Strumenti per il trattamento dei reperti informatici Stefano Fratepietro e Litiano Piccin 1
Chi siamo Stefano Fratepietro è sistemista di rete presso il Centro Servizi Elettrobancari (CSE), si occupa della gestione, manutenzione e sicurezza dell intera infrastruttura di rete IP del CSE e delle banche clienti - Project manager DEFT Linux - Informatico Forense da 2004, effetta attività peritali per tribunali e privati 2
Chi siamo Litiano Piccin è sistemista dipartimentale presso il Centro Servizi Elettrobancari (CSE), si occupa della gestione, manutenzione e sicurezza dell intera infrastruttura dipartimentale (architetture i386) del CSE e delle banche clienti - Collabora al progetto DEFT Linux - Informatico Forense da 2000, effetta attività peritali per tribunali 3
Argomenti trattati Cenni sull informatica Forense Il dato informatico Strumenti del mercato DEFT Linux anticipazioni della prossima release Case study 4
Informatica Forense I L Informatica forense (Computer Forensic in inglese) è la disciplina che concerne le attività di individuazione, conservazione, protezione, estrazione, documentazione ed ogni altra forma di trattamento ed interpretazione del dato memorizzato su supporto informatico, al fine di essere valutato come prova nel processo. 5
Informatica Forense II Informatica forense studia a fini probatori i processi, le tecniche e gli strumenti per l esame metodologico dei sistemi informatici, nonché l analisi forense di ogni sistema informatico e telematico, l esibizione della prova elettronica, l esibizione del dato digitale, il recupero di dati (e la loro esibizione), l analisi e l esame del sistema informatico e telematico. L insieme dei processi e delle tecniche più accreditate vengono definite pratiche migliori. 6
Crescita della domanda All aumento del trattamento dei dati con sistemi informatici consegue l incremento della domanda di analisi dei dati digitali ai fini di investigazione e giustizia per: reati informatici e telematici (es. L. 547/93) reati non informatici ma commessi con sistemi informatici reati di cui si rinvengono tracce o indizi nei sistemi 7
Il dato digitale oggetto di indagine Il reperto informatico si esamina tenendo presente la volatilità del dato informatico Le fasi del trattamento sono: Individuazione Acquisizione Analisi Valutazione 8
Problemi metodologici nel trattamento dei dati Completezza dell acquisizione Integrità dei dati acquisiti Paternità e provenienza dei dati Esaminabilità dei dati acquisiti Verificabilità delle procedure seguite Riproducibilità dei processi eseguiti 9
Un dato di fatto... Non esiste il tool perfetto tutto fare! 10
La valigia del forenser Componenti hardware (write blocker, adattatori, ecc...) Computer Software Software per Windows Software per Linux 11
Pro e contro dei software commerciali Navigazione con preview dei contenuti (X-Way Forensics) Indicizzazione dei contenuti (FTK) Interfacce grafiche intuitive Lenti e scomodi per le acquisizioni Software closed source Solo per Windows 12
Pro e contro delle piattaforme freeware Spesso software open source Possibilità di utilizzare sistemi su live cd (ideale per le acquisizioni e preview) Foremost, un buon software per il data carving Scomodi per la fase di analisi Nessuna garanzia di continuità di vita del software 13
La risposta al software commerciale Live cd Linux based che raccolgono i migliori software per la computer forensics: Helix (Knoppix) IRItaly (Gentoo) Spada (Knoppix) FCCU (Knoppix) DEFT (Xubuntu) 14
15
DEFT staff Stefano Fratepietro - Project manager Massimiliano Dalcero - Sviluppatore Matteo Cisillino - Sviluppatore Donato Caccavella - tester Litiano Piccin - beta tester Alessandro Rossetti - traduttore 16
Download time line 30.000 22.500 15.000 7.500 0 2005 2006 2007 17
