Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale di intrusione abusiva M. ZANOVELLO

Transcript

1 Soluzioni e sicurezza per applicazioni mobile e payments Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale di intrusione abusiva MARCO ZANOVELLO Venezia, 27 settembre

2 Metodi per la forensic analysis e il recupero dei dati. Un caso reale di intrusione abusiva 2

3 Soluzioni e sicurezza per applicazioni mobile e payments Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all avanguardia nello studio e nella sperimentazione di nuove tecnologie nell ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica con la gestione dei servizi POS e di Commercio Elettronico e del Corporate Banking a supporto delle imprese. SPONSOR DELL EVENTO Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di 3

4 MARCO ZANOVELLO Sono Direttore Tecnico presso Yarix S.r.l., dove mi mi occupo di sicurezza informatica e analisi forense Laureato in Ingegneria Elettronica all Università degli Studi di Padova Lead Auditor ISO Lead Auditor ISO CISA ITIL V3.0 Foundation 4

5 ABSTRACT Speso accade che il fatto di trascurare dettagli apparentemente banali può portare a conseguenze disastrose. Ciò è vero in moltissime situazioni, incluse quelle che coinvolgono aspetti legati alla sicurezza informatica e alla gestione della sicurezza delle informazioni. Nel seguito si presenterà un esempio (basato su un caso reale anonimizzato) di quali possano essere le conseguenze di un accesso abusivo ad una rete informatica, e le modalità con cui si sono gestite le operazione di recupero dati e di individuazione delle cause e dei responsabili dell azione illecita. 5

6 Agenda DEFINIZIONE DELLO SCENARIO E BREVE ANTEFATTO IL «D-DAY» GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI L ATTIVITA INVESTIGATIVA 6

7 Lo Scenario - Azienda a ristretta base azionaria - Multinazionale con filiali in 10 paesi esteri - Gestione IT centralizzata e monopolizzata da una persona 7

8 Lo Scenario - Dal 2010 al 2012 si verificano una serie di fuoriuscite di dipendenti che avviano una attività concorrente - Nel 2012 se ne va anche l'it manager 8

9 Il «D-Day» Lunedì mattina, ore 8.00: - Il server di posta non risponde più - Il file server non risponde più - Il gestionale non risponde più - I file locali improvvisamente spariscono. Azienda bloccata!! 9

10 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI DEFINIZIONE DEL PERIMETRO - Infrastruttura Virtuale - Storage condiviso (SAN) - Dominio Active Directory 10

11 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI DIAGNOSI - VM Cancellate da LUN - Backup criptato (Truecrypt) - Logon script modificato per cancellare tutti i dati anche sui pc client non è stato un incidente!! 11

12 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI ESIGENZA AZIENDALE: - Il Business non si deve fermare Necessità di attuare attività sistemistiche di ripristino ESIGENZA INVESTIGATIVA: - La scena criminis non deve essere modificata Necessità di individuare e preservare le evidenze - Spegnimento di tutti sistemi - SAN - Server - Firewall (VPN) 12

13 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI CONDIZIONI AL CONTORNO - RAID - Dischi SAS - Volumi in RAID - LUN accessibili solo via FC - 5TB di dati effettivi 13

14 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI PRECEDENZA ALL ACQUISIZIONE FORENSE - Blocco ulteriori possibilità di connessioni esterne di tutte le sedi - Boot mediante cd Caine su Host ESX (collegamento FC verso SAN) - Acquisizione con Guymager su supporto collegato via USB all host ESX - Tempi non stimabili a priori OBBIETTIVO - Ricerca partizioni cancellate con Encase - SAN formattata VMFS (FS proprietario Vmware) - Dischi virtuali delle VM contenuti nella partizione VMFS - Partizioni dischi VM in formato NTFS 14

15 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI RECUPERO DELLE VIRTUAL MACHINES Utilizzo dell MBR come indicatore - Si trova nel settore 0 del disco - Esiste solo 1 MBR in ogni disco - Ha una dimensione di 512 byte - Contiene il codice per eseguire il VBR - Ha una firma 0x55 0xAA (magic number) 15

