La copia forense: modalità operative (pt. 2)

Università di CagliariDipartimento di Ingegneria

Elettrica ed Elettronica

Coordinatore: Massimo Farina

Seminario di

INFORMATICA FORENSEA.A. 2014/2015

La copia forense: modalità operative (pt. 2)

di Alessandro [email protected]

SEMINARIO DI INFORMATICA FORENSE

La copia forense: modalità operative (pt. 2)di Alessandro Bonu

I REPERTI OGGETTO DI ANALISI

In qualunque scena del crimine troviamo dispositivi high-tech.

Tra quest'ultimi, quelli di interesse per la computer forensics sono

quelli in grado, in qualsiasi modo, di memorizzare informazioni.



ESERCITAZIONE - LEZIONE 1

“Una società di ricerca finanziata dal governo ha messo a puntoun nuovo sistema di cifratura che consentirebbe un vantaggioconsistente alla nazione, permettendo comunicazionivirtualmente inviolabili. Ovviamente se anche altre nazioniottengono lo stesso sistema si perde il vantaggio, per cui il livellodi segretezza del progetto è massimo.C’è un problema: il responsabile della sicurezza informatica dellasocietà si è accorto di un accesso insolito ad alcuni file delprogetto, in particolare allo schema elettronico deldispositivo. Con l’aiuto delle forze dell’ordine si è riusciti aprendere con le mani nel sacco il presunto colpevole, ma l’unicairregolarità rilevata è un pendrive USB trovato indosso alsospetto.”



REGOLE DI INGAGGIO

• Il reperto è la pendrive usb;

• La pendrive sospetta viene consegnata al forenser incaricato al quale vengono date le seguenti regole di ingaggio:

1. calcolo dell’hash del device in md5 e sha1;

2. la pendrive non presenta etichette o riferimenti esterni, si richiede pertanto l’estrazione del S.N. (Serial Number) e modello della stessa;

3. analisi e tipologia del/i filesystem;

4. offset iniziale del/i filesystem (potrebbero esserci più partizioni)

5. acquisizione della copia forense;

6. verifica e riscontro della corretta esecuzione della copia;

7. stesure della relazione tecnica;

8. preparazione per la consegna del reperto e della copia.



LINEE GUIDA PER IL FORENSER• Utilizzo della distribuzione live: NBCAINE 4.0

• Per i punti 3 e 4 utilizzare comandi da shell;

• Per il punto 5 e 6 utilizzare GUYMAGER e riscontro con AIR, per scrupolo eseguire anche una copia con dd da riga di comando;

• Tutte le evidenze devono scrupolosamente essere verificate con hash md5 e sha1, in caso di non corrispondenza degli hash ripetere l’operazione fino ad avere esatta corrispondenza;

• Non ci sono regole specifiche per la stesura della relazione: deve descrivere tutte le attività senza che si possa obiettare che la copia risulti differente rispetto al reperto originale, (rimasto intatto come da consegna);

• Una volta terminata la relazione finale, descrivere la preparazione del reperto e del materiale oggetto dell’incarico e pronti per la consegna.

• Tutte le attività possono essere analizzate e descritte teoricamente, il consiglio, per chi potesse, è quello di simulare il tutto praticamente utilizzando una qualsiasi chiavetta usb per simulare il reperto oggetto di indagine, creando una piccola partizione di 1 GB e scrivendoci alcuni file. Una volta definito che quello è il reperto ricordatevi sempre che dev’essere cristallizzato.

http://www.caine-live.net/Downloads/nbcaine4.0.iso



UTILIZZO DELLA DISTRIBUZIONE LIVE DI NBCAINE 4.0• mi collego sul sito di riferimento e scarico la ISO di Nbcaine 4.0


Utilizzo il tool Unetbooting per creare un device di boot con la distro di nbcaine 4.0 (http://unetbootin.sourceforge.net) appena scaricata



http://unetbootin.sourceforge.net



CREAZIONE DEL SUPPORTO/DEVICE LIVE

1. CD live => masterizzazione della ISO

2. USB bootable => tool “Unetbootin”



PREPARAZIONE DEL PC OPERATIVO

• Verifico da BIOS: ordine di avvio dei device e ora corretta



AVVIO DELL’AMBIENTE OPERATIVO• Inserimento del device di boot per l’esecuzione della copia live di

NBCAINE 4.0 come impostato da BIOS

CD

USB



PREPARAZIONE AREA DEDICATA AL CASO

• Cartella principale dedicata al caso:

es. case-kingston

• Sottocartelle organizzate:

acquisizioni

risultati

report

temp

NOTA IMPORTANTE! = backup del lavoro svolto



PENDRIVE SUSPECT = REPERTO ORIGINALE

• Trattare con molta cautela..

