Network Forens ics. Indice. Stefano Guerra Pagina 2

Transcript

1 Indice Intro duzio ne Network Security e Network Forens ics Problematiche legali Campi di applicazione specifica e livelli interessati Procedura standard di lavoro Possibili limitazioni tecniche Tool per l'analisi Network Forensics (NFAT) Strumenti hardware e s oftware Dispositivi hardware specializzati Configurazione di una sonda per l'intercettazione Software di intercettazione, analisi e filtraggio Identificare i dati utili Genuinità dei dati Di cosa fare la copia? Quali dati occorre recuperare Ano nimato in rete The Onion Router Funzionamento della rete Tor (The Onion Router) Accenni su Privoxy Servizi nascoti Vulnerabilità della rete Tor Cas i di s tudio reali Spionaggio industriale Phis hing via File s haring non autorizzato Analisi in assenza di crimine informatico Conclusione Riferimenti bibliografici Stefano Guerra Pagina 2

2 Intro duzio ne Viviamo in un mondo in cui la tecnologia è ogni giorno più diffusa ed i dispositivi sempre più connessi. La necessità pratica soddisfatta dall'introduzione del protocollo IPv6 indica chiaramente che questo fenomeno è destinato a rimanere immutato. Ma l'utilizzo sempre più massiccio delle reti non va a creare solo necessità di carattere tecnico, esistono infatti anche problematiche relative all'ambito legale. La rete riguarda sempre di più le identità delle persone, lo shopping e le transazioni bancarie, e la storia ci ha insegnato che dove circola il denaro accorrono anche i criminali. Ma Internet può essere anche considerata veramente per l'aspetto della comunicazione, il quale introduce anch'esso necessità giuridiche di intercettazione per gli ambiti di indagine più disparati, non necessariamente legati a reati digitali, quindi aspetti che vanno ben al di là della vera Network S ecurity. La Network Forens ics è un'estensione naturale dell'informatica forense, vale a dire la parte dell' informatica che si occupa dell'acquisizione con metodo scientifico della prova, nonché la conservazione della stessa con criteri che ne garantiscano l'integrità e l'inalterabilità. È una scienza che è stata oggetto di studio per almeno un decennio ma, complice anche il costante progresso tecnologico, sembra ancora abbastanza immatura. Per quanto finora detto, è necessario spostare l'analisi forense dal livello del disco al livello della rete. Al contrario di quanto si possa supporre, l'applicazione di queste metodologie operative non è compito esclusivo delle forze dell'ordine. Al contrario, in varie circostanze in cui si ha a che fare con intrusioni o crimini legati alle reti, i primi soggetti a intervenire sono gli amministratori di sistema aziendali. Lo scopo di questa relazione è quello di fornire i concetti, gli strumenti, e i casi di applicazione concreti per comprendere la tematica della Network Forens ics sia a livello teorico che pratico. Diamo ora una definizione di Computer and Network Forensics, essa rimane comunque quella che vede come utilizzo di computer, anche connessi in rete, per risolvere casi giudiziari. A quest ultima concezione si affianca solitamente quell' attività volta all analisi e alla soluzione di casi legati alla criminalità informatica. Judd Robbins, noto investigatore di Computer Forensics operante in America, la definisce come la semplice applicazione delle investigazione su computer e delle tecniche di analisi in modo da determinare potenziali prove aventi valore legale. Anche nell Handbook of Forensic Pathology del College of American Pathologists (1990), se ne trova una menzione: partendo dalla definizione della scienza forense tradizionale, intesa come l applicazione dei principi delle scienze fisiche in ambito legale, nello spirito della ricerca della verità in casi civili, penali e di comportamento sociale, al fine di prevenire che vengano commesse ingiustizie ai danni di qualsiasi altro membro della società, si arriva a dare una definizione di analisi delle reti (disciplina legata in particolare alla Network Forensics ), considerata come lo studio del traffico di rete condotto nello spirito di ricerca della verità in casi civili, penali e amministrativi, per proteggere gli utenti e le risorse da intrusioni a scopo doloso, invasione della privacy e qualsiasi altro crimine favorito dalla continua espansione della rete. La Computer & Network Forensics viene erroneamente identificata come una nuova branca della computer security. In realtà, essa è semplicemente giunta alla ribalta dei media di recente, con l aumento dei crimini informatici e, specialmente, con una presa di coscienza da parte delle aziende che finalmente hanno cominciato a denunciare i crimini di cui sono vittime. Si può certamente affermare che, nell ambito delle diverse discipline forensi, era dai tempi della scoperta della tecnologia relativa al DNA che ad una scienza (come Stefano Guerra Pagina 3

3 appunto è la Computer & Network Forensics) fosse riconosciuta la capacità di produrre un tale enorme effetto in relazione a determinati tipi di investigazioni e processi. Il punto strategico principale del business di un azienda è certamente l apertura verso Internet. Con questa apertura, però, le aziende, e non solo, sono esposte ad attacchi di ogni tipo. La Computer Forensics si è evoluta e si è adattata ai cambiamenti tecnologici e allo studio dei crimini su Internet. Di seguito darò un'altra definizione di Network Forensics:...è il prelievo, la mem orizzazione e l'analis i degli eventi di rete al fine di identificare la s orgente degli attacchi alla s icurezza o l'origine di altri problem i del sis tem a di re te... Come si può vedere si tratta di un analisi accurata "dopo il fatto", ma orientata ai problemi di sicurezza e non solo a quelli legali. Andando ad analizzare la definizione di Network Forensics data sopra andando ad esaminare ogni termine. Prima di analizzare in modo più dettagliato la Network Forensics farò una distinzione fra Network Security e Network Forensics (dove si ferma la Network security e dove invece si spinge la Network Forensics). Stefano Guerra Pagina 4

4 CAPITOLO 1 Network S ec urity e Network Forens ic s Strato fisico della rete è ingannevolmente tranquillo, ma andando ad analizzare il traffico si possono individuare singoli flussi e il loro contenuti essenziali per una comprensione completa di utilizzo della rete. Molti strumenti (tool di sviluppo) consento di visualizzare il traffico in tempo reale, tuttavia, però il monitoraggio in tempo reale a qualsiasi livello richiede ingenti risorse umane e hardware, e non scalare per reti di grandi dimensioni di un singolo gruppo di lavoro. Generalmente è più pratico archiviare tutto il traffico e analizzare sottoinsiemi come necessario. Questo processo è noto come ricostruttiva analisi del traffico, o forense. La rete in pratica, è spesso limitata alla raccolta dei dati e livello pacchetto ispezionando, tuttavia, tramite strumenti di analisi (NFAT) può fornire una visione più ricca dei dati raccolti, che consente di ispezionare il traffico ad un livello più alto della pila dei protocolli. Quindi la differenza fra Network Security e Network Forensics è sostanziale e sta nei tools utilizzati. Gli strumenti che riguardano la Ne twork S e c urity non s i oc c up ano, in g e ne rale, d i rac c og lie re pro ve d ig itali, m a d i s e g nalare e ve nti. Ad oggi sono stati sviluppati diversi Tool per l'analisi Forense (NFAT) che, oltre ad analizzare flussi di dati ed eventi, consentono dopo il fatto di averne evidenze utili in ambito dibattimentale. Ad esempio, se l'analisi rileva un account utente ed il suo Pretty Good Privacy 1 risulta compromessa, allora si deve procedere alla revisione di tutte le successive attività da quell'utente o che coinvolgono tali chiavi. Un esempio pratico potrebbe essere la posta server. Tale sistema ha perso diverse ore o giorni per recuperare i messaggi ricevuti o per effettuare il backup portando ovviamente ad un fallimento, in tal modo è possibile recuperare i messaggi. Allo stesso modo, i forensics possono effettuare tali operazioni tramite un analisi accurata delle anomalie come picchi di traffico o errori nell'applicazione. 1.1 Problematiche legali L'applicazione delle tecniche legate alle Network Forens ics non può in alcun modo prescindere dalle vigenti normative. Data la natura dell'attività d'indagine, esistono essenzialmente due aspetti giuridici che devono essere tenuti in considerazione l'ammissibilità della prova e il rispetto del diritto alla privacy. Per quanto riguarda il primo aspetto, va infatti tenuto conto che il fine ultimo della Network Forens ics è quello di produrre delle prove da utilizzare in un procedimento legale. Queste evidenze devono quindi rispettare il criterio di ammissibilità. Nello specifico il perito deve fornire: 1 Pretty Good Privacy ( PGP): Sviluppato da Phil Zimmerman nel PGP combina i migliori algoritmi di crittografia disponibili per ottenere una comunicazione sicura . Si presume che tutti gli utenti utilizzano la crittografia a chiave pubblica e hanno generato una coppia privata/chiave pubblica (RSA o El Gamel). PGP offre 5 servizi: autenticazione, riservatezza, di compressione, di compatibilità , segmentazione. Stefano Guerra Pagina 5

5 1. l'indicazione dell'origine della prova; 2. la descrizione della metodologia di acquisizione utilizzata; 3. la garanzia che la prova sia integrale e priva di alterazioni; Il procedimento forense deve quindi seguire una procedura comunemente accettata e ripetibile formata da diversi passi, pena l'invalidazione delle prove prodotte. Andrea Ghirardini e Gabriele Faggioli nel loro libro sull'argomento mettono in guardia proprio da questi rischi nel secondo capitolo, il quale esordisce con queste parole: Le digital evidences devono es sere acquisite, cons ervate e analizzate utilizzando m e todologie corris ponde nti ai più m ode rni protocolli scie ntifici pe r s congiurare la pos sibilità che il giudice non le amm etta in giudizio o le ritenga inidonee a provare il fatto oggetto del giudizio. Purtroppo è quasi s em pre im pos sibile rim ediare agli errori comm es s i, e le evidenze inform atiche raccolte non correttam ente s ono nella m aggioranza de i casi irrim e diabilm e nte inutilizzabili. A ciò dev'essere aggiunto quanto concerne la tematica della privacy. Infatti in una buona parte dei casi la Network Forensics implica l'intercettazione di comunicazioni a mezzo Internet. Quest'attività è strettamente regolata dalla legge e permessa solo in determinate circostanze - tra cui le ipotesi di reato di cui all'art. 266 c.p.p. - e dev'essere tassativamente autorizzata da un magistrato. L'utilizzo illecito di questa possibilità può integrare la fattispecie di reato di cui all'articolo 617 quater c.p. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche. 1.2 Campi di applic azione s pecifica e livelli interes s ati Di per se, l'attività di Network Forens ics è trasversale e difficilmente inquadrabile dal punto di vista dello stack ISO/OSI. Sarebbe un errore pensare infatti che ci si debba occupare semplicemente del livello rete. Al contrario, l'analisi può avere a che fare con i livelli più alti o persino in alcuni casi con il livello data link. Nello specifico molto dipenderà anche dal singolo caso. Ci si può dover trovare ad operare in seguito ad un furto di dati, ma anche in un caso di file sharing illegale oppure dover effettuare l'intercettazione di una chat. In ciascuna di queste situazioni i particolari di interesse saranno diversi. Solitamente i criteri di ricerca si basano su un protocollo, una porta oppure un contenuto. Questo spiega perché la Network Forens ics non ha un approccio solamente difensivo - proprio della sicurezza informatica e limitato a dispositivi quali firewall e IDS - ma riguarda anche altri aspetti. La Network Forens ics può essere classificata in base alla metodologia di raccolta dei dati. Si fa distinzione tra il cosiddetto metodo " c atc hitas youc an", in cui tutti i dati vengono prima registrati e poi analizzati, e lo " s to p lookand lis te n", con il quale è possibile ricevere eventuali risultati dell'analisi mano a mano che l'informazione viene registrata. Il primo è più completo perché tutto viene memorizzato, d'altro canto richiede un maggiore utilizzo di spazio di memorizzazione. Di cospicua importanza si rivela l'analisi di diverse tipologie di file di log. Tra queste ci sono i log dei firewall, le registrazioni binarie del traffico di rete, i file ASCII di sessione ed eventuali allarmi riscontrati da un sistema IDS. I file ASCII di sessione sono i payload estratti dalle registrazioni binarie e isolati per una più semplice analisi. I log permettono un'analisi a livello applicativo più che a livello di rete. Un altro elemento che può essere di interesse è quello relativo agli header dei messaggi e- mail. I più comuni includono Mes s ageid, To, From, Contenttype, e i m ail s erver interessati indicati dai vari Received (con sottocampi from, by e for). È bene ricordare che gli header nelle non devono essere considerati come affidabili in quanto potrebbero essere Stefano Guerra Pagina 6