DEFT users world map Italy Europe America Others 18
Utenze finali di DEFT University Gov Investigators Others 19
Perchè Xubuntu e non altri? Ubuntu è di Canonical - CEO: Mark Shuttleworth Distribuzione basata su Debian XFCE, un desktop manager leggero e stabile Ottima documentazione 20
DEFT Linux - Caratteristiche Progetto 100% Made in Italy Stabilità e sicurezza dei dati durante l elaborazione Raccolta dei migliori tool per le indagini informatiche Semplicità d uso In continua evoluzione Ultima release: v3 21
DEFT Linux - What i can do? Acquisizione dei reperti Analisi dei dati Recupero file cancellati Cracking di password Intercettazioni telematiche 22
Principali potenzialità Acquisizioni sicure senza write blocker 70MB di memoria occupata se eseguito in modalità grafica Calcolo di md5 e sha1 rapido (Dhash) Network forensics avanzata (Xplico) Raccolta dei migliori tool per la Computer Forensics 23
Piccola curiosità...! DEFT riesce ad eseguire il boot anche sugli ultimi sistemi intel based di Apple...... Helix no!!! 24
Software Made in DEFT 25
Dhash Calcolo di md5 e sha1 anche in contemporanea Stima temporale dell operazione per volgere al termine Più veloce dei normali md5sum e sha1sum Interfaccia grafica e testuale 26
Dhash gui 27
Dhash gui 28
HASHING TEST DHASH (DEFT v3) ICS IMAGEMASSTER SOLOIII FORENSICS 29
ICS IMAGEMASSTER SOLO III Strumento per la copia di Hard Disk. PATA SATA SCSI (ultimi modelli) 30
ICS IMAGEMASSTER SOLO III 31
ICS IMAGEMASSTER SOLO III Modalità di copia : Bit a Bit Bit Streaming su File (opzione sulla SIZE ) 32
ICS IMAGEMASSTER SOLO III NOTE: Si può specificare solo il settore di fine. Split dei file dd : 650MB (PREDEFINITO) fino a 4GB BACKUP/RESTORE: solo su ICS DVD RECORDER 33
ICS IMAGEMASSTER SOLO III Sequenza di comandi più frequente utilizzata: WipeOut DoD Hash Only LinuxDD Capture LinuxDD Hash 34
ICS IMAGEMASSTER SOLO III WipeOut DoD rispetta le specifiche del Dipartimento della Difesa Americana DoD 5220-22M per la sterilizzazione dei dischi. 35
ICS IMAGEMASSTER SOLO III Tre distinte iterazioni. Ogni iterazione esegue due passate in scrittura (Totale: 6 scritture). Tutti UNO (1) (in hex 0xFF) Tutti ZERO (0) (in hex 0X00) 36
ICS IMAGEMASSTER SOLO III Ultimo STEP: Settimo passaggio in scrittura con il valore 246 (hex 0XF6). Verifica finale. 37
ICS IMAGEMASSTER SOLO III WipeOut DoD: Ha senso effettuarlo se su quel disco creo una copia in bit streaming? 38
ICS IMAGEMASSTER SOLO III Prezzo (sito fornitore): $2,495.00 Built in Write Protection: I dati del disco Suspect vengono protetti dalla protezione in scrittura hardware. Rapidità nelle operazioni: l acquisizione dei dati ha una velocità di trasferimento pari a 3GB/min. Hashing MD5/SHA-1/SHA-2 e CRC32: NON SIMULTANEO. Audit Trail e Log: il log operativo e le informazioni relative possono essere salvate una scheda Compact Flash. 39
ICS IMAGEMASSTER SOLO III Cattura simultanea su due disci Evidence 40
ICS IMAGEMASSTER SOLO III Inconvenienti (provati sul campo): Operazioni ad alta velocità: solo fra dischi PATA TO SATA o SATA to PATA (min 900Mb/sec) MD5+: raddoppio del tempo di copia. SHA1/SHA2: il firmware dell unità deve essere ricaricato per supportare questa modalità Cattura simultanea di due disci Evidence : lenta nel caso di due EVIDENCE di diverso TIPO (PATA e SATA). 41
ICS IMAGEMASSTER SOLO III Inconveniente provati sul campo: solo tra SCSI e SCSI 42
ICS IMAGEMASSTER SOLO III SUGGERIMENTI: Posizionato su MASTER il JUMPER di entrambi i dischi. Verifica delle informazioni stampate sull etichetta del disco in particolare: HPA: Host Protect Area. Nascosta al S.O. DCO: Device Configuration Overlay. Set di comandi usati per modificare le impostazioni dell Hard Disk 43
