Cybercrime: investigazione forense e mitigazione (p.1)

Università di Cagliari Dipartimento di Ingegneria

Elettrica ed Elettronica

Docente:(Massimo(Farina(

Seminario)di)

INFORMATICA*FORENSE*A.A.)2014/2015)

Cybercrime:*inves8gazione*forense**e*mi8gazione*(pt.*1)*

di)Luca)Savoldi)

SEMINARIO DI INFORMATICA FORENSE Cybercrime:*inves8gazione*forense*e*mi8gazione*(pt.*1)*

di Luca Savoldi

Cosa è la computer Forensics? **La Computer Forensics, o informatica forense, è la disciplina che si occupa dell’identificazione, della conservazione, dell’analisi e della documentazione dei reperti informatici al fine di presentare prove digitali valide in procedure civili e penali. **Una)primo)dis;nguo)è)che)l’analisi forense può essere eseguita: -Live -Post Mortem *


di Luca Savoldi

Computer Forensics

Cosa è la Computer Forensics

Disciplina che si occupa: •  dell'identificazione •  dell’acquisizione •  della preservazione •  dello studio e analisi •  della documentazione

delle memorie rilevate nei computer o sistemi informativi in generale, al fine di evidenziare prove per scopi di indagine.


di Luca Savoldi

L’analisi live Viene eseguita su dispositivi accesi. Lo scopo principale è quello di cristallizzare lo stato delle cose dal quale potrebbe emergere una flagranza di reato. (Vedi lo scambio di codici di carte di credito, lo sharing di file pedopornografici, accessi abusi a sistemi informatici ecc.)


di Luca Savoldi

Analisi cosiddetta post-mortem è eseguita su dispositivi spenti. Attraverso la strumentazione hardware e software che l’ufficio ha a disposizione si procede a: ! Acquisizione dei dati ! Analisi dei contenuti ! Ricostruzione degli eventi ! Raccolta e conservazione delle fonti di prova ! Relazione ! Reperto

Analisi cosiddetta post-mortem è eseguita su dispositivi

spenti.

Attraverso la strumentazione hardware e software che

l’ufficio ha a disposizione si procede a:

Acquisizione dei dati Analisi dei contenuti Ricostruzione degli eventi Raccolta e conservazione

delle fonti di prova Relazione Reperto

7

COMPUTER FORENSICSCOMPUTER FORENSICS


di Luca Savoldi

Cosa è la computer Forensics? **L’informatica forense contempla varie discipline: •  Computer Forensics (acquisizione, trattamento ed analisi delle prove) •  Network Forensics (Intercettazione ed analisi del traffico di rete); •  Mobile Forensics •  Esperimenti giudiziali virtuali •  Prove digitali •  Indagini informatiche *


di Luca Savoldi

"Non c'è alcun ramo delle scienze investigative così poco praticato, eppure tanto importante, qual è l'arte d'interpretare le orme" Sherlock Holmes

“Se conosci te stesso e conosci il tuo nemico, non dovrai mai temere la sconfitta” Sun Tzu - “L’arte della guerra”

CORSO DI INFORMATICA FORENSE – Il ruolo del computer di Luca Savoldi

*Regola*n.1*della*computer*forensics:*l’acquisizione*deve*essere*RIPETIBILE**•  Bisogna)�congelare�)il)dato)informa;co)ed)esaminare)

successivamente)una)copia)dell�originale…)

•  Se)viene)commesso)un)errore)non)si)può)cliccare)sul)tasto)�annulla�…))

")Ctrl)Z)Ctrl)Z)Ctrl)Z)")(o)cmd)Z..))


di Luca Savoldi

EVITARE ASSOLUTAMENTE: •  FRETTA: vi farà perdere la concentrazione e �agevolerà� l�errore umano

•  STRUMENTI IMPROVVISATI e non collaudati

•  STRESS •  Collaboratori agitati che non vedono l�ora di accendere quel maledetto PC

•  Di improvvisare, ovvero fare cose di cui non si ha padronanza assoluta


CyberCrime) • Esiste un vero e proprio mercato nero del cybercrime il cui

danno prodotto è stato stimato valere complessivamente tra i trecento e i mille miliardi di dollari (1 trilione!!)

1.000.000.000.000$

• Un impatto sul PIL mondiale che va dallo 0,4 all’1,4% (Fonte Mcafee e CSIS ottobre 2013)


CyberCrime)•  Il valore del CyberCrime ha superato (di molto) il valore del mercato della

droga

•  I motivi sono “semplici”: •  Invisibilità:nessuno vede il crimine che compi; nessuno ti conosce. Se commetto una

rapina ci metto la faccia, rischio la vita; se commetto una frode su internet nessuno mi vede, sono sulla mia poltrona di casa.

