ANALISI FORENSE DI SISTEMI DI FILE SHARING

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ANALISI FORENSE DI SISTEMI DI FILE SHARING"

Transcript

1 UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI INGEGNERIA Tesi di Laurea Triennale in Ingegneria Elettronica ANALISI FORENSE DI SISTEMI DI FILE SHARING Candidato: Filip Kragulj Relatore: Chiar.mo Prof. Ing. Paolo Gastaldo Correlatore: Ing. Fabio Sangiacomo 28 settembre 2012 Anno accademico I

2 II

3 Abstract Forensic Analysis of File Sharing Systems In the world of investigations digital forensics has taken an increasingly important role in recent years. The research of digital evidence in investigations has become indispensable to any legal case, from the most banal, where to find the most information on the suspect his computer is confiscated to analyze the content, to the a more complex, such as a case of cyber security, in which the investigators try to fight hacking with the latest software technologies available. This thesis, carried out in the Sealab laboratory of the Department of Engineering Biophysics and Electronics of the University of Genoa, aims to analyze one of the technologies most recently entered into the lens of the digital forensics to try to discover its secrets: file sharing. In particular we analyzed as deeply as possible cloud and peer-to-peer systems. Thanks to the use of all the software applied on these clients it was possible to create a sort of guideline for this type of analysis, trying to cover as more aspects as possible and obtain the largest number of data, local and not. The work integrates the first visitation of the state of the art in the world of Digital Forensics, in which are presented the working methods and the latest technologies in use, and then dwell on two examples of file sharing taken into account, explaining their functioning, showing the issues in their field of study, and presenting a detailed analysis of the same. In particular for the cloud systems we analyzed the software Dropbox, and emule as regards the peer-to-peer systems. III

4 IV

5 Alla Commissione di Laurea e di Diploma Alla Commissione Tirocini e Tesi Sottopongo la tesi redatta dallo studente Filip Kragulj dal titolo: Analisi forense di sistemi di file sharing. Ho esaminato, nella forma e nel contenuto, la versione finale di questo elaborato scritto, e propongo che la tesi sia valutata positivamente assegnando i corrispondenti crediti formativi. Il Relatore Accademico Prof. Paolo Gastaldo V

6 VI

7 Ringraziamenti Vorrei ringraziare il mio relatore e il mio correlatore per avermi permesso di scegliere una tesi che rispecchiava i miei veri interessi e che mi ha consentito di espandere le mie conoscenze riguardo a un mondo di cui mi sono affascinato. Ringrazio il gruppo di developers della ATC-NY (Architecture Technology Corporation, sussidiaria di New York) della sezione Cyber Marshal, e Alex Caithness, caposviluppatore inglese della CCL-forensics, che contattati senza troppe pretese non hanno esitato un attimo a fornire supporto a questa analisi con i loro software. E infine vorrei fare un particolare ringraziamento ai miei genitori, che mi hanno sempre supportato in tutte le scelte della mia vita e che hanno fatto tutto per non farmi mancare nulla, senza di loro non sarei la persona che sono oggi. VII

8 VIII

9 Prefazione Nel mondo investigativo l analisi forense digitale ha assunto un ruolo sempre più rilevante negli ultimi anni. La ricerca di prove digitali all interno delle indagini è diventato imprescindibile da qualsiasi caso legale, dal più banale, in cui per reperire il maggior numero di informazioni sull indagato viene sequestrato il suo computer per analizzarne il contenuto, al più complesso, come un caso di cyber security, in cui si cerca di combattere attacchi di hacking con le più recenti tecnologie software a disposizione. Questa tesi, realizzata presso il laboratorio Sealab del Dipartimento di Ingegneria Biofisica ed Elettronica dell Università degli Studi di Genova, si propone di analizzare una delle tecnologie più recentemente entrate nell obiettivo della digital forensics per cercare di scoprirne i segreti: il file sharing. Nel particolare sono stati analizzati il più profondamente possibile i sistemi cloud e peer-topeer. Per arrivare al maggior numero di informazioni si è fatto uso di diversi software che verranno presentati in corso d opera, e alcuni concessi in licenza temporanea con benevolenza degli sviluppatori ai fini di questo studio. Grazie all uso di tutti i software applicati su questi sistemi di file sharing si è potuta costruire una sorta di linea guida per questo tipo di analisi, cercando di coprire il maggior numero di aspetti e ricavare il maggior numero di dati, locali e non. Il lavoro integra una prima visitazione dello stato dell arte nel mondo della Digital Forensics, in cui vengono presentate le metodologie di lavoro e le ultime tecnologie in uso, per poi soffermarsi sui due esempi di file sharing presi in considerazione, spiegandone il funzionamento, mostrando lo stato dell arte nel loro campo, e presentando un analisi approfondita degli stessi. In particolare sono stati analizzati per i sistemi cloud il software Dropbox, ed emule per quanto riguarda i sistemi peer-to-peer. IX

10 X

11 Sommario Abstract... III Ringraziamenti... VII Prefazione... IX Sommario... XI Capitolo 1: INTRODUZIONE Obiettivi Contenuti... 1 Capitolo 2: DIGITAL FORENSICS BEST PRACTICES Analisi forense tradizionale Evoluzione delle tecniche usate... 5 Capitolo 3: CLOUD COMPUTING Modelli di Cloud Computing Errori nel sistema Investigazioni in sistemi XaaS Ambienti SaaS Ambienti PaaS Ambienti IaaS DROPBOX TM ANALISI CON DROPBOX READER TM ANALISI DEI DATABASE DI DROPBOX CON EPILOG TM ANALISI DEL REGISTRO DI WINDOWS CON REGSHOT TM ANALISI CON NETWITNESS INVESTIGATOR TM DROPBOX TM LIVE Capitolo 4: PEER-TO-PEER Applicazioni Vantaggi e svantaggi Funzionalità Problematiche di sicurezza e privacy EMULE TM I Network ANALISI CON EMULE READER TM ANALISI CON P2P MARSHAL TM ANALISI CON NETWITNESS INVESTIGATOR TM Capitolo 5: RISULTATI OTTENUTI XI

12 Capitolo 6: SVILUPPI FUTURI Bibliografia XII

13 Capitolo 1: INTRODUZIONE In questa nuova era digitale tutta la nostra vita è condizionata dalla tecnologia. Tutti gli aspetti della nostra vita si sono adattati a questo fatto, dimostrando un espansione della scienza, di qualsiasi tipo essa sia. All interno di questo dilatarsi delle metodologie di studio si inserisce anche l analisi forense. Al giorno d oggi le prove non sono solo di natura fisica come il rilevamento di polvere da sparo o di residui organici, ma anche di tipo digitale. Alcuni casi criminali riguardano infatti solo questa sfera dell analisi; basti pensare a casi di inside trading o di distribuzione di materiale pedopornografico, o ancora l hacking di infrastrutture virtuali governative e non. In queste situazioni entra in gioco l analisi forense digitale, una scienza che si occupa di recuperare il maggior numero di informazioni da personal computer, server, dispositivi mobili e memorie di massa. 1.1 Obiettivi L obiettivo di questa tesi è trovare il maggior numero di informazioni possibili utili ai fini di ipotetici casi giuridici a cui sono collegati i sistemi di file sharing, per presentare tali informazioni come prova a supporto dei casi. Un altro punto che si è cercato di raggiungere è quello di mettere insieme informazioni provenienti da diversi software di analisi, dedicati ad aspetti anche diversi, per creare una visione di insieme e riunire in un unico elaborato diversi campi, costruendo una sorta di linea guida delle best practices nell analisi di dispositivi su cui sono presenti software cloud e peer-to-peer. 1.2 Contenuti La tesi è strutturata in questo modo: Introduzione al mondo dell analisi forense digitale: cosa è e quando viene usata. Aspetti legali e tecnici legati a cloud e peer-to-peer. Stato dell arte: strumenti usati più comunemente per le analisi forensi digitali e tecnologie sinora adottate. Dropbox: funzionamento del software, strumenti e metodologia per la sua analisi. emule: funzionamento del software, strumenti e metodologia per la sua analisi. Risultati ottenuti: considerazioni finali e di insieme sugli output raccolti. Sviluppi futuri: estensione dell analisi e possibili miglioramenti. 1

14 Capitolo 2: DIGITAL FORENSICS BEST PRACTICES La Digital Forensics è una branca della scienza forense che comprende il recupero e studio di materiale trovato in dispositivi digitali, spesso in relazione alla criminalità informatica. Il termine digital forensics è stato originariamente utilizzato come sinonimo di computer forensics, ma si è estesa a indagini su tutti i dispositivi in grado di memorizzare dati digitali. Con le radici nella rivoluzione dei personal computer alla fine del 1970 ei primi anni '80, la disciplina si è evoluta in modo casuale durante il 1990, fino al 21 secolo quando sono comparse le prime politiche e regolamentazioni nazionali a riguardo. Le indagini forensi digitali hanno una varietà di applicazioni. La più comune è quella di sostenere o confutare un'ipotesi davanti ai tribunali penali o civili (come parte del processo di rilevamento elettronico). Possono essere usate inoltre nel settore privato, come ad esempio durante le indagini interne aziendali o le indagini riguardanti intrusioni non autorizzate nella rete da parte di individui esterni, come gli attacchi da parte di hacker. L'aspetto tecnico di un'indagine è suddiviso in diversi sotto-rami, relativi al tipo di dispositivi digitali coinvolti; computer forensics, live forensics, network forensics, database forensics e mobile device forensics. Il processo tipico forense comprende il sequestro, l'imaging forense (acquisizione) e analisi dei media digitali e la produzione di una relazione tra le prove raccolte. Oltre a identificare la prova diretta di un crimine, la digital forensics può essere utilizzata per fornire prove a specifici sospetti, confermare alibi o dichiarazioni, determinare l'intento, identificare le fonti (per esempio, nei casi di copyright), o autenticare i documenti. Le indagini sono portata molto più ampia rispetto ad altre aree di analisi forense (dove l'obiettivo comune è di fornire risposte a una serie di semplici domande) e spesso coinvolgono complesse linee temporali o ipotesi. Un analista forense diventa quindi il garante della veridicità, affidabilità e consistenza delle prove. Per questo motivo è necessario che egli sia sempre aggiornato sulle nuove tecnologie utilizzate, che presentano sempre nuove sfide nel campo dell analisi. Due nuovi campi di analisi forense digitale sono proprio il cloud e i sistemi peer-to-peer. 2

15 Prima di arrivare ad analizzare gli ultimi campi affrontati dalla digital forensics andiamo ad analizzarne l evoluzione. Prima del 1980 i reati che coinvolgevano i computer erano trattati con l'utilizzo di leggi esistenti. I primi crimini informatici furono ufficialmente riconosciuti nel Computer Crimes Act tenutosi in Florida nel Durante gli anni 80 e 90 ci fu poi un evoluzione delle strutture adibite alla lotta a questo tipo di crimini, in cui spicco l FBI che per prima formò il Computer Analysis and Response Team, la prima vera e propria squadra di analisti forensi digitali. Con l evoluzione delle varie tecnologie si evidenziò anche una continua corsa delle forze del ordine ad avere le armi necessarie a contrastare questi crimini, e il miglioramento degli strumenti a disposizione avveniva sempre in concomitanza di casi eclatanti. Con l avvento del 21 secolo fu quindi necessario introdurre degli standard in grado di stilare delle linee guida da seguire per i forensicators. Per questo il gruppo di lavoro scientifico su Digital Evidence (SWGDE) produsse un documento nel 2002 intitolato "Procedure ottimali per la Computer Forensics", questo fu seguito, nel 2005, dalla pubblicazione di una norma ISO (ISO 17025, Requisiti generali per la competenza dei prova e di taratura laboratori). Ma il campo della digital forensics deve ancora affrontare questioni irrisolte. Un documento del 2009 [1] rilevò una deviazione verso i sistemi operativi Windows per la ricerca digitale forense, presentando diverse problematiche informatiche non affrontate in altri campi. Nel 2010 Simson Garfinkel individuò i problemi che devono affrontare le indagini digitali in futuro., tra cui la dimensione crescente dei media digitali, l'ampia disponibilità di crittografia per i consumatori, una crescente varietà di sistemi operativi e formati di file, un numero crescente di individui che possiedono più dispositivi, e le limitazioni legali sulla investigatori. Il documento inoltre identificò le questioni di formazione continua, così come i costi proibitivi di entrare nel campo dell analisi forense digitale. Un altro punto fondamentale fu poi inserito con la legge italiana 48 del 2008 del codice penale [2], per cui la validità dell informazione prescinde dalla validità del supporto fisico su cui era contenuta, per cui una questione fondamentale diventa: in caso di acquisizione di dati informatici ai sensi dell'art. 247 comma 1 bis, senza quindi l'acquisizione del supporto informatico, quali possono essere le accortezze tecniche per assicurare la formazione di una fonte di prova senza il pericolo di invalidazione per l'incapacità tecnica di dimostrare che la copia sia identica ai dati originali? La priorità maggiore in questi casi è la salvaguardia dell integrità dell informazione: ogni tipo di analisi deve essere effettuato su dati che sono stati sigillati, perché qualsiasi modifica dei dati comporterebbe l inutilità della prova stessa e comprometterebbe la possibilità di effettuare analisi su di essa. Le possibilità di analisi sono numerose e la varietà di applicazioni adibite a tale scopo è enorme. Esistono software dedicati ai registri di sistema, applicazioni di recupero dati come password e credenziali di utente, software di analisi del traffico di rete, tool di ricostruzione delle informazioni, ecc. Tutto questo grazie alla presenza sempre massiccia e in costante aumento di sviluppatori dediti alla creazione di nuovi strumenti utili in questo campo. In certi casi le possibilità di sviluppo sono limitate dal fatto che molti software e applicazioni 3

16 da analizzare sono proprietarie e risulta difficile se non impossibile risalire al codice sorgente, come nei casi open source, cosa che incrementa notevolmente la possibilità e la facilità di realizzare un tool dedicato. Nonostante ciò il numero di software per l analisi di sistemi Windows e Mac è molto alto, anche se in quest ultimo inferiore rispetto a tutti i concorrenti, nonostante sia su base Unix come Linux. Un esempio di queste possibilità è dato dal fatto che per il solo studio di dropbox presente qui sono stati utilizzati cinque diversi software ognuno con una particolare funzione. Ad ogni modo le regolamentazioni odierne non riportano alcuna linea guida riguardante i sistemi cloud e peer-to-peer, creando un enorme confusione in questo campo. Il maggiore problema è che per ora chi detiene il maggior controllo sui dati è il service provider, per cui chi deve analizzare i dati si trova spesso con le mani legate e impossibilitato ad accedere a prove rilevanti. Inoltre spesso le linee guida a riguardo sono molto scarne o assenti del tutto. Ne è un esempio il fatto che molti analisti si affidino agli utlimi articoli pubblicati, a comunità digitali, forum e blog alla ricerca delle news più aggiornate per affrontare questo tipo di problemi, e cerchino soluzioni alternative utilizzando i software a disposizione. A questo problema stanno rispondendo diversi ricercatori e un nota di merito deve essere data al gruppo dei Cyber Marshal che riguardo a queste ultime tecnologie hanno sviluppato diversi strumenti, usati anche in questa ricerca, come le utility Dropbox Reader, emule Reader, anche se le loro armi più potenti sono gli strumenti più generali: P2P Marshal, Mem Marshal, Router Marshal, Mac Marshal e Live Marshal, che non si focalizzano su un singolo software ma riescono a evidenziare prove di diversa natura, a seconda dello strumento scelto. Questo enorme sviluppo è dovuto anche all utilizzo di questi software da parte dell FBI in casi di particolare importanza. Qui abbiamo cercato quindi di combinare tutte le ultime conoscenze riscontrate in questi campi per poter dare una visione più ampia su ciò che può essere ricavato se si affrontano sistemi di questo tipo. 2.1 Analisi forense tradizionale La nozione di Digital Forensics è nota come la pratica di identificare, estrarre e considerare prove da un apparecchio digitale. Sfortunatamente queste prove digitali sono fragili e volatili e richiedono un attenzione speciale, anche nella loro conservazione e valutazione. Normalmente un processo di investigazione si divide in tre passaggi fondamentali, ognuno con uno specifico proposito: 1)Nella fase di sicurezza il principale intento è quello di preservare le prove per l analisi. I dati devono essere raccolti nel modo che ne massimizzi l integrità. Questo viene normalmente fatto producendo un largo numero di copie delle prove stesse. Questo ovviamente presenta dei problemi nel cloud dove non si conosce la posizione dei dati e non si ha accesso ad alcun hardware fisico. Ad ogni modo esistono alcune tecnologie, per esempio la snapshot, che forniscono strumenti molto potenti per congelare gli stati del sistema, ovvero farne un istantanea, e questo rende le investigazioni digitali, almeno negli scenari IaaS (di cui parleremo più avanti), teoricamente possibili. 4

