SlideShare une entreprise Scribd logo

Digital Forensic

NaLUG
NaLUG

Linux Day Napoli 2011 - Credits to Marco Ferrigno - www.nalug.net

Technologie
1  sur  31
Télécharger pour lire hors ligne
#LINUX DAY NAPOLI 2011 Digital Forensics metodologie di analisi multipiattaforma A CURA DI MARCO FERRIGNO - Security & system independent researcher - - Developer of the Italian Debian GNU/Linux HOWTOs - gplus.to/marko.ferrigno #all_contacts
Digital Forensics - intro PROPEDEUTICITA': NOZIONI BASILARI SULL'UTILIZZO DEI SISTEMI OPERATIVI, NOZIONI BASILARI SUI FILE SYSTEM, [CNMNS] AVER SEGUITO L'INTERVENTO DELLO SCORSO ANNO ^_^ COSA IMPAREREMO DA QUESTO TALK: ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI SU SISTEMI WINDOWS, METODOLOGIE DI ANALISI SU SISTEM MAC OS X, METODOLOGIE DI ANALISI SU GNU/LINUX, SECURITY ALERTS. RIASSUNTO DELLA PUNTATA PRECEDENTE ...
Digital forensics - back to future ANALISI FORENSE – COS'E' REALMENTE NORMATIVA RILEVANTE IN AMBITO GIURIDICO LA DATA RETENTION L'AQUISIZIONE DEL DATO SOFTWARE OPEN SOURCE PER L'ACQUISIZIONE - CASI D'USO: DD DDRESCUE DCFLDD L'INTEGRITA' DEL DATO HASHING L' AFF (ADVANCED FORENSICS FORMAT) L'ACQUISIZIONE DI DEVICE IN SISTEMI RAID
Digital forensics ­ back to future UTILIZZO DI UN LIVE CD LINUX DAFT, CAINE, HELIX – SPECIFICHE TECNICHE L'ANALISI DEL DATO I FILE CANCELLATI SLEUTH KIT ( AUTOPSY) AUTOPSY – CARATTERISTICHE AUTOPSY – CASO D'USO LA TIMELINE LIMITI E OSTACOLI CRITTOGRAFIA STEGANOGRAFIA DATA HIDING & VIRTUALIZZAZIONE
Digital forensics ­ back to future CASI REALI FURTO DI UN PORTATILE INTERCETTAZIONE SU SKYPE SPIONAGGIO INDUSTRIALE CONCLUSIONI: “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “ TORNIAMO A NOI ...
Digital Forensics laboratorio di analisi PRIMO LIMITE: € ? CALMA && SANGUE FREDDO: E' POSSIBILE ALLESTIRE UN LABORATORIO ANCHE CON UN INVESTIMENTO MODESTO O ADDIRITTURA CON MATERIALE DI SCARTO. PREREQUISITO NECESSARIO: FANTASIA E SPIRITO DI INIZIATIVA LE SOLUZIONI COMMERCIALI SONO AL DI FUORI DELL'ESSERE DEFINITE FORENSICS IN BOX … BASTI PENSARE A COME IL SISTEMA OPERATIVO DELLA MACCHINA DEBBA ESSERE MANTENUTO IL PIU' STABILE POSSIBILE ”IL SOFTWARE, IN GRAZIA DI DIO E' DETERMINISTICO E NON CAOTICO … CON LA POSSIBILE ESCLUSIONE DI WINDOWS” (cit.)
Digital Forensics laboratorio di analisi PAROLE CHIAVE (NON SOLO PER UN FORENSICS EXPERT) RIDONDANZA VELOCITA' LABORATORIO DI ANALISI - SCHEMA DI UTILIZZO A TRE LIVELLI: SISTEMI DI ANALISI APPLICATION SERVER BACKUP SERVER OPPURE ...
Digital Forensics laboratorio di analisi OPENAFS - DISTRIBUTED COMPUTING UN PO' DI STORIA: META' ANNI '80: NASCE NEI LABORATORI TRANSARC L'AFS 1994: TRANSARC E' ACQUISITA DA IBM 15 AGOSTO 2000: IBM RILASCIA L'INTERO PRODOTTO SOTTO LICENZA OPEN. CARATTERISTICHE TECNICHE: SISTEMA DI AUTENTICAZIONE BASATO SU KERBEROS / HEIMDAL / MIT LOCATION INDIPENDENT UNIFIED NAMED SPACE REALE L'ALBERO DI RETE E' COMPOSTO DA VOLUMI ATOMICI DATABASE SERVER (LOCALIZZAZIONE, GESTIONE, PERMESSI) CACHE SERVER LATO CLIENT RAPPORTO CLIENT/SERVER DI 114.000:1
Digital Forensics laboratorio di analisi OPENAFS - VANTAGGI: PIÙ SERVER COME SE NE FOSSE UNO REPLICAZIONE SICUREZZA (ATTENZIONE ALL'ANTITESI FORENSE) BACKUP NATIVO GESTIONE DA QUALUNQUE NODO (CON ACCOUNT KERBEROS E DIRITTI AMMINISTRATIVI … ovviamente!)
Digital Forensics laboratorio di analisi CARATTERISTICHE CONSIGLIATE: MACCHINE DA ANALISI/AQUISIZIONE: CABINET DA SERVER PORTATILI I/O: IL PROBLEMA DEL BUS DI INTERCONNESSIONE TRA PERIFERICHE (PCI) → PCI vs PCI-X vs PCI EXPRESS REPARTO DISCHI EFFICIENTE E DI GRANDE CAPACITA' SISTEMA RAID (GNU/LINUX E IL RAID SOFTWARE vs IL RAID HARDWARE) CONNESSIONI DI RETE: INTERFACCE GIGABIT feat. TRUNK → CASO D'USO: DD + NETCAT MACCHINE DA ANALISI/TEST FISSE: L'IMPATTO GPU FILE/APPLICATION SERVER: root@host:/# modprobe paranoia BACKUP: NATIVO FS, DISCO ESTERNO O NASTRO MA SOPRATTUTTO ...
Digital Forensics laboratorio di analisi SISTEMA OPERATIVO: PERCHE' GNU/LINUX (IN MAGGIORANZA): ARCHITETTURA UNIX-LIKE AMPIO SUPPORTO DI FILE SYSTEM KERNEL MONOLITICO MODULARE AMPIA POSSIBILITA' DI PERSONALIZZAZIONE OTTIMI TOOLS DI CORREDO COSTI DI LICENZA CONTENUTI O INESISTENTI SOFTWARE OPEN SOURCE vs CLOSED SOURCE: ...
Digital Forensics metodologie di analisi NON ESISTE UNA METODOLOGIA GENERALE DI INDAGINE FORENSE: IL CAMPO E' PIONERISTICO GIURISTI vs INFORMATICI ACCADEMICI vs AUTODIDATTI CAMPO D'AZIONE TROPPO VASTO: IL CONCETTO DI SQUADRA IL TRATTAMENTO DELLA PROVA: RIPETIBILITA' DEGLI ACCERTAMENTI E RIDONDANZA DELLA PROVA DOCUMENTARE OGNI AZIONE FATTA SU DI ESSA METTERE LA CONTROPARTE IN CONDIZIONE DI REPLICARE QUANTO FATTO
