Live Network Evidence Collector

Transcript

1 Università degli studi di Salerno Facoltà di scienze Matematiche Fisiche e Naturali Live Network Evidence Collector Corso di Sicurezza prof. Alfredo De Santis Anno accademico 2011/12 - Informatica Dicembre 2012 Team member: Carbone Gianluca Cosimato Pasquale D Avanzo Loris D Avino Michele De Maria Aniello

2 2

3 Indice Capitolo 1 Introduzione 6 Capitolo 2 Network Forensic Introduzione Considerazioni legali Documentazione, raccolta e recupero dei dati Documentazione e raccolta Strategie di recupero dei dati nel Network Forensics 12 Capitolo 3 Acquisizione di prove digitali dal Web Il World Wide Web : rischi e pericoli Soluzioni già presenti Hasbot WebCase 18 Capitolo 4 Il tool LNEC Introduzione Metodologie di sviluppo Sito Web Gestione delle macchine client Cattura delle evidenze digitali Tecnologie di supporto Tcpdump Traceroute e whois Firma digitale Time stamping Cattura video Squid Script per la cattura e memorizzazione delle evidenze Utilizzo delle evidenze digitali ottenute Prestazioni del sistema 53 Capitolo 5 Conclusioni 60 3

4 Appendice A Firma Digitale 62 Appendice B Time Stamping 66 Bibliografia 73 4

5 5

6 Capitolo 1 Introduzione Una delle caratteristiche principali di Internet è la sua dinamicità, che permette ai gestori dei siti online di effettuare modifiche in qualsiasi momento e in ogni parte di essi. Per comprendere meglio come venga sfruttata questa dinamicità un esempio pratico è dato dai quotidiani online che, visitati a distanza di brevi periodi, cambiano completamente nei relativi contenuti, dando priorità alle notizie di maggiore attualità, e di fatto, eliminando gli articoli (testi, foto, video, etc.) riguardanti news meno recenti. Inoltre, oltre ai contenuti di un sito, anche il sito stesso può diventare obsoleto, e chi ne è responsabile può decidere di non renderlo più visibile effettuandone la cancellazione dal Web. Questa volatilità non può che agevolare gli individui intenzionati a commettere reati come truffe, diffamazioni, o anche ingiurie e minacce; infatti possono sfruttare il Web come mezzo per finalizzare i propri obiettivi, e nascondere (o meglio, eliminare) ogni prova dell infrazione commessa. Per avere un quadro completo dello scenario che può presentarsi è sufficiente immaginare un gestore di un negozio online che, dopo aver ottenuto un ingente somma di pagamenti da vari clienti, fa sparire il sito dalla rete, senza mai fornire ai suoi utenti i prodotti effettivamente acquistati. Non è quindi un caso se la percentuale di vittime che denunciano spiacevoli esperienze online è in costante crescita. Inoltre, per loro sfortuna, in fase processuale si ritrovano senza nemmeno un minimo di prova per certificare il reale avvenimento dei fatti. Live Network Evidence Collector (LNEC) è uno strumento forense atto ad acquisire e validare le evidenze digitali relative ad una sessione di navigazione al Web, comprendendo quindi ogni singola pagina Web e/o documento Web visualizzati durante la navigazione. Lo scopo del progetto è quello di mettere a disposizione uno strumento per l acquisizione di evidenze digitali dalla rete, a favore degli utenti interessati a tracciare i propri movimenti online per poi dimostrare l effettivo avvenimento di un eventuale reato subito. In più si vuole rendere tale strumento di facile fruibilità a qualsiasi utente anche inesperto nel settore informatico. Con le evidenze certificate ottenute dallo strumento come traffico in binario dei dati trasferiti sulla rete (traffico raw), ed una prova video che può essere comparata con quest ultimo, unita alla semplicità di utilizzo, si auspica che tale strumento sia da supporto nel corso di eventuali indagini e/o procedimenti penali. Per questo strumento sono stati sviluppati due sottosistemi per la raccolta delle prove in real-time: uno a basso livello, che si pone come proxy trasparente rispetto alla navigazione dell utente, raccogliendo tutto 6

7 il traffico di rete (pacchetti IP) in modalità raw, insieme alle informazioni necessarie per comprovare il buon funzionamento della rete (name server, router, autonomous system, ecc.). L altro, ad alto livello, atto a congelare in un filmato digitale tutte le informazioni così come sono state visualizzate dall utente. L effettivo avvenimento del reato subito potrebbe essere dimostrato comparando, attraverso tool specifici, il traffico raw raccolto, con i contenuti visualizzati nel filmato digitale. Tutte le informazioni vengono registrate in un unico archivio, firmato digitalmente e marcato temporalmente dal gestore del servizio, ed infine rese disponibili all utente che ne fa richiesta. La tesi si articola nei seguenti 5 capitoli: Capitolo 1- Introduzione; Capitolo 2 - Netowork Forensic; Capitolo 3 - Acquisizione di prove digitali dal web; Capitolo 4 - Il tool LNEC; Capitolo 5 - Conclusioni. Dopo il primo capitolo, come si è potuto capire, puramente a scopo introduttivo, nel secondo capitolo viene effettuata una descrizione riguardante il campo del Network Forensic. Il terzo capitolo tratta dei rischi e pericoli a cui si può andare incontro navigando sul Web, i quali hanno spinto allo sviluppo del tool LNEC descritto nel capitolo 4. Infine nel capitolo 5, viene fatto un resoconto sull esito del progetto, dei problemi incontrati e sulla possibilità di eventuali progetti futuri. 7

