Security ed Anti-Forensic nell ambito della rete aziendale

Documenti analoghi
Come usare cloud per salvare l analogico

Attacchi alle infrastrutture virtuali

Le bollette le voglio in busta chiusa. E la cassetta delle lettere deve avere una serratura.

Virtualization (in)security

Cyber Security Day. 6 ottobre Con il supporto di:

Content Security Spam e nuove minacce

14 Marzo 2013 Security Summit Milano

VoIP e Sicurezza: parliamone!

L'utente poco saggio pensa che gli informatici lo boicottino

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona

Chi elabora i tuoi dati oltre a te?

Mi sono impazziti i log! Cosa potevo fare?

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini

Cloud, Security, SaaS, ed altre meraviglie Come uscirne illesi!

Mobile Business Treviso, 9 Maggio 2014

Quale sicurezza per l'utente mobile?

Privacy: 15 dicembre, nuove regole

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare?

Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide?

VoIP Forensic. I buchi della telefonia attraverso Internet. Alessio L.R. Pennasilico mayhem@alba.st

Quando il CIO scende in fabbrica

Definizione di sicurezza. Sicurezza in Informatica. Sicurezza per il singolo utente. Panoramica. Per sicurezza si intende la protezione delle risorse

La tua tecnologia vista da un hacker

Sicurezza in Informatica

Utenti aziendali, device personali, informazioni riservate

Negabilità plausibile su disco: luci e ombre di Truecrypt

Crittografia a prova di tortura (Doppio File System crittografato nascosto ovvero Negabilità Plausibile)

La sicurezza delle informazioni

MSAck Hacklab. MSAck is prouds to announce: Metti al sicuro i tuoi dati: cifrali! MSAck::Hacklab C4Occupata WarmUp Hackit 0x0D

ECDL CORE 5.0. Modulo 1 Concetti di base dell ICT 1.6 Aspetti giuridici. Docente: Stefania De Martino Liceo G. Leopardi Recanati a.s.

Http e Https. http usa la porta 80. Perciò è nato https - usa la porta 443

Cisco Internetwork Operating System. Introduzione

Corso di avvicinamento al Software Libero. Lunedi 30 Gennaio

G Data Antivirus 2015

Sicurezza Informatica:

Verso un approccio integrato alla gestione individuale della privacy dei dati

Unix e utenti. UNIX è un SO multiutente. Singolo utente

DEFT Linux. Soluzioni al servizio dell operatore informatico forense

ELIMINAZIONE SICURA DEI FILES

Introduzione. Schema a Cipolla del Computer. A cura di Michele Giacomoli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

Reti di Calcolatori e Sicurezza. Panoramica estesa. Capp.0,1,2 Schneier. Thanks to Giampaolo Bella for slides draft!! 1

FileSystem Cifrati. Ci eravamo già occupati nel numero 13 di questa rivista del problema di cifrare dati sul proprio elaboratore.

Computer Forensics. Franco Sivilli

Sicurezza del File System

Informatica 10. appunti dalla lezione del 16/11/2010

Linux la gestione dei dischi

Sistemi informatici in ambito radiologico. Introduzione al corso. Programma del corso. Dott. Ing. Andrea Badaloni A.A

IL BACKUP DEI DATI backup restore

privacy e sicurezza..

Quando inizi ad accettare l'impossibile, rischi di scoprire la verità

LBSEC.

Sistema Operativo (Software di base)

MarketingDept. feb-11

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Il computer P R O F. L O R E N Z O P A R I S I

Corso di formazione sull uso delle Google Apps

Open Source e Computer Forensics Strumenti open source per indagini ad alto livello ma anche per il recupero dei dati perduti

Linux Day Verona Asterisk

Nota tecnica. Oggetto. Precauzioni

Sicurezza nelle applicazioni multimediali: introduzione al corso. Anyone here not speaking Italian?

Provare e installare Linux

Leggere la posta diventa più pericoloso ogni giorno. Difendersi da Virus, Worm, Spam e Phishing.