6 1.3 Pro cedura s tandard di lavoro Network Forens ics stati manomessi. Tuttavia potrebbero comunque fornire delle informazioni utili sul percorso del messaggio o motivare il sospetto di una possibile falsificazione. Diagramma delle fasi del modello di Pilli, Joshi e Niyogi Durante un'indagine verranno raccolti alcuni dati come prove a riguardo degli eventi accaduti e si dovrà accertare o confutare l'ipotesi che la violazione di cui si è interessati abbia effettivamente avuto luogo. Per l'investigatore è molto importante possedere fonti di informazione utili e affidabili. Emmanuel S. Pilli, R.C. Joshi e Rajdeep Niyogi hanno studiato i differenti protocolli che riguardano la Network Forens ics e hanno sviluppato un modello di lavoro ottimizzato basato su nove fasi, di seguito elencate: Pre parazione : È utile che nell'ambiente vengano predisposti opportuni strumenti di sicurezza in vari punti strategici della rete. Vengono richieste le necessarie autorizzazioni per procedere. Rilevazione: Vengono osservati i segnali lanciati dagli strumenti di sicurezza e qualsiasi violazione o anomalia che venga notata sarà poi analizzata. Bisogna prendere le necessarie precauzioni affinché la prova non venga alterata. Ris pos ta all'incidente : Questa fase dipende dalla tipologia di evento manifestatosi ed è vincolata da fattori aziendali o legali. Lo scopo è quello di rispondere nell'immediato per contenere gli effetti dell'evento. Ac quis izione: I dati rilevati dalle strumentazioni predisposte vengono raccolti. La quantità di dati raccolti può essere notevole ed è necessario l'utilizzo di una procedura adeguata per essere preparati all'evenienza. Cons ervazione : Le informazioni originali, nella forma di log e tracce di vario tipo vengono salvate su un dispositivo di backup e viene creato un hash per ogni file. Verrà poi analizzata una copia dei dati, mentre gli originali rimarranno intoccati. Ciò ha lo scopo di rispettare il requisito legale che l'analisi sia ripetibile. Es ame: Le tracce ottenute da varie fonti vengono integrate in un unico insieme di dati che potrà poi essere analizzato. Questo passo è necessario per evitare che delle informazioni cruciali possano venire perse. La prova raccolta subisce una ricerca allo scopo di evidenziare specifici indicatori di un crimine. Stefano Guerra Pagina 7

7 7. Analis i: Gli indicatori vengono correlati per dedurre informazioni su quanto accaduto. Alcuni dei parametri che possono essere di interesse riguardano le connessioni stabilite, le richieste DNS e il contenuto del traffico. La comunicazione viene ricostruita per studiarne la progressione nel tempo. 8. Indagine : Lo scopo di questa fase è quello di risalire all'origine dell'evento. È di speciale importanza nel caso di attacchi esterni, in quanto è necessario attribuire un'identità all'autore dell'attacco ed è la parte più complicata del processo. 9. Pres entazione: I dati acquisiti e le deduzioni derivate devono essere presentati in una forma comprensibile al personale legale. Allo stesso tempo, dev'essere inclusa una documentazione tecnica dettagliata per soddisfare i requisiti di legge. Quando si parla dell'analisi dei dati, ci sono molti fattori da tenere in considerazione. rispetto alla volatilità del dato si possono distinguere due tipi di analisi: la live fore ns ic s e l' offline analys is. Per quanto riguarda la prima, in un sistema ancora in funzione è fondamentale ricostruire una cronologia degli eventi, il che implica analizzare i tim es tamp da diverse prospettive, nonché le connessioni TCP e UDP attive. Nel secondo caso, i file di log si rivelano preziosi in quanto contengono la quantità maggiore di informazioni, e devono essere analizzati con cura. Il modello proposto da Pilli, Joshi e Niyogi è generico, nel senso che si applica alla Network Forens ics sia in tempo reale che ad evento avvenuto. Le prime cinque fasi riguardano il traffico in tempo reale. 1.4 Pos s ibili limitazioni tecniche Come ogni disciplina di carattere tecnico, anche la Network Forensics deve scontrarsi con la sussistenza di problematiche che ne possono limitare il campo di applicazione. Questo vale indipendentemente dalla correttezza di applicazione delle metodologie operative e dipende necessariamente anche dall'evolversi continuo della tecnologia. Un primo problema è indubbiamente quello della localizzazione degli autori dei crimini commessi attraverso la rete. Ci sono molti modi per ottenere l'anonimato o semplicemente rendere difficile il rintracciamento: l' IP s p oofing, l'utilizzo di proxy o la navigazione attraverso numerosi nodi relay (ad esempio la rete TOR). Inoltre la diffusione di IPv6 renderà più difficoltoso effettuare un'associazione tra indirizzo IP e zona geografica o nominativo di appartenenza. Un'altra questione riguarda il contenuto delle comunicazioni. Agli albori di Internet era prassi comune utilizzare protocolli in chiaro come HTTP, FTP e Telnet. Ora invece la crittografia è alla portata di tutti e si può ottenere in modo semplice usando l' S S H tunne lling oppure le VPN, rendendo impossibile la lettura del traffico. Infine non va dimenticato che l'applicazione della Network Forens ics è influenzata dal livello di accesso che si dispone verso determinate reti. Non è applicabile in contesti in cui si ha un accesso limitato o assente, come ad esempio il cloud com puting oppure la connessione cellulare di un dipendente. 1.5 Tool per l'analis i Network Forens ics (NFAT) Esistono molti strumenti per monitorare il traffico in tempo reale, ma sono dispendiosi in termini di risorse hardware e umano. Non sono adatti alle reti più grandi di un singolo workgroup. Risulta più pratico, invece, archiviare tutto il traffico e analizzare un sottoinsieme. I Tool di analisi NFAT possono fornire una visione più ricca dei dati raccolti che consentono di ispezionare il traffico da un livello più alto ed astratto dallo stack del protocollo. Di solito hanno incorporato un software di sniffing e un sistema di analisi dei pacchetti raccolti. Il più delle volte usano tcp dum p come sniffer dei pacchetti, che è un Stefano Guerra Pagina 8