8 8

9 Capitolo 2 Network Forensic 2.1 Introduzione Network Forensics è un sotto-ramo del Digital Forensics 1, si occupa del monitoraggio, delle analisi del traffico di rete ai fini di raccogliere informazioni o rilevare intrusioni. Si occupa, quindi, delle indagini di informazioni volatili e dinamiche. Network Forensics ha generalmente due usi. Il primo, relativo alla sicurezza, comporta il monitoraggio di una rete per il traffico anomalo e la segnalazione di intrusioni dal momento in cui un utente malintenzionato potrebbe cancellare tutti i file di log su un host compromesso, cosa da evitare particolarmente in situazioni quando questi potrebbero rappresentare l'unica prova a disposizione per l'analisi forense. Il secondo utilizzo di Network Forensics è destinato alle forze dell'ordine. In questo caso le analisi del traffico di rete catturato possono includere attività come il rimontaggio di file trasferiti e l'analisi della comunicazione ( o sessioni di chat). L espressione Network Forensics (in breve NF) si riferisce all'analisi di sistemi di rete, ivi inclusa la rete delle reti, ossia Internet, al fine di determinare elementi probatori inerenti ad un determinato caso investigativo. La prima definizione di NF nasce in seno alla NS (Network Security) 2 [1] e, in particolare, agli Intrusion Detection System:... è il prelievo, la memorizzazione e l'analisi degli eventi di rete al fine di identificare la sorgente degli attacchi alla sicurezza o l'origine di altri problemi del sistema di rete... [2]. Come si può vedere si tratta sempre di analisi dopo il fatto ma orientata per lo più ai problemi di sicurezza e non solo a quelli legali. La differenza di natura tecnico-pratica è evidente, soprattutto considerando i tools utilizzati nel NS che raramente si occupano di raccogliere prove digitali con tutte le richieste di garanzia ma, piuttosto, si preoccupano di segnalare eventi di rete ad un osservatore-guardiano. Fino ad oggi sono stati sviluppati diversi Network Forensic Analysis Tools (NFAT), che, oltre ad analizzare flussi di dati ed eventi consentono, dopo il fatto, di averne evidenze utili in ambito dibattimentale. Il fatto che sono spesso coinvolti eventi di natura prettamente digitale invece che fisica (danneggiamento/alterazione di dati, penetrazione di un sistema protetto, ecc.), risulta di difficile comprensione a non tecnici, considerando per esempio magistrati, giudici e avvocati. Si passa dunque a considerare l'insieme 1 Il Digital Forensics è un ramo della scienza forense volto a individuare prove insite in un dispositivo digitale. Esso si prefigge lo scopo di preservare, identificare e studiare documenti su computer o sistemi informativi in generale, al fine di evidenziare prove (o comunque evidenze digitali) per scopi di indagini. 2 Il Network Security è l insieme dalle disposizioni e le politiche adottate da un amministratore di rete per prevenire e controllare l accesso non autorizzato a una rete di computer. 9

10 dei passi più o meno necessari per la NF in un ambito che ovviamente rispetta i pieni termini della legalità. Quest'ultimo concetto è da evidenziare perché spesso il NF può essere realizzato attraverso strumenti come il cracking, lo sniffing, il denial of service, ecc., non specificamente autorizzati dalla magistratura. Queste scorciatoie però, tralasciando il fatto che sono alla portata di un gran numero di specialisti, conseguono risultati il più delle volte non impiegabili in dibattimento. Ci sono molte fonti diverse per la raccolta delle evidenze dalla rete. Due fonti di evidenze in particolare presentano somiglianze sorprendenti, sia nelle caratteristiche dei dati raccolti, che nelle fonti da cui i dati sono stati acquisiti. La cattura di traffico in tempo reale da un rete ( per esempio, il packet sniffing, un segmento Ethernet) è considerato una fonte di evidenza di rete. La collezione di dati provenienti da servizi di rete remoti (spesso al di fuori del controllo o competenza dello sperimentatore), come i siti web, server ftp, reti peer- to peer etc., è anche essa considerata una fonte di prova dalla rete. Da un punto di vista astratto, queste evidenze e gli strumenti di acquisizione utilizzati per acquisirle, possono essere visualizzati insieme in termini generali. Uno sguardo più da vicino ai dati recuperati mostrano le stesse caratteristiche, per esempio entrambi hanno gli stessi problemi di autenticità e affidabilità. Questi due tipi di raccolte di evidenze si combinano in un unica categoria che pende il nome di live network evidence sources. Ci sono più settori che possono essere considerati parte del Network Forensic. Alcuni degli esempi più importanti sono i seguenti : l analisi di IDS (Intrusion Detection System) e firewall logs come prova; il backtracking dei pacchetti di rete e connessione TCP; l analisi dei manufatti relativi alla rete su hard disk acquisiti; l analisi dei log generati da servizi di rete e applicazioni; la cattura e l analisi del traffico di rete tramite sniffer e dispositivi NFAT (Network Forensic Analysis Tool); raccolta dei dati da servizi di rete remota.[13] 10

