5. Quali reati?
pedopornografia
terrorismo
phishing
frodi
...altre tipologie di reato
diffamazioni, violazione della sfera personale,
spam, defacing, intrusioni, malware...
Gianni Amato http://www.cfitaly.net 5
6. Iter
Individuare e valutare le cause;
Analizzare e comprendere le
dinamiche;
Documentare e fornire gli indizi;
Gianni Amato http://www.cfitaly.net 6
7. Phishing: tutto parte da una
(fake) email (?)
Social Engineering
..lo studio del comportamento individuale di
una persona al fine di carpire informazioni.
Gianni Amato http://www.cfitaly.net 7
8. Come recuperano gli
indirizzi email?
Generati casualmente
Acquistati
Bot a caccia di chiocciole
Gianni Amato http://www.cfitaly.net 8
9. Vero o falso?
?
Oggetto: Eseguiamo la manutenzione delle nostre misure di sicurezza
Da: quot;Poste italianequot; <Admin@bancopostaonline.poste.it>
Rispondi: quot;Poste italianequot; <Admin@bancopostaonline.poste.it>
Data: 29/05/2008 18:26
A: guelfoweb@gmail.com
Partiamo dagli headers
Percorso (MTA) seguito dall'email per raggiungerci (Recived:)
disposto in ordine inverso
Data, ora, protocollo, indirizzo ip
Gianni Amato http://www.cfitaly.net 9
10. DeliveredTo: guelfoweb@gmail.com
Received: by 10.142.162.2 with SMTP id k2cs28985wfe;
Thu, 29 May 2008 09:26:09 0700 (PDT)
Received: by 10.86.54.3 with SMTP id c3mr4230fga.55.1212078368105;
H
Thu, 29 May 2008 09:26:08 0700 (PDT)
e
ReturnPath: <Admin@bancopostaonline.poste.it>
a
Received: from smtp21.orange.fr (smtp21.orange.fr [80.12.242.48])
d
by mx.google.com with ESMTP id l12si757120fgb.8.2008.05.29.09.26.04;
e
Thu, 29 May 2008 09:26:08 0700 (PDT)
r
ReceivedSPF: neutral (google.com: 80.12.242.48 is neither permitted nor denied by
best guess record for domain of Admin@bancopostaonline.poste.it) client
ip=80.12.242.48;
AuthenticationResults: mx.google.com; spf=neutral (google.com: 80.12.242.48 is
neither permitted nor denied by best guess record for domain of
Admin@bancopostaonline.poste.it) smtp.mail=Admin@bancopostaonline.poste.it
Gianni Amato http://www.cfitaly.net 10
11. Received: from User (ks3825.kimsufi.com [213.186.40.121])
by mwinf2114.orange.fr (SMTP Server) with ESMTP id AB8AC1C0011C;
Thu, 29 May 2008 18:26:03 +0200 (CEST)
XMEUUID: 20080529162603702.AB8AC1C0011C@mwinf2114.orange.fr
From: quot;Poste italianequot; <Admin@bancopostaonline.poste.it>
H
e Subject: Eseguiamo la manutenzione delle nostre misure di sicurezza
a Date: Thu, 29 May 2008 18:26:03 +0200
d MIMEVersion: 1.0
e ContentType: text/html;
r charset=quot;Windows1251quot;
ContentTransferEncoding: 7bit
XPriority: 3
XMSMailPriority: Normal
XMailer: Microsoft Outlook Express 6.00.2600.0000
XMimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
MessageId: <20080529162603.AB8AC1C0011C@mwinf2114.orange.fr>
Gianni Amato http://www.cfitaly.net 11
12. Interrogare i server, i motori di
ricerca e le blacklists
whois
traceroute
blacklist
http://mxtoolbox.com/blacklists.aspx
Gianni Amato http://www.cfitaly.net 12
13. Criminali furbi
Fake headers
Proxy anonimi (HTTP Proxy, SOCKS, ecc.)
Relay aperti (SMTP)
Reti WiFi aperte o poco protette
Botnet
Gianni Amato http://www.cfitaly.net 13
15. Analisi di un sito web
Analisi preliminare
Analisi del codice
Indagini temporali
Indagini avanzate
Gianni Amato http://www.cfitaly.net 15
16. Analisi preliminare
Navigare e catalogare il sito
Individuare i collegamenti relativi
es. css e script esterni
Il codice fa la differenza
Gianni Amato http://www.cfitaly.net 16
17. Analisi preliminare
xss
Sfruttare le
vulnerabilità
dei siti web code
Fake
per iniettare injection
codice
arbitrario
<iframe>
Gianni Amato http://www.cfitaly.net 17
19. Analisi del codice
Scaricare il codice sorgente in locale
Browser (Firefox, Opera, Internet Explorer)
Amaya
Wget
wget m k http://www.sitoweb.it
n.b. fare attenzione ai limiti di banda
Gianni Amato http://www.cfitaly.net 19
20. Analisi del codice
Interpretare la struttura del codice
Codice lungo e poco ordinato
Meccanica incomprensibile
soprattutto se il codice è offuscato
Link, tag e formattazioni
Gianni Amato http://www.cfitaly.net 20
21. Analisi del codice
Javascript
Escape e Unescape;
Base64;
1000 modi per inventarsi una funzione di
codifica;
Gianni Amato http://www.cfitaly.net 21
22. Analisi del codice
Ok, ora è tutto chiaro !?