Digital Forensics metodologie di analisi IL METODO SCIENTIFICO DI GALILEO GALILEI: OSSERVARE E DESCRIVERE UN DATO FENOMENO FORMULARE UN'IPOTESI CHE LO POSSA SPIEGARE PREVEDERE UNA O PIÙ CONSEGUENZE DIPENDENTI DA QUESTA IPOTESI VERIFICARE IN MODO SPERIMENTALE LE CONSEGUENZE CONFERMARE O CONFUTARE L'IPOTESI INIZIALE TRADOTTO PER UN COMPUTER FORENSICS EXPERT: CERCARE UN'EVIDENZA DIRETTA CERCARE, IN SECONDA ANALISI, UN'EVIDENZA DA RICERCA PIÙ ESTESA VERIFICARE LA PRESENZA DI PROGRAMMI P2P EFFETTUARE UN'ANALISI DEI FILE CANCELLATI VERIFICA DEI SUPPORTI COLLEGATI ESAMINARE I FILE DI LOG/TEMP DI UN PROGRAMMA DI MASTERIZZAZIONE CONTENUTI STEGANOGRAFATI
Digital Forensics metodologie di analisi OTTIMIZZARE I TEMPI: PENSARE IN TERMINI DI 24H DEMANDARE LE OPERAZIONI PIU' LUNGHE NEI WEEKEND MINIMIZZARE I TRASFERIMENTI PREDILIGERE TOOL A LINEA DI COMANDO USARE SISTEMI DI CONTROLLO REMOTO NON ESSERE LEGATI A UNO SPECIFICO AMBIENTE: L'ADATTABILITA' → ”IL CASO ENCASE” ”IL COMPUTER FORENSICS EXPERT DEVE VEDERE OGNI SOFTWARE COME UN POSSIBILE STRUMENTO PER RIUSCIRE A TERMINARE IL PROPRIO LAVORO E NON COME UN AMBIENTE INDISPENSABILE IN CUI OPERARE” (cit.)
Digital Forensics metodologie di analisi SVILUPPARE UN SOFTWARE SECONDO NECESSITA': USARE LINGUAGGI CHE SIANO DISPONIBILI PER PIU' PIATTAFORME POSSIBILI → OK: PERL, PYTHON, RUBY ... → KO: VBS SE SI PREFERISCE SVILUPPARE IN C/C++, LO SI FACCIA CON L'APPOGGIO DI FRAMEWORK PER LA PORTABILITA' GARANTIRE L'INALTERABILITA' DEI RISULTATI: ALBERATURA DEI RISULTATI CALCOLO RICORSIVO DEL VALORE DI HASH DI UN'ALBERATURA DI FILE md5deep -r PROVA/ > hash-files-md5.txt sha1deep -r PROVA/ > hash-files-sha1.txt USO DELLA FIRMA DIGITALE
Digital Forensics metodologie di analisi ”POCHE COSE SONO PIÙ DANNOSE DELLA SUPERBIA UMANA” (INVOCANDO L'ARTICOLO 360 C.P.P.) BISOGNA TENER SEMPRE PRESENTE SIA I PROPRI LIMITI SIA QUELLI DELLA TECNOLOGIA (E DELLE PERSONE) CON LA QUALE(I) SI HA A CHE FARE … CASI COMICI, LETTERATURA FORENSE SPICCIOLA: UN MAGISTRATO HA PRETESO IL SEQUESTRO DI UNA SUN25000 … CARABINIERI CHE DI UN COMPUTER SEQUESTRANO SOLO IL MONITOR … -_-'' UN AVVOCATO CHE VOLEVA UNA COPIA CONFORME DI HOTMAIL.COM GENTE DI CUI SOPRA CHE PRETENDE LO SPEGNIMENTO DI UN SISTEMA CRITICO ALL'INTERNO DI UN OSPEDALE AI FINI DI UN SEQUESTRO … CASI SERI && REALI: DISCO DANNEGGIATO → UTILIZZO DI DDRESCUE → HASHING NON CONFORME OPERAZIONE NON RIPETIBILE: DUMP DELLA RAM ACQUISIZIONE DI UN SISTEMA CHE NON PUÒ ESSERE SPENTO
Analisi di un sistema Windows ”VIRUS, LIBRERIE DI SISTEMA CHE SI SOVRASCRIVONO SOTTO L'INFLUENZA DI INFLUSSI ASTRALI … SE C'È UN MOTIVO PLAUSIBILE PER IL QUALE QUASI UN MILIARDO DI PERSONE STANNO LAVORANDO CON QUESTO SISTEMA A ME SFUGGE. IO CON UN COMPUTER CI DEBBO LAVORARE NON FARGLI DA BALIA ...” VANTAGGI: È BEN DOCUMENTATO DIFFUSISSIMO BEN SUPPORTATO SVANTAGGI: LOG-GA POCHISSIMO INFORMAZIONI VITALI IN FORMATO BINARIO PROFILAZIONE VIRUS &CO
Analisi di un sistema Windows INIZIO DELL'ANALISI: IL PARTIZIONAMENTO MBR - LDM - GPT GPT/LDM IL FILE DI SWAP: pagefile.sys DUMP DELLA RAM (IN CASO DI SOSPENSIONE): hyberfil.sys REGISTRY: WINDOWS 95/98/98SE: User.dat, System.dat (GLI UTENTI NON LOGGATI SONO IN ..WINDOWSPROFILENOMEUTENTE) WINDOWS ME: Classes.dat NT_FAMILY (NT/2000/2003/XP/VISTA/2008/SEV7N): … WINDOWSSYSTEM32CONFIG → Software, System, SAM, Security, Default ...DOCUMENTS AND SETTINGSNOMEUTENTENTuser.dat → H_Key_Current_User THUMBS.DB: CI PENSA VINETTO
Analisi di un sistema Windows CACHING DELLE PASSWORD: DOGMA N°1 DELL'ANALISTA FORENSE: ”LE PASSWORD POSTE A PROTEZIONE DI UN SISTEMA NON SONO UN OSTACOLO.” POSSEDENDO I DIRITTI DI AMMINISTRATORE SULLA MACCHINA DI ANALISI, QUESTI SARANNO IMPLICITAMENTE TRASFERITI NEL FILE SYSTEM DELLA MACCHINA ANALIZZATA. DAI TRISTEMENTE FAMOSI FILE *.pwl … … ALL'ASSENZA OBBLIGATA DI UN DOMAIN CONTROLLER. PROGRAMMI UTILI: CAIN & ABEL ROCKXP PASSWORD REMINDER … AH DIMENTICAVO, SIAMO AL GNU/LINUX DAY PASSWORD UNMASK → POSSIEDE TUTTE LE FUNZIONI DEI SUOI PROGRAMMI CONCORRENTI CON IN PIÙ: KEY-LOGGER SPECIFICO PER EMAIL E FTP CLIENT È DISPONIBILI IL SUO CODICE SORGENTE
Analisi di un sistema Windows WINDOWS LIVECD DUE PROGETTI OPEN SOURCE: BART PE UBCD4WIN PER OVVIE RAGIONI DI LICENZA ENTRAMBI I PROGETTI NON POSSONO CONTENERE IL SISTEMA OPERATIVO. I PACCHETTI VANNO LANCIATI E PREPARANO L'*.ISO DA MASTERIZZARE COMPLETA DI TUTTO IL NECESSARIO ENTRAMBI I PROGETTI SI BASANO SU UNA STRUTTURA A PLUG-IN CHE PUÒ ESSERE ESPANSA A PIACERE AGGIUNGENDO DRIVER E ULTERIORI PROGRAMMI PER LE SOLE FORZE DELL'ORDINE, MICROSOFT METTE A DISPOSIZIONE UN LIVECD DI PROPRIA CREAZIONE: WINFE LA COMUNITÀ OPEN SOURCE NON È RIMASTA A GUARDARE: È NATO WINFERNO
Analisi di un sistema Windows DATA HIDING: SEBBENE IL SISTEMA NON ABBIA UN'INTERFACCIA CHE PERMETTA ALL'UTENTE DI LAVORARE A BASSO LIVELLO, IL FILE SYSTEM NTFS OFFRE MOLTI SPUNTI A CHI VOLESSE NASCONDERE DATI: ALTERNATIVE DATA STREAM → NASCOSTI NEL MASTER FILE TABLE BADBLOCK ($Badclus) → MARCARE COME ”BAD” SETTORI DEL DISCO SPARSE ATTRIBUTE → IDEM COME SOPRA, MA RIFERITO AI SETTORI BOOT SECTOR → SU 16 SETTORI ALLOCATI PER LA PARTIZIONE DI AVVIO, NTFS NE USA MENO DI UNO