11 2.2 Considerazioni legali La considerazione da fare inizialmente è che una rete di computer, pur essendo impiegabile come mezzo per lo svolgimento di un determinato reato, non è necessariamente tutta coinvolta nel reato stesso. In pratica l'analisi forense, in ambito NF, può coinvolgere più dati di quelli inerenti al reato che si sta perseguendo e questo è un problema sostanziale perché le autorizzazioni legali sul prelievo e l'analisi dei dati dovrebbero riguardare esclusivamente ciò che attiene il procedimento penale mentre spesso si ha la necessità di "allargarle", con ovvi rischi di commettere violazioni durante le operazioni. Sono ormai famosi i casi investigativi in cui diverse Forze di Polizia (FFP) sono intervenute a reato avvenuto sequestrando interi server di Internet Service Provider (ISP), danneggiando gli stessi in maniera non necessaria ma semplicemente per una forma di cautela dovuta spesso a non conoscenze specifiche sull'argomento. Tali episodi hanno determinato enormi richieste di rimborsi per danni a terzi non coinvolti nell'indagine (in questi fatti si vede l'importanza di definire prima possibile e con chiarezza legale il NF). Dato che trattare i dati di una rete può voler significare trattenere grandissime quantità di dati, analizzare un altrettanta vastissima gamma di prove, come headers, intranet, Usenet, DNS, log, database, ecc., quali tipi di autorizzazione deve fornire un magistrato che richiede tali operazioni? Qualcuno con superficialità risponderebbe che basta un'autorizzazione del tipo "... quant'altro utile ai fini delle indagini...", voce spesso presente nei documenti formali di richiesta. Si tratta ovviamente di una modalità non sempre valida. L'esempio classico è dato dai database distribuiti. Un archivio elettronico è un vero e proprio "domicilio virtuale", soggetto a protezione dei dati e degli accessi. Autorizzare l'analisi dei dati della rete sulla quale opera il database non vuole assolutamente dire autorizzare l'entrata del tecnico forense nell'ambiente del database e trattarne (memorizzarne o visionarne) i dati, si prefigurerebbe una violazione di sistema informatico, reato specificamente previsto dal codice penale. Le autorizzazioni specifiche possono essere ottenute solo dal peculiare connubio di attività tra Autorità giudiziaria (AG) e tecnico forense. La NF si deve pianificare attentamente prima dell'intervento, richiedendo il minimo di autorizzazioni legali necessarie per la presunta attività tecnica. Successivamente si deve interagire con l'ag comunicando tempestivamente le eventuali variazioni dell'ambito di analisi. Per identificare i dati utili per un indagine su una rete vi è quindi la necessità di verificare quali sistemi e supporti per la connessione pura possono essere interessati (hub, switch, proxy, ISP, ecc.). Poi ricercare ed individuare 11

12 tutti gli elementi che testimoniano una determinata attività (nota o presunta) sulla rete e quindi analizzare file di log, software di monitoring eventualmente attivi, report di IDS, ecc. 2.3 Documentazione, raccolta e recupero dei dati Documentazione e raccolta Nel NF i dati rilevanti sono spesso frutto dell'elaborazione congiunta di dati provenienti da diversi nodi e non semplicemente di una copia. Quindi la certificazione (mediante hashing, ad esempio) non ha molto senso, piuttosto bisognerebbe certificare il processo di ottenimento assieme allo stato (di natura dinamico) della rete al momento dell acquisizione. A questo problema sostanziale vanno poi aggiunte molte osservazioni: spesso le macchine in rete non possono essere spente e le copie devono essere fortemente circoscritte ai dati di interesse (classico caso degli ISP); alcuni dati di interesse sono rappresentati da dinamiche di azioni in rete e non semplicemente da dati statici; quando si tratta di raccogliere ipertesti attivi (con script) può avere poco senso memorizzare lo script e non quello che lo script determina in quel momento; dato l'ambiente distribuito, più investigatori possono agire sulla stessa scena del crimine virtuale mutuamente influenzando i dati che ottengono; esistono poche o scarse garanzie circa la presenza e l'attendibilità forense dei log (caratteristiche entrambe da comprovare caso per caso) Strategie di recupero dei dati nel Network Forensics In NF l'aspetto del recupero dei dati assurge al massimo livello di complessità. Il recupero dei file di log, il recupero di entry all'interno di file di log, la ricostruzione degli eventi e dei dati a partire dal traffico di rete, il recupero di password per accedere alle sessioni di lavoro, ecc., sono solo alcuni esempi di attività di recupero in NF. La loro complessità si accompagna ad un grado di aleatorietà notevole che fanno di essi, generalmente, più un mezzo investigativo che fonte di elementi probatori da dibattimento. 12