8 formato de facto. Questi strumenti sono stati sviluppati al solo fine forense e di indagine sugli incidenti e non sono destinati agli amministratori di rete. Si può osservare in figura cosa c'è dietro strumenti della Network Forensics. Uno strumento di network forensics organizza in singoli pacchetti di connessioni a livello di trasporto tra le macchine, permettendo così di analizzare il traffico di rete strato dopo strato. Alcuni strumenti NFAT sono: Xplico (Open Source), E-Detective, NetworkMiner (Open Source), Wireshark. Dato che i firewall e i sistemi di rilevamento IDS 2 sono strumenti consolidati per la rete e la sicurezza, qual è il ruolo di NFAT? Intende sostituire questi strumenti o li integrano? Un tipico IDS tenta di rilevare attività che violando le policy di sicurezza di un'organizzazione mediante l'attuazione di un insieme di regole che descrivono la preconfigurazione di modelli di interesse. Queste regole sono sia un punto di forza che di debolezza. Un IDS può rilevare alcuni incidenti affidabili, ma non l'insieme di regole in grado di rilevare tutti le possibili intrusioni. Un firewall consente o impedisce un tipico traffico in entrata o uscita da reti specifiche, indirizzi macchina e numeri di porta, ma i protocolli che eludono port based della sicurezza sono sempre più comuni. Un esempio pratico potrebbe essere quello di considerare Yahoo Messenger, che comunica attraverso la porta 23 (conosciuta come la porta Telnet3) se la sua porta di default 5050 è bloccata. Così, si potrebbe aggirare un firewall di blocco di porta Un NFAT, identifica la connessione sulla porta 23 come Yahoo Messenger dal suo contenuto. Integrando il tool NFAT con IDS e un firewall adeguato in due modi: Conserva un record a lungo termine della rete di traffico e consente l'analisi rapida dei guasti punti individuati dagli altri due strumenti. Accesso tramite un NFAT permette di decidere quale traffico è di interesse post hoc (per esempio, vale la pena rilevare le ultime due settimane di inviata da un dipendente che è stato licenziato e la cui macchina è stata ripulita) e analizzare il traffico in modo rapido ed efficiente. Questa analisi (attraverso il flusso di riassemblaggio) riduce la gravità del problema riducendo la verifica in cui il volume informazioni di irrilevante oscura informazioni di interesse. È possibile utilizzare network forensics analisi capacità di ricerca tutto collegato con l'incidente per ottenere "il resto della storia". Come un complemento essenziale per la sicurezza esistente dei sistemi, un NFAT deve eseguire ben tre compiti. Si deve catturare il traffico di rete, ma deve analizzare il traffico in base alle esigenze dell'utente, e deve consentono agli utenti di sistemi di scoprire utili ed interessanti cose sul traffico analizzato. 2 Intrus ion Detectio n S ys te m o IDS è un dispositivo Software o Hardware (a volte la combinazione di entrambi, sotto forma di sistemi stand-alone pre-installati e preconfigurati) utilizzato per identificare accessi non autorizzati ai computer o reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici. Vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Questi attacchi includono gli attacchi alle reti informatiche tramite lo sfruttamento di un servizio vulnerabile, attacchi attraverso l'invio di dati malformati e applicazioni malevoli, tentativi di accesso agli host tramite innalzamento illecito dei privilegi degli utenti, accessi non autorizzati a computer e file, e i classici programmi malevoli come virus, trojan e worm. Stefano Guerra Pagina 9

