Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale
Transcript
Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale
Soluzioni e sicurezza per applicazioni mobile e payments Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale di intrusione abusiva MARCO ZANOVELLO Venezia, 27 settembre 2013 Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 1 Metodi per la forensic analysis e il recupero dei dati. Un caso reale di intrusione abusiva Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 2 Soluzioni e sicurezza per applicazioni mobile e payments Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella sperimentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese. SPONSOR DELL’EVENTO Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 3 MARCO ZANOVELLO Sono Direttore Tecnico presso Yarix S.r.l., dove mi mi occupo di sicurezza informatica e analisi forense Laureato in Ingegneria Elettronica all’Università degli Studi di Padova Lead Auditor ISO 27001 Lead Auditor ISO 20000 CISA ITIL V3.0 Foundation Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 4 ABSTRACT Speso accade che il fatto di trascurare dettagli apparentemente banali può portare a conseguenze disastrose. Ciò è vero in moltissime situazioni, incluse quelle che coinvolgono aspetti legati alla sicurezza informatica e alla gestione della sicurezza delle informazioni. Nel seguito si presenterà un esempio (basato su un caso reale anonimizzato) di quali possano essere le conseguenze di un accesso abusivo ad una rete informatica, e le modalità con cui si sono gestite le operazione di recupero dati e di individuazione delle cause e dei responsabili dell’azione illecita. Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 5 Agenda • DEFINIZIONE DELLO SCENARIO E BREVE ANTEFATTO • IL «D-DAY» • GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI • L’ATTIVITA’ INVESTIGATIVA Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 6 Lo Scenario - Azienda a ristretta base azionaria - Multinazionale con filiali in 10 paesi esteri - Gestione IT centralizzata e monopolizzata da una persona Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 7 Lo Scenario - Dal 2010 al 2012 si verificano una serie di fuoriuscite di dipendenti che avviano una attività concorrente - Nel 2012 se ne va anche l'IT manager Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 8 Il «D-Day» Lunedì mattina, ore 8.00: - Il server di posta non risponde più Il file server non risponde più Il gestionale non risponde più I file locali improvvisamente spariscono …. Azienda bloccata !! Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 9 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI DEFINIZIONE DEL PERIMETRO - Infrastruttura Virtuale - Storage condiviso (SAN) - Dominio Active Directory Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 10 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI DIAGNOSI - VM Cancellate da LUN - Backup criptato (Truecrypt) - Logon script modificato per cancellare tutti i dati anche sui pc client …… non è stato un incidente !! Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 11 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI ESIGENZA AZIENDALE: - Il Business non si deve fermare ⇒ Necessità di attuare attività sistemistiche di ripristino ESIGENZA INVESTIGATIVA: - La scena criminis non deve essere modificata ⇒ Necessità di individuare e preservare le evidenze - Spegnimento di tutti sistemi - SAN - Server - Firewall (VPN) Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 12 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI CONDIZIONI AL CONTORNO - RAID - Dischi SAS - Volumi in RAID - LUN accessibili solo via FC - 5TB di dati effettivi Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 13 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI PRECEDENZA ALL’ACQUISIZIONE FORENSE - Blocco ulteriori possibilità di connessioni esterne di tutte le sedi - Boot mediante cd Caine su Host ESX (collegamento FC verso SAN) - Acquisizione con Guymager su supporto collegato via USB all’host ESX - Tempi non stimabili a priori OBBIETTIVO - Ricerca partizioni cancellate con Encase - SAN formattata VMFS (FS proprietario Vmware) - Dischi virtuali delle VM contenuti nella partizione VMFS - Partizioni dischi VM in formato NTFS Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 14 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI RECUPERO DELLE VIRTUAL MACHINES Utilizzo dell’MBR come indicatore - Si trova nel settore 0 del disco - Esiste solo 1 MