Computer Forensics

WIRELESS E SICUREZZA INFORMATICA:
gli errori più comuni rilevati eseguendo test di intrusione;
simulazione di attacco e computer forensics
Convegno CLUSIS Lugano Communication Forum
“Sicurezza informatica : innanzi tutto un problema di Education”
RELATORI:
• Raoul Chiesa [ CLUSIT, TSTF, ISECOM OPST/OPSA ]
• Andrea Ghirardini [ CLUSIT, CISSP ]
Mercoledì 7 aprile 2004, Palazzo dei Congressi di Lugano (CH)
(c) 2004, DSDLAB
1
Copyright
Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei
trattati internazionali.
Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni
immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati.
Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di
ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per
scopi istituzionali, non a fine di lucro.
Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente a, le
riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in
parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte
dell’autore.
L’informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della
pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in
progetti di impianti, prodotti, ecc.
L’informazione contenuta in queste trasparenze è soggetta a cambiamenti senza
preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste
trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza,
applicabilità ed aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste
trasparenze.
In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere
riportata anche in utilizzi parziali.
(C) 1999-2004 @ Mediaservice.net Srl
(c) 2004, DSDLAB
2
AGENDA
• I relatori
• L’azienda
• Wireless Security: di che cosa parliamo ?
• I problemi del wireless
• Le tipologie di comunicazioni “senza fili”
• Wireless e Proactive Security
• Gli errori più comuni
• Esempi di wireless penetration testing
• Simulazione: attacco via Wi-Fi
• Simulazione: Computer Forensics Analysis
(c) 2004, DSDLAB
3
The Speakers (who’s who)
• Raoul “Nobody” Chiesa
- +10 anni di esperienza “non ufficiale”; primo ethical hacker italiano; +8 anni di
esperienza professionale nel campo del penetration testing e dell’ethical hacking
- Certificato OPST (OSSTMM Professional Security Tester) ed
OPSA (OSSTMM Professional Security Analyst) dall’ISECOM (2002)
- Founder & CTO, @ Mediaservice.net, Divisione Sicurezza Dati/DSD-LAB
- Membro del Comitato Direttivo CLUSIT
- Board of Director’s Member, ISECOM
Institute for Security and Open Methodologies, USA
- Referente per il Sud Europa di T.S.T.F.
Telecom Security Task Force, USA, EU, ASIA
(c) 2004, DSDLAB
4
The Speakers (who’s who)
• Andrea “Pila” Ghirardini
- +10 anni di esperienza “ufficiale” divisa tra società informatiche e di
telecomunicazioni;
- Fondatore di Pila’s Security Services
- Certificato CISSP # 30764
- Esperto di sicurezza specializzato in Computer Forensics ed indagini
informatiche
- Consulente per + 30 procure italiane su indagini di particolare rilievo tecnico
- Consulente per l’Arma dei Carabinieri
- Consulente per la Guardia di Finanza
(c) 2004, DSDLAB
5
The Company (a few words ‘bout us)
• We’r not a “dot-com sec-company” [Est. 1997]
• Privately owned by security professionals, no VCs
• Vendor-independent: no resell, no (re)distribute !
• D.S.D. ( Data Security Division ) since 1998
• Wide Background, Direct Experience
• Internal Tiger Team (’99)
• On-the-Edge consulting expertise
• Unconventional technologies builder
• Strong R&D ( national/intl: scouting, black-box testing,
distributed research, contributes to the world’s security
community )
• Top & Large Companies’s final choice ( Corporate, Telco, IT,
Industry, Chemical, Editorial, Finance, Healthcare and P.A.
Environments )
• Third-party selected partnerships
(c) 2004, DSDLAB
6
Clients Portfolio (extract)
Arma dei Carabinieri (ROS Roma), Ospedale S. Giovanni
Battista di Torino (Ospedale delle Molinette), Banca
Mediocredito Friuli Venezia Giulia, Bo*frost SpA, Bulgari SpA,
CNR di Milano (Security Task Force) Telecom Italia SpA (Italia
ed Estero), Editorial Group “L’Espresso” (La Repubblica,
Kataweb, Radio DJ, etc..), ITC/ILO - International Training
Center of the ILO (ONU), Mirato SpA (Malizia, Clinians and
Intesa brands – settore farmaceutico/chimico), NoiCom SpA,
Pirelli SpA – Corporate Security Department, TIM SpA,
Vodafone Omnitel SpA, University of Udine, University of Milano
(DSI), UNICRI – United Nations Interregional Crime and Justice
Research Institute (ONU), Zyxel Telecommunications Inc.