• Non presenta riferimenti esterni (modello e serial number)



COLLEGAMENTO DEL REPERTO

• con tutte le cautele del caso collegare il reperto = pendrive usb al pc operativo che esegue la live di nbcaine;

• si apre una shell di comando e si verifica con il comando dmesg se il dispositivo è stato riconosciuto correttamente.



1. CALCOLO DELL’HASH DEL DEVICE

• output a video

md5sum /dev/sdb && sha1 /dev/sdb

• output su file hash-kingston

• md5sum /dev/sdb > risultati/hash-kingston

• sha1 /dev/sdb >> risultati/hash-kingston



2. ACQUISIZIONE DELLE INFO SUL DEVICE

• Per ottenere le info su device usb, eseguire il seguente comando da shell:

cat /proc/scsi/usb-storage/*

cat /proc/scsi/usb-storage/* > risultati/kingston.device



3. VERIFICA DELLA TIPOLOGIA DEL/I FILESYSTEM

• Eseguire il seguente comando da shell: fdisk -l /dev/sdb



4. VERIFICA DEGLI OFFSET**Indica la distanza tra due elementi all'interno di un gruppo di elementi dello stesso tipo. (es.ELEMENTI= A R T S G K E | OFFSET DI K RISPETTO A T = 3)

• eseguire il comando da shell per la verifica delle partizioni: mmls /dev/sdb

offset partizione FAT32 = 0000000063

offset partizione LINUX = 0002088450



VERIFICA PARTIZIONE WINDOWS

• fsstat -f fat -o 0000000063 /dev/sdb



VERIFICA PARTIZIONE LINUX

• fsstat -f ext3 -o 0002088450 /dev/sdb



5. ACQUISIZIONE DELLA COPIA FORENSE: GUYMAGER



COMPARAZIONE DEGLI HASH MD5 E SHA1• Una volta terminata la copia la prima cosa da fare è verificare che gli hash

corrispondano a quelli estratti per il device originale (/dev/sdb)



6. ANALISI DEL FILESYSTEM DELL’IMMAGINE ACQUISITA



COMPARAZIONE DI IMMAGINE E DEVICE CON FDISK



COPIA DELL’IMMAGINE CON GUYMAGER

• importante è anche fare copia della copia sulla quale lavorare e averne sempre una intonsa da dove poter riprendere in caso di problemi, questo evita tutta la procedura di acquisizione e verifica già vista in precedenza



MOUNT DELLA COPIA FORENSE



CLUSTER SIZE

• fsstat -f fat -o 63 kingston.dd



7. RELAZIONE TECNICA

• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici

dell’analisi ma solo ciò che interessa dal punto di vista giuridico;

• Semplificata: colui che legge e valuta l’esito è di principio un fruitore

inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,

bisogna eliminare terminologie non consuete e spiegare a livello

elementare quanto rilevato;

• Asettica: non deve contenere giudizi personali dell’operatore né tanto

meno valutazioni legali sulle informazioni rilevate a meno che tali

considerazioni non siano state espressamente richieste.



CATENA DI CUSTODIA• La catena di custodia è un documento che contiene le informazioni di ciò che è stato fatto

con la prova originale e con le copie forensi realizzate, a partire dall'acquisizione fino ad arrivare al giorno del processo.

• Tipiche informazioni che possono essere contenute inizialmente in questo documento sono:

Numero del caso

Società incaricata dell'investigazione

Investigatore assegnato al caso

Natura e breve descrizione del caso

Investigatore incaricato della duplicazione dei dati

Data e ora di inizio custodia

Luogo in cui il supporto è stato rinvenuto

Produttore del supporto

Modello del supporto

Numero di serie del supporto

• Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, nella catena di custodia, dovrà essere aggiunta un'informazione contenente:

Nome dell'incaricato all'analisi Data e ora di presa in carico del supporto Data e ora di restituzione del supporto



8. CONSEGNA DEL MATERIALE

• predisposizione della catena di custodia;

• preparazione del materiale da consegnare con opprtuni imballaggi e sigilli;

• consegna al committente.



FINE ESERCITAZIONE

sessione domande e risposte

prima di procedere..



CI METTIAMO DALL’ALTRA PARTE

• adesso impersoniamo il soggetto che riceve il materiale e deve trattare la prova:

potrebbe in questo caso trattarsi di un

collega al quale si passa la fase di analisi

potrebbe essere un perito che deve

operare per l’analisi del caso



FRAGILITA’ DEI REPERTI

• Tutti i dispositivi oggetto di interesse (REPERTI) vanno gestiti e controllati con i dovuti accorgimenti del caso.