Analisi di un sistema Mac OS X ”DESIGN MINIMALISTA, CASE IN ALLUMINIO, MELA ILLUMINATA, SISTEMA OPERATIVO UNIX-BASED … IL SIGNORE SÌ CHE SE NE INTENDE … FORSE!” PER UN ANALISTA FORENSE CHE NON ABBIA UN'ESPERIENZA SPECIFICA SU QUESTA PIATTAFORMA, MAC RISULTA UN OSSO DURO ASSIOMA FONDAMENTALE DELL'INFORMATICA: ”SE È UNIX E VUOI UNA CONFIGURAZIONE, VAI IN /etc” TRADOTTO IN APPLE' LANGUAGE: NETINFO ATTENZIONE ALLA CARTELLA machines (→ hosts) E AL RAMO /users (→ passwd) DA NETINFO A OPENDIRECTORY (>10.5) LE INFORMAZIONI SUGLI UTENTI SONO QUI: /var/db/netinfo/local.nidb.migrated E SONO CONVERTITE IN FORMATO BINARIO → MacKrack OPPURE ...
Analisi di un sistema Mac OS X PER ESTRARRE LE PASSWORD DA UN DATABASE NETINFO DI UN MAC OS X 10.2 nidump passwd … DI UN MAC OS X 10.3 E 10.4 Cercare il file con il nome corrispondente all'ID utente nella directory: /var/db/shadow/hash AVRÀ IL SEGUENTE FORMATO: D47F3AF827A48F7DFA4F2C1F12D68CD608460EB13C5CA0C4CA9516712F7FED950 1424F955C11F92EFEF0B79D7FA3FB6BE56A9F99 … DI UN MAC OS X >= 10.5 dscl (per estrarre gli UID dei singoli account) AVRÀ UN FORMATO INSCRIVIBILE NEL POCO SPAZIO CHE RESTA IN QUESTA SLIDE, QUINDI VE LO SPIEGO COSÌ: LA PASSWORD STANDARD È SALVATA DAL 169° CARATTERE ED È LUNGA 48 CARATTERI, È IN FORMATO SHA-1 ED È CODIFICATA CON UN SALTO DI 4 BYTE POSTO IN TESTA
Analisi di un sistema Mac OS X PRIVACY & SECURITY: MAC OS X UTILIZZA UN SISTEMA DI CRITTOGRAFIA FORTE (AES-128) ALL'INTERNO DI TUTTO IL SISTEMA OPERATIVO. CIÒ SI TRADUCE IN UN UTILIZZO DI QUEST'ULTIMA IN MANIERA MOLTO PIÙ PERVASIVA DI QUANTO NON CI SI ASPETTEREBBE FILEVAULT: MEDIANTE POCHI PASSAGGI È POSSIBILE RENDERE MOLTE DELLE INFORMAZIONI INACCESSIBILI (ANCHE I FILE DI SWAP) A CHIUNQUE, IVI COMPRESO UN EVENTUALE COMPUTER FORENSICS EXPERT. UN AIUTO PUÒ VENIRE DAGLI sparse.bundle NON CRITTOGRAFATI (… E DA UNA PASSWORD DI LOGIN DEBOLE, OVVIAMENTE!)
Analisi di un sistema Mac OS X DATA HIDING: ALL'INTERNO DEI PACCHETTI APPLICAZIONE: L'ALBERATURA È SCRIVIBILE, QUINDI AL SUO INTERNO È POSSIBILE INSERIRE QUALUNQUE TIPO DI FILE (LE DIMENSIONI AUMENTANO DI CONSEGUENZA) INTERVENIRE SUI BAD BLOCK RESOURCE FORK DEI FILE
Analisi di un sistema GNU/Linux L'ANALISI: DISPONIAMO DI TONNELLATE DI INFORMAZIONI IN PIÙ RISPETTO AI SISTEMI OPERATIVI VISTI PRECEDENTEMENTE LIBERTÀ ”AMMINISTRATIVA” I LOG: SYSLOG SI BASA SU UN DEMONE CHIAMATO SYSLOGD, ESSO SI INCARICA DI EFFETTUARE IL SERVIZIO DI DATA COLLECTING PER L'INTERO SISTEMA. LE ENTRY SYSLOG SONO GESTITE TRAMITE DUE PARAMETRI: FACILITY E SEVERITY (RFC 3164) DI NORMA I FILE DI LOG SI TROVANO NELLA DIRECTORY /VAR/LOG. IL PIÙ SIGNIFICATIVO TRA QUESTI È SICURAMENTE IL FILE ”MESSAGES” DOVE SONO CONTENUTI LA MAGGIOR PARTE DEGLI EVENTI OCCORSI ALL'INTERNO DELLA MACCHINA (ENTRY RELATIVE ALL'HARDWARE COLLEGATO E SCOLLEGATO, FILE SYSTEM MONTATI E SMONTATI, EVENTI CRITICI …) ATTENZIONE A wtmp → last wtmp
Analisi di un sistema GNU/Linux AUTENTICAZIONE: /etc/passwd → ELENCO DEGLI UTENTI /etc/shadow → ELENCO DELLE PASSWORD LE DISTRIBUZIONI GNU/LINUX SI AVVALGONO DI UN SISTEMA DI AUTENTICAZIONE NOTO COME PAM (PLUGGABLE AUTHENTICATION MODULE) MEDIANTE LE PAM UN SISTEMA LINUX PUÒ VARIARE LA MANIERA IN CUI L'UTENTE VIENE AUTENTICATO SENZA CHE LE APPLICAZIONI DEBBANO IN ALCUN MODO ESSERE VARIATE
Analisi di un sistema GNU/Linux HOME DIRECTORY: DATI DELL'UTENTE SHELL HISTORY CACHE FILE CON CONFIGURAZIONE VAR: LOG DI SISTEMA SPOOL DI STAMPA MAIL IN TRANSITO TABLESPACE DEGLI RDBM CACHE DI SISTEMA CONFIGURAZIONE DEI VARI TOOL DATABASE DEI PACCHETTI INSTALLATI FILE DI BIND DATABASE DI LDAP DATABASE DI SISTEMA AFS DATABASE DI KERBEROS CONDIVISIONE DATI: NFS, SMB, CIFS, NCP, AFS, OPENAFS, CODA, LUSTRE, APPLE FILE SERVER ...
Analisi di un sistema GNU/Linux DATA HIDING: L'UNICA LIMITAZIONE È LA FANTASIA! FILE SYSTEM DENTRO UN FILE SYSTEM UTILIZZO DELLA TRACCIA 0 FILE SYSTEM STEGANOGRAFICO UTILIZZO DI UN SISTEMA RAID
Security Alerts IL CASO STUXNET: Stuxnet è il primo worm che spia e riprogramma macchine industriali. Infetta PC dotati di sistema operativo Windows e software WinCC e PCS 7. Il virus si propaga tramite penna USB o tramite rete, e si attiva alle semplice apertura in visione del dispositivo che lo contiene. È stato scoperto nel giugno del 2010 da VirusBlokAda, una società di sicurezza bielorussa. Stuxnet è in grado di riprogrammare il controllore logico e di nascondere le modifiche IL CASO POLITICO E LO SPIONAGGIO INDUSTRIALE DUQU: STUXNET' RETURN: JMINET7.SYS (DUQU) == MRXCLS.SYS (STUXNET)
Conclusioni “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “ … Repetita iuvant :)

