La mia presentazione alla lezione 0 del corso di perfezionamento sulla computer forensics e le investigazioni digitali dell'università Statale di Milano a Gennaio 2010. Una introduzione ai concetti di computer forensics e acquisizione della prova digitale.
2. Sherlock Holmes
in
Uno studio in RGB
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
3. Titoli di testa
A fine tale by
Claudio Criscione
Principal Consultant @ Secure Network
Dottorando @ Politecnico di Milano
c.criscione@securenetwork.it
twitter.com/paradoxengine
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
4. Uno studio in RGB
Holmes è alle prese con un nuovo caso
ma questa volta, l'anno è il 2010
ed invece di un assassino ha un complotto
per uccidere la regina da sventare
Ovviamente, c'è l'informatica di mezzo.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
5. Pensare al processo
Il primo problema che Holmes dovrà
affrontare sarà come iniziare ad indagare
Dopo l'esperienza delle cascate di
Reichenbach, preferisce l'idea di aiutare la
polizia
Come, dunque, può analizzare questi nuovi
“computatori”?
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
6. Scientifico (?)
● Chiediamo a Wikipedia
● Per scienza si intende un complesso organico di conoscenze ottenuto
con un processo sistematico di acquisizione delle stesse allo scopo di
giungere ad una descrizione precisa della realtà fattuale delle cose
e delle leggi in base alle quali avvengono i fenomeni.
● In ambito moderno, gli elementi chiave del metodo scientifico sono
l'osservazione sperimentale di un evento, la formulazione di un'ipotesi
generale sotto cui questo evento si verifichi, e la possibilità di
controllo dell'ipotesi mediante osservazioni successive.
● Per Holmes, il fulcro è la ripetibilità.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
7. Il dato
Datum : fatto
Una descrizione elementare di un ente
Nel mondo digitale, una sequenza di 1 e 0
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
8. Sistemi che manipolano dati
Povero Sherlock!
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
9. Divide et impera: il perimetro
Anche Holmes ha
risorse finite
Per cui decide di
concentrarsi su
quanto ha a
disposizione.
Analizzerà i
dispositivi più classici
e semplici.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
10. Occhi aperti
Per fortuna è
Sherlock Holmes
Altrimenti avrebbe
potuto non notare
quel piccolo Key
Logger attaccato alla
tastiera...
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
11. Pista calda?
2 modalità per affrontare il problema
Live
L'odore di Moriarty non è lontano
In laboratorio
In questo caso se non altro c'è il violino.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
12. Cosa analizzare?
Holmes e Watson si interrogano
Dove si troverà il dato, su questo
computer?
Nei registri, nella cache, nel cavo, nei CD,
nei floppy, nei dischi rigidi...
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
13. L'originale
Perché un esperimento sia ripetibile, abbiamo
bisogno che la torre di Pisa e la palla di cannone non
cambino significativamente
E' pur sempre possibile modificare la prova.
Dobbiamo conservarla!
Due differenze fondamentali tra il mondo digitale e
quello analogico
Possibilità di copia
Facilità di alterazione
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
14. E se Watson fosse ipnotizzato?
Sherlock deve poter garantire che l'originale
non venga alterato da nessuno
Ha bisogno di garantire che esista una
Catena di Custodia documentata e ferrea!
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
15. Dietro le quinte: la copia
Vogliamo realizzare una COPIA ESATTA
Una normale copia non va bene: metadati!
Una copia scientificamente valida ha tutte le
proprietà rilevanti dell'originale: è una
copia bit-a-bit
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
16. Acquisizione
In genere si parla di acquisizione indicando
il processo di trasferimento dall'Originale
alla Copia Forense.
Per sicurezza, spesso si realizza anche una
copia di Lavoro oltre a quella Forense.
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
17. Software
Numerosi software
sono in grado di
effettuare la copia
Gratuiti, commerciali,
per Windows o Linux
Distribuzioni
specializzate
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
18. Un dubbio...
“Eppure Watson”, fa notare Sherlock “se qualcuno
modificasse questo programma per favorire Moriarty
noi non lo sapremmo: chi sa come funziona questa
diavoleria!”
L'obiezione è assolutamente rilevante
Ed è il motivo per cui dovremmo sempre usare
software Open Source.
Non è importante solo il risultato, ma anche il
processo con il quale viene raggiunto, vero Sherlock?
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
19. Hardware
Anche il software OpenSource non ci mette
al riparo dall'errore umano
Per questo, è una buona idea usare
dell'Hardware specifico
Write Blocker
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
20. Demo
Acquisiamo una partizione da un disco
rigido esterno mediante Write Blocker
Useremo il software OpenSource dcfldd
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
21. Obiezione, vostro onore!
L'avvocato di Moriarty non si fa attendere
Prima ancora di aver visionato le deduzioni
di Holmes, fa notare che “certo, la copia
all'inizio era identica” ma “è stata alterata
in seguito”
Sherlock è in difficoltà: anche giurare sul
suo buon nome non servirà
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
22. Un po' di matematica: l'Hash
Ma fortunatamente Holmes è un buon matematico e sa cosa è una
funzione di Hashing
Da un numero di N cifre ad uno di K cifre
Piccole variazioni = grandi cambiamenti
Origine => Hash SI
Hash => Origine NO
Origine 1 => Hash 1; Origine 2 => Hash 2 SI
Origine 1 => Hash 1; Origine 2 => Hash 1 NO*
*Non arbitrariamente, almeno
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
23. Hash e forensic
Disco Originale => Hash Org
Disco Originale => Copia
Copia => Hash Cop
Verifico che
Hash Cop = Hash Org
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
24. Demo
Calcoliamo l'hash del disco e della sua
immagine
Modifichiamo l'immagine e ricalcoliamo
l'hash
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
25. E se fin qui era facile...
Il criminale del nuovo millennio non si
accontenta di un computer con dischi rigidi:
cellulari, router, stampanti...
La parte migliore? Le metodologie
cambiano da dispositivo a dispositivo...
Vediamo qualche esempio
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
26. HD v 2.0
●
Un “semplice” disco rigido potrebbe
●
Avere una partizione nascosta
●
Essere cifrato
●
Essere formattato in un formato
“proprietario”
●
Essere rotto
●
Avere un connettore o un bus particolare
(Ultra SCSI 3220 semi-wide in RAID 3 e
mezzo in notazione polacca inversa)
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
27. Cellulari
●
Una brutta bestia!
●
Sistemi proprietari
●
Difficoltà hardware
●
Backdoor, service mode etc...
●
E d'altra parte...
●
Tracce di accesso alla rete
●
Storage locale
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
28. Router
●
Anche le appliance di casa come i router
possono contenere informazioni critiche
●
Accedere alle informazioni che
contengono non è affatto facile
●
JTAG
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
29. A connected world
Ma non basta!
Wireless e mobile computing hanno
disgregato i concetti di località del dato
Qualcuno spieghi a Sherlock che quel
cellulare può collegarsi a qualsiasi sito Web
per comunicare, disporre...
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
30. Rappresentazione del dato
Sherlock scoprirà presto che questo...
0101011101000100101
Non è più utile di questo
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali
31. Analizzare i dati
Per questo, dovrà usare tecniche specifiche per
“decifrare” quei numeri e dargli un significato
A volte sarà necessario bypassare il Sistema
Operativo (il bibliotecario) che si rifiuta di
interpretare alcuni bit (i libri proibiti)
Altro che “Elementare, Watson”!
Ma questo è argomento della prossima puntata!
Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e
investigazioni digitali