•  Intoccabilità: per gli stessi motivi di sopra, ho la sensazione di essere intoccabile in quanto “non sono io”

•  Poco sforzo, tanta resa: una sola azione, migliaia o milioni di truffati. Se commetto una truffa nel mondo reale la faccio “one to one”, su internet a milioni di persone.

•  Geoposizionamento: i criminali tendono a commettere azioni nei paesi/città vicine. Su internet cambio continente senza alzarmi dalla poltrona.

•  Cooperazione world wide: facilità di allestire una (ma anche più di una) banda senza distinzione di luogo e senza conoscersi

•  …


Ruoli del mercato nero •  Un attacco di phishing riuscito comprende di solito una serie di attività

cui partecipano diverse persone, ognuna con un ruolo diverso.

•  Generalmente gli aggressori non dispongono di tutte le competenze necessarie per svolgere tutte queste attività e devono quindi fare affidamento l'uno sull'altro per coprire tutte le aree di specializzazione.

•  Fortunatamente, molti phisher non sembrano avere una preparazione tecnica abbastanza avanzata per sfruttare le vulnerabilità del software e introdursi nei sistemi, né molti di loro sembrano essere in grado di automatizzare le proprie truffe mediante un sofisticato software bot o altri programmi di utilità specializzati.

CyberCrime | L’organizzazione


CyberCrime)|)Black)Market)Ruoli del mercato nero • Alcuni dei diversi ruoli necessari per portare a compimento un attacco:

•  Spammer: responsabile dell'invio di e-mail di phishing al maggior numero di indirizzi di e-mail possibile.

•  Progettisti Web: responsabili della creazione di siti Web nocivi che assomigliano il più possibile a quelli legittimi da emulare.

•  Exploiter: in genere aggressori dilettanti noti come "script kiddies", ragazzini degli script, i quali identificano i computer vittima (chiamati "root") che saranno utilizzati per ospitare un sito di phishing o per trasmettere i messaggi di spamming. In alcuni casi, gli exploiter si introducono direttamente nei database di carte di credito per raccogliere i dati, saltando del tutto la fase di phishing.

•  Cassieri: responsabili del ritiro dei fondi da una carta di credito o da un conto bancario compromessi e della trasformazione in denaro per conto del phisher.

•  Ricettatori: questi membri sono in grado di ricevere merci acquistate con i dati di carte di credito rubati presso un punto di raccolta non rintracciabile.I beni acquistati con informazioni su carte di credito e conti correnti bancari rubate sono considerati "carded" e i truffatori di questo tipo "carder”.


CyberCrime | Gestione del lavoro


CyberCrime)|)Black)Market)Merci sul mercato nero •  Phisher e truffatori commerciano in un'ampissima varietà di articoli. Di

seguito viene presentato un elenco parziale di articoli considerati di valore:

•  numeri di carte di credito: di solito, perché questi abbiano valore devono essere accompagnati anche dai numeri CVV2 (numeri di 3-4 cifre sul retro della carta)

•  accesso root o amministrativo a server: server violati ai quali hanno accesso i truffatori vengono utilizzati per ospitare i siti di phishing e sono normalmente chiamati "root" dai partecipanti a questi forum e chat.

•  elenchi di indirizzi di e-mail: vengono utilizzati per pubblicità spamming o come destinatari di una truffa di phishing.

•  conti di servizi di pagamento on-line, come e-gold. E-gold è popolare tra i truffatori perché il denaro viene inviato immediatamente e non è generalmente rintracciabile.

•  valuta contraffatta: il denaro contraffatto viene stampato e inviato tramite posta ordinaria

•  conti bancari on-line.


di Luca Savoldi

Esempio)di)indagine)forense)per)caso))cyber)crime)con)mi;gazione)

del)danno)

16)


di Luca Savoldi 17)


di Luca Savoldi

Prima)osservazione:)i)tempi)

18)

Invio mail possibile truffa: 10/10/14 h.21.28

Intercettata e primo allert : 11/10/14 h.08.40 con escalation immediato

Segnalazione per indagine: 11/10/14 h.08.56


di Luca Savoldi 19)

L’osservazione della cronologia degli eventi ci permette di trarre due ipotesi: •  Il processo di intercettazione della minaccia escalation

e apertura dell’incidente è stato esemplare ed estremamente celere

•  L’incidente è ancora in corso e forse è ancora possibile limitarne l’accadimento e/o mitigarne le conseguenze.


di Luca Savoldi 20)