17 2)Successivamente abbiamo la fase di analisi, nella quale i dati sono filtrati e combinati. Ciò vuol dire che i dati provenienti da più sistemi o fonti sono messi insieme per creare un immagine e una ricostruzione degli eventi più complete possibili. Specialmente nelle infrastrutture di sistemi distribuiti, bit e parti di dati vengono uniti insieme per decifrare la vera storia di ciò che è accaduto e fornire uno sguardo più profondo nei dati. 3)Infine tutti i risultati ottenuti dall analisi vengono ricontrollati nella fase di presentazione. Viene creato un rapporto in cui compaiono tutte le prove e la documentazione ricavata, che deve essere il più chiaro e comprensibile possibile. SICUREZZA ANALISI PRESENTAZIONE Apparentemente il successo di ogni fase dipende soprattutto dal primo passaggio, anche perché senza aver messo in sicurezza tutte le prove non è possibile effettuare un analisi corretta e accurata. Nella realtà però non sempre è possibile, e magari solo una parte delle prove può essere protetta da chi investiga. Entra in gioco qui allora la nozione di catena di custodia, che specifica come e dove sono state poste le prove e chi ne ha preso possesso. Soprattutto nei casi giuridici, in cui le prove devono essere presentate alla corte, è molto importante che la catena di custodia sia preservata. 2.2 Evoluzione delle tecniche usate Con l evoluzione delle leggi a riguardo si aggiornavano anche le tecniche utilizzate nelle indagini. L analisi forense digitale in principio si occupava di analizzare personal computer, per cui i classici metodi di analisi erano la creazione di un immagine disco, e anche per questo si utilizzava anche il nome Computer Forensics come sinonimo. Ora però le due cose sono separate, in quanto l informazione è ora contenuta in molteplici dispositivi come telefoni cellulari, dispositivi di archiviazione come hard disk e USB pen, router, etc. Attualmente infatti, i dati digitali sono il patrimonio più prezioso e la risorsa più strategica di ogni realtà aziendale, sia privata che pubblica; e se, da un lato, l era digitale ha portato novità positive, come la facilità di comunicazione, con una grande quantità di informazioni multimediali che circola ogni giorno nel mondo virtuale della rete, dall altro ha anche fornito nuovi strumenti per far diventare la Rete stessa nuovo luogo del crimine, stravolgendo i tradizionali sistemi di indagine. 5

18 È quindi in questo contesto che si sono sviluppati diversi strumenti software [3], tra cui i più importanti sono quelli che possiedono una Recognition in Court, ovvero sono attestati e accertati in tribunale in quanto la loro validità ha riconoscimento giudiziario, e sono quelli validati dal NIST (National Insitute for Standards and Technology), che si occupa tra le altre cose di stabilire il Data Encryption Standard e l'advanced Encryption Standard. Tra questi software troviamo sicuramente i programmi della EnCase Forensic, una suite di utility tra le maggiori usate nelle analisi dei sistemi Windows. Un altra suite molto usata è quella della UTK (Ultimate Toolkit), di cui fanno parte FTK Imager, Password Recovery Toolkit, Registry Viewer, Wipe Drive, Distribuited Network Attack, ognuno con uno scopo specifico, dalla creazione di immagini disco, alla forzatura di password, dall analisi dei registri al wiping dei dischi. La software house Wetstone invece si inserisce tra le produttrici di strumenti più recenti, come analizzatori di malware (Gargoyle Investigator), o Stego Suite che analizza dati steganografici, o infine LimeWire Investigator, che analizza infatti il sistema di P2P LimeWire. Ma questi tools risultano inefficaci coi nuovi sistemi che vogliamo affrontare in questa tesi. Quindi andremo ad utilizzare diversi software e utility in grado insieme di ricavare tutte le informazioni che ci interessano. 6

19 Capitolo 3: CLOUD COMPUTING Il cloud computing è in questo momento uno degli argomenti di tecnologia dell informazione più discussi. Il motivo è molto semplice: il concetto di spazio per i dati è sempre più importante. Da una parte vediamo l ampliarsi di memorie fisiche, gli hard disk, che aumentano in modo sempre più rilevante la loro capacità, e dall altra vediamo la sempre maggiore richiesta da parte sia degli utenti singoli ma soprattutto dalle aziende di maggiore spazio in cui poter salvare i propri dati al minor costo possibile, e la possibilità di avere un accesso sempre più facile a questi dati ovunque uno si trovi. Ed è qui che entra in gioco il sopra citato cloud computing. Un tempo questo termine veniva utilizzato solo per indicare distribuzione di calcolo su diverse macchine per aumentarne la potenza complessiva (questo viene fatto tutt oggi, ma è solo un aspetto), ora invece ha assunto una concezione più ampia: ora infatti si potrebbe utilizzare il termine distribuzione e basta, visto che oltre alla suddivisione di calcolo esso può essere riferito anche alla disponibilità di spazio condiviso. In realtà in questo caso il concetto è stranamente quasi l opposto: prima erano tanti che si univano in un unità, ora un unità suddivisa fra tanti. Infatti ci riferiamo all offerta di server in cui poter salvare i propri dati. Accanto quindi alla nascita di questo concetto sono nate ovviamente diverse problematiche [4] : Quanto spazio ho a mia disposizione per poter salvare questi dati? In che modo posso accedere ad essi? Posso accedere ovunque io mi trovi? Come posso trasferire o condividere i dati? I miei dati sono protetti? Non avendo a disposizione il supporto fisico, quali sono i servizi che mi vengono offerti? E così via. 7

20 A diverse di queste risposte è stato abbastanza semplice porre una risposta. Lo spazio fornito da alcuni servizi di cloud computing è idealmente illimitato (anche se alcuni ora si stanno ridimensionando per il singolo utente: caso di Box.net, ora diventato Box.com che offriva in partenza storage illimitato mentre ora offre gratuitamente 5gb di spazio sui loro server), o comunque grandi quantità di spazio gratuito per il singolo utente. Le modalità di accesso ai propri dati sono molto semplici: basta creare un account di registrazione al servizio con un indirizzo valido e si può subito iniziare a caricare ai dati; per poterli poi vedere e utilizzare dopo che sono stati caricati sui server si può utilizzare il sito dell azienda che fornisce il servizio ed eseguire il login, o utilizzare le applicazioni create dall azienda stessa che si presentano in maniera diversa da servizio a servizio ma in modo molto semplice, per esempio come cartelle con semplicemente un icona diversa (caso di Dropbox): i file compariranno all interno della stessa dopo essere stati sincronizzati. È possibile accedere ai dati letteralmente ovunque, basta avere a disposizione una connessione internet ed è possibile accedere al file desiderato, su qualsiasi piattaforma (anche dispositivi mobili con apposite applicazioni, realizzate dagli sviluppatori, di facile utilizzo), con la possibilità di salvare i dati più importanti anche in locale per potervi accedere senza tempi di attesa per la sincronizzazione. È presente inoltre la possibilità di condividere i propri dati, oltre che tra i vari dispositivi che si posseggono collegandosi con il proprio account, anche con altri utenti creando link inviabili via mail in modo che chi non è registrato al servizio possa semplicemente eseguire il download degli stessi dai server di chi offre il servizio, oppure creando cartelle condivise (come per esempio con Dropbox) se entrambi gli utenti possiedono un account in modo che se uno dei due mette un file nella cartella condivisa esso appare anche all altro utente dopo un breve periodo di sincronizzazione, che ovviamente varia dalla dimensione del file stesso. Le ultime due domande dell elenco invece sono quelle che più ci interessano nel nostro caso. Per quanto riguarda la sicurezza in realtà ormai tutti i servizi offrono modalità di protezione dei dati con cifrature a 256bit e backup dei dati con possibilità di recupero in modo da non rischiare di perdere i propri dati. Nonostante ciò un dubbio è sempre presente: chi mi da l effettiva certezza che i miei dati siano sicuri visto che io non posso accedere in maniera fisica ad essi e controllare i server? Chi mi dice che per esempio il servizio stesso che ha eseguito la cifratura non possa accedere ai miei dati in qualche modo per controllarli a mia insaputa? Il problema è quindi che io non posso controllare il reale contenuto del server ma ne vedo solo la superficie. Questo ci porta ad un altro ostacolo: se dovessero essere fatte delle perizie di tipo forense su questi dati, per esempio in ambito giuridico per un caso collegato ad essi come può essere l inside trading, come posso eseguire tutto il rilevamento delle prove in maniera corretta se non ho a disposizione il supporto fisico e la possibilità di accedervi? Questo sarà proprio il caso che andremo ad affrontare in questa capitolo cercando di analizzare il problema più da vicino per poi cercare di presentare possibili soluzioni 8

21 utilizzando diversi strumenti offerti da diverse comunità di sviluppatori, ma di questi ultimi parleremo più avanti. Finora abbiamo anticipato alcune delle problematiche che andremo ad affrontare, la domanda più spontanea che ci viene in mente ora è: perché ne discutiamo? Innanzitutto è doveroso dire che il cloud si presenta come un interessante attrattiva sia per le piccole che per le grandi compagnie, e non si presenta certo sprovvisto dei suoi particolari problemi. Come accennato sopra distribuire dati aziendali sensibili nel cloud aumenta l interesse riguardo alla sicurezza e alla privacy dei dati stessi, che non possono essere affidati a queste mani virtuali così facilmente. Basti pensare che normalmente in caso di incidente riguardante la sicurezza interviene il team aziendale addetto alla sicurezza, pronto ad effettuare le prime investigazioni senza l interazione di terze parti. Nel cloud tutto ciò non è più possibile naturalmente: il CSP, cloud service provider, ottiene tutto il potere sul sistema e controlla le fonti delle prove. Nel migliore dei casi è presente una terza parte garante dell operato del CSP e della sua veridicità. In ogni caso le prove ricavate mancano di informazioni circostanziali quali il tipo di architettura hardware utilizzata dal servizio, il sistema operativo montato, e così via. Inoltre può capitare che, in mancanza di dati di log in, sia impossibile risalire all autore di qualsiasi accesso ai dati. Con la crescente domanda di potenza offerta dal cloud computing è nata anche la richiesta di conoscere la Provenienza dei Dati e dei Processi (DPP) [5], ovvero i meta-dati che descrivono la cronologia e la storia di tutti gli oggetti digitali, fondamentali per un investigazione di tipo forense. Combinati con un apposito schema di autenticazione forniscono informazioni su chi ha creato e modificato qualunque dato presente nel cloud. Sfortunatamente gli aspetti di investigazione forense in distributed environments è stato fino ad oggi principalmente trascurato dalla comunità scientifica. Questo principalmente perché l analisi forense è stata ritenuta troppo complicata e frustrante, per l impossibilità di lavorare propriamente, in questi ambienti. Solo nel 2009 qualcuno ha sollevato il problema [1], affermando che non vi era stata ancora alcuna ricerca riguardo a quali effetti gli ambienti di cloud computing avessero sugli artefatti digitali, e sull acquisizione di prove logistiche e legali legati agli ambienti stessi. Altri autori posero poi lo stesso problema, richiedendo che venisse fatta della ricerca riguardo alle procedure da utilizzare nel caso di incidenti e nel tracciamento di prove nel cloud. Questo andò pari passo con sempre maggiori investimenti nelle tecnologie implementate nel cloud. Considerato che la tecnologia dell informazione trascende sempre di più la vita privata e professionale delle persone, rispecchiandosi nelle loro stesse azioni, diventa palese che le prove ricavate dagli ambienti cloud diventa molto significativa in diversi ambiti futuri, come la criminalità informatica per citare solo un esempio. Andremo quindi ad affrontare i diversi principali modelli di servizi cloud, soffermandoci su alcune nozioni e considerando alcuni aspetti interdisciplinari. Inoltre analizzeremo la possibilità di usare o meno alcune fonti di prove proponendo delle possibili soluzioni anche da un punto di vista pratico e non solamente teorico. 9

22 3.1 Modelli di Cloud Computing IaaS PaaS XaaS SaaS Secondo il NIST [6], per cloud computing intendiamo il modello che permette l accesso attraverso una rete conveniente e on-demand ad uno shared pool di risorse di calcolo configurabili, come reti, server, storage, applicazioni e servizi, che possono essere fornite e rilasciate rapidamente con minima interazione del CSP. La nuova definizione di cloud computing apporta diverse nuove caratteristiche come allocazione multipla, elasticità, pagamento ad uso e affidabilità. Noi andremo ad affrontare tre suoi modelli pricipali: 1) Il modello IaaS, Infrastructure as a Service, presenta la fornitura da parte del CSP di una macchina virtuale all utente che può installarvi il proprio sistema operativo. Il sistema può essere utilizzato come su ogni computer fisico, ad eccezione di poche limitazioni, legate principalmente alla sicurezza. 2) Nel PaaS, Platform as a Service, l offerente fornisce la capacità di installare le proprie applicazioni su un ambiente virtuale di sviluppo supportato dal CSP. Per lo sviluppo del software questo tipo di servizio può essere una buona spinta. 3) Nel Software as a Service, SaaS, invece il consumatore utilizza un servizio fornito dal CSP su un infrastruttura cloud. Nella maggior parte dei casi si può accedere a questo servizio tramite un API (application programming interface) o un interfaccia client come il browser web. 10

23 Tuttavia oltre a queste distinzioni è opportuno anche definire la differenza fra cloud pubblico e privato. Nel primo caso il servizio è disponibile a qualsiasi utente ne voglia fare uso (caso dei cloud che andremo ad analizzare, come Dropbox per esempio). Qui l infrastruttura è proprietà di una singola organizzazione che agisce come CSP e offre i propri servizi al consumatore. Nel caso del cloud privato invece il servizio è a disposizione di un unica società o organizzazione che lo richiede. Può essere il caso di una compagnia che memorizza i dati prodotti dai propri dipendenti su di un unico server (o meglio una serie di server) centralizzato. In questo caso il CSP è molto spesso l azienda stessa. Esistono tuttavia anche modelli più complessi, modelli ibridi o modelli comunitari, che non andremo ad affrontare perché prescindono dal discorso che vogliamo fare. A prescindere dal tipo di cloud che si sta utilizzando, quando i dati devono essere raccolti nel corso di un investigazione possono essere trovati in tre diversi stati: a riposo, in movimento o in esecuzione. I dati che sono a riposo sono rappresentati dallo spazio allocato nel disco rigido, indipendentemente dal formato in cui sono salvati (database o altro). Se un file viene eliminato lo spazio del disco viene deallocato, ma il file è ancora accessibile, perché lo spazio su disco non è stato riallocato o sovrascritto. Questo fatto è molto spesso soggetto di analisi da parte degli analisti forensi digitali che esplorano lo spazio deallocato negli hard disk. Nel caso in cui i dati siano in movimento, abbiamo trasferimento da un entità ad un altra, come può essere per esempio il trasferimento di file nella rete. Questi file vengono incapsulati in particolari protocolli che lasciano tracce rilevabili dagli investigatori. I dati possono poi essere caricati in memoria ed eseguiti come processi. In questo caso i dati sono in esecuzione e possono essere catturati attraverso un istantanea dello stato corrente di sistema. 11

