INTERVENTO DI DAVIDE GABRINI

Transcript

1 INTERVENTO DI DAVIDE GABRINI Sono Davide Gabrini e lavoro per l Ufficio Tecnico del Compartimento Polizia Postale e delle Comunicazioni di Milano, ovvero l ufficio che, in maniera molto lusinghiera, tanti colleghi di altri Compartimenti ci invidiano. L Ufficio Tecnico si occupa di ricerca e sviluppo, mantenendo un osservatorio costante sulle nuove tecnologie e le nuove tendenze in rete, anche al fine di poter studiare e implementare degli strumenti utili alla nostra attività di indagine: strumenti che talvolta non esistono sul mercato e che magari non sarebbero neanche commercializzabili, interessando solo settori di nicchia della polizia giudiziaria. Curiamo quindi la formazione del personale e forniamo supporto tecnico a tutti gli uffici investigativi del compartimento; ci occupiamo anche di computer forensics e curiamo, come dimostra la nostra presenza qui, anche alcuni aspetti delle relazioni pubbliche. Riguardo alla computer forensics, non mi dilungherò molto nel darvi definizioni, perché ho visto che nel programma sono già previsti interventi molto interessanti a riguardo, per cui faccio già il passo successivo. Per adesso chi non è addetto ai lavori si accontenti di sapere che la computer forensics è una disciplina informatica il cui obbiettivo è quello di analizzare informazioni e reperti relativi a sistemi informatici pertinenti ad una indagine giudiziaria, in modo da evidenziare dei fatti oggettivi da sottoporre poi a giudizio. Queste sono le fasi canoniche del digital forensic process: la fase di acquisizione della prova; una serie di metodologie per la sua conservazione (come la chain of custody, una procedura documentale che permette, ad esempio, di sapere in ogni momento dove si trova un dato reperto e sotto la responsabilità di chi); la fase di individuazione, che consiste nel capire che tipo di dati sono stati acquisiti e nel dare loro un connotato; la valutazione dei dati in considerazione di quanto ricercato e, infine, la presentazione, ovvero l esposizione davanti a un giudice in un dibattimento. Tutte queste procedure devono portare a risultati riproducibili, il metodo deve necessariamente essere scientifico, come se l informatica fosse una scienza esatta.

2 Ovviamente più si diffonde l utilizzo di strumenti di computer forensic, che come vedrete sono molto variegati, così di pari passo vengono studiati sistemi per eludere l attività di analisi fatta dalla polizia giudiziaria. Le fasi che sono più vulnerabili sono quelle che ho sottolineato nella slide precedente, cioè è possibile studiare delle contromisure tecniche per cercare di ostacolare il lavoro dell analista in quelle fasi che ho evidenziato, per esempio nell acquisizione. Se l attaccante può fare in modo che un dato non venga acquisito dall analista, questo dato non sarà più visibile in nessuna delle fasi successive. Si cerca di colpire anche nelle fasi di identificazione, nascondendo le informazioni rilevanti, magari anche con degli accorgimenti come la crittografia; oppure anche nella fase di valutazione, puntando a sviare l analista e indurlo a credere di avere trovato qualcosa di diverso da quello che c è realmente. Non ci crederete, ma c è molta gente che ha delle cose da nascondere. La conoscenza approfondita degli strumenti e delle procedure che utilizzano gli analisti forensi permette di evidenziarne le debolezze. Chi cerca di eludere il controllo dell analista forense, conoscendo come questo lavora, ha modo di sfruttare le debolezze del processo di analisi e prendere misure preventive che intralcino l analista, cercando di vanificare il suo lavoro, diminuendo quantità e qualità delle informazioni che lascia a sua disposizione. Diventa quindi una gara di bravura tra chi cerca le informazioni e chi le nasconde. L antiforensic esiste, non si può ignorare come problema, da qui la necessità di studiare e contenere l impatto dovuto all utilizzo di queste tecniche. Naturalmente non si possono studiare misure che annullino le tecniche di antiforensic, perchè l analista arriva troppo tardi, quando le tecniche sono già state utilizzate. Si può cercare però di salvare il salvabile, studiando ad esempio delle metodologie che ci permettano di recuperare se non il dato distrutto, almeno qualche corollario che ci può essere utile a definirlo. Gli svantaggi dell analista sono parecchi. Anzitutto arriva a misfatto compiuto, e se le tecniche di antiforensic sono già state applicate non ci può fare nulla: non

