Case study e tecniche di intervento nello spionaggio industriale Stefano Fratepietro e Litiano Piccin
Argomenti trattati Introduzione 007 case study Presentazione DEFT Linux v4
Spionaggio industriale - I Attività clandestina tesa ad acquisire informazioni di carattere riservato relative ai segreti tecnici ed economici dell azienda
Spionaggio industriale - II Modus operandi Assunzione della spia all interno dell azienda con lo scopo di rubare informazioni Tradimento del dipendente a seguito di una offerta economica con consueta assunzione all interno dell azienda concorrente Frustrazione del dipendente
Statistiche Tradimento Intrusione di specialista
Statistiche Tradimento Intrusione di specialista
Difendersi dopo l accaduto Capire esattamente cosa è realmente successo Chiamare un avvocato specializzato Ricostruire le operazioni effettuate dal dipendente per dimostrare quanto accaduto in ambito dibattimentale grazie all ausilio di un CTP esperto in materia Non prendere iniziative pratico informatiche onde evitare di sporcare le tracce presenti
Le fasi Individuazione degli oggetti informatici coinvolti Acquisizione dei dati Conservazione Analisi dei sistemi acquisiti
007 case study
Scenario All interno di una azienda si sospetta il possesso di un documento informatico confidenziale da parte di un dipendente non autorizzato. Tale documento risiede su un SERVER di rete il cui accesso all utente è vietato L utente ha a disposizione una propria postazione di lavoro con un accesso non amministrativo
Quesito Si dimostri che l utente ha volutamente trafugato un documento di proprietà dell azienda
Passi di analisi Individuazione del documento (o tracce di esso) nella postazione usata dall indagato Provenienza del documento Il documento è stato portato all esterno del perimetro aziendale?
Strumenti utilizzati Un portatile Un write blocker DEFT Linux v3 X Way Forensics
Acquisizione dei dati I Collego tutti i sistemi utilizzati per l acquisizione ad un gruppo di continuità Collego la memoria da acquisire solo su dispositivi che accedono in sola lettura (write blocker o sistemi read only)
Acquisizione dei dati II Utilizzo di un write blocker
Acquisizione dei dati III Calcolo l hash del device in modo tale da garantire, a seguito di successivi controlli, la mantenuta inalterabilità del device Usiamo dhash per calcolare il doppio hash del device (sha1 ed md5)
Acquisizione dei dati IV Acquisiamo, tramite l uso di dcfldd, i dati contenuti nel device dal primo all ultimo settore e successivo salvataggio in un file.dd Viene utilizzato dcfldd perchè durante l acquisizione calcola l hash del file di copia del device Verifico gli hash per avere la conferma che l operazione di copia sia andata a buon fine dcfldd if=/dev/sda of=/device01.dd hash=sha1
Analisi della copia Individuo il file cercato Se trovato, ne individuo le tracce lasciate Ricostruisco le operazioni compiute
Tracce I File system
Tracce II Registry
Tracce III Registry
Ricostruire le operazioni compiute I Share del server
Ricostruire le operazioni compiute II Event viewer del server
Ricostruire le operazioni compiute III Event viewer del server
Ricostruire le operazioni compiute IV Il documento è stato portato all esterno del perimetro aziendale? Suggerimento: l utente non è amministratore della postazione
Ricostruire le operazioni compiute V Registry
Ricostruire le operazioni compiute VI Registry
Ricostruire le operazioni compiute VII Registry
Ricostruire le operazioni compiute VIII
Ricostruire le operazioni compiute IX
DEFT - Team Stefano Fratepietro - DEFT project manager Andrea Ghirardini - DeeeFT project manager Massimiliano Dal Cero - Sviluppatore Michele Ferrazzano - Sviluppatore Litiano Piccin - Tester Davide Gabrini - Tester Alessandro Rossetti - Translator e tester
Diamo i numeri 70.000 52.500 35.000 17.500 0 2005 2006 2007 2008
DEFT people Aziende Gov Investigatori Università
DEFT people Aziende Gov Investigatori Università
DEFT v4 - Caratteristiche I Basato su Xubuntu 8.10 Kernel 2.6.27 Dhash 1.1 Xplico 0.6 Sleuthkit 3.0 Windows side application
DEFT v4 - Caratteristiche II Molto più performante di tutte le attuali distribuzioni dedicate alla Computer Forensics 70 MB in memoria in modalità grafica, meno di 30MB in modalità testuale Compatibile per tutte le architetture x86, compresi i Mac di Apple
DEFT v4 - le novità Guymager dc3dd Linen Ftk imager (Windows side) Supporto ad LVM AFS
Dhash 1.1 Possibilità di calcolare md5 and sha1 contemporaneamente Stima temporale del termine dell attività Più veloce del 15% / 25% rispetto agli altri software per il calcolo degli hash Interfaccia grafica facile ed intuitiva Generazione di un log al termine dell operazione
Xplico 0.6 - I Xplico è il futuro dell analisi forense del traffico telematico su rete IP Gestione dei casi (come Autopsy) Ricostruzione completa dei contenuti intercettati html, smtp, pop, imap, sip, video ecc ecc...
Xplico 0.6 - II
Xplico 0.6 - III
Xplico 0.6 - IV
Xplico 0.6 - V
Progetti futuri Maggior integrazione nei progetti di sviluppo e formazione IISFA Evoluzione del progetto DeeeFT Appliance per la Computer Forensics con un cuore DEFT
Credits http://www.lpcforensic.it http://www.deftlinux.net http://www.xplico.org Alan Caggiani per la grafica
Domande?
Domande?