24 3.2 Errori nel sistema Possono essere sostanzialmente di due tipi: 1) Attacchi intenzionali: uno o più avversari potrebbero essere intenzionati a creare casi di errori al sistema. Essi possono provenire dall esterno o essere interni e possono colpire sia l utente o il CSP stesso. In questo caso la possibilità di conoscenza del sistema da parte di un forensicator sarebbe fondamentale per poter contrastare l attacco e preservare il sistema. 2) Errori non intenzionali: inconsistenza dei software del sistema o errori umani possono portare a problemi come la cancellazione o modifica di alcuni dati. In questo caso potrebbe essere necessario recuperare informazioni o effettuare un fix per evitare altri inconvenienti. Anche in questo caso l analista forense gioca un ruolo fondamentale nella soluzione degli errori. Per poter riparare a questo tipo di inconvenienti possiamo utilizzare tre fonti diverse di informazioni: 1) Virtual Cloud Instance: La VM (Virtual Machine) all interno della nuvola dove sono memorizzati i dati contiene diverse informazioni. In molti casi è il luogo dove si verifica l incidente e fornisce un buon punto di partenza da cui iniziare le analisi investigative forensi. All istanza di VM possono accedere sia il CSP che l utente che sta facendo girare l istanza. Si possono utilizzare su di essa delle analisi di immagine disco statica e dinamica. Purtroppo in casi di SaaS o PaaS accedere all istanza è possibile in maniere molto limitata o è addirittura impossibile. 2) Network Layer: un altro tipo di analisi è quella del traffico di rete, che può essere l analisi in tempo reale o quella dei log per verificare gli eventi succedutisi nel passato. I diversi livelli dell architettura funzionale ISO/OSI forniscono diverse informazioni sui protocolli utilizzati nella trasmissione e ricezione dei dati, sia che essi siano dell istanza cloud sia che provengano dall esterno. Normalmente il CSP non fornisce questo tipo di informazioni. Altri problemi per l analisi potrebbero essere l occorrenza di malware in un sistema IaaS, e nei sistemi PaaS e SaaS la situazione diventa anche peggiore perché qualsiasi possibilità di risultati dipende dall aiuto e dalle informazioni fornite dal CSP. 3) Client System: ovviamente dipende dal tipo di sistema utilizzato come cloud. Nel caso SaaS è fondamentale cercare di ottenere informazioni dal client poiché in certe casi risulta essere la maggiore fonte di informazioni. Per esempio si può fare uso del browser per ricavare il maggior numero di dati possibili, nonostante in scenari complessi con client server di alto livello questo compito risulti estremamente difficile. 12

25 3.3 Investigazioni in sistemi XaaS Ambienti SaaS Specialmente in questo modello il consumatore non ottiene affatto il controllo dell infrastruttura operativa come la rete, i server, il sistema operativo o le applicazioni utilizzate. Questo significa la totale impossibilità di un analisi profonda del sistema. Questo ha portato finora all assunzione che il consumatore di sistemi cloud SaaS non ha nessuna possibilità di analizzare potenziali casi e rilevare qualsiasi tipo di prove. Anche perché in questo caso persino i metadati, che indicano e descrivono la storia di un oggetto digitale, sono difficilmente ottenibili e analizzabili. Soluzioni suggerite In scenari SaaS privati l esatta posizione dei server e dei dati e conosciuta in ogni momento, inoltre CSP e consumatore sono sotto la stessa autorità, per cui la possibilità di analisi sono effettivamente presenti. Nel caso di sistemi pubblici il sistema Single Sign On che controlla l accesso ai servizi dovrebbe fornire ulteriori informazioni riguardo a quali dati sono stati compromessi in caso di errore. Quindi ulteriori interfacce, per esempio per il controllo sicuro della provenienza dei dati, o per l effettiva analisi forense o per la sicurezza sarebbero utili. Alcuni sistemi effettivamente implementabili potrebbero essere il Proof of Retrievability, in cui un client è abilitato a verificare che un server possiede i dati richiesti e che essi siano ottenibili senza modifiche, oppure la Provable Data Possession, che permetterebbe di verificare se un server non autorizzato possiede i dati originali dell utente senza che il client vi debba accedere esplicitamente Ambienti PaaS Uno dei maggiori vantaggi di questo modello è il fatto che l applicazione software sviluppata è sotto il controllo dell utente ed eccetto per rari casi il source code dell applicazione non dve lasciare l ambiente di sviluppo locale. Perciò è possibile estrarre diversi application logs e stati del sistema attraverso apposite piattaforme API. Però in caso di attacco da parte di avversari è bene che questi logs non vengano modificati in fase di runtime. Soluzioni suggerite In base al tipo di sistema runtime utilizzato, potrebbero essere implementati meccanismi di logging, in modo che le informazioni di log vengano subito criptate dopo l accesso, prima che esse vengano inviate al server centrale di logging. 13

26 3.3.3 Ambienti IaaS Come detto in precedenza questo modello offre più possibilità dal punto di vista investigativo, ma nonostante ciò è necessario ricordare che la VM è pur sempre sotto il controllo del CSP, che quindi deve concedere la possibilità di effettuare determinate analisi. Inoltre è utile conoscere se esiste la possibilità che i dati siano volatili e con che grado di permanenza nel sistema. Soluzioni suggerite In questi casi la Virtual Introspection per l analisi live delle istanze può essere molto utile. Con questo sistema è possibile accedere all infrastruttura per mezzo di una macchina visrtuale per effettuare delle analisi. Sarebbe inoltre utile avere la possibilità di avvalersi, da parte del consumatore, di una API dedicata per poter gestire il sistema in caso di attacco o di errore. Il problema maggiore nella realizzazione di queste soluzioni è che tutti i sistemi utilizzati non sono mai open source ma proprietari, quindi a meno di una soluzione creata dai proprietari stessi, gli sviluppatori si ritrovano impotenti e difficilmente possono ovviare a questi problemi. In conclusione quindi, per quanto riguarda l analisi forense, la mancanza di controllo causata dai sistemi cloud presenta una grande sfida per i forensicators, e risulta spesso in una loro sconfitta per la totale predominanza del CSP per quanto riguarda le competenze e i privilegi sul sistema. Queste regole devono essere riadattate a questo nuovo tipo di sistemi e dovrebbe essere fornita una maggiore libertà di azione agli analisti forensi in modo che possano effettivamente effettuare il loro lavoro, cercando per prima cosa di ottenere un compromessi coi CSP per poi sviluppare una vera e propria linea d azione per i diversi modelli. 14

27 3.4 DROPBOX TM Dropbox è un software multipiattaforma (disponibile per Windows, Mac OS X, Linux, ios, BlackBerry OS e Android) cloud based, di tipo SaaS, che offre un servizio di file hosting e sincronizzazione automatica di file tramite web. Dropbox si basa sul protocollo crittografico SSL, ed i file immagazzinati, accessibili tramite password, vengono cifrati tramite AES. La versione gratuita del programma permette l'hosting fino a 2 GB estendibili fino a 16 GB in totale (si guadagnano 500 MB per ogni nuova persona invitata che si registri al sito e installi il software sul proprio computer). È possibile aumentare ulteriormente lo spazio gratuito collegando il proprio account ai social network oppure usando le versioni beta del programma. Versioni a pagamento permettono di aumentare lo spazio fino a 50 GB e 100 GB e di guadagnarne altro invitando nuove persone ad utilizzare il servizio. Il servizio può essere usato via Web, caricando e visualizzando i file tramite il browser, oppure tramite il driver locale che sincronizza automaticamente una cartella locale del file system con quella condivisa, notificando le sue attività all'utente. Nel novembre 2009 Dropbox raggiunge la cifra di 3 milioni di utenti, e il 20 gennaio 2010 annuncia il raggiungimento di 4 milioni di utenze, il che significa che Dropbox è, in teoria, in grado di garantire sui suoi server una capienza di almeno 8 petabyte. Dropbox oltre a essersi presentato come uno dei primi software di questo tipo e con un servizio gratuito efficiente, ha guadagnato quasi immediatamente il predominio in questo campo. A dimostrazione di ciò l incredibile numero di utenti e l inserimento delle funzionalità di questo programma in innumerevoli applicazioni per dispositivi mobili. Ormai è comune trovare applicazioni con editor di testo in grado di caricare file da un account Dropbox e salvarli nello stesso. In questo ambito dalle innumerevoli potenzialità si stanno inserendo ora anche altre società ben più note come Google, con il suo Google Drive, e Microsoft, col servizio Skydrive. Nonostante le diverse limitazioni nell analisi dei sistemi di tipo SaaS, si è proceduto con l analisi dei file lasciati in locale dall applicazione (utilizzando Dropbox Reader ed Epilog), 15

28 l analisi delle modifiche apportate al Registro di Sistema di un PC basato su Windows Seven (attraverso Regshot), l analisi del traffico di rete generato dall applicazione (mediante NetWitness Investigator) e l analisi dell account mediante client web. 16

29 3.5 ANALISI CON DROPBOX READER TM Dropbox Reader è un insieme di tool in python, linguaggio di programmazione con strutture dati di alto livello e orientato agli oggetti, in grado di analizzare i file di database salvati in locale da Dropbox. I database analizzati sono config.db, filecache.db e sigstore.db. Purtroppo da luglio 2011 Dropbox ha iniziato a cifrare questi database con una crittografia proprietaria, quindi quest analisi è stata applicata ad una versione meno recente di Dropbox (la per Windows), in cui, essendo assente la parte di decrittazione devono essere usati i database normali per le comunicazioni con i server di hosting. Il database config.db è quello principale, in cui sono memorizzate le informazioni riguardanti l utente, la versione di dropbox, il percorso dove dropbox è installato, ecc. Infatti aprendolo con un browser SQLite possiamo vedere questa struttura: E il contenuto del database è il seguente: 17

30 Possiamo quindi ritornare questi valori utilizzando read_config.py, che è il tool relativo all analisi di questo database: Grazie a questo script è possibile analizzare il database dove sono contenute le informazioni generali legate all account utilizzato e ai dati contenuti nelle cartelle ad esso collegate. Come si può notare vengono riportati per prima cosa: -la versione del database: trattandosi di una delle prime versioni di dropbox la versione riportata è la numero 1; -un Host ID, cioè un identificativo seriale univoco per ogni utente, quasi fosse una hash attribuita al singolo utente di dropbox; -il percorso in cui è salvata la cartella locale di dropbox all interno del computer dell utente; -l associata all account in uso. Vengono inoltre fornite altre info come un identificativo di dropbox, una versione del software, e infine i file modificati di recente, che siano stati proprio modificati, spostati o appena inseriti. Tutte queste informazioni contenute all interno del database grazie a questo script vengono riportate in una modalità leggibile, cioè comprensibile all utente. Nel corso dell analisi è stato rilevato un malfunzionamento del tool read_config. Il codice python è stato quindi corretto e la modifica è stata segnalata agli sviluppatori; è per questo che si può leggere read_config1.py anziché read_config.py che è lo script originale. 18

31 Nel database filecache.db invece è possibile riscontrare questa struttura: Nella quale possiamo individuare anche alcune sottostrutture in cui sono presenti diversi dati interessanti che saranno alcuni degli obiettivi della nostra ricerca. Infatti possiamo trovare tra le informazioni del file_journal alcuni campi come il percorso in cui il file è salvato, il nome locale del file, la sua dimensione, alcuni attributi temporali che andremo a specificare più avanti, e altre informazioni. Inoltre troviamo diversi identificativi univoci salvati come hash e chiavi del file, che ci aiuteranno non solo a identificare il file, ma anche a controllarlo alla ricerca di un eventuale modifica o manomissione. Per ognuno di questi campi è anche associato il tipo di file, come si è potuto vedere anche nel file precedente e come si vedrà in quelli successivi, e in questo modo possiamo anche avere un idea di cosa aspettarci nell output dato dalla nostra utility. 19

32 Vediamo quindi queste sottostrutture: E 20

33 Mentre come suo contenuto troviamo: sqlite_sequence file_journal 21

34 Mentre i campi successivi sono vuoti come si può vedere nell immagine: namespace_map 22

35 block_ref block_cache config 23

36 Lo script read_filejournal.py genera informazioni sui file sincronizzati memorizzate nel database filecache.db, in particolare visualizza i file di journal, cioè un registro aggiornato dei file presenti. Questo include metadati locali e dal lato server e un elenco di hash blocks per ogni file sincronizzato con dropbox. Nelle immagini si può vedere l output dello script: 24

37 Come si può vedere le informazioni risultanti sono riguardo ai file e alle cartelle associati all account. Vengono riportati il percorso del file o della cartella, la cartella in cui sono contenuti, la dimensione sul computer in byte, data e ora dell ultima modifica, data e ora correnti (cioè mentre viene fatta l analisi), nel caso di una cartella allora viene detto che è anche una directory, se è una cartella predefinita di dropbox come public o photos presenta anche un attributo locale, ed infine vengono riportati gli hash blocks relativi al file o cartella stessi, in SHA-256 (Secure Hash Algorythm da 256 bit) con notazione esadecimale Un altro appunto da fare è l uso di un identificativo ID per il file o la cartella, infatti nel caso questi vengano cancellati questo ID non viene riutilizzato nuovamente ma viene scartato per sempre, per non avere possibili conflitti. Questo permette eventualmente, con l opzione di recupero file dal sito, di reintrodurre il file cancellato senza rischiare di avere stessi ID fra file diversi. Riprendendo invece gli hash blocks ricavati prima questi saranno anche necessari per verificare che un file sia presente nel database, infatti è possibile comparare mediante un 25

38 altro script la presenza o meno di questi file, specificando il file stesso. In questo modo è possibile verificare se il database in questione è aggiornato oppure no. Lo script in questione è dropbox_contains_file.py che da un risultato di questo tipo: Possiamo vedere che il file che abbiamo voluto comparare specificandone il percorso secondo lo script in tutti i casi è uguale al file stesso, di cui vengono specificati infatti il nome e l ID. Questo script però non richiede l ordine dei blocchi di hash quindi avremmo potuto avere, per puro caso, anche due file diversi che venivano definiti uguali, perché i loro hash blocks erano identici anche se in ordine diverso: in questo caso avremmo avuto dopo l uguale un nome diverso da quello specificato da noi nel percorso. Nell esempio quindi i file combaciano perfettamente con quelli contenuti nel database, con a sinistra dell uguale il percorso del file e a destra il local file name come avevamo visto in read_filejournal.py, con lo stesso file ID number. Nel caso ci fosse stato un riscontro parziale l output sarebbe stato di questo tipo: /Users/FilipK/Dropbox/GettingStarted.pdf ~ GettingStarted.pdf (#10) [4 out of 7/12] Dove 4 è il numero di blocchi condivisi dai due file, 7 il numero di blocchi nel file specificato, e 12 il numero di blocchi indicato nel filecache.db. Se si vogliono invece calcolare semplicemente gli hash blocks di un file si può utilizzare lo script hash_blocks.py, specificando il file di cui si vuole questo output. Si ottiene quindi: Questi risultati possono eventualmente essere usati per una comparazione manuale con i risultati di read_filejournal.py, anche se come abbiamo visto prima lo si può fare 26

39 direttamente con lo script precedente in maniera automatica. Anche in questo caso il risultato è in versione SHA-256 esadecimale. Per ottenere risultati ulteriori dal punto di vista della hash si possono utilizzare anche le informazioni contenute nel database sigstore.db, di cui possiamo vedere qui struttura e contenuto: Utilizzando quindi lo script read_sigstore.py possiamo ricavare: Qui vediamo che vengono riportati gli hash blocks dei file, come prima in SHA-256 con notazione esadecimale, e la loro dimensione in byte, in notazione decimale. A dispetto di come potrebbe sembrare, i file non vengono ordinati per dimensione, ma in base a come sono ordinati nel database, quindi in ordine di ID. 27