Gianni Amato http://www.cfitaly.net 22
23. Analisi del codice
Commento
<!hppage status”protected”>
Esiste sempre un punto di partenza
document.write(unescape(“%3C%53%43...
Gianni Amato http://www.cfitaly.net 23
25. Analisi del codice
Individuare (se presenti) i metadati
alcuni software utilizzati per lo sviluppo delle
pagine web aggiungono informazioni al codice
Nome del programma utilizzato
Il nome dell'autore autore
Numero di revisioni
Data e ora
Gianni Amato http://www.cfitaly.net 25
26. Analisi del codice
<!DOCTYPE HTML PUBLIC quot;//W3C//DTD HTML 4.0 Transitional//ENquot;>
<HTML>
<HEAD>
<META HTTPEQUIV=quot;CONTENTTYPEquot; CONTENT=quot;text/html; charset=utf8quot;>
<TITLE></TITLE>
<META NAME=quot;GENERATORquot; CONTENT=quot;OpenOffice.org 2.3 (Linux)quot;>
<META NAME=quot;AUTHORquot; CONTENT=quot;guelfowebquot;>
<META NAME=quot;CREATEDquot; CONTENT=quot;20080614;18464300quot;>
<META NAME=quot;CHANGEDBYquot; CONTENT=quot;guelfowebquot;>
<META NAME=quot;CHANGEDquot; CONTENT=quot;20080614;18472200quot;>
<STYLE TYPE=quot;text/cssquot;>
<!
@page { size: 21cm 29.7cm; margin: 2cm }
P { marginbottom: 0.21cm }
>
</STYLE>
</HEAD>
<BODY LANG=quot;itITquot; DIR=quot;LTRquot;>
<P STYLE=quot;marginbottom: 0cmquot;>questa è una pagina web</P>
</BODY>
</HTML>
Gianni Amato http://www.cfitaly.net 26
27. Analisi del codice
Indizi da non trascurare
Errori
Commenti
Istruzioni commentate
Possono fornire importanti informazioni!
Gianni Amato http://www.cfitaly.net 27
28. Indagine temporale
Evoluzione del sito e vecchi contenuti
The Wayback Machine
archive.org
Google Cache
Gianni Amato http://www.cfitaly.net 28
31. Indagine avanzata
Le direttive del file robots.txt
invita gli spiders dei motori di ricerca a non
leggere o non indicizzare determinate pagine
web;
aiuta gli investigatori a individuare i contenuti
che il webmaster ha scelto, per qual si voglia
motivo, di tenere nascosti;
Gianni Amato http://www.cfitaly.net 31
32. Indagine avanzata
Non utilizzare tools aggressivi che
potrebbero compromettere il sistema e
di conseguenza infangare le prove
Gianni Amato http://www.cfitaly.net 32
33. Case history
Associazione Meter – Don Fortunato Di Noto
Dalla pedopornografia al virus passando
per un forum.
Gianni Amato http://www.cfitaly.net 33
34. Case history
Associazione Meter – Don Fortunato Di Noto
All'interno del forum del sito web (xxx),
oggetto di indagine, sono state rilevate
immagini a carattere pornografico e
pedopornografico
Gianni Amato http://www.cfitaly.net 34
35. Case history
Associazione Meter – Don Fortunato Di Noto
Dalle indagini è emerso che
il forum era stato abbandonato da quasi 3 anni;
era stato compromesso sfruttando una
vulnerabilità nota della piattaforma di gestione;
erano state inserite delle keywords per scalare
posizione nei motori di ricerca;
Gianni Amato http://www.cfitaly.net 35
36. Case history
Associazione Meter – Don Fortunato Di Noto
Dalle indagini è emerso che
la presenza di immagini pornografiche e
pedopornografiche era solo un pretesto per
invitare l'utente a cliccarci sopra e scaricare un
trojan che si spacciava per un codec;
il trojan implementava funzionalità di backdoor
che consentiva ai criminali di creare un botnet;
Gianni Amato http://www.cfitaly.net 36
37. Case history
Associazione Meter – Don Fortunato Di Noto
Dalle indagini è emerso che
il trojan risiedeva su un server straniero;
una volta infettata la macchina, il trojan
comunicava con diversi siti su server stranieri;
le date di registrazione dei siti coincidevano o
differivano di qualche giorno;
Gianni Amato http://www.cfitaly.net 37
38. Case history
Associazione Meter – Don Fortunato Di Noto
Tra il 2007 e 2008 sono stati individuati 15
casi analoghi
Principali vittime:
Comuni
Scuole
Università
Gianni Amato http://www.cfitaly.net 38