere anche software. Modifica la tabella degli interrupt che indirizza il codice fornito dal bios per l’esecuzione del comando di scrittura. Essa ha un record per ciascun servizio fornito dal bios. Per esempio l’interrupt 13h punta al codice deputato al servizio di lettura e scrittura sul disco rigido. Il WB modifica la tabella in modo che venga puntato un codice differente da quello del BIOS.




Pag. 40 di 90




• Acquisizione (post mortem) - Qual è il prodotto finale

Al termine dell’acquisizione si dispone di un file immagine raw, ossia di una sequenza di bit 1 e 0

Pag.41 di 90

Al termine dell’acquisizione si dispone di un file immagine raw, ossia di una sequenza di bit 1 e 0 che sono la copia identica del supporto originale. Quindi non soltanto dei dati ma anche delle strutture dati necessarie alla gestione del dispositivo, slack space, spazio non allocato etc.

Formato del file DD, EWF,




• Acquisizione (post mortem) - Firma HASH

Acquisita l’evidenza, occorre fornire elementi certi di non ripudio della prova

Pag.42 di 90

Acquisita l’evidenza, occorre fornire elementi certi di non ripudio della prova stessa. A questo scopo la cristallizzazione ed il congelamento del dato avverrà attraverso l’utilizzo di dispositivi o di applicativi software che, sfruttando funzioni matematiche di algebra modulare conosciute come funzioni di HASH, genereranno il “sigillo digitale” o l’impronta dell’evidenza stessa.

Nel linguaggio matematico ed informatico, la funzione hash è una funzione non iniettiva che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita.





La codifica hash viene prodotta da un algoritmo che, partendo da un documento

Pag.43 di 90

La codifica hash viene prodotta da un algoritmo che, partendo da un documento arbitrario di qualsiasi tipo e dimensione, lo elabora e genera una stringa univoca di dimensioni fisse denominato digest o impronta.

Applicando una funzione di hash al contenuto di un file o anche ad un intero dispositivo, si ottiene una sequenza alfanumerica di caratteri che rappresenterà l’impronta digitale dei dati memorizzati nel dispositivo. Si può facilmente intuire come, a meno di collisioni, risulta altamente improbabile che due elementi differenti presentino lo stesso valore di digest.





Pag.44 di 90

Le funzioni di hash più frequentemente applicate alla digital forensics sono tipicamente individuate nel MD5 e nello SHA-1 .




• Acquisizione (post mortem) - Firma HASH - Considerazioni

Pag.45 di 90

Un gruppo di ricercatori cinesi ha da anni annunciato e verificato al possibilità di collisioni della firma hash MD5 e SHA-1.

Non esiste una funzione hash perfetta che annulli la probabilità di collisione.





«Pigeonhole principle» o «Teorema dei Cassetti»

Pag.46 di 90

«Pigeonhole principle» o «Teorema dei Cassetti»

Banale, stupido…… ..ma dalle implicazioni potenti





Pag.47 di 90





Il pericolo è talmente reale che il NIST (National Institute of Science and Technology) ha

Pag.48 di 90

Il pericolo è talmente reale che il NIST (National Institute of Science and Technology) ha

valutato l’utilizzo dello SHA-256 e SHA512 che attualmente sostituisce lo SHA-1 nelle

Firme digitali.

Google e Mozilla ha annunciato che i propri browser avrebbero smesso di accettare

certificati basati SHA1 dopo 1 gennaio 2017.




• Analisi

• Al fine della ripetibilità di ciascuna operazione condotta dal consulente è

Pag.49 di 90

necessario operare su una copia e MAI sull’originale

• E’ necessario operare con tool accettati dalla comunità scientifica. Negli Stati

Uniti demandano da tempo al NIST (National Institute of Standards and

Technology) l’attività di certificazione che, seppur non vincolante, costituisce

un riferimento importante a cui l’ordine giudicante può far riferimento.




