2010 02-04 uni-mi_antiforensicmitigation
DESCRIPTION
Lezione per il Corso di Perfezionamento in computer forensics e investigazioni digitali presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano.TRANSCRIPT
![Page 1: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/1.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 2: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/2.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Chi sonoChi sono
Davide ‘Rebus’ Gabrini
Per chi lavoro non è un mistero.
Oltre a ciò:
Consulente tecnico e Perito forense
Docente di sicurezza informatica e computer forensics per Corsisoftware srlCome vedete non sono qui in divisa
![Page 3: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/3.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 4: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/4.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 5: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/5.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Non ci crederete, ma c’è gente che ha cose da
nascondere! ;-)
La conoscenza approfondita degli strumenti e delle
procedure adottate dagli analisti forensi permette di individuarne le debolezze e
studiare delle contromisure preventive per intralciare, vanificare o peggio ancora sviare l’analisi, riducendo quantità e qualità delle
informazioni disponibili
Anti-forensicsAnti-forensics
![Page 6: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/6.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Anti-forensics MitigationAnti-forensics Mitigation
… da qui la necessità di studiare strategie e
contromisure per contenere l’impatto dell’utilizzo di tecniche di anti-forensics
Sfida aperta tra l'analista e quello che chiameremo
l'antagonista
Le strategie o gli strumenti qui indicati come contromisure non possono annullare le tecniche di anti-forensic, ma tentano di
salvare il salvabile
![Page 7: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/7.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Anti-forensics MitigationAnti-forensics Mitigation
Svantaggi per l'analista Arriva a misfatto compiuto Tempo limitato
e fiato sul collo Non ancora del tutto
onniscente ;-) Spesso succube d'un solo
tool o dell'automazione I tool che usa possono
soffrire di bug o implementazioni carenti
Le sue procedure tendono ad essere codificate
![Page 8: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/8.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Famigerato tool forense rilasciato da Microsoft, gratuito per le FF.OO.
Installato su pendrive, consente di acquisire dati daisistemi a cui viene collegato
Tanto hype per un prodotto sì utile, ma certo non innovativo
Tanta pubblicità e tanta "segretezza" non hanno fatto che attirare attenzione
Un esempio didattico: Microsoft COFEEUn esempio didattico: Microsoft COFEE
![Page 9: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/9.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
30.11.2009: avvistata una vecchia release di COFEE in the wild;
15.12.2009: pubblicato DECAF, tool gratuito dichiaratamente antagonista.
L'approccio Security by obscurity fallisce per l’ennesima volta…
Il problema è nella mancanza di segretezza o nella rigidità dei metodi?
COFEE vs DECAFCOFEE vs DECAF
![Page 10: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/10.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Spoof MAC addresses of network adapters Kill Processes: Quick shutdown of running processes Shutdown Computer: On the fly machine power down Disable network adapters Disable USB ports Disable Floppy drive Disable CD-ROM Disable Serial/Printer Ports Quick file/folder removal (Basic Windows delete) Remove logs from the Event Viewer Removes Azureus and BitTorrent clients Remove cookies, cache, and history
DECAF Lockdown Mode featuresDECAF Lockdown Mode features
![Page 11: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/11.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Le tecniche sono classificabili in 4 categorie principali:
Distruzione
Occultamento
Falsificazione
Contraccezione
Anti-forensicsAnti-forensics
![Page 12: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/12.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 13: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/13.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
La distruzione delle tracce informatiche è paragonabile alla cancellazione delle impronte digitali dall'arma del delitto
Cancellazione file con metodi comuni
Wiping di file, partizioni, device
In questi scenari, le tracce sono state prodotte e hanno avuto un certo periodo di vita.
Se ora non sono reperibili, occorre trovare dei "testimoni" della loro esistenza.
DistruzioneDistruzione
![Page 14: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/14.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ContromisureAnzitutto i tool non sempre fanno ciò che dicono…
Recupero file cancellati tramite analisi dei metadati del filesystem
File carving Foremost, Scalpel, photorec… ReviveIt…
Analisi delle fonti alternative La distruzione di tracce può generare altre tracce File di swap, cache, file temporanei, ibernazione… Log, registri di eventi, dati recenti, database… Backup!