9 CAPITOLO 2 Strumenti hardware e s oftware Delle varie fasi analizzate in precedenza, ce ne sono alcune più tecniche che coinvolgono dispositivi e software appositi. Più precisamente si tratta delle parti di rilevazione, analisi e indagine. Durante queste fasi l'esito dipende sicuramente dalla capacità di chi indaga, ma la strumentazione adeguata fornisce un aiuto non indifferente. Per quanto riguarda l'hardware, risulta fondamentale quello scelto per la fase di rilevazione. Infatti è spesso necessario predisporre una cosiddetta sonda per intercettare il traffico. Si tratta di un dispositivo dotato di diverse interfacce di rete che verrà posto nel mezzo di una linea di comunicazione allo scopo di registrare tutti i dati in transito. Per evitare inconvenienti che potrebbero vanificare l'esito delle operazioni è opportuno scegliere oculatamente anche la dotazione hardware del dispositivo che sarà installato. Di seguito vengono discussi alcuni hardware e software che si possono utilizzare. Tuttavia sono da ritenersi solo come indicazioni, in quanto ogni caso può richiedere scelte diverse. 2.1 Dis pos itivi hardware s pe cializzati Un Intense PC: a dispetto delle sembianze da router, si tratta di un PC con processore Intel i7 da 1.7 GHz, fino a 16 GB di RAM, hard disk interno da 2.5" fino a 6 Gbit/s, due porte Ethernet di classe 1000 e la possibilità di integrare altre porte sul pannello anteriore Nel momento in cui si sceglie un dispositivo per fungere da sonda bisogna tenere in considerazione diversi aspetti. Innanzitutto la componente esteriore: la sonda infatti dovrà essere nascosta o comunque non destare nessun tipo di attenzione. Per questo motivo è necessario che il dispositivo sia di ridotte dimensioni, per poter essere collocato in luoghi nascosti o comunque in cui si trovino già numerosi altri dispositivi e cavi. Oltretutto non va sottovalutata l'estetica. Meno il dispositivo somiglia ad un computer e meglio è. A tutto ciò va aggiunta la dovuta considerazione per le caratteristiche tecniche. Lo scopo della sonda è quello di ritrovarsi in mezzo ad una comunicazione e intercettarne tutto il contenuto: dovrà farlo in modo efficace, senza creare latenze e soprattutto senza perdere parte dei dati. Per questi motivi non bisogna sottovalutare la potenza di calcolo del processore e la velocità di input/output del disco, nonché la capienza di quest'ultimo. Inoltre è necessario Stefano Guerra Pagina 10

10 avere perlomeno due schede di rete (ma idealmente almeno tre). Esistono numerosi produttori che si occupano di produrre sistemi em bedded oppure veri e propri minicomputer compatibili con architettura Intel oppure ARM. Di seguito ne sono elencati alcuni con i relativi siti internet: Lex Systems - The Book PC - Tiny Green PC - Win Enterprises - Naturalmente si tratta solo di esempi: i prodotti disponibili sul mercato sono davvero innumerevoli e permettono una scelta accurata della strumentazione migliore. 2.2 Configurazione di una s onda per l'intercettazione Nella scelta della configurazione software per la sonda, risulta pacifico l'utilizzo di un sistema operativo Linux. Le ragioni di questa scelta sono molteplici. Da una parte si ha la possibilità di installare questi sistemi su una notevole quantità di architetture diverse, mentre dall'altra ci sono due fattori che influenzano il costo. Il sistema operativo è gratuito e il kernel contiene l'implementazione di tutte le funzionalità di rete. Ciò non si limita soltanto a funzioni comuni ma anche a caratteristiche più avanzate che si ritrovano solo in dispositivi di rete di livello professionale. Installando alcune semplici utility è possibile trasformare una macchina Linux in uno switch, un router o qualsiasi altro dispositivo che sia di interesse. In particolare, per la creazione di una sonda funzionante saranno necessarie tre componenti: le " bridge utils " per poter connettere tra di loro diverse interfacce Ethernet della macchina, e btable s per definire delle regole di filtraggio a livello 2, e infine un programma che faccia da s niffe r per registrare il traffico in transito nel bridge. Un assetto tipico sarà quello di una macchina con tre interfacce di rete, nella quale due saranno utilizzate senza indirizzo IP come porte del bridge per far passare il traffico, mentre la terza verrà usata per l'amministrazione da remoto. Supponiamo di voler configurare il bridge tra eth0 ed eth1. Prima di tutto vanno attivate le interfacce: ifconfig eth0 -arp up ifconfig eth1 -arp up Da notare il fatto che per garantire la totale trasparenza è doveroso disattivare il protocollo ARP. Questo evita che la sonda generi traffico estraneo a quello da registrare e quindi scongiura ogni alterazione alla prova. A questo punto è necessario collegare eth0 ed eth1 con un bridge, il quale dev'essere prima di tutto creato: brctl addbr br0 Quindi si possono associare le interfacce: brctl addif br0 e th0 brctl addif br0 e th1 Stefano Guerra Pagina 11

11 Come precauzione ulteriore, è meglio disattivare il protocollo s panning tre e dal bridge, altrimenti quest'ultimo potrebbe presentarsi ad altri dispositivi analoghi che lo supportassero. Per fare ciò è sufficiente dare il seguente comando: brctl s tp br0 off A questo punto non resta che attivare l'interfaccia br0: ifconfig br0 -arp up Una volta che il bridge è operativo, qualsiasi s niffer di rete può osservare br0 e intercettarne tutto il traffico per memorizzarlo in un file di log. Questo tipo di analisi è molto utile per poter individuare le porte, i protocolli e gli hos t che sono coinvolti. Inoltre permette di leggere il contenuto non cifrato della comunicazione. Come ultima cosa è buona norma ricordare che per evitare fallimenti risulta preferibile avere a disposizione più sistemi di rilevazione e sparsi in diversi punti della rete. 2.3 Software di interc ettazione, analis i e filtraggio Il panorama del software open source offre una vas tis s ima s celta di programmi attinenti alle reti per gli scopi più disparati, dall'analisi del traffico al fing e rprinting delle macchine. Viene fornito l'elenco di alcuni di essi. Una parte dei software indicati non sono nati con scopi forensi ma si sono rivelati col tempo particolarmente adatti all'uso: 1. Nets tat: Comando che mostra le connessioni di rete attive, le tabelle di routing, e altre statistiche legate alle interfacce di rete. 2. Ngrep: Uno strumento che supporta pcap e consente di effettuare ricerche con espressioni regolari estese o esadecimali sui payload dei dati. 3. Nmap: Applicazione per l'esplorazione della rete e i test di sicurezza. Supporta numerosi tipi di scansione delle porte e può essere utilizzato per il fingerprinting dei sistemi operativi. Usa dei pacchetti IP grezzi in modi non convenzionali per determinare gli hos t disponibili sulla rete, i servizi offerti i firewall in uso e molto altro. 4. Ntop: Viene usato per monitorare l'utilizzo del traffico e identificare violazioni della sicurezza. Supporta l'identificazione di attacchi tra i quali IP s poofing, schede in modalità promiscua, denial of s ervice, trojan e scansione delle porte. 5. PyFlag : Uno strumento forense avanzato che analizza i dati in formato pcap. Ha l'abilità di analizzare le informazioni in modo ricorsivo ed è particolarmente indicato per i protocolli di rete con una struttura tipicamente a livelli. 6. Snort: Si tratta di un IDS che è in grado di effettuare il log dei pacchetti, lo sniffing e anche l'analisi del traffico in tempo reale. 7. TCPDump: S niffer che cattura, mostra e memorizza tutte le forme di traffico di rete in vari formati di uscita. 8. TCPFlow: Ricostruisce gli s tream di dati e li salva in singoli file. Il software comprende i numeri di sequenza e opera la ricostruzione in modo corretto indipendentemente dalle ritrasmissioni o la consegna in disordine. 9. TCPTrac e: Produce diversi tipi di output contenenti informazioni come il tempo trascorso, i segmenti inviati e ricevuti, le ritrasmissioni e il throughput. 10.Traceroute : Comando utilizzato per determinare la strada intrapresa dai pacchetti attraverso le reti IP. Stefano Guerra Pagina 12