13 La ratifica della Convezione di Budapest sui Cybercrime nella Legge 48/2008 ha introdotto nel panorama normativo nazionale metodologie di Computer Forensics, con l'obiettivo di realizzare una politica comune con gli altri Stati membri dell'unione Europea. Oggi la dottrina e la giurisprudenza in materia trattano tematiche delicate quali il riciclaggio di denaro e i reati tributari, i reati contro la persona, le frodi, l'uso a scopo personale di materiale aziendale, la violazione del diritto d'autore, lo spionaggio industriale, la pedopornografia, lo stalking e molti altri [4]. 13

14 14

15 Capitolo 3 Acquisizione di prove digitali dal Web 3.1 Il World Wide Web : rischi e pericoli Il World Wide Web, più comunemente conosciuto come WWW (o semplicemente Web), è un servizio di Internet che permette di navigare ed usufruire di un insieme vastissimo di contenuti (multimediali e non) e di ulteriori servizi accessibili a tutti o ad una parte selezionata degli utenti di Internet. Il Web oggi è diventato uno strumento potentissimo e lo sarà sempre di più con il passare del tempo. Oggi fa parte della quotidianità di tutte le fasce di età: bambini, ragazzi, adulti e anziani fanno uso di questo strumento sfruttando tutti i servizi che mette a disposizione. Oltre alla pubblicazione di contenuti multimediali, il Web permette di offrire servizi particolari, per i quali ci sono maggiori possibilità di subire truffe e frodi. Inoltre, a causa della dinamicità di Internet, in molti casi non è nemmeno possibile dimostrare (magari davanti ad un giudice) l avvenimento di una eventuale truffa. Un esempio pratico può essere un acquisto online, per il quale l utente effettua il pagamento senza ricevere il prodotto effettivamente acquistato; se in questo scenario il sito venditore scompare dalla rete, l utente non avrà alcuno straccio di prova per denunciare l accaduto. Il Web è alla portata di tutti, ma saperlo utilizzare sfortunatamente no. Si può considerare che l aumento di servizi e potenzialità del Web è proporzionale all aumento di rischi e pericoli che esso può rappresentare. Possiamo suddividere i rischi in due tipologie. Da un lato, le ormai innumerevoli tecniche utilizzate per il solo scopo di procurare danni sia ai computer che agli utenti che lo utilizzano. Ne citiamo alcuni: Virus, Keylogger, Spyware, Phishing, Spamming, Sniffer, Dialer, Hacking. Dall altro lato, ciò che è di effettivo interesse del progetto, è mettere in risalto tutti quei crimini che si perpetrano tramite il Web, che motivano l importanza di acquisire prove da esso. Si fa riferimento a quegli eventi spiacevoli che si verificano ogni giorno sul Web, ad esempio: Ingiurie Diffamazioni Calunnie Truffe 15

16 Reati che si possono subire su qualsiasi sito (blog, social network, e-commerce, giochi, chat, ecc.). Molte volte non dipendono dall utente e quindi risulta impossibile difendersi, a meno che non si stia effettuando una connessione tracciata e che riporti quindi una collezione di informazioni digitali da presentare ad un giudice per essere tutelati dalla legge. Nella vita reale, tali eventi poco piacevoli se dimostrati efficacemente con delle prove tangibili sono puniti con pene anche molto severe; ma ciò che accade sul Web è ben diverso. Il crimine può essere compiuto e poi cancellato per sempre, senza che il malcapitato possa dimostrare la veridicità dell evento. Ma il discorso si può allargare a problematiche ben più gravi e sempre più di interesse attuale. Si tratta della pedo-pornografia on-line, cioè la pornografia (ossia la rappresentazione di atti sessuali) in cui sono raffigurati soggetti in età pre-puberale. Su tale argomento è possibile trovare sul Web decine di documenti che testimoniano la problematica e la sua diffusione ad altissimi livelli. Un altro argomento, forse di maggior interesse comune, che fa sempre paura, è il terrorismo, il quale anch esso ha trovato nel Web un ottimo mezzo di comunicazione sia all interno dei gruppi stessi che verso terze persone. Il Web è uno strumento dinamico, non nel senso che esso dà la possibilità di interagire con l utente, ma perché è in continua evoluzione, cambia faccia ogni giorno, ora, minuto, secondo. Inoltre il Web è dinamico, anche per le stesse pagine statiche del Web che in qualsiasi momento possono essere modificate dall amministratore a proprio piacimento ed in relazione ai suoi scopi, positivi o negativi che siano. Per questo oggi è davvero complicato poter utilizzare il Web in maniera sicura. Dunque, la regola principale da applicare per difendersi è il vecchio slogan se lo conosci lo eviti. Per ognuno dei problemi identificati, esistono delle soluzioni, ma sarebbe impossibile per un utente inesperto metterle in atto, inoltre troppo spesso anche l utente esperto non sfrutta i vari suggerimenti, un po per ingenuità e un po per superficialità. Per quanto riguarda i problemi evidenziati in riferimento a questo progetto, non esistono soluzioni certificate che possano risolverli, ma bisogna servirsi di strumenti che permettano di fornire delle prove che certifichino gli spiacevoli accaduti davanti ad un giudice. 16