(TAIWAN), Watchguard Technologies Inc. (USA).
(c) 2004, DSDLAB
7
Scriviamo per
• Mondadori My Tech, Internet News, Apogeo Editore,
PC Magazine ITALIA, Internos, Zeusnews, Linux & C,
ICT Security Magazine, Hackers & C, Editrice La
Stampa, MAX, Fondazione Ugo Bordoni-Telèma
• Feltrinelli, Pearson Italia, Sperling & Kupfler, Apogeo
Editore - supervisione scientifica ed interventi nelle
edizioni italiane di titoli specifici: Matrix Reloaded,
L’arte dell’inganno, Security in Computing, HACKING:
The Art of Exploitation
(c) 2004, DSDLAB
8
Wireless Security:
di che cosa parliamo
?
(c) 2004, DSDLAB
9
I problemi del Wireless
• Lo standard IEEE 802.11* soffre di evidenti e
dichiarate carenze progettuali dal punto di vista dell’IT
Security
• I produttori di dispositivi wireless (vendor) vendono
prodotti tipicamente insicuri
• Il mercato si sta dirigendo sempre di più verso l’IT
Mobility e la Total Convergence
• L’elevatissima diffusione di dispositivi Wi-Fi è
collegato alle direzioni del mercato ed alla continua
riduzione dei prezzi
• Con il termine “Wireless” non intendiamo solo gli
standard 802.11* (ma non confondiamolo con “Mobile”!)
(c) 2004, DSDLAB
10
A/D
Un mondo più complicato...
Mu
y
Networks
Te
tVirtual
i
ltim
EMC
r
N
rm
u
Video
on
A
ed
ina
W Se c
ia
lE
demand
qu Public safety TM
SES
ipm
rline
e
PTS
w
o
P
en
N
SP
t
NA
B-ISDN
D
S
IS
DH TFTS
N
S
BRAN
TM
T
Hip
HF
UP
DECT
erl
ON
R
VSAT
an
R
P
S
A
GSM
D
EE
TR
E
AN
T
L
RL
R
SEC
Intelligent Networks
y
L
it
l
i
ob
V
FIT
M
T
ks
l
ATM
r
D
a
o
L
H
in
UMTS
m
etw
STQ
r
N
e
Teleworking A
T
te
/D
s
a
s
r
o
Ac DTV
le
p
d
ERM
r
r
c
B
o
o
e
D
CTM
A
C
ss
C
V T2
D
Voice over
C
B
Testing Methods
Internet Protocol
(c) 2004, DSDLAB
11
..e tanti STANDARD e tante MODE nel
ciclo economico e sociale dell’IT
Will reach the “plateau” in:
Visibility
Linux
Bluetooth
Biometrics
Portals
Wearable
computers
Synthetic
characters
Quantum
computing
Peak of
inflated
Technology
expectations
trigger
Java
PDAs language
Voice Over IP
E-Cash
Text mining
Digital ink
Less than two years
Two to five years
Five to 10 years
More than 10 years
Jini
Knowledge
management
XML
3D Web
Data Mining
xDSL/Cable modems
Smart Cards
Speech recognition
Trough of
disillusionment
Slope of
enlightenment
(c) 2004, DSDLAB
Fonte: B.Hayward, “Hot Spaces in IT and Comms” e Gartner Group, 2000.
Plateau of
productivity
12
Le TLC tra il 1876 e la fine del secolo
• Plain telephone calls to and from
the one, wired device
• Intelligent agent controlled through
natural speech- the Operator
• Feedback provided as context and
location-related information
• The major end user improvement:
the handset and the telephone box !
• Rotary dial, push keys until 1980+
• Towards personal, mobile,
multimodal, universal, converged
telecommunications
(c) 2004, DSDLAB
13
WIRELESS
(1/2)
Con il termine “wireless” si intende - in senso ampio e
generico - qualsiasi dispositivo in grado di comunicare
con un altro senza l’ausilio di fili (wires) fra di essi.
Quindi, se vogliamo abbracciare l’ICT a 360°….
