Gli autori. 1 Manuale DEFT 7

Transcript

1

2 1 Manuale DEFT 7 Gli autori Stefano youngster Fratepietro Si laurea nel 2006 in Information Technology and Management (Scienze di Internet) presso l Università degli Studi di Bologna con tesi di laurea in Informatica Forense dal titolo Uno studio del caso virus Vierika ; certificato Offensive Security OSCP e ISECOM OPST, attualmente è un security specialist presso l ufficio IT-security del CSE (Consorzio Servizi Bancari) ed effettua attività peritali per tribunali, forze dell ordine e privati partecipando come consulente tecnico a casi di fama nazionale come Buongiorno! Vitaminic e Pirelli-Telecom-Ghioni. Dal 2005 è creatore e project leader del sistema DEFT. Saltuariamente effettua attività di docenza in Informatica Forense per Università italiane e corsi privati. Sandro busboy Rossetti Alessandro Rossetti vive e lavora a Roma. Molti dei suoi interessi personali riguardano l'information Technology, in particolare le problematiche di intelligence e forensic. È membro di diverse organizzazioni indipendenti quali ISACA ed IACIS. Paolo Dal Checco Ha conseguito il titolo di Dottore di Ricerca nel 2006 presso l Università degli Studi di Torino, nel Gruppo di Sicurezza del Dipartimento di Informatica. Ha svolto docenza in ambiti universitari, ICT e aziendali oltre a collaborazioni con aziende che operano nel settore della sicurezza e privacy delle comunicazioni. È socio fondatore dello studio di consulenza informatica forense Digital Forensics Bureau ( di Torino. È Socio Amministratore della Digit Law Srl ( Effettua attività di consulenza tecnica per tribunali e procure, forze dell ordine e privati.

3 2 Manuale DEFT 7 Licenza d uso Attribuzione - Non commerciale 3.0 Italia Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire, recitare e di modificare quest'opera alle seguenti condizioni: Attribuzione Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera. Non commerciale Non puoi usare quest'opera per fini commerciali. Rinuncia È possibile rinunciare a qualunque delle condizioni sopra descritte se ottieni l'autorizzazione dal detentore dei diritti. Pubblico Dominio Nel caso in cui l'opera o qualunque delle sue componenti siano nel pubblico dominio secondo la legge vigente, tale condizione non è in alcun modo modificata dalla licenza. Altri Diritti La licenza non ha effetto in nessun modo sui seguenti diritti: Le eccezioni, libere utilizzazioni e le altre utilizzazioni consentite dalla legge sul diritto d'autore; I diritti morali dell'autore; Diritti che altre persone possono avere sia sull'opera stessa che su come l'opera viene utilizzata, come il diritto all'immagine o alla tutela dei dati personali. Nota Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. Questo è un riassunto in linguaggio accessibile a tutti della licenza integrale:

4 3 Manuale DEFT 7 Dedicato ad Ele ed a Silvia per la infinita pazienza. Dedicato anche a Stefano e Alessandro, sperando che prendano più dalle madri che dai loro padri. A Samanta e Kim.

5 4 Manuale DEFT 7 Ringraziamenti Ci teniamo a ringraziare quanti nel corso degli ultimi anni hanno contribuito alla nostra crescita personale. Ringraziamo anche chi ha lavorato dietro le quinte per la realizzazione di DEFT, contribuendo anche indirettamente alla realizzazione del manuale d uso. Massimiliano Dal Cero Davide Rebus Gabrini Bartolomeo Meo Bogliolo Valerio Leomporra Marco Giorgi Emanuele Gentili Un doveroso ringraziamento va anche a Simone e Ivan per il loro aiuto nel ricontrollare questo manuale. Vogliamo infine ringraziare Architecture Technology Corporation per averci permesso di inserire Dropbox Reader in questa distribuzione.

6 5 Manuale DEFT 7 Premessa Tramite questo manuale vogliamo dare al lettore un assaggio delle principali funzioni e potenzialità della distribuzione DEFT, un punto di partenza per stimolare la crescita delle proprie conoscenze tecniche. Non troverete quindi in queste pagine spiegazioni esaustive sull utilizzo di tutti gli applicativi e comandi attualmente presenti nella distribuzione. Per cercare di facilitare lo studio, abbiamo inserito alcuni esempi che suggeriscono all utente come poter svolgere alcune delle principali attività di Digital Forensics quali: l acquisizione e preservazione di memorie di massa (dischi rigidi, penne USB, lettori mp3, Smartphone, ecc.) o traffico telematico su rete IP; l analisi e la gestione di casi. Buona lettura!

7 6 Manuale DEFT 7 Sommario CAPITOLO 1: INTRODUZIONE COS È DEFT? PERCHÉ DEFT È IMPIEGABILE NELL'ATTIVITÀ DI DIGITAL FORENSICS? CAPITOLO 2: REQUISITI DI SISTEMA DEFT DART CAPITOLO 3: ELENCO DELLE APPLICAZIONI DEFT LINUX DART CAPITOLO 4: AVVIARE DEFT LINUX LIVE DVD VERIFICARE L INTEGRITÀ DELL IMMAGINE DI DEFT SCARICATA DA INTERNET MASTERIZZARE DEFT LINUX SU UN SUPPORTO OTTICO CREARE UNA PENNA USB AVVIABILE CONTENENTE DEFT LINUX IMPOSTAZIONE DEL BIOS E/O DEL BOOT SELECTION POPUP/MENU PARAMETRI DI AVVIO DI DEFT INSTALLAZIONE DI DEFT LINUX CAPITOLO 5: DEFT LINUX TEXT MODE GESTIONE DELLE MEMORIE DI MASSA Comandi utili Mount delle memorie Mount di un device (hard disk, penna USB, floppy disk, CDROM, ecc...) Mount di un file immagine DD/RAW Mount di un file immagine DD/RAW suddiviso in più file (split raw) File di tipo EWF/Encase File di tipo AFF CALCOLO DELL HASH Md5sum Sha1sum Md5 e sha deep Dhash ACQUISIZIONE MEMORIE DI MASSA dd ddrescue... 33

8 7 Manuale DEFT dcfldd Dhash CREAZIONE DI UNA TIME LINE fls mactime CREAZIONE DI UNA SUPERTIMELINE RICERCA FILE E CARTELLE Locate Find CARVING DI FILE Foremost CAPITOLO 6: DEFT LINUX GUI MODE INTRODUZIONE GESTIONE DELLA MEMORIA DI MASSA MOUNT MANAGER CALCOLO DELL HASH ACQUISIZIONE DI MEMORIE DI MASSA Dhash Guymager RICERCA DI FILE E CARTELLE Catfish FINDWILD CARVING DI FILE DA GUI GESTIONE DI UN CASO CON AUTOPSY XPLICO Creazione di un caso HYDRA KEEPNOTE MALTEGO CAPITOLO 7: MOBILE FORENSICS ANDROID BREVE PANORAMICA SULLE APPLICAZIONI GOOGLE Gmail Market File System in uso EXT4 file system... 80

9 8 Manuale DEFT Policy di utilizzo delle memorie di massa Accesso al file system del sistema operativo SAMSUNG GALAXY S I9000 CARATTERISTICHE HARDWARE Processore: S5PC110 CPU, 45 nm 1 GHz ARM Cortex-A8 based PowerVR SGX 540 GPU con supporto OpenGL ES 1.1/ Procedura per il rooting del dispositivo Samsung Galaxy S - acquisizione fisica della memoria flash interna SAMSUNG GALAXY S - ACQUISIZIONE FISICA DELLA MEMORIA ESTERNA Lavorare direttamente sullo smartphone Posizione e analisi delle applicazioni e dei file di comune interesse Esempio di analisi sull'applicazione Google Maps CAPITOLO 8: DART DIGITAL ADVANCED RESPONSE TOOLKIT CAPITOLO 9: PER APPROFONDIRE CAPITOLO 10: APPENDICE 1 PARAMETRI PER IL BOOT DEL KERNEL CAPITOLO 11: APPENDICE 2 MAN PAGE MOUNT AFFUSE SHA1SUM MD5, SHA1, SHA256 DEEP DHASH GREP DD DD RESCUE DCFLDD FLS MACTIME LOCATE FIND FOREMOST

10 9 Manuale DEFT 7 Capitolo 1: Introduzione 1.1 Cos è DEFT? La distribuzione Linux 1 DEFT 2 è composta da un sistema Gnu/Linux e da DART (Digital Advanced Response Toolkit), suite dedicata alle attività di digital forensics 3 ed intelligence 4. È attualmente sviluppata e gestita da Stefano Fratepietro, con il supporto di Massimiliano Dal Cero, Sandro Rossetti, Paolo Dal Checco, Davide Gabrini, Bartolomeo Bogliolo, Valerio Leomporra e Marco Giorgi. La prima versione di DEFT Linux ha visto la luce nel 2005 grazie anche all aiuto del corso di Informatica Forense della facoltà di Giurisprudenza dell Università degli Studi di Bologna. Questa distribuzione è tutt oggi utilizzata durante le ore di laboratorio del corso di Informatica Forense nell Università di Bologna ed in molte altre università internazionali ed enti privati. È inoltre una delle principali soluzioni impiegate durante l attività di Digital Forensics di molte forze dell ordine. Oltre ad un numero considerevole di applicazioni e script linux, Deft contiene anche la suite DART contenente applicazioni Windows (sia open source 5 sia closed source) di cui ancora non esiste un equivalente altrettanto valido nel mondo *nix. Questo manuale contiene: una breve descrizione dei principali applicativi che compongono la suite; alcuni how-to esplicativi. DEFT è distribuita gratuitamente senza alcuna garanzia di funzionamento. 1 GNU/Linux è un sistema operativo libero di tipo Unix (o unix-like) costituito dall'integrazione del kernel Linux con elementi del sistema GNU e di altro software sviluppato e distribuito con licenza GNU GPL o con altre licenze libere. Wikipedia 2 Acronimo di Digital Evidence & Forensic Toolkit. 3 Scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici. Wikipedia 4 Questo aspetto della distribuzione sarà affrontato in un altro documento. 5 Il termine indica un software i cui autori permettono il libero studio e l'apporto di modifiche da parte di altri programmatori indipendenti.

11 10 Manuale DEFT Perché DEFT è impiegabile nell'attività di Digital Forensics? Un software è considerato adatto per l attività di Digital Forensics quando assicura che la struttura e i metadati dei file 6 o del sistema sottoposto ad analisi non siano alterati e sia in grado di fornisce gli strumenti idonei a garantire la catena di conservazione del reperto acquisito 7. In DEFT, a tale scopo, sono state implementate alcune caratteristiche che riducono al minimo il rischio di alterare il dato sottoposto ad analisi. Alcune di queste sono: 1. All avvio, il sistema non utilizza le partizioni di swap presenti nel sistema sottoposto ad analisi; 2. Non vi sono automatismi di mount delle memorie di massa all avvio del sistema; 3. Non vi sono automatismi di alcun tipo durante l attività di analisi delle evidenze; 4. Tutti i software di acquisizione di memorie di massa e di traffico su rete IP non alterano l integrità del dato sottoposto ad acquisizione. 6 RFC 3227: Minimise changes to the data as you are collecting it. This is not limited to content changes; you should avoid updating file or directory access times. 7 Art. 247 comma 1bis con modifiche apportate dalla ratifica della Convenzione di Budapest nella L. 18 marzo 2008, n. 48: [ ] adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione

12 11 Manuale DEFT 7 Capitolo 2: Requisiti di sistema 2.1 DEFT Per l utilizzo delle funzionalità di DEFT, è sufficiente avviare con il CDROM o penna USB di DEFT Linux un qualsiasi sistema dotato delle seguenti caratteristiche: Lettore CD/DVD-rom o porta USB da cui il BIOS supporti il boot. Una CPU x86 (Intel, AMD o Citrix) 166 Mhz o superiore per eseguire DEFT Linux in modalità testuale, 200Mhz per eseguire DEFT Linux in modalità grafica; 64 Mbyte di memoria RAM per eseguire DEFT Linux in modalità testuale o 128 per la modalità grafica. Sono inoltre supportate le nuove architetture Apple con processori Intel. 2.2 DART La suite DART può essere eseguita in tutti i sistemi Microsoft Windows a 32bit. Nelle versioni a 64bit sono state riscontrate alcune piccole limitazioni per alcuni tool che non ne garantiscono il totale supporto. DART può essere eseguita direttamente in DEFT Linux mediante l utilizzo di Wine 8. 8 Wine è un framework per Linux che permette l esecuzione di applicativi Windows che possono essere installati o avviati direttamente all interno di una distribuzione Linux (

13 12 Manuale DEFT 7 Capitolo 3: Elenco delle applicazioni 3.1 DEFT Linux sleuthkit autopsy 2.24 dff 1.2 ptk forensic maltego CE keepnote hunchbackeed file carver 0.6 findwild 1.3 bulk extractor 1.2 emule forensic 1.0 dhash libewf aff lib disk utility guymager dd rescue 1.14 dcfldd dc3dd 7 foremost photorec 6.13 mount manager scalpel 2 wipe 0.21 hex dump outguess 0.2 sqlite database browser 2.0b1 bitpim bbwhatsapp database converter dropbox reader iphone backup analyzer 10/2012 iphone analyzer creepy xprobe2 0.3 xmount 0.4.6trID 2.11 DEFT edition readpst chkrootkit rkhunter john catfish pasco 1.0 md5sum sha1sum sha224sum sha256sum sha512sum md5deep sha1deep sha256deep pdfcrack cracking tool fcrackzip cracking tool clam antivirus mc dmraid testdisk 6.11 ghex, light gtk hex editor vinetto 0.6 xplico 1.0 DEFT edition wireshark 1.6

14 13 Manuale DEFT 7 ettercap nmap 5.21 hydra 7.1 rifiuti2 wine mobius forensic log2timeline DART 1.0 WinAudit MiTeC Windows Registry Recovery Zeroview 1.0 FTK Imager 3 Nigilant Windows Forensic Toolchest MoonSols Win32dd MoonSols Win64dd Windows File Analyzer 1.0 UltraSearch 1.40 Pre-Search xx.08 XnView X-AgentRansackk 2010 (build 762) Index.dat Analyzer 2.5 AccessEnum 1.2 Autoruns DiskView 2.4 Filemon Process explorer RAM Map 1.1 Regmon Rootkit Revealer 1.71 VMMap 2.62 WinObj 2.15 AlternateStreamView 1.15 ChromeCacheView 1.25 CurrPorts x86 e x CurrProcess 1.13 FoldersReport 1.21 IE Cache View 1.32 IE Cookie View 1.74 IE History View 1.50 Inside Clipboard 1.11 Live Contacts View 1.07 Mozilla Cache View 1.30 Mozilla History View 1.25 Mozilla Cookie View 1.30 Opened File View 1.46 Opera Cache View 1.37 Outlook Attack View x86 e x Process Activity View x86 e x Recent File View 1.20 Regscanner x86, x64 e win ServiWin 1.40 MUI Cache View 1.01 MyEventView 1.37 SkypeLogView 1.15SmartSniff x86 e x StartupRun 1.22 MyLastSearch 1.44 Mozilla Cookie View 1.30 Opened File View 1.46 Opera Cache View 1.37