Recommandé

Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Pf e netfilter, analisi dei firewall open source
Pf e netfilter, analisi dei firewall open sourcePf e netfilter, analisi dei firewall open source
Pf e netfilter, analisi dei firewall open sourceGiovanni Bechis
 
ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityAlessio Pennasilico
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Cyber Forensic
Cyber ForensicCyber Forensic
Cyber ForensicNaLUG
 

Recommandé

Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Pf e netfilter, analisi dei firewall open source
Pf e netfilter, analisi dei firewall open sourcePf e netfilter, analisi dei firewall open source
Pf e netfilter, analisi dei firewall open sourceGiovanni Bechis
 
ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityAlessio Pennasilico
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Cyber Forensic
Cyber ForensicCyber Forensic
Cyber ForensicNaLUG
 
Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding LinuxNaLUG
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaMarco Ferrigno
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)Alessandro Bonu
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerAlessandro Mascherin
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Hardening
HardeningHardening
HardeningNaLUG
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitalipiccimario
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxMarco Ferrigno
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Giuseppe Agrillo
 
The Missing Link
The Missing LinkThe Missing Link
The Missing LinkSandro Fontana
 
Grid System
Grid SystemGrid System
Grid SystemNaLUG
 
Digital Divide
Digital DivideDigital Divide
Digital DivideNaLUG
 

Contenu connexe

Similaire à Digital Forensic

Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding LinuxNaLUG
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaMarco Ferrigno
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)Alessandro Bonu
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerAlessandro Mascherin
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Hardening
HardeningHardening
HardeningNaLUG
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitalipiccimario
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxMarco Ferrigno
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Giuseppe Agrillo
 

Similaire à Digital Forensic (20)

Understanding Linux
Understanding LinuxUnderstanding Linux
Understanding Linux
 
Understanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnicaUnderstanding Linux: 20 anni di kernel tra storia e tecnica
Understanding Linux: 20 anni di kernel tra storia e tecnica
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computer
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
 
Hardening
HardeningHardening
Hardening
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitali
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
 
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel LinuxPIT2012: Workshop@UniNA - Compilazione del Kernel Linux
PIT2012: Workshop@UniNA - Compilazione del Kernel Linux
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information Gathering
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009Agrillo Fedora 11 release party 18 giugno 2009
Agrillo Fedora 11 release party 18 giugno 2009
 
The Missing Link
The Missing LinkThe Missing Link
The Missing Link
 

Plus de NaLUG

Grid System
Grid SystemGrid System
Grid SystemNaLUG
 
Digital Divide
Digital DivideDigital Divide
Digital DivideNaLUG
 
Drupal
DrupalDrupal
DrupalNaLUG
 
Open Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracyOpen Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracyNaLUG
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : ArduinoNaLUG
 
Net Neutrality: HoBBIT
Net Neutrality: HoBBITNet Neutrality: HoBBIT
Net Neutrality: HoBBITNaLUG
 
Opensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo TerritorialeOpensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo TerritorialeNaLUG
 
Knomos
Knomos Knomos
Knomos NaLUG
 
App comunicazione comune di Napoli
App comunicazione comune di NapoliApp comunicazione comune di Napoli
App comunicazione comune di NapoliNaLUG
 
BISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmarkBISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmarkNaLUG
 