Spesso è determinante il fattore tempo!
DistruzioneDistruzione
![Page 15: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/15.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure "Ma mi ha detto mio cuggino che una
sola passata di wiping non basta!" Gli studi esistono:
STM (Scanning Tunneling Microscopy)SPM (Scanning Probe Microscopy)MFM (Magnetic Forse Microscopy)AFM (Atomic Force Microscopy)
Si basano sull'isteresi dei livelli di magnetizzazione e sul disallineamento delle tracce
Eppure non si ha notizia di laboratori civili che offrano questi servizi…
DistruzioneDistruzione
![Page 16: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/16.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Hardware self-destruct TriggerDistruzioneDistruzione
C’è chi è arrivato a costruirsi un degausser casareccio…Ovviamente però esistono altri metodi meno appariscenti per comandare procedure di autodistruzione anche da remoto
![Page 17: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/17.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Uno strumento più alla portata è SecureTrayUtil
Supporta diversi sistemi On-The-Fly Encryption (OTFE)
Consente di configurare hotkey per montare o smontare partizioni cifrate
Esegue il wiping con diversi triggerHotkey, Serial switch, connessioni TCP autenticate
Prende precauzioni paranoicheWiping parallelo, pulizia registro, orologio di sistema…
DistruzioneDistruzione
![Page 18: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/18.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure Intervenire con tempestività!
Isolare la scena del criminesia fisicamente che logicamente
Acquisire le memorie volatiliIndividuare e acquisire eventuali volumi cifrati montatiL'ordine di priorità delle operazioni va deciso in ragione del contestoPossono essere d'aiuto tool di raccolta delle informazioni automatizzati
Spegnere gli apparati solo quando assolutamente certi di poterlo fare
Diffidare delle procedure di spegnimento comuni
DistruzioneDistruzione
![Page 19: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/19.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Absolute Software offre un servizio chiamato Computrace
Permette al cliente di chiamare una hotline e richiedere il wiping da remoto di un computer rubatoPuò funzionare solo se questo si connette ad Internet…
Con appositi software, si può attivare l’autodistruzione di PDA e smartphone tramite SMS (remotePROTECT, SMS Kill Pill...)
DistruzioneDistruzione
![Page 20: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/20.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Ensconce Data Technology ha un brevetto di “dead on demand" per hard disk
Si può configurare l’autodistruzione combinando diversi trigger:
tentativi di rimozioneforzatura fisicacoordinate GPSchiamate cellularicambiamento di temperatura ecc. ecc.
Viene rilasciato all’interno del drive un composto chimico che distrugge la superficie del disco
DistruzioneDistruzione
![Page 21: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/21.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Altri sistemi bloccano o sovrascrivono un device dopo un certo numero
di tentativi di accesso falliti
DistruzioneDistruzione
![Page 22: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/22.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Il primo evidente problema della distruzione di dati è ovviamente la perdita irreversibile di informazioni anche per l'antagonista!
Se si tratta di informazioni che gli sono utili, cercherà di distuggerle solo se
costretto e il più tardi possibile.
Altrimenti cercherà di occultarle
DistruzioneDistruzione
![Page 23: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/23.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 24: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/24.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
E' una strategia paragonabile all’occultamento dell’arma del delitto,o del corpo del reato (ad esempio la refurtiva)
Nascondere i dati, anziché distruggerli, permette di mantenerne la disponibilità
Le tecniche e gli strumenti sono numerosi e possono essere applicati in combinazione
OccultamentoOccultamento
![Page 25: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/25.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
La prima fase di un'indagine digitale, l'identificazione, è anche la prima a poter essere attaccata
Se l'evidence non viene individuata, non sarà né acquisita né analizzata
L'occultamento può avvenire a livello logico, ma anche con metodi molto più tradizionali…
OccultamentoOccultamento
![Page 26: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/26.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Dimensioni ridotte
OccultamentoOccultamento
![Page 27: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/27.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Aspetto ingannevole
OccultamentoOccultamento
![Page 28: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/28.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
![Page 29: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/29.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
![Page 30: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/30.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
![Page 31: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/31.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Microsoft Mobile Memory Mouse 8000, un nuovo mouse wireless che intergra moduli di memoria flash per un quantitativo pari a 1GB.