• Radio Device
- Basato su onde radio
- Utilizzato da dispositivi di input quali mouse e tastiere
• IrDA
- Infrared Data Association
- Basato su infrarossi e quindi, conseguentemente, su uno spazio visivo
molto ristretto e dipendente da fattori discriminanti
(c) 2004, DSDLAB
14
WIRELESS
(2/2)
• Bluetooth
- Basato su onde radio 2.4-2.450Ghz banda ISM (FHSS)
- Primi dispositivi lanciati nel 2001 (headphones)
- Limitato spazio di utilizzo; alti costi; (conflitti di banda ?)
- BT walking, 10-100 mt. range (@stake scan tool per SE-P800)
• IEEE 802.11* aka WI-FI
- Basato su onde radio 2.4GHzm ISM e 5GHz (FHSS, IR)
- Varie generazioni e velocità (2-5.5-11-22-54 Mbit/s)
- Standards: 802.11a (54Mb/s, banda riservata), 802.11b (11 Mb/s,
banda libera), 802.11b+ (22, 54 Mbit/s su banda libera, proprietario),
802.11g (54 e 100 Mbit/s, standard WW e non, su banda libera)
(c) 2004, DSDLAB
15
Wireless Security:
cosa facciamo ?
(c) 2004, DSDLAB
16
Sicurezza Proattiva
• Siamo chiamati da aziende, enti ed istituzioni per
verificare l’effettivo livello di sicurezza esistente
• Per fare ciò, utilizziamo tecniche di intrusione
informatica e di ethical hacking
• Il nostro lavoro è di supporto anche nella compilazione
del DPS (Italia) e nel percorso di certificazione ISO/BSI
• Utilizziamo
metodologie
proprietarie
e
non
(OSSTMM)
(c) 2004, DSDLAB
17
OSSTMM METHODOLOGY:
THE PROACTIVE SECURITY SQUARE
(c) 2004, DSDLAB
18
I principali controlli
Policies (External/Internal)
Passwords/Defaults
Operating System (OS) Bugs
Applications Bugs
….
(c) 2004, DSDLAB
19
Le metodologie di Esecuzione
(c) 2004, DSDLAB
20
OS analizzati durante anni di pentesting
- Motorola XMUX (Gandalf)
- AOS/VS
- BBS Systems
- Bull PAD
- CICS/VTAM
- Cisco IOS
- CDC NOS – Control Data Corporation
- DEC VAX/VMS and AXP/OpenVMS
- DEC Ultrix
- DEC Terminal Decserver
- DG/UX Aviion General
- DOS
- DRS/NX
- GS/1
- HP 3000
- HP/UX 9000
- IBM Aix
- IBM OS/400 (AS/400)
- IRIX SGI
- IRIS Operating System (PDP and others)
- Linux
- Northern Telecom PBXs
- PACX/Starmaster (Starmaster Gandalf)
- Pick Systems
- PRIMOS Prime Computer
- RSTS
- SCO
- Shiva LAN Router
- Sun Solaris
- TOPS 10/20
- Unknown systems
- VCX Pad
- VM/CMS
- VM/370
- XENIX
- WANG Systems
(c) 2004, DSDLAB
21
Know your Enemy: tipologie di hackers
PROFILO PSICOLOGICO
LIVELLO DI PERICOLOSITA’
Wannabe Lamer
NULLO
(Vorrei essere hacker ma non ci riesco….)
Script Kiddie
BASSO
(Il ragazzo degli script)
Cracker
ALTO
(Terra bruciata, il Distruttore)
Ethical Hacker
MEDIO
(L’Hacker “Etico”)
Quiet, paranoid, skilled hacker
MEDIO
(L’hacker taciturno, paranoico, specializzato)
Cyber-Warrior
ALTO
(Il mercenario, hacking a pagamento)
Industrial Spy
ALTO
(La spia– Spionaggio industriale)
Government agent
ALTO
(L’agente governativo, CIA, Mossad, FBI, etc..)