15 14 Manuale DEFT 7 Outlook Attack View x86 e x Process Activity View x86 e x Recent File View 1.20 Regscanner x86, x64 e win ServiWin 1.40 USBdeview x86 e x User Assist View 1.01 User Profile View 1.01 Video Cache View 1.78 WhatInStartup 1.25 WinPerfectView 1.10 Password Tool ChromePass 1.10 Dialupass 3.10 IE PassView 1.20 LSA Secrets Dump x86 e x LSA Secrets View x86 e x Mail PassView 1.65 MessenPass 1.35 Network PassRecovery x86 e x Opera PassView 1.01 PasswordFOX 1.25 PC AnyPass 1.12 Protected Pass View 1.63 PST Password 1.12 Remote Desktop PassView 1.01 VNC PassView 1.02 Win9x Passview 1.1 WirelessKeyView x86 e x AViScreen Portable Hoverdesk 0.8 File Restore Plus WinVNC TreeSizeFree 2.40 PCTime LTFViewer 5.2 Sophos Anti-Rootkit Terminal with tools command line Spartakus 1.0 Testdisk Photorec

16 15 Manuale DEFT 7 Capitolo 4: Avviare DEFT Linux live DVD 4.1 Verificare l integrità dell immagine di DEFT scaricata da Internet Trattandosi di una distribuzione destinata ad attività di computer forensics è buona norma, prima di masterizzare il file scaricato da internet, verificare che corrisponda esattamente a quello presente online. La verifica può esser fatta tramite il calcolo del valore hash MD5 9 sull immagine o sull archivio scaricato e il successivo confronto con i valori presenti nel file md5.txt presente nella root della directory di download. DEFT/DART: Directory di download Ad esempio, nel caso del file deft7.iso, il calcolo dell hash MD5 deve dare come risultato lo stesso indicato all interno del file md5.txt, un valore del tipo d98307dc53ca83358a2dfdb33afc2672. Per calcolare il valore hash MD5 di un file è possibile utilizzare diversi tool: ad esempio md5summer 10 o hashmyfiles 11 (su Windows) o il tool a linea di comando md5sum per Linux/MacOS. Se l hash del file scaricato non coincide con quello presente sul sito wew può significare che il file, seppure di dimensione uguale a quello online, presenta errori dovuti a problemi nello scaricamento o corruzione di una o più parti Il programma è già incluso in DART.

17 16 Manuale DEFT Masterizzare DEFT Linux su un supporto ottico DEFT 7 Linux, nella versione destinata all utilizzo Live su macchine fisiche, viene distribuita sotto forma di un immagine ISO che, per poter essere utilizzata, è necessario masterizzare su un supporto ottico nel caso di DEFT 7 su un DVD 12. Per masterizzare un immagine ISO è sufficiente utilizzare un qualsiasi programma di masterizzazione, seguendo le procedure che possono variare da programma a programma. Le immagini ISO sono una sorta di fotografia dell intero filesystem (in realtà degli interi filesystem, poiché ne può essere presente più di uno) contenuto all interno del supporto. Si può pensare a una sorta di copia forense del CD/DVD. Come tale, il file ISO deve essere masterizzato riapplicando in un certo senso la fotografia su un supporto, così come si farebbe con un immagine DD/RAW di un disco del quale si vuole fare una copia avviabile da un nuovo supporto. La masterizzazione d immagini ISO è possibile con quasi tutti i software di masterizzazione 13, semplicemente selezionando la voce riguardante le immagini. ImgBurn permette di scrivere file immagine su disco 12 Data la loro dimensione ridotta, DEFT 6 e precedenti potevano essere masterizzate anche su CD. 13 Su Windows suggeriamo di utilizzare, per comodità, i tool gratuiti Imgburn o Infrarecorder. Su Linux il software di masterizzazione K3B ha le funzionalità necessarie per poter masterizzare file immagine. In Mac OS è sufficiente, invece, utilizzare l applicazione Disk Utility.

18 17 Manuale DEFT 7 In rete sono disponibili migliaia di link e howto che illustrano in dettaglio le modalità di scrittura di immagini ISO su CD/DVD con i più disparati sistemi operativi. 4.3 Creare una penna USB avviabile contenente DEFT Linux In alternativa all utilizzo di un supporto ottico, è possibile creare una penna USB contenente DEFT Linux e avviabile come se fosse un Live CD/DVD (sui PC che supportano l avvio da periferica USB). Ci sono diversi modi di creare periferiche di archiviazione di massa USB contenenti DEFT Linux Live. Per sistemi Windows, Linux e Mac consigliamo l utilizzo dell applicazione gratuita universale UNetBootin 14. Essa permette di eseguire l operazione di scrittura, selezionando semplicemente l immagine ISO da riversare su penna USB e la lettera di sistema acquisita dalla penna USB. Consigliamo di formattare la chiavetta USB con filesystem FAT32, impostando possibilmente una volume label tale da ricordarvi, in futuro, quale distribuzione e quale versione è presente nella chiavetta. Preparazione della penna USB 14

19 18 Manuale DEFT 7 Avviate il programma UNetbootin non richiede installazione e, abilitando il radio button Diskimage, selezionate il file ISO che volete convertire in Live USB avviabile, scegliendo la lettera della chiavetta USB che desiderate utilizzare. UNetbootin: Schermata principale Al termine dell operazione di scrittura otterrete una versione Live USB che potrà essere utilizzata per avviare DEFT Linux su qualsiasi PC in grado di supportare l avvio da porta USB, funzionalità ormai peraltro diffusa su quasi tutte le più recenti macchine. 4.4 Impostazione del BIOS e/o del Boot Selection Popup/Menu È importante assicurarsi che il BIOS del sistema da analizzare sia impostato per l avvio da CDROM/DVDROM/BDROM o da memorie di massa esterne (in base al supporto in cui è presente DEFT). In caso contrario configurate il BIOS, salvate e riavviate il sistema con il dvd già inserito nel lettore cd/dvd o con la penna USB già collegata 15. Si consiglia, in ogni caso, di modificare l ordine di avvio delle periferiche direttamente nel BIOS per evitare che un riavvio accidentale della macchina (ad esempio dovuto a sbalzi di corrente) provochi il boot del sistema operativo originario. 15 In genere, durante l avvio è indicato il tasto da premere per visualizzare il boot meu, spesso chiamato Boot Selection Popup o Boot Device Menu. I tasti solitamente dedicati al Boot Menu sono F8, F9 e F12, ma in alcune architetture il menù di avvio può anche essere richiamato dal tasto ESC.

20 19 Manuale DEFT Parametri di avvio di DEFT Avviato il boot loader di DEFT, ci si trova di fronte ad una schermata con diverse opzioni di avvio. La prima scelta che è richiesta riguarda la lingua dell interfaccia di DEFT 16. Scelta della lingua Una volta selezionata la lingua, è possibile utilizzare le frecce su/giù per spostarsi nel menù a tendina. Tramite i tasti funzione è possibile impostare ulteriori parametri quali: Help (F1) Lingua (F2) Tastiera (F3) Modalità (F4) Accessibilità (F5) Altre opzioni (F6) Il tasto funzione F6 permette di personalizzare alcuni parametri di avvio di DEFT, scegliendo tra alcuni pre-impostati sul menù e potendone aggiungere altri in base alle proprie necessità. 16 Richiamabile con il tasto F2 nella finestra di impostazioni di avvio

21 20 Manuale DEFT 7 I parametri del kernel accesibili premendo il tasto F6 sono: acpi=off noapic nolapic edd=on nodmraid Al boot non sono utilizzate le funzioni ACPI per la gestione dell energia elettrica usata dal proprio sistema. Utile in caso di problemi ad avviare la live, nel caso in cui il PC non supporti ACPI oppure se l implementazione ACPI crea problemi di reboot o blocchi di sistema. Disabilita il controller interrupt APIC (Advanced Programmable Interrupt Controller). Disabilita la funzione APIC per le architetture basate su CPU Intel. Abilita l Enhanced Disk Drive. Disabilita l opzione del kernel dmraid per i raid di tipo software. Setta la risoluzione del framebuffer se la scheda video è in vesa mode. È possibile scegliere tra le seguenti modalità: vga=xxx In rosso i parametri deprecati, in nero i parametri che non hanno riscontrato alcun problema di funzionamento. Per maggiori informazioni sui parametri modificabili al boot, è possibile consultare l Appendice 1. nomodeset Per eseguire il boot di DEFT Linux su un Mac Book Air è necessario aggiungere il paramentro nomodeset 17 al boot. Tale parametro permette di gestire correttamente i driver video e di poter usare il sistema senza alcun problema di visualizzazione delle schermate. 17 Tratto da This is a kernel boot option that tells the kernel not to enable kernel mode setting (KMS). Video support is usually a combination of a drm kernel driver and a Xorg driver working together. KMS is used with Intel, Nouveau, and Radeon kernel modules. KMS is required for Intel and Nouveau, and optional for Radeon (although, with different features). If you want to use the vesa Xorg driver, and you have hardware that uses the Intel, Nouveau, or Radeon kernel modules, you may need to boot with nomodeset, or blacklist the matching module, or just delete the module. The modules will be found in /lib/modules/<kernel-version>/kernel/drivers/gpu/drm/

22 21 Manuale DEFT 7 toram Impone (quando possibile) il caricamento dell intera immagine di DEFT in RAM, permettendo la rimozione del DVD o della penna USB. La velocità di esecuzione è incrementata notevolmente poiché non si rendono più necessarie operazioni di lettura da disco o da flash. È Inoltre possibile utilizzare il lettore DVD per eventuali acquisizioni forensi (ad esempio tramite guymager 18 ) oppure per masterizzare dati (ad esempio tramite il programma di masterizzazione xfburn 19 presente nel menù Sound & Video ). Il parametro toram viene attivato solo se la memoria RAM presente è sufficiente per contenere l immagine del DVD/USB DEFT 20. La distribuzione DEFT 7 occupa circa 1.4GB, consigliamo quindi di avviarla in modalità toram soltanto quando il PC dispone di almeno 2GB di memoria. La distribuzione DEFT 6, invece, occupa soltanto 700MB, è quindi avviabile in modalità toram anche su PC che possiedono soltanto 1GB di memoria. Per selezionare i parametri del kernel mostrati sul menù, premere la barra spaziatrice o il tasto INVIO in corrispondenza di quelli prescelti: una X verrà inserita a confermare l aggiunta al kernel. Nel caso in cui si desideri specificare ulteriori parametri del kernel, dopo aver premuto F6 premere il tasto ESC per far scomparire il menù e visualizzare sullo sfondo la riga di avvio del kernel dove potete digitate direttamente il o i parametri prescelti mantenendoli separati tra di loro con degli spazi Si raccomanda in ogni caso di lasciare una parte di RAM libera per le normali attività del sistema

23 22 Manuale DEFT Installazione di DEFT Linux 7 Dalla release 7 DEFT può essere installata su qualsiasi sistema x86. Di seguito sono riportati i requisiti del sistema minimi e consigliati per l installazione: Requisiti minimi CPU x86 200Mhz 128 MB di memoria RAM Disco rigido da 20 GB Scheda Video Vesa compatibile 16MB Scheda di rete 10/100 Interfacce USB 2.0 Lettore DVD Requisiti ottimali CPU Intel dual core 2GB di memoria RAM Disco rigido SATA da 500 GB Scheda Video intel con memoria dedicata Scheda di rete 10/100/ WiFi N Interfacce USB 3.0 ed e-sata Lettore DVD L installazione del sistema avviene tramite una procedura guidata standard in cui l utente deve rispondere ad alcune domande. L operazione dove è richiesta maggior attenzione è il partizionamento della memoria di massa che ospiterà il sistema. Nonostante le esigenze cambino sulla base dell esperienza e il modo di lavorare dell operatore, ci permettiamo di dare alcuni suggerimenti sul come ottenere un installazione ottimale: Riservare al sistema almeno 20GB di memoria; Partizionare il disco secondo le proprie esigenze creando una partizione di SWAP con un livello di swappiness 21 pari a 10. in questo modo si ridurranno i rallentamenti improvvisi dovuti all utilizzo della partizione di swap 23 ; Creare un utente durante l installazione ricordandosi però di utilizzare DEFT Linux sempre con l account root per evitare problemi dovuti alla richiesta di permessi da parte alcuni applicativi; o o Per abilitare l account root impostandone la password digitare il comando sudo passwd e rispondete alle domande; Per diventare root digitare sudo su - (verrà richiesta la propria password) oppure su (verrà richiesta la password di root); 21 Per maggiori informazioni 23 Nel caso in cui il computer sia dotato di più di 4GB di RAM, potrebbe essere considerata una soluzione il non creare una partizione di SWAP: in questo modo si eviteranno rallentamenti improvvisi dovuti all utilizzo della partizione di swap.

24 23 Manuale DEFT 7 Non rimuovere PER ALCUN MOTIVO il freezing sull aggiornamento di alcuni pacchetti volutamente bloccato: sono parte di un processo di personalizzazione di tutti i meccanismi di protezione delle memorie di massa collegate al sistema.

25 24 Manuale DEFT 7 Capitolo 5: DEFT Linux text mode Completata la fase di boot, il sistema presenta la sessione ad interfaccia testuale (con sei terminali accesibili tramite la combinazione di tasti ALT + F1 -> ALT + F6) con una shell bash dotata di permessi di root 24. DEFT: sessione ad interfaccia testuale 5.1 Gestione delle memorie di massa DEFT, anche in versione live, supporta le memorie di massa ed i filesystem più diffusi. Come già accennato DEFT non esegue il mount automatico tipico delle distribuzioni Live (es. Knoppix, Ubuntu, ecc...) evitando l alterazione accidentale della memoria di massa collegata. Il contenuto di una memoria di massa può essere comunque alterato dall operazione di mount eseguita in modalità read/write, azione che DEFT non esegue in automatico. 24 Questa implementazione si rivela molto utile quando si avvia DEFT Linux su computer molto vecchi che non permettono l utilizzo ottimale dell interfaccia grafica oppure per l utente esperto che preferisce operare direttamente da linea di comando.

