Pattern Recognition and Applications Lab. Informatica Forense. Ing. Davide Ariu

Transcript

1 Pattern Recognition and Applications Lab Informatica Forense Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Definizione Digital forensics, also known as computer and network forensics, has many definitions. Generally, it is considered the application of science to the identification, collection, examination, and analysis of data while preserving the integrity of the information and maintaining a strict chain of custody for the data. Data refers to distinct pieces of digital information that have been formatted in a specific way. ** ** NIST - Guide to Integrating Forensic Techniques into Incident Response

2 Dispositivi oggetto dell analisi Digital forensics, also known as computer and network forensics La varietà di nomi è dovuta alla varietà di dispositivi elettronici che possono essere oggetto di analisi forense Computer Portatili, Desktop, Server Dispositivi di rete (e.g. Router, Switch) Telefoni cellulari, Smartphone, Tablet Periferiche Rimovibili (Hard Disk Esterni, Pen-drive, Schede di memoria, ) MP3 Player, Console (Playstation, Wii, Xbox, Nintendo DS, Sony PSP,.) Wearable (e.g. Smart-watch, Google Glasses) Internet of Things, Apparecchi medicali, Stampanti, Videorecorder Qualunque dispositivo in grado di immagazzinare informazioni può essere potenzialmente oggetto di analisi forense Quattro fasi di attività application of science to the identification, collection, examination, and analysis of data Raccolta Identificare, etichettare, registrare, ed acquisire i dati dalle possibili sorgenti di informazione, seguendo delle procedure che preservino l integrità dei dati Esame Esaminare, con approccio forense, i dati raccolti, usando una combinazione di tecniche e strumenti sia automatici che manuali, identificando i dati di particolare interesse e comunque seguendo delle procedure che preservino l integrità dei dati stessi. Analisi Analizzare i risultati ottenuti nella precedente fase, utilizzando tecniche e strumenti legalmente giustificabili, per ottenere informazioni utili a rispondere alle domande da cui la raccolta e l esame dell informazioni sono scaturite Reportistica Riportare i risultati dell analisi, descrivendo quali azioni sono state compiute, e illustrando come e perché gli strumenti e le procedure di analisi sono stati selezionati.

3 Preservare l integrità del dato while preserving the integrity of the information and maintaining a strict chain of custody for the data Preservare l integrità dell informazione Fondamentale al fine di garantire l utilizzabilità della prova in sede processuale (sia civile che penale) La prova permette al giudice di ricostruire correttamente e dimostrare i fatti affermati dalle parti nel corso del processo (Computer Forensics, A. Ghirardini, G. Faggioli) Chain of custody Documentazione che mostra chi abbia custodito il reperto e come questo sia stato utilizzato (e.g. che tipo di analisi sono state effettuate, se sono state effettuate delle copie del reperto e chi vi ha eventualmente avuto accesso, etc.), dal momento dell acquisizione del reperto fino al completamento dell analisi Tre modalità di acquisizione del dato * Sequestro Si prende possesso del supporto su cui il dato risiede. Non sempre praticabile: Sistemi di grosse dimensioni (e.g. apparecchiature su rack) Sistemi che non possono essere spenti (e.g. controllo di infrastrutture) Dati in transito o immagazzinati su supporto volatile (e.g. memoria RAM) Duplicazione. Il supporto viene acquisito sotto forma di copia delle informazioni contenute nello stesso e riversato su un altro supporto. Intercettazione. Il dato viene acquisito nel suo passaggio da un sistema ad un altro. La lettura non avviene dal supporto di memorizzazione dove il dato risiede, ma dal medium usato per la trasmissione tra due sistemi. Si pone a monte (tipicamente in fase di perquisizione) un problema di identificazione dei supporti sui quali le informazioni ricercate potrebbero essere immagazzinate. *Computer Forensics, A. Ghirardini, G. Faggioli

4 Ripetibilità degli accertamenti Prima di procedere con le attività, è importante stabilirne la ripetibilità, in quanto gli accertamenti non ripetibili sono soggetti ad una specifica disciplina L Art. 359 c.p.p. (Consulenti tecnici del P.M.) prevede che il P.M., quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. L Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili) prevede che, quando gli accertamenti previsti dall artt. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il P.M. avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell ora e del luogo fissati per il conferimento dell incarico e della facoltà di nominare consulenti tecnici. (Alcune) Tipologie di Analisi * *B. Carrier File System Forensic Analysis, Wiley

