This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Università degli Studi di TriesteSabato 28 ottobre 2006
Applicazione di metodologie scientifiche di analisi su un sistema informatico con lo scopo di individuare, estrarre, analizzare, conservare e documentare le prove relative a un determinato atto intrapreso sul sistema stesso.
L'analisi forense informatica si occupa di strumenti digitali:● Computer e periferiche● Apparati di rete (switch, router)● Apparati di telefonia (cellulari, centralini)
Università degli Studi di TriesteSabato 28 ottobre 2006
Le tecniche dell'informatica forense sono utili per investigazioni digitali volte a:●Svolgere indagini●Individuare colpevoli di attivita' non autorizzate●Capire se e come e' avvenuta una compromissione●Comprendere come uno strumento digitale e' stato usato (ad esempio a fini illeciti)
ma anche per..●Disaster e incident recovery
Università degli Studi di TriesteSabato 28 ottobre 2006
Obbiettivi diversi richiedono modalita' di analisi diverse:●Indagine - Trovare le prove digitali di un crimine●Ricostruzione - Capire come un sistema e' stato violato●Accertamento - Comprendere come e' avvenuto un disastro (perdita o cancellazione dolosa di dati)●Recovery - Recupero di dati●.. fun :)
Lo sforzo impiegato nell'analisi deve essere proporzionale all'obbiettivo
Università degli Studi di TriesteSabato 28 ottobre 2006
L'analisi deve essere eseguita con metodo scientifico:●Osservanza di procedure chiare e ben definite●Aggiornamento tecnologico costante di mezzi e procedure●Produzione di documentazione su ogni passo svolto●L'analisi deve essere il più possibile ricostruibile in ogni momento
Università degli Studi di TriesteSabato 28 ottobre 2006
1) Individuazione e isolamento delle prove2) Acquisizione dei dati3) Analisi 4) Ricostruzione degli eventi5) Raccolta e conservazione delle fonti di prova
Virtually all professional examiners will agree on some overriding principles, ... that evidence should not be altered, examination results should be accurate, and that examination results are verifiable and repeatable.Mark Pollitt (FBI)
Università degli Studi di TriesteSabato 28 ottobre 2006
Prove digitali (affidabili?) possono essere raccolte ovunque:● Memorie di vario tipo● Log di host e apparati di rete● Traffico dati (accounting, sniffer)
La correlazione di dati proveniente da più fonti ci permette di ricostruire i fatti con ragionevole certezza.
Le strade da percorrere possono essere noiose e inconcludenti se non sono quelle giuste.
Università degli Studi di TriesteSabato 28 ottobre 2006
L'analisi forense presuppone una conoscenza profonda di:●Hardware●Sistemi operativi e loro internals●File systems●Networking●Eventuali applicativi●Qualche linguaggio di programmazione (Perl, C)●Tecniche di reverse engeneering●Legislazione e etica
Università degli Studi di TriesteSabato 28 ottobre 2006
Analisi live: se possibile a macchina ancora accesa e funzionante.● Data e ora di sistema● Connessioni di rete, porte aperte, routing● Programmi in esecuzione e loro comportamento● Utenti correnti● Files, moduli kernel e devices in usoAnalisi post-mortem: a macchina spenta sui dati ancora persistenti.● Versioni e patch installate● Analisi dei files e dei registri di log● Analisi del file system
Università degli Studi di TriesteSabato 28 ottobre 2006
Copiare i dati in modo non lavorare sugli originali:● Copia della memoria RAM● Clonazione degli hard disk● Copia di eventuali altre memorieUtilizzando:● Tool software● Sistemi hardware● Certificazione (md5, sha)
Il problema del tempo: ricostruzione della timeline degli eventi●MAC time (ora di modifica, accesso e creazione) dei file ●Ricerca di MAC times su swap e file cancellati●Ricostruzione delle tempistiche da DNS, log di apparati di rete e server
Tutte le macchine sono sincronizzate con un server NTP, vero?
Università degli Studi di TriesteSabato 28 ottobre 2006
Un file cancellato puo' persistere per mesi o anni.
● Analisi delle immagini dei dischi● Analisi dei file e loro MAC times visibili● Ricerca di file nascosti● Ricerca di file o parti di file cancellate● Ricostruzione della coerenza del file system
Università degli Studi di TriesteSabato 28 ottobre 2006
Un rootkit e' un insieme di software che permette di ottenere in maniera nascosta il controllo di un computer.● Command level rootkit● Library level rootkit● Kernel level rootkit
Controllo di:● Integrità dei files● Librerie e loro funzioni● Modifiche al kernel e a /proc/ e /dev/kmem
Università degli Studi di TriesteSabato 28 ottobre 2006
Analisi del traffico di rete per ricostruire i fatti e comprendere i comportamenti di host compromessi e software maligno:● Log di apparati di rete● Accounting● Monitoraggio di flussi● Sniffer● Intrusion Detection Systems / Honeypots
Avere una buona infrastruttura di monitoraggio di rete permette di avere dati per investigare.
Università degli Studi di TriesteSabato 28 ottobre 2006
Abbiamo trovato un programma ma non sappiamo cosa fa.
Creazione di un ambiete di test e reverse engineering per analisi statica e dinamica:●Debugger e profiler●Disassemblatori●Chroot()●Sandbox●Macchine virtuali
Università degli Studi di TriesteSabato 28 ottobre 2006
Tecniche atte a impedire una probabile futura analisi forense:●Nascondere i dati●Cancellazione sicura: wiping●Uso di tecniche steganografiche e crittografiche●Rootkit benigni●Trappole logiche ●Hardware dedicato ($$$)
Università degli Studi di TriesteSabato 28 ottobre 2006
Riferimenti● Jones, Rose, Real Digital Forensics, Addison-Wesley● Carrier B., File system forensic analysis, Addison-Wesley, 2005● Anastasi J., The new forensics , Wiley, 2003● Casey E, Handbook of Computer Crime Investigation, Academic
Press, 2002● Electronic crime scene investigation: a guide for first responders,
NIJ Guide, Department of Justice, 2001● Farmer D. e W. Venema, Forensics discovery , Addison-Wesley, 2005● Federal Guidelines for Searching and Seizing Computer, US
Department of Justice, 1995● Kruse W. G. e J.G. Heiser, Computer Forensics, Incident Response
Essentials, Addison-Wesley, 2002● Marcella A. J. e R. Greenfield, Cyber Forensics, Auerbach, 2002● http://www.forensicswiki.org● http://www.e-evidence.info
Università degli Studi di TriesteSabato 28 ottobre 2006
Quest'opera è stata rilasciata sotto la licenza Creative Commons Attribuzione-Condividi allo stesso modo 2.5.Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/publicdomain/ o spedisci una lettera a Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.