Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012
|
|
- Leopoldo Corso
- 9 anni fa
- Visualizzazioni
Transcript
1 Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012
2 Post mortem (Dopo lo spegnimento del sistema) Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione Live forensics (Direttamente sul sistema posto ad analisi) Nel caso di sistemi RAID l'acquisizione "al volo" è quasi obbligatoria Su network Sia nel caso di acquisizione post mortem, sia nel caso di acquisizione on the fly è possibile salvare l'output direttamente durante la fase di acquisizione in altri PC o dischi della LAN appositamente configurati Gli strumenti utilizzati sono netcat ssh 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 2
3 Individuazione del device da acquisire Essere certi di avere accesso in sola lettura al device Calcolo hash del device Acquisizione del device con creazione hash Verifica degli hash calcolati Copia su un altro supporto dell immagine acquisita con relativa verifica hash 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 3
4 Gruppo di continuità Tutti i sistemi ed i dispositivi utilizzati per l'acquisizione vanno collegati ad un gruppo di continuità Write blocker hardware Un write blocker è un dispositivo hardware che viene collegato al disco da acquisire in modo da bloccarne l'accesso in scrittura Preferibilmente certificato da un ente terzo attendibile (es. NIST) Adattatori di ogni genere o almeno quelli più comuni SATA, IDE, SAS, Firewire, USB Tanto spazio su hard disk locale o su rete (PC dedicato o NAS) per memorizzare i dati acquisiti 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 4
5 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 5
6 A causa delle limitazioni fisiche del supporto di destinazione (es. backup su DVD) oppure per motivi di compatibilità di filesystem (es. FAT32, nel caso in cui più periti debbano lavorare con sistemi eterogenei), l immagine deve essere divisa in file più piccoli. E possibile dividerla direttamente in fase di acquisizione utilizzando il comando split. #dd if=/dev/sda split -d -b 4500m - image.split. Nel caso dell'utilizzo di tool di acquisizione più evoluti (es. dcfldd, ewfaquire, aimage, guymager) è possibile dividere le immagini nativamente senza l uso di altri tools. 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 6
7 Garantisce che la copia del device sia inalterata ed identica all'originale Si utilizzano funzioni hash Gli algoritmi più utilizzati sono MD5 e SHA-1, ma ne esistono altri E' possibile ripetere la verifica sulle copie forensi o sui supporti originali in qualsiasi momento per dimostrare che i dati non sono stati alterati 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 7
8 L'algoritmo restituisce una stringa di numeri e lettere (detto digest) a partire da un qualsiasi flusso di bit di qualsiasi dimensione finita La stringa di output è univoca per ogni documento identificandolo. Perciò, l'algoritmo è utilizzabile per la firma digitale La lunghezza del digest varia a seconda degli algoritmi utilizzati L'algoritmo non è invertibile, cioè non si può ricavare la sequenza di bit in ingresso a partire dal digest 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 8
9 MD5 (RFC 1321) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input) SHA-1 (RFC 3174) Prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 160 bit (con lunghezza fissa di 40 valori esadecimali, indipendentemente dalla stringa di input) 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 9
10 Quando due sequenze di bit differenti generano lo stesso hash si parla di collisione La qualità di una funzione di hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione Anche se si è riusciti a generare una collisione negli algoritmi HAVAL, RIPEMD, MD2, MD4, MD5 e SHA-1, a noi non interessano perchè le acqusizioni non sono un contesto vulnerabile a collision attack. A noi interessano i preimage attack e questi al momento non sembrano ragionevolmente attuabili. 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 10
11 Per ovviare a problemi di collisione si devono: Usare algoritmi più sofisticati Validare i risultati con due algoritmi diversi Non si conoscono attacchi simultanei su algoritmi di hash diversi Il doppio hash previene ipotetici preimage attack, per i quali comunque non si ha notizia di metodi praticabili su nessuno degli algoritmi che usiamo 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 11
12 Per verificare l integrità di un immagine è possibile procedere in diversi modi: RAW: # md5sum image.dd # sha1sum image.dd EWF: #ewfverify image.e01 AFF: #afinfo v image.aff E possibile verificare l hash delle immagini anche con Dhash importando il file contenente l hash da verificare e indicando il file immagine o il device 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 12
13 Fare sempre un ulteriore copia dell immagine acquisita e verificarne l'integrità 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 13
14 I formati di acquisizione più utilizzati sono: RAW EWF (Expert Witness Compression) AFF (Advanced Forensics Format) 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 14
15 RAW Copia bit a bit del device da acquisire Nessuna compressione E' supportato da tutti i tools di analisi forense Non supporta i metadati all'interno dell'immagine 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 15