40 Come abbiamo avuto modo di osservare, questi script ci permettono di ottenere numerose informazioni sull account di dropbox utilizzato e sui file ad esso associati, consentendoci di rintracciare eventuali file modificati grazie al tempo di ultima modifica e alla analisi degli hash blocks per poter scoprire interventi avvenuti per esempio in un lasso di tempo in cui il file non dovrebbe essere stato toccato in alcun modo. È possibile risalire in questo modo anche a modifiche effettuate da altri terminali, essendo le informazioni aggiornate e memorizzate nei diversi database. Così possiamo stabilire se le nostre prove sono state intaccate o meno, partendo per esempio dai file modificati più recentemente con il primo script, per poi passare ai successivi per un controllo più approfondito. Questo si trasforma anche in un metodo di difesa dell utente che potrebbe effettuare un calcolo della hash con lo script necessario, per poi confrontarla in un secondo momento, oppure utilizzare read_filejournal.py per verificare il tempo di ultima modifica, o read_sigstore.py per controllare la corrispondenza di dimensione dei vari file rispetto a prima nell esatto ordine. In questo modo può evitare modifiche indesiderate ai propri file. Inoltre il fatto che siano divisi ci permette di focalizzarci su una particolare informazione: se mi interessa avere dati generali riguardanti Dropbox utilizzerò read_config, se mi interessa invece avere dati relativi a un singolo file userò read_filejournal, se ancora voglio fare un controllo delle hash farò uso di hash_blocks e magari li comparerò utilizzando dropbox_contains_file, e così via. Tutto ciò ci permette di non perdere tempo e isolare quelli che sono i particolari dati nel caso che prendiamo in questione. 28

41 3.6 ANALISI DEI DATABASE DI DROPBOX CON EPILOG TM L azienda inglese Ccl-forensics ha sviluppato un software in grado di rintracciare le modifiche legati ai database di tipo SQLite, permettendo quindi di individuare, nel nostro caso, se qualche file è stato spostato o cancellato dalla cartella locale di Dropbox. Basta infatti solo cambiare la directory di un nostro file da una cartella ad un'altra dello stesso account che questo viene individuato dal programma in questione. Come test abbiamo eliminato un file dalla cartella e spostato uno dei file all interno di una delle sottocartelle. Qui sotto è possibile vedere il tipo di analisi possibili su un determinato database: 29

42 In particolare nel nostro caso abbiamo utilizzato la Generic Record Extraction per individuare queste modifiche, analisi infatti preposta allo scopo. Questo test è stato effettuato su 3 diversi database in modo da riscontrare le modifiche in ognuno di essi, e questi sono stati i risultati: DATABASE config.db 30

43 DATABASE filecache.db DATABASE sigstore.db 31

44 Analizzando i risultati e soffermandosi sulla colonna Possible Tables possiamo leggere a quali tabelle del nostro database possono essere riferite le informazioni rintracciate che risultano legate a file spostati o cancellati. La percentuale riporta quant è la probabilità che questi file appartengano effettivamente a queste tabelle. Questo potrebbe essere legato al numero di hash blocks che combaciano, come visto prima utilizzando lo script dropbox_contains_file. È possibile inoltre vedere esattamente quali siano questi file in alcune delle colonne Data Column in cui, nel caso dei database config.db e filecache.db troviamo i nomi dei file stessi (anche il nome delle cartelle che risultano modificate), mentre per sigstore.db possiamo ricavare quali siano i file analizzando la colonna Data Column 2 nella quale i numeri riportati indicando la dimensione del file in byte, facilmente individuabile da un analisi delle proprietà del file o leggibile nelle analisi fatte in precedenza con Dropbox Reader. Da specificare anche il fatto che una modifica dei file come la cancellazione o lo spostamento provochi una variazione in tutti i database, e nel caso di config.db si possono anche leggere le informazioni dell utente associate a quel particolare file. Tutto questo porta alla conclusione che anche in caso di spostamento o cancellazione di alcuni file è possibile rintracciare il file incriminato, leggendone le informazioni attraverso questo programma, per poi eventualmente, nel caso di un indagine, far richiesta alla direzione di Dropbox di poter visionare il file, oppure, nel caso si possedessero le credenziali dell utente, poter ripristinare l ultima versione del file dal sito internet del software, sempre memorizzata per un certo periodo di tempo nei software di San Francisco. Una possibile analisi futura molto approfondita e complessa a riguardo potrebbe essere quella di utilizzare lo stesso software Epilog, che presenta la funzionalità di ripristinare all interno dei database le informazioni associate a file cancellati, per poter modificare i file.db stessi e risincronizzare i file spostati o cancellati. 32

45 3.7 ANALISI DEL REGISTRO DI WINDOWS CON REGSHOT TM Nei sistemi Windows, il registro di sistema è stato introdotto a partire dalla versione Windows 3.0 e ha permesso l'eliminazione della gestione tramite file INI delle informazioni riguardanti: impostazioni dei driver profili hardware impostazioni del software installato profili utente associazioni dei tipi di file librerie di tipi, interfacce e classi di COM (Component Object Model, interfaccia per componenti software) criteri di protezione dei sistemi e degli utenti Il registro è organizzato in una gerarchia originata da alcune sezioni principali; ogni nodo della gerarchia è detto chiave (key), ed ogni nodo può contenere uno o più elementi di dati, detti valori (values). L analisi qui effettuata è quella per cui si cercano modifiche nel registro di Windows dovuto alle azioni di link e unlink del computer in uso al proprio account di Dropbox [7]. Per andare a catturare le azioni compiute dal sistema operativo sui propri registri è stato usato il programma RegShot, che consente di impostare un istante di inizio e uno di fine della cattura, in questo modo si è partiti subito prima del link o unlink per poi terminare subito dopo. Sia nel caso del link che dell unlink non sono state riscontrate modifiche relative dei registri, sia nel caso siano stati compiuti in locale dall apposita applicazione di Dropbox sia che siano stati effettuati dal sito internet. Un risultato differente è stato riscontrato invece nel caso di installazione e disinstallazione del programma. Nel caso di installazione pulita sono state create 173 chiavi di registro con 58 valori settati, mentre nel caso di disinstallazione sono state evidenziate 153 modifiche a registri e 49 cancellazioni. Qui sotto riportiamo un esempio di alcune chiavi di registro modificate: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\ShellIcon OverlayIdentifiers\DropboxExt1\: "{FB314ED9-XXXX-XXXX-XXXX-CDD82E34AF8B}" HKLM\SYSTEM\ControlSet001\Control\hivelist\\REGISTRY\MACHINE\COMPONENTS: 5C XX XX XX XX XX XX XX XX XX XX B 56 6F 6C 75 6D C E 64 6F C D C 63 6F 6E C 43 4F 4D 50 4F 4E 45 4E HKU\S-X-X-XX-XXXXXXXXXX \Software\Dropbox\InstallPath: "C:\Users\FilipK\AppData\Roaming\Dropbox\bin" HKU\S-X-X-XX-XXXXXXXXXX \Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}: "DropboxExt" 33

46 HKU\S-X-X-XX-XXXXXXXXXX \Software\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox\UninstallString: ""C:\Users\FilipK\AppData\Roaming\Dropbox\bin\Uninstall.exe"" HKU\S-X-X-XX-XXXXXXXXXX \Software\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox\InstallLocation: "C:\Users\FilipK\AppData\Roaming\Dropbox\bin" HKU\S-X-X-XX-XXXXXXXXXX \Software\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox\DisplayName: "Dropbox" Alcuni valori sono stati nascosti per la privacy dell utente. Come ci si può aspettare troviamo tante modifiche a valori di tipo SystemCertificates ed EnterpriseCertificates che indicano configurazioni relative al programma impostate in fase di installazione o disinstallazione. Sono valori molto importanti perché una modifica non corretta di questi valori può portare a errori critici nel sistema. Troviamo inoltre informazioni di configurazione riguardanti impostazioni internet, icone, e display informations. Queste informazioni possono essere utilizzate durante un indagine per verificare se sul dispositivo in analisi è stato installato dropbox, infatti come abbiamo potuto vedere un installazione lascia più valori di una disinstallazione, per cui possono rimanere delle tracce utili, nonostante venga disinstallato il programma dopo il suo utilizzo. Inoltre possiamo determinare a quale utente specifico è associato il software per scoprire perciò effettivamente chi ne ha fatto uso. Si è potuto constatare quindi quali e quanti siano i registri intaccati e modificati dal programma e se sia riscontrabile questa modifica nel caso semplice scollegamento dell account o di disinstallazione del programma. Ovviamente questi risultati riguardano il solo sistema operativo Windows 7, utilizzato per l analisi. 34

47 3.8 ANALISI CON NETWITNESS INVESTIGATOR TM Un tipo molto interessante di analisi è stata quella con il programma NetWitness Investigator, che analogamente a Wireshark è utilizzato per l analisi del traffico di rete in ingresso e uscita del terminale di utilizzo, utilizzando le librerie pcap. Questo programma effettua uno sniffing dei pacchetti inviati e ricevuti e permette di scoprirne tutte le informazioni e le proprietà, per capire per esempio dove i pacchetti sono diretti, a quale applicazione sono associati e quali protocolli utilizzino nei vari livelli di rete. Questo programma, disponibile gratuitamente dal 2008, è sviluppato specificatamente per fornire supporto alle indagini digitali, e per questo risulta più intuitivo in tale ambito, consente infatti di focalizzarsi su una particolare applicazione, un determinato indirizzo, e altro, consente quindi di effettuare un drill su una particolare informazione legata al traffico di rete catturato. Sono stati effettuati tre test in momenti differenti e con durate diverse per cercare differenze nel funzionamento di dropbox e nel tipo di pacchetti trasmessi/ricevuti. I vari test hanno dimostrato di essere perfettamente analoghi e che non ci sono sostanziali differenze, in quanto il tipo di pacchetti è sostanzialmente lo stesso, con ovviamente un numero di pacchetti diverso dovuto alle diverse durate. Una volta avviato il programma e fatta partire la cattura dei pacchetti si è cercato di soffermarsi, per quanto possibile, sulla trasmissione di dati solo di dropbox, chiudendo altre applicazioni e effettuando prima la connessione di dropbox per l aggiornamento dei database, poi la creazione di nuovi file nelle cartelle, copia, spostamento, modifica e cancellazione degli stessi, il tutto per generare il maggior traffico possibile e individuarne più informazioni possibili. Una volta spento lo sniffing questo è ciò che ci si è presentato (test3): 35

48 Come possiamo vedere abbiamo evidenziato tutti i dati che già a prima vista si ricollegano a Dropbox, osservando che ci sono numerosi hostname aliases legati al programma in questione. È interessante osservare che compare anche Amazon fra le organizzazioni di destinazioni e dopo andremo a spiegare perché. 36

49 In particolare eseguendo un drill, ovvero una concentrazione delle informazioni legata al solo Hostname Alias dropbox.com si possono individuare questi dati: Come abbiamo potuto vedere i risultati mostrano le informazioni legate al solo account di Dropbox, in particolar modo possiamo osservare che ci viene indicato come stato di destinazione gli Stati Uniti d America, e in particolare come città di destinazione San Francisco. Inoltre è utile vedere che tipo di protocolli usa Dropbox e che tipo di sicurezza usa per la sicurezza dei nostri dati. 37

50 È possibile poi rappresentare i risultati ottenuti anche su Google Earth tramite l apposito comando di NetWitness Investigator, ottenendo questa grafica: Le prime due immagini individuano gli indirizzi IP destinati ai server di Dropbox, situati proprio a San Francisco. Una ricerca dell indirizzo IP lo ha confermato dando queste informazioni: NetRange: CIDR: /22 OriginAS: AS19679 NetName: DROPBOX NetHandle: NET Parent: NET NetType: Direct Assignment RegDate: Updated: Ref: OrgName: OrgId: Address: Dropbox, Inc. DROPB 760 market st. 38

51 Address: suite 1150 City: san francisco StateProv: CA PostalCode: Country: US RegDate: Updated: Ref: Mentre le ultime due immagini indicano i server di Amazon, situati a Seattle, questo perché da circa un anno dropbox ha iniziato a utilizzare il metodo di conservazione dei dati della società di Seattle, il Simple Service Storage, detto anche S3, e la loro tecnologia per il cloud, l Elastic Compute Cloud o EC2, interfacce più funzionali, sicure e professionali per l immagazzinamento e la reperibilità dei dati nel web. Per cui alcune informazioni di servizio vengono mandate anche ad Amazon, gestore di questa tecnologia. Qui sotto è possibile vedere le informazioni legate all indirizzo IP della società di Seattle: NetRange: CIDR: /16 OriginAS: NetName: AMAZON-EC2-5 NetHandle: NET Parent: NET NetType: Direct Assignment Comment: The activity you have detected originates from a Comment: dynamic hosting environment. Comment: For fastest response, please submit abuse reports at Comment: Comment: For more information regarding EC2 see: Comment: Comment: All reports MUST include: Comment: * src IP Comment: * dest IP (your IP) Comment: * dest port Comment: * Accurate date/timestamp and timezone of activity Comment: * Intensity/frequency (short log extracts) Comment: * Your contact details (phone and ) Comment: Without these we will be unable to identify Comment: the correct owner of the IP address at that Comment: point in time. RegDate: Updated: Ref: OrgName: Amazon.com, Inc. OrgId: AMAZO-4 Address: Amazon Web Services, Elastic Compute Cloud, EC2 Address: th Avenue South City: Seattle StateProv: WA PostalCode: Country: US RegDate:

52 Updated: Comment: For details of this service please see Comment: Ref: Nonostante il numero di file all interno della cartella di Dropbox utilizzata sia molto basso, è possibile notare che il numero di indirizzi IP diversi legati ai server della società di San Francisco sia nettamente superiore, questo perché i file vengono smistati e spezzettati in modo da essere salvati su più server diversi. Ciò garantisce una maggiore sicurezza dei dati stessi, perché anche in caso di attacco ai server i file restano incompleti, nonostante siano già criptati quindi impossibili da leggere a chiunque non sia l utente. L analisi di rete naturalmente poco ci dice su come è stato usato Dropbox, ma serve a comprenderne il funzionamento ed il livello di security. Un analista forense infatti, utilizzando queste informazioni, può determinare i protocolli di sicurezza usati per verificare dove e come viaggiano i dati sensibili dell utente, inoltre può fare delle ipotesi di analisi del servizio. Può infatti pensare alla possibilità di un attacco del tipo man in the middle, e riscontrare che grazie agli standard crittografici usati non è possibile ricavare alcuna informazione sui file dell utente. Questa analisi ci ha permesso di individuare dove vengono salvati i nostri file e dove viaggiano le nostre informazioni, e di scoprire quindi i meccanismi legati al funzionamento di Dropbox, di cui l utente è ignaro. 40

53 3.9 DROPBOX TM LIVE Nel caso si disponga delle credenziali relative all utente di Dropbox, ovvero indirizzo e password, e delle dovute autorizzazioni da parte del Pubblico Ministero durante una rilevazione è possibile effettuare un altro tipo di analisi. Si può accedere all account per visualizzare diverse informazioni [8]. Innanzitutto come si può vedere viene visualizzato lo spazio occupato e quello disponibile, e questo può essere visto più da vicino accedendo alle impostazioni dell account, alla finestra Account info: Vengono infatti visualizzati i file semplicemente salvati nel cloud e quelli invece condivisi con altri utenti. È infatti possibile creare cartelle in comune con altri users in cui poter salvare file che verranno visualizzati da entrambi gli utenti. Aprendo la finestra Account settings poi possiamo vedere il nome e il cognome inseriti dall utente, le impostazioni di connessione ai social networks Facebook e Twitter, le preferenze dell account, in cui per esempio possiamo determinare se rimanere sincronizzati con l orario della rete, e le preferenze , in cui possiamo decidere in quali casi ottenere un , come lo spazio quasi esaurito dell account, quando Dropbox invia informazioni di servizio all utente, ecc. 41

54 La finestra Security ci fornisce poi i dati riguardanti i dispositivi connessi all account in analisi, le sessioni web attive al momento, le impostazioni riguardanti la password e le notifiche. Si può vedere anche quando è avvenuto l ultimo accesso a Dropbox da tali dispositivi e dai client web e in che area geografica essi sono presenti. 42

55 Ad ogni modo con questa informazione è possibile vedere di quali devices dispone l utente in modo da poterli controllare tutti in caso di indagine e non rischiare che uno di essi possa essere usato per effettuare modifiche ai file contenuti all interno dell account. È possibile inoltre disconnettere i dispositivi, rinominarli e chiudere le sessioni web attive. Questo è estremamente utile nel caso uno dei dispositivi non sia stato sequestrato, perché potrebbe essere usato da terzi o dall indagato stesso per modificare i file. Inoltre se un dispositivo è collegato all account, anche in caso di modifica della password, il dispositivo rimarrebbe collegato e potrebbe essere usato per effettuare delle modifiche, mentre disconnettendo il device esso non potrebbe più essere utilizzato per tale scopo. Infine si può visualizzare la versione dell applicazione di Dropbox installata su ogni device e l indirizzo IP dal quale esso si è collegato: Come pure l indirizzo IP e l ora dell ultima connessione della sessione web: La finestra Bonus space ci informa sui metodi per ottenere gratuitamente spazio aggiuntivo al nostro account e indica quanto invece ne è stato già ottenuto: 43