• Analisi

• Esperienza e competenza;

Pag.50 di 90

• I software possono essere Open Source o Commerciali, l’importante è che

siano sempre di uso comune ed accettati dalla comunità scientifica;

• In caso di strumenti o codice sviluppato ad hoc è assolutamente

indispensabile fornire il codice sorgente insieme all’elaborato peritale;

• Evitare «guerre di religione» tra strumenti Open Source e Commerciali,

l’indubbio vantaggio è la «gratuità» dello strumento;




• Analisi - Strumenti

• Encase

Pag.51 di 90

• È il prodotto commerciale più utilizzato per l’analisi delle tracce

informatiche, destinato all’uso professionale ed investigativo. Infatti è il

software più utilizzato nelle procedure di investigazione informatica da

parte di organizzazioni governative e forze dell’ordine a livello

mondiale”.




Pag.52 di 90





• FTK della ACCESS DATA

Pag.53 di 90

• Nella sua versione gratuita mette a disposizione un potente strumento

di acquisizione e preview dei file


Pag.54 di 90





• X-WAY Forensics

Pag.55 di 90

• Altro potente strumento a pagamento




Pag.56 di 90





• CAINE o DEFT

Pag.57 di 90

• Distribuzioni live utilizzata basata su linux OPEN SOURCE liberamente

scaricabile su DVD. Installabile su pc, offre una serie di strumenti di

analisi estremamente utili.

• La deft dispone di un utile manuale descrittivo.




Pag.58 di 90




Pag.59 di 90





• Sleuth Kit e Autopsy – Brian Carry

Pag.60 di 90

• Particolarmente vocati all’analisi dei file system. Consistono in un

insieme di strumenti in linguaggio C, tutti a riga di comando. Sono

eseguibili in ambiente Linux e Windows.

• Sono in grado di operare su vari formati di acquisizione (raw dd, Expert

Witness, Aff file system.

• Supportano NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS,

ISO 9660, and YAFFS2




• Analisi - Profilazione

Pag.61 di 90

Talvolta profilare il sospettato può aiutare a incanalare la ricerca.




• Elaborato Peritale

Quesito posto dal Pm, Avvocato, PgE’ necessario indicare con

Pag.62 di 90

Quesito posto dal Pm, Avvocato, Pg

Operazioni svolte

Risposta al quesito

Conclusione

Massima evidenza

alla Catena di Custodia

E’ necessario indicare con chiarezza le operazioni svolte e quali strumenti sono stati utilizzati al fine della ripetibilità.Firmare tutti i file utili con firma hash.

LE CONCLUSIONI VENGONO

LETTE PER PRIME




• L I Q U I D A Z I O N E

• Aleatori i tempi per il compenso della parcella

Pag.63 di 90

• Vacazioni

• Tagli del Pubblico Ministero


L I M I T I – S F I D E


I dischi di vario taglio della Toshiba

Pag.64 di 90

I dischi di vario taglio della Toshibamodello MK6461GSYG al grido di meglio morti che rubati espongonoL’autenticazione in caso di cambio Hardware con la possibilità di Impostare il wiping in caso di errore


TMP

Il TMP è un microchip progettato per fornire



Pag.65 di 90

Il TMP è un microchip progettato per fornire funzioni relative alla sicurezza di base che coinvolgono principalmente le chiavi crittografiche. Il tmp è di solito Installato sulla scheda madre di un pc e comunica con il resto del sistema via hardware

I computer che lo incorporano possono essere decifrati solo e esclusivamentedal quel TMP.

Quindi attenzione alla fase di acquisizione


I dischi a stato solido hanno gestione del tutto diversa da quella dei dischi

SSD



Pag.66 di 90

del tutto diversa da quella dei dischi tradizionali. Si basono su memorie NAND realizzate con transistor di tipo floating gate


I problemi più noti di questa tecnologia sono i seguenti:

SSD



Pag.67 di 90

I problemi più noti di questa tecnologia sono i seguenti:

1. Necessità di cancellare una cella prima di riscriverla;2. Errori di lettura e scrittura causati da disturbi3. Problemi di data retention4. Numero molto limitato di scritture per cella (10.000 - 100.000)


I produttori di dischi ssd adottano soluzioni proprietarie a questi problemi che

SSD



Pag.68 di 90

I produttori di dischi ssd adottano soluzioni proprietarie a questi problemi che complicano notevolmente la comprensione di come alcune strategie vengano implementate. Nello specifico, per ottimizzare i tempi e le prestazione dei dispositivi :

1. Comando ATA TRIM (cancellazione del file differente per ogni FS e che compromette la presenza di file cancellati)

2. Garbage Collector (pulizia dei blocchi da cancellare ad opera del controller e che opera anche a disco alimentato )

3. Wear Leveling (necessita di uniformare i cicli di scrittura per ogni cella)


Questi dischi compromettono la possibilità di recuperare dati e soprattutto la

SSD



Pag.69 di 90

Questi dischi compromettono la possibilità di recuperare dati e soprattutto la

ripertibilità dell’operazione di acquisizione poiché la firma hash del sorgente

Sarà differente a quella della copia. C.p. 360 c.p.p.

?


CLOUD



Cloud per servizi software (SaaS) : Software as a Service (SaaS), è l’acronimo di un servizio Cloud che è caratterizzato per rendere disponibile all’utente dei software Pagandoli solo in

Pag.70 di 90

Cloud che è caratterizzato per rendere disponibile all’utente dei software Pagandoli solo in base all’impiego o non pagandoli affatto. Sparisce quindi il concetto di licenza dels oftware per lasciare il posto a quello di software pay–per–use con evidenti risparmi ma soprattutto con la scomparsa necessità di aggiornarlo dato che si impiega online sempre in ultima versione (il software come servizio NON si installa sul cliente)


CLOUD



Cloud per piattaforma (PaaS): Platform as a Service (PaaS) identifica un tipo di servizio Cloudin cui la nuvola rende disponibili singoli elaboratori remoti completamente virtualizzati. La loro

Pag.71 di 90

in cui la nuvola rende disponibili singoli elaboratori remoti completamente virtualizzati. La loro struttura hardware risulta addirittura modificabile online ed “a caldo”. Si può ad esempio scegliere di impiegare per soli 10 minuti un personal computer con un microprocessoreMulticore , diversi GygaByte di RAM ed almeno 1 TeraByte di hard disk per poi distruggerlo immediatamente oppure trasformarlo in un sistema più potente con 16 microprocessori e diversi TeraByte di hard disk Il tutto online e con semplici click del mouse, nessun sistema fisico effettivamente viene costruito ed inoltre non è noto in quale parte del mondo la macchina virtuale richiesta operi


CLOUD



Cloud per Infrastruttura (IaaS): Infrastructure as a Service (IaaS ) è un tipo di servizio Cloudin cui si virtualizzano intere reti di computer con server , client e collegamenti anche di natura

Pag.72 di 90

in cui si virtualizzano intere reti di computer con server , client e collegamenti anche di natura diversa.

In ogni caso si è sempre dipendenti dal fornitore del servizio CLOUD, si ha a che fare

con macchine virtuali in considerazioni delle quali per bilanciamento del carico possono

migrare da una computer all’altro della rete che forma il cloud.

Dove - come – quando – cosa


Varie ed eventuali



I terminali mobili rappresentano sempre una sfida

Pag.73 di 90

La quantità di dispositivi da acquisire e analizzare

Sistemi di criptazione, navigazione anonima, macchine virtuali…..


C a s i d i S t u d i o

ricerca per stringa

Presso lo studio del professionista si acquisisce immagine forense del disco rigido per evitare di sottrargli il pc e consentirgli di lavorare. Write blocker, Ftk e si aspettaqualche ora…, firma hash e verbale.