26 25 Manuale DEFT Comandi utili Riportiamo alcuni comandi utili per eseguire operazioni inerenti alla gestione delle memorie di massa: fdisk l: elenca tutte le partizioni e memorie di massa collegate al sistema; mmls /dev/xxx oppure mmls nomefile.dd: elenca le partizioni presenti nella periferica o nell immagine raw indicando l offset di partenza di ogni partizione e gli spazi non allocati; hdparm Ig /dev/xxx: visualizza le caratteristiche della memoria di massa xxx; tail f /var/log/messages: visualizza in tempo reale i messaggi di information, warning e debug degli eventi che riguardano anche le memorie di massa; mount: visualizza il tipo di filesystem delle memorie collegate al sistema e la modalità con la quale sono state montate (read only / read-write); df h: visualizza informazioni sulla dimensione dei dispositivi montati e lo spazio libero Mount delle memorie Il comando mount permette di collegare un file system presente su in una periferica oppure in un file memorizzato su disco a una directory di sistema. Nel caso in cui si desideri eseguire il mount di un dispositivo quale hard disk, chiavetta USB, CD/DVD/CDROM, floppy disk, ecc... si utilizzerà come sorgente il device stesso che lo identifica. Avremo in questo caso: /dev/fdx 25 per i floppy disk (in genere con un solo floppy si ha /dev/fd0); /dev/hdx per gli hard disk IDE; /dev/sdx per gli hard disk SATA o le periferiche USB; /dev/cdrom per i CDROM. In ambito forense, il mount diretto di un evidence (quindi di un disco, di una chiavetta USB, ecc...) deve essere fatto in sola lettura e solo nei casi in cui è realmente necessario 26. In questo modo può essere garantita la totale inalterabilità della memoria. Il file system selezionato, oltre ad essere composto di un device, può essere contenuto all interno di un file memorizzato su disco e contenente il dump o l immagine forense bit- 25 La X identifica il numero di periferica presente sul sistema, così avremo /dev/sda per il primo disco e /dev/sdb per il secondo, mentre i numeri che si osservano dopo il device tramite il comando fdisk l (/dev/sda1, /dev/sda2, ecc...) identificano il numero della partizione all interno del device. 26 Le best practice indicano chiaramente che non si dovrebbe lavorare mai sulla memoria di massa originale ma sempre e solo su una copia.

27 26 Manuale DEFT 7 stream del device acquisito. Ci troveremo di fronte, in questo caso, a immagini: nel formato bit stream image (dd o raw) 27 ; nel formato Encase (ewf); nel formato Advanced Forensic Format (aff) Mount di un device (hard disk, penna USB, floppy disk, CDROM, ecc...) Per eseguire il mount in sola lettura di file system di memorie basterà digitare un comando di tipo: mount t tipo o opzioni sorgente punto_di_mount dove tipo è la tipologia del filesystem, solitamente vfat, ntfs-3g, ext3 ecc., o auto quando non si è sicuri del tipo di file system 28 (se si omette il parametro il mount cerca autonomamente di riconoscere il tipo di filesystem e in genere ha successo); sorgente può essere una partizione come ad esempio /dev/hda1 o /dev/sda1; punto_di_mount è solitamente una directory di /media che deve essere creata prima di eseguire il comando di mount 29. Le opzioni di uso frequente (che devono seguire il delimitatore o nella riga di comando di mount) sono: ro - read-only: monta in sola lettura; rw - read-write: monta in scrittura 30 ; loop - per montare un file immagine; noatime - non modifica le date di ultimo accesso; noexec - non permette l esecuzione di file; offset=n - quando si monta il file immagine di un disco (argomento approfondito nel paragrafo successivo) fornisce il numero di byte da saltare per puntare all inizio della partizione logica da montare (recuperabile con mmls o fdisk lu). Esempio 1: montare in scrittura una partizione NTFS sulla quale verrà salvato il dump di un device (risultato di un acquisizione forense): mount t ntfs-3g o rw /dev/sdb1 /media/dest 27 Spesso il formato bit-stream viene suddiviso in file di dimensione ridotta (2-4 Gbytes l uno) in modo da poter essere salvato su filesystem con filesize limit (es. FAT32), in tal caso viene definito split raw. 28 Se omesso in genere il comando mount riesce ad identificare autonomamente il tipo di filesystem. 29 Ad esempio con il comando mkdir /media/nomecartellachevoglio 30 Da usare per la directory dove verra salvata la copia

28 27 Manuale DEFT 7 Esempio 2: montare in sola lettura una partizione NTFS di un disco di cui si desidera fare acquisizione forense, ad esempio per avere un anteprima dei file in essa contenuti magari durante un attività sul campo (è essenziale utilizzare l opzione -o ro per impedire qualsiasi scrittura accidentale sul disco): mount t ntfs-3g o ro /dev/sdb1 /media/evidence Mount di un file immagine DD/RAW Per eseguire il mount in sola lettura di un file immagine (contenente il dump di un intero disco, non di una singola partizione) si può utilizzare il seguente comando: mount t tipo o ro,loop,offset=$((512*partition-start)) opzioni file_immagine.dd punto_di_mount Le opzioni ed il formato del comando mount sono le stesse indicate nel paragrafo precedente. In questo caso però deve essere obbligatoriamente utilizzata una modalità di mount basata su loop device che converte (in modo virtuale, senza quindi andare ad alterare il sorgente) un file immagine (statico) in un device linux (dinamico), permettendo quindi al kernel di farne il mount come se si trattasse di un dispositivo vero e proprio. L opzione loop permette questo tipo di astrazione e deriva dall applicazione implicita e automatica al layer sottostante del comando losetup, tramite il quale è possibile associare un device loop all immagine della memoria image.dd. In questo modo è possibile utilizzare le applicazioni funzionati su device anche su immagini di memorie di massa. Se si vuole vuole evitare di inserire -o loop, è necessario far precedere al mount la creazione di un loop device tramite il comando: losetup -r /dev/loop0 /media/disco1/dump.dd Tale loop device sarà utilizzato come se fosse un disco sorgente da montare nella modalità descritta precedentemente 31. Quindi, potendo utilizzare direttamente l opzione -o loop si evita di dover creare noi stessi un loop device che poi dovremmo ricordare di rilasciare tramite il comando losetup d /dev/loop0. L altro parametro essenziale quando si fa il mount di un file immagine contenente l acquisizione di un disco intero (e quindi non di una singola partizione) è il valore offset. Tramite l utility mmls è possibile scoprire l offset d inizio di una partizione del disco: 31 Sarà necessario quindi un comando tipo mount o ro /dev/loop0 /mnt/dest

29 28 Manuale DEFT 7 mmls dump.dd l output ottenuto sarà simile al seguente: DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta Primary Table (#0) 01: Unallocated 02: 00: Unknown Type (0x27) 03: 00: NTFS (0x07) 05: Unallocated Montiamo la partizione identificata come 03 dall output di mmls specificando l offset moltiplicato per : mount t ntfs o ro,loop,noatime,noauto,noexec,offset= dump.dd /media/dest Invece di eseguire il calcolo dell offset moltiplicando per 512 il punto di Start della partizione ricavato dal comando mmls, è possibile utilizzare un operatore di calcolo della shell: inserendo come offset il valore $((512*partition-start)), dove partition-start indica l offset in byte della partizione che si intende montare (nell esempio precedente è il valore 33256). Avremmo quindi il comando di mount: mount t ntfs o ro,loop,noatime,noauto,noexec,offset=$((512*32256)) dump.dd /media/dest Portate a termine le operazioni sulle memorie, prima di scollegare dal sistema la periferica montata, è necessario eseguire il comando umount: umount /media/punto_di_mount. Si è scritto più volte che i comandi citati possono essere utilizzati per eseguire il mount di un file contenente il dump di un intero disco. Nel caso in cui raro ma possibile sia fatto il dump di una singola partizione, non è necessario utilizzare il parametro offset in quanto l inizio della partizione coincide con quella del file Mount di un file immagine DD/RAW suddiviso in più file (split raw) Nel caso in cui il file immagine dd/raw (quindi immagine bit-stream o bit-to-bit di un disco) sia splittato (suddiviso) in più file, è necessario preparare il file su cui si andrà a fare il comando di mount mostrato nel paragrafo precedente byte è la grandezza di default di un settore che compone una memoria di massa

30 29 Manuale DEFT 7 Ipotizziamo di avere un immagine composta dai file dump.001, dump.002, dump.003, dump.004 e dump.005. Non possiamo applicare direttamente le azioni illustrate nel paragrafo precedente, perché non abbiamo in questo caso un solo file immagine su cui lanciare il comando mount, bensì cinque 33. Per montare file immagini raw suddivisi, in formato split-raw, abbiamo a disposizione tre possibilità. Il primo metodo consiste nella concatenazione dei singoli file in un unico file immagine, riportandoci quindi al caso descritto nel paragrafo precedente di mount di un singolo file dump.dd. Lo svantaggio evidente è che, in questo caso, lo spazio richiesto per l operazione sarà pari a quello occupato dalla somma dei singoli file poiché li copieremmo concatenandoli in un nuovo file unico 34. Il comando da eseguire è il seguente: cat dump.* > image.raw Si ottiene così un unico file image.raw contenente l intero disco ricavato dalla concatenazione dei singoli segmenti di immagine. Su tale file andremo a operare come indicato nel paragrafo precedente. Il secondo metodo prevede l utilizzo del comando affuse, della suite Afflib 35. Sarà utilizzato anche in seguito per il mount di immagini nel formato AFF. Con tale comando creeremo una sorta d immagine virtuale (quindi visibile dal sistema ma non esistente nella realtà 36 ) che sarà montata come descritto nel paragrafo precedente. Il comando da eseguire, dopo aver creato la directory /mnt/raw, sarà: affuse dump.001 /mnt/raw Tale comando produrrà, all interno della directory /mnt/raw, un file virtuale contenente l immagine dd/raw composta dalla concatenazione dei vari file che la compongono nella realtà. Tale file sarà visibile con il nome dump.001.raw e sarà utilizzabile come parametro del mount visto nel paragrafo precedente. mount t ntfs ro,loop,noatime,noauto,noexec,offset= /mnt/raw/dump.001.raw /media/dest Va ricordato che, quando prepariamo il mount tramite il comando affuse, è necessario smontare oltre alla partizione montata anche il file virtuale contenente l immagine, tramite il comando: 33 Nella realtà, nel caso di acquisizioni di grossi dischi, il numero salirà a decine o centinaia. 34 Questa soluzione è illustrata solo a scopo didattico, poiché in genere si preferisce una delle due seguenti Similmente a quanto accade ai file contenuti nella cartella /proc del filesystem

31 30 Manuale DEFT 7 fusermount u /mnt/raw Il terzo metodo per montare un immagine split-raw è quello di utilizzare il tool da linea di comando xmount 37. Similmente a quanto visto con il comando affuse, xmount crea anch esso un file virtuale contenente l immagine composta dalla concatenazione dei singoli segmenti che la compongono nella realtà. Il comando in questo caso è: xmount --in dd --out dd dump. * /mnt/raw Sarà creato un file virtuale nella directory /mnt/raw, denominato dump senza alcuna estensione. Tale file potrà essere montato, come illustrato nel caso precedente, selezionando l offset del filesystem desiderato in modalità read-only File di tipo EWF/Encase Il mount di una memoria acquisita in formato EWF è possibile mediante l applicazione mount_ewf. Questo programma è in grado di convertire virtualmente i file EWF nel formato raw permettendo così il mount del device come se fosse una memoria acquisita in formato dd. Esempio: la memoria disk01 suddivisa nei seguenti file: disk01.e01 disk01.e07 disk01.e13 disk01.e19 disk01.e02 disk01.e08 disk01.e14 disk01.e20 disk01.e03 disk01.e09 disk01.e15 disk01.info disk01.e04 disk01.e10 disk01.e16 disk01.e05 disk01.e11 disk01.e17 disk01.e06 disk01.e12 disk01.e18 Tramite il comando mount_ewf /media /case1/disk01.e* /mnt/raw è possibile ricostruire lo split ed eseguire la conversione virtuale in formato raw. L operazione darà luogo alla creazione del file raw /mnt/raw/disk01, contenuto nella cartella /mnt/raw/. Esso sarà visto dal sistema come un unico file dd, anche se virtuale, e potrà essere montato seguendo la procedura indicata nel paragrafo precedente. Esempio: mount t ntfs o ro,loop,offset=$((512*63)) /mnt/raw/disk01 /mnt/c File di tipo AFF Come per il formato EWF, anche per le memorie acquisite in formato AFF è possibile eseguire il mount, grazie all utility affuse. Essa permette di utilizzare acquisizioni in formato aff come se fossero immagini raw. 37

32 31 Manuale DEFT 7 La sintassi è la seguente: affuse /media/disk/disk01.aff /mnt/raw L output sarà il file /mnt/raw/disk01.aff.raw che potrà essere montato seguendo la procedura per il mount di immagini raw illustrata in precedenza. 5.2 Calcolo dell hash L hash di un blocco di dati (es. un file) è una sequenza di caratteri alfanumerici di lunghezza fissa generata da una funzione matematica. Questa funzione è mono direzionale: dato un hash è impossibile ricostruire il blocco che lo ha originato. Qualsiasi modifica dei dati, seppur minima, porterà alla creazione di un hash totalmente diverso. All interno del sistema Linux quest operazione è possibile mediante l utilizzo delle seguenti applicazioni: md5sum; sha1sum; md5, sha1 e sha256 deep; dhash Md5sum L'acronimo MD5 38 (Message Digest algorithm 5) identifica un algoritmo crittografico di hashing realizzato da Ronald Rivest nel 1991 e standardizzato con la Request for Comments RFC Quest algoritmo, presa in input una stringa di lunghezza arbitraria (ad esempio un file), ne produce in output un'altra di 128 bit utilizzabile per calcolare la firma digitale dell'input. La codifica è molto veloce e l'output restituito (noto anche come "MD5 Checksum" o "MD5 Hash") è tale per cui è altamente improbabile che avvenga una collisione (cioè l esatta coincidenza) tra gli hash di due file diversi. Infine, come per la maggior parte degli algoritmi di hashing, la possibilità di risalire alla stringa iniziale partendo dall hash prodotto è in pratica nulla, se non per tentativi (forza bruta) 39. Ad esempio per calcolare il valore dell hash MD5 di un disco si utilizza il comando: md5sum /dev/sda La gamma di possibili valori in output è infatti pari a 2 alla 128esima potenza.