56 L ultima finestra elenca invece le applicazioni connesse in qualche modo a Dropbox: Queste sono applicazioni che utilizzano Dropbox per salvare file sulla nuvola, o importarli per editarli o usarli. Esattamente come dall applicazione installata sul proprio dispositivo, è possibile visualizzare tutte le cartelle e i file presenti all interno dell account: Vengono indicati il nome del file con la sua relativa estensione, il tipo di file e la data di ultima modifica, e nel caso delle immagini anche una piccola anteprima delle stesse. Visualizzare questi file da web ci consente di accedere a ulteriori features. 44

57 Come si può vedere, cliccando con il tasto destro su un determinato file o semplicemente selezionandolo, è possibile: Creare un link con il quale qualsiasi altra persona può scaricare il file Scaricare il file sul dispositivo in uso Eliminare il file Rinominare il file Spostare il file in un'altra locazione di Dropbox Copiare il file Visualizzare le precedenti versioni del file (per un account free sono quelle degli ultimi 30 giorni) È possibile infatti ripristinare una precedente versione dei nostri file se è stata effettuata una modifica indesiderata: In questo modo è possibile visualizzare le varie versioni, chi ha effettuato la modifica, quando, e la dimensione di ogni versione del file. 45

58 Cliccando su un apposito tasto a forma di cestino è possibile inoltre visualizzare i file nascosti: Essi verranno visualizzati, sempre se sono stati eliminati entro i precedenti 30 giorni, in grigio: Tuttavia è ancora possibile effettuare delle operazioni su di essi. Si può infatti ripristinare il file nella sua ultima versione, lo si può eliminare definitivamente, oppure si possono visualizzare le versioni precedenti. 46

59 Attraverso il menù a sinistra dello schermo è possibile inoltre visualizzare tutta la cronologia delle azioni effettuate con l account: Si parte dalle azioni più recenti per andare sempre più a ritroso nel tempo, ed esse vengono suddivise in due parti: la prima mostra tutte le azioni comprese negli ultimi 30 giorni, la seconda mostra le azioni precedenti, specificando che non è possibile ripristinare nessun file cancellato da quel punto in poi. Essere quindi in possesso delle credenziali relative all account ci permette quindi di visualizzare tutti i dispositivi connessi ed eventuali sessioni web aperte, in modo da essere sicuri che le prove siano preservate nel modo corretto e non vengano inquinate. Inoltre se esse sono state manomesse prima di essere ottenute, è possibile visualizzare una cronologia delle azioni compiute e visualizzare file che l indagato ha voluto nascondere eliminandoli o modificandoli, per poi ripristinarne una versione più recente e utile alle indagini. Grazie poi a tutte le indicazioni temporali si può creare una vera cronistoria di tutto ciò che è stato fatto fornendo o smontando eventuali alibi. 47

60 48

61 Capitolo 4: PEER-TO-PEER In informatica il termine Peer-to-peer (P2P) indica un'architettura logica di rete informatica in cui i nodi non sono gerarchizzati unicamente sotto forma di client o server fissi (clienti e servitori), ma sotto forma di nodi equivalenti o paritari (in inglese peer) che possono cioè fungere sia da cliente che da servente verso gli altri nodi della rete. Essa dunque è un caso particolare dell'architettura logica di rete client-server. Mediante questa configurazione qualsiasi nodo è in grado di avviare o completare una transazione. I nodi equivalenti possono differire nella configurazione locale, nella velocità di elaborazione, nella ampiezza di banda e nella quantità di dati memorizzati. L'esempio classico di P2P è la rete per la condivisione di file (File sharing). 49

62 4.1 Applicazioni Il termine può essere tecnicamente applicato a qualsiasi tipo di tecnologia di rete e di applicazioni che utilizzano questo modello, come per esempio il protocollo NNTP utilizzato per il trasferimento delle notizie Usenet, ARPANET, applets java, live chat decentralizzate o le BBS di Fido Net. Il termine frequentemente viene riferito alle reti di file sharing (condivisione file) come Gnutella, FastTrack, e l'ormai defunto Napster che forniscono, o per quanto riguarda Napster forniva, il libero scambio (e qualche volta anonimo) di file tra i computer connessi a Internet. Alcune reti e canali, come per esempio Napster, OpenNap o IRC usano il modello clientserver per alcuni compiti (per esempio la ricerca) e il modello peer-to-peer per tutti gli altri. Proprio questa doppia presenza di modelli, fa sì che tali reti siano definite "ibride". Reti come Gnutella o Freenet, vengono definite come il vero modello di rete peer-to-peer in quanto utilizzano una struttura peer-to-peer per tutti i tipi di transazione, e per questo motivo vengono definite "pure". Quando il termine peer-to-peer venne utilizzato per descrivere la rete Napster, implicava che la natura a file condivisi del protocollo fosse la cosa più importante, ma in realtà la grande conquista di Napster fu quella di mettere tutti i computer collegati sullo stesso piano. Il protocollo "peer" era il modo giusto per realizzarlo. In questo campo troviamo tantissimi software utilizzati oggi. Uno dei primi e uno dei più diffusi oggi è emule, anche se ne esistono di innumerevoli. Altri esempi sono infatti: LimeWire, BearShare, utorrent, Frostwire e simili. 4.2 Vantaggi e svantaggi Vantaggi e svantaggi sono relativi al tipo di ambiente in cui si decide di installare questo tipo di rete, ma sicuramente si deve tenere presente che: Non si deve acquistare un server con potenzialità elevate e quindi non se ne deve sostenere il costo, ma ogni computer deve avere i requisiti per sostenere l'utente in locale e in rete, ma anche gli altri utenti che desiderano accedere alle risorse di questo in remoto; Ogni utente condivide localmente le proprie risorse ed è amministratore del proprio client-server. Questo da un lato può essere positivo per una questione di "indipendenza", ma dall'altro richiede delle competenze ad ogni utente, soprattutto per quel che concerne la protezione; La velocità media di trasmissione dei dati è molto più elevata di una classica rete con sistema Server / Client, dal momento che l'informazione richiesta da un Client può essere reperita da numerosi Client connessi in modo paritario (ossia "peer"), anziché da un unico server (questo tipo di condivisione diventa tanto più efficace tanti più sono i Client connessi, in antitesi con la rete tradizionale Server/Client, dove un elevato numero di Client connessi riduce la velocità di trasmissione dati per utente); 50

63 La sicurezza degli accessi ai client viene gestita localmente su ogni macchina e non centralizzata, questo significa che una rete basata su utenti deve avere lo stesso archivio reimpostato in ogni client. 4.3 Funzionalità La maggioranza dei programmi peer-to-peer garantisce un insieme di funzionalità minime, che comprende: supporto multipiattaforma, multiserver, multicanale: il programma è compatibili con tutti i sistemi operativi, server e dispositivi hardware (PC, laptop portatili, palmari, cellulari); supporto protocollo IPv6; download dello stesso file da più reti contemporaneamente; offuscamento dell'id di rete; offuscamento del protocollo P2P; supporto proxy e Tor; supporto crittografia SSL; gestione da remoto, sia da PC/notebook che da cellulari e palmari. Una funzionalità di recente sviluppo è l'assegnazione di una priorità delle fonti, privilegiando quelle con connessione a banda larga (ad esempio, BitTyrant per i file torrent). Altri usi del P2P si vedono nel campo dei videogiochi, specialmente MMORPG quali World Of Warcraft e similari; al momento il P2P viene utilizzato per distribuire client di gioco o anche espansioni e patch in modo che i file vengano distribuiti più rapidamente e con meno carico sui server principali di distribuzione. 4.4 Problematiche di sicurezza e privacy Oltre agli attacchi che una rete aperta può subire, anche i computer che ad essa accedono possono essere soggetti a problematiche di security e privacy [9]. Per la stessa filosofia del P2P quasi tutti i programmi di file-sharing richiedono per la sopravvivenza del sistema di avere sul proprio computer dei file condivisi e che quindi possano essere a disposizione degli utenti che ne fanno richiesta. Questo implica da un lato la condivisione di un area del disco sulla quale mettere i file a disposizione, dall altro consentire il libero accesso ad alcune porte del computer. Già di per sé questo porta ad avere un aumento dei problemi di security, in quanto chiunque ha la possibilità di entrare su quelle porte. Se poi si considera l enorme incremento degli utenti e l utilizzo di linee a banda larga, ormai alla portata di tutti, questi problemi, che una volta potevano essere trascurabili, diventano prioritari. Ciò rende fondamentale l utilizzo di sistemi di difesa come antivirus, firewall, programmi di pulizia dei file di registro e di rimozione degli agenti 51

64 infettivi: virus, spyware, trojan o malware. Infatti i cracker, sfruttano queste tipo di reti per condividere file infettati da malware e spyware. Più recenti sono i casi di musiche MP3 infettate, una volta aperte costringono il programma per ascoltare musiche audio (es Media Player, ma anche Real Player) a scaricare un "aggiornamento" che contiene invece dei virus. Il migliore aiuto che si può dare a questi sistemi di difesa è costituito dalla propria cultura informatica che consente di riconoscere ed evitare l introduzione nel proprio computer di questi agenti, invece di scaricarli incautamente da altri utenti del P2P. A volte il diritto alla riservatezza può nascondere l azione di chi, non avendo interesse allo sviluppo del P2P o ritenendosi addirittura danneggiato da esso, oppure per semplice vandalismo, mette intenzionalmente in condivisione file infetti, corrotti o non corrispondenti a quanto dichiarato. È proprio a questo scopo che si inserisce la nostra analisi che non solo presenta tutte le prove ricavabili in un indagine sia le informazioni che sono a rischio e che possono essere ottenute tramite questi software, in particolar modo quelle legate al software emule. 52

65 4.5 EMULE TM emule è un software applicativo open source dedicato alla condivisione file appoggiandosi su una rete peer to peer e scritto in linguaggio di programmazione C++ per il sistema operativo Microsoft Windows. Utilizza i network peer to peer edonkey, rete peer-to-peer per la condivisione di file di qualsiasi tipo, realizzato da Jed McCaleb e conosciuto anche come Swamp, e Kad, quest'ultimo basato su un'implementazione del protocollo di rete Kademlia [10]. Ha tra i suoi punti di forza la semplicità e la pulizia dell'interfaccia grafica, la localizzazione in più di quaranta lingue, una vasta ed attiva comunità di utenti che mantengono vivo il progetto rilasciando regolarmente nuove versioni del programma. Il progetto emule nasce il 13 maggio 2002 grazie al programmatore tedesco Hendrik Breitkreuz, conosciuto come Merkur, insoddisfatto del client edonkey. Merkur radunò intorno a sé altri sviluppatori con lo scopo di creare un programma edonkey-compatibile ma con molte più funzioni. Il programma si afferma rapidamente come client di punta sulla rete grazie alle sue caratteristiche innovative. Il 7 luglio 2002 viene rilasciato su Sourceforge il solo sorgente della prima versione. Ma la versione effettivamente utilizzabile uscirà il 9 agosto. emule è il programma più scaricato in assoluto da SourceForge, con più di 639 milioni di download al marzo I Network Il network è un protocollo di comunicazione attraverso il quale un programma p2p una volta interfacciato riesce ad eseguire delle operazioni in rete come la ricerca o il download di un file non solo su Internet (altri computer connessi), ma anche sullo stesso computer e su computer della rete locale. edonkey La rete edonkey detta anche ed2k è stato il primo network supportato da emule. Ha struttura composta da client e server. 53

66 1. I file condivisi presenti nel network non risiedono nei vari server, ma sui client stessi e lo scambio avviene sempre tra client e client. 2. I server sono deputati all'accesso alla rete peer to peer per la ricerca dei file e l'identificazione dei client in cui risiede la risorsa da scaricare. 3. L'indice dei file condivisi da un client viene inviato al server di accesso alla rete durante la connessione tra i due. I server sono solo dei database che indicizzano i file e gestiscono le connessioni tra gli utenti. In ed2k non è presente un unico repository, ma molti, che distribuiscono il carico tra loro e comunicano fra loro. Sono gestiti da volontari che li mantengono a proprie spese. Con client si intende un qualsiasi programma in grado di interfacciarsi con la rete server di edonkey. Un client si connette ad un solo server alla volta sufficiente per eseguire una ricerca su tutti i server presenti nella rete, in quanto comunicano fra di loro. Kad Basato sulla rete Kademlia, il network Kad è una rete priva di server, presente dalla versione 0.42 di emule, concepita per distribuire il carico di lavoro a tutti i client connessi invece che ad un unico server centrale. È in grado di svolgere le medesime funzioni di edonkey. La connessione alla rete, detta procedura di bootstrap, avviene contattando gli altri client che assegnano lo stato open nel caso siano contattati liberamente oppure lo stato di firewalled se la comunicazione risulta filtrata. Visto che ogni utente è sia client che server è importante stabilire quali informazioni riceve e quali invia, per evitare di consegnare informazioni sensibili nelle mani sbagliate. E a questo scopo servono i programmi che abbiamo utilizzato in questa ricerca. Nei prossimi paragrafi andremo infatti a cercare tutti i dati salvati in locale (attraverso l uso di emulereader e P2P Marshal) e controlleremo in che modo viaggia l informazione con un analisi di rete (mediante NetWitness Investigator). 54

67 4.6 ANALISI CON EMULE READER TM I tools di emule Reader analizzano e stampano il contenuto dei file che contengono informazioni associate al client di file-sharing di tipo peer to peer emule [11]. Sono tools eseguibili da linea di comando, e ognuno di essi è riferito a un particolare file, anche se il funzionamento è analogo per tutti. Qui sotto è riportato il nome di ognuno e il file al quale sono riferiti: Tool File Analizzato ParseCancelled cancelled.met ParseClients clients.met ParseKeyIndex key_index.dat ParseKnown known.met, known2.met, known2_64.met ParseLoadIndex load_index.dat ParseNodes nodes.dat ParsePartMet.part.met files (e.g., 001.part.met) ParseServer server.met ParseSourceIndex src_index.dat ParseStoredSearches StoredSearches.met Come anticipato in precedenza la sintassi su riga di comando è analoga per tutti i tools. Eseguire semplicemente uno di essi senza specificare parametri o con l opzione h stamperà solamente un messaggio informativo, come in questo caso: > ParseCancelled.exe ParseCancelled: parse emule cancelled.met files. Copyright (c) 2011 by Architecture Technology Corporation. All rights reserved. Il metodo di utilizzo dei tools è il seguente: ParseCancelled.exe [-dh] <infile> ParseCancelled.exe [-dh] -i <infile> -o <outfile> Ci sono quindi due modi di chiamare una utility die Mule Reader: ParseCancelled.exe cancelled.met Questo comando analizzerà il file "cancelled.met" e stamperà a video nella finestra del terminale l output. ParseCancelled.exe -i cancelled.met -o cancelled.txt In questo caso invece l output verrà stampato in un apposito file di testo, come cancelled.txt. Le diverse opzioni sono quindi: -i <infile> analizza il file cancelled.met come <infile> -o <outfile> manda in output il risultato in <outfile> 55