5 Diversi livelli di analisi *B. Carrier File System Forensic Analysis, Wiley Geometria di un Hard Disk Ogni traccia divisa in settori, che rappresentano l unità elementare di immagazzinamento dei dati (tipicamente 512 byte). Ogni settore è univocamente identificato da: Numero del piatto Numero della traccia Numero del settore (inizia da 1 per ogni traccia)

6 Partizionamento e Volumi Spesso è necessario separare le caratteristiche fisiche del dispositivo di immagazzinamento da quelle logiche che si vogliono rendere disponibili all utente-applicazione-sistema operativo. Alcuni esempi: Posso voler separare lo spazio dedicato al sistema operativo e applicazioni da quello destinato ai dati. Es. Su un volume da 1TB creo una partizione da 750GB per i dati e una da 250GB per il sistema operativo Posso voler unire più dispositivi a creare un dispositivo virtuale di dimensioni maggiori o con caratteristiche di cui i singoli dispositivi non dispongono Es. RAID Partizionamento e Volumi Volume. E un insieme di settori indirizzabili che un sistema operativo o applicazione possono utilizzare per immagazzinare i dati I settori non devono essere necessariamente settori consecutivi localizzati sul medesimo dispositivo fisico, è sufficiente che il sistema operativo o l applicazione che li usano abbiano la sensazione che lo siano. Un volume può essere il risultato dell unione di più volumi più piccoli

7 Partizionamento e Volumi Partizione. E una collezione di settori consecutivi su un volume. Il comando mmls (Sleuth Kit) consente di ispezionare la tabella delle partizioni Perché partizionare un volume: Alcuni file system hanno una dimensione massima < di quella del volume I sistemi UNIX utilizzano partizioni differenti per minimizzare i danni in caso di file system corrotto Necessità di installare più sistemi operativi sullo stesso volume File System File System. Consente l organizzazione e l immagazzinamento persistente dei dati presenti su un volume attraverso una gerarchia di file e directory. Consente di separare la disposizione fisica dei dati sul disco dalla loro organizzazione logica (file e directory), stabilita dal sistema operativo, dalle applicazioni, e dagli utenti. Consente di gestire i nomi dei file e tutte le operazioni di creazione, cancellazione e modifica. Consente di associare al dato una serie di informazioni aggiuntive (meta-dati), quali: Dimensione Data e ora di creazione, ultima modifica e ultimo accesso Informazioni utili a gestire il controllo degli accessi

8 Acquisizione e analisi dell evidenza Dalle precedenti slides sull organizzazione delle informazioni su disco, emerge un possibile modo di procedere per acquisire ed analizzare l evidenza: Effettuo una copia del supporto lavorando a livello fisico (e.g. singolo Hard Disk) o di Volume Analizzo le singole partizioni All interno di ciascuna partizione, analizzo il file system e i singoli file Acquisizione dell evidenza Preservare l integrità del dato. Ogni qual volta sia possibile, è sempre necessario realizzare una copia del supporto da analizzare, così da congelare l evidenza in esso presente. Lavorare direttamente sul dato originale pone, in ambito informatico, diversi problemi: Alterazione del contenuto del dispositivo, che può essere accidentale o meno. Rischio di danneggiare il supporto.

9 Acquisizione dell evidenza E dunque una best practice: Effettuare una copia del supporto comprovandone la perfetta conformità all originale Calcolo l hash/checksum (e.g. md5sum, sha256sum) del dispositivo e dell originale e verifico che coincidono Ci sono applicazioni gratuite come Guymager ( o altre commerciali (FTK Imager, EnCase Imager) che consentono di effettuare le due operazioni contestualmente e risparmiando tempo. Effettuare una copia della copia. Verifico la corrispondenza dell hash delle due copie. Effettuare le analisi sulla copia della copia. Effettuare una copia forense E fondamentale prevenire qualsiasi forma di scrittura sul supporto da analizzare da parte del computer/dispositivo che sto utilizzando per compiere l analisi Se anche solo collegassi un Hard Disk al computer (e.g. tramite USB) e sfogliassi il contenuto di una cartella senza aprire alcun file, ne avrei già alterato il contenuto per il fatto che il sistema operativo crea dei file nascosti utili (e.g. Thumbs.db su Windows o.ds_store su OsX) a consentire la pre-view dei contenuti da parte degli utenti Questo è sufficiente ad alterare l hash del dispositivo Si utilizzano meccanismi di write blocking Hardware (e.g. Tableau di Guidance Software). Software. Esistono delle distribuzioni Linux customizzate per attività forense e su cui il mount automatico dei dispositivi è stato disabilitato CAINE - DEFT -