33 32 Manuale DEFT Sha1sum Il termine SHA 40 indica una famiglia di cinque diverse funzioni crittografiche di hash sviluppate dal 1993 dalla National Security Agency (NSA) e pubblicate dal NIST come standard federale dal governo degli USA. Come ogni algoritmo di hash, lo SHA produce un valore di lunghezza fissa partendo da un messaggio di lunghezza variabile tramite una funzione non reversibile. Gli algoritmi della famiglia sono denominati SHA-1, SHA-224, SHA-256, SHA-384 e SHA Il primo tipo, SHA-1, produce una stringa di soli 160 bit, mentre gli altri producono digest di lunghezza in bit pari al numero indicato nella loro sigla 41. In questo momento l algoritmo più diffuso della famiglia SHA e lo SHA-1 ed è utilizzato in numerose applicazioni e protocolli. Per calcolare il valore di hash SHA-1, ad esempio di un disco, si utilizza il comando: sha1sum /dev/sda Md5 e sha deep Md5, sha1, sha256 e sha512 deep permettono di calcolare hash di più file ricorsivamente. Esempio: md5deep l /root/evidence/ > hash_device.txt La sintassi sopra citata calcola l hash md5 di tutti i file contenuti nella cartella /root/evidence/ e salva i valori degli hash nel file hash_device.txt Dhash Dhash, disponibile in italiano ed in inglese, permette di calcolare gli hash di file e memorie di massa fornendo in tempo reale informazioni quali il tempo stimato prima del termine l operazione e lo stato di avanzamento del calcolo. Al termine è inoltre possibile generare un report in formato html 42. Da test eseguiti in laboratorio Dhash è risultato essere 10% più veloce rispetto ai tool precedentemente elencati. Esempio: dhash -t -f /dev/sda --md5 --sha1 -l dhashlog.html La sintassi sopra citata calcola simultaneamente l hash md5 e sha1 sul device /dev/sda e ne riporta i valori nel file dhashlog.html. 40 Secure Hash Algorithm Es.: SHA-256 produce un digest di 256 bit. 42 Dhash è inoltre in grado di eseguire allo stesso tempo le operazioni di acquisizione e calcolo del hash.

34 33 Manuale DEFT Acquisizione memorie di massa Per acquisizione di una memoria di massa s intende l operazione che permette una vera e propria clonazione della memoria fisica oggetto di analisi. All interno del sistema Linux quest operazione è possibile mediante l utilizzo dei seguenti tool: dd; ddrescue; dcfldd; dhash. In aggiunta a questi comandi, il team DEFT ha creato Cyclone: un wizard eseguibile da terminale per l acquisizione guidata tramite la semplice risposta alle domande che appaiono su schermo dd dd prende in input un file o un device e ne restituisce, su un altro file o device, l esatta sequenza binaria che lo compone. Esempio: dd if=/dev/sda of=/media/diskimage.img Il comando prende in input la memoria di massa /dev/sda e restituisce come output il suo clone all interno del file diskimage.img contenuto nella cartella /media/. È possibile eseguire l acquisizione da memoria di massa a file (o viceversa) ma anche da memoria di massa a memoria di massa 43. Esempio: dd if=/dev/sda of=/dev/sdb Si raccomanda di avere la massima attenzione con quest ultimo commando poiché il device di destinazione (nell esempio /dev/sdb) è cancellato e sovrascritto per tutta la dimensione del device sorgente (nell esempio /dev/sda). Ciò significa che se /dev/sda è un hard disk di 60GB e /dev/sdb un disco da 250GB, il comando sopra riportato andrà a sovrascrivere i primi 60GB del disco destinazione (/dev/sdb) con l intero contenuto bit-a-bit del disco sorgente (/dev/sda), rendendo così completamente irricuperabile quanto ivi contenuto e compromettendo anche i dati presenti nella parte non sovrascritta del disco ddrescue Come dd, ddrescue permette di clonare il contenuto di un disco riversandolo direttamente 43 Questa è una pratica molto meno usata in campo di computer forensics.

35 34 Manuale DEFT 7 in un altra memoria. ddrescue rappresenta un evoluzione di dd: permette, infatti, l acquisizione di memorie di massa che presentano errori durante l accesso a determinati settori del disco. L acquisizione tramite ddrescue permette di includere anche quei settori danneggiati che saranno acquisiti impostando su zero tutti i bit non leggibili in essi contenuti. Durante l acquisizione della memoria l applicazione fornisce aggiornamenti su quanti byte sono stati letti e scritti, quanti errori di lettura sono stati riscontrati e la velocità di acquisizione calcolata per byte/s. Esempio: ddrescue /dev/sda /media/disco.img dcfldd dcfldd è un altra evoluzione di dd che permette il calcolo dell hash (sia md5 che sha1, singolarmente o contemporaneamente) durante l acquisizione della memoria. Durante le operazioni di acquisizione sono fornite informazioni dettagliate su quanto è stato letto e scritto. Esempio: dcfldd if=/dev/sda of=/media/disco.img hash=sha1 hash=md Dhash Questo software permette l acquisizione in formato dd e il calcolo contemporaneo degli hash. È risultato più veloce del 10% rispetto agli altri programmi in circolazione. Esempio: dhash -t -f /dev/sda --md5 --sha1-o disco.dd La sintassi sopra citata acquisisce e calcola contemporaneamente l hash md5 e sha1 del device /dev/sda riportandone infine i valori nel file dhashlog.html.

36 35 Manuale DEFT Creazione di una time line Uno degli strumenti più noti per la creazione di time line è mac-time, applicazione della suite Sleuthkit realizzata da Brian Carrier. Sono due i comandi principali per generare timeline del filesystem: fls 44 prende come input un file raw derivante dall acquisizione di un memoria di massa (sia essa una singola partizione o una raw image di un disco con più partizioni), e restituisce l elenco di tutti i file (allocati e non ma di cui comunque il record è ancora contenuto nella tabella di allocazione del filesystem), da utilizzare successivamente con mac-time; mactime 45 prende in input un elenco, creato mediante fls, completo dei dati contenuti all interno del file system posto ad analisi e fornisce una timeline in formato ASCII fls È riportato un esempio di come utilizzare fls nel caso in cui l immagine image-1.dd contenga un singolo filesystem/partizione 46 : fls -z GMT -s 0 -m C: -f ntfs -r /images/disco-c.dd > /workdir/disco-c.body Nell esempio, sono stati utilizzati i seguenti parametri: -z: fuso orario impostato sul sistema in analisi; -s: disallineamento in secondi dell ora di sistema con l ora reale 47 ; -m: il testo da anteporre al percorso e al nome del file nella timeline 48 ; -f: il file system della memoria acquisita; /images/disco-c.dd: l immagine data come input per l estrazione della timeline; /workdir/disco-c.body: il file, in formato bodyfile, contenente la timeline estratta dall immagine data in input. Nel caso in cui l immagine dd contenga invece più partizioni, è necessario utilizzare il parametro -o per indicare a fls l offset in settori (e non in byte, come nel caso del parametro offset del comando mount) dal quale comincia la partizione in analisi. Per avere l elenco delle partizioni e dei relativi valori di offset (espressi in settori e non in byte), si raccomanda l utilizzo del comando mml della suite TSK oppure il comando fdisk Va notata l assenza del parametro offset. 47 Si ricava verificando nel bios, durante l acquisizione, la differenza tra l orario di sistema e quello reale. 48 In genere si indica la lettera su cui è montato il drive, quindi C:, D: e così via.

37 36 Manuale DEFT 7 con i parametri -lu. Nel caso di un immagine contenente un disco con una partizione al settore 63 (in genere le partizioni uniche o la prima partizione cominciano sempre al settore 63) avremmo quindi: fls o 63 -z GMT -s 0 -m C: -f ntfs -r /images/disco-c.dd > /workdir/disco-c.body A questo punto avremo un file (per comodità con estensione.body) in formato body 49, contenente la timeline del sistema in analisi. Tale formato non è immediatamente fruibile da parte dell esaminatore poiché contiene le date codificate e i record non ordinati. È quindi necessario elaborarlo in modo da renderlo leggibile, ordinato e nel formato prescelto 50. Riportiamo un estratto di un file body, dal quale si deduce chiaramente la difficoltà nell interpretazione del contenuto da parte dell operatore: [...] 0 C:/WINDOWS/inf/mdmpin.PNF r/rrwxrwxrwx C:/WINDOWS/inf/mdmpn1.inf r/rrwxrwxrwx C:/WINDOWS/inf/mdmpn1.PNF r/rrwxrwxrwx C:/WINDOWS/inf/mdmmod.PNF r/rrwxrwxrwx C:/WINDOWS/inf/mdmmoto.inf r/rrwxrwxrwx [...] mactime Mactime è lo strumento della suite TSK che si occupa di convertire le timeline dal formato body al formato CSV, ordinandone le voci e modificando i parametri di visualizzazione in base alle necessità dell operatore. Solitamente il comando da eseguire è il seguente: mactime -b /workdir/disco-c.body -z gmt -d > /workdir/disco-c.csv -b specifica il file da dare in input, -z la time zone, -d > /workdir/disco-c.csv rappresenta il file di output contenente la time line in formato csv 51. Aspetto da non sottovalutare, il comando mactime ha una funzionalità di reportistica riassuntiva dell attività giornaliera ed oraria rilevata sul filesystem, che si va ad aggiungere alla funzione di conversione in formato CSV e ordinamento dei record generati dal comando fls. Tale informazione può essere indispensabile per valutare in quali giorni o in quali orari sono rilevabili sul PC attività marcate di utilizzo, evidenziando picchi e In genere si utilizzerà il formato.csv per la compatibilità con gli editor e con i fogli di calcolo. 51 È preferibile l esportazione in formato csv per facilitare la consultazione tramite applicazioni come OpenOffice o Excel.

38 37 Manuale DEFT 7 anomalie magari dovute ad attività durante il week-end che in una timeline tradizionale difficilmente saltano all occhio. Per avere un report delle attività su filesystem avvenute giornalmente, è sufficiente aggiungere i parametri d i seguiti dal nome del file in cui si desidera salvare tale report. L attività oraria si ottiene, invece, con i parametri h i seguiti dal nome del file in cui si desidera salvare tale report. Otterremo, in questo modo, un file contenente record simili ai seguenti: [...] Wed Oct : 801 Thu Oct : 987 Fri Oct : 252 Sun Oct : Mon Oct : 463 Tue Oct : 711 [..] Nell esempio precedente si può notare che in data 16 ottobre 2011 si sono verificate attività su file 52. Tale valore potrebbe non essere d interesse ma può, in alcuni contesti, essere di grande importanza 53. è consigliabile dare verificare la continuità o la media dei valori durante la maggior parte dei giorni analizzati, che si attesta magari su un determinato valore (es. <1000), e raggiungere, come nell esempio, picchi di decine di migliaia in un giorno specifico. L operatore dovrebbe procedere, a questo punto, ad analizzare più in dettaglio la timeline del giorno in cui è stata rilevata l anomalia 54. La tabella seguente è utile per interpretare il significato dei valori che appaiono nella colonna Activity Type. Essi indicano le azioni compiute su file e cartelle in un determinato arco temporale. 52 Si intende accesso, creazione o modifica di file a livello di entry MFT o di file. 53 Ad esempio, se il PC in analisi è un asset di un azienda in cui l attività lavorativa avviene dal lunedì al venerdì, l investigatore dovrebbe approfondire il motivo per cui un attività così elevata si sia verificata di domenica. 54 Eseguendo ad esempio nuove analisi del registro, inserimento di penne USB, avvio di programmi, creazione di file LNK, ecc.

39 38 Manuale DEFT 7 Vediamo ora un esempio di risultato dell elaborazione di un file in formato body generato dal comando mactime: [ ] Fri Mar :08: ac. r/rrwxrwxrwx C:/WINDOWS/system32/dllcache/fp4autl.dll Fri Mar :08: b r/rrwxrwxrwx C:/WINDOWS/Prefetch/IMAPI.EXE-0BF740A4.pf Fri Mar :11: b r/rrwxrwxrwx C:/WINDOWS/system32/wbem/Logs/wmiadap.log Fri Mar :11: cb r/rrwxrwxrwx C:/WINDOWS/system32/drivers/ASUSHWIO.SYS [ ] 5.5 Creazione di una supertimeline Le timeline, così come illustrate al paragrafo precedente, sono molto utili ma limitate alle attività rilevate sul filesytem 55. Oltre ai timestamp riguardanti i file, sono numerosissimi i metadati presenti sul sistema in analisi che possono essere integrati con la timeline del filesystem 56. Gli strumenti per generare questo genere di timeline arricchite 57 sono già inclusi in deft. Anche in questo caso il punto di partenza è l immagine di un disco o un disco stesso, così come avviene per le timeline tradizionali realizzate tramite fls + mactime (o l interfaccia grafica Autopsy). Lo strumento specifico che utilizzeremo è log2timeline 58, framework scritto da Kristinn Gudjonsson e al cui sviluppo dei plugin ha collaborato l intera comunità scientifica. Log2timeline lavora elaborando (parsing), in modo ricorsivo, i file contenuti in una partizione montata con alcuni parametri specifici, per permettere l accesso ai metadati del filesystem. In particolare, i metadati che log2timeline è in grado ad oggi di elaborare ed inserire in una supertimeline sono elencati in questo elenco di input modes: 1. Apache2 Access log; 2. Apache2 Error log; 3. Google Chrome history; 4. Encase dirlisting; 5. Windows Event Log files (EVT); 6. Windows Event Log files (EVTX); 55 Quindi limitate alle mere operazioni di creazione, modifica o accesso dei file. 56 Alcuni esempi: i log di visite del browser, le modifiche alle chiavi di registro del sistema, i log degli antivirus, l attività del registro di sistema, i file link in formato LNK, i prefetch ecc. 57 Nel gergo forense si indicano ormai con il termine di supertimeline. 58

40 39 Manuale DEFT 7 7. EXIF; 8. Firefox bookmark; 9. Firefox 2 history; 10. Firefox 3 history; 11. FTK Imager Dirlisting CSV file; 12. Generic Linux log file; 13. Internet Explorer history file, parsing index.dat; 14. Windows IIS W3C log file; 15. ISA server text export; 16. Mactime body file; 17. McAfee AntiVirus Log; 18. MS-SQL Error log; 19. Opera Global and Direct browser history; 20. OpenXML metadata (Office 2007); 21. PCAP files; 22. PDF; 23. Windows Prefetch directory; 24. Windows Recycle Bin (INFO2 or I$); 25. Windows Restore Point; 26. Safari Browser history file; 27. Windows XP SetupAPI.log file; 28. Adobe Local Shared Object file (SOL/LSO), aka Flash Cookies; 29. Squid Access Logs (httpd_emulate off); 30. TLN (timeline) body file; 31. UserAssist key of the Windows registry; 32. Volatility (psscan e psscan2 output); 33. Windows Shortcut files (LNK); 34. Windows WMIProv log file; 35. Windows XP Firewall Log file (W3C format). La supertimeline può essere salvata in diversi formati. Il più utilizzato è il formato CSV 59, interpretabile dai più disparati fogli di calcolo e visualizzabile/modificabile anche 59

41 40 Manuale DEFT 7 semplicemente tramite editor testuali. L elenco completo degli output modes nei quali è attualmente possibile esportare l elaborazione della supertimeline è il seguente: BeeDocs; CSV; SQLite; CEF; CFTL; Mactime; SIMILE; TLN; TLNX. Il primo passo per generare una supertimeline è, come già scritto, l avere l immagine raw contenente la partizione da esaminare. Si può utilizzare un device (es. /dev/sda), un file immagine dd/raw oppure ancora file EWF, AFF o split raw convertiti come spiegato nei paragrafi precedenti. Ipotizziamo di avere un file image.dd contenente l immagine del disco che intendiamo analizzare. La prima cosa è montare, nelle modalità precedentemente indicate, le partizioni di cui intendiamo ottenere una supertimeline. Decidiamo di voler analizzare l unica partizione NTFS del disco posizionata all offset 63 e identificata dalla lettera C: in Windows. Eseguendo il comando: mount -o ro,loop,show_sys_files,streams_interface=windows,offset=$((512*63)) /mnt/raw/img.dd /mnt/c Il disco C: sarà montato nella directory /mnt/c da dove eseguiremo il programma log2timeline: log2timeline -p f winxp -r -z Europe/Rome /mnt/c/ -m C: -w c-log2t-unsorted.csv I parametri suggeriti sono i seguenti: -p: indica a log2timeline di fare un preprocessing ricorsivo della directory in analisi allo scopo di ottenere informazioni utili per i plugin che saranno avviati in seguito 60 ; -f: indica il tipo di sistema operativo (e quindi il set di plugin) che si desidera applicare alla directory passata in input 61 ; -r: indica a log2timeline di analizzare i file ricorsivamente senza quindi limitarsi quindi a quelli contenuti nella directory indicata; -z: indica il fuso orario (timezone) impostato nel PC in analisi 62 ; -m: indica la stringa da anteporre al percorso e al nome del file nell output di generazione della supertimeline, in genere si utilizza per indicare la lettera del 60 Ad esempio può essere ricavato l hostname della macchina, gli utenti, il browser predefinito, la timezone, ecc. 61 Può essere omesso, indicando quindi a log2timeline di testare tutti i plugin su tutti i file. 62 Può essere ricavato automaticamente tramite il parametro -p ma spesso è utile indicarlo manualmente.