ClearOS
ClearOSClearOS
ClearOSNaLUG
 
Software libero at ENEA
Software libero at ENEASoftware libero at ENEA
Software libero at ENEANaLUG
 
Una nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fnaUna nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fnaNaLUG
 
ROS@Unina
ROS@Unina ROS@Unina
ROS@Unina NaLUG
 
Python@Unina - Exercises
Python@Unina - ExercisesPython@Unina - Exercises
Python@Unina - ExercisesNaLUG
 
Python@Unina - Theory
Python@Unina - TheoryPython@Unina - Theory
Python@Unina - TheoryNaLUG
 
Linux@Unina
Linux@UninaLinux@Unina
Linux@UninaNaLUG
 
Dispositivi Medici con il software Libero
Dispositivi Medici con il software LiberoDispositivi Medici con il software Libero
Dispositivi Medici con il software LiberoNaLUG
 
OpenSource nel comune di Napoli
OpenSource nel comune di NapoliOpenSource nel comune di Napoli
OpenSource nel comune di NapoliNaLUG
 
MongoDB
MongoDBMongoDB
MongoDBNaLUG
 

Plus de NaLUG (20)

Grid System
Grid SystemGrid System
Grid System
 
Digital Divide
Digital DivideDigital Divide
Digital Divide
 
Drupal
DrupalDrupal
Drupal
 
Open Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracyOpen Source: strumento per l'e-democracy
Open Source: strumento per l'e-democracy
 
OpenHardware : Arduino
OpenHardware : ArduinoOpenHardware : Arduino
OpenHardware : Arduino
 
Net Neutrality: HoBBIT
Net Neutrality: HoBBITNet Neutrality: HoBBIT
Net Neutrality: HoBBIT
 
Opensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo TerritorialeOpensource per un Sistema Informativo Territoriale
Opensource per un Sistema Informativo Territoriale
 
Knomos
Knomos Knomos
Knomos
 
App comunicazione comune di Napoli
App comunicazione comune di NapoliApp comunicazione comune di Napoli
App comunicazione comune di Napoli
 
BISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmarkBISmark : the broadband internet service benchmark
BISmark : the broadband internet service benchmark
 
ClearOS
ClearOSClearOS
ClearOS
 
Software libero at ENEA
Software libero at ENEASoftware libero at ENEA
Software libero at ENEA
 
Una nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fnaUna nuova crittografia frattale: Crypt fna
Una nuova crittografia frattale: Crypt fna
 
ROS@Unina
ROS@Unina ROS@Unina
ROS@Unina
 
Python@Unina - Exercises
Python@Unina - ExercisesPython@Unina - Exercises
Python@Unina - Exercises
 
Python@Unina - Theory
Python@Unina - TheoryPython@Unina - Theory
Python@Unina - Theory
 
Linux@Unina
Linux@UninaLinux@Unina
Linux@Unina
 
Dispositivi Medici con il software Libero
Dispositivi Medici con il software LiberoDispositivi Medici con il software Libero
Dispositivi Medici con il software Libero
 
OpenSource nel comune di Napoli
OpenSource nel comune di NapoliOpenSource nel comune di Napoli
OpenSource nel comune di Napoli
 
MongoDB
MongoDBMongoDB
MongoDB
 

Digital Forensic

  • 1. #LINUX DAY NAPOLI 2011 Digital Forensics metodologie di analisi multipiattaforma A CURA DI MARCO FERRIGNO - Security & system independent researcher - - Developer of the Italian Debian GNU/Linux HOWTOs - gplus.to/marko.ferrigno #all_contacts
  • 2. Digital Forensics - intro PROPEDEUTICITA': NOZIONI BASILARI SULL'UTILIZZO DEI SISTEMI OPERATIVI, NOZIONI BASILARI SUI FILE SYSTEM, [CNMNS] AVER SEGUITO L'INTERVENTO DELLO SCORSO ANNO ^_^ COSA IMPAREREMO DA QUESTO TALK: ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI SU SISTEMI WINDOWS, METODOLOGIE DI ANALISI SU SISTEM MAC OS X, METODOLOGIE DI ANALISI SU GNU/LINUX, SECURITY ALERTS. RIASSUNTO DELLA PUNTATA PRECEDENTE ...
  • 3. Digital forensics - back to future ANALISI FORENSE – COS'E' REALMENTE NORMATIVA RILEVANTE IN AMBITO GIURIDICO LA DATA RETENTION L'AQUISIZIONE DEL DATO SOFTWARE OPEN SOURCE PER L'ACQUISIZIONE - CASI D'USO: DD DDRESCUE DCFLDD L'INTEGRITA' DEL DATO HASHING L' AFF (ADVANCED FORENSICS FORMAT) L'ACQUISIZIONE DI DEVICE IN SISTEMI RAID
  • 4. Digital forensics ­ back to future UTILIZZO DI UN LIVE CD LINUX DAFT, CAINE, HELIX – SPECIFICHE TECNICHE L'ANALISI DEL DATO I FILE CANCELLATI SLEUTH KIT ( AUTOPSY) AUTOPSY – CARATTERISTICHE AUTOPSY – CASO D'USO LA TIMELINE LIMITI E OSTACOLI CRITTOGRAFIA STEGANOGRAFIA DATA HIDING & VIRTUALIZZAZIONE
  • 5. Digital forensics ­ back to future CASI REALI FURTO DI UN PORTATILE INTERCETTAZIONE SU SKYPE SPIONAGGIO INDUSTRIALE CONCLUSIONI: “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “ TORNIAMO A NOI ...
  • 6. Digital Forensics laboratorio di analisi PRIMO LIMITE: € ? CALMA && SANGUE FREDDO: E' POSSIBILE ALLESTIRE UN LABORATORIO ANCHE CON UN INVESTIMENTO MODESTO O ADDIRITTURA CON MATERIALE DI SCARTO. PREREQUISITO NECESSARIO: FANTASIA E SPIRITO DI INIZIATIVA LE SOLUZIONI COMMERCIALI SONO AL DI FUORI DELL'ESSERE DEFINITE FORENSICS IN BOX … BASTI PENSARE A COME IL SISTEMA OPERATIVO DELLA MACCHINA DEBBA ESSERE MANTENUTO IL PIU' STABILE POSSIBILE ”IL SOFTWARE, IN GRAZIA DI DIO E' DETERMINISTICO E NON CAOTICO … CON LA POSSIBILE ESCLUSIONE DI WINDOWS” (cit.)
  • 7. Digital Forensics laboratorio di analisi PAROLE CHIAVE (NON SOLO PER UN FORENSICS EXPERT) RIDONDANZA VELOCITA' LABORATORIO DI ANALISI - SCHEMA DI UTILIZZO A TRE LIVELLI: SISTEMI DI ANALISI APPLICATION SERVER BACKUP SERVER OPPURE ...
  • 8. Digital Forensics laboratorio di analisi OPENAFS - DISTRIBUTED COMPUTING UN PO' DI STORIA: META' ANNI '80: NASCE NEI LABORATORI TRANSARC L'AFS 1994: TRANSARC E' ACQUISITA DA IBM 15 AGOSTO 2000: IBM RILASCIA L'INTERO PRODOTTO SOTTO LICENZA OPEN. CARATTERISTICHE TECNICHE: SISTEMA DI AUTENTICAZIONE BASATO SU KERBEROS / HEIMDAL / MIT LOCATION INDIPENDENT UNIFIED NAMED SPACE REALE L'ALBERO DI RETE E' COMPOSTO DA VOLUMI ATOMICI DATABASE SERVER (LOCALIZZAZIONE, GESTIONE, PERMESSI) CACHE SERVER LATO CLIENT RAPPORTO CLIENT/SERVER DI 114.000:1
  • 9. Digital Forensics laboratorio di analisi OPENAFS - VANTAGGI: PIÙ SERVER COME SE NE FOSSE UNO REPLICAZIONE SICUREZZA (ATTENZIONE ALL'ANTITESI FORENSE) BACKUP NATIVO GESTIONE DA QUALUNQUE NODO (CON ACCOUNT KERBEROS E DIRITTI AMMINISTRATIVI … ovviamente!)
  • 10. Digital Forensics laboratorio di analisi CARATTERISTICHE CONSIGLIATE: MACCHINE DA ANALISI/AQUISIZIONE: CABINET DA SERVER PORTATILI I/O: IL PROBLEMA DEL BUS DI INTERCONNESSIONE TRA PERIFERICHE (PCI) → PCI vs PCI-X vs PCI EXPRESS REPARTO DISCHI EFFICIENTE E DI GRANDE CAPACITA' SISTEMA RAID (GNU/LINUX E IL RAID SOFTWARE vs IL RAID HARDWARE) CONNESSIONI DI RETE: INTERFACCE GIGABIT feat. TRUNK → CASO D'USO: DD + NETCAT MACCHINE DA ANALISI/TEST FISSE: L'IMPATTO GPU FILE/APPLICATION SERVER: root@host:/# modprobe paranoia BACKUP: NATIVO FS, DISCO ESTERNO O NASTRO MA SOPRATTUTTO ...
  • 11. Digital Forensics laboratorio di analisi SISTEMA OPERATIVO: PERCHE' GNU/LINUX (IN MAGGIORANZA): ARCHITETTURA UNIX-LIKE AMPIO SUPPORTO DI FILE SYSTEM KERNEL MONOLITICO MODULARE AMPIA POSSIBILITA' DI PERSONALIZZAZIONE OTTIMI TOOLS DI CORREDO COSTI DI LICENZA CONTENUTI O INESISTENTI SOFTWARE OPEN SOURCE vs CLOSED SOURCE: ...
  • 12. Digital Forensics metodologie di analisi NON ESISTE UNA METODOLOGIA GENERALE DI INDAGINE FORENSE: IL CAMPO E' PIONERISTICO GIURISTI vs INFORMATICI ACCADEMICI vs AUTODIDATTI CAMPO D'AZIONE TROPPO VASTO: IL CONCETTO DI SQUADRA IL TRATTAMENTO DELLA PROVA: RIPETIBILITA' DEGLI ACCERTAMENTI E RIDONDANZA DELLA PROVA DOCUMENTARE OGNI AZIONE FATTA SU DI ESSA METTERE LA CONTROPARTE IN CONDIZIONE DI REPLICARE QUANTO FATTO
