Case study e tecniche di intervento nello spionaggio industriale. Stefano Fratepietro e Litiano Piccin

Transcript

1 Case study e tecniche di intervento nello spionaggio industriale Stefano Fratepietro e Litiano Piccin

2 Argomenti trattati Introduzione 007 case study Presentazione DEFT Linux v4

3 Spionaggio industriale - I Attività clandestina tesa ad acquisire informazioni di carattere riservato relative ai segreti tecnici ed economici dell azienda

4 Spionaggio industriale - II Modus operandi Assunzione della spia all interno dell azienda con lo scopo di rubare informazioni Tradimento del dipendente a seguito di una offerta economica con consueta assunzione all interno dell azienda concorrente Frustrazione del dipendente

5 Statistiche Tradimento Intrusione di specialista

6 Statistiche Tradimento Intrusione di specialista

7 Difendersi dopo l accaduto Capire esattamente cosa è realmente successo Chiamare un avvocato specializzato Ricostruire le operazioni effettuate dal dipendente per dimostrare quanto accaduto in ambito dibattimentale grazie all ausilio di un CTP esperto in materia Non prendere iniziative pratico informatiche onde evitare di sporcare le tracce presenti

8 Le fasi Individuazione degli oggetti informatici coinvolti Acquisizione dei dati Conservazione Analisi dei sistemi acquisiti

9 007 case study

10 Scenario All interno di una azienda si sospetta il possesso di un documento informatico confidenziale da parte di un dipendente non autorizzato. Tale documento risiede su un SERVER di rete il cui accesso all utente è vietato L utente ha a disposizione una propria postazione di lavoro con un accesso non amministrativo

11 Quesito Si dimostri che l utente ha volutamente trafugato un documento di proprietà dell azienda

12 Passi di analisi Individuazione del documento (o tracce di esso) nella postazione usata dall indagato Provenienza del documento Il documento è stato portato all esterno del perimetro aziendale?

13 Strumenti utilizzati Un portatile Un write blocker DEFT Linux v3 X Way Forensics

14 Acquisizione dei dati I Collego tutti i sistemi utilizzati per l acquisizione ad un gruppo di continuità Collego la memoria da acquisire solo su dispositivi che accedono in sola lettura (write blocker o sistemi read only)

15 Acquisizione dei dati II Utilizzo di un write blocker

16 Acquisizione dei dati III Calcolo l hash del device in modo tale da garantire, a seguito di successivi controlli, la mantenuta inalterabilità del device Usiamo dhash per calcolare il doppio hash del device (sha1 ed md5)

17 Acquisizione dei dati IV Acquisiamo, tramite l uso di dcfldd, i dati contenuti nel device dal primo all ultimo settore e successivo salvataggio in un file.dd Viene utilizzato dcfldd perchè durante l acquisizione calcola l hash del file di copia del device Verifico gli hash per avere la conferma che l operazione di copia sia andata a buon fine dcfldd if=/dev/sda of=/device01.dd hash=sha1

18 Analisi della copia Individuo il file cercato Se trovato, ne individuo le tracce lasciate Ricostruisco le operazioni compiute

19 Tracce I File system

20 Tracce II Registry

21 Tracce III Registry

22 Ricostruire le operazioni compiute I Share del server

23 Ricostruire le operazioni compiute II Event viewer del server

24 Ricostruire le operazioni compiute III Event viewer del server

25 Ricostruire le operazioni compiute IV Il documento è stato portato all esterno del perimetro aziendale? Suggerimento: l utente non è amministratore della postazione

26 Ricostruire le operazioni compiute V Registry

27 Ricostruire le operazioni compiute VI Registry

28 Ricostruire le operazioni compiute VII Registry

29 Ricostruire le operazioni compiute VIII

30 Ricostruire le operazioni compiute IX

31

32

33 DEFT - Team Stefano Fratepietro - DEFT project manager Andrea Ghirardini - DeeeFT project manager Massimiliano Dal Cero - Sviluppatore Michele Ferrazzano - Sviluppatore Litiano Piccin - Tester Davide Gabrini - Tester Alessandro Rossetti - Translator e tester

34 Diamo i numeri

35 DEFT people Aziende Gov Investigatori Università

36 DEFT people Aziende Gov Investigatori Università

37 DEFT v4 - Caratteristiche I Basato su Xubuntu 8.10 Kernel Dhash 1.1 Xplico 0.6 Sleuthkit 3.0 Windows side application

38 DEFT v4 - Caratteristiche II Molto più performante di tutte le attuali distribuzioni dedicate alla Computer Forensics 70 MB in memoria in modalità grafica, meno di 30MB in modalità testuale Compatibile per tutte le architetture x86, compresi i Mac di Apple

39 DEFT v4 - le novità Guymager dc3dd Linen Ftk imager (Windows side) Supporto ad LVM AFS

40 Dhash 1.1 Possibilità di calcolare md5 and sha1 contemporaneamente Stima temporale del termine dell attività Più veloce del 15% / 25% rispetto agli altri software per il calcolo degli hash Interfaccia grafica facile ed intuitiva Generazione di un log al termine dell operazione

41 Xplico I Xplico è il futuro dell analisi forense del traffico telematico su rete IP Gestione dei casi (come Autopsy) Ricostruzione completa dei contenuti intercettati html, smtp, pop, imap, sip, video ecc ecc...

42 Xplico II

43 Xplico III

44 Xplico IV

45 Xplico V

46 Progetti futuri Maggior integrazione nei progetti di sviluppo e formazione IISFA Evoluzione del progetto DeeeFT Appliance per la Computer Forensics con un cuore DEFT

47 Credits Alan Caggiani per la grafica

48 Domande?

49 Domande?