10 Individuare Dischi e Partizioni Sui sistemi UNIX è possibile ottenere la lista dei dischi e delle partizioni in essi presenti utilizzando il comando fdisk l * Disk /dev/sda: GB, bytes 255 testine, 63 settori/tracce, cilindri, totale settori Unità = settori di 1 * 512 = 512 byte Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Identificativo disco: 0x Dispositivo Boot Start End Blocks Id System /dev/sda Linux swap / Solaris /dev/sda2 * Linux /dev/sda Linux /dev/sda Linux *richiede privilegi di amministrazione Copia bit-a-bit Una volta individuato il disco e/o le partizioni da copiare è possibile procedere ad effettuare una copia bit a bit I sistemi UNIX mettono nativamente a disposizione un comando che può essere utilizzato per la copia bit a bit dei dispositivi: dd E possibile salvare la copia del dispositivo su un file (immagine) E possibile clonare il dispositivo su un altro di capacità almeno uguale Esempi: Creazione file immagine dd if=/dev/hda of=/mnt/sda/disco.dd bs=512 conv=noerror, sync Clonazione disco dd if=/dev/hda of=/dev/hdb Azzeramento disco dd if=/dev/zero of=/dev/hdb Ricordiamoci di verificare la conformità della copia e dell originale Esempio. md5sum /dev/hda e md5sum /mnt/sda/disco.dd devono produrre lo stesso risultato

11 Situazioni Particolari Sistemi RAID Il RAID può essere implementato sia via HW che via SW E senz altro utile realizzare prima una copia dei singoli dischi, in modo da preservarne il contenuto E poi utile creare anche un immagine dell intero volume, senz altro più semplice da analizzare Se disponiamo di un controller RAID (ad esempio locale sulla macchina sequestrata) possiamo sfruttarlo per ri-assemblare il volume Via software, possiamo avvalerci dell utility mdadm * disponibile sui sistemi UNIX Possibili problemi Dimensione del volume da acquisire Implementazione non standard del RAID all interno del volume con cui il RAID è stato generato Volume criptato Inutile se non si recupera la chiave di cifratura Non spegnere mai una macchina che vi viene consegnata accesa * Situazioni Particolari Dischi a Stato Solido. Le proprietà dei dischi a stato solido li rendono, da un punto di vista forense, estremamente diversi rispetto ai tradizionali supporti magnetici * Non sono divisi in blocchi da 512 byte ma in pagine da 2KiB o 4KiB Ma vengono comunque presentati al SO come organizzati in blocchi da 512 Riscrivere un blocco a livello di sistema operativo non necessariamente significa riscrivere la stessa pagina nella flash A differenza dei dischi magnetici (dove un settore può essere riscritto milioni di volte) nei dispositivi SSD una pagina può essere riscritta al max. 10,000 volte. Per questo motivo il controller usa sempre tutto lo spazio del disco per garantire un degrado uniforme delle prestazioni Una pagina non può essere solamente sovrascritta, ma deve prima essere cancellata per poter essere riutilizzata Quando un file viene cancellato, il controller provvede in breve tempo a cancellare il contenuto delle pagine, così da renderle subito disponibili per una nuova allocazione Capacità reale delle pagine circa 25% superiore a quella nominale ma non direttamente accessibile tramite il SO Crittografia *

12 Analisi del dispositivo Una volta effettuata la copia del dispositivo, abbiamo due possibilità di analisi: Analisi fisica. Consiste nell identificare e recuperare i dati su tutto il drive dispositivo fisico e non considerando il file system, quindi senza alcuna organizzazione logica. Ricerca per keyword; File Carving; Estrazione delle tabelle di partizione; Estrazione dello spazio inutilizzato sul drive fisico Limitazioni Analisi logica. E la forma di analisi più vantaggiosa nel momento in cui sul dispositivo è presente un File System non corrotto. Consente di lavorare direttamente sui file e non su blocchi di dati File Carving Il File Carving è una tecnica di ricerca dei file basata sul loro contenuto piuttosto che sui metadati I metadati sono forniti dal File System, da cui il carving prescinde Il carving tradizionale è basato sugli header/footer del file: Ciascuna tipologia di file è caratterizzato da un header e da un footer, ovvero da una sequenza di byte che ne delimita inizio e fine rendendo ogni formato immediatamente riconoscibile Es. JPEG ha header FF D8 e footer FF D9 (codici esadecimali) Il carver cerca l header del file Quando lo trova, esamina i settori successivi alla ricerca del footer: se lo trova, recupera il file Problema. Frammentazione del disco. Esistono numerose varianti del carving. Posso cercare l header solo all inizio del settore Non recupero i file embedded Statistical Carving, SmartCarving Analizzo il contenuto del blocco per valutare se esibisce proprietà simili a quelle dei blocchi vicini