(c) 2004, DSDLAB
22
(c) 2004, DSDLAB
23
(c) 2004, DSDLAB
24
Gli errori più tipici
• Installazioni “di default”
• Password di accesso Standard o Deboli
• Mancanza di hardening all’AP
• Mancanza di cifratura WEP-> sniffing delle credenziali
• Cifratura WEP debole (40 bit, weak passphrases)
• Mancanza di una visione globale
• Possibilità di bypassare l’AP “parlando” direttamente
con gli switch di rete o il server RADIUS
• Interfaccia web abilitata
(c) 2004, DSDLAB
25
IEEE 802.11b: PROBLEMI
• Broadcast network
Tutto arriva a tutti -> FM Radio style
•
Il campo di azione non è controllabile
Non c’è più bisogno di “trovare la strada”: si attacca dalla strada
• Algoritmi di cifratura deboli e mal implementati
Il WEP (Wired Equivalent Privacy) è crackabile a brute force; oggi con un
normale PC sono sufficienti pochi giorni di CPU
• Mancanza di cultura della sicurezza e del buon
senso (un pò come sul broadband...)
Le contromisure quali WEP e MAC Address Filtering non sono quasi
adottate; il WEP è sempre a 56bit e non a 104 o 232; easy passphrase
(c) 2004, DSDLAB
26
WI-FI: Unauthorized Access
• Intrusioni casuali
– Hackers curiosi (unmalicious hacking)
– Censimento reti wireless in una città
– Script Kiddies
• Intrusioni non casuali
– Terrorismo, Company resources Abuse
– Spionaggio industriale (malicious hacking)
• Tecniche di intrusione
- Utilizzo di schede wireless, modificate e non, in maniera da rintracciare
Access Point anche a distanze non normali, grazie a speciali antenne
WarDriving
- Utilizzo di una vettura come copertura e per lo spostamento
WarWalking
- Non si utilizza nessun mezzo di trasporto (mall, centro città, ….)
War*
- (biking, public bus, ….)
(c) 2004, DSDLAB
27
Tipologie e logiche di attacco in
ambienti Wireless
Fonte:
(c) 2004, DSDLAB
28
WI-FI: le problematiche nell’utilizzo
delle onde radio
• L’utilizzo di onde radio non permette di controllare
l’esatta propagazione del segnale
– Il segnale non essendo controllato si diffonde nell’ambiente
circostante, e arriva anche a distanze molto maggiori, seppur molto
debole
– Grazie a speciali antenne è possibile amplificare il segnale in entrata e
in uscita annullando così la debolezza
(c) 2004, DSDLAB
29
WI-FI: strumenti per la Sicurezza Proattiva
(c) 2004, DSDLAB
30
WI-FI: Wardriving Results (Torino)
(c) 2004, DSDLAB
31
WI-FI: Wardriving Results (NYC)
(c) 2004, DSDLAB
32
WI-FI: WarDriving Results (S.F.)
(c) 2004, DSDLAB
33
WI-FI: WarDriving Results (Silicon Valley)
(c) 2004, DSDLAB
34
Wireless Security:
Qualche esempio
(c) 2004, DSDLAB
35
(c) 2004, DSDLAB
36
(c) 2004, DSDLAB
37
TABELLA 2 – Reti wireless esaminate
Località
Xabcxabc 1
Xbcd Xbcd
Xbcd Xbcd
Xbcd Xbcd
FGHI
FGHI
FGHI
Yabcyabc
Yabcyabc
Xzxzxzxzxzx
270
Xyabcxya
Xyabcxya
Xyxyxyx 73
Xyxyxyx 73
Xyxyxyx 73
Xyxyxyx 104
SSID
Xabcxabc-WLAN
yxkjyx
lmnolmno
xybnmxybnm
YZX-YZX
X099 WLAN
X099 FRONTEND
102
wlan
X&Y wireless
Vendor
Nokia
Cisco-Aironet
Cisco-Aironet
Cisco-Aironet
Nokia
Nokia
Nokia
Symbol
Cisco-Aironet
Delta Networks
WEP
No
No
Si
Si
No
No
No
No
No
No
#AP
6
2
1
1
2
1
1
1
1
1
xhxhxh
xaxaxa
X72-32-33
Byz-33-11
XXXXTEST
Ufficio
Cisco-Aironet
Cisco-Aironet
Cisco-Aironet
Intel
N/A
N/A
Si
Si
No
Si
No
Si
1
1
1
1
1
2
24
(c) 2004, DSDLAB
38
TABELLA 4 – Livello di vulnerabilità
Località
Xabcxabc 1
Xabcxabc 1
Xabcxabc 1
Xabcxabc 1
Xabcxabc 1
Xabcxabc 1
Xbcd Xbcd
Xbcd Xbcd
