Embed Size (px)
DESCRIPTION
Citation preview
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Chi sonoChi sono
Davide ‘Rebus’ Gabrini Agente di Polizia Giudiziaria, in
forza alla Polizia delle Comunicazioni Consulente tecnico e Perito forense Docente di sicurezza informatica e
computer forensics per Corsisoftware srl Socio istituzionale IISFA
Come vedete non sono qui in divisa
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Accade spesso, in sede di perquisizione, di rinvenire sistemi accesi
Si è davanti ad una scelta: Spegnerli subito per procedere ad acquisizione e analisi post-mortemEseguire rilievi mentre sono in esecuzione
Entrambe le scelte hanno pro e contro, dipendenti anche da:
Competenza del personale impiegato Strumentazione a disposizione Perdita di dati e loro rilevanza
Analisi Analisi LiveLive vs vs Post-mortemPost-mortem
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Con lo spegnimento, alcuni dati sono definitivamente persi:
memorie volatili stato di rete, sistema, applicazioni ecc.
chat in corso, cronologia di una shell… eventi in corso che non prevedono log
volumi cifrati (BitLocker, FileVault, TrueCrypt, PGDisk, BestCrypt ecc. ecc.)
Per acquisire queste informazioni è indispensabile interagire col sistema, anche se ciò significa perturbarlo
Necessità di interventi Necessità di interventi livelive
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Se il sistema è in esecuzione, qualsiasi azione lo modificherà
tanto vale intraprendere azioni utili… Se il sistema non è fisicamente rimovibile Se il sistema non può essere spento Se il sistema non può essere acquisito
nella sua interezza Se le informazioni volatili possono essere
rilevanti ai fini dell'indagine Se è in esecuzione una distribuzione live…
Necessità di interventi Necessità di interventi livelive
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Il sistema viene sicuramente perturbato le modifiche sono note? sono documentabili? intaccano significativamente il risultato dell'analisi? ogni modifica distrugge qualcosa
ne vale la pena?
Gli accertamenti svolti su sistemi accesi non saranno ripetibili
InvasivitàInvasività
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
L'intervento dell'utente deve essere ridotto al minimo Ogni azione deve essere indispensabile e meno invasiva
possibile Le modifiche ai dati memorizzati staticamente devono essere
ridotte all'inevitabile Le acquisizioni hanno priorità secondo l'ordine di volatilità Ogni azione intrapresa deve essere scrupolosamente
verbalizzata, con gli opportuni riferimenti temporali Gli strumenti utilizzati devono essere fidati, il più possibile
indipendenti dal sistema e impiegare il minimo delle risorse; non devono produrre alterazioni né ai dati né ai metadati
I dati estratti vanno sottoposti ad hash e duplicati prima di procedere all'analisi
I dati che non sono volatili devono preferibilmente essere acquisiti secondo metodologia tradizionale
Live forensics best practicesLive forensics best practices
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
E’ necessario comprendere le azioni che si stanno per compiere e le loro conseguenze
Richiedere se necessario l’intervento di personale specializzato
E’ consigliabile attenersi agli obiettivi dell’indagine, evitando divagazioni
Quando si può scegliere tra acquisire e analizzare, prima si acquisisce, poi si analizza, non il contrario! La live forensics non dovrebbe sostituirsi all'analisi post-mortem, ma esserne complementare
Live forensics best practicesLive forensics best practices
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Rootkit user space (ring 3) kernel space (ring 0) hardware hypervisors (ring -1) SMM: System Management Mode (ring -2)
E' arduo riuscire a rilevarli Possono rilevare l'azione dei tool forensi Possono alterare i risultati di un tool
forense, p.e. impedendo l'acquisizione di un'evidence
Rendono necessaria l'analisi post-mortem
Nemici delle live forensicsNemici delle live forensics
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Per eseguire rilievi in maniera rapida e precisa, è possibile avvalersi di specifici tool:
WFT: Windows Forensic Toolchest
FRU: First Responder Utility
IRCR2: Incident Response Collection Report
COFEE: Computer Online Forensic Evidence Extractor MIR-ROR, RAPIER, Live Response, Drive Prophet…
Opportunamente configurati ed impiegati, possono coprire le esigenze di e-discovery, incident response, triage e forensics.