Che si fa, si torna a sequestrare i mouse? ;-)
OccultamentoOccultamento
![Page 32: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/32.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
La motherboard Asus P5E3 Deluxe integra un s.o. Linux con interfaccia grafica, Firefox e Skype
Qualcuno diceva che basta sequestrare gli hard-disk?
OccultamentoOccultamento
![Page 33: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/33.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Le console per giochi sono veri PC…
OccultamentoOccultamento
![Page 34: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/34.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
…e i media center pure!I lettori DVD Kiss, per esempio, possono avere:•Hard disk interno da 200 GB•USB 2.0•Porta Ethernet•Collegamento WiFi•Sistema operativo Linux
OccultamentoOccultamento
![Page 35: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/35.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
OccultamentoOccultamento
![Page 36: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/36.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Esistono poi tanti metodi logici… Data Encapsulation Codifiche alternative Alterazioni dei file
Modifica estensione (pare incredibile…)
Alterazioni header (transmogrify)
Packing eseguibiliAlterazioni hash (known bad)
Modifica bit non significativi; append di dati; conversioni di formato; ridimensionamento , ricampionamento , ricompilazione…
Per i well known good, generazione di collisioniPossibile, certo, ma non così banale…
OccultamentoOccultamento
![Page 37: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/37.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Inoltre, il posto migliore dove nascondere un albero è una foresta!
Riduzione segnale/rumore
Inserimento di falsi positivi Inserimento di elementi di disturbo Incremento di tempo e costi per l’analisi
ContromisureS
viluppo di motori di scansione più potenti(analisi statistica, pattern matching, fuzzy signature…)
Tool specifici per l’analisi degli eseguibili
Usare i database di hash con cognizioneNon confidare nelle black list, usare più algoritmi
OccultamentoOccultamento
![Page 38: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/38.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Storage device subvertionAlternate Data Stream (NTFS)Uso degli spazi di SlackUnix filesystem:
Rune fs (bad blocks, oltre 4GB)Waffen fs (journal, ext2, 32MB)KY fs (null directory, illimitato)Data mule fs (reserved space, padding)
NTFS: Frag FS (slack MFT) e altre possibilità…
Manipolazione delle tabelle delle partizioniData injectionDisallineamentoSaturazione
OccultamentoOccultamento
![Page 39: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/39.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Storage device subvertionManipolazioni a basso livello dei device
HPA: Host Protected AreaDCO: Disc Configuration OverlayBad sector a basso livello:
P-List: Primary Defect ListG-List: Grown Defect ListSA: System Area (firmware)
Iniezione di dati nelle memorie flash dei dispositivi hardware
Impatto devastante se sono stati sequestrati soltanto i dischi!