13 Ricercare l evidenza A seconda dell oggetto dell indagine e del quesito la ricerca dovrà concentrarsi su alcuni aspetti specifici. Nel caso di analisi logica vengono spesso svolte queste attività * : Ricerca per parole chiave (e.g. Autopsy, EnCase) Ricerca di file cancellati e orfani Ricerca per categoria di file, per nome file o directory Ricerca per carving (utilizzando Foremost, Photorec, Scalpel) Una ricerca per carving nei files Thumbs.db Una ricerca sulle navigazioni effettuate Analisi delle applicazioni installate per capire che tipo di operazioni l indagato possa aver compiuto Verificare se sono presenti macchine virtuali Effettuare il cracking di file o sistemi protetti Nel caso ci fossero files o db in formati proprietari è necessario utilizzare software ad-hoc Partendo dall immagine del disco, conviene virtualizzare e ricreare l ambiente nativo, così da poter aprire i file con le rispettive applicazioni * N. Bassetti, Indagini Digitali Mobile Forensics - Cenni Metodologie di acquisizione Logica Accesso diretto ai record memorizzati dal telefono all interno delle diverse aree di interesse (es. Rubrica, messaggi, registro chiamate, etc.) Problemi di accesso con passcode Rapida File System Copia dei file del file system Recupero di maggiori informazioni Possibilità di recuperare record cancellati all interno di file (es. SQLite deleted records, Thumbnails) Problemi di accesso con passcode Richiede più tempo Fisica Copia bit-a-bit del dispositivo Possibilità di superare i blocchi con codice Possibilità di recuperare record e interi file cancellati * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014

14 Strumenti Commerciali * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014 Software di Backup * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014

15 Strumenti Open Source Acquisizione Logica ios E possibile utilizzare la libreria Disponibile nativamente sulla distribuzione Santoku Linux Supporta ios fino alla versione 8 Non richiede jailbreak Non dipende da librerie esterne Consente di: Leggere informazioni sul dispositivo Eseguire/Ripristinarne il backup Montare parte del filesystem Gestire icone e applicazioni Leggere Rubrica/Calendario/Note/Bookmarks Sincronizzare Musica e Video E quasi un acquisizione del filesytem * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014

16 Acquisizione Logica ios Per poter acquisire il dispositivo con libmobiledevice è necessario: Conoscere il pin del dispositivo per poterlo sbloccare. Soluzione Alternativa. E sufficiente reperire il certificato di lockdown che ios rilascia sulle macchine con cui il dispositivo è stato sincronizzato. E un certificato che ios rilascia sui PC con i quali il dispositivo è stato sincronizzato, così che vengano considerati automaticamente trusted senza che l utente debba ogni volta inserire il pin. (es. in Windows 7/8 si trova in C: \Program Data\Apple\Lockdown) Il file va copiato in /var/lib/lockdown, si può verificare tramite il comando idevicepair validate se è il cerdficato è corretto Successivamente Collegare il dispositivo al PC e sbloccarlo (disabilitare auto-lock) Testiamo la connessione con il dispositivo mediante ideviceinfo s Possiamo effettuare il backup con idevicebackup2 backup./folder Il backup va poi convertito in un formato leggibile con devicebackup unback./folder * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014 Acquisizione Logica ios Una volta estratto il backup, è possibile esplorare le cartelle: Visualizzando immagini e video tramite il file manager Analizzare i database SQLite delle varie applicazioni: Skype Whatsapp In alternativa, è disponibile nativamente su DEFT l applicazione iphone Backup Analyzer - * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014

17 Acquisizione Logica di Android Può essere considerata quasi un acquisizione filesystem Si esegue tramite il tool ADB, Android Debug Bridge Utility command line inclusa nell SDK Google Android che permette di comunicare con l emulatore Android o un device connesso via USB per: Controllare il dispositivo via USB Copiare file da e verso il dispositivo Installare e disinstallare applicazioni Eseguire comandi da shell Aprire una shell sul dispositivo Fare debug di applicazioni Backup/restore (Android >= 4.0) Sul dispositivo: E necessario abilitare la modalità Debug (Developer Options) Secontiene Android4.2.2 o superiore è necessario confermare il fingerprint del computer per autorizzare la connessione * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014 Acquisizione Logica di Android E possibile verificare se il dispositivo viene correttamente rilevato utilizzando il comando adb devices E sucessivamente possibile avviare il backup tramite il comando adb backup apk shared all f backup.ab e confermare la richiesta di full backup Il backup così generato è un file binario non immediatamente decomprimibile. Per convertire l archivio in un normale tar eseguire dd if=backup.ab bs=1 skip=24 openssl zlib -d > backup.tar * P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014