Componenti di un sistema operativo

Aziende vs. cybercriminali

Alta disponibilità con repmgr 3.1. Gianni Ciolli Milano giugno 2016

Safe computing and privacy basics

Truecrypt. Alfredo De Santis. Aprile Dipartimento di Informatica Università di Salerno.

CORSO MOC20744: Securing Windows Server CEGEKA Education corsi di formazione professionale

Corso di Informatica

Corso di Informatica

Corso di avvicinamento al Software Libero. Lunedi 23 Gennaio

Cyber Security after Hacking Team Giuseppe Augiero

WP5. 9 Settembre Paolo Veronesi (INFN CNAF)

INFORMATICA E PC IL PERSONAL COMPUTER

Il computer P R O F. L O R E N Z O P A R I S I

Metro Olografix CAmp. Paranoia in movimento. Alfredo Morresi (aka Legolas) 23/08/2008 Pescara

Se mi lasci ti cancello: Cancellazione sicura asincrona su ext3

Le PMI Italiane e le Grandi Aziende sono realmente esposte al rischio Cyber? Alessio L.R. Pennasilico

Prospettive e programmi internazionali

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail Posta Sicura

Applicazioni di tecniche crittografiche e steganografiche alle comunicazioni in rete ed agli archivi di dati

Il software: Istruzioni per il computer

Pratiche di Anti-computer forensics per la postazione personale. E-privacy 2013 Firenze Gabriele Zanoni

Linux Guide - Partizionamento manuale

Corso di Informatica. Architettura del Calcolatore. Architettura del Calcolatore. Corso di Laurea in Conservazione e Restauro dei Beni Culturali

Sistema operativo. Avere un architettura multi-core è un vantaggio

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

Il Software. Il software del PC. Il BIOS

Nell oscuro mondo dei Malware

Caselle di posta professionali, grazie al cloud di CoreTech

I sistemi operativi. Prof. Daniele Contarino

Linux LPI Essential. Obiettivi

Protezione dei documenti di Microsoft Office 2007 per utenti e aziende

Seqrite Antivirus per Server

Indice generale. Introduzione. Capitolo 1 Panoramica generale Capitolo 2 Il panorama giuridico italiano... 7

La memoria-gerarchia. Laboratorio di Informatica - Lezione 3 - parte I La memoria - La rappresentazione delle informazioni

Transcript:

Security ed Anti-Forensic nell ambito della rete aziendale Alessio L.R. Pennasilico mayhem@alba.st Daniele Martini cyrax@alba.st

$ whois mayhem Security Evangelist @ Board of Directors: AIP, AIPSI/ISSA, CLUSIT, Italian Linux Society, LUGVR, OPSI, Metro Olografix, OpenBeer, Sikurezza.org CrISTAL, Hacker s Profiling Project, Recursiva.org 2

$ whois Cyrax Responsabile team Networking @ OpenSource Enthusiast - Command Line fanatic Network Addicted 3

Anti-Forensic Tecniche utilizzate per nascondere od occultare i dati, se non addirittura a prevenire eventuali indagini su dati elaborati da un calcolatore Cerca di modificare le informazioni normalmente analizzate dai programmi di forensic 4

Anti-Forensic Buona o Cattiva? 5

Anti-Forensic Buona o Cattiva? Anti-Forensic o Pro-Privacy? 5

Alessio L.R. Pennasilico - Daniele Martini Tecniche Anti-Forensic

Tecniche Artifact wiping Data Hiding Trail obfuscation Attacks against CF http://en.wikipedia.org/wiki/anti-computer_forensics 7

Alessio L.R. Pennasilico - Daniele Martini Artifact Wiping

Cancellazione Indice Dato Dato Dato Dato Dato Dato 9

Secure Deletion Ripetute sovrascritture Pulizia dello spazio libero 10

Quante riscritture? USA DoD 5220-22.M 3 pass Alcuni standard impongono 7 pass Si ha notizia di recuperi dopo 14 pass Alcuni programmi usano default molto alti (shred 38) 11

