SlideShare uma empresa Scribd logo
1 de 20
Baixar para ler offline
      Indagini Digitali: Linux e l'Analisi Forense


                            Gianni Amato




                                    
                                           LinuxDay 2008
                                           Reggio Calabria




                               http://www.cfitaly.net              1
Gianni Amato ­ LinuxDay08
CFI – Computer Forensics Italia


            Mailing list (..almeno finora)
        

            Si analizzano insieme i casi reali
        

            E' ispirata alla filosofia dell’Open Source
        

            Documentazione e sviluppo di forensics tools
        

            Corsi, convegni, rappresentanze
        

            Game
        




                                 http://www.cfitaly.net    2
Gianni Amato ­ LinuxDay08
Security && Forensics




               Prepara                                     Investiga
                                                 

               Previene                                    Analizza
                                                 

               Riduce                                      Recupera
                                                 




                                  http://www.cfitaly.net               3
Gianni Amato ­ LinuxDay08
Security && Forensics



                                Incidente



        Reazione                                           Ripristino




                                  http://www.cfitaly.net                4
Gianni Amato ­ LinuxDay08
Computer Forensics


La disciplina che si occupa dell’identificazione, dello studio 
e della preservazione dei dati presenti su un computer al 
fine di evidenziare prove di reati informatici.


Quindi per le indagini giudiziarie (...e non solo).


Il computer come fonte di prova.



                                 http://www.cfitaly.net           5
Gianni Amato ­ LinuxDay08
E' compito dell'Esaminatore Forense


     Studiare e ricostruire la scena del crimine informatico




     Analizzare le evidenze informatiche mediante 


    metodologie scientifiche

     Presentare i risultati



Qundi: fornire risultanze che abbiano un valore legale e garantire che nulla 
    abbia subito alterazioni in fase di analisi.




                                    http://www.cfitaly.net                      6
Gianni Amato ­ LinuxDay08
Perchè Linux?

      E' open source e questo comporta notevoli vantaggi:


         il sorgente è visionabile da chiunque.

         lunga vita alle vecchie versioni (facilmente reperibili).

      Linux supporta una enorme quantità di filesystem diversi.


      Linux dispone di numerosi tools per la forensics.


      Linux permette di montare le unità e i supporti removibili in 


     modalità solo lettura (read­only).
      ...Bash è poesia.




                                 http://www.cfitaly.net               7
    Gianni Amato ­ LinuxDay08
Device
                                                         hd = IDE
                                                         sd = SCSI

                                                         sda = 1° disco
                                                         sdb = 2° disco




sda1 = prima partizione logica del primo disco
sda2 = seconda partizione logica del primo disco

                                http://www.cfitaly.net               8
Gianni Amato ­ LinuxDay08
La Copia Forense

                 Non agire mai sul supporto originale

    Clonazione


    File immagine




esempi dd
# dd if /dev/hda of=/mnt/disk/immagine.dd bs 512 count=noerror sync
# dd if /dev/hda | nc 10.0.0.1 1234
# dd if=/dev/zero of=/dev/hda



                                http://www.cfitaly.net                9
Gianni Amato ­ LinuxDay08
Validazione

                 Confronto della copia con l'originale

L'Algoritmo di Hashing. Esiste ed è unico!


# md5sum /dev/hda                            # sha1 /dev/hda
# md5sum  /mnt/disk/immagine.dd              # sha1 /mnt/disk/immagine.dd



Hash collision?