17 3.2 Soluzioni già presenti Tutti questi motivi hanno spinto alla creazione di strumenti, in grado di acquisire prove su Web inerenti alla propria navigazione. Questi strumenti si possono racchiudere in tre categorie: la prima, che sfrutta uno strumento in locale, ovvero installato sulla macchina dell utente, che dal nostro punto di vista può essere considerata poco affidabile, visto che chiunque potrebbe manomettere o falsificare le evidenze create. La seconda che fa uso di un proxy, dove passano e vengono controllate tutte le informazioni che poi arrivano al computer dell utente; e la terza dove ci si affida ad una terza parte (un tool delle forze dell ordine ad esempio) per tracciare la propria navigazione. Gli strumenti più conosciuti che si prefiggono proprio lo scopo di acquisire e collezionare evidenze sul Web, sono Hashbot e Vere Software di WebCase. Di seguito vengono descritti nel dettaglio questi strumenti, cercando di evidenziarne pregi e difetti Hasbot Hashbot è uno strumento Web forense per acquisire e validare nel tempo lo stato di una singola pagina Web o di un documento; è uno strumento online con estrema facilità di utilizzo. L acquisizione dipende dallo scopo che si è prefissato. Acquisire un pagina Web non include la validazione di ogni file legato ad esso (ad esempio immagini, pdf, ecc.). Se si vuole acquisire un immagine fornita su una pagina Web, il miglior modo è acquisire entrambi i file (sia l immagine che il documento che la include). Hashbot riconosce la maggior parte dei tipi di file. Se un file non è riconosciuto gli sarà assegnata l estensione.unk. Ci si può fidare della validazione grazie agli algoritmi potentissimi che mette a disposizione (MD5, SHA1). Il sistema presenta alcuni limiti, per quanto riguarda la grandezza massima del file (2MB) per ogni documento e il tempo che si ha a disposizione per recuperare il file validato (120 secondi). Inoltre l applicazione è in versione beta e ancora non è stata diffusa una versione ufficiale. L archivio zip, scaricato dopo il processo di acquisizione, contiene 3 files: <keycode>-code.txt : contiene referenze per la validazione (codice, MD5 e SHA1 hash file), informazioni circa il documento acquisito e header file; <keycode>-headers.txt: header file che contiene la risposta del server alla richiesta di Hashbot; 17

18 <keycode>.ext_ : il documento acquisito. Il sito conserva i file elaborati nel processo di acquisizione solo per 120 secondi, per cui l utente ha questo lasso di tempo per effettuare il download, dopodiché ogni file sarà permanentemente cancellato dal server. Nessuna acquisizione di documenti viene quindi salvata dal sito. Hashbot conserva nel suo database solo le informazioni necessarie per validare una precedente acquisizione. In conclusione è un software non a passo con la dinamicità del Web, si potrebbero perdere informazioni dinamiche e magari non presenti durante la cattura della pagina stessa. Non si riuscirebbe quindi con questo tool a dimostrare qualcosa di vulnerabile, fattore principale nel World Wide Web. Hashbot funziona sul Web e con un utilizzo molto intuitivo. Si basa su un processo diviso in due step: acquisizione, che comprende: 1. l inserimento dell URL del documento di cui si vuole conservare lo stato, 2. la selezione dell user agent da utilizzare, 3. il download dell output del sistema; validazione, che comprende: 1. l inserimento del codice chiave nel campo CODE ; 2. l inserimento del file hash scelto tra MD5 o SHA1 nel campo HASH FILE ; 3. la selezione del tipo di hash file, in accordo con il tipo di hash scelto nel campo precedente WebCase WebCase, software per la tutela online, è invece un tool rivolto a professionisti esperti delle forze dell ordine, consulenti legali ed investigatori privati. E stato sviluppato per semplificare il processo di raccolta delle prove online, aiutare il ricercatore conservando le prove, prevedere la corretta riscossione delle prove giuridicamente difendibile, rendere disponibile qualsiasi eventuale informazione sospetta e fornire report in un formato utilizzabile e comprensibile. Consente ai suoi utenti di recuperare: registrazione video; collezione TCP/IP; 18