Xbcd Xbcd
Xbcd Xbcd
FGHI
FGHI
FGHI
FGHI
Yabcyabc
Yabcyabc
Xzxzxzxzxzx
270
Xyabcde
Xyabcde
Xyxyxyx 73
Xyxyxyx 73
Xyxyxyx 73
Xyxyxyx 104
Xyxyxyx 104
1
SSID
Xabcxabc-WLAN
Xabcxabc-WLAN
Xabcxabc-WLAN
Xabcxabc-WLAN
Xabcxabc-WLAN
Xabcxabc-WLAN
yxkjyx
yxkjyx
lmnolmno
xybnmxybnm
YZX-YZX
YZX-YZX
X099 WLAN
X099 FRONTEND
102
Wlan
X&Y wireless
Canale
1
1
1
6
6
6
7
7
7
7
1
5
5
1
1
1
6
Indirizzamento
90.99.200.0/25
90.99.200.0/25
90.99.200.0/25
90.99.200.0/25
90.99.200.0/25
90.99.200.0/25
90.99.22.0/24
90.99.22.0/24
N/A
N/A
90.99.200.0/24
90.99.200.0/24
N/A (Ipv6)
N/A (Ipv6)
N/A
N/A
90.76.69.0/24
Vulnerabilità
Media
Media
Media
Media
Media
Media
Molto Grave
Molto Grave
Bassa
Bassa
Media
Media
Bassa
Bassa
N/A
N/A
Media
Xhxhxh
Xaxaxa
X98_ALT_02
X99TEST
XXXXTEST
Ufficio
Ufficio
1
1
7
1
7
7
8
N/A
N/A
90.33.66.0/24
N/A
N/A
N/A
N/A
Bassa
Bassa
Bassa
Bassa
N/A
Bassa
Bassa
Visual Alert
CONCLUSIONI
(c) 2004, DSDLAB
39
[root@okip202] # cat > PEN-TEST.TXT
questa macchina è stata violata nel corso dell'attività di assessment del
23/01/2003 commissionata da Sicurezza Aziendale
^D
¾ Dopo aver inserito il messaggio sopra riportato nel file PEN-TEST.txt sulla root directory del sistema
okip202, visualizziamo l’elenco degli hosts (/etc/hosts) della macchina, al fine di comprendere in quale
aree operativa ci troviamo.
[root@okip202] # cat /etc/hosts
# Internet host table
#
127.0.0.1
localhost
#xxxx workstation
90.128.201.109 oksp022.kjy.Xxxxxx.it
90.22.35.56
okip202.Xxxxxx.it
oksp022
okip202 loghost
90.128.202.76
90.128.202.77
ojh022.kjy.Xxxxxx.it ojh022
gbos025.kjy.Xxxxxx.it gbos025
90.128.200.91
90.128.200.92
90.128.200.93
90.128.200.76
90.128.200.77
okm231.kjy.Xxxxxx.it
okm232.kjy.Xxxxxx.it
okm233.kjy.Xxxxxx.it
okm264.kjy.Xxxxxx.it
okm977.kjy.Xxxxxx.it
okm231
okm232
okm233
okm264
okm977
#logical hosts
90.128.201.100
90.128.201.101
okm024.kjy.Xxxxxx.it
okm025.kjy.Xxxxxx.it
okm024
okm025
(c) 2004, DSDLAB
40
(c) 2004, DSDLAB
41
(c) 2004, DSDLAB
42
Cosa faremo ora
• Simulazione di un attacco via Wi-Fi, con
compromissione dei sistemi server sulla rete interna
• Utilizzeremo un normale notebook con scheda wireless
• In seguito all’intrusione, effettueremo una Forensics
Analysis su uno dei sistemi server compromessi (SUN
Solaris)
(c) 2004, DSDLAB
43
Computer Forensics:
qualche cenno su un
problema sottovalutato
(c) 2004, DSDLAB
44
L’evoluzione della specie…
Forensics in principio…
• La vita in principio era semplice:
– Si arrivava in casa dell’indagato e si
sequestrava tutto, tappettini compresi
– Poi si analizzava il tutto durante l’anno
successivo…
(c) 2004, DSDLAB
45
L’evoluzione della specie…
Forensics in principio… II
• Poi qualcuno, specialmente coloro che
sono stati scagionati, ha sollevato il
dubbio
del
“danno
economico”
derivante:
– Dal mancato utilizzo delle apparecchiature
– Dall’invecchiamento delle stesse in qualche
procura…
(c) 2004, DSDLAB
46
L’evoluzione della specie…
Forensics in principio… II
• Si è quindi cominciato a lavorare con
delle metodologie di “computer
forensics”:
– Copie “bit-a-bit”
– Affidamento delle indagini a personale
specializzato
– Riduzione dei tempi di analisi ;-P
(c) 2004, DSDLAB
47
Computer Forensics:
L’incubo…
• La tecnologia comunque continua a
progredire e quindi la vita del computer
forenser (ma anche delle forze
dell’ordine) diventa sempre più
difficoltosa….