42 41 Manuale DEFT 7 drive del disco in analisi (es. C:, D:, ecc.); -w: indica il file in cui salvare la supertimeline generata in formato CSV. Risultato dell operazione è un file CSV contenente le singole voci ricavate dall analisi dei diversi artefatti, disposti nell ordine in cui sono stati analizzati. è quindi necessario utilizzare un strumento per ordinare le entry, selezionare eventualmente un periodo di interesse e filtrare, se necessario, contemporaneamente su parole chiave di interesse. Lo strumento dotato di queste funzionalità è l2t_process, anch esso parte del framework log2timeline. Per ordinare e visualizzare, ad esempio, l attività del PC avvenuta nel 2011, registrata nel file CSV c-log2t-unsorted.csv ci avalleremo del seguente comando: l2t_process -i -b c-log2t-unsorted.csv -y k keywords.txt > c-log2t csv Le opzioni interessanti dello script l2t_process sono: -i: sono inserite in output anche entry fuori dall intervallo temporale indicato, se queste contengono informazioni che fanno sospettare attività di timestomping 63 ; -y: forza il formato delle date in yyyy-mm-dd piuttosto del predefinito mm-ddyyyy; -b: indica quale file deve essere analizzato dallo script; -k: indica il file contenente le parole chiave a cui siamo interessati, escludendo dall output i record che non le contengono. Il risultato dell esecuzione di log2timeline e l2t_process sarà un lungo elenco di attività rilevate su filesystem 64 e dai metadati ricavati dai tipi di file indicati in precedenza (registro, eventi, link, browser history, ecc...). 63 Es. MFT record con valore 0 sui millisecondi. 64 Nel caso di NTFS avremo voci ricavate dalla tabella MFT.

43 42 Manuale DEFT 7 Le colonne del file avranno l intestazione seguente: 1. Date 2. Time 3. Timezone 4. MACB 5. Source 6. Sourcetype 7. Type 8. User 9. Host 10. Short 11. Desc 12. Version 13. Filename 14. Inode 15. Notes 16. Format 17. Extra A questo punto la difficoltà sarà nel filtrare le migliaia, a volte centinaia di migliaia, di voci per concentrarsi su quelle rilevanti. Da linea di comando, il programma grep può fornire un valido aiuto per escludere o, a posteriori, includere nella lista alcuni tipi di attività. È altresì possibile importare la supertimeline in un foglio di calcolo 65 per filtrare ed analizzare il contenuto utilizzando le funzionalità tipiche di questo tipo di applicazione. Una delle categorie principali sulla quale è interessante applicare filtri è quella concernente il tipo di metadato rilevato, nella colonna 6 Sourcetype. Tra i tipi disponibili cui avremo interesse a filtrare, ci saranno ad esempio NTFS $MFT, REG, Event Log, WEBHIST, XP Prefetch, ecc... che ci permetteranno di distinguere tra navigazione internet, inserimento di penne USB (cercando USBSTOR nei record relativi il registro), apertura file (NTFS $MFT), o quanto altro di nostro interesse. 5.6 Ricerca file e cartelle È possibile effettuare ricerche di file e cartelle utilizzando uno dei seguenti strumenti: locate; find Locate Locate permette la ricerca di file all interno di memorie di massa. Prima è necessario eseguire un indicizzazione tramite il comando updatedb. Esempio: locate finanza q i 65 Deft presenta la suite libreoffice che include il foglio di calcolo Calc,

44 43 Manuale DEFT 7 Esegue una ricerca, senza distinguere tra maiuscole e minuscole (-i), dei file che contengono nella propria nomenclatura la parola finanza. Grazie all opzione -q saranno segnalati gli errori di accesso a determinate directory del sistema indicandone anche il motivo (es. errori di tipo access denied ). Esempio: locate *.png -q Esegue una ricerca di tutti i file con estensione png Find Find permette di eseguire la ricerca di file senza alcuna indicizzazione preventiva. Esempio: find. -iwholename *porn*.png Ricerca tutti i file che contengono la stringa porn nel nome e che abbiano estensione.png, senza alcuna distinzione maiuscole e minuscole. Esempio: find. -ctime -2 > lista.txt Trova tutti i file creati negli ultimi 2 giorni e riportandone l elenco nel file lista.txt 5.7 Carving di file L attività di carving consiste nel recupero di file non più referenziati dal file system, attraverso il riconoscimento di header e footer 66 del file. È un procedimento molto lungo perché il disco è esaminato dal primo all ultimo bit. Metaforicamente parlando, possiamo paragonare questo processo di lettura a quello di un unità nastro Foremost Foremost permette il recupero di file cancellati direttamente da memorie di massa o, preferibilmente, da file bit stream image. Il comando foremost -o outpdir dump.img esegue il carving sul file dump.img secondo la configurazione impostata in /etc/foremost.conf e salva i file estratti nella directory outpdir. 66 Header e footer sono firme che caratterizzano l inizio e la fine di un determinato tipo di file; nel dettaglio consistono in un gruppo di valori ottali o esadecimali consecutivi sempre presenti in una certa posizione di un determinato file all'inizio o alla fine dello stesso.

45 44 Manuale DEFT 7 Il comando foremost -t png -o outpdir dump.img esegue il carving di tutti i file png sul file dump.img e salva i file estratti nella cartella outpdir. Tramite il parametro t è possibile ricercare i seguenti tipi di file: jpg gif png bmp avi exe mpg wav riff wmv mov pdf ole doc zip rar htm cpp

46 45 Manuale DEFT 7 Capitolo 6: DEFT Linux GUI mode 6.1 Introduzione L interfaccia grafica di DEFT Linux è basata sul desktop environment LXDE (Lightweight X11 Desktop Environment) 67. La scelta del desktop manager è caduta su questo progetto perchè ad oggi è una delle interfacce grafiche più leggere e perforanti del mondo Linux. L utilizzo della modalità grafica è richiesto nei casi in cui si debbano utilizzare programmi che non nascono per l utilizzo a riga di comando, come ad esempio, Digital Forensic Framework (DFF) 68 o Catfish. Dalla versione 6 le applicazioni native per sistemi Microsoft Windows, di cui non esiste un equivalente altrettanto potente per Linux, sono stati integrate ed emulate direttamente da DEFT Linux mediante il software Wine 69. Per avviare l interfaccia grafica di DEFT Linux è sufficiente digitare il comando deft-gui

47 46 Manuale DEFT 7 Deft: Linux GUI Il desktop presenta i seguenti elementi: 1. Directory per la raccolta delle evidenze 2. Procedura per l installazione di DEFT Linux 3. Terminale dei comandi 4. Menu applicazioni 5. PcmanFM File Manager 6. Gestione lingua tastiera 7. Mostra Desktop 8. Gestione multi desktop 9. Controllo audio del sistema 10. Network manager 11. Data e ora 12. Gestione fuso orario 13. Spegnimento e riavvio sistema

48 47 Manuale DEFT 7 DEFT: Linux menu Nel dettaglio il Menu Applicazioni presenta le seguenti sezioni: Accessories: Archive Manager, Character Map, Disk Utility, File Manager, Galculator, Image Viewer, Leafpad, LXTerminal, Truecrypt e Xpad. DEFT: Analisys tool, Antimalware tools, Carving tools, Hashing tools, Imaging tools, Mobile forensics, Network forensics, Osint tools, Password recovery, Reporting tools, Disk utility, File Manager, Gparted, Midnight commander, Mount ewf, MountManager, Wipe e Xmount. Graphics: Document viewer. Internet: Firefox e Sun Java 6 web start. Services: Apache start, Apache stop, Mysql start, Mysql stop, Samba start, Samba stop, SSH start, SSH stop, Xplico start, Xplico stop. Sound & Video: Audacious, Desktop recorder, VLC media player e Xfburn. Wine. System tools: Gdebi package installer, Gparted, Printing, Synaptic package manager, System Profiler and benchmark, Task manager, Time and date, update manager, Users and groups e Windows wireless drivers.

49 48 Manuale DEFT 7 Preferences: Additional drivers, Adobe Flash Player, Customize look, Desktop session setting, Disk utility, Keyboard and mouse, Language support, Lxkeymap, Monitor settings, Network connections, Openbox configuration, Preferred applications, Software sources, Sun Java 6 Plugin control panel e Sun Java 6 Policy tool. 6.2 Gestione della memoria di massa Come già scritto in precedenza, il sistema non compie alcuna azione ad eccezione del rilevamento dei device collegati al sistema. Utilizzando il file manager, tutte le memorie di massa, interne ed esterne, direttamente collegate al sistema non saranno mai montate in automatico. Facendo clic con il tasto destro sull'icona della memoria di massa saranno visualizzate le policy per il mount: Mount Read Only: permette l accesso alla memoria di massa in sola lettura evitando qualsiasi tipo di alterazione dei dati contenuti e della memoria stessa; Mount Volume: permette l accesso alla memoria di massa in lettura e scrittura; Eject volume: permette la rimozione sicura della memoria dal sistema. Tramite l applicazione Mount Manager l operatore potrà definire le policy di mount sulla base delle sue esigenze operative. Attività di Mount usando PcmanFMr

50 49 Manuale DEFT Mount manager Mount manager permette di creare in semplici clic policy di mount avanzate. Nell immagine abbiamo riportarto la procedura per eseguire il mount di una memoria di massa in RO (read only) bloccando qualsiasi azione che possa alterare il file system. Policy di mount per bloccare le possibili alterazioni al file system Per eseguire il mount è necessario associare una directory esistente ad una partizione della memoria assicurandosi che siano stati configurati i parametri noatime, noauto, ro, noexec che garantiscono che la memoria di massa non sia alterata durante l utilizzo. Solo in questo modo sarà possibile accedere al file system in sola lettura e usarlo senza aggiornare l inode access time 70. Con Mount Manager è possibile eseguire anche il mount di file di acquisizioni in formato dd e di file system di rete come Samba (Windows share) e NFS. 70 Informazione temporale di ultimo accesso ad una risorsa del file system

51 50 Manuale DEFT Calcolo dell hash Dhash è l unico strumento in DEFT Linux dedicato al calcolo di hash in modalità grafica. dhash: Calcolo dell hash di un device Avviato il programma, fate clic su open device per scegliere una memoria di massa o su Open file per selezionare un file. Indicate la tipologia di hash da calcolare (md5, sha1 od entrambi) e fate clic su Starts. Una volta terminata l operazione è possibile salvare un report html dei risultati facendo clic su save log. 6.5 Acquisizione di memorie di massa Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in formato dd, mentre il secondo è caldamente consigliato per le acquisizioni in parallelo ed in formato ewf.

52 51 Manuale DEFT Dhash In Dhash, la procedura per l acquisizione è simile a quella per il calcolo dell hash. Selezionate il device da acquisire facendo clic su open device e poi su Acquire. Potete inoltre decidere di acquisire e comprimere in formato gz spuntando la casella Compress e/o scegliere se eseguire il calcolo del o degli hash. Acquisizione con calcolo simultaneo degli hash md5 e sha1 Premendo il pulsante Starts è avviata l acquisizione. Al termine delle attività, è possibile salvare un report in formato html facendo clic sul pulsante Save log.

53 52 Manuale DEFT Guymager Guymager permette una gestione più avanzata delle acquisizioni rispetto a Dhash. Guymage: Gestione caso per la fase di acquisizione Guymager permette, oltre all acquisizione simultanea di più memorie di massa, anche l inserimento di informazioni quali: Codice caso; Catalogazione dell evidence; Nome dell operatore che sta compiendo le operazioni; Descrizione dell oggetto che si sta acquisendo. Il programma supporta tutti i principali formati di acquisizione (dd, aff ed encase) e permette di eseguire il controllo d integrità, tramite verifica dell hash md5 o sha256, sia dell immagine creata sia del device originale (anche su immagini splittate ). Per avviare il processo di acquisizione in Guymager fate clic con il tasto destro del mouse

54 53 Manuale DEFT 7 sulla memoria di massa da clonare e selezionare la funzione Acquire image. Nella finestra Acquire Image è possibile indicare numerosi parametri dell acquisizione o della gestione del caso. 6.6 Ricerca di file e cartelle Catfish Catfish permette di compiere le stesse operazioni che si possono eseguire a riga di comando tramite i comandi find e locate. Nell esempio riportato nell immagine, selezionata la memoria o la cartella dove compiere la ricerca, è stata lanciata una ricerca di tutti i file aventi estensione JPG scrivendo nel campo di ricerca *.jpg. Una volta terminata la ricerca è possibile aprire i vari file elencati con un semplice doppio clic. Catfish: Ricerca di file Nella finestra sono riportate anche ulteriori informazioni dei file riguardanti la data dell ultima modifica, il percorso del file e la sua dimensione sul disco.