• Non possono essere gestiti con leggerezza da parte dell'operatore.

• Fragilità della prova: data l'immaterialità della prova contenuta al suo interno, con estrema facilità può essere distrutta od alterata.



DA DOVE SI INIZIA?

• predisposizione della catena di custodia del materiale ricevuto;

• si stabiliscono tempi e risorse;

• si procede alla predisposizione di un ambiente operativo in relazione quella che sarà la strategia da adottare: PROFILO INVESTIGATIVO.



IL DATO• a questo punto si passa alla fase di analisi e ricerca

del dato..

MA QUAL È IL DATO DA RICERCARE?

L'aspetto più importante per un digitalforenser è quello di seguire una

metodologia investigativa standard e ben definita per la soluzione del problema

forense che gli è stato sottoposto.



REGOLE DI INGAGGIO1. Acquisire il reperto

file immagine

2. Eseguire l’analisi per l’acquisizione delle seguenti evidenze:

informazioni su utilizzo di tool di acquisizione di informazioni dalla rete;

l’utilizzo della mail con allegati;

consultazione di alcuni siti di hacking o relativi ad attività illecite;

utilizzo di social network.

• Relazione tecnica e consegna del materiale elaborato.



EVIDENZE DA RICERCARE

• invio mail a utente [email protected] con allegato;

• consultazione dei seguente siti web:

hackday.com

blackhat.com

jumptuck.com

informazioni in merito ad attacchi DDoS

• eventuale account e utilizzo di facebook

• utilizzo di programmi di sniff in rete

mailto:[email protected]



METODOLOGIA INVESTIGATIVA

• Profilo investigativo: determinazione dei passi

operativi necessari allo svolgimento del caso,

tenendo in considerazione il tempo necessario per

ciascuno;

• Determinazione delle risorse necessarie (hardware,

software open source e professionali);

• Determinazione dei rischi e relativa predisposizione

di una catena di custodia;

• Analisi e recupero della prova digitale;

• Stesura del report finale (relazione tecnica).



LA PROVA INFORMATICA / REPERTO

OFF-LINE ON-LINE



OFF-LINE / POST MORTEM

• ..rimozione dei dispositivi di memoria

predisposizione della catena di custodia

acquisizione delle prove (file immagine)

• FILE IMMAGINE

acquisizione delle info sul file

mount dell’immagine

analisi e ricerca

documentazione di tutte le attività operative

recupero della prova

predisposizione della catena di custodia



ON-LINE / LIVE

• ACQUISIZIONE LIVE analisi e valutazione del rischio, i tempi sono molto

importanti in questo caso;

analisi irripetibile, presenza delle parti e verbalizzazione del tutto;

acquisizione dell’immagine del desktop;

dump della memoria volatile (in questo caso si manipola il reperto che perde la sua caratteristica della cristallizzazione);

spegnimento del sistema staccando il cavo di alimentazione;

rimozione di tutti i dispositivi di memoria..



ACQUISIZIONE DEL DESKTOP CRISTALLIZZATO



ACQUISIZIONE DEL DESKTOP



PRIMI ELEMENTI DA VALUTARE

1. Il soggetto è colto in flagrante

elementi richiesti nelle regole di ingaggio (incarico),

sono già evidenti:

1. il sito blackhat.com

2. uno sniffer di rete operativo e visibile sul desktop

2. Profilo del soggetto

si evidenzia una buona dose di ingenuità

un apparente ma effettivo disordine che fa pensare che

non curi troppo la gestione e l’organizzazione dei dati

presenti all’interno del suo sistema/computer



DUMP DELLA MEMORIA VOLATIVE / RAM

• non tocchiamo altro e procediamo con il dump: ma cosa succede?

da questo momento in poi la prova diventa irripetibile in quanto per procedere con il dump occorre eseguire in memoria un programma dedicato;

conseguente variazione dei registri di memoria e perdita della cristallizzazione originale;

bugia.. una variante è stata già eseguita..



FTKIMAGER

• Viene utilizzato per creare immagini forensi di:

Hard drive

CD e DVD

RAM

• Mostrare i contenuti di:

dischi locali

periferiche locali con storage

• Mostra i contenuti dei dump effettuati



DUMP DELLA RAM



FTK IMAGER: RESTITUISCE UN LOG DI ATTIVITÀ• Created By AccessData® FTK® Imager 3.1.2.0

Case Information: xxxxxxxxxxx

Case Number: xxxxxxxxxxx

Evidence Number: xxxxxxxxxxx

Unique Description: xxxxxxxxxxx

Examiner: xxxxxxxxxxx

• Notes:

Information for xxxxxxxxxxxxxxxx

• [Computed Hashes]