12 11.Wires hark: È l'analizzatore di protocolli più popolare. Può effettuare una cattura in tempo reale in formato pcap, dissezionare centinaia di protocolli, effettuare analisi su dati già acquisiti in precedenza ed è multipiattaforma. 12.Xplico: Possiede una comoda interfaccia web e permette di dissezionare il traffico catturato al livello di protocollo, ricostruirlo e normalizzarlo per poi correlarlo in base a diversi aspetti in una forma leggibile e navigabile. CAPITOLO 3 Ide ntificare i dati utili La maggior parte delle attività svolte nella Computer Forensics conduce verso un ambito di rete, ergo verso attività nella Network Forensics. Basti pensare alla sola navigazione, e- mail, chat, software P2P, FTP, VoIP, Telnet, Community, VPN, ecc. Molte attività della Network Forensics hanno come conclusione il sequestro di una o più memorie di masse e quindi si ricade di nuovo nella Computer Forensics. Una buona interazione fra Network Forensics e Computer Forensics permette di non allungare i tempi di risoluzione dei casi. Cosa vuol dire, allora, identificare i dati utili al fine di un indagine su una rete? 1. Verificare quali sistemi e supporti sono interessanti (switch, router, ISP, ecc.); 2. Trovare gli elementi che testimoniano una determinata attività sulla rete (LOG, report IDS, ecc.); 3. Trovare macchine o supporti di memoria da girare alla Computer Forensics per descrivere cosa è accaduto ed a prelevare tali elementi probatori. 3.1 Genuinità dei dati Qualora non sia possibile far intervenire la Computer Forensics perché gli elementi che dimostrano un crimine sono un prodotto della rete che non risiede specificamente su un nodo fisico, la copia dei dati rilevanti è un processo di difficile interpretazione e con scarse garanzie. Nel Computer Forensics le garanzie si esplicano in quanto la copia forense viene certificata mediante un codice di verifica che ne assicura la genuinità prima e dopo l analisi (hash). Nel Network Forensics i dati rilevanti sono spesso frutto dell elaborazione congiunta di dati provenienti da diversi nodi e non semplicemente di una copia, da cui la certificazione mediante hash non ha molto senso. Pensiamo, ad esempio, ai sistemi Stefano Guerra Pagina 13

13 3.2 Di cos a fare la copia Network Forens ics distribuiti, raccogliere ipertesti dinamici (pagine php), spesso le macchine non possono essere spente o ci sono troppi dati da memorizzare e diviene impossibile in termini di costi. Si la necessità di certificare i dati. Bisogna, quindi, certificare il processo di ottenimento assieme allo stato (di natura dinamico) della rete in quel momento (del prelievo dei dati). La rete è formata da tanti nodi, che sono dei semplici computer. Se si considera un nodo il problema, la soluzione più semplice sarebbe quella di fare il shutdown della macchina, sequestrarla e agire secondo la Computer Forensics. Questo tipo di approccio ha, però, un piccolo problema: molti dei nodi di una rete non possono ammettere lo shutdown senza compromettere definitivamente informazioni e processi che viaggiano sulla rete stessa da cui si arriverebbe all assurdo di preservare lo stato della singola macchina alterando quello della rete. In questo caso l unica via d uscita è la copia a runtim e, ossia durante la normale attività del nodo e della rete. Sono pochi, però, gli strumenti hardware e software in grado di realizzare un attività di questo tipo (si tratta di estensioni dei normali software utilizzati nella Computer Forensics). Dal punto di vista legale si aprono problematiche notevoli: la copia a runtime di dati su una memoria di massa operativa è un operazione irripetibile, perchè ricostruire le condizioni globali entro le quali si svolge è praticamente irrealizzabile. Le operazioni irripetibili sono problematiche da diversi punti di vista: 1. sono difficili da documentare e certificare; 2. sono difficili da presentare in fase di dibattimento dei risultati ottenuti. 3.3 Quali dati occorre re cuperare Dopo aver fatto la copia, sorge spontanea la domanda: quali dati ci interessa recuperare? La risposta è: dipende. È molto difficile e complesso chiedersi quali dati recuperare. Entra in gioco un grado di aleatorietà notevole che rendono i dati più indizi che elementi probatori. Ad esempio si può recuperare: 1. le entry nei file di log; 2. le password per accedere alle sessioni di lavoro. Stefano Guerra Pagina 14