55 54 Manuale DEFT Findwild Findwild è un programma che permettere di ricercare parole all interno di file. Specificando la directory d interesse e le parole chiave, è possibile ottenere un elenco dei file contenenti le chiavi di ricerca. Findwild: Ricerca di contenuti

56 55 Manuale DEFT Carving di file da GUI Hunchbacked 4most (H4m), disponibile in italiano e inglese, è un interfaccia grafica per la gestione delle principali funzioni di foremost e scalpel. Tramite H4m, una volta scelto il programma da impiegare come file carver, è possibile eseguire il carving con alcuni semplici clic. Hunchbacked 4most: Carving di file con Foremost H4m, una volta indicati il file o il device in cui eseguire la ricerca e la cartella dove memorizzare i file recuperati, ricerca e salva tutti i file con header e footer specificati dall operatore.

57 56 Manuale DEFT 7 Hunchbacked 4most: Carving di file con Scalpel Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile personalizzare la ricerca indicando un nuovo file di configurazione contenente gli header ed i footer d interesse.

58 57 Manuale DEFT Gestione di un caso con Autopsy Autopsy forensic browser è un interfaccia grafica per la gestione delle funzionalità di The Sleuth Kit 71. È utilizzata principalmente per la gestione dei casi in cui è richiesta l analisi di memorie di massa. Autopsy permette di: utilizzare direttamente il device o le acquisizioni in formato dd, aff ed encase; visualizzare informazioni sul tipo di file system; analizzare e identificare il contenuto di file e directory e i loro riferimenti temporali; recuperare file cancellati; gestire un database degli hash di file del caso posto ad analisi; creare ed analizzare timeline; eseguire ricerche di file per parola chiave; analizzare meta dati; creazione di report delle evidenze riscontrate; creazione di un caso. Avviato Autopsy dalla sezione Disk Forensic, è richiesto all operatore se intende creare un nuovo caso o aprirne uno esistente. In questo esempio faremo clic su new per la creazione del caso di prova ed inseriremo i dati in nostro possesso per la catalogazione, come nome, descrizione e nominativi degli investigatori: 71

59 58 Manuale DEFT 7 Creazione nuovo caso Una volta confermati i dati, in /root/evidence/nome caso sarà creata una directory contenente tutti i dati del caso. All interno di un caso possono essere aggiunti uno o più oggetti (raffiguranti o i soggetti appartenenti o i sistemi informatici) facendo clic su add host all interno del caso ed inserendo i dati richiesti:

60 59 Manuale DEFT 7 Aggiunta di oggetti che compongono il caso Ad ogni oggetto possono essere aggiunte una o più memorie di massa: è sufficiente fare clic su add image file, inserire nel campo location o il collegamento diretto ad una memoria di massa (es: /dev/sdx) o il path contenente il file dell acquisizione (es: /media/forensic/disco001.dd) e specificare se la memoria che stiamo aggiungendo è una partizione o l intera memoria di massa; per quanto riguarda l import method, per comodità d uso è caldamente consigliato lasciare il valore predefinito symlink.

61 60 Manuale DEFT 7 Aggiunta di memoria di massa all interno dell oggetto Una volta aggiunta la memoria sarà chiesto se calcolare, o inserire manualmente se già calcolato, il valore dell hash md5 72 e di specificare il nome simbolico della partizione ed il suo file system. 72 Autopsy supporta solo l algoritmo di hash md5.

62 61 Manuale DEFT 7 Gestione valore dell hash e tipo di file system della/e partizioni La creazione dell oggetto Disco001 sarà completa al termine delle operazioni precedenti. È possibile continuare ad aggiungere altre memorie all oggetto o iniziare la nostra analisi facendo clic su Analyze.

63 62 Manuale DEFT 7 Gestione dell oggetto Disco001 appartenente al caso L interfaccia del modulo di analisi permette all operatore di visualizzare l albero delle directory della partizione sottoposta ad analisi e, una volta selezionato un file, di visualizzarne un anteprima del contenuto. L accesso al file è in sola lettura in modo da non alterarne né i riferimenti temporali né i metadati. Nella schermata di analisi è visualizzato: Il nome file/directory ed il suo percorso; I valori temporali come data creazione, ultimo accesso ed ultima modifica; Il tipo di dato; Se il dato è stato cancellato o meno (in rosso se vi è stata richiesta l azione di eliminazione del dato).

64 63 Manuale DEFT 7 Autopsy: File analysis Un altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la ricerca mediante il comando grep e si estende su tutto l albero del file system, compreso lo spazio non allocato. Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie contenenti molti file o memorie di grandi dimensioni. In questi casi raccomandiamo di avviare la ricerca per parola chiave utilizzando una shell di sistema ed eseguire il grep a riga di comando. La stessa raccomandazione è valida per la creazione di time line.

65 64 Manuale DEFT 7 Ricerca di file per argomento

66 65 Manuale DEFT Xplico Il progetto DEFT ha sempre sostenuto, sin dalle primissime release di DEFT Linux, l evoluzione del progetto Xplico 73. L utilizzo di Xplico è molto semplice: dato in input un file pcap 74 contenente un dump di traffico di rete IP, il programma è in grado di ricostruire i contenuti dei dati transitati in quel momento nella rete IP rendendoli disponibili e consultabili grazie ad una comoda interfaccia web. Dalla release 7 di DEFT, Xplico viene gestito come servizio. Pertanto, per poter eseguire l applicativo, sarà necessario avviare i seguenti servizi in sequenza: 1. Apache web server; 2. Xplico. L avvio dei servizi sopra citati può avvenire tramite menu DEFT > menu services, oppure tramite l utilizzo della linea di comando. Una volta avviati i servizi è possibile lanciare l icona Xplico dal menu Network Forensics. 73 Il tool, reperibile presso questo indirizzo è diventato nel tempo uno dei più potenti Network Forensic Tool open source. 74 Questo tipo di file contiene pacchetti di dati catturati tramite i programmi "packet sniffing". Solitamente sono pacchetti che sono stati registrati durante la trasmissione in una rete.

67 66 Manuale DEFT Creazione di un caso Manca la didascalia Avviamo Xplico dalla sezione Network Forensics del menu di DEFT ed inseriamo le Login Xplico seguenti credenziali per ottenere l accesso al gestore casi: user: xplico password: xplico Queste credenziali riguardano l utente predefinito che può creare e gestire solo i casi ma non modificare le impostazioni dell applicazione. Per poter personalizzare le impostazioni del pannello di controllo, creare nuovi utenti, ecc., è necessario eseguire il login con le credenziali di administrator: user: admin password: xplico Nell esempio seguente abbiamo creato un nuovo caso denominato Pippo dove è acquisito ed analizzato tutto il traffico che in quel momento è passato attraverso l interfaccia eth0 della nostra postazione.

68 67 Manuale DEFT 7 Xplico: Gestione casi Al Termine della fase di acquisizione, Xplico avrà già decodificato e ricostruito tutti i tipi di dati supportati, cioè: http dns web mail smtp pop3 imap sip telnet ftp tftp rtp pjl facebook chat msn irc

69 68 Manuale DEFT 7 Report dei dati ricostruiti Nell esempio precedente abbiamo visitato il sito richiesto dall utente intercettato. L elenco contenente le ricostruzioni di tutti i siti web e di tutti i contenuti visualizzati è consultabile alla voce site del menu web.

70 69 Manuale DEFT 7 Lista di tutte le get eseguite dal browser Va tenuto conto che l elenco di tutte le get 75 eseguite comprende anche quelle che l utente esegue involontariamente come ad esempio tutte le richieste che vengono fatte dalla pagina web ai vari url contenenti pubblicità o script per il tracciamento. 75 Richiesta ad un web server per la visualizzazione di un determinato url.

71 70 Manuale DEFT Hydra Hydra è uno dei più noti software utilizzati per la forzatura di login e password mediante attacco a forza bruta 76. Hydra : selezione dei protocolli 76

72 71 Manuale DEFT 7 L elenco seguente indica i protocolli ed applicativi su cui si può eseguire un attacco brute force utilizzando Hydra: AFP Cisco AAA Cisco auth Cisco enable CVS Firebird FTP HTTP-FORM- GET HTTP-FORM- POST HTTP-GET HTTP-HEAD HTTP-PROXY HTTPS-FORM- GET HTTPS-FORM- POST HTTPS-GET HTTPS-HEAD HTTP-Proxy ICQ IMAP IRC LDAP MS-SQL MYSQL NCP NNTP Oracle Listener Oracle SID Oracle PC-Anywhere PCNFS POP3 POSTGRES RDP Rexec Rlogin Rsh SAP/R3 SIP SMB SMTP SMTP Enum SNMP SOCKS5 SH (v1 and v2), Subversion Teamspeak (TS2) Telnet VMware-Auth VNC XMPP All interno di DEFT Linux non sono inclusi dizionari per eseguire le attività di violazione password. Tramite l applicazione cupp è possibile generare dizionari personalizzati: rispondendo alle domande che vi pone l applicazione è possibile generare una elenco di parole chiave basate sulle informazioni presenti nella macchina protetta dalle credenziali da forzare Le wordlist sono reperibili facilmente in rete in diverse tipologie: lingue, raccolte di password, ecc. come ad esempio ftp://ftp.ox.ac.uk/pub/wordlists/ o

73 72 Manuale DEFT Keepnote Keepnote è un software utilizzato per la raccolta e la classificazione di informazioni. Nel campo della Computer Forensics può essere usato per la gestione delle evidence, catalogando le memorie di massa e tutte i risultati delle analisi all interno di altri oggetti. KeepNote: la raccolta di evidence È possibile creare un albero di oggetti (directory e pagine), strutturarlo secondo le proprie esigenze ed inserire all interno delle pagine informazioni quali: Testo non formattato; Html; Immagini; File. Le informazioni inserite all interno del notebook creato con KeepNote possono essere salvate nel formato KeepNote o esportate in un file html.

74 73 Manuale DEFT Maltego Maltego 78 può essere utilizzato sia nell ambito della Computer Forensics sia di Cyber Intelligence. È multi-piattaforma, scritto in Java, in grado di trovare e rappresentare graficamente collegamenti tra persone, gruppi, aziende, siti web, città, vie, , numeri di telefono, indirizzi IP, nomi di dominio, file, documenti, ecc. Maltego CE, creazione di un diagramma Poiché l utilizzo di questo programma esula dagli scopi di questo documento, il suo funzionamento non verrà trattato nel dettaglio. Vi suggeriamo di fare riferimento all esaustiva documentazione ufficiale presso questo indirizzo:

75 74 Manuale DEFT 7 Capitolo 7: Mobile forensics Dalla release 7 di DEFT Linux sono inclusi alcuni strumenti destinati all analisi dei dispositivi cellulari. È ora disponibile Sqlite database browser per permettere l analisi dei database Sqlite, usati nella maggior parte delle applicazioni dei dispositivi Android, Iphone e Ipad. Per l analisi dei cellulari è stato incluso: Ipddump per l analisi dei backup di dispositivi BlackBerry; Iphone Analyzer per l analisi di iphone dalla versione 3 e precedenti; Iphone backup analyzer per l analisi dei backup di dispositivi iphone; Bitpim che supporta i seguenti dispositivi: Audiovox CDM8900 LG AX-8600 LG C2000 LG G4015 LG LX570 LG PM225 LG UX-5000 LG VX-3200 LG VX-4400 LG VX-4500 LG VX-4650 LG VX-5200 LG VX-5300 LG VX-6000 LG VX-6100 LG VX-7000 LG VX-8000 LG VX-8100 LG VX-8300 LG VX-8500 LG VX-8560 LG VX-8600 LG VX-8610 LG VX-8700 LG VX-8600 LG VX-8800 LG VX-9100 LG VX-9200LG VX LG VX-9700 LG VX-9800 LG VX-9900 LG VX LG VX Motorola E815 Motorola E815m Motorola K1m Motorola V325 Motorola V325M Motorola V3c Motorola V3cm Motorola V3m Motorola V3mM Motorola V710 Motorola V710m Samsung SCH-A870 Samsung SCH-A930 Samsung SCH-A950 Samsung SCH-U470 Samsung SCH-U740 Samsung SCH-U750 Samsung SPH-M300 Sanyo SCP-6600 (Katana) Other Sanyo Phones Toshiba VM-4050

76 75 Manuale DEFT 7 Bitpim: la lista dei telefoni supportati

77 76 Manuale DEFT Android Android è un sistema operativo open source, derivato da linux, destinato ai dispositivi mobile (smartphone, tablet, netbook). Particolarmente diffuso nei sistemi a basso costo di origine cinese, è presente in una grandissima varietà di dispositivi, scavalcando per diffusione ios (è possibile installarlo sullo stesso iphone di Apple 80 ) e l ormai datato ma ancora molto utilizzato Nokia OS 81. Il sistema, sviluppato attualmente dalla Open Handset Alliance 82 (OHA) guidata da Google, ha visto la luce per la prima volta nel novembre del 2007 e, ad ogni release, si è arricchito di funzionalità che ne hanno garantito una notevole maturità. In questo momento le versioni più recenti del sistema operativo sono: 2.3.x Gingerbread: diffusa soprattutto tra gli smartphone ed i tablet di fascia bassa; 3.2 Honeycomb: destinata ai tablet, ha introdotto un supporto maggiore per gli schemi di dimensioni maggiori, multiprocessori ed hardware per l accelerazione grafica. Si sta diffondendo sempre più la nuova versione 4.0 Ice Cream Sandwich, che dovrebbe riunire i punti di forza delle due versioni. In questo capitolo, per ragioni di spazio, rivolgeremo la nostra attenzione solo alla versione 2.3.x Gingerbread. L OHA, comunque, non cura l aggiornamento del sistema operativo installato nei singoli dispositivi demandando questa incombenza ai singoli produttori che decidono autonomamente il rilascio delle patch per la correzione di problemi di sicurezza o l implementazione di nuove funzioni. Questa politica di mercato ha causato indirettamente la nascita di un gran numero di Rom Cooked, tratte dalla versione 2.3, personalizzate per i singoli modelli e più performanti della versione normalmente presente nel dispositivo. Ciò influenza pesantemente il lavoro dell operatore che si trova a compiere un analisi forense poiché non potrà sapere con certezza quale versione di Android sia installata nel dispositivo sottoposto a perizia 83. Il sistema operativo di base supporta le funzionalità essenziali di uno smartphone: connessioni via GSM/EDGE, UMTS, Bluetooth, Wi-Fi, WiMAX; chiamate; ricezione e trasmissione di SMS e MMS; supporto multilingue; navigazione web; Dalvik virtual machine 84 ; supporto multimediale audio/video; multitasking; comandi vocali; tethering Da intendersi come tutti i sistemi operativi installati sui dispositivi Nokia, creati da Nokia: Vedi ad esempio la rom CyanogenMod ( o la Rom Miui (miui.nexus-lab.com) nate entrambe attorno alla versione 2.3 e Macchina virtuale java ottimizza per operare con consumi energetici ridotti in dispositivi con scarsa potenza.