OccultamentoOccultamento
![Page 40: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/40.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Host Protected AreaArea del disco non accessibile dal S.O.Usata per informazioni di ripristinoNon visibile dal BIOSInvisibile a certi tool forensi
Linux la rileva e la disabilita
Utilizzabile quindi per nascondere dati
OccultamentoOccultamento
Contromisure: Confronto parametri IDENTIFY_ADDRESS
READ_NATIVE_MAX_ADDRESS (tramite comandi ATA) Utilizzo di software in grado di rilevare HPA
p.e. disk_stat e disk_sreset in Sleuth Kit
Area visibile HPA
0 90GB 100GB
![Page 41: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/41.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Disc Configuration OverlayModifica il limite READ_NATIVE_MAX_ADDRESS
Ancor più invisibile ai comuni SWAlcuni tool forensi la rilevanoLinux ancora no
Utilizzabile per nascondere dati
OccultamentoOccultamento
Contromisure: Verifica parametri READ_NATIVE_MAX_ADDRESS e
DEVICE_CONFIGURATION_IDENTIFY Utilizzo di software in grado di rilevare DCO
p.e. HDAT2 o TAFT – The ATA Forensic Tool
Area visibile DCO
0 80GB 100GB
HPA
90GB
![Page 42: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/42.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ContromisureAttenzione agli spazi di memoria meno sfruttati Non permettere ad un solo tool forense di fare tutto il lavoro
Verifica dei parametri hardwareanche con i valori indicati sulle etichetteo nella documentazione del produttore
Spesso sono utili gli stessi tool usati dell’antagonista (p.e. HDAT2)
Analisi statistica degli slack space per riconoscere pattern inusuali (good luck…)
OccultamentoOccultamento
![Page 43: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/43.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Crittografia(imbarazzo della scelta…)
Steganografia(Least Significant Bit, color reduction, noise… spazi ridondanti, commenti, alignment space…)
Plausible deniability(Quando è impossibile determinare se si è in presenza di un documento crittografato oppure no)
Ovvero la bestia nera d’ogni analista…
OccultamentoOccultamento
![Page 44: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/44.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure: Analisi live quando possibile Rilevamento e acquisizione volumi cifrati montati Rilevamento footprint di software "antagonisti"
(StegDetect, Outguess, Stego Suite, SAFDB…)
Test entropici (FTK)
Verifica di conformità agli standard(p.e. out-of-range values)
Sfruttamento di vulnerabilità dei softwareFeature nascoste / backdoor / bug / errori di progettazione
Attacchi a dizionario Brute force Rubber-hose? ;-)
OccultamentoOccultamento
![Page 45: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/45.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Rootkit
user space (ring 3)
kernel space (ring 0)
VM based
Efficaci solo nel corso di analisi live
Possono rilevare l'azione dei tool forensi
Possono alterare i risultati di un tool forense, p.e. impedendo l'acquisizione di un'evidence
OccultamentoOccultamento
![Page 46: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/46.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Contromisure: Acquisizione delle memorie volatili Cattura dell'eventuale traffico di rete Acquisizione degli storage device
“post mortem” Scansioni AV / Rootkit revealer Riproduzione dello scenario in ambiente
protetto (sandbox o virtual machine) che ne consenta lo studio dall'esterno
OccultamentoOccultamento
![Page 47: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/47.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Breaking forensic tool
Certi attacchi sono direttamente mirati a sovvertire il funzionamento di specifici tool forensi
Negli anni, sono stati resi noti attacchi utilizzabili sia verso strumenti commerciali, come Encase, che verso strumenti open source
Il pay-load andava dal DoS fino all'esecuzione di codice arbitrario ("Exploitare la macchina dell'analista è una voluttà da fine gourmet" )
Contromisure: Variegare gli strumenti utilizzati Non dipendere da un solo tool o dall’automazione
OccultamentoOccultamento
![Page 48: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/48.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 49: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/49.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
E' come lasciare intenzionalmente sul luogo del delitto tracce depistanti
Alterazioni timestamp (attributi MACE)CancellazioneSovrascrittura
RandomMirata
Contromisure Verifica attributo Entry modified (NTFS) Confronto con altri attributi
Standard Information Attributes ↔ FileName (NTFS)Verifica MAC interni ai documentiEsistenza di link, chiavi di registro, log…
Analisi della timeline correlata con altri eventi continui, anche rilevati da sistemi esterni
FalsificazioneFalsificazione
![Page 50: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/50.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Furti d’identitàFurto di credenzialiUtilizzo di macchine zombieFurto di connettività
Qualcuno ha pensato WiFi? ;-)
FalsificazioneFalsificazione
![Page 51: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/51.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Falsi indizi / prove contraffatte Alterazione dei log
Inserimenti fittiziInserimenti malformatiFlooding
Contromisure:Attenta interpolazione di quante più fonti possibileConfronto con dati esterni al sistema compromesso
FalsificazioneFalsificazione
![Page 52: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/52.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 53: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/53.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
E' come indossare dei guanti prima di impugnare la pistola: meglio non lasciare impronte, anziché doverle poi cancellare…
Disattivazione funzioni di auditing Bypass degli eventi rilevati Esecuzione malware in RAM
Memory injection (Meterpreter)Process puppeteeringInibizione swappingrexec
Contromisure:Dump delle memorie volatiliAttenta interpolazione di più fonti possibileConfronto con dati esterni al sistema
Prevenire alla fontePrevenire alla fonte
![Page 54: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/54.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
![Page 55: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/55.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Il cloud computing può essere impiegato, più o meno intenzionalmente, come strategia di depistaggio
Può permettere di defilarsi e di confondere, complicare, ostacolare, ritardare e persino bloccare le indagini
Non si tratta di una nuova tecnologia, ma di un nuovo paradigma
Cloud Computing = anti-forensics?Cloud Computing = anti-forensics?