68 -d abilita il debugging dell output -h stampa un messaggio di aiuto ed esce Prima di riportare i risultati di questa analisi andremo ad spiegare il significato dei file analizzati dai diversi tools, per evidenziarne quindi l output e commentarlo. Cancelled.met Contiene l'elenco dei files di cui avete annullato lo scaricamento, in modo da poterveli segnalare se avete attivato Opzioni --> File --> Ricorda i file cancellati. Output: Cancelled Files Seed: : B F A7 54 B1 F7 B9 E6 24 5B AA 27 E9 : F2 EB 5E BD A7 62 C4 97 A3 B9 8F 57 DE : 37 D3 F A8 71 C9 47 CD D E : 02 B8 AB A6 55 D6 AC 95 4C 7A 1C AE 2C Possiamo vedere dall output nel particolare come venga riportato il numero di seed cancellati relativi a tutti i file di cui si è eseguito il download, anche senza completarlo, per poi riportare i blocchi di hash dei singoli file di cui si è invece interrotto il download, nel nostro caso sono quattro. È possibile eventualmente risalire al file corrispondente analizzando i blocchi di hash associati ai file e riportati in altri output che vedremo in seguito. Clients.met Questo file memorizza tutti gli utenti che hanno scaricato da voi o da cui voi hai scaricato e serve a calcolare i crediti per gestire la coda di upload. Cancellarlo significa azzerare tutti i crediti degli altri. Nelle rarissime volte in cui questo file si corrompe è necessario eliminarlo (tipicamente insieme a known.met, quando avviando emule esso si blocca con il 100% di cpu utilizzata) ma è possibile recuperarlo, in quanto emule crea la copia nel file clients.met.bak. Output: Key: F1 DC 24 0E CB 8F 8D 7F 63 6F 99 Uploaded: 0 Downloaded: Last Seen: Fri Jul 20 23:47: Reserved: 0 Key Size: 76 Secure Identity: 30 4A 30 0D A F7 0D A A 4D DB 7F 8F 62 C4 F4 E5 D1 BA 1A B2 0C F7 67 8A B0 00 4C CB 45 0E 67 DC 75 E0 1A 2E 76 8C F3 BF 1C FD E2 BB EC Key: 4D 4D 34 E8 D2 0E 91 DE F BA 56

69 Uploaded: 0 Downloaded: Last Seen: Sat Jul 14 19:04: Reserved: 0 Key Size: 76 Secure Identity: 30 4A 30 0D A F7 0D E3 EE 5E 2D 42 ED 14 C9 5B C8 6E B C 3E 4A AF 38 C9 0A E 7D 5E 4B DB A4 BE BA 04 7B 36 DF DE B E7 15 AF Key: 38 F2 90 D5 B4 0E 46 B2 90 E9 5C E F E4 Uploaded: Downloaded: Last Seen: Fri Jul 20 22:11: Reserved: 0 Key Size: 76 Secure Identity: 30 4A 30 0D A F7 0D CC 99 6F FC 2B BF AB 8A F 5F 4F D8 6B A9 43 F1 8E B0 57 F2 03 E7 45 A5 E9 FB A8 86 F9 99 B2 AB E9 D4 15 C6 B4 0E 2C 1F ED Key: 87 0D E 3F 7A 18 8D EA 3F FB 0D 6F BE Uploaded: Downloaded: Last Seen: Sat Jul 21 00:10: Reserved: 0 Key Size: 76 Secure Identity: 30 4A 30 0D A F7 0D B9 4C F0 AF 08 7B AB 43 1E F E4 CD BC A D3 6C 77 E2 D7 66 8F A4 8F EC 2E E0 CA 1B F6 C0 76 F0 7B 0F 19 8A 84 F In questi file di esempio possiamo vedere come ad ognuno di essi sia associata la lista di utenti che hanno fornito delle parti del file e quanti invece ne abbiano ricevute, con indicate anche l orario di ultima visione del file, per esempio prima che sia stato rimosso dalla coda dei download/upload. Per ogni file è specificata anche una chiave, che è la stessa vista in precedenza, come hash blocks, con un ulteriore serie di hash blocks più lunga come identità di sicurezza. Key_index.dat Contiene le parole chiave (keywords) indicizzate sul network Kademlia, protocollo di rete peer-to-peer ideato da Petar Maymounkov e David Mazières della New York University, per un network di computer decentralizzato. Specifica la struttura del network, regola la comunicazione tra i nodi ed il modo in cui lo scambio di informazioni deve essere effettuato. I nodi Kademlia comunicano tra di loro utilizzando il protocollo di trasporto UDP. Kademlia è usata da molti programmi di file sharing per la sua caratteristica di essere basata su tabelle distribuite su nodi della rete senza server centrali. Su Kademlia possono essere effettuate ricerche per parole chiavi per reperire il file ricercato e il compito di memorizzare 57

70 l'indice dei file esistenti viene diviso paritariamente tra tutti i client. Il nodo che possiede un file che vuole condividere, lo analizza e ne calcola un numero hash che identificherà quel file sulla rete di file sharing. Gli hash e gli ID devono avere la stessa lunghezza. Il nodo ricerca tra tutti gli altri nodi quello che possiede l'id con la minima distanza dall'hash del file, e memorizza il proprio indirizzo IP su quel nodo. Il client che avvia la ricerca userà Kademlia per cercare l'id del client che ha la distanza minima dall'hash del file che sta cercando, quindi recupererà l'elenco dei contatti (cioè gli IP) che sono memorizzati in quel nodo. I contatti memorizzati nella rete sono in continuo cambiamento poiché i nodi si connettono e si disconnettono. Grazie ad una intrinseca ridondanza dell'informazione su Kademlia questi contatti vengono replicati in diversi nodi. Quindi ogni utente avrà all interno del file key_index.dat file indicizzati da tutti gli utenti della rete Kademlia a cui è connesso, e non necessariamente file che ha cercato. Output: Displaying 2418 Keys: File Descriptor Values: File Name: Juan Miguel Aguilera y Javier Redal - Hijos de la eternidad (Akasa Puspa 2).doc File Type: Doc File Size: Unknown Values: Sources: 0 ID: C4 00 3A 00 D8 11 3A Source ID: Lifetime: Displaying 1 Names: Name: Juan Miguel Aguilera y Javier Redal - Hijos de la eternidad (Akasa Puspa 2).doc Popularity Index: 1 Displaying 1 publish_nodeing IPs: IP: Last Published: Fri Jul 20 22:22: Hash ID: File Descriptor Values: File Name: [ ]Discovery Channel - 超 級 動 力 : 輪 船 [e ].mp4 File Type: Video File Size: Unknown Values: Sources: 2 ID: C4 00 3A 00 B8 D0 3A Source ID: Lifetime: : 0D 7D A0 BA A1 C9 4A A6 6F 18 FF 6B A7 CD E7 0E A B0 58

71 Displaying 1 Names: Name: [ ]Discovery Channel - 超 級 動 力 : 輪 船 [e ].mp4 Popularity Index: 2 Displaying 2 publish_nodeing IPs: IP: Last Published: Fri Jul 20 22:57: Hash ID: 0 IP: Last Published: Sat Jul 21 12:25: Hash ID: 0 Quindi possiamo vedere come vengano riportati file di diverso tipo, ordinati secondo un certo indice di popolarità, e con indicati anche gli indirizzi IP degli ultimi nodi che hanno effettuato la ricerca, precisando anche in che ora e data. A ogni file è poi associato anche un identificativo in hash blocks. Known.met Il file known.met raccoglie le informazioni che emule ha sui files che avete in condivisione, che state scaricando o che avete scaricato in passato; per ogni file vengono salvati dimensione, percorso sull'hd, hash e statistiche varie. Grazie a questi dati quando effettuate una ricerca vi compaiono in verde i files già scaricati. Output: File Descriptor Values: File Name: Sting - Englishman in New York.mpg File Size: Last Modified: Fri Jul 20 21:01: Part Descriptor Values: Part Name: 002.part Hash Values: AICH Master Hash: 4D 38 9B 7E 57 FF E E4 3F 48 BC C EB 19 5 SHA 1 AICH Chunk Hashes Belong to 1 Master Hashes: : 4D 38 9B 7E 57 FF E E4 3F 48 BC C EB 19 : 7F 0E 06 AA 77 D6 C C5 EF 03 5F 66 7A EC EE C6 : C2 4A AC 8A AA 8C F8 81 DE C7 9E 0D CC 2A C9 FF : EA CC C 93 BE 85 F9 FA CB 42 AD B7 F6 A7 B4 55 : E EE CE EA 94 A5 53 CC A1 6D 6A B8 0E 1D F3 66 E1 BC : ED 4E BE C2 A0 0C B1 CA 58 B8 0F 6B 90 DE 85 6A 44 3C 0 AICH Block Hashes Belong to 0 Master Hashes: 5 MD4 Part Hashes Belong to 1 Master Hashes: 59

72 : 62 0C 72 BB E4 E4 8F 83 8F B9 B9 A3 F2 B6 : 30 2C CD 91 AA 28 C B DB 9A 4C F : 4B E6 1F DB 0B 7E : C5 C6 B0 B5 C4 E8 7A 89 5C 5E A : F E5 82 4D 3A A0 4F 0B B1 77 0C : 85 5D CA E3 D3 6B DC A A7 61 A9 Priorities: Upload Priority: 1 Time Values: Last Time Seen: Fri Jul 20 20:22: KAD Last Time Source Published: Sat Jul 21 17:08: File Descriptor Values: File Name: The.Beatles.-Yellow.Submarine.mp3 File Size: Last Modified: Sat Jul 14 18:06: Part Descriptor Values: Part Name: 001.part Hash Values: AICH Master Hash: 40 9A 3C C9 B6 3C 38 C2 43 B8 F B C1 5A 0 SHA 1 AICH Chunk Hashes Belong to 1 Master Hashes: : 40 9A 3C C9 B6 3C 38 C2 43 B8 F B C1 5A 0 AICH Block Hashes Belong to 0 Master Hashes: 0 MD4 Part Hashes Belong to 1 Master Hashes: : F3 1B 6C 43 9B 4D 78 B0 A7 AD 6C D4 2C Priorities: Upload Priority: 1 Time Values: Last Time Seen: Sat Jul 14 19:09: KAD Last Time Source Published: Sun Jul 15 00:06: Media Descriptor Values: Media Artist: The Beatles Media Album: The Beatles 1 Media Title: Yellow Submarine Media Length: 166 Media Bitrate: 192 File Descriptor Values: File Name: Nikola Tesla - The Wireless Transmission Of Power.pdf File Size:

73 Last Modified: Fri Jul 20 18:16: Part Descriptor Values: Part Name: 003.part Hash Values: AICH Master Hash: 68 3D B A0 72 0A DF 58 E5 CE 8D 87 B3 FD FD C0 2A 44 0 SHA 1 AICH Chunk Hashes Belong to 1 Master Hashes: : 68 3D B A0 72 0A DF 58 E5 CE 8D 87 B3 FD FD C0 2A 44 0 AICH Block Hashes Belong to 0 Master Hashes: 0 MD4 Part Hashes Belong to 1 Master Hashes: : 88 9C 1A 70 AA F7 F7 6F 53 1D FB ED B Priorities: Upload Priority: 1 Time Values: Last Time Seen: Fri Jul 20 19:16: KAD Last Time Source Published: Sat Jul 21 17:07: Possiamo quindi leggere nome del file, dimensione in byte, ultima modifica e diversi tipi di codifiche hash. Known2_64.met Quando emule ha iniziato a supportare files più grandi di 4 GB (v 0.47a), è "apparso" questo file. Le funzionalità sono le stesse del known2.met usato in precedenza (ora non viene più creato). Memorizza i set di Hash costruiti a partire da vari blocchi di 180kb (raggruppati in una struttura ad albero) che servono per recuperare le parti di file corrotte. Vengono conservati in un file apposito vista la notevole dimensione che può raggiungere. Output: Nel nostro caso non è stato visualizzato nessun output perché non sono stati scaricati file di così grandi dimensioni. Load_index.dat Contiene l'id degli altri client Kademlia contattati e la data dell'ultima volta in cui sono stati visti. Output: Key: 37 AB E4 8C 84 3C 5A 7C C2 B Time: Wed Jul 25 05:42: Key: 4A F5 F1 89 3C CC 13 4D A E7 9F Time: Fri Jul 27 03:03: Key: EA 61 2B 5C D9 11 F AA E1 B8 FF 55 61

74 Time: Mon Jul 23 01:08: Nodes.dat Contiene la lista dei Contatti Kademlia a cui tentare di collegarsi al prossimo riavvio e viene aggiornato quando si chiude emule. Output: Displaying 135 Contacts: ID: 39 9F AB E6 C5 0E F9 A9 3D FA F0 17 F IP Address: UDP Port: TCP Port: Version: 0 UDP Key: UPD IP: Verified: 1 ID: 8F BE B6 E6 7D A0 82 D1 FB 68 8F D5 F4 1F D1 BF IP Address: UDP Port: 4672 TCP Port: 4662 Version: 0 UDP Key: UPD IP: Verified: 1 Server.met Contiene l'elenco dei servers conosciuti. Output: Displaying 7 Servers Name: PEERATES.NET Description: IP Address: Port: 7111 Ping: 219 Failed Count: 0 Preference: 0 Dynamic IP: Max Users: Number of SoftFiles: 9000 Number of HardFiles: 9000 Last Pinged: Sat Jul 21 11:41: Version: UDP Flags: 6139 Number of Low ID Users: UDP Key: UDP Key IP:

75 TCP Port Obfuscation: 7111 UDP Port Obfuscation: 7125 Number of Files: Number of Users: Name: edonkeyserver No2 Description: IP Address: Port: 4242 Ping: 109 Failed Count: 0 Preference: 0 Dynamic IP: Max Users: Number of SoftFiles: 7500 Number of HardFiles: 7500 Last Pinged: Sat Jul 21 11:34: Version: UDP Flags: 6139 Number of Low ID Users: UDP Key: UDP Key IP: TCP Port Obfuscation: 4242 UDP Port Obfuscation: 4256 Number of Files: Number of Users: Src_index.dat Contiene le fonti indicizzate sul network Kademlia. Output: Time Saved: Sat Jul 21 17:36: Key ID: E8 80 4C E3 11 E5 52 7D E B3 D1 FA 25 Source ID: C5 A0 D C2 0E B3 88 E0 D9 6F E7 7F Lifetime: File Descriptor Values: File Size: Network Descriptor Values: Server IP Address: Server Port: 5158 Source Port UDP: 1985 Source Port TCP: 85 Source IP Address: Source Type: 03 Key ID: FB B2 4C E3 0E A CE B 37 6A FF 63 Source ID: 08 0B 4E B3 AE A2 0E C8 A C0 A6 6F DB 8B Lifetime: File Descriptor Values: File Size:

76 Network Descriptor Values: Server IP Address: Server Port: 4672 Source Port UDP: Source Port TCP: Source IP Address: Source Type: 03 StoredSearches.met Dalla versione 0.49a le ricerche aperte vengono salvate in questo file alla chiusura di emule, e ripristinate al successivo riavvio. Output: Displaying 3 Searches: Search ID: Type: 02 Client Shared Files: 0 Special Title: Expression: yellow submarine File Type: Results: 20 Search Files: Search ID: Type: 02 Client Shared Files: 0 Special Title: Expression: englishman new york File Type: Results: 20 Search Files: Search ID: Type: 02 Client Shared Files: 0 Special Title: Expression: nikola tesla File Type: Results: 52 Search Files: Utilizzando questa serie di utility abbiamo quindi potuto vedere come funziona in pratica emule, quali informazioni salva relativamente alle nostre ricerche e ai nostri effettivi download e upload, in che modo siamo collegati ad altri utenti, i nodi che abbiamo intorno, e cosa possiamo scoprire su di loro visualizzando quelle che sono le loro ricerche. Analogamente a quanto visto per Dropbox Reader quindi possiamo focalizzare le nostre analisi, alla ricerca di particolari informazioni. Se ci interessa avere dei dati sui server a cui ci connettiamo useremo ParseServer, se vogliamo conoscere i nodi della nostra rete invece ParseNodes, e così via. 64