14 CAPITOLO 4 Anonimato in rete Analizzeremo, ora, un modo tramite il quale vengono commessi reati informatici, cioè l ano nimato. Di seguito cito la definizione di anonimato in rete. L'anonim ato (o anche anonim ìa) è lo s tato di una pers ona anonim a, os sia di una pers ona di cui l'identità non è conos ciuta. Ques to può accadere per diversi m otivi: una pers ona è riluttante a fars i conos cere, oppure non lo vuole per m otivi di s icurezza com e per le vittim e di crimini e di guerra, la cui identità non può ess ere individuata. L anonimato ha, però, vari problemi: Nas condere la propria identità può ess ere una s celta, per legittim e ragioni di privacy e, in alcune occasioni, per s icurezza pers onale: un es em pio ne sono i criminali, i quali, s olitam ente, preferiscono rimanere anonimi, in particolare nelle le tte re ricattatorie. Stefano Guerra Pagina 15

15 CAPITOLO 5 The Onio n Router Tor 3 (The Onion Router) è un sistema di comunicazione anonima per internet basato sulla seconda generazione del protocollo di onion routing. Permette di difendersi dalle tecnologie di sorveglianza della rete, come l analisi del traffico, deviando le comunicazioni attraverso una rete distribuita di server ( relay ) gestiti da volontari in tutto il mondo. Tor funziona con molti dei programmi di uso quotidiano, come i browser, i client per la chat, i programmi di login remoto e tante altre applicazioni basate sul protocollo TCP. Tor, infatti, funziona esclusivamente su TCP. Tor permette anche di creare dei servizi nascosti nella sua rete, denominati hidden services (servizi nascosti). È un progetto sicuramente nobile, purtroppo usato anche dai criminali informatici. 5.1 Funzionamento della rete Tor (The Onion Router) The Onion Router è una rete che aiuta a ridurre i rischi derivati dall analisi del traffico usando un idea simile ad usare un percorso tortuoso e difficile da seguire, cancellando periodicamente le informazioni. Tor non crea un path diretto dalla sorgente alla destinazione. i pacchetti dati di questa rete prendono un percorso casuale attraverso molti relay, in modo che nessun attaccante situato in un singolo punto possa dire da dove venga o dove sia diretto un certo traffico. Per creare un path di rete privato con Tor, il software crea incrementalmente un circuito di connessioni cifrate, tramite TLS, attraverso i relay della rete Tor. Il circuito viene esteso un salto alla volta, e ogni relay lungo il percorso conosce solo quale relay gli ha dato le informazioni, e verso che relay inoltrarle. Nessun relay conosce il percorso completo che il pacchetto ha preso. Il software negozia un nuovo insieme di chiavi crittografiche per ogni salto lungo il circuito, per assicurarsi che ciascun nodo non possa tracciare queste connessioni durante il passaggio. La negoziazione delle chiavi segue lo schema Diffie-Hellman. Una volta che un circuito è stato stabilito, si possono scambiare diversi tipi di dati e usare molti tipi di applicazioni attraverso una rete Tor. Tor funziona solo con i flussi TCP e può essere usato da ogni applicazione che abbia il supporto SOCKS (ad esempio il Privoxy, dove diamo un accenno dopo). 3 To r (The On ion Ro uter): è un sistema di comunicazione anonima per Internet basato sulla seconda generazione del protocollo di onion routing. Tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti. Originariamente sponsorizzato dalla US Naval Research Laboratory, è stato un progetto della Electronic Frontier Foundation ed ora è gestito da The Tor Project, una associazione senza scopo di lucro. Stefano Guerra Pagina 16

16 funzionamento della rete Tor Tor utilizza lo stesso circuito per le connessioni che avvengono nell arco di dieci minuti, questo per evitare che nessuno possa collegare le azioni precedenti con le successive. 5.2 Accenni s u Privoxy cambio di path dopo dieci minuti Come si nota, l ultimo passo, cioè exit node-destinazione, non è cifrato. Tutte le informazioni sono in chiaro. Privoxy 4 è un programma di proxy web, spesso usato in combinazione con Tor. Ha funzionalità di filtro per la protezione della privacy, per la modifica dei dati delle pagine web, per la gestione dei cookies, per il controllo degli accessi, e per la rimozione selettiva di contenuti come annunci, banner e pop-up. Si tratta di un software estremamente potente che permette una configurazione estremamente accurata delle proprie regole, ma che anche nella sua configurazione più semplice dimostra la sua efficacia. Questa flessibilità lo rende adatto sia ad un uso personale (installandolo ad esempio sul proprio PC) che ad un uso in ambienti di rete più complessi (dal piccolo ufficio alla LAN più estesa). 4 Privoxy: è un proxy web non-caching con funzionalità di filtro per migliorare la privacy, la modifica dei dati delle pagine web e le intestazioni HTTP prima che la pagina viene visualizzata dal browser. Privoxy è un "rafforzamento della privacy proxy", filtrando le pagine Web e la rimozione di pubblicità. Privoxy può essere personalizzato dagli utenti, per entrambi i sistemi stand-alone e le reti multiutente. Privoxy è spesso usato in combinazione con Squid e può essere utilizzata per aggirare la censura di Internet. Privoxy è basato su Internet Junkbuster ed è rilasciato sotto la GNU General Public License. Funziona su GNU / Linux, OpenWrt, Windows, Mac OS X, OS / 2, AmigaOS, BeOS, e la maggior parte delle versioni di Unix. Quasi qualsiasi browser Web può usarlo. Il software è ospitato su SourceForge. Stefano Guerra Pagina 17