![Page 56: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/56.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Il termine cloud computing indica un insieme di risorse hardware e software distribuite e remotamente accessibili e usabili
Il cloud computing è indicato da molti analisti come “the next big thing”
Cloud ComputingCloud Computing
![Page 57: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/57.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Cloud ComputingCloud Computing
![Page 58: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/58.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
StorageSkyDrive, Gdrive, Amazon S3…
ApplicazioniWebmail, Google Docs, Windows Live, Photoshop, Meebo, Spoon…
PiattaformeWindows Azure, Facebook, Amazon Web Services, ajaxWindows, GlideOS… eyeOS, gOS, Chrome OS, JoliCloud…
InfrastruttureAmazon EC2, GoGrid, ElasticHost…
Esempi di servizi in CloudEsempi di servizi in Cloud
![Page 59: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/59.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Le risorse usate per crimini informatici possono essere allocate remotamente
Non solo lo storage, ma anche le risorse computazionali!
Interi sistemi possono essere allocati dinamicamente, utilizzati e deallocati
Le possibilità di analisi vengono così drasticamente ridotte
Cloud ComputingCloud Computing
![Page 60: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/60.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Cloud computing e cybercrimeCloud computing e cybercrime
![Page 61: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/61.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
L'approccio tradizionale che prevedeperquisizione-sequestro-analisi è vanificato
Già l'identificazione potrebbe essere problematica: cosa si trova dove?
Le risorse sono probabilmente distribuite su diversi sistemi, di diversi provider, in diversi paesi…
limiti giurisdizionaliscarsa armonizzazione delle norme in materiamancanza di accordi internazionaliscarsa collaborazione delle autorità localiritardi burocraticiproblemi di data-retention
Cloud Computing e forensicsCloud Computing e forensics
![Page 62: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/62.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
Nel corso di un'analisi, potrebbe esser problematico stabilire chi ha avuto accesso a quale risorsa…
Tuttavia anche soluzioni per l'analisi forense possono venire dalle nuvole ;-)
Avere una workstation di analisi virtualizzata nella stessa cloud potrebbe rivelarsi una saggia precauzione
Altre risorse potrebbero essere allocate "elasticamente" al momento del bisogno
Il tutto però comporta problemi di sicurezza e di riservatezza non trascurabili
Cloud Computing e forensics Cloud Computing e forensics
![Page 63: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/63.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ConclusioniConclusioni
Le procedure di Computer Forensics sono vulnerabili
nell’hardware nel software nel wetware
Quelle di anti-forensics pure
L’analista ha bisogno di tempo per l’analisi per la formazione
Nessun software fa il lavoro di un investigatore
![Page 64: 2010 02-04 uni-mi_antiforensicmitigation](https://reader034.vdocuments.pub/reader034/viewer/2022050808/55700148d8b42a84618b4fcb/html5/thumbnails/64.jpg)
Chi sono
Anti-forensics
Distruzione
Occultamento
Falsificazione
Prevenzione
Cloud Computing
Contatti
Università degli Studi di Milano
Facoltà di Giurisprudenza
Milano, 04.02.2010
Davide GabriniForensics Jedi
ContattiContatti
Davide Rebus Gabrinie-mail:[email protected]@poliziadistato.it
GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.ascKeyID: 0x176560F7
Queste e altre cazzate su www.tipiloschi.net
<vendor>
Piaciuto? Ne volete ancora? A Milano il 23, 24 e 25 febbraio Corso intensivo IISFA (www.iisfa.it) di Computer e Mobile Forensics
</vendor>