78 77 Manuale DEFT 7 Ulteriori funzionalità possono essere disponibili in base al tipo di hardware presente (touchscreen, GPS, accelerometro, scheda 3D, ecc.) o all aggiunta di particolari applicazioni (client per social network, gestionali di ogni tipo, sicurezza, giochi, ecc.). L'Hardware utilizzato negli smartphone è strettamente legato alle caratteristiche progettuali decise dal produttore: varia sia sulla base del budget destinato alla produzione, sia al target di mercato. Per quanto concerne la memoria del dispositivo, nella maggior parte dei casi il sistema operativo è installato all interno della memoria flash, generalmente non rimovibile senza un procedimento di dissaldatura della memoria stessa dalla piastra madre. Essa è spesso affiancata da uno slot di espansione per memorie esterne (MicroSD). Scelte diverse da quanto indicato nel paragrafo precedente sono spesso attuate dai produttori minori, solitamente aziende di origine cinese, che possono progettare l'architettura in modo drasticamente diverso. Ad esempio per quanto riguarda la memorizzazione del sistema operativo, può capitare che sia preferito l'utilizzo di schede MicroSD, di costo minore, estraibili con una semplice pressione del dito. è possibile quindi affermare che la difficoltà di accesso alla memoria del cellulare possa variare enormemente in base al prodotto da analizzare. Spesso è necessario utilizzare delle procedure che ci daranno la possibilità di andare a leggere il contenuto di partizioni accessibili solo con i permessi di root e senza smontare la memoria a stato solido dal dispositivo. Il principale punto debole di questo tipo di procedure è che sarà alterato, seppur in minima parte, il contenuto della memoria di massa. Pertanto è auspicabile che l'operatore, qualora agisca durante procedimenti penali, richieda il regime di accertamento tecnico non ripetibile per l'attività di acquisizione dei dati Breve Panoramica sulle applicazioni Google Nonostante sia molto comune che il sistema operativo sia più o meno personalizzato dal produttore dello smartphone o dall operatore telefonico, è probabile che le applicazioni google 86 siano presenti e possano costituire un fonte di informazione primaria ai fini della perizia. Tra le varie, le due principali sono il profilo Gmail e Market Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili). 86 Vedi 87 Esistono diverse eccezioni a quanto appena scritto: un esempio può essere il netbook AC 100 di Toshiba: le applicazioni Google sono assenti ed il market presente per le applicazioni è il Camangi Market (

79 78 Manuale DEFT Gmail Ai fini investigativi è il caso di tenere conto del profondo legame tra la gestione interna dello smartphone ed un account Google. Molte delle funzionalità interne (gestione dei contatti, calendario, google talk, google market, ecc.) dipendo, o posso dipendere, da un account attivo sui sistemi Google. Alcuni esempi: È necessario registrare un account Google per scaricare/acquistare le applicazioni dall Android market; I dati dei Contatti e del calendario posso essere salvati automaticamente anche nel profilo Google; Se presente, il client di Google+ offre la possibilità di caricare automaticamente ogni foto scattata tramite la fotocamera interna in un album privato di un profilo Google+ non necessariamente corrispondente all'account Google predefinito 88 ; La funzione Latitude, presente nell applicazione Maps, si appoggia anch essa al profilo Google registrato e memorizza la posizione del cellulare, check-in in locali particolari, ecc. Questi dati sono poi trasmessi e registrati nel profilo dove sono conservati fino a quando non siano eliminati dall'utente. 88

80 79 Manuale DEFT Market Analogamente a quanto si verifica per il sistema ios con l'applicazione App Store, l Android Market 89 viene utilizzato per lo scaricamento e/o acquisto, di giochi od applicazioni che permettono di aumentare le funzionalità dello smartphone. Sempre tramite il Market è possibile ottenere gli aggiornamenti delle applicazioni installate. 90 Oltre a questa modalità, il sistema operativo Android garantisce la possibilità di installare applicazioni tramite market terzi (applibs, Amazon Android Market, ecc.) oppure tramite la copia diretta dell applicazione all interno del cellulare. Va rilevato che le politiche adottate da Google nell accettare un applicazione all interno del market sono alquanto indulgenti ed hanno permesso nel corso degli ultimi mesi la presenza di malware 91 ed il successivo dilagare di diverse infezioni 92. La diffusione di malware è stata parzialmente ostacolata sia tramite la pronta diffusione degli aggiornamenti da parte di google sia tramite la disinstallazione remota dell'applicazione vettore dell'infezione 93. Il controllo sulle applicazioni è ancora minore, se non assente, nel caso di market paralleli. Sono, infatti, numerosi i casi segnalati di malware di vario tipo presenti in questi canali che per ora appaiono confinati nell'area cinese o del vicino 94. L effetto delle attività indicate qui sopra è stato limitato dalla non omogenea gestione, se presente, del rilascio di appositi aggiornamenti del firmware da parte dei produttori di smartphone o degli operatori telefonici che distribuiscono smartphone Android. Ciò condiziona pesantemente la possibilità di chiudere le falle di sicurezza nei vari modelli in circolazione e contribuisce al permanere e alla diffusione del malware. La presenza di ROM cooked gratuite 95 permetterebbe di sopperire in parte a questo problema ma la pratica di installare rom non originali viene spesso scoraggiata dalle case produttrici. Ipoteticamente le politiche di vendita prodotti e rilascio aggiornamenti potrebbero creare la possibilità di attaccare precise aree geografiche o l'utenza di determinati operatori File System in uso YAFFS2 (Yet Another Flash File System) è il file system adottato nei dispositivi Android fino alla versione 2.2. Creato da Charles Manning per l'azienda finlandese Aleph One, è al momento distribuito sotto licenza GPL. Ad oggi è ufficialmente supportato dai seguenti sistemi operativi: 89 Il market è accessibile anche via web alla pagina Permette inoltre l installazione da remoto delle applicazioni. 90 Le software house hanno inoltre la possibilità di limitare la disponibilità delle applicazioni stesse ad aree geografiche o a gestori telefonici precisi sulla base delle proprie esigenze di vendita. 91 Uno degli esempi più recenti di malware è Anserverbot ( ) Vedi ad esempio Cyanogen mod ( o Miui (

81 80 Manuale DEFT 7 Android Linux Windows CE psos ecos ThreadX La seconda versione di questo file system garantisce un alto livello d integrità del dato scritto all'interno della memoria e, allo stesso tempo, cerca di mantenere il più elevato possibile le performance di accesso ai dati 96. Rispetto alla prima versione del file system, le performance di scrittura di un file sono state migliorate del 500% e le performance di cancellazione 97 del 400%. Dalla versione 2.3 di Android, gli sviluppatori hanno deciso di abbandonare questo file system migrando ad EXT EXT4 file system Ext4 98 (fourth extended file system) è un file system journaled 99 nato come miglioramento dell'ext3 per aumentarne i limiti di immagazzinamento a 64 bit e migliorarne in parte le prestazioni. Per quanto concerne la lettura di file, nonostante le performance siano inferiori a quelle di file system concorrenti 100, richiede meno risorse della CPU ed è più performante nelle operazioni di scrittura. Ad oggi è considerato più sicuro rispetto agli altri file system Linux in virtù della sua semplicità e della maggior base di installazioni a scopo di test. 96 Viene inoltre tenuto in considerazione che l'hardware è di tipo portabile ed il tipo di memoria nel 99% dei casi è a stato solido Ad oggi ext4 è supportato nativamente da qualsiasi distribuzione Linux, da Windows mediante il progetto Ext2fs e dai principali applicativi, commerciali e non, per la Computer Forensics 99 È una tecnologia utilizzata da molti file system moderni per preservare l'integrità dei dati da eventuali cadute di tensione o spegnimenti improvvisi; si basa sul concetto di transazione, ogni scrittura su disco è interpretata dal file system come una transazione. 100 Quali ad esempio JFS, ReiserFS e XFS, Ext4.

82 81 Manuale DEFT 7 Le principali caratteristiche si possono riassumere in: file system di dimensioni fino a 1 exabyte ( terabyte); rimozione del limite delle sotto directory; pre-allocazione persistente 101 ; retro compatibilità, cioè poter eseguire il mount di un file system ex4 come se fosse un ext3 o ext2; aumento delle prestazioni per il controllo dell integrità del file system (fsck); deframmentazione in linea riducendo drasticamente la frammentazione del file system. Il supporto nativo ad ext4 è stato introdotto in Android nella versione 2.3 per le sue nuove caratteristiche legate al miglioramento nella scrittura di file ed alla loro garanzia di integrità. Da un punto di vista forense, tale implementazione ha reso molto più semplici le operazioni di analisi del file system poiché, ad oggi, non esistono strumenti software, commerciali o gratuiti, che supportino nativamente file system di tipo YAFFS Policy di utilizzo delle memorie di massa Nella maggior parte dei dispositivi Android, l utente finale può decidere come utilizzare la memoria di massa, interna ed esterna, a sua disposizione. Generalmente tutte le applicazioni scaricate ed installate dall applicazione Market vengono salvate all interno della memoria interna del dispositivo, ad eccezione di quelle che hanno implementato la funzione di scelta della memoria di massa in cui essere installate. Anche nel caso dei file prodotti dalle applicazioni presenti 102 viene data la possibilità all utente finale di decidere se salvarli nella memoria esterna o in quella interna Accesso al file system del sistema operativo Tutti i dispositivi Android delle principali case produttrici sono distribuiti senza l utenza di root abilitata e senza la possibilità di accedere direttamente al file system dove è presente il sistema operativo 103. Esiste comunque la possibilità di superare questo tipo di restrizioni in pratica per tutti i dispositivi oggi in commercio a patto che siano accettate delle modifiche parzialmente 101 In altre parole le applicazioni hanno la possibilità di pre allocare spazio su disco. 102 Ad esempio il salvataggio di allegati o di una foto scattata con il proprio dispositivo. 103 I dispositivi delle case produttrici minori di provenienza asiatica invece, in alcuni casi, non applicano questo tipo di restrizione, facilitando in questo modo l accesso alle informazioni di nostro interesse

83 82 Manuale DEFT 7 invasive al sistema stesso, alterandone in parte l originalità. Tali operazioni, rooting 104, che differiscono in base al dispositivo ed alla versione del sistema operativo, vengono disincentivate dai produttori degli smartphone al punto di minacciare la perdita immediata della garanzia in caso di rooting. Dal punto di vista forense, questo tipo di alterazione è strettamente necessaria per poter accedere alle informazioni di interesse quali il registro delle chiamate, gli sms, la cronologia della navigazione Internet e tutto ciò che una applicazione potrebbe scrivere nella directory data

84 83 Manuale DEFT Samsung Galaxy S i9000 caratteristiche hardware Lo smartphone oggetto di analisi è un Samsung Galaxy S i9000 con Android Samsung, come altre aziende produttrici di smartphone, ha deciso di personalizzare in modo pesante l architettura Android presente nei propri dispositivi. Il file system in uso su questo dispositivo è una realizzazione proprietaria di Samsung dal nome RFS (Robust FAT File System). Si tratta un file system FAT a cui è stato aggiunto un sistema di journaling che lo dovrebbe renderebbe più sicuro, evitando perdite di dati in caso di errore. Tale implementazione in realtà è stata piuttosto fallimentare dato che la maggioranza degli utilizzatori del dispositivo hanno lamentato problemi di performance, legati proprio alle scarse prestazioni che RFS fornirebbe in termini di velocità di lettura e scrittura. Da un punto di vista forense, le partizioni di tipo RFS possono essere trattate come le VFAT. Pertanto tutti i software per la Computer Forensic che supportano file system di tipo VFAT sono in grado leggere un file system RFS 105. Le principali caratteristiche hardware del dispositivo sono: Processore: S5PC110 CPU, 45 nm 1 GHz ARM Cortex-A8 based PowerVR SGX 540 GPU con supporto OpenGL ES 1.1/2.0. Memoria: 512 MB LPDDR2 RAM dedicata, MB DRAM, 8GB di memoria a stato solido con la possibilità di espansione fino a 32 GB mediante l utilizzo di una microsd card. 105 È quindi possibile immaginare che tutte le distribuzioni Linux e i software commerciali per la Computer Forensics siano già predisposti per attività di analisi per questo tipo di dispositivo.

85 84 Manuale DEFT Procedura per il rooting del dispositivo La procedura per ottenere il rooting di questo dispositivo consiste sostanzialmente nella modifica del kernel dello smathphone tramite l'aggiunta di un programma denominato busybox 106. Questa procedura è la meno invasiva per il sistema e permette che la memoria non sia né sovrascritta né cancellata, lasciando inalterato il contenuto delle partizioni di file system che contengono i file prodotti dalle applicazioni e le applicazioni stesse. Gli strumenti necessari per le operazioni di rooting del dispositivo Android sono: Il software di sincronizzazione Samsung Keies (installato ed avviato almeno una volta) 107 ; La versione di CF-ROOT 108 adatta per il dispositivo sottoposto ad indagine (controllare il numero build andando su impostazioni -> info sul telefono) che è possibile scaricare dal sito degli sviluppatori xda 109. Dopo aver ottenuto tutto il necessario, possiamo proseguire con la procedura: 1. Abilitare la modalità di debug usb dal menu impostazioni > applicazioni > sviluppo, permettendo in questo modo al telefono di trasmettere file tramite il collegamento usb; 2. Spegnere il Galaxy S e riavviarlo in modalità aggiornamento/recovery premendo contemporaneamente il tasto centrale, tasto volume giù e il tasto accensione (dovrebbe comparire un segnale di pericolo che vi avvisa sulle potenziali azioni dannose) 110 ; 3. Collegare il dispositivo tramite usb al pc ed avviare l'applicativo Odin; se il campo ID:COM è di colore giallo lo smartphone è stato riconosciuto correttamente, in caso contrario probabilmente si è verificato qualche problema con i driver del sistema operativo 111 ; 4. Estrarre l archivio CF-Root.zip, cliccare su PDA e scegliere il file scompattato; 5. Selezionare solo Auto-Reboot e F. Reset Time 112 tra le opzioni disponibili; File per la modifica del Kernel del dispositivo Tale procedura permetterà di avviare il dispositivo in una modalità dedicata all'acquisizione di file per le operazioni di flash della memoria. 111 È necessario avviate Kies con un Galaxy S (preferibilmente non quello sottoposto ad analisi) collegato tramite usb e dal menu strumenti cliccare su installa drive. 112 NON selezionate l'opzione Re-Partition: tale funzione cancellerà l'attuale kernel in uso

86 85 Manuale DEFT 7 6. Fare clic su START, dopo circa 15 secondi comparirà la scritta PASS evidenziata in verde. Da quel momento in poi il dispositivo si riavvierà in automatico con il sistema rootato Samsung Galaxy S - acquisizione fisica della memoria flash interna L attività di acquisizione fisica della memoria interna del dispositivo è sicuramente molto scomoda e rischiosa se paragonata a quella di un disco rigido. L'unico metodo a disposizione è l'utilizzo del comando dd da eseguire o mediante la tastiera virtuale del dispositivo (previa installazione di un app come "emulatore terminale") o via rete utilizzando ssh (previa installazione di un "demone ssh"). L'output del comando dd a sua volta potrà essere salvato soltanto all'interno delle memorie riconosciute dal dispositivo: o la memoria flash interna o la MicroSD. Nel nostro caso si è scelto di salvare la bit stream image all'interno della MicroSD per ragioni di comodità e portabilità della memoria esterna. Per ragioni architetturali, a differenza delle memorie di massa classiche, non è possibile eseguire la clonazione dell'intera memoria in una sola sessione, ma si è obbligati ad eseguire il comando dd per ogni partizione montata dal dispositivo.