ICS IMAGEMASSTER SOLO III Gestione degli errori: SETTORE DANNEGGIATO. Lo strumento legge blocchi contigui di 256 Settori; quando individua un errore. Sospende temporaneamente l operazione di lettura; il sistema passa alla modalità Ready State ; 44
ICS IMAGEMASSTER SOLO III Il blocco viene riletto un settore alla volta. Il settore danneggiato viene indicato sul display e scritto nel LOG. Nel disco EVIDENCE, il settore corrispondente viene scritto con valore ZERO; L operazione riprende fino all ultimo settore del blocco; Riprende la copia a blocchi 45
ICS IMAGEMASSTER SOLO III Prima di usare il dispositivo CONTROLLARE DATA E ORA. 46
ICS IMAGEMASSTER SOLO III LOG Hash Only 47
ICS IMAGEMASSTER SOLO III LOG LinuxDD Captured 48
ICS IMAGEMASSTER SOLO III LOG LinuxDD Captured 49
ICS IMAGEMASSTER SOLO III Copia più rapida dei file: La Modalità IQCopy è un metodo avanzato che copia solo i cluster allocati per la memorizzazione dei file. Ignorando i cluster non allocati, il tempo impiegato per la copia è molto ridotto. Partizionamento e formattazione automatica dei drive: IQCopy può effettuare il partizionamento e la formattazione automaticatico del disco Evidence. File system supportati: IQCopy riconosce i file system FAT-16, FAT-32 e NTFS. 50
Dhash 1.0 e DEFT v3 Strumenti usati: IBM Thinkpad T43 (Intel Mobile Pentium M 1,7GHZ e 2GB RAM). FORENSIC DISKJOCKEY DISKOLOGY. 51
FORENSIC DISKJOCKEY Strumento versatile (7 modalità operative) utilizzabile per: Copia bit a bit da un disco SOURCE ad un disco DESTINATION (modalità 3). Writer-Blocker su entrambe le porte (modalità 1 WRITE PROTECT). Wiping sul disco DESTINATION (modalità 6 o DoD in modalità 7). Modifica del contenuto del disco DESTINATION (modalità 0 STANDARD MODE). 52
FORENSIC DISKJOCKEY 53
FORENSIC DISKJOCKEY Inconvenienti (modalità 3): Incompatibilità con i vecchi dischi (<20 GB). Prodotto non più disponibile sul mercato. Scarsa documentazione. Mancata creazione di un file di LOG. 54
FORENSIC DISKJOCKEY Gestione degli errori: SETTORE DANNEGGIATO (mod 3) Copia bit a bit. Se viene incontrato un SETTORE DANNEGGIATO viene tentata l operazione per 32 volte. Se l operazione non ha successo, il processo viene cancellato. 55
HASHING TEST: RUN DEFT v3 vs ICS IMAGEMASSTER SOLOIII FORENSICS 56
57
Xplico Progetto Iserm, in collaborazione con DEFT Sniffer di rete avanzato per usi di Network Forensics Sviluppato principalmente su ethereal Organizzazione dei casi stile Autopsy Ultima release pubblica: 0.1 Ultima release: 0.4 58
Xplico - Implementazioni Rigenerazione dell intero contenuto di una pagina web Possibilità di visualizzare contenuti multimediali eseguiti in streaming dall utente (Youtube) Raccoglie e organizza tutte le immagini Rigenerazione di e-mail inviate e ricevute Possibilità di intercettare VoIP in SIP 59
Xplico e VoIP 60
DEFT appliance Un laboratorio forense portabile 61
L idea Versione di DEFT ottimizzata per una determinata architettura Non solo acquisizione (firewire, usb2, sata2 e ATA) ed hashing ma anche pre analisi ed indicizzazione dei contenuti tutti i tool contenuti in DEFT Controllo sia in locale (tastiera e porta seriale) che da remoto (rete) 62
DEFT - Futuri sviluppi Prossima release: v4 Kernel 2.6.24 Dhash 1.1 Sleuthkit.52 Truecrypt 5 Dreport Supporto per HFS & HFS+ Wizard 63
DEFT Linux v3 Case study 64
LBA 312.581.807 Maxtor Modello 6V160E0 Capacità: 160GB Tipo: SATA LBA: 312.581.808 LBA: Logical Block Addressing Ad ogni Settore del disco corrisponde un unico numero: 0-312.581.807 65
LBA 312.581.807 CHS: Cylinder/Head/Sector Limiti fisici: 1024/16/63=504MB 66
67
68
69
70
Soluzione? 71
72
73
74
75
76
Fonti http://www.utica.edu/academic/institutes/ecii/publications/ articles/a0b0c4a4-9660-b26e-12521c098684ef12.pdf 77
Link www.icsforensics.com deft.yourside.it www.lpcforensic.it 78
Domande? 79
Fine Trasmissione Grazie per la cortese attenzione 80