Introduzione alla computer forensic - acquisizione
-
Upload
claudio-criscione -
Category
Technology
-
view
1.632 -
download
0
description
Transcript of Introduzione alla computer forensic - acquisizione
il percorso il percorso pipiù sicuroù sicuro
presentapresenta
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Sherlock Holmesin
Uno studio in RGB
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Titoli di testa
A fine tale by
Claudio CriscionePrincipal Consultant @ Secure Network
Dottorando @ Politecnico di Milano
[email protected]/paradoxengine
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Uno studio in RGB
Holmes è alle prese con un nuovo caso
ma questa volta, l'anno è il 2010
ed invece di un assassino ha un complotto per uccidere la regina da sventare
Ovviamente, c'è l'informatica di mezzo.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Pensare al processo
Il primo problema che Holmes dovrà affrontare sarà come iniziare ad indagare
Dopo l'esperienza delle cascate di Reichenbach, preferisce l'idea di aiutare la
polizia
Come, dunque, può analizzare questi nuovi “computatori”?
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Scientifico (?)
● Chiediamo a Wikipedia● Per scienza si intende un complesso organico di conoscenze ottenuto
con un processo sistematico di acquisizione delle stesse allo scopo di giungere ad una descrizione precisa della realtà fattuale delle cose e delle leggi in base alle quali avvengono i fenomeni.
● In ambito moderno, gli elementi chiave del metodo scientifico sono l'osservazione sperimentale di un evento, la formulazione di un'ipotesi generale sotto cui questo evento si verifichi, e la possibilità di controllo dell'ipotesi mediante osservazioni successive.
● Per Holmes, il fulcro è la ripetibilità.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Il dato
Datum : fatto
Una descrizione elementare di un ente
Nel mondo digitale, una sequenza di 1 e 0
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Sistemi che manipolano dati
Povero Sherlock!
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Divide et impera: il perimetro
Anche Holmes ha risorse finite
Per cui decide di concentrarsi su quanto ha a disposizione.
Analizzerà i dispositivi più classici e semplici.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Occhi aperti
Per fortuna è Sherlock Holmes
Altrimenti avrebbe potuto non notare quel piccolo Key Logger attaccato alla tastiera...
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Pista calda?
2 modalità per affrontare il problema
Live
L'odore di Moriarty non è lontano
In laboratorio
In questo caso se non altro c'è il violino.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Cosa analizzare?
Holmes e Watson si interrogano
Dove si troverà il dato, su questo computer?
Nei registri, nella cache, nel cavo, nei CD, nei floppy, nei dischi rigidi...
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
L'originale
Perché un esperimento sia ripetibile, abbiamo bisogno che la torre di Pisa e la palla di cannone non
cambino significativamente
E' pur sempre possibile modificare la prova.
Dobbiamo conservarla!
Due differenze fondamentali tra il mondo digitale e quello analogico
Possibilità di copia
Facilità di alterazione
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
E se Watson fosse ipnotizzato?
Sherlock deve poter garantire che l'originale non venga alterato da nessuno
Ha bisogno di garantire che esista una Catena di Custodia documentata e ferrea!
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Dietro le quinte: la copia
Vogliamo realizzare una COPIA ESATTA
Una normale copia non va bene: metadati!
Una copia scientificamente valida ha tutte le proprietà rilevanti dell'originale: è una
copia bit-a-bit
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Acquisizione
In genere si parla di acquisizione indicando il processo di trasferimento dall'Originale alla Copia Forense.
Per sicurezza, spesso si realizza anche una copia di Lavoro oltre a quella Forense.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Software
Numerosi software sono in grado di effettuare la copia
Gratuiti, commerciali, per Windows o Linux
Distribuzioni specializzate
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Un dubbio...
“Eppure Watson”, fa notare Sherlock “se qualcuno modificasse questo programma per favorire Moriarty noi non lo sapremmo: chi sa come funziona questa
diavoleria!”
L'obiezione è assolutamente rilevante
Ed è il motivo per cui dovremmo sempre usare software Open Source.
Non è importante solo il risultato, ma anche il processo con il quale viene raggiunto, vero Sherlock?
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Hardware
Anche il software OpenSource non ci mette al riparo dall'errore umano
Per questo, è una buona idea usare dell'Hardware specifico
Write Blocker
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Demo
Acquisiamo una partizione da un disco rigido esterno mediante Write Blocker
Useremo il software OpenSource dcfldd
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Obiezione, vostro onore!
L'avvocato di Moriarty non si fa attendere
Prima ancora di aver visionato le deduzioni di Holmes, fa notare che “certo, la copia all'inizio era identica” ma “è stata alterata in seguito”
Sherlock è in difficoltà: anche giurare sul suo buon nome non servirà
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Un po' di matematica: l'Hash
Ma fortunatamente Holmes è un buon matematico e sa cosa è una funzione di Hashing
Da un numero di N cifre ad uno di K cifre
Piccole variazioni = grandi cambiamenti
Origine => Hash SI
Hash => Origine NO
Origine 1 => Hash 1; Origine 2 => Hash 2 SI
Origine 1 => Hash 1; Origine 2 => Hash 1 NO*
*Non arbitrariamente, almeno
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Hash e forensic
Disco Originale => Hash Org
Disco Originale => Copia
Copia => Hash Cop
Verifico che
Hash Cop = Hash Org
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Demo
Calcoliamo l'hash del disco e della sua immagine
Modifichiamo l'immagine e ricalcoliamo l'hash
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
E se fin qui era facile...
Il criminale del nuovo millennio non si accontenta di un computer con dischi rigidi: cellulari, router, stampanti...
La parte migliore? Le metodologie cambiano da dispositivo a dispositivo...
Vediamo qualche esempio
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
HD v 2.0
● Un “semplice” disco rigido potrebbe● Avere una partizione nascosta● Essere cifrato● Essere formattato in un formato
“proprietario”● Essere rotto● Avere un connettore o un bus particolare
(Ultra SCSI 3220 semi-wide in RAID 3 e mezzo in notazione polacca inversa)
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Cellulari
● Una brutta bestia!● Sistemi proprietari● Difficoltà hardware● Backdoor, service mode etc...
● E d'altra parte...● Tracce di accesso alla rete● Storage locale
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Router
● Anche le appliance di casa come i router possono contenere informazioni critiche
● Accedere alle informazioni che contengono non è affatto facile
● JTAG
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
A connected world
Ma non basta!
Wireless e mobile computing hanno disgregato i concetti di località del dato
Qualcuno spieghi a Sherlock che quel cellulare può collegarsi a qualsiasi sito Web
per comunicare, disporre...
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Rappresentazione del dato
Sherlock scoprirà presto che questo...
0101011101000100101
Non è più utile di questo
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Analizzare i dati
Per questo, dovrà usare tecniche specifiche per “decifrare” quei numeri e dargli un significato
A volte sarà necessario bypassare il Sistema Operativo (il bibliotecario) che si rifiuta di
interpretare alcuni bit (i libri proibiti)
Altro che “Elementare, Watson”!
Ma questo è argomento della prossima puntata!