19 cattura immagine; file allegati; ricerca di domini automatici; geolocalizzazione automatica di indirizzi IP; Il tool presenta delle limitazioni per quanto riguarda il suo funzionamento sui vari Sistemi Operativi e componenti hardware dei PC. Infatti funziona correttamente solo su sistema operativo Microsoft Windows versioni XP, Vista e Windows 7, richiede Microsoft.NET versione Framework 2.0 o successive. E compatibile solo con Internet Explorer 6, 7 e 8, ma non permette di utilizzare altri browser. Necessita di un PC basato su Intel con minimo un Pentium 4 o equivalente processore e con: 100 MB di spazio sul disco; 1GB di RAM. Per quanto riguarda la registrazione del filmato, si deve essere in possesso di un microfono e altoparlanti collegati al PC durante l installazione di WebCase. L ultima versione di WebCase consente di catturare i contenuti di una pagina Web, comprese le parti per le quali bisogna fare lo scrolling dello schermo per visualizzarle. La maggior parte dei programmi di cattura non sono in grado di far questo. WebCase scorre automaticamente la pagine e le cattura in un'unica immagine grafica (JPEG). E stato testato WebCase per confrontare le idee di realizzazione. La versione principale è a pagamento, ma viene offerta per 30 giorni in versione free il Toolkit rappresentato nella figura a lato. Le sue caratteristiche includono: Figura 1 : Toolkit WebCase whois, fornisce informazioni sull intestatario del dominio ricercato; MX, fornisce record dei server di posta di ricerca; netstat, fornisce informazioni e statistiche su protocolli in uso, insieme a TCP corrente/connessioni di rete IP; ping, determina se un indirizzo IP è accessibile. Funziona inviando un pacchetto all'indirizzo specificato e resta in attesa di una risposta. Viene usato principalmente per risolvere le connessioni Internet; 19

20 resolve è un programma che risolve un URL host in un indirizzo IP, o un indirizzo IP a un server che ospita tale indirizzo IP; traceroute, registra il percorso di un pacchetto che viaggia dal computer a un host Internet. Mostra il numero di salti che il pacchetto richiede prima di raggiungere l'host e quanto tempo richiede ad ogni hop; TCP/IP mostra la configurazione attuale delle connessioni di rete dell'utente; stats, mostra alcune informazioni sul computer dell'utente, tra cui: versione Microsoft Windows, disco rigido ed etichetta del numero di serie, connessioni TCP / IP, interfaccia liste, tabelle di routing IPv4 e IPv6, router permanenti; WebCase apre il programma se l'utente lo ha installato sulla propria macchina, altrimenti funge da link alla home page di Vere Software; about, fornisce il numero di versione dello strumento e le informazioni del costruttore; exit, chiude lo strumento. Come già detto la versione free offre solamente una minima parte dell intero tool, che non permette di utilizzare al meglio tutte le funzionalità di questo software e, in queste condizioni, non sempre potrebbero essere catturare le evidenze di effettiva valenza. Per quanto riguarda l intera versione del tool, sono state riscontrate delle funzionalità mancanti, che sono state inserite in LNEC. Innanzitutto WebCase è uno strumento in locale, per cui l output del tool è da considerare non del tutto integro, nel senso che può essere facilmente aggirabile. Chiunque sul proprio PC, anche se non esperto, potrebbe contraffare o manomettere le evidenze create da WebCase apportando le proprie modifiche e quindi creare un illecito fasullo. Ad esempio, per quanto riguarda il filmato, avendo la possibilità di inserire qualsiasi tipo di programma sulla macchina locale, vi è la possibilità di creare tale evidenza in modo falsato. Un altro fattore negativo riscontrato è che non viene registrata l intera navigazione ma, tramite una barra installata sulla sinistra della pagina Web, è l utente a decidere quando iniziare e quando finire la registrazione delle evidenze. Tutte queste fondamenti rendono le prove, a livello giuridico, facilmente invalide. Si ha l impressione di basarsi sulla fiducia degli investigatori e sul fatto che gli utenti che utilizzino questo tool non siano esperti in informatica. 20

21 21

22 Capitolo 4 Il tool LNEC 4.1 Introduzione Da come si è potuto capire in questa tesi, il problema che si tenta di risolvere è la mancanza di evidenze digitali da utilizzare per dimostrare l effettivo avvenimento di un illecito subito sul Web. Il tool LNEC, che viene descritto in questo capitolo, ha appunto l obbiettivo di fornire a qualsiasi tipologia di utente (esperto o meno) un insieme di informazioni digitali ottenute in corrispondenza di una navigazione Web, per sopperire a questa mancanza di prove. L idea di base è stata quella di creare una macchina remota ad hoc corredata a da strumenti di acquisizione Web a cui l utente si connette ed effettua la sua navigazione che viene dunque registrata e documentata. La macchina offre all utente che si connette solo l uso del browser web, in questo modo l utente non può in alcun modo falsare o manomettere le evidenze; tutto ciò che l utente vede attraverso il browser non può essere frutto di artifizi per creare false evidenze. Figura 2 Il tool LNEC Il tool LNEC quindi cerca di non peccare sugli aspetti negativi visti nelle metodologie sopra descritte, ottenendo una cattura delle evidenze completa, integra e di maggiore garanzia. a. Si passa, infatti, dallo statico verso il dinamico, in modo da non perdere (diversamente da Hashbot) nessun tipo di aggiornamento o cambiamento causato dalla dinamicità dei contenuti Web. E dal locale al remoto in modo tale da non consentire di manomettere o falsificare le evidenze (diversamente da WebCase). 22