3 avendo la sfera di cristallo dovrà cercare di arrangiarsi con quello che ha a disposizione. Il tempo solitamente concesso per le indagini è limitato, e l analista non è ancora del tutto onnisciente: per quanto bravo sia potrà sempre trovarsi davanti un tecnico più bravo di lui che ha nascosto le cose meglio. Troppo spesso gli analisti sono succubi di un solo tool, hanno cioè speso tempo e risorse per imparare a padroneggiare un solo tool di analisi forense, e questo è un punto debole, perché se l antagonista sa già con che strumenti lavorerà l analista forense potrà prendere delle misure mirate ad eludere i controlli di quello specifico tool. I tool di analisi infatti non sono perfetti, sono strumenti informatici e come tali possono soffrire di bug o di implementazioni carenti. Infine le procedure dell analista tendono, come dicevamo prima, ad essere codificate, e questo presta il fianco all antagonista. Le tecniche di antiforensic sono classificabili in quattro categorie principali: la distruzione del dato, il suo occultamento, la falsificazione, cioè la produzione di tracce depistanti, e la cosiddetta data contracception: la contraccezione del dato, che mira a prevenire alla fonte la creazione di dati rilevanti. Se io posso evitare che un file di log venga prodotto, non mi dovrò poi preoccupare di doverlo cancellare. Esistono per ognuna di queste tecniche contromisure attuabili, ognuna a seconda della circostanza, ma tutte tendono a salvare il salvabile. Per esempio, è patrimonio comune che la semplice cancellazione di un file fatta dal sistema operativo non è sufficiente ad ottenere il risultato voluto: sanno più o meno tutti che cancellare i file e svuotare il cestino è abbastanza inutile, perché ci sono i tool che sono in grado di recuperare i file cancellati. Molti di questi tool non sono nemmeno programmi di fascia elevata, sono semplici tool destinati anche all utente finale. Quindi si sa che è un operazione che lascia il tempo che trova. Da qui la necessità, per l antagonista, di provvedere a sistemi di cancellazione sicura. Sono quindi nati dei tool che con più passate cercano di sovrascrivere il dato in maniera che venga distrutto definitivamente, ma per nostra fortuna non tutti questi

4 strumenti mantengono ciò che promettono e lasciano quindi un margine di lavoro per l analisi. Ad aiutare l analista c è anche la possibilità di rivolgersi a fonti alternative. Se un dato è stato distrutto in maniera tale da non poter essere recuperato, magari nel sistema sono rimaste comunque delle tracce di questo file, per esempio un file di log che mi dice che quel file è stato scaricato. Ad esempio potrei non riuscire a trovare un determinato file pedopornografico, però potrebbe esserci un log di MSN che registra un file con quel nome, ricevuto il tale giorno alla tale ora dal tale utente. È già un informazione, che potrebbe portare ad ulteriori approfondimenti. Oppure ci sono diversi posti dove copie dei dati possono finire più o meno accidentalmente: ad esempio nei file di swap, dove viene mappata la memoria della macchina, e dove si potrebbero quindi trovare tracce di quello che è passato per la memoria; nei file di ibernazione dei portatili; nei database di alcune applicazioni ecc. Quindi, se il pedofilo ha visto tutto l archivio e poi ha distrutto il cd, io non troverò i file pedo-porno, ma magari troverò delle piccole anteprime memorizzate nella cache dell applicativo che li ha visualizzati, il che testimonia comunque che i file effettivamente sono stati posseduti e visionati. Altra cosa da cercare, per quanto banale, sono i back-up. Nessuno è perfetto, neanche l antagonista, che magari si preoccupa di ripulire a fondo la macchina e poi si scorda che nel primo cassetto della scrivania c è un DVD con tutti i back-up in chiaro. Il primo evidente problema della distruzione dei dati è che è un operazione irreversibile anche per l antagonista. Se lui dovesse cancellare un file di log con le tracce del suo misfatto, sarà suo interesse cancellarlo in maniera irreversibile. Ma se l informazione ha importanza per lui, come nel caso di immagini pedo-pornografiche per un pedofilo, cercherà di evitare di distruggerle, o le distruggerà solo all ultimo minuto. E un comportamento simile a quello del ladro che si deve sbarazzare della refurtiva: cercherà di occultarla piuttosto che distruggerla.