(c) 2004, DSDLAB
48
Computer Forensics:
L’incubo II
• Nuovi media:
–
–
–
–
Dischi fissi rimuovibili
Memorie Flash di vario formato
Chiavi USB
Lettori Mp3 (iPOD, Creative JukeBox, Archos
Multimedia Jukebox)
– Computer Palmari
• Sistemi operativi di varia natura:
–
–
–
–
La famiglia (sempre più numerosa) degli Windows
MacOSX
Linux in tutte le sue varianti
I *BSD
(c) 2004, DSDLAB
49
Computer Forensics:
L’incubo III
• Tutto questo introduce una serie di
problemi del tutto nuovi:
– Non banalmente, trovare i supporti (avete
presente quanto è grande una SSD o una MMC?)
– Esaminare questi supporti di cui sopra tenendo
conto del sistema operativo che le ha utilizzate
– Esaminare una macchina violata tenendo conto
delle peculiarità del sistema
(c) 2004, DSDLAB
50
Computer Forensics:
i tool
• Spendereste mai i soldi necessari per
comperare una Ferrari se questa:
– Avesse il motore di una Punto?
– Avesse tre ruote?
– Funzionasse solamente sulle autostrade
pavimentate con un determinato tipo di asfalto?
– Avesse una vernice metallizzata unica nel suo
genere?
(c) 2004, DSDLAB
51
Computer Forensics:
i tool II
• Comprereste un tool di analisi forense
che…
– Analizza solamente alcuni file system (E’
noto che i criminali usano esclusivamente
Windows….)
– E’ specializzato in alcune operazioni
– Non gestisce media alternativi
– Però fa dei report bellissimi…
(c) 2004, DSDLAB
52
Computer Forensics:
i tool III
• Con il procedere della tecnologia ci si
rende tristemente conto che:
– Non si può lavorare con un software che
non segua l’evoluzione tecnologica con
la stessa velocità
– Non esistono tool per il forensics “all-inone”
(c) 2004, DSDLAB
53
Computer forensics:
indagini sul cavo I
• Ci sono occasioni in cui si deve
effettuare l’analisi live, specialmente
nel caso si scopra un crimine in atto:
– In tal caso l’indagine vertirà su una serie di
fattori chiave:
• Analisi dei log
• Analisi del traffico di rete
(c) 2004, DSDLAB
54
Computer forensics:
indagini sul cavo II
• Un sistema Linux (o *BSD) ci può
venire in aiuto con una serie di tool
specifici in grado di catturare e
analizzare il traffico
• I formati dati sono inoltre interoperabili,
cosa non sempre vera nel mondo
commerciale
(c) 2004, DSDLAB
55
Computer forensics:
indagini sul cavo II
• “Snort”
• Snort non solo è un ottimo sistema per l’IDS ma è un
validissimo prodotto anche per effettuare sniffing di
traffico di rete
• “tcpdump”
• Uno degli “standard de facto” nel campo degli sniffer,
utile specie se la velocità del backbon non è elevatissima
• “Ethereal”
• Tool sotto X per l’analisi del traffico. E’ in grado sia di
effettuare lo sniffing in autonomia sia di utilizzare i
dump prodotti da snort e tcpdump
(c) 2004, DSDLAB
56
CONTATTI
WIRELESS E SICUREZZA INFORMATICA:
gli errori più comuni rilevati eseguendo test di
intrusione; simulazione di attacco e
computer forensics
UNCONVENTIONAL TECHNOLOGIES FOR
Raoul Chiesa, [email protected]
THE CORPORATE SECURITY & IMAGE
Andrea Ghirardini, [email protected]
http://www.mediaservice.net
(c) 2004, DSDLAB
http://www.pilasecurity.com
57