Secure Deletion? 12

Secure Deletion? Sovrascrivo singoli file o l intero media? 12

Secure Deletion? Sovrascrivo singoli file o l intero media? Scrivo dati ripetitivi o random data? 12

Secure Deletion? Sovrascrivo singoli file o l intero media? Scrivo dati ripetitivi o random data? ed il journaling? 12

Secure Deletion? Sovrascrivo singoli file o l intero media? Scrivo dati ripetitivi o random data? ed il journaling? e lo slack space? 12

Magnetic Force Microscopy E possibile recuperare il dato analizzando analogicamente la variazione del campo magnetico dovuto alle riscritture (cfr. Gutmann). 13

Magnetic Force Microscopy E possibile recuperare il dato analizzando analogicamente la variazione del campo magnetico dovuto alle riscritture (cfr. Gutmann). Leggenda urbana? 13

Slack Space 14

Slack Space Dati Spazio Libero 14

Slack Space Dati Spazio Libero Dati Dati Cancellati Spazio Libero 14

Slack Space Dati Spazio Libero Dati Dati Cancellati Spazio Libero Dati Nuovi Dati Spazio Libero 14

Altre considerazioni... Dischi in RAID File system non standard Settori danneggiati Feature dei NAS Feature delle VM... 15

Solo per i cattivi? Il Garante Italiano per la Privacy norma la distruzione dei dati con cancellazione sicura dei supporti dismessi in azienda 16

Degaussing Applicazione di un intenso campo magnetico al fine di rendere il supporto illeggibile. Spesso per sempre... 17

Degaussing Applicazione di un intenso campo magnetico al fine di rendere il supporto illeggibile. Spesso per sempre... 17

Degaussing Applicazione di un intenso campo magnetico al fine di rendere il supporto illeggibile. Spesso per sempre... 17

Degaussing Applicazione di un intenso campo magnetico al fine di rendere il supporto illeggibile. Spesso per sempre... 17

Degaussing Applicazione di un intenso campo magnetico al fine di rendere il supporto illeggibile. Spesso per sempre... 17

WORM Write Once, Read Many sono dischi ottici Decine di degaussing li lasciano intatti... 18

Distruzione fisica 19

RAM Per definizione la RAM è volatile Il suo contenuto viene perso in caso di reboot, spegnimento, etc etc 20

Cold Boot Attack http://citp.princeton.edu/pub/coldboot.pdf 21

Alessio L.R. Pennasilico - Daniele Martini Data Hiding

Data Hiding Posso registrare le informazioni in luoghi inusuali Una normale attività di data recovery potrebbe non accorgersi della presenza di tali informazioni... 23

Dove nascondere? Bad Blocks Slack Space Journal Spazi riservati del file system o del device 24

Alessio L.R. Pennasilico - Daniele Martini Encryption

Encryption Buona pratica per proteggere i propri dati da accessi indesiderati da parte di persone non autorizzate 26

FS Encryption Criptare l intero file system Criptare il contenuto di alcune directory previene l analisi del file system a chiunque sia sprovvisto della password 27

FS Encryption Criptare l intero file system Criptare il contenuto di alcune directory previene l analisi del file system a chiunque sia sprovvisto della password Davvero? 27

Accorgimenti Sto criptando lo swap file? Sto tenendo cache/log delle attività di accesso ai dati criptati? cold boot attack implementazioni buggate 28

xkcd.com 29

xkcd.com 29

TrueCrypt Esempio multipiattaforma e gratuito di gestione di file system cifrati, con diverse feature avanzate 30

Plausible Deniability Dato un volume di TC è impossibile dire anche a fronte di una attenta analisi se quel volume sia criptato o meno 31

Hidden Volumes Disco 32

Hidden Volumes Disco Volume Criptato 32

Hidden Volumes Disco Volume Criptato Dati Fasulli 32

Hidden Volumes Disco Volume Criptato Dati Fasulli Hidden Volume Dati Reali 32

Legal Ho protetto i miei dati in osservanza del D.Lgs. 196/03 non li volevo nascondere 33

Legal Password? che password? Ah si, avevo fatto delle prove, ma non lo uso non so nemmeno che password abbia 34