17 5.3 Servizi nas coti Tor consente ai propri utenti di offrire vari servizi (web server, chat server, ecc.) nascondendo la propria posizione nella rete. Grazie ai rendezvous point è possibile far utilizzare questi servizi agli altri utenti Tor senza conoscere la reciproca identità. Vediamo i passi per creare un hidden services. Un hidden service deve rendere nota la sua esistenza nella rete Tor, altrimenti non può essere acceduto. Per questo il servizio sceglie alcuni relay a caso, stabilisce dei circuiti (e non connessioni dirette) verso di essi e chiede loro di fungere da introduction point comunicandogli la sua chiave pubblica. Creando questa connessione è difficile stabilire se questi introduction point sono associati a qualche hidden services. In più gli introduction point non conoscono l IP del servizio, ma solo la sua chiave pubblica. Una volta scelti gli introduction point, l hidden service costruisce un hidden service des criptor, che non è nient altro che un pacchetto contenente la sua chiave pubblica ed un sommario degli introduction point, e firma questo descriptor con la sua chiave privata. Invia il descriptor a un gruppo di directory server, usando sempre un circuito Tor. Il descriptor verrà trovato dai cient che richiederanno XYZ.onion, dove XYZ è un nome di 16 caratteri derivato in modo unico dalla chiave pubblica dell hidden service. Dopo questo passo, l hidden service è attivo. Quando un client desidera contattare un hidden service, deve conoscere prima il suo indirizzo onion. Dopodiché il client può iniziare a stabilire la connessione scaricandone il descrittore dai directory server. Se esiste un descrittore per XYZ.onion, il client ora conosce il gruppo di introduction point e la corretta chiave pubblica. Il client crea, allora, un circuito verso un altro relay scelto a caso e gli chiede di fungere da rendezvous point comunicandogli un one-tim e s ecret. Una volta presente il descriptor e pronto il rendezvous point, il client costruisce un introduce mess age (cifrato con la chiave pubblica dell hidden service) contenente l indirizzo del rendezvous point ed il one-time secret. Il client invia questo messaggio a uno degli introduction point, chiedendo che venga consegnato all hidden service. È inutile ribadire che ogni scambio di messaggi avviene sempre tramite un circuito Tor. Stefano Guerra Pagina 18

18 L hidden service decifra l introduce message del client e scopre l indirizzo del rendezvous point ed il one-time secret contenuto. Il service crea un circuito verso il rendezvous point e gli invia il one-time secret in un rendezvous m es s age. Il rendezvous point notifica al client che la connessione è stata stabilita con successo. Dopodiché il client e l hidden service possono usare i loro circuiti verso il rendezvous point per comunicare tra di loro. Il rendezvous point inoltra semplicemente i messaggi dal client al service e viceversa. Stefano Guerra Pagina 19

19 5.3 Vulne rabilità della rete Tor Come la Network Forensics può effettuare l'analisi? Il metodo brutale è quello di sequestrare i server Tor, come è avvenuto in Germania nel 2006 oppure sfruttare le sue vulnerabilità. 1. Timing attacks : Tor è un sistema a bassa latenza, quindi sarebbe possibile correlare una connessione cifrata di partenza con una connessione in chiaro di destinazione; 2. DNS Leak: Molti software continuano a fare richieste DNS bypassando la rete Tor; 3. Software malco nfig urati: Ad esempio, nei web browser si lasciano attivi le opzioni che permettono il caricamento dei file flash, degli script javascript e la memorizzazione dei cookie; 4. Connes s ioni dirette dei s o ftware di mes s aggis tica is tantanea: Alcuni client di messaggistica istantanea che non supportano l interfaccia SOCKS, bypassano la rete Tor. L unico modo per sfruttare Tor è quello i usare Privoxy; 5. Intercettazione dell exit no de : Essendo l ultimo collegamento non cifrato, è possibile un attacco "man in the middle"; 6. TLS Attack: Possono essere rilevati nel traffico TLS diverse deviazioni del tempo di sistema. Un attaccante può modificare il tempo di sistema del destinatario attraverso NTP e rintracciare le connessioni TLS dalla rete anonima. È un attacco molto esoso. Stefano Guerra Pagina 20

20 CAPITOLO 6 Cas i di s tudio re ali Come si è avuto modo di anticipare, la disciplina della Network Forens ics trova applicazione in numerosi contesti che non necessariamente devono essere legati ai reati di intrusione in un sistema informatico. In questa sezione si cerca di fornire alcuni esempi concreti tratti dalla letteratura che mostrano questo tipo di eterogeneità. In un caso, l'esempio è corredato anche da un estratto di output, adeguatamente commentato ed utile per comprendere meglio. 6.1 Spionaggio indus triale Un esempio molto classico di situazione che può succedere in un'azienda è la presenza di un impiegato poco onesto il quale trafuga informazioni riservate per rivenderle all'esterno. In questo esempio l'indagine nasce da un'azienda leader in un mercato di nicchia che viene a conoscenza del fatto che alcune fabbriche all'estero producono pezzi di ricambio per i macchinari da essa sviluppati. Data la specificità dei macchinari e la rapidità con cui vengono resi disponibili i pezzi, non appare possibile che le fabbriche concorrenti possano semplicemente riprodurre da zero i pezzi interessati. Insospettisce anche il fatto che i pezzi di ricambio abbiano lo stesso codice di quello fornito dalla casa madre. Come prima cosa, viene modificato di proposito un pezzo nel database originale dell'azienda, per poi verificare quando la nuova versione venga copiata. In seguito viene piazzata una sonda sul backbone aziendale allo scopo di intercettare tutto il traffico di rete. La sonda contiene il software Snort con delle regole specifiche impostate per generare un avviso quando viene rilevato il codice del pezzo alterato. A questo punto, l'investigatore ordina da una delle fabbriche concorrenti proprio il pezzo che era stato recentemente modificato. In seguito Snort rileva che fuori dall'orario di lavoro viene plottato il pezzo in questione, e tutto il traffico viene salvato. Il pezzo viene consegnato al cliente con tutte le modifiche più recenti, il che porta ad escludere che si possa essere trattato di uno studio delle aziende concorrenti tramite revers e engineering di un prodotto reale della casa madre. Si è potuto quindi individuare il colpevole dei furti. Stefano Guerra Pagina 21