16 EWF (Expert Witness Compression) Standard de facto per le analisi forensi E' supportato dai software di analisi open source (Autopsy, PyFlag) E' supportato dai software commerciali (EnCase, Ftk, ecc...) E' possibile includere metadati (anche se in modo limitato) nell'immagine acquisita: Data/ora acquisizione Nome esaminatore Note extra Password Hash MD5 dell'intera immagine Supporta la compressione dell'immagine Ricerca all'interno dell'immagine acquisita Immagini divisibili e "montabili" al volo Formato proprietario (la compatibilità è ottenuta tramite il reverse engineering) 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 16
17 AFF (Advanced Forensics Format) E' supportato dai software open source Supporta la compressione dell'immagine Supporta la cifratura dell'immagine Dimensione immagine illimitata (non è necessario splittare) Immagini divisibili E' possibile includere un numero illimitato di metadati (anche in un file xml separato) Formato open source 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 17
18 Riga di comando dd dcfldd dc3dd ddrescue dd_rescue ewfaquire aimage cyclone GUI dhash guymager 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 18
19 dd è il padre di tutti i tools di acquisizione, consente di acquisire i dati bit a bit in formato raw. Nativamente non supporta la compressione dei dati, ma è possibile comprimere il data stream tramite l uso delle pipe. #dd if=/dev/sda - bzip2 > /mnt/image.dd.bz2 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 19
20 Evoluzione di dd Permette di riversare il contenuto di un disco direttamente su di un altro Permette l'acquisizione di memorie di massa che presentano errori durante l'accesso a determinati settori del disco impostando su zero i bit non leggibili Durante l acquisizione della memoria l'applicazione fornisce aggiornamenti su quanti byte sono stati letti e scritti, quanti errori di lettura sono stati riscontrati e la velocità di acquisizione calcolata per byte/s. 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 20
21 Evoluzione di dd Non è legato allo sviluppo di ddrescue Non salta semplicemente il blocco danneggiato, ma tenta di leggerlo ricorrendo a tecniche diverse (es. variando dinamicamente la lunghezza dei blocchi) Durante l acquisizione della memoria l'applicazione fornisce informazioni sullo stato delle operazioni correnti. 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 21
22 dcfldd è una versione avanzata di dd sviluppata dal Dipartimento della Difesa degli U.S.A. Calcolo al volo degli hash (MD5, SHA-1) dell immagine Indicatore di avanzamento sui dati acquisiti Output simultaneo su più file (o dischi) Output divisibile in più file Log 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 22
23 Locale # dd if=/dev/sda of=image.dd # dcfldd if=/dev/sda hash=md5,sha256 md5log=image.md5 sha256log=image.sha256 of=/mnt/image.dd Su rete #dd if=/dev/sda - ssh user@ cat > /mnt/img/image.dd Server Client #nc -l -p 2525 dd of=/mnt/store/image.dd #dd if=/dev/sda bs=512 nc $ip_server marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 23
24 Wizard per l acquisizione guidata che permette di effettuare l acquisizione delle immagini rispondendo a semplici domande visualizzate a video Acquisizione in diversi formati (raw, ewf, aff) Compressione (ewf, aff) Calcolo hash Log 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 24
25 Acquisizione in formato raw (dd) Consente compressione (bz2) Calcolo hash MD5 SHA-1 SFV Calcolo del tempo residuo di acquisizione 10% più veloce nel calcolo degli hash rispetto a gli altri tools Log 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 25
26 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 26
27 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 27
28 Acquisizione in diversi formati: raw ewf aff Calcolo hash: MD5 SHA-256 Inserimento metadati per formato ewf Split per formato ewf Utile nel caso in cui si debba fare più di un acquisizione contemporaneamente Personalizzabile tramite file di configurazione Log 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 28
29 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 29
30 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 30
31 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 31
32 Marco Giorgi 30 marzo Torino - DEFT Conference 2012: Acquisizione di memorie di massa con DEFT Linux - Marco Giorgi 32
UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.
UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. INTRODUZIONE ALL ARGOMENTO. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI NETWORK.
DettagliLezione 1. 1 All inizio di ogni capitolo vengono indicati gli obiettivi della lezione sotto forma di domande la cui risposta è lo scopo
Lezione 1 Obiettivi della lezione: 1 Cos è un calcolatore? Cosa c è dentro un calcolatore? Come funziona un calcolatore? Quanti tipi di calcolatori esistono? Il calcolatore nella accezione più generale
DettagliTeamViewer 7 Manuale Controllo remoto
TeamViewer 7 Manuale Controllo remoto TeamViewer GmbH Kuhnbergstraße 16 D-73037 Göppingen teamviewer.com Indice 1 Informazioni su TeamViewer... 5 1.1 Informazioni sul software... 5 1.2 Informazioni sul
DettagliAcronis Compute with Confidence, Acronis Startup Recovery Manager, Acronis Active Restore ed il logo Acronis sono marchi di proprietà di Acronis, Inc.