Quali sono le priorità per il richiedente? (considerando che “la rapina” è in corso) •  Bloccare l’azione criminale •  Mitigarne gli effetti •  Contenere il danno •  Individuare le responsabilità (o meglio, verificare che non ci sia una

responsabilità propria) •  Individuare il colpevole (o meglio, essere sicuri che non sia nessuno di

interno) •  Documentare il tutto •  Avvisare le forze dell’ordine

Quindi le priorità sono: 1)  velocità! (molta velocità) 2)  Bloccare l’azione (ma questo può portare a dover modificare gli elementi) 3)  Documentare il tutto e fare in modo che possa avere valore legale.


di Luca Savoldi 21)

Riguardiamo le regole della forensic: 1)  L’acquisizione deve essere RIPETIBILE Ma qui per mitigare il rischio molto probabilmente dovremo modificare qualcosa.. Da evitare Assolutamente: • FRETTA Noi abbiamo fretta, terribilmente fretta! •  STRUMENTI IMPROVVISATI e non collaudati Non sappiamo cosa ci aspetta e se troviamo qualcosa di sconosciuto non possiamo permetterci di aspettare di avere uno strumento che non abbiamo; forse dovremmo inventarlo..


di Luca Savoldi 22)

•  STRESS Forse ne avremo un po’ •  Di improvvisare, ovvero fare cose di cui non si ha padronanza assoluta Eppure dobbiamo fare in modo che il nostro operato possa avere valore legale. Se commettiamo un errore possiamo compromettere le prove.


di Luca Savoldi 23)

Partiamo. •  Come prima cosa assegniamo un nome al caso

Caso AZPN4S7U4 •  Durante l’attività saremo di frette e potremmo dover fare più acquisizione live, quindi prepariamoci quello che serve e in particolare prepariamo il repository dove metteremo i dati


di Luca Savoldi 24)

Diario delle attività E’ molto importante documentare tutti i passaggi, anche per noi stessi (ci ricorderemo tutto quello che abbiamo fatto? Lo sapremo documentare) Ci sono 2 possibilità: •  Registrare l’intera sessione: in questo caso possiamo o parlare durante le

attività specificando i passaggi principali, oppure utilizzare un generico file Word

•  Fare screenshot di ogni passaggio o di ogni evidenza: annotare

comunque ogni passaggio.


Una)fase)del)repertamento:)))•  Rilevazione)dello)scarto)orario)dal)bios)del)computer)analizzato:)

)•  )Avere)sempre)un)orologio)preciso)e)sincronizzato)

•  )Accedete)al)bios)solo)dopo)aver)scollegato)le)memorie)di)massa))

)Fare)foto)o,)meglio,)riprendere)con)una)videocamera!)

L’importanza)del)TEMPO)


di Luca Savoldi 26)


di Luca Savoldi 27)

Errori di ortografia, italiano stentato, accenti mancanti, indirizzo mail (mittente) improbabile, dati sociali errati.


di Luca Savoldi 28)

Errori di ortografia, italiano stentato, accenti mancanti, indirizzo mail (mittente) improbabile, dati sociali errati.

http://ridavi.cl/alitalia/alitalia.html


di Luca Savoldi 29)

Cercare tracce della mail sul web •  Ci può dare informazioni utili sul nostro caso •  Ci può far capire quanto sia già diffusa (utenti che ne parlano)


di Luca Savoldi 30)

Per la distribuzione del messaggio artefatto è stato utilizzato anche il servizio “NewsLetter on line” Il portale dovrebbe essere estraneo al caso, in ogni caso alla luce anche di alcune lacune dello stesso (impossibilità di richiedere l’eliminazione del contenuto, italiano stentato, continua apertura di popup con contenuti malevoli e altro) acquisiamo almeno la singola pagina e il whois con i dati dell’intestatario


di Luca Savoldi 31)

Analisi link alla pagina fake: http://ridavi.cl/alitalia/alitalia.html

Cosa è il sito ridavi.cl? •  Ad una prima analisi

sembra il sito di un impresa di costruzioni cileno


di Luca Savoldi 32)


I dati inseriti nel whois combaciano con i dati di contatto contenuti nel sito


di Luca Savoldi 33)


Ulteriori ricerche confermano la veridicità dell’impresa e del sito internet


di Luca Savoldi 34)

Da questa prima parte di analisi possiamo dedurre che la pagina malevola è stata caricata su un portale precedentemente violato dall’attaccante. Il contenuto malevolo è stato caricato in una pagina interna senza modificare la funzionalità del sito, probabilmente per non destare sospetti nei gestori del sito stesso.


di Luca Savoldi 35)

Analisi visiva della pagina

Si ricavano alcuni spunti: •  La lingua è perfetta. •  La grafica riprende

fedelmente la vecchia grafica originale


di Luca Savoldi 36)