18 Stesso profilo professionale, diversi ruoli CT Consulente Tecnico, per esempio del PM, nel Penale. CTP Consulente tecnico di parte, nel Penale e nel Civile. CTU Consulente tecnico del Giudice nel Civile PERITO Consulente tecnico del Giudice nel Penale. Ausiliario Polizia Giudiziaria Art. 348 comma IV : La Polizia Giudiziaria, quando, di propria iniziativa o a seguito di delega del Pubblico Ministero, compie atti od operazioni che richiedono specifiche competenze tecniche, può avvalersi di persone idonee le quali non possono rifiutare la propria opera. Come sancito dalla Corte di Cassazione, Qualsiasi atto compiuto dall Ausiliario di P.G. nelle sue funzioni, è da considerarsi un atto stesso della Polizia Giudiziaria, esso assume la qualifica di Pubblico Ufficiale ed opera sotto la direzione ed il controllo della P.G. Possibili accertamenti Esempi Esempio 1. Procedere con accertamenti di natura ripetibile all esame dell hard disk in sequestro, al fine di accertare: Corretto funzionamento tecnico ed accessibilità dell apparecchio Rilevazione dei dati in esso contenuti con particolare riferimento ai file video Eventuale recupero di dati rimossi dall apparecchio Esempio 2. previo esame del materiale informatico in sequestro (personal computer e altri dispositivi elettronici meglio elencati nei verbali di sequestro), provvedere alia duplicazione di tutti i dati, informazioni, programmi e/o sistemi informatici ("memorizzati" nei reperti in sequestro) su adeguati supporti mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità.

19 Possibili accertamenti Esempi Esempio 3... ricercare nel materiale informatico sequestrato ogni elemento concernete la vicenda [ ] in particolare vorrà individuare sequenza numeriche e/o alfanumeriche riconducibili a [ ]; l esistenza di documenti contabili [ ]; messaggi e chat tra i soggetti coinvolti nell'indagine in corso [ ]" Esempio 4. accertare il contenuto, la provenienza, la datazione ed ogni altro particolare profilo descrittivo (anche mediante predisposizione di immagini fotografiche) dei files in esso contenuti e di interesse ai fini di indagine [ ] e se le caratteristiche dei files (e la data di creazione degli stessi) siano stati alterati o modificati e, comunque, se di alterazioni si possano rilevare tracce. Presentare i risultati - La relazione La relazione finale (da consegnare ad esempio al PM se CT/CTP o al giudice se CTU) è un documento che deve presentare e riassumere: Le attività svolte I risultati ottenuti E importante: Che la relazione sia leggibile e ragionevolmente comprensibile anche da un personale non tecnico Voi siete degli elettronici-informatici Il giudice, l avvocato, il PM, hanno una formazione giuridica Pertanto: E importante usare la massima proprietà di linguaggio Spiegando in linguaggio accessibile ad un pubblico non tecnico i concetti meno chiari (e fornendo riferimenti bibliografici, possibilmente fonti autorevoli). Usando, ovunque esista una traduzione accettabile, vocaboli italiani. Una relazione non comprensibile può risultare inutile o portare a delle conclusioni errate

20 Presentare i risultati - La relazione Possibile struttura di una relazione Introduzione. Spiega in che contesto l attività è stata svolta, quali sono le persone che hanno partecipato all analisi e fornisce i riferimenti al procedimento. Descrizione del quesito. E sufficiente riportare il quesito così come da verbale conferimento incarico. Descrizione del materiale sottoposto ad analisi. E utile riassumere le caratteristiche del materiale che hanno un impatto concreto sulla scelta delle modalità di intervento più appropriata. Vengono spesso allegate fotografie del materiale sottoposto ad analisi, in cui si evidenziano ad esempio modello e numero di serie. Metodologie e Procedure di intervento. Descrivere gli strumenti Hardware e Software utilizzati e le procedure attuate. Gli strumenti e le procedure devono essere scelti coerentemente con le caratteristiche dei dispositivi e con il quesito al quale si deve rispondere. Risultati. Rispetto a ciascuno dei punti del quesito, è necessario illustrare che cosa le procedure di intervento messe in atto abbiano consentito di appurare. Conclusioni. Riassumono sinteticamente i risultati più rilevanti, in relazione alle domande poste nel quesito. Non siete voi il giudice, siete dei periti. Nel formulare le conclusioni, è opportuno mantenere una posizione neutra. Riferimenti Utili