  • 13. Digital Forensics metodologie di analisi IL METODO SCIENTIFICO DI GALILEO GALILEI: OSSERVARE E DESCRIVERE UN DATO FENOMENO FORMULARE UN'IPOTESI CHE LO POSSA SPIEGARE PREVEDERE UNA O PIÙ CONSEGUENZE DIPENDENTI DA QUESTA IPOTESI VERIFICARE IN MODO SPERIMENTALE LE CONSEGUENZE CONFERMARE O CONFUTARE L'IPOTESI INIZIALE TRADOTTO PER UN COMPUTER FORENSICS EXPERT: CERCARE UN'EVIDENZA DIRETTA CERCARE, IN SECONDA ANALISI, UN'EVIDENZA DA RICERCA PIÙ ESTESA VERIFICARE LA PRESENZA DI PROGRAMMI P2P EFFETTUARE UN'ANALISI DEI FILE CANCELLATI VERIFICA DEI SUPPORTI COLLEGATI ESAMINARE I FILE DI LOG/TEMP DI UN PROGRAMMA DI MASTERIZZAZIONE CONTENUTI STEGANOGRAFATI
  • 14. Digital Forensics metodologie di analisi OTTIMIZZARE I TEMPI: PENSARE IN TERMINI DI 24H DEMANDARE LE OPERAZIONI PIU' LUNGHE NEI WEEKEND MINIMIZZARE I TRASFERIMENTI PREDILIGERE TOOL A LINEA DI COMANDO USARE SISTEMI DI CONTROLLO REMOTO NON ESSERE LEGATI A UNO SPECIFICO AMBIENTE: L'ADATTABILITA' → ”IL CASO ENCASE” ”IL COMPUTER FORENSICS EXPERT DEVE VEDERE OGNI SOFTWARE COME UN POSSIBILE STRUMENTO PER RIUSCIRE A TERMINARE IL PROPRIO LAVORO E NON COME UN AMBIENTE INDISPENSABILE IN CUI OPERARE” (cit.)
  • 15. Digital Forensics metodologie di analisi SVILUPPARE UN SOFTWARE SECONDO NECESSITA': USARE LINGUAGGI CHE SIANO DISPONIBILI PER PIU' PIATTAFORME POSSIBILI → OK: PERL, PYTHON, RUBY ... → KO: VBS SE SI PREFERISCE SVILUPPARE IN C/C++, LO SI FACCIA CON L'APPOGGIO DI FRAMEWORK PER LA PORTABILITA' GARANTIRE L'INALTERABILITA' DEI RISULTATI: ALBERATURA DEI RISULTATI CALCOLO RICORSIVO DEL VALORE DI HASH DI UN'ALBERATURA DI FILE md5deep -r PROVA/ > hash-files-md5.txt sha1deep -r PROVA/ > hash-files-sha1.txt USO DELLA FIRMA DIGITALE
  • 16. Digital Forensics metodologie di analisi ”POCHE COSE SONO PIÙ DANNOSE DELLA SUPERBIA UMANA” (INVOCANDO L'ARTICOLO 360 C.P.P.) BISOGNA TENER SEMPRE PRESENTE SIA I PROPRI LIMITI SIA QUELLI DELLA TECNOLOGIA (E DELLE PERSONE) CON LA QUALE(I) SI HA A CHE FARE … CASI COMICI, LETTERATURA FORENSE SPICCIOLA: UN MAGISTRATO HA PRETESO IL SEQUESTRO DI UNA SUN25000 … CARABINIERI CHE DI UN COMPUTER SEQUESTRANO SOLO IL MONITOR … -_-'' UN AVVOCATO CHE VOLEVA UNA COPIA CONFORME DI HOTMAIL.COM GENTE DI CUI SOPRA CHE PRETENDE LO SPEGNIMENTO DI UN SISTEMA CRITICO ALL'INTERNO DI UN OSPEDALE AI FINI DI UN SEQUESTRO … CASI SERI && REALI: DISCO DANNEGGIATO → UTILIZZO DI DDRESCUE → HASHING NON CONFORME OPERAZIONE NON RIPETIBILE: DUMP DELLA RAM ACQUISIZIONE DI UN SISTEMA CHE NON PUÒ ESSERE SPENTO
  • 17. Analisi di un sistema Windows ”VIRUS, LIBRERIE DI SISTEMA CHE SI SOVRASCRIVONO SOTTO L'INFLUENZA DI INFLUSSI ASTRALI … SE C'È UN MOTIVO PLAUSIBILE PER IL QUALE QUASI UN MILIARDO DI PERSONE STANNO LAVORANDO CON QUESTO SISTEMA A ME SFUGGE. IO CON UN COMPUTER CI DEBBO LAVORARE NON FARGLI DA BALIA ...” VANTAGGI: È BEN DOCUMENTATO DIFFUSISSIMO BEN SUPPORTATO SVANTAGGI: LOG-GA POCHISSIMO INFORMAZIONI VITALI IN FORMATO BINARIO PROFILAZIONE VIRUS &CO
  • 18. Analisi di un sistema Windows INIZIO DELL'ANALISI: IL PARTIZIONAMENTO MBR - LDM - GPT GPT/LDM IL FILE DI SWAP: pagefile.sys DUMP DELLA RAM (IN CASO DI SOSPENSIONE): hyberfil.sys REGISTRY: WINDOWS 95/98/98SE: User.dat, System.dat (GLI UTENTI NON LOGGATI SONO IN ..WINDOWSPROFILENOMEUTENTE) WINDOWS ME: Classes.dat NT_FAMILY (NT/2000/2003/XP/VISTA/2008/SEV7N): … WINDOWSSYSTEM32CONFIG → Software, System, SAM, Security, Default ...DOCUMENTS AND SETTINGSNOMEUTENTENTuser.dat → H_Key_Current_User THUMBS.DB: CI PENSA VINETTO
  • 19. Analisi di un sistema Windows CACHING DELLE PASSWORD: DOGMA N°1 DELL'ANALISTA FORENSE: ”LE PASSWORD POSTE A PROTEZIONE DI UN SISTEMA NON SONO UN OSTACOLO.” POSSEDENDO I DIRITTI DI AMMINISTRATORE SULLA MACCHINA DI ANALISI, QUESTI SARANNO IMPLICITAMENTE TRASFERITI NEL FILE SYSTEM DELLA MACCHINA ANALIZZATA. DAI TRISTEMENTE FAMOSI FILE *.pwl … … ALL'ASSENZA OBBLIGATA DI UN DOMAIN CONTROLLER. PROGRAMMI UTILI: CAIN & ABEL ROCKXP PASSWORD REMINDER … AH DIMENTICAVO, SIAMO AL GNU/LINUX DAY PASSWORD UNMASK → POSSIEDE TUTTE LE FUNZIONI DEI SUOI PROGRAMMI CONCORRENTI CON IN PIÙ: KEY-LOGGER SPECIFICO PER EMAIL E FTP CLIENT È DISPONIBILI IL SUO CODICE SORGENTE
  • 20. Analisi di un sistema Windows WINDOWS LIVECD DUE PROGETTI OPEN SOURCE: BART PE UBCD4WIN PER OVVIE RAGIONI DI LICENZA ENTRAMBI I PROGETTI NON POSSONO CONTENERE IL SISTEMA OPERATIVO. I PACCHETTI VANNO LANCIATI E PREPARANO L'*.ISO DA MASTERIZZARE COMPLETA DI TUTTO IL NECESSARIO ENTRAMBI I PROGETTI SI BASANO SU UNA STRUTTURA A PLUG-IN CHE PUÒ ESSERE ESPANSA A PIACERE AGGIUNGENDO DRIVER E ULTERIORI PROGRAMMI PER LE SOLE FORZE DELL'ORDINE, MICROSOFT METTE A DISPOSIZIONE UN LIVECD DI PROPRIA CREAZIONE: WINFE LA COMUNITÀ OPEN SOURCE NON È RIMASTA A GUARDARE: È NATO WINFERNO
  • 21. Analisi di un sistema Windows DATA HIDING: SEBBENE IL SISTEMA NON ABBIA UN'INTERFACCIA CHE PERMETTA ALL'UTENTE DI LAVORARE A BASSO LIVELLO, IL FILE SYSTEM NTFS OFFRE MOLTI SPUNTI A CHI VOLESSE NASCONDERE DATI: ALTERNATIVE DATA STREAM → NASCOSTI NEL MASTER FILE TABLE BADBLOCK ($Badclus) → MARCARE COME ”BAD” SETTORI DEL DISCO SPARSE ATTRIBUTE → IDEM COME SOPRA, MA RIFERITO AI SETTORI BOOT SECTOR → SU 16 SETTORI ALLOCATI PER LA PARTIZIONE DI AVVIO, NTFS NE USA MENO DI UNO