Analisi sorgente della pagina

Si nota abbastanza chiaramente che il codice sorgente è quello originale, probabilmente salvato in locale, modificato e caricato su questo server Si nota anche che molti componenti vengono caricati direttamente da un sito originale


di Luca Savoldi 37)

Analisi sorgente della pagina

Identifichiamo una parte sufficientemente particolare della pagina e cerchiamola sul web


di Luca Savoldi 38)

Questa pagina ci sembra di conoscerla. E’ importante?


di Luca Savoldi 39)

Da questa parte di analisi emerge che l’attaccante ha utilizzato una copia di una pagina di login originale in disuso ma ancora attiva su una pagina secondaria del sito. Questa evidenza apre la possibilità ad una possibile mitigazione d’emergenza, eliminando la pagina in oggetto o, meglio, inserire l’avviso di possibile minaccia.


di Luca Savoldi 40)

Modificata: lol.php Originale: Login.aspx

Ora sappiamo che sul server ci sarà anche una pagina lol.php Riusciamo a capire dove finiscono i dati inseriti?

Confrontiamo la pagina modificata con l’originale per identificare gli interventi compiuti e cercare ulteriori tracce

Rileviamo che l’unica modifica è nell’action del form di login:


di Luca Savoldi 41)

Utilizziamo ancora il nostro assistente per ricercare se tracce sul web


di Luca Savoldi 42)

La condizione è la medesima, i file vengono salvati su cars.txt

Pagina html che contiene il form

lol.php

cars.txt


di Luca Savoldi 43)

Le indicazioni per creare una perfetta pagina di phishing per gli account Facebook. Il concetto è lo stesso, salvare in locale la pagine login.php, modificare l’action post con il nostro lol.php che a sua volta salva i dati in un file locale lol.txt. Anche qui sul server violato ci saranno 3 file:

Login.html

lol.php (o hello.php)

lol.txt


di Luca Savoldi 44)

Molto simile, lol.php salva su file locale data.txt


lol.php

data.txt


di Luca Savoldi 45)


lol.php

data.txt

Login.html

lol.php (o hello.php)

lol.txt


lol.php

cars.txt

Abbiamo (almeno) 3 risultati con situazioni comparabili, possiamo ipotizzare che anche nel nostro caso sia utilizzata la stessa logica. Quale sarà quello corretto?


Proviamo)finchè)non)troviamo)il)nome)corre_o)

46)

Con questo dato possiamo attivare un’azione di mitigazione: •  Monitorando e gestendo gli

account inseriti •  Inserendo una grande quantità di

dati fittizi per “annacquare” i dati reali (ma occhio all’ip)


di Luca Savoldi 47)

In un tempo limitato siamo riusciti a ricostruire “la scena del crimine” ed ad acquisire elementi sufficienti per attivare un piano di mitigazione degli effetti del crimine. Ora dobbiamo acquisire la prova digitale.


Acquisizione del sito

48)

In questo caso eseguendo l’acquisizione live del sito può essere complessa: •  Il sito “ospitante” può non essere di interesse e

apportare materiale inutile •  Usando le funzioni di crawler automatico probabilmente

“frizzeremo” il sito originale (perché richiamato nel codice html)

•  Probabilmente non prenderemo la pagina users.txt che invece di serve



49)

Dovremo quindi prelevare unicamente le pagine di interesse: •  Alitalia.html •  users.txt •  index.html



50)

Quale strumento utilizzare? •  FAW (Windows) •  HTTrack (Windows, Linux, OSX, Android) •  SiteSucker •  …


Chiusura

51)

Venerdi h 21.28: Invio di Mail di phishing Sabato h 8.40: Alert per possibile minaccia Sabato h 8.42: Escalation Sabato h 8.46: Apertura Security Incident Sabato h 8.50: Avvio Investigazione forense Sabato h 10.50: Identificazione di tutte le componenti della minaccia Sabato h 11.10: Acquisizione file users e mitigazione dell’attacco. Sabato h 11.30: Acquisizioni finali e chiusura indagine •  FAW (Windows) •  HTTrack (Windows, Linux, OSX, Android) •  SiteSucker •  …


di Luca Savoldi

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o  Tu sei libero: •  di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,

eseguire o recitare l'opera; •  di modificare quest’opera; •  Alle seguenti condizioni:

#  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.

#  Non commerciale. Non puoi usare quest’opera per fini commerciali. #  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per

crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o  In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

o  Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o  Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Licenza)

Cybercrime: investigazione forense e mitigazione (p.1)

Education

Transcript of Cybercrime: investigazione forense e mitigazione (p.1)