87 86 Manuale DEFT 7 Per poter conoscere il numero di tutte le partizioni in uso dal sistema è necessario visualizzarle tramite il comando mount. Un esempio di output del comando può essere il seguente: rootfs on / type rootfs (ro,noatime,nodiratime) tmpfs on /dev type tmpfs (rw,noatime,nodiratime,mode=755) devpts on /dev/pts type devpts (rw,noatime,nodiratime,mode=600) proc on /proc type proc (rw,noatime,nodiratime) sysfs on /sys type sysfs (rw,noatime,nodiratime) none on /acct type cgroup (rw,relatime,cpuacct) tmpfs on /mnt/asec type tmpfs (rw,noatime,nodiratime,mode=755,gid=1000) tmpfs on /mnt/obb type tmpfs (rw,noatime,nodiratime,mode=755,gid=1000) none on /dev/cpuctl type cgroup (rw,relatime,cpu) /dev/block/stl9 on /system type rfs (ro,noatime,nodiratime,vfat,log_off,check=no,gid/uid/rwx,iocharset=utf8) /dev/block/stl3 on /efs type rfs (rw,nosuid,nodev,noatime,nodiratime,vfat,llw,check=no,gid/uid/rwx,iocharset=utf8) /dev/block/mmcblk0p2 on /data type rfs (rw,nosuid,nodev,noatime,nodiratime,vfat,llw,check=no,gid/uid/rwx,iocharset=utf8) /dev/block/stl10 on /dbdata type rfs (rw,nosuid,nodev,noatime,nodiratime,vfat,llw,check=no,gid/uid/rwx,iocharset=utf8) /dev/block/stl11 on /cache type rfs (rw,nosuid,nodev,noatime,nodiratime,vfat,llw,check=no,gid/uid/rwx,iocharset=utf8) /dev/block/stl6 on /mnt/.lfs type j4fs (rw,noatime,nodiratime) /sys/kernel/debug on /sys/kernel/debug type debugfs (rw,noatime,nodiratime) /dev/block/vold/179:1 on /mnt/sdcard type vfat (rw,dirsync,nosuid,nodev,noexec,noatime,nodiratime,uid=1000,gid=1015,fmask=0002,dmask=0 002,allow_utime=0020,codepage=cp437,iocharset=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/vold/179:9 on /mnt/sdcard/external_sd type vfat (rw,dirsync,nosuid,nodev,noexec,noatime,nodiratime,uid=1000,gid=1015,fmask=0002,dmask=0 002,allow_utime=0020,codepage=cp437,iocharset=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/vold/179:9 on /mnt/secure/asec type vfat (rw,dirsync,nosuid,nodev,noexec,noatime,nodiratime,uid=1000,gid=1015,fmask=0002,dmask=0 002,allow_utime=0020,codepage=cp437,iocharset=iso8859-1,shortname=mixed,utf8,errors=remount-ro) tmpfs on /mnt/sdcard/external_sd/.android_secure type tmpfs (ro,relatime,size=0k,mode=000) /dev/block/dm-0 on /mnt/asec/android.androidvnc-2 type vfat (ro,dirsync,nosuid,nodev,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iochars et=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/dm-1 on /mnt/asec/net.androgames.level-2 type vfat (ro,dirsync,nosuid,nodev,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iochars et=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/dm-2 on /mnt/asec/punteroanull.app.androick-1 type vfat (ro,dirsync,nosuid,nodev,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iochars et=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/dm-3 on /mnt/asec/com.natenai.glowhockey-1 type vfat (ro,dirsync,nosuid,nodev,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iochars

88 87 Manuale DEFT 7 et=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/dm-4 on /mnt/asec/com.feelingtouch.bocce-1 type vfat (ro,dirsync,nosuid,nodev,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iochars et=iso8859-1,shortname=mixed,utf8,errors=remount-ro) /dev/block/dm-5 on /mnt/asec/com.fridgecat.android.atiltlite-1 type vfat (ro,dirsync,nosuid,nodev,relatime,uid=1000,fmask=0222,dmask=0222,codepage=cp437,iochars et=iso8859-1,shortname=mixed,utf8,errors=remount-ro) Prima di avviare l acquisizione è necessario ottenere i permessi di root digitando il comando su. Dopo qualche secondo il terminale chiederà se confermare la richiesta di autorizzazione al programma per l esecuzione con i privilegi di amministratore. Una volta ottenuti i permessi, il comando da eseguire per l'acquisizione è il classico dd così configurato: dd if=partizione of=/mnt/sdcard/nomefile.img Pertanto nel caso in cui volessimo acquisire la partizione /system, il comando sarà dd if=/dev/block/stl9 of=/mnt/sdcard/system.img Una volta terminata l'acquisizione sarà possibile accedere alla partizione clonata mediante il comando mount, trattando la partizione RFS come se fosse una vfat: mount -o loop -t vfat o ro system.img /mnt/evidence/system dove -o loop permette di eseguire il mount di immagini in formato bit stream; -t vfat dichiara che il tipo di partizione che si desidera utilizzare è di tipo vfat; -o ro permette di accedere in sola lettura alla partizione; /mnt/evidence/system è il percorso creato per visualizzare il contenuto della memoria acquisita all'interno della directory. 7.4 Samsung Galaxy S - acquisizione fisica della memoria esterna A differenza della memoria flash interna del dispositivo, l'acquisizione della MicroSD può essere eseguita seguendo le indicazioni delle best practices della Computer Forensics e non necessità dell accesso come root: 1. estrarre la scheda MicroSD; 2. collegarla ad un write blocker 113 o ad un sistema che abbia funzioni equivalenti 114 ; 3. calcolo dell'hash 115 della memoria originale; 113 Dispositivo usato per prevenire eventuali scritture su memorie di massa oggetto di analisi. 114 Distribuzioni Linux per la Computer Forensics. 115 L'hash è una funzione matematica univoca ed unidirezionale (cioè che non può essere invertita), che trasforma un testo di qualunque lunghezza (input) in un testo di lunghezza fissa (output) relativamente limitata; in pratica, applicando una

89 88 Manuale DEFT 7 4. Acquisizione tramite il programma preferito 116 e verifica che l'hash della memoria clonata coincidi con l'hash dell originale Lavorare direttamente sullo smartphone Nei casi di particolare urgenza, è possibile eseguire attività di ricerca dei file d interesse direttamente dal touchscreen del dispositivo mediante l'utilizzo di alcune applicazioni scaricabili gratuitamente dal Market. Un applicazione molto utile per questo tipo di attività, pur non essendo un software creato espressamente per la Computer Forensics, è File Manager HD 117. Attivando la funzione "Root Explorer" nelle impostazioni dell'applicativo, è possibile navigare nel file system anche nelle directory protette come data, dbdata e system, ricercando i file di interesse mediante l'apposita funzione di search e copiarli nella microsd card per un analisi più approfondita su una postazione adibita all'analisi dotata degli strumenti necessari Posizione e analisi delle applicazioni e dei file di comune interesse Generalmente un applicazione è composta dal suo file eseguibile con estensione.apk ed i suoi file di configurazione o database. 118 Le cartelle che più interessano l'operatore sono: /system/app/ : contiene le applicazioni di base fornite dal produttore del dispositivo; /data/app/ : contiene le applicazioni che l utente ha installato tramite l applicativo Market; /data/data/ : contiene i file di configurazione e i database delle applicazioni presenti; /dbdata/database/ : qui sono presenti i database contenente gli sms, gli mms, la rubrica e tutto ciò che riguarda la parte fonia. L analisi dei file di configurazione e dei database delle applicazioni può essere eseguita mediante strumenti come editor di testo per le configurazioni testuali ed xml e con un normale client SQLite 119 per i database con estensione.db. funzione di hash a un file o ad un intero hard disk, si ottiene una sequenza alfanumerica, ad es. di 32 caratteri, che rappresenta una specie di "impronta digitale" del file, e viene detta valore di hash. 116 Esempio: FTK Imager per Windows, Guymager o dd per Linux Samsung, come tutti gli altri produttori di dispositivi, ha preferito non modificare la porzione di memoria standard dove raggruppare gli applicativi. 119 Sqlite ( permette di creare una base di dati, comprese tabelle, query, form e report, in un unico file.

90 89 Manuale DEFT 7 Nell'esempio riportato nell'immagine, si è usato un client SQLite per aprire il database degli sms ed mms di nome mmssms.db contenuto in /dbdata/database/com.android.providers.telephony/ ed analizzarne il contenuto, esportandolo i dati utili nel formato desiderato (txt, xml o csv). L analisi delle tabelle di un database SQLite può anche essere eseguita mediante l utilizzo di query sql 120 senza l utilizzo di strumenti dedicati 121. Esempi: È possibile visualizzare tutti i campi contenuti nella tabella sms con la richiesta: Select * from sms Nel caso in cui interessi solo il contenuto di tutti gli sms: Select body from sms Se volessimo visualizzare solo gli sms ricevuti dall utenza : Select * from sms where address= Interrogazione di un database nel compiere determinate operazioni (selezione, inserimento, cancellazione dati, ecc..) da eseguire in uno o più database; solitamente una query viene interpretata, dal linguaggio Sql per renderla più comprensibile al DBMS 121 Come ad esempio

91 90 Manuale DEFT Esempio di analisi sull'applicazione Google Maps L applicazione Google Maps 122 offre nei terminali Android sia la funzione di Mappa sia quella di Navigatore con comandi vocali. L'applicazione, proprio come l'omonima versione web, è in grado di mostrare il territorio sia in formato grafico 3D sia tramite fotografie satellitari, fornire le informazioni sul traffico locale, su locali e su servizi presenti nelle vicinanze e, tramite la funzione Latitude, fornire dati sulla posizione dei contatti (anche via Checkin/checkout). Le directory d interesse per l'operatore sono /data/data/com.google.android.apps.maps/ sulla scheda di memoria SD /mnt/sdcard/android/data/com.google.android.apps.maps/ tra i database più interessanti da analizzare possiamo segnalare da_destination_history Disponibile presso l'url Da notare che questo database SQLite NON sia dotato di estensione.db come gli altri database presenti.

92 91 Manuale DEFT 7 Questi sono solo due dei database utilizzati dall'applicazioni, ulteriori informazioni possono e devono essere tratti dagli altri file presenti (es. se presente data_laywe_24). Di grande interesse è comunque anche il contenuto della rispettiva cartella nella scheda SD: oltre alla cache delle mappe scaricate dall'applicazione durante il suo utilizzo, sono presenti anche i singoli file audio contenenti le indicazioni audio per l'utente. L'analisi dei timestamp 124 dei file, incrociata con i dati di navigazione contenuti all'interno della cartella principale possono fornire informazioni precise su quando un determinato percorso sia stato suggerito e seguito

93 92 Manuale DEFT 7 Capitolo 8: DART Digital Advanced Response Toolkit DART DART (Digital Advanced Response Toolkit) è un applicazione che organizza, raccoglie ed esegue in modalità sicura, software destinato all attività di Live Forensics ed Incident Response. È possibile personalizzare DART mediante la modifica del file dart.xml il quale gestisce l elenco delle applicazioni che DART può lanciare. Se richiesto, DART può creare un audit log dove tenere traccia di tutte le operazioni eseguite ed eventuali problemi riscontrati. Una delle principali caratteristiche è quella di eseguire applicazioni in modo sicuro grazie al controllo di integrità avviato prima dell esecuzione di ogni software; in questo modo l operatore è sicuro di eseguire i propri strumenti escludendo un ipotetica compromissione degli eseguibili da parte di malware. Gli hash degli applicativi sono contenuti all interno del file xml che a sua volta è verificato ad ogni avvio di DART 125. In questo modo l operatore ha modo di verificare se qualcuno o 125 L hash del file xml è riportato in alto a destra della finestra

94 93 Manuale DEFT 7 qualcosa ha alterato il contenuto del xml 126. DART: avviso iniziale Al suo avvio DART, che va eseguito come amministratore di sistema o con un account avente tali privilegi, vi informerà che non vi è alcuna garanzia di evitare alterazioni del sistema durante l utilizzo poiché alcuni software potrebbero eseguire le analisi in modo invasivo. Allo stesso tempo l utente è informato che alcuni software potrebbero essere considerati malware o hacking tool dai software antivirus. Andrebbe pertanto o disattivato il controllo sullo storage contenente DART o disabilitato l antivirus. 126 Ad esempio l hash di un eseguibile.

95 94 Manuale DEFT 7 DART: Salvataggio dell audit log All interno del file dart.xml sono contenuti gli hash di tutti gli applicativi, pertanto nel caso in cui sia aggiornato un eseguibile incluso nel pacchetto DART, deve essere aggiornato anche il relativo hash all interno del file xml. In caso contrario l operatore verrà avvisato che l hash non corrisponde. La struttura del file xml inizia con il tag "deft_extra" 127. Il tag "alert" contiene il testo dell avviso iniziale, dart disclaimer. A suo interno vi deve essere un tag "text" dove sarà indicato il testo di descrizione dell'applicazione racchiuso tra <![CDATA[ e ]]>. Esempio: <text> <![CDATA[ testo da inserire ]]> </text> Il tag apps_groups indica i gruppi con cui sono suddivise le applicazioni. "group" ha i seguenti attributi: id: che deve contenere un id univoco ma non necessariamente numerico; label: il testo che sarà visualizzato sotto l'icona nella schermata dell'applicazione; ico: percorso dell'icona con cui verrà indicato il gruppo. 127 L'attributo "lang" permetterà di usufruire della gestione multilingua. Al momento questa funzionalità non è attiva.