Copyright Acronis, Inc., 2000-2011.Tutti i diritti riservati. Acronis e Acronis Secure Zone sono marchi registrati di Acronis, Inc. Acronis Compute with Confidence, Acronis Startup Recovery Manager, Acronis
DettagliTeamViewer 8 Manuale Controllo remoto
TeamViewer 8 Manuale Controllo remoto Rev 8.0-12/2012 TeamViewer GmbH Kuhnbergstraße 16 D-73037 Göppingen www.teamviewer.com Indice 1 Informazioni su TeamViewer... 6 1.1 Informazioni sul software... 6
DettagliGuida al ripristino e alla risoluzione dei problemi. Creare i dischi di ripristino subito dopo l'impostazione.
Guida al ripristino e alla risoluzione dei problemi Creare i dischi di ripristino subito dopo l'impostazione. Indice Trovare le informazioni necessarie... 3 Ripristino e backup... 4 Cos'è il ripristino
DettagliLA SICUREZZA NEI SISTEMI INFORMATIVI. Antonio Leonforte
LA SICUREZZA NEI SISTEMI INFORMATIVI Antonio Leonforte Rendere un sistema informativo sicuro non significa solo attuare un insieme di contromisure specifiche (di carattere tecnologico ed organizzativo)
DettagliDECRETI PRESIDENZIALI
DECRETI PRESIDENZIALI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 dicembre 2013. Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5 -bis, 23-ter, comma
DettagliGuida all utilizzo del dispositivo USB
Guida all utilizzo del dispositivo USB 30/04/2013 Sommario - Limitazioni di responsabilità e uso del manuale... 3 1. Glossario... 3 2. Guida all utilizzo del dispositivo USB... 4 2.1 Funzionamento del
DettagliGuida alla scansione su FTP
Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni
DettagliUNIVERSITÀ DEGLI STUDI DI PARMA
UNIVERSITÀ DEGLI STUDI DI PARMA Facoltà di scienze Matematiche Fisiche e Naturali Corso di Laurea in INFORMATICA Tesi di laurea in RETI DI CALCOLATORI Autenticazione Centralizzata con il sistema CAS, integrando
DettagliGuida alle memorie Flash. Memorie Flash portatili per computer, fotocamere digitali, smartphone e altri dispositivi mobili
Memorie Flash portatili per computer, fotocamere digitali, smartphone e altri dispositivi mobili Kingston, l azienda indipendente produttrice di memorie leader nel mondo, offre un ampia gamma di schede
DettagliTitolo I - AMBITO DI APPLICAZIONE, DEFINIZIONI ED ADEGUAMENTO ORGANIZZATIVO E FUNZIONALE DELLE PUBBLICHE AMMINISTRAZIONI
dalla G.U. n. 59 del 12 marzo 2014 (s.o. n. 20) DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 dicembre 2013 Regole tecniche per il protocollo informatico ai sensi degli articoli 40-bis, 41, 47, 57-bis
DettagliRegole tecniche del servizio di trasmissione di documenti informatici mediante posta elettronica certificata
Regole tecniche del servizio di trasmissione di documenti informatici mediante posta elettronica certificata Pagina 1 di 48 INDICE 1 MODIFICHE DOCUMENTO...4 2 RIFERIMENTI...4 3 TERMINI E DEFINIZIONI...4
Dettagli1x1 qs-stat. Pacchetto Software per la Soluzione di Problemi Statistici nel Controllo Qualità. Versione: 1 / Marzo 2010 Doc. n.