MD5 checksum: c8c931761211e246af9fd601a6d0b258

SHA1 checksum: 9cf522a3ac6e3937afc8e9c1f75d3e720836292f

• Image information:

Acquisition started: Fri Jan 23 16:33:07 2015

Acquisition finished: Fri Jan 23 16:35:23 2015



APERTURA DEL FILE IMMAGINE ACQUISITO



ANALISI DEL DUMP



MOLTI DATI UTILI PRESENTI IN MEMORIA



ANALISI DEI PROCESSI CON VM MAP

• Tool di analisi dei processi in esecuzione sviluppato da Mark Russinovic



WIN-UFO (ULTIMATE FORENSICS OUTFLOW)• win-ufo.org

• Informazioni preliminari sul caso e avvio..

http://win-ufo.org/



I TOOLS DI WIN-UFO



RICERCA DATI SU FACEBOOK

• evidenza di un accesso su facebook

• username e password memorizzati

• EVIDENZA PRESENTE!



RICERCA SOFTWARE DI SNIFFING

• Evidenza presente anche in questo caso:

Nirsoft SmartSniff



RICERCA DATI DI NAVIGAZIONE



TIMELINE ACTIVITY



OFF-LINETerminata la fase di acquisizione delle evidenze live e irripetibili si procede:

• si spegne il sistema/computer staccando direttamente l’alimentazione, in questo modo si evita che un corretto shutdown vada a chiudere o sovrascrivere informazioni utili.

• Se per es. fosse stato programmata la cancellazione del pagefile.sys piuttosto che la cronologia dei browser o dei file recenti alla chiusura delle applicazioni, questo verrebbe evitato.

• Una volta che il sistema è spento, si estraggono tutti i supporti di memoria, si predispone la catena di custodia e si procede con la copia forense dei reperti per l’acquisizione del file immagine che andremo ad analizzare.



LA COPIA DELLA COPIA

• Terminata la copia forense con le procedure viste nella parte 1 è necessario:

fare sempre una o più copia dell’immagine acquisita e verificarne l'integrità;

in particolar modo quando si lavora su file image e poter sempre fare un roll-back, evitando tutto il procedimento di riacquisizione.



L’ANALISI

A questo punto si può procedere con la fase di analisi:

su file immagine: montato in ro come se fosse un device:

mount -o ro,nodev,noexec,noatime,offset=xxxxxx,loop/<path>/file.img /mnt/<dir-mount>

su device clone: il risultato è identico, ma con un device clone è anche possibile riesumare il sistema originale in versione live. Occorre notare che in questo caso i risultati ottenuti possono essere utilizzati dal forenser solo per incrociare e verificare dati ottenuti con l’analisi del file immagine cristallizzato.

E’ ovvio che eseguendo l’analisi in questa modalità la prova originale risulta alterata e pertanto inutilizzabile.



OPZIONI DI MOUNT

• ro: forza il montaggio in sola lettura;

• nodev: non interpreta i file di dispositivo presenti sul filesystem;

• noexec non permette l’esecuzione dei file eseguibili presenti sul filesystem;

• noatime: non aggiorna la data di accesso ai singoli file o directory;

• loop: specifica al kernel che il primo parametro non è un device ma un file immagine

• offset: il primo blocco del file system che si intende montare



ANALISI DELLA PROVA OFF-LINE



AUTOPSY• Autopsy Forensic Browser fornisce l'interfaccia grafica e l'ambiente di

collegamento dei vari programmi, permettendo di ottenere risultati omogenei ed una gestione strutturata del caso.



AUTOPSY: CARATTERISTICHE

• E' bene chiarire che non si tratta di un tool “tuttofare”, non ha funzionalità di copia e duplicazione disco:

non permette la maggior parte delle analisi funzionali a livello applicativo (es. analisi registry windows, analisi mail, .dat files);

non è adatto alla network forensics;

svolge al meglio le funzioni per le quali è progettato: in particolare l'analisi a livello filesystem.



I DATI DEL CASO



MOUNT DEL FILE IMMAGINE



RICERCA DI HACKDAY

• 10 riferimenti trovati

Hex o ASCII



RICERCA DI JUMPTUCK.COM



RICERCA DI MAIL INVIATE



RICERCA DATI SU FACEBOOK



Grazie per l’attenzione

[email protected]

it.linkedin.com/in/abonu

@abonu

mailto:[email protected]

http://it.linkedin.com/in/abonu

https://twitter.com/?lang=it



71

Licenza

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi

ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modoin cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne

un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente aquesta.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini dellalicenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

La copia forense: modalità operative (pt. 2)

Education

Transcript of La copia forense: modalità operative (pt. 2)