Comando MMLS della Sleuth Kit sull’immagine RAW dd

Pag. 74 di 90

DOS Partition TableOffset Sector: 0Units are in 512-byte sectors

Slot Start End Length Description00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)01: ----- 0000000000 0000000062 0000000063 Unallocated02: 00:00 0000000063 0011374019 0011373957 Hibernation (0x12)03: 00:01 0011374020 0050444099 0039070080 NTFS (0x07)04: Meta 0050444100 0078124094 0027679995 Win95 Extended (0x0F)05: Meta 0050444100 0050444100 0000000001 Extended Table (#1)06: ----- 0050444100 0050444162 0000000063 Unallocated07: 01:00 0050444163 0078124094 0027679932 NTFS (0x07)08: ----- 0078124095 0078140159 0000016065 Unallocated

Comando MMLS della Sleuth Kit sull’immagine RAW dd



ricerca per stringa

Isolo la partizione su cui cercare con il comando dd

dd if=/media/sdb1/usb_indagato.dd if=/media/sdb1/ntfs1.dd skip = 11374020 count 39070080

Pag. 75 di 90

DOS Partition TableOffset Sector: 0Units are in 512-byte sectors

Slot Start End Length Description00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)01: ----- 0000000000 0000000062 0000000063 Unallocated02: 00:00 0000000063 0011374019 0011373957 Hibernation (0x12)03: 00:01 0011374020 0050444099 0039070080 NTFS (0x07)

04: Meta 0050444100 0078124094 0027679995 Win95 Extended (0x0F)05: Meta 0050444100 0050444100 0000000001 Extended Table (#1)06: ----- 0050444100 0050444162 0000000063 Unallocated07: 01:00 0050444163 0078124094 0027679932 NTFS (0x07)08: ----- 0078124095 0078140159 0000016065 Unallocated



ricerca per stringa

Estraggo la parte non allocata del disco

blkls -f ntfs -o 11374020 ntfs1.dd> not_allocated.blkls

Pag. 76 di 90

Lancio una ricerca sulle possibili chiavi di ricerca

sudo tr '[:cntrl:]' '\n' < /media/sdb1/ not_allocated.blkls | grep -abif listaricerca.txt > /home/valerio/hit.txt

Trovo un’occorrenza all’offset 10389739 in byte del not_allocated.blkls che però deve essere convertito nell’indirizzo del file DD di provenienza con il comando blkcalc .



ricerca per stringa

Determino la dimensione del blocco per avere l’indirizzo relativo nel file immagine di partenza

fsstat -f ntfs ntfs1.ddCONTENT-DATA INFORMATION ------------------------------------------Sector Size: 512Cluster Size: 1024

Pag. 77 di 90

Per cui 10389739/1024 = 10146 che è l’indirizzo del cluster nell’immagine dd non Dello spazio non allocato. Per ottenere l’indirizzo nel file system di origine

blkcalc -u 10146 ntfs1.dd

Cluster Size: 1024

59382



ricerca per stringa

Si determina la posizione dell’i-node che punta al file e che contiene quel cluster

ifind -f ntfs -o 11374020 -a -d 59382 ntfs1.dd

Si verifica il file associato all’i-node

493-128-1

Pag. 78 di 90

Si verifica il file associato all’i-node

istat -f ntfs -o 11374020 ntfs1.dd 493

<...>$FILE_NAME Attribute Values:Flags: ArchiveName: evidenza.docParent MFT Entry: 458 Sequence: 122Allocated Size: 0 Actual Size: 0Created: Tue Mar 18 15:05:19 2008File Modified: Tue Mar 18 15:05:19 2008MFT Modified: Tue Mar 18 15:05:19 2008Accessed: Tue Mar 18 15:05:19 2008



ricerca per stringa

Infine si estrae il file

icat -f ntfs -o 11374020 -r ntfs1.dd 493 > evidenza.doc

Pag. 79 di 90



L’acquisizione di laptop criptati

A Milano acquisiamo in emergenza più laptop dopo aver chiesto ai relativi possessori se il contenuto fosse criptato o meno.

La risposta ?

Pag. 80 di 90

La risposta ?

NO

A campione ne controlliamo 1, l’immagine si monta, gli indagati hanno detto la verità ……….. LEGGE DI MURPHY




In laboratorio si inizia l’analisi di tutti i dischi e sorpresa, nessuna della immagini viene riconosciuta da nessuno strumento.Virtualizziamo una delle immagine incriminate e all’avvio della macchina virtuale

vboxmanage internalcommands convertdd sequestro.dd speriamo.vdi

Pag. 81 di 90

vboxmanage internalcommands convertdd sequestro.dd speriamo.vdi




Creaiamo un live cd con BARTPE con il plugin WINTECH SAFEBOOT 5.1.7 che con l’aiuto di una password giornaliera fornita da macafee agli abbonati di decriptare il contenuto del disco.