  • 22. Analisi di un sistema Mac OS X ”DESIGN MINIMALISTA, CASE IN ALLUMINIO, MELA ILLUMINATA, SISTEMA OPERATIVO UNIX-BASED … IL SIGNORE SÌ CHE SE NE INTENDE … FORSE!” PER UN ANALISTA FORENSE CHE NON ABBIA UN'ESPERIENZA SPECIFICA SU QUESTA PIATTAFORMA, MAC RISULTA UN OSSO DURO ASSIOMA FONDAMENTALE DELL'INFORMATICA: ”SE È UNIX E VUOI UNA CONFIGURAZIONE, VAI IN /etc” TRADOTTO IN APPLE' LANGUAGE: NETINFO ATTENZIONE ALLA CARTELLA machines (→ hosts) E AL RAMO /users (→ passwd) DA NETINFO A OPENDIRECTORY (>10.5) LE INFORMAZIONI SUGLI UTENTI SONO QUI: /var/db/netinfo/local.nidb.migrated E SONO CONVERTITE IN FORMATO BINARIO → MacKrack OPPURE ...
  • 23. Analisi di un sistema Mac OS X PER ESTRARRE LE PASSWORD DA UN DATABASE NETINFO DI UN MAC OS X 10.2 nidump passwd … DI UN MAC OS X 10.3 E 10.4 Cercare il file con il nome corrispondente all'ID utente nella directory: /var/db/shadow/hash AVRÀ IL SEGUENTE FORMATO: D47F3AF827A48F7DFA4F2C1F12D68CD608460EB13C5CA0C4CA9516712F7FED950 1424F955C11F92EFEF0B79D7FA3FB6BE56A9F99 … DI UN MAC OS X >= 10.5 dscl (per estrarre gli UID dei singoli account) AVRÀ UN FORMATO INSCRIVIBILE NEL POCO SPAZIO CHE RESTA IN QUESTA SLIDE, QUINDI VE LO SPIEGO COSÌ: LA PASSWORD STANDARD È SALVATA DAL 169° CARATTERE ED È LUNGA 48 CARATTERI, È IN FORMATO SHA-1 ED È CODIFICATA CON UN SALTO DI 4 BYTE POSTO IN TESTA
  • 24. Analisi di un sistema Mac OS X PRIVACY & SECURITY: MAC OS X UTILIZZA UN SISTEMA DI CRITTOGRAFIA FORTE (AES-128) ALL'INTERNO DI TUTTO IL SISTEMA OPERATIVO. CIÒ SI TRADUCE IN UN UTILIZZO DI QUEST'ULTIMA IN MANIERA MOLTO PIÙ PERVASIVA DI QUANTO NON CI SI ASPETTEREBBE FILEVAULT: MEDIANTE POCHI PASSAGGI È POSSIBILE RENDERE MOLTE DELLE INFORMAZIONI INACCESSIBILI (ANCHE I FILE DI SWAP) A CHIUNQUE, IVI COMPRESO UN EVENTUALE COMPUTER FORENSICS EXPERT. UN AIUTO PUÒ VENIRE DAGLI sparse.bundle NON CRITTOGRAFATI (… E DA UNA PASSWORD DI LOGIN DEBOLE, OVVIAMENTE!)
  • 25. Analisi di un sistema Mac OS X DATA HIDING: ALL'INTERNO DEI PACCHETTI APPLICAZIONE: L'ALBERATURA È SCRIVIBILE, QUINDI AL SUO INTERNO È POSSIBILE INSERIRE QUALUNQUE TIPO DI FILE (LE DIMENSIONI AUMENTANO DI CONSEGUENZA) INTERVENIRE SUI BAD BLOCK RESOURCE FORK DEI FILE
  • 26. Analisi di un sistema GNU/Linux L'ANALISI: DISPONIAMO DI TONNELLATE DI INFORMAZIONI IN PIÙ RISPETTO AI SISTEMI OPERATIVI VISTI PRECEDENTEMENTE LIBERTÀ ”AMMINISTRATIVA” I LOG: SYSLOG SI BASA SU UN DEMONE CHIAMATO SYSLOGD, ESSO SI INCARICA DI EFFETTUARE IL SERVIZIO DI DATA COLLECTING PER L'INTERO SISTEMA. LE ENTRY SYSLOG SONO GESTITE TRAMITE DUE PARAMETRI: FACILITY E SEVERITY (RFC 3164) DI NORMA I FILE DI LOG SI TROVANO NELLA DIRECTORY /VAR/LOG. IL PIÙ SIGNIFICATIVO TRA QUESTI È SICURAMENTE IL FILE ”MESSAGES” DOVE SONO CONTENUTI LA MAGGIOR PARTE DEGLI EVENTI OCCORSI ALL'INTERNO DELLA MACCHINA (ENTRY RELATIVE ALL'HARDWARE COLLEGATO E SCOLLEGATO, FILE SYSTEM MONTATI E SMONTATI, EVENTI CRITICI …) ATTENZIONE A wtmp → last wtmp
  • 27. Analisi di un sistema GNU/Linux AUTENTICAZIONE: /etc/passwd → ELENCO DEGLI UTENTI /etc/shadow → ELENCO DELLE PASSWORD LE DISTRIBUZIONI GNU/LINUX SI AVVALGONO DI UN SISTEMA DI AUTENTICAZIONE NOTO COME PAM (PLUGGABLE AUTHENTICATION MODULE) MEDIANTE LE PAM UN SISTEMA LINUX PUÒ VARIARE LA MANIERA IN CUI L'UTENTE VIENE AUTENTICATO SENZA CHE LE APPLICAZIONI DEBBANO IN ALCUN MODO ESSERE VARIATE
  • 28. Analisi di un sistema GNU/Linux HOME DIRECTORY: DATI DELL'UTENTE SHELL HISTORY CACHE FILE CON CONFIGURAZIONE VAR: LOG DI SISTEMA SPOOL DI STAMPA MAIL IN TRANSITO TABLESPACE DEGLI RDBM CACHE DI SISTEMA CONFIGURAZIONE DEI VARI TOOL DATABASE DEI PACCHETTI INSTALLATI FILE DI BIND DATABASE DI LDAP DATABASE DI SISTEMA AFS DATABASE DI KERBEROS CONDIVISIONE DATI: NFS, SMB, CIFS, NCP, AFS, OPENAFS, CODA, LUSTRE, APPLE FILE SERVER ...
  • 29. Analisi di un sistema GNU/Linux DATA HIDING: L'UNICA LIMITAZIONE È LA FANTASIA! FILE SYSTEM DENTRO UN FILE SYSTEM UTILIZZO DELLA TRACCIA 0 FILE SYSTEM STEGANOGRAFICO UTILIZZO DI UN SISTEMA RAID
  • 30. Security Alerts IL CASO STUXNET: Stuxnet è il primo worm che spia e riprogramma macchine industriali. Infetta PC dotati di sistema operativo Windows e software WinCC e PCS 7. Il virus si propaga tramite penna USB o tramite rete, e si attiva alle semplice apertura in visione del dispositivo che lo contiene. È stato scoperto nel giugno del 2010 da VirusBlokAda, una società di sicurezza bielorussa. Stuxnet è in grado di riprogrammare il controllore logico e di nascondere le modifiche IL CASO POLITICO E LO SPIONAGGIO INDUSTRIALE DUQU: STUXNET' RETURN: JMINET7.SYS (DUQU) == MRXCLS.SYS (STUXNET)
  • 31. Conclusioni “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “ … Repetita iuvant :)