Strumenti automatizzatiStrumenti automatizzati
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Il termine cloud computing indica un insieme di risorse hardware e software distribuite e remotamente accessibili e usabili
Il cloud computing è indicato da molti analisti come “the next big thing”
Non si basa su nuove tecnologie, ma su un nuovo paradigma
Cloud ComputingCloud Computing
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
La tendenza è quella di rendere le risorse ubiqueGli usi sono molteplici:
E-mail Database Storage on-line Project Management Snail Mail Voicemail e molto altro…
Tutte cose che esistono da tempo, ma per cui sta cambiando rapidamente l’offerta da parte degli ISP
Cloud ComputingCloud Computing
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Storage e altri serviziSkyDrive, Gdrive, Amazon S3…PayPal, Google Maps, Flickr, Youtube…
Applicazioni (SaaS: Software as a Service)Webmail, Google Docs, Windows Live, Photoshop, Meebo, Spoon…
Piattaforme (PaaS: Platform as a Service)Windows Azure, Facebook, Amazon Web Services, ajaxWindows, GlideOS…eyeOS, gOS, Chrome OS, JoliCloud…
Infrastrutture (IaaS: Infrastructure as a Service)Amazon EC2, GoGrid, ElasticHost…
Esempi di servizi in CloudEsempi di servizi in Cloud
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
L'interesse commerciale delle aziende è condiviso anche dalla criminalità
Il cloud computing può essere impiegato, più o meno intenzionalmente, come strategia di anti-forensics
Può permettere di defilarsi e di confondere, complicare, ostacolare, ritardare e persino bloccare le indagini
Cloud ComputingCloud Computing
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Cloud computing e cybercrimeCloud computing e cybercrime
D’altro canto, una botnet non è forse una grande cloud clandestina?
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Le risorse usate per crimini informatici possono essere allocate remotamente, anche al di fuori dei confini nazionali
Non solo lo storage, ma anche le risorse computazionali!
Interi sistemi possono essere allocati dinamicamente, utilizzati e deallocati
Le possibilità di analisi vengono così drasticamente ridotte
Cloud ComputingCloud Computing
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
L'approccio tradizionale che prevedeperquisizione-sequestro-analisi è vanificato
Già l'identificazione potrebbe essere problematica: cosa si trova dove?
Le risorse sono probabilmente distribuite su diversi sistemi, di diversi provider, in diversi paesi…
limiti giurisdizionaliscarsa armonizzazione delle norme in materiamancanza di accordi internazionaliscarsa collaborazione delle autorità localiritardi burocraticiproblemi di data-retention
Cloud Computing e forensicsCloud Computing e forensics
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Informazioni di interesse investigativo possono essere ricercate:
Lato server: acquisizione presso i provider di dati giacenti, log, dati di registrazione…
Lato client: artefatti dei browser e di altre eventuali applicazioni client
In transito: intercettazione delle comunicazioni tra utente e cloud (sempre che non siano cifrate)
Cloud computing e acquisizioniCloud computing e acquisizioni
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Anche soluzioni per l'analisi forense possono venire dalle nuvole
Disporre di una workstation di analisi virtualizzata nella stessa cloud potrebbe rivelarsi vantaggioso
Al momento del bisogno, si potrebbero allocare "elasticamente" in cloud le risorse necessarie all'analisi
E' una strategia utile per le aziende, ma difficilmente proponibile per le FF.OO.,per ovvi problemi di riservatezza
Cloud Computing e forensicsCloud Computing e forensics
Chi sono
Live Forensics
Condizioni
Best Practices
Rootkit
Tools
Cloud Computing
Cos’è
Com’è
Chi c’è
Cybercrime
Indagini
Contatti
Davide GabriniForensics Jedi
IISFA Italian ChapterI sequestri nell’età dell’informatica: dal mouse pad al cloud computing
Milano, 06.02.2010
Davide Rebus Gabrinie-mail:[email protected]@poliziadistato.it
GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.ascwww.tipiloschi.net/davidegabrini.ascKeyID: 0x176560F7
Instant Messaging:MSN [email protected] 115159498Yahoo! therebusSkype therebus
Queste e altre simili faccende su http://www.tipiloschi.net
ContattiContatti