                                http://www.cfitaly.net                      10
Gianni Amato ­ LinuxDay08
Analisi



                    Analisi Live
                

                       Live CD

                                device, ram, processi, history
                            


                    Analisi Post­Mortem
                

                       Copia forense

                                file, logs, images, registry
                            




                                       http://www.cfitaly.net    11
Gianni Amato ­ LinuxDay08
Alcune metodologie


                                                     Contatti e conversazioni chat
                                                
    Timeline activity

                                                     Carving (filetype / header)
                                                
    Caratteristiche del filesystem

                                                     Cronologia e siti preferiti
                                                
    Registry Review                                  Recupero file eliminati
                                               

                                                     Metadata e Active Data Stream
    File temporanei                             

                                                     Corrispondenza elettronica
                                                
    Ricerca delle keywords


    Ricerca immagini





                                     http://www.cfitaly.net                          12
Gianni Amato ­ LinuxDay08
Analisi protocolli


                                                          Wireshark


                                                          • cattura
                                                          • filtra
                                                          • ordina
                                                          • analizza




(libpcap)


                                 http://www.cfitaly.net                13
 Gianni Amato ­ LinuxDay08
L'Autopsia
 Wikipedia: L'autopsia, chiamato anche esame post­mortem, è un esame medico 
 dettagliato ed attento del corpo e dei relativi organi della persona dopo la morte 
 per stabilirne le cause, le modalità ed eventualmente i mezzi che l'hanno prodotta




...l'autopsia di un disco non è poi così diversa da quella di un corpo umano

                                   http://www.cfitaly.net                       14
  Gianni Amato ­ LinuxDay08
Recupero dei dati


                             Quando è possibile?




                                http://www.cfitaly.net   15
Gianni Amato ­ LinuxDay08
Carving



<header>
...
...
...
</footer>


                            http://www.cfitaly.net   16
Gianni Amato ­ LinuxDay08
Trova le differenze




                                http://www.cfitaly.net   17
Gianni Amato ­ LinuxDay08
Risalire alla foto originale



                                                              EXIF && THUMBNAIL




                                     http://www.cfitaly.net                       18
Gianni Amato ­ LinuxDay08
Domande




                                 ?

                            http://www.cfitaly.net   19
Gianni Amato ­ LinuxDay08
Info && Contatti

          Gianni Amato

          Web:              http://www.gianniamato.it
                            http://www.securityside.it

          E­mail:           gianni.amato@gmail.com
                             amato@securityside.it

          Cell:             +39 320 28 42 382



                                    http://www.cfitaly.net   20
Gianni Amato ­ LinuxDay08

Mais conteúdo relacionado

Destaque

Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksMarco Morana
 
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesCNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesSam Bowne
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware AnalysisAndrew McNicol
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysisMichael Boman
 

Destaque (13)

Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory Analysis
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
ATP
ATPATP
ATP
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware Attacks
 
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesCNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
 
ATM Malware: Understanding the threat
ATM Malware: Understanding the threat	ATM Malware: Understanding the threat
ATM Malware: Understanding the threat
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware Analysis
 
Malware
MalwareMalware
Malware
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis
 

Mais de Gianni Amato

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioGianni Amato
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioGianni Amato
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet ForensicsGianni Amato
 

Mais de Gianni Amato (6)

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggio
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence Platform
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet Forensics
 