Pag. 82 di 90

Facciamo partire la macchina virtuale con il disco convertito come hd ma con all’avvio la live distro appena creata.

Imbrogliamo la macchina virtuali anticipando la data del sistema a quella di uncodice giornaliero reperito su internet.

Si decripta, riconvertiamo l’immagine in dd e in modo RIPETIBILE procediamo all’analisi.



Il disco nella lavatrice

Mi viene consegnato un disco dicendomi che l’indagato l’aveva nascosto nella Lavatrice tra i panni sporchi e che dopo varie prove (??????) fatte era stato datoper morto.

Pag. 83 di 90

Collegato alla stazione di acquisizione il disco funziona regolarmente.

In fase di analisi l’immagine sembra priva di senso, non viene riconosciuto nessun file system.

DD IF=FC01.DD OF=ESTRAZIONE.BIN BS=1m COUNT=30




od -t x1 -a x.bin | sed 's/nul/ /g' | head

0000000 44 48 46 53 34 2e 31 00 00 00 00 00 00 00 00 00

Pag. 84 di 90

0000000 44 48 46 53 34 2e 31 00 00 00 00 00 00 00 00 00D H F S 4 . 1

0000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

*0036040 00 00 00 00 00 00 00 00 03 00 00 00 01 00 00 00

etx soh0036060 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

etx0036100 00 00 00 00 00 00 00 00 22 00 00 00 00 00 00 00




Da google viene fuori che si tratta di un file system proprietario usato da una azienda di sistemi di video sorveglianza. Se ne deduce che il disco è stato estratto da un sistema di ripresa.

Pag. 85 di 90

Tutti i filmati vengo recuperati con il tool proprietario liberamente scaricabile

"HDD Download Tool" messo a disponibile su http://www.dahuasecurity.com/download_2.html



L’importanza delle date e degli orari

Spesso i quesiti del committente riguardano la possibilità di collocare in un determinato momento la creazione, modifiche o cancellazioni di file, così comela giusta collocazione temporale di un evento.

Pag. 86 di 90

$FILE_NAME

$STANDARD_INFO




I METADATI di un documento word ispezionati con il tasto destro del mouse possono fornire una falsa indicazione poiché le date vengono adeguate al daylight saving time

del personal computer su cui il file si trova .

In soccorso gli applicativi che visualizzano gli exif

Pag. 87 di 90

In soccorso gli applicativi che visualizzano gli exif

E l’orario di accensione e spegnimento di un pc ?1. tool ad hoc2. Con la timeline3. all’interno del file di registro degli eventi di windows. L’evento 6005 è l’avvio

mentre il 6006 è lo spegnimento




Spesso i quesiti del committente riguardano la possibilità di collocare in un determinato momento la creazione, modifiche o cancellazioni di file, così comela giusta collocazione temporale di un evento.

Pag. 90 di 90

$FILE_NAME

$STANDARD_INFO



Carving

E’ il processo che consente la ricostruzione di file, solitamente cancellati, dai frammenti presenti sul disco e che non sono più ricostruibili con i metadati del Filesystem.

Pag. 89 di 90

Gli strumenti che riescono a “carvare” i file lavorano sugli header e i footer comuni A tutti i tipi di file.


G R A Z I E P E R L’ A T T E N Z I O N E G R A Z I E P E R L’ A T T E N Z I O N E

SEMINARIO DIGITAL FORENSICS forensics16.pdfLEGGE 18 MARZO 2008 nr. 48 4/10 Con legge 18 marzo 2008...

Documents

Transcript of SEMINARIO DIGITAL FORENSICS forensics16.pdfLEGGE 18 MARZO 2008 nr. 48 4/10 Con legge 18 marzo 2008...