23 Il progetto è consistito in vari lavori che possono essere generalizzati nei seguenti punti: creazione di un sito Web di presentazione che permette la registrazione e la gestione degli utenti e tramite il quale sarà possibile utilizzare il tool; implementazione di vari script per tracciare le navigazioni Web con diversi strumenti; creazione e gestione di varie macchine virtuali in cui opereranno appunto gli script (le navigazioni Web degli utenti avvengono infatti su queste macchine). La gestione di queste macchine virtuali è stata progettata in modo tale che per ogni utente che richiede una navigazione tracciata, il sistema configura un apposito account per la navigazione Web su una di queste macchine. In questo capitolo saranno quindi discusse le metodologie di sviluppo del sistema LNEC con particolare enfasi sull architettura del sistema, che potrebbe sembrare a prima vista molto articolata per via dell utilizzo dell accesso remoto e di diverse macchine client ma, come vedremo, la struttura risulta essere molto solida e presenta tanti vantaggi e miglioramenti rispetto ad altre ipotetiche soluzioni architetturali. Successivamente verrà descritto il sito Web che si occupa della gestione degli utenti di LNEC e che, per ciascun utente, tramite un apposita area nel sito, offre la gestione delle navigazioni Web effettuate (o meglio, delle evidenze digitali di tali navigazioni). Verranno poi descritti nel dettaglio gli script implementati, con un analisi preliminare sugli strumenti di supporto utilizzati nel sistema, in cui si potrà comprendere come LNEC ottiene le evidenze in relazione alla navigazione dell utente. Infine sarà mostrata la valenza delle informazioni ottenute, ovvero verranno evidenziate utilità e modalità di utilizzo in ambito giuridico dei file ottenuti tramite il tool LNEC. 23

24 4.2 Metodologie di sviluppo Si è deciso di configurare una macchina virtuale preparata ad hoc, con tutti gli strumenti di raccolta delle evidenze, a cui un utente può collegarsi con accesso remoto, ed effettuare la propria sessione di navigazione Web tracciata. Su tale macchina è stato disabilitato il windows manager, per cui l utente ha accesso esclusivamente al browser Web che si avvierà in automatico appena l utente si logga alla macchina. La raccolta delle evidenze avviene in diversi livelli di astrazione. Viene registrata la cattura dello schermo in un video, vengono sniffati tutti i pacchetti che passano dalla scheda di rete, vengono tracciati tutti gli indirizzi IP richiesti e per ciascun indirizzo, vengono elaborate le informazioni sia sul proprietario del dominio Web, sia sul percorso di rete (l insieme di router) instaurato per l accesso al sito stesso. L intera raccolta sarà firmata digitalmente e resa disponibile all utente. La scelta dell accesso remoto è stata dettata da un esigenza di sicurezza e affidabilità, poiché se gli strumenti fossero stati installati in locale sulla macchina dell utente, quest ultimo, avendone totale controllo, avrebbe potuto falsare il flusso dei dati della navigazione Web, ad esempio con l utilizzo di appositi proxy. In questo modo si può offrire una maggiore garanzia che il contenuto Web tracciato dagli strumenti di LNEC è a tutti gli effetti il contenuto reale visualizzato durante la navigazione. Il sistema sviluppato potrebbe essere richiesto contemporaneamente da due o più utenti. In questo ipotetico scenario, utilizzando un unica macchina (come inizialmente deciso), potrebbero sorgere diversi problemi: il carico (in termini di performance, quali consumo di CPU) potrebbe non essere supportato con due o più sessioni di navigazioni Web contemporanee; a causa dell utilizzo della stessa interfaccia di rete dei diversi utenti che navigano, i pacchetti di rete di diverse navigazioni Web potrebbero intrecciarsi, ottenendo quindi output scorretti; la macchina, in cui era presente anche il sito Web, avrebbe potuto subire attacchi informatici con conseguente perdita di affidabilità. Per questi motivi si è deciso di gestire diverse macchine client messe a disposizione dal sistema. Le macchine essenzialmente sono cloni della macchina costruita ad hoc per lo scopo e vengono rese disponibili ad ogni richiesta dell utente. Per una soluzione più ottimale sono state utilizzate delle macchine virtuali in modo da avere tante macchine con un alta personalizzazione senza dover sostenere i costi di macchine fisiche. Con questa soluzione è molto semplice creare cloni della macchina 24