77 4.7 ANALISI CON P2P MARSHAL TM Un altro strumento utile per l analisi di emule è il software P2P Marshal, creato anch esso dalla ATC-NY, e usato per analizzare automaticamente l uso di software peer-to-peer (P2P) su un dispositivo. Questa utility è in grado di rilevare quail client P2P sono presenti sull hardware analizzato per analizzarne le informazioni di configurazione, quelle di log, e mostrare quail file sono stati condivisi sia in download che in upload. Nel nostro caso ci siamo concentrati soltanto su emule, ma il programma è in grado di rilevare prove da utorrent, BearShare, LimeWire e simili. Questo software è usato correntemente dalle forze dell ordine americane dell FBI e ci è stato fornito gentilmente in una versione di prova della durata di un mese dagli stessi responsabili della ATC-NY a fini di studio. Il programma presenta un interfaccia semplice e intuitiva di estrema facilità d uso, e permette di stampare un report dei risultati in pochi secondi. Come le utility viste in precedenza utilizza i file di configurazione analizzati in precedenza per ricavare le informazioni, quindi i risultati sono analoghi a quanto ricavato prima. Nel nostro caso abbiamo ottenuto un report di 79 pagine, legalmente valido, ovvero presentabile in sede dibattimentale e con valore probatorio, e si presenta così: Filip Kragulj University of Genoa Electronic Engeneering emule1 Report Generated On: 30-lug Generated By: P2P Marshal (released on December 13, 2010) Forensic Edition Registered to: Filip Kragulj (University of Genoa) 65

78 Serial number: This license expires on: 26-ago Acquisition Name: emule1 Case Number: 1 Investigator: Filip Kragulj Acquisition Created On: Mon Jul 30 21:14:10 CEST 2012 Il file presenta successivamente i dati riguardanti il client di cui si è voluto generare il report: emule Version: 0.50 a Path: Program Files (x86)\emule Install status: Partial/not validated Time found: 30-lug Users - All - FilipK Installation Artifacts - Directory "Program Files (x86)\emule" found - File "Program Files (x86)\emule\emule.exe" (ver. 0.50a) found, md5 match - Directory "Users\FilipK\AppData\Roaming\eMule" found Shared/Downloaded Files E altri file, qui abbiamo solo voluto riportare un esempio. Vengono poi riportati tutti i peers individuati della rete, in questo modo: Peers 66

79 Viene quindi indicato l indirizzo IP, la porta TCP/UDP e il tipo di nodo, cioè se è un nodo effettivo delle rete o se è solo di bootstrap, cioè per il reindirizzamento. Tutti i peers sono ordinati per indirizzo IP. Vengono poi riportate le log entries, anche se nel nostro caso questo campo risulta vuoto perché non ci sono log memorizzati, cioè non è presente nessuna comunicazione esplicita fra noi e altri utenti. Successivamente troviamo le ricerche effettuate, quindi tutti i file risultati dalle ricerche stesse, ordinate per parole chiave inserite per la ricerca: Searches Come possiamo notare ad ogni file fra i risultati di ricerca è anche associato l indirizzo IP dell host che ci fornirebbe il file, la dimensione del file, e l utente che ha eseguito la ricerca. Troviamo poi l audit log dell acquisizione, cioè un report che il software genera automaticamente ad ogni acquisizione, in cui vengono riportate tutte le azioni compiute dal software ed eventuali errori riscontrati: Acquisition Audit Log [ T21:14: :00] META: Creating new acquisition using P2P Marshal operated by user FilipK on host FilipK-Timeline running Windows [ T21:14: :00] DATA_ACQUIRE: Performed discovery, saved to C:\Users\FilipK\emule1\clientsfound.xml; size=69752, MD5 hash=0eaa5c21a ceb736e80c03, SHA-1 hash=24cd35f a9029c628ad3bb381e85cf1c [command: "C:\Program Files (x86)\p2p Marshal 3.1.0\plugins\com.atc_nycorp.filemarshal.ui.win32_ \ctools\findp2p.exe" --discover--status "--config=c:\program Files (x86)\p2p Marshal 3.1.0\plugins\com.atc_nycorp.filemarshal.module.emule_ \fmacquire_config.xml" "--config=c:\program Files (x86)\p2p Marshal E qui si conclude il report eseguito da P2P Marshal. Come abbiamo potuto notare le informazioni fornite dal programma sono numerose, e ci permettono di scoprire tutta la storia delle ricerche effettuate su un particolare dispositivo da tutti gli utenti che ne hanno accesso, associando quindi ad ognuno di loro i risultati e 67

80 rintracciare eventualmente l host che ha fornito un particolare file. Abbiamo quindi diverse informazioni su tutta la rete presa in analisi. Inoltre tutte le informazioni visualizzate nel report possono essere rintracciate all interno del programma con apposite finestre che consentono la ricerca di particolari file scaricati, delle ricerche effettuate, dei log salvati, specificando anche dei valori avanzati di ricerca, come dati temporali, parole contenute, utenti specifici e client da considerare, permettendo di salvare un report a parte per ogni singolo risultato. Se siamo interessati quindi ad avere un insieme delle informazioni andremo ad utilizzare questo software che ci da una panoramica dei dati ricavabili. Per poter rendere legalmente valido il report salvato ne viene anche eseguita una codifica hash sia in MD5 che in SHA-1, in modo che qualsiasi modifica a questa prova sia riscontrabile. 68

81 4.8 ANALISI CON NETWITNESS INVESTIGATOR TM Ora come per Dropbox andremo a visualizzare il traffico di rete analizzato durante una sessione di emule, per poi rappresentare i risultati sulla mappa di Google Earth. Qui possiamo vedere un grafico temporale del traffico riscontrato e i dati associati: Come possiamo vedere gli indirizzi IP coinvolti, se consideriamo poi che l analisi corrisponde a soli 10 minuti di analisi. Si è voluto infatti dimostrare come sia grande il numero di nodi coinvolti nel download di pochi file in poco tempo. Questo diventa ancora più evidente se osserviamo che gli stati di appartenenza dei nodi sono numerosissimi, cosa ancora più impressionante se visualizzata sulla mappa del globo terrestre: 69

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13 Architectural & Engineering Software L INGEGNERE NELLE NUVOLE App, WEB App e Cloud ing. Sauro Agostini Mitterand 1981 Reagan Battaglin Alice IBM PC 5150 Alonso C ERA UNA VOLTA IL DOS Non è una rivoluzione,

Dettagli

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48 ANALISI FORENSE irecovery_analisi_forence.indd 1 21/01/14 17:48 COSA è L informatica forense è la scienza che studia l individuazione, la conservazione, la protezione, l estrazione, la documentazione,

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

CLOUD COMPUTING. Che cos è il Cloud

CLOUD COMPUTING. Che cos è il Cloud CLOUD COMPUTING Che cos è il Cloud Durante la rivoluzione industriale, le imprese che si affacciavano per la prima volta alla produzione dovevano costruirsi in casa l energia che, generata da grandi macchine

Dettagli

Dall acquisizione del materiale alla formazione della prova informatica

Dall acquisizione del materiale alla formazione della prova informatica Dall acquisizione del materiale alla formazione della prova informatica Cosimo Anglano Centro Studi sulla Criminalita Informatica & Dipartimento di Informatica Universita del Piemonte Orientale, Alessandria

Dettagli

Vs Suite di Encryption

Vs Suite di Encryption Vs Suite di Encryption Introduzione Data at Rest Con il termine Data at Rest si intende qualsiasi tipo di dato, memorizzato in forma di documento elettronico (fogli di calcolo, documenti di testo, ecc.

Dettagli

DI NECESSITÀ, VIRTÙ : APPUNTI PER UNA STRATEGIA GLOBALE AL CONTRASTO DEL CYBERCRIME. L ESPERIENZA DEL POOL REATI INFORMATICI DELLA PROCURA DI MILANO

DI NECESSITÀ, VIRTÙ : APPUNTI PER UNA STRATEGIA GLOBALE AL CONTRASTO DEL CYBERCRIME. L ESPERIENZA DEL POOL REATI INFORMATICI DELLA PROCURA DI MILANO MESSAGGIO DEL PRESIDENTE DI IISFA ITALIA...XIII INTRODUZIONE... XVII CAPITOLO PRIMO DI NECESSITÀ, VIRTÙ : APPUNTI PER UNA STRATEGIA GLOBALE AL CONTRASTO DEL CYBERCRIME. L ESPERIENZA DEL POOL REATI INFORMATICI

Dettagli

La web mail. Che cos è una web mail e come vi si accede Le web mail sono interfacce su

La web mail. Che cos è una web mail e come vi si accede Le web mail sono interfacce su La web mail Chi ha aperto un indirizzo e-mail personale qualche anno fa, quasi sicuramente l avrà gestito tramite programmi come Outlook Express, Microsoft Outlook o Mozilla Thunderbird. Questi software

Dettagli

Il protocollo FTP (1/3)

Il protocollo FTP (1/3) FTP Server e Client Il protocollo FTP (1/3) Il File Transfer Protocol (FTP) (protocollo di trasferimento file), è un Protocollo per la trasmissione di dati tra host basato su TCP. Un server FTP offre svariate

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

IL PRIVATE CLOUD DELLA FRIENDS' POWER

IL PRIVATE CLOUD DELLA FRIENDS' POWER IL PRIVATE CLOUD DELLA FRIENDS' POWER Evoluzione al Cloud Computing Condivisione dei lavori Integrazione con Android & iphone Cos è il Cloud: le forme e i vantaggi Durante la rivoluzione industriale, le

Dettagli

Gartner Group definisce il Cloud

Gartner Group definisce il Cloud Cloud Computing Gartner Group definisce il Cloud o Cloud Computing is a style of computing in which elastic and scalable information technology - enabled capabilities are delivered as a Service. Gartner

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Come risolvere una volta per tutte il problema della condivisione mobile dei file

Come risolvere una volta per tutte il problema della condivisione mobile dei file White paper Servizi per file e networking Come risolvere una volta per tutte il problema della condivisione mobile dei file A chi dovreste affidare i beni aziendali? L accesso e la condivisione dei file

Dettagli

IBM iseries Soluzioni integrate per xseries

IBM iseries Soluzioni integrate per xseries Soluzioni innovative per l integrazione dei server Intel IBM iseries Soluzioni integrate per xseries La famiglia iseries, il cui modello più recente è l _` i5, offre due soluzioni che forniscono alternative

Dettagli

COMPUTER FORENSICS ELEMENTI BASE E METODOLOGIA DI INVESTIGAZIONE DIGITALE. Roberto Obialero GCFA, GCFW, SSP-GHD

COMPUTER FORENSICS ELEMENTI BASE E METODOLOGIA DI INVESTIGAZIONE DIGITALE. Roberto Obialero GCFA, GCFW, SSP-GHD COMPUTER FORENSICS ELEMENTI BASE E METODOLOGIA DI INVESTIGAZIONE DIGITALE Roberto Obialero GCFA, GCFW, SSP-GHD 1 SANS Institute Sysadmin, Audit, Network & Security Organizzazione americana fondata nel

Dettagli

Scopri il nuovo Office

Scopri il nuovo Office Scopri il nuovo Office Sommario Scopri il nuovo Office... 4 Scegli la versione di Office più adatta a te...9 Confronta le versioni...14 Domande frequenti...16 Applicazioni di Office: Novità...19 3 Scopri

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY COMPUTER FORENSICS WORKSHOP NETWORK FORENSICS WORKSHOP ROMA 13-15 GIUGNO 2011 ROMA 16-17 GIUGNO 2011

LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY COMPUTER FORENSICS WORKSHOP NETWORK FORENSICS WORKSHOP ROMA 13-15 GIUGNO 2011 ROMA 16-17 GIUGNO 2011 LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY COMPUTER FORENSICS NETWORK FORENSICS ROMA 13-15 GIUGNO 2011 ROMA 16-17 GIUGNO 2011 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Guida rapida a Laplink Everywhere 4

Guida rapida a Laplink Everywhere 4 Guida rapida a Laplink Everywhere 4 081005 Come contattare Laplink Software Per sottoporre domande o problemi di carattere tecnico, visitare il sito: www.laplink.com/it/support/individual.asp Per altre

Dettagli

EOGHAN CASEY DARIO FORTE

EOGHAN CASEY DARIO FORTE LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY DARIO FORTE NETWORK INVESTIGATIONS ROMA 18-20 DICEMBRE 2006 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it www.technologytransfer.it

Dettagli

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10 Soluzioni software di EDM "Electronic Document Management" Gestione dell archiviazione, indicizzazione, consultazione e modifica dei documenti elettronici. Un approccio innovativo basato su tecnologie

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Sicurezza dei dati e dell informazione all epoca del cloud: gli aspetti pratici

Sicurezza dei dati e dell informazione all epoca del cloud: gli aspetti pratici Sicurezza dei dati e dell informazione all epoca del cloud: gli aspetti pratici Avv. Daniele Vecchi Studio Gianni, Origoni, Grippo, Cappelli & Partners Il Cloud Computing «Cloud computing: modello per

Dettagli

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l IL CLOUD COMPUTING Salvatore Giannetto Presidente Salvix S.r.l Agenda. - Introduzione generale : il cloud computing Presentazione e definizione del cloud computing, che cos è il cloud computing, cosa serve

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Linux Day 2009 24/10/09. Cloud Computing. Diego Feruglio

Linux Day 2009 24/10/09. Cloud Computing. Diego Feruglio Linux Day 2009 24/10/09 Cloud Computing Diego Feruglio Cos è il Cloud Computing? An emerging computing paradigm where data and services reside in massively scalable data centers and can be ubiquitously

Dettagli

LE 10 TECNOLOGIE STRATEGICHE PER IL 2008

LE 10 TECNOLOGIE STRATEGICHE PER IL 2008 http://www.sinedi.com ARTICOLO 18 DICEMBRE 2007 LE 10 TECNOLOGIE STRATEGICHE PER IL 2008 Come ogni anno, Gartner, la società americana di ricerche e d informazione sulle tecnologie, ha identificato dieci

Dettagli

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi

Dettagli

Sommario. 1. Cos è SecureDrive... 3. 1.1. Caratteristiche... 3. 1.1.1. Privacy dei dati: SecureVault... 4

Sommario. 1. Cos è SecureDrive... 3. 1.1. Caratteristiche... 3. 1.1.1. Privacy dei dati: SecureVault... 4 Allegato Tecnico Pagina 2 di 7 Marzo 2015 Sommario 1. Cos è... 3 1.1. Caratteristiche... 3 1.1.1. Privacy dei dati: SecureVault... 4 1.1.1.1. Funzione di Recupero del Codice di Cifratura... 4 1.1.2. Sicurezza

Dettagli

Gestione del database Gidas

Gestione del database Gidas Gestione del database Gidas Manuale utente Aggiornamento 20/06/2013 Cod. SWUM_00535_it Sommario 1. Introduzione... 3 2. Requisiti e creazione del Database Gidas... 3 2.1.1. SQL Server... 3 2.1.2. Requisiti

Dettagli

Cloud Computing....una scelta migliore. ICT Information & Communication Technology

Cloud Computing....una scelta migliore. ICT Information & Communication Technology Cloud Computing...una scelta migliore Communication Technology Che cos è il cloud computing Tutti parlano del cloud. Ma cosa si intende con questo termine? Le applicazioni aziendali stanno passando al

Dettagli

Arma dei Carabinieri Raggruppamento CC Investigazioni Scientifiche Reparto Tecnologie Informatiche

Arma dei Carabinieri Raggruppamento CC Investigazioni Scientifiche Reparto Tecnologie Informatiche Arma dei Carabinieri Raggruppamento CC Investigazioni Scientifiche Reparto Tecnologie Informatiche LA SICUREZZA CHE VERRA : scenari futuri e tecnologie emergenti Conferenza Roma, 28 giugno 2012 Sala Conferenze

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Il Sistema Operativo Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela Fogli Cos

Dettagli

MIGLIORI SITI CLOUD. Amazon Cloud Drive

MIGLIORI SITI CLOUD. Amazon Cloud Drive MIGLIORI SITI CLOUD Tra le varie opzioni consigliato allora in maniera particolare SugarSync e per spazio anche Microsoft SkyDrive ( 25 Gb ), oltre naturalmente Dropbox Amazon Cloud Drive Il popolare servizio

Dettagli

IT ARCHITECTURE: COME PREPARARSI AL CLOUD

IT ARCHITECTURE: COME PREPARARSI AL CLOUD IT ARCHITECTURE: COME PREPARARSI AL CLOUD Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n. 1 - ICT Commoditization

Dettagli

Manuale utente. ver 1.0 del 31/10/2011

Manuale utente. ver 1.0 del 31/10/2011 Manuale utente ver 1.0 del 31/10/2011 Sommario 1. Il Servizio... 2 2. Requisiti minimi... 2 3. L architettura... 2 4. Creazione del profilo... 3 5. Aggiunta di un nuovo dispositivo... 3 5.1. Installazione

Dettagli

NOTE DI RILASCIO. Note di rilascio P/N 302-001-430 REV 01. EMC GeoDrive for Windows Versione 1.3. 17 ottobre 2014

NOTE DI RILASCIO. Note di rilascio P/N 302-001-430 REV 01. EMC GeoDrive for Windows Versione 1.3. 17 ottobre 2014 NOTE DI RILASCIO EMC GeoDrive for Windows Versione 1.3 Note di rilascio P/N 302-001-430 REV 01 17 ottobre 2014 Queste Note di rilascio contengono ulteriori informazioni su questa versione di GeoDrive.