16 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI RIPRISTINO A BUON FINE MA.. - Presenza Snapshot VM mai reintegrati Ripristino parziale (allo stato dello snapshot) - Gestione LUN operate da SAN Alcuni dati corrotti (settori reallocati dalla SAN) 16

17 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI RICERCA PER FILE SIGNATURE - File carving: Identificare il tipo di un file mediante sequenze note di byte - Header - Footer B Microsoft Office Open XML Format Document - FF D8 FF E0 xx xx 4A JPEG/JFIF Graphic Files C C Windows Vista event log file 17

18 GESTIONE DELL INCIDENTE NELL IMMEDIATEZZA DEI FATTI ESITO - Recupero di file essenziali per l azienda - Documenti Word con listini - Immagini di etichette dei prodotti - e per l attività investigativa - Log eventi di Windows 18

19 ATTIVITA INVESTIGATIVA OBBIETTIVO PRIMARIO: Individuazione IP provenienza attacco Dati considerati: - Event Log Windows - Recuperati usando file carving - Event Log classici svuotati - ma i nuovi event log 2008 no!! Connessione RDP proveniente da server sede estera azienda (VPN) - Log Firewall - Non salvati su alcun syslog!!! - Locali al firewall (su SD) risalenti al 2010 RISULTATO: l attacco è arrivato da una sede estera 19

20 ATTIVITA INVESTIGATIVA ACQUISIZIONE FORENSE DEL SERVER REMOTO - Acquisizione Event Log server remoto - Event Log classici svuotati - ma anche in questo caso nuovi event log 2008 ci sono Individuazione IP pubblico di provenienza - Accesso avvenuto con account di amministratore locale - Nessun tentativo di bruteforce conoscenza di credenziali e struttura informatica dell azienda 20

21 ATTIVITA INVESTIGATIVA PUNTO DELLA SITUAZIONE - Ricostruzione sequenza delle operazioni - Ricostruzione del percorso di attacco - Identificazione degli IP pubblici da cui è partito l attacco sappiamo tutto? 21

22 ATTIVITA INVESTIGATIVA CHE COS E TOR?? - The Onion Router: sistema di anonimizzazione del traffico a «strati» - La connessione da sorgente a destinazione passa per un circuito di nodi intermedi (router) - Nessun router conosce la sorgente e la destinazione finale - Sistema a bassa latenza (dopo 10 minuti il circuito viene rinegoziato e i log dei router cancellati) - Praticamente impossibile da tracciare tutto perduto? 22

23 ATTIVITA INVESTIGATIVA PROFILO DELL ATTACCO - Preparato meticolosamente Probabilmente ha richiesto molto tempo e vari tentativi Ci possono essere altre tracce di connessione - Presenza di ulteriori connessioni via RDP risalenti a 3-4 mesi prima con IP non TOR-izzato e non riconducibile a utenti leciti - Nessun intervento programmato di manutenzione nelle date delle connessioni sospette connessione non autorizzate accesso abusivo Produzione report immediato per attività di congelamento log da parte delle FdO sappiamo tutto? 23

24 ATTIVITA INVESTIGATIVA. QUESTA VOLTA SI! - Correlazione tra attività non lecite (accesso abusivo a sistema) e IP pubblici - Possibilità di stabilire legame tra IP pubblici riscontrati e potenziali autori - Possibilità di stabilire connessioni tra potenziali autori e sfera d interesse dell azienda Il colpevole? L EX IT MANAGER 24

25 CONCLUSIONI - Metodologia seguita - Individuazione strumenti migliori e priorità - Analisi approfondita, guidata dal profilo desunto del potenziale attaccante e non limitata ai primi riscontri negativi - Strumenti utilizzati - Encase - Caine - Risultati - Azienda nuovamente operativa in 2 settimane - Raccolta evidenze senza alterazione scena - Individuazione probabili IP provenienza attacco forniti alle FdO 25

26 Domande 26

27 Grazie per l attenzione! MARCO ZANOVELLO marco.zanovello@yarix.com 27