25 ad hoc per incrementare agevolmente il numero di macchine client nel momento in cui dovessero aumentare le richieste di utilizzo del sistema. Per accedere al servizio l utente deve registrarsi al sito Web e, dopo aver attivato l account del sito creato in fase di registrazione, potrà collegarsi, previa richiesta, al sistema. Per collegarsi al sistema bisognerà scaricare un software VNC (Virtual Network Computing), che permette di controllare da remoto un altra macchina che si trova fisicamente distante. In alternativa l utente potrà accedere alla macchina client direttamente dal browser tramite una apposita applet presente nel sito Web. Nel programma VNC bisognerà inserire l indirizzo IP della macchina virtuale disponibile nel sistema (utilizzando l applet, questa procedura è automatizzata). L indirizzo IP è relativo ad una delle macchine client libera, e verrà opportunamente fornito nell area personale del sito ad ogni richiesta dell utente. Nel sistema ci sono al momento quattro macchine virtuali clonate, le quali sono gestite in funzione del loro stato che sarà, per ciascuna di esse, libero o occupato a seconda del fatto che un utente la sta utilizzando o meno. Conclusa la procedura di richiesta del servizio, l utente potrà effettuare la sua navigazione Web tracciata, durante la quale gli strumenti per la cattura delle evidenze digitali opereranno in background, per cui l utente potrà svolgere la sua navigazione senza dover curarsi di come gli strumenti stiano elaborando le informazioni. Nel momento in cui l utente terminerà la sua sessione di navigazione, il sistema confezionerà le evidenze digitali in un pacchetto firmato digitalmente e stampato temporalmente. L output verrà reso disponibile nell area utente del sito Web, e l utente potrà reperirlo sia tramite la procedura classica di accesso all area personale del sito Web, sia tramite un link inviato dal sistema all indirizzo mail dell utente stesso. 25

26 4.3 Sito Web Il tool LNEC viene descritto e reso disponibile all indirizzo (momentaneo) Il sito è stato creato tramite i linguaggi HTML, CSS, PHP e JavaScript. Figura 3: Homepage del sito di LNEC L immagine rappresenta la home page del sito, nella quale vi è una breve descrizione del servizio offerto e da cui è possibile accedere alle sezioni More info, Istruzioni d uso, Contact e Nuovo utente. La pagina More info è la sezione FAQ, ovvero racchiude tutte le informazioni più importanti tra cui lo scopo del tool, il perché dell utilizzo di un software VNC e l utilità delle evidenze digitali raccolte. La sezione Istruzioni d uso descrive nello specifico le modalità di utilizzo del tool LNEC, a partire dalla registrazione fino all effettivo utilizzo per la sessione di navigazione tracciata. In Contact invece, ci sono i nominativi e i contatti dei componenti del team che hanno svolto questo lavoro, inoltre sono presenti i nomi dei professori che hanno aderito allo sviluppo del progetto. 26

27 Figura 4: Pagina Nuovo utente del sito di LNEC Per quanto riguarda la registrazione al sito, essa avviene attraverso la sezione Nuovo utente, che consente di creare un area utente all interno del sito tramite il quale sarà possibile richiedere nuove navigazioni Web tracciate e scaricare le evidenze digitali delle navigazioni effettuate. L immagine sopra riportata rappresenta la pagina di registrazione dove viene richiesto l inserimento del Nome, Cognome, Username, mail e Password. Dopo aver inserito tutti i campi richiesti e aver cliccato sul pulsante registrati, bisognerà confermare la registrazione tramite un apposito link inviato dal sito alla mail inserita. Figura 5: Area utente del sito di LNEC Una volta loggato, l utente accederà alla propria area, da dove sarà possibile scaricare, per ciascuna navigazione Web effettuata tramite il sistema, un file zippato contenente tutte le evidenze della navigazione. I file saranno ordinati per data, dalla 27

28 navigazione più recente a quella meno recente e, per ognuno, ci saranno informazioni riguardanti la grandezza del file zippato, l ora d inizio e la durata della navigazione. Nella stessa pagina sarà possibile richiedere una nuova navigazione tracciata, cliccando sul link Nuova navigazione. Si aprirà una nuova pagina contenente l indirizzo IP della macchina configurata per la navigazione, alla quale l utente potrà collegarsi attraverso un qualsiasi software VNC, oppure direttamente tramite il browser utilizzando un apposita applet accessibile dai due link presenti nella pagina. Figura 6: pagina Nuova navigazione del sito di LNEC I due link offrono due tipi differenti di connessione remota: una con tunneling SSH e una senza (la prima soluzione fornisce una connessione cifrata tramite il protocollo di rete SSH ed è quindi maggiormente consigliata). Con l accesso remoto alla macchina si aprirà una schermata del sistema comprendente l account configurato per la sessione di navigazione tracciata, le credenziali per l accesso all account sono le stesse utilizzate per accedere all area utente del sito. Figura 7: Schermata iniziale della macchina configurata per la sessione di navigazione Web 28