Dettagli

Un approccio professionale all accesso e alla condivisione dei file in mobilità

Un approccio professionale all accesso e alla condivisione dei file in mobilità White paper Filr Un approccio professionale all accesso e alla condivisione dei file in mobilità Sommario pagina Accesso ai file da qualsiasi luogo e qualunque dispositivo, con il pieno controllo dell

Dettagli

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

Una rassegna dei sistemi operativi per il Cloud Computing

Una rassegna dei sistemi operativi per il Cloud Computing Alma Mater Studiorum Università di Bologna SCUOLA DI SCIENZE Corso di Laurea in Informatica Una rassegna dei sistemi operativi per il Cloud Computing Tesi di Laurea in Reti di Calcolatori Relatore: Chiar.mo

Dettagli

INDICE. Parte Prima IL GIURISTA HACKER

INDICE. Parte Prima IL GIURISTA HACKER INDICE Parte Prima IL GIURISTA HACKER Capitolo I IL PERCORSO VERSO LA CONOSCENZA 1.1. Sulla diffusione, e sul significato, del termine hacker...... 3 1.2. Una definizione di hacking e alcuni aspetti interessanti....

Dettagli

Manuale LiveBox APPLICAZIONE ANDROID. http://www.liveboxcloud.com

Manuale LiveBox APPLICAZIONE ANDROID. http://www.liveboxcloud.com 2014 Manuale LiveBox APPLICAZIONE ANDROID http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia

Dettagli

Istruzioni di installazione di IBM SPSS Modeler Server 15per Windows

Istruzioni di installazione di IBM SPSS Modeler Server 15per Windows Istruzioni di installazione di IBM SPSS Modeler Server 15per Windows IBM SPSS Modeler Server può essere installato e configurato per l esecuzione in modalità di analisi distribuita insieme ad altre installazioni

Dettagli

IDENTITY AS A SERVICE

IDENTITY AS A SERVICE IDENTITY AS A SERVICE Identità digitale e sicurezza nell impresa Riccardo Paterna SUPSI, 18 SETTEMBRE 2013 LA MIA IDENTITA DIGITALE La mia identità: Riccardo Paterna Riccardo Paterna Solution Architect

Dettagli

Introduzione...xv. I cambiamenti e le novità della quinta edizione...xix. Ringraziamenti...xxi. Condivisione delle risorse con Samba...

Introduzione...xv. I cambiamenti e le novità della quinta edizione...xix. Ringraziamenti...xxi. Condivisione delle risorse con Samba... Indice generale Introduzione...xv I cambiamenti e le novità della quinta edizione...xix Ringraziamenti...xxi Capitolo 1 Capitolo 2 Condivisione delle risorse con Samba...1 Reti Windows... 2 Struttura base

Dettagli

Classificazione del software

Classificazione del software Classificazione del software Classificazione dei software Sulla base del loro utilizzo, i programmi si distinguono in: SOFTWARE Sistema operativo Software applicativo Sistema operativo: una definizione

Dettagli

Università degli Studi di Genova. Corso di Laurea in Ingegneria Elettronica

Università degli Studi di Genova. Corso di Laurea in Ingegneria Elettronica Università degli Studi di Genova Corso di Laurea in Ingegneria Elettronica Relatore Chiar.mo Prof. Paolo Gastaldo Correlatore Dott. Ing. Fabio Sangiacomo Allievo Filip Kragulj 1 Obiettivi e Motivazioni

Dettagli

Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale di intrusione abusiva M. ZANOVELLO

Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale di intrusione abusiva M. ZANOVELLO Soluzioni e sicurezza per applicazioni mobile e payments Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale di intrusione abusiva MARCO ZANOVELLO Venezia, 27 settembre 2013 1 Metodi

Dettagli

Iniziamo ad utilizzare LiveBox ITALIANO. http://www.liveboxcloud.com

Iniziamo ad utilizzare LiveBox ITALIANO. http://www.liveboxcloud.com 2015 Iniziamo ad utilizzare LiveBox ITALIANO http://www.liveboxcloud.com Iniziamo ad utilizzare LiveBox LiveBox è un software di private cloud che permette di memorizzare, condividere e modificare i documenti

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

Come funzione la cifratura dell endpoint

Come funzione la cifratura dell endpoint White Paper: Come funzione la cifratura dell endpoint Come funzione la cifratura dell endpoint Chi dovrebbe leggere questo documento Amministratori della sicurezza e IT Sommario Introduzione alla cifratura

Dettagli

Il recupero delle informazioni cancellate o nascoste

Il recupero delle informazioni cancellate o nascoste Il recupero delle informazioni cancellate o nascoste Avv. Edoardo E. Artese Dott. Fabio P. Prolo STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milano info@fa-lex.com IL RECUPERO DEI FILE CANCELLATI Perché

Dettagli

Strutture dei Sistemi Operativi

Strutture dei Sistemi Operativi Strutture dei Sistemi Operativi Componenti di sistema Servizi del sistema operativo Chiamate di sistema Programmi di sistema Struttura del sistema Macchine virtuali Progetto e implementazione di sistemi

Dettagli

Guida all installazione di METODO

Guida all installazione di METODO Guida all installazione di METODO In questo documento sono riportate, nell ordine, tutte le operazioni da seguire per una corretta installazione di Metodo. Per procedere con l installazione è necessario

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security A Brave Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro Febbraio 2011 Dave Asprey, VP Cloud Security I. CHI DETIENE LA SICUREZZA IN-THE-CLOUD? Il cloud computing è la parola più

Dettagli

Indice generale. Introduzione...xiii. Perché la virtualizzazione...1. Virtualizzazione del desktop: VirtualBox e Player...27

Indice generale. Introduzione...xiii. Perché la virtualizzazione...1. Virtualizzazione del desktop: VirtualBox e Player...27 Indice generale Introduzione...xiii A chi è destinato questo libro... xiii Struttura del libro...xiv Capitolo 1 Capitolo 2 Perché la virtualizzazione...1 Il sistema operativo... 1 Caratteristiche generali

Dettagli

Articolo di spiegazione FileMaker Replica di un ambiente di autenticazione esterna per lo sviluppo

Articolo di spiegazione FileMaker Replica di un ambiente di autenticazione esterna per lo sviluppo Articolo di spiegazione FileMaker Replica di un ambiente di autenticazione esterna per lo sviluppo Pagina 1 Replica di un ambiente di autenticazione esterna per lo sviluppo La sfida Replicare un ambiente

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

Manuale LiveBox CLIENT DESKTOP (WINDOWS)

Manuale LiveBox CLIENT DESKTOP (WINDOWS) 2014 Manuale LiveBox CLIENT DESKTOP (WINDOWS) LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Manuale LiveBox WEB UTENTE. http://www.liveboxcloud.com

Manuale LiveBox WEB UTENTE. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB UTENTE http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

Virtualizzazione e Cloud Computing

Virtualizzazione e Cloud Computing Virtualizzazione e Cloud Computing 12 marzo 2015 Claudio Bizzarri claudio@bizzarri.net Ordine degli Ingegneri di Pistoia La virtualizzazione Macchine reali e macchine virtuali Vantaggi della virtualizzazione

Dettagli

IT FORENSICS corso di perfezionamento

IT FORENSICS corso di perfezionamento IT FORENSICS corso di perfezionamento Lecce, ottobre-dicembre 2013 www.forensicsgroup.it FIGURA PROFESSIONALE CHE SI INTENDE FORMARE L Esperto di IT Forensics è un consulente altamente specializzato nella

Dettagli

Funzioni principali di Dropbox

Funzioni principali di Dropbox ICT Rete Lecco Generazione Web - Progetto FARO Dropbox "Un luogo per tutti i tuoi file, ovunque ti trovi" Dropbox è il servizio di cloud storage più popolare, uno tra i primi a fare la sua comparsa nel

Dettagli

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL STRUTTURA DEI SISTEMI OPERATIVI 3.1 Struttura dei Componenti Servizi di un sistema operativo System Call Programmi di sistema Struttura del sistema operativo Macchine virtuali Progettazione e Realizzazione

Dettagli

Intesa Spa Ottobre 2015

Intesa Spa Ottobre 2015 Intesa Spa Ottobre 2015 INDICE DEI CONTENUTI 3 6 7 8 9 BUSINESS E TECHNICAL DRIVER ENVIRONMENT DI RIFERIMENTO 10 TECHNICAL FEATURES - intesabox 11 COMPETITION 12 BENEFICI DELLA SOLUZIONE 13 VALUE PROPOSITION

Dettagli

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com File Sharing & LiveBox WHITE PAPER http://www.liveboxcloud.com 1. File Sharing: Definizione Per File Sync and Share (FSS), s intende un software in grado di archiviare i propri contenuti all interno di

Dettagli

EFFICIENZA E RIDUZIONE DEI COSTTI

EFFICIENZA E RIDUZIONE DEI COSTTI SCHEDA PRODOTTO TiOne Technology srl Via F. Rosselli, 27 Tel. 081-0108029 Startup innovativa Qualiano (NA), 80019 Fax 081-0107180 www.t1srl.it www.docincloud.it email: info@docincloud.it DocinCloud è la

Dettagli

ANTIFORENSICS Falso Alibi digitale

ANTIFORENSICS Falso Alibi digitale ANTIFORENSICS Falso Alibi digitale Forensic meeting Roma 11 settembre 2013 Milano 12 Settembre 2013 Marco Mella Marco Mella (ISC)² CISSP (Certified Information Systems Security Professional ) SANS CGIH

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

DIVISIONE DIGITAL & MOBILE FORENSICS. www.pp-analisiforense.it

DIVISIONE DIGITAL & MOBILE FORENSICS. www.pp-analisiforense.it DIVISIONE DIGITAL & MOBILE FORENSICS www.pp-analisiforense.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Digital & Mobile Forensics www.pp-analisiforense.it

Dettagli

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n.

Dettagli

Manuale LiveBox CLIENT DESKTOP (WINDOWS)

Manuale LiveBox CLIENT DESKTOP (WINDOWS) 2015 Manuale LiveBox CLIENT DESKTOP (WINDOWS) LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di

Dettagli

Atollo Backup Standard

Atollo Backup Standard Atollo Backup Standard (backup affidabile in Cloud e gestibile con pochi click) Il backup in Cloud è un servizio che consente il salvataggio dei dati aziendali o personali in un server remoto con il rispetto

Dettagli

Samsung Auto Backup FAQ

Samsung Auto Backup FAQ Samsung Auto Backup FAQ Installazione D: Ho effettuato il collegamento con l Hard Disk esterno Samsung ma non è successo nulla. R: Controllare il collegamento cavo USB. Se l Hard Disk esterno Samsung è

Dettagli

Corso in Computer Digital Forensics (Esperto in Investigazioni Digitali) Certificazione EC- Council inclusa!

Corso in Computer Digital Forensics (Esperto in Investigazioni Digitali) Certificazione EC- Council inclusa! Corso in Computer Digital Forensics (Esperto in Investigazioni Digitali) Certificazione EC- Council inclusa! http://www.eccouncil.org/certification/computer_hacking_forensic_investigator.aspx (Computer

Dettagli

Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012

Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012 Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012 Post mortem (Dopo lo spegnimento del sistema) Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione Live forensics (Direttamente

Dettagli

K-Archive. Conservazione Sostitutiva

K-Archive. Conservazione Sostitutiva K-Archive per la Conservazione Sostitutiva Descrizione Prodotto Per informazioni: MKT Srl Corso Sempione 33-20145 Milano Tel: 02-33104666 FAX: 20-70039081 Sito: www.mkt.it Email: ufficio@mkt.it Copyright

Dettagli

Sommario. Che cos'è Data Space Easy ONE? 1. Vai OVUNQUE 2. Facile condivisione 3. Sempre al sicuro 4. Solo 4 passi per iniziare 5

Sommario. Che cos'è Data Space Easy ONE? 1. Vai OVUNQUE 2. Facile condivisione 3. Sempre al sicuro 4. Solo 4 passi per iniziare 5 Sommario Che cos'è Data Space Easy ONE? 1 Vai OVUNQUE 2 Facile condivisione 3 Sempre al sicuro 4 Solo 4 passi per iniziare 5 Il tour di Data Space Easy ONE Che cos è Data Space Easy ONE? "Uno spazio disco

Dettagli

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router Rete di reti (interrete, internet) 2 Prof. Roberto De Prisco TEORIA - Lezione 8 Rete di reti e Internet Università degli studi di Salerno Laurea e Diploma in Informatica Una rete di comunicazione è un

Dettagli

LE RETI: STRUMENTO AZIENDALE

LE RETI: STRUMENTO AZIENDALE LE RETI: STRUMENTO AZIENDALE INDICE -Introduzione -La rete e i principali tipi di rete -La rete delle reti: Internet -Evoluzione tecnologica di internet: cloud computing -Vantaggi della cloud all interno

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Sistemi Operativi Francesco Fontanella La Complessità del Hardware Il modello di Von Neumann è uno schema di principio. Attualmente in commercio esistono:

Dettagli

Telecom Italia SpA. Telecom Italia Trust Technologies S.r.l. REGISTRO DELLE MODIFICHE REVISIONE DESCRIZIONE EMISSIONE

Telecom Italia SpA. Telecom Italia Trust Technologies S.r.l. REGISTRO DELLE MODIFICHE REVISIONE DESCRIZIONE EMISSIONE TITOLO DOCUMENTO: Evoluzione Piattaforma Conservazione a TIPO DOCUMENTO: Manuale Utente EMESSO DA: Telecom Italia Trust Technologies S.r.l. DATA EMISSIONE N. ALLEGATI: STATO: 06/08/2014 0 REDATTO: VERIFICATO:

Dettagli

CAPITOLO 1 I SISTEMI OPERATIVI

CAPITOLO 1 I SISTEMI OPERATIVI CAPITOLO 1 I SISTEMI OPERATIVI Introduzione ai sistemi operativi pag. 3 La shell pag. 3 Tipi di sistemi operativi pag. 4 I servizi del sistema operativo pag. 4 La gestione dei file e il file system Il

Dettagli

Innanzitutto andiamo sul sito http://www.dropbox.com/ ed eseguiamo il download del programma cliccando su Download Dropbox.

Innanzitutto andiamo sul sito http://www.dropbox.com/ ed eseguiamo il download del programma cliccando su Download Dropbox. Oggi parlerò di qualcosa che ha a che fare relativamente con la tecnica fotografica, ma che ci può dare una mano nella gestione dei nostri archivi digitali, soprattutto nel rapporto professionale con altre

Dettagli

Manuale LiveBox APPLICAZIONE IOS. http://www.liveboxcloud.com

Manuale LiveBox APPLICAZIONE IOS. http://www.liveboxcloud.com 2014 Manuale LiveBox APPLICAZIONE IOS http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa

Dettagli

Sistema Operativo Compilatore

Sistema Operativo Compilatore MASTER Information Technology Excellence Road (I.T.E.R.) Sistema Operativo Compilatore Maurizio Palesi Salvatore Serrano Master ITER Informatica di Base Maurizio Palesi, Salvatore Serrano 1 Il Sistema

Dettagli

Corso base Percorso 2

Corso base Percorso 2 Rete Scuola Digitale Veneta Piano Regionale di Formazione Scuola Digitale Veneto Corso base Percorso 2 Lavorare con dispositivi personali destinati ad essere usati dai singoli partecipanti al processo

Dettagli

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C. Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori

Dettagli