5 La trattazione delle possibili tecniche per nascondere le informazioni sarebbe troppo vasta da discutere in questa sede. Vi mostro solo un rapido elenco: sono davvero tante e ancora di più sono le implementazioni di queste tecniche. Un altro elemento di complessità è che queste tecniche possono essere utilizzate in combinazione tra di loro. E da notare che alcune sono specificamente indirizzate verso tool di informatica forense, motivo per cui l analista dovrebbe sempre essere in grado di utilizzare più di uno strumento e di interpolare tra di loro i diversi risultati che dovesse ottenere. Qualche considerazione sulla falsificazione delle tracce. E come lasciare sul luogo del delitto delle tracce depistanti. Per esempio, alterando le indicazioni temporali di un file, potrei indurre a credere che una certa operazione è stata compiuta in un certo momento. Un esempio pratico di questa cosa mi è capitato durante un analisi di una macchina dalla quale erano stati effettuati degli accessi abusivi verso altri sistemi. L autore di questi accessi aveva avuto sentore delle nostre possibili indagini, quindi si è collegato da remoto alla macchina, ha portato indietro l orologio di sistema ed è andato a distruggere alcuni file di log, di modo che questi file risultassero alterati in tempi non sospetti, antecedenti ai fatti; ha rimesso quindi avanti l orologio e si è scollegato convinto di aver fatto un buon lavoro. Quello che lui non sapeva (ed è il motivo per cui l analisi forense non si deve solo concentrare sullo specifico obbiettivo, ma deve guardare anche tutto quello che c è attorno) è che la sua macchina era sotto attacco. C era un altro soggetto dall estero che stava facendo una scansione della sua macchina, e stava tentando del password guessing su un server ssh in ascolto, cercando di entrare con delle password prese dal dizionario. Un attacco abbastanza dozzinale e che tra l altro non ha sortito nessun effetto, ma che ha avuto conseguenze molto piacevoli per noi: ognuno di questi tentativi lasciava una traccia in un file di log del firewall. Guardando il log era evidente una traccia sequenziale di tutti i tentativi, uno ogni secondo, come un clock, quando all improvviso la data scatta indietro di due mesi.

6 Proseguono gli inserimenti nel file log e poi la data ritorna improvvisamente avanti di due mesi. Con quel log siamo stati quindi in grado di ricostruire esattamente quando l orologio è stato spostato, di quanto e per quanto tempo. Questo per dire che la perfezione non sarà la nostra, ma non è neanche la loro. La fortuna ci aiuta senz altro, ma se non avessi pensato di guardare in un posto dove in teoria non c era interesse a guardare non avrei trovato la soluzione. Di fatto stavamo cercando altro, però analizzando il sistema nel suo complesso abbiamo trovato qualcosa che noi non avevamo previsto, e men che meno aveva previsto l attaccante. L eliminazione della fonte è una strategia analoga ad indossare i guanti prima di impugnare la pistola: l attaccante potrebbe premunirsi perché vengano disinibite le funzioni di auditing del sistema, e quindi non vengano creati dei log, oppure potrebbe cercare di aggirare gli eventi che generano i log, o ancora fare in modo che i suoi programmi, in particolare i malware, vengano eseguiti solo in ram, senza quindi lasciare tracce permanenti negli hard-disk. Questo è un ottimo motivo per cui, quando si interviene su un sistema live, è opportuno farsi un dump di tutte le memorie volatili, cioè fare una cattura di tutta del contenuto della memoria RAM in quell istante e poi analizzarla in un secondo momento. E importante comunque e in ogni caso cercare di utilizzare sempre più fonti possibili, cercare anche dove non si sospetterebbe di dover guardare e confrontare soprattutto con dati esterni al sistema, perché magari la macchina è stata compromessa e non contiene più alcuna informazione credibile, ma magari sullo stesso segmento di rete c è un IDS o un firewall che hanno loggato delle informazioni utili e che, non essendo stati compromessi, posso restituirle inalterate. In conclusione, le procedure di computer forensics sono vulnerabili. Lo sono sotto più punti di vista: nell hardware (non ne abbiamo discusso, ma ci sono metodi molto evoluti per nascondere informazioni a livello di hardware, per cui è possibile ad esempio iniettare dati nei firmware dei dispositivi hardware o magari nascondere dati in un hard-disk utilizzando non la capacità di memorizzazione dei dischi, ma

7 quello nell elettronica nel controller dell hard-disk); nel software, dal momento che nemmeno gli strumenti di analisi sono immuni da problemi; e soprattutto nel wetware, ovvero il fattore umano (il wetware è quella parte del sistema che si localizza tra la tastiera e la sedia, ed è quella che solitamente ci da più problemi). Le procedure di computer forensics quindi sono vulnerabili, ma grazie al cielo quelle di anti-forensics pure, per gli stessi identici motivi. L analista ha bisogno di tempo: serve tempo per fare le analisi, ma serve anche tanto tempo da investire nella formazione; bisogna stare al passo, non si deve aspettare che capiti un indagine in cui finalmente c è da analizzare un disco SATA per sapere come è fatto un disco SATA. Bisogna avere l opportunità di poter studiare una nuova tecnologia per tempo, prima che capiti di doverla maneggiare seriamente. In ogni caso, nessun software riuscirà mai a rimpiazzare il lavoro di un investigatore. Affidarsi a una strumento point and click che promette di dare la soluzione chiavi-inmano è una strategia fallimentare.