Indagini Digitali: Linux e l'Analisi Forense

  • 1.       Indagini Digitali: Linux e l'Analisi Forense Gianni Amato   LinuxDay 2008 Reggio Calabria http://www.cfitaly.net 1 Gianni Amato ­ LinuxDay08
  • 2. CFI – Computer Forensics Italia Mailing list (..almeno finora)  Si analizzano insieme i casi reali  E' ispirata alla filosofia dell’Open Source  Documentazione e sviluppo di forensics tools  Corsi, convegni, rappresentanze  Game  http://www.cfitaly.net 2 Gianni Amato ­ LinuxDay08
  • 3. Security && Forensics Prepara Investiga   Previene Analizza   Riduce Recupera   http://www.cfitaly.net 3 Gianni Amato ­ LinuxDay08
  • 4. Security && Forensics Incidente Reazione Ripristino http://www.cfitaly.net 4 Gianni Amato ­ LinuxDay08
  • 6. E' compito dell'Esaminatore Forense  Studiare e ricostruire la scena del crimine informatico   Analizzare le evidenze informatiche mediante   metodologie scientifiche  Presentare i risultati  Qundi: fornire risultanze che abbiano un valore legale e garantire che nulla  abbia subito alterazioni in fase di analisi. http://www.cfitaly.net 6 Gianni Amato ­ LinuxDay08
  • 7. Perchè Linux?  E' open source e questo comporta notevoli vantaggi:    il sorgente è visionabile da chiunque.   lunga vita alle vecchie versioni (facilmente reperibili).  Linux supporta una enorme quantità di filesystem diversi.   Linux dispone di numerosi tools per la forensics.   Linux permette di montare le unità e i supporti removibili in   modalità solo lettura (read­only).  ...Bash è poesia.  http://www.cfitaly.net 7 Gianni Amato ­ LinuxDay08
  • 8. Device hd = IDE sd = SCSI sda = 1° disco sdb = 2° disco sda1 = prima partizione logica del primo disco sda2 = seconda partizione logica del primo disco http://www.cfitaly.net 8 Gianni Amato ­ LinuxDay08
  • 9. La Copia Forense Non agire mai sul supporto originale Clonazione  File immagine  esempi dd # dd if /dev/hda of=/mnt/disk/immagine.dd bs 512 count=noerror sync # dd if /dev/hda | nc 10.0.0.1 1234 # dd if=/dev/zero of=/dev/hda http://www.cfitaly.net 9 Gianni Amato ­ LinuxDay08
  • 10. Validazione Confronto della copia con l'originale L'Algoritmo di Hashing. Esiste ed è unico! # md5sum /dev/hda # sha1 /dev/hda # md5sum  /mnt/disk/immagine.dd # sha1 /mnt/disk/immagine.dd Hash collision? http://www.cfitaly.net 10 Gianni Amato ­ LinuxDay08
  • 11. Analisi Analisi Live   Live CD device, ram, processi, history  Analisi Post­Mortem   Copia forense file, logs, images, registry  http://www.cfitaly.net 11 Gianni Amato ­ LinuxDay08
  • 12. Alcune metodologie Contatti e conversazioni chat  Timeline activity  Carving (filetype / header)  Caratteristiche del filesystem  Cronologia e siti preferiti  Registry Review  Recupero file eliminati   Metadata e Active Data Stream File temporanei   Corrispondenza elettronica  Ricerca delle keywords  Ricerca immagini  http://www.cfitaly.net 12 Gianni Amato ­ LinuxDay08
  • 13. Analisi protocolli Wireshark • cattura • filtra • ordina • analizza (libpcap) http://www.cfitaly.net 13 Gianni Amato ­ LinuxDay08
  • 14. L'Autopsia Wikipedia: L'autopsia, chiamato anche esame post­mortem, è un esame medico  dettagliato ed attento del corpo e dei relativi organi della persona dopo la morte  per stabilirne le cause, le modalità ed eventualmente i mezzi che l'hanno prodotta ...l'autopsia di un disco non è poi così diversa da quella di un corpo umano http://www.cfitaly.net 14 Gianni Amato ­ LinuxDay08
  • 15. Recupero dei dati Quando è possibile? http://www.cfitaly.net 15 Gianni Amato ­ LinuxDay08
  • 16. Carving <header> ... ... ... </footer> http://www.cfitaly.net 16 Gianni Amato ­ LinuxDay08
  • 17. Trova le differenze http://www.cfitaly.net 17 Gianni Amato ­ LinuxDay08
  • 18. Risalire alla foto originale EXIF && THUMBNAIL http://www.cfitaly.net 18 Gianni Amato ­ LinuxDay08
  • 19. Domande ? http://www.cfitaly.net 19 Gianni Amato ­ LinuxDay08
  • 20. Info && Contatti Gianni Amato Web: http://www.gianniamato.it http://www.securityside.it E­mail:  gianni.amato@gmail.com  amato@securityside.it Cell: +39 320 28 42 382 http://www.cfitaly.net 20 Gianni Amato ­ LinuxDay08