1x1 qs-stat Pacchetto Software per la Soluzione di Problemi Statistici nel Controllo Qualità Versione: 1 / Marzo 2010 Doc. n.: PD-0012 Copyright 2010 Q-DAS GmbH & Co. KG Eisleber Str. 2 D - 69469 Weinheim
DettagliCAPITOLO PRIMO IL CONCETTO DI ALGORITMO 1
1.1 Che cos è un algoritmo CAPITOLO PRIMO IL CONCETTO DI ALGORITMO 1 Gli algoritmi sono metodi per la soluzione di problemi. Possiamo caratterizzare un problema mediante i dati di cui si dispone all inizio
DettagliFunzioni nuove e modificate
Gigaset S675 IP, S685 IP, C470 IP, C475 IP: Funzioni nuove e modificate Questo documento integra il manuale di istruzioni dei telefoni VoIP Gigaset: Gigaset C470 IP, Gigaset C475 IP, Gigaset S675 IP e
DettagliUso della Guida Informazioni sulle funzioni della Guida incorporate Uso della Guida Uso della finestra Come fare per Uso di altre funzioni di supporto
Uso della Guida Informazioni sulle funzioni della Guida incorporate Uso della Guida Uso della finestra Come fare per Uso di altre funzioni di supporto Informazioni sulle funzioni della Guida incorporate
DettagliADOBE READER XI. Guida ed esercitazioni
ADOBE READER XI Guida ed esercitazioni Guida di Reader Il contenuto di alcuni dei collegamenti potrebbe essere disponibile solo in inglese. Compilare moduli Il modulo è compilabile? Compilare moduli interattivi
DettagliMANUALE D USO. Modem ADSL/FIBRA
MANUALE D USO Modem ADSL/FIBRA Copyright 2014 Telecom Italia S.p.A.. Tutti i diritti sono riservati. Questo documento contiene informazioni confidenziali e di proprietà Telecom Italia S.p.A.. Nessuna parte
DettagliGuida di Riferimento
Guida di Riferimento Capitoli 1: STATISTICA: Panoramica Generale 1 2: Esempi Passo-Passo 9 Analitici 11 Gestione dei Dati 79 Installazioni Enterprise 107 3: Interfaccia Utente 139 4: Output delle Analisi
DettagliDipartimento del Tesoro
Dipartimento del Tesoro POWER POINT AVANZATO Indice 1 PROGETTAZIONE DELL ASPETTO...3 1.2 VISUALIZZARE GLI SCHEMI...4 1.3 CONTROLLARE L ASPETTO DELLE DIAPOSITIVE CON GLI SCHEMI...5 1.4 SALVARE UN MODELLO...6
DettagliGuida dell utente di Synology NAS
Guida dell utente di Synology NAS Basata su DSM 5.0 ID Documento Syno_UsersGuide_NAS_20140522 Contenuti Capitolo 1: Introduzione Capitolo 2: Introduzione a Synology DiskStation Manager Installazione Synology
DettagliECDL Modulo 1 Concetti base dell ITC
ECDL Modulo 1 Concetti base dell ITC Syllabus 5.0 Roberto Albiero Modulo 1 Concetti di base dell ICT Questo modulo permetterà al discente di comprendere i concetti fondamentali delle Tecnologie dell Informazione
DettagliECDL - Modulo 1 - Concetti base delle tecnologie ICT
ECDL - Modulo 1 - Concetti base delle tecnologie ICT Roberto Albiero 1. Concetti generali 1.1 Hardware, Software, Tecnologia dell Informazione Chi avrebbe pensato, solo quindici anni fa, alla possibilità
Dettagliipod shuffle Manuale Utente
ipod shuffle Manuale Utente 1 Indice Capitolo 1 3 Informazioni su ipod shuffle Capitolo 2 5 Nozioni di base di ipod shuffle 5 Panoramica su ipod shuffle 6 Utilizzare i controlli di ipod shuffle 7 Collegare
DettagliINTRODUZIONE AL PROGETTO
SETEFI INTRODUZIONE AL PROGETTO Il nostro obiettivo è quello di illustrare la struttura e le caratteristiche di fondo che stanno alla base delle transazioni online operate tramite Setefi, società del gruppo
Dettaglivrebbe apparire uguale o molto simile
Colore I fondamenti della gestione digitale Di Mauro Boscarol Fotocamere, monitor e stampanti non interpretano in modo univoco le informazioni cromatiche di un immagine. Per ottenere una corrispondenza
DettagliNONNI SU INTERNET. Guida pratica all uso del PC. Fondazione Mondo Digitale
Nonni su Internet NONNI SU INTERNET Guida pratica all uso del PC Fondazione Mondo Digitale Guida pratica all uso del PC Questo manuale è a cura della Fondazione Mondo Digitale, con la supervisione del
DettagliMosè Giordano, Pietro Giuffrida. git commit -m"l A TEX" Una guida introduttiva a Git per progetti LATEX. g u It
Mosè Giordano, Pietro Giuffrida git commit -m"l A TEX" GIT 4 LATEX Una guida introduttiva a Git per progetti LATEX b g u It Gruppo Utilizzatori b b Italiani di b TEX v.1.0 del 2013/10/29 Licenza d uso
Dettagli