Legal (In Italia) non sono obbligato a fornirvi la password di accesso ai miei dati 35

Legal (In Italia) non sono obbligato a fornirvi la password di accesso ai miei dati non fornire la password sono 3 anni di reclusione, ma con quello che troverebbero dentro sono 5 mi rifiuto di dare la password 35

NET Encryption Criptare il traffico ne assicura la riservatezza, forse l integrità e la non ripudiabilità Criptare il traffico all interno di un tunnel ne impedisce una analisi qualitativa 36

SSL DNS HTTPS 37

Steganografia Il termine steganografia è composto dalle parole greche στεγανός (nascosto) e γράφειν (scrittura) e individua una tecnica risalente all'antica Grecia che si prefigge di nascondere la comunicazione tra due interlocutori La "Steganographia" di Tritemio si proponeva di poter inviare messaggi tramite l'uso di linguaggi magici, sistemi di apprendimento accelerato e senza l'utilizzo di simboli o messaggeri http://it.wikipedia.org/wiki/steganografia 38

Steganalisi La steganografia si pone come obiettivo di mantenere nascosta l'esistenza di dati a chi non conosce la chiave atta ad estrarli, mentre per la crittografia è non rendere accessibili i dati nascosti a chi non conosce la chiave. La crittanalisi è l'attacco alla crittografia, che mira ad estrarre i dati cifrati senza chiave. L'obiettivo della steganalisi non è quindi quello di estrarre i dati nascosti, ma semplicemente di dimostrarne l'esistenza. 39

Esempio 40

Esempio 40

Esempio 40

VoIP La stessa tecnica si può utilizzare su informazioni diverse dalle immagini 41

Alessio L.R. Pennasilico - Daniele Martini Trail Obfuscation

Rootkit Programma che modifica i binari di sistema al fine di nascondere alcune informazioni Ne esistono di molti tipi, atti a fornire accessi facilitati (ssh), nascondere file/processi/utenti (binutils), non tenere log (syslog), etc. 43

Metadati Data creazione Modifica Accesso Ultimo accesso 44

Metadati Posso modificarli sovrascriverli evitare che vengano scritti 45

Legal Dopo avere installato di proposito un po di porcherie sul proprio PC: Non sono stato io! Il PC era infetto, sarà stato qualche hacker ad utilizzare la mia macchina per fare quello di cui mi accusate! 46

Hash Alcuni strumenti cercano sul disco immagini che verificano certi hash (vedi pedoporno) Se modifico l immagine (contenuto, exif, appendo dati, etc) l hash sarà verificato? 47

Alessio L.R. Pennasilico - Daniele Martini Attacks against CF

Forensic detection Possono essere attivate protezioni che distruggono alcuni dati al verificarsi di alcune conseguenze 49

Forensic detection Possono essere attivate protezioni che distruggono alcuni dati al verificarsi di alcune conseguenze (non mi riferisco all ingoiare chiavette USB ) 49

Come? Utilizzo della procedura standard di spegnimento Particolari procedure di avvio Login con certi utenti Accensione fuori rete Accensione su una rete diversa Accensione come VM 50

Esempio COFEE - Tool Microsoft per gli investigatori Decaf - Se un supporto USB con il tool presente viene inserito, *puf*, viene vanificata ogni analisi 51

Legal Ho adottato una misura per proteggere i dati, o volevo evitare un controllo? (cfr. la storia del grosso bottone rosso) 52

Limiti Queste tecniche funzionano solo in caso di analisi LIVE 53

Alessio L.R. Pennasilico - Daniele Martini Conclusioni

Anti-Forensic Esistono molti strumenti per applicarla Può essere utilizzata per proteggere i dati Una non accurata implementazione la vanifica Architetture non usuali complicano la vita dell investigatore come alcune tecniche 55

Anti-Forensic Anti-Forensic vs Pro-Privacy 56

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :) Security ed Anti-Forensic nell ambito della rete aziendale Alessio L.R. Pennasilico mayhem@alba.st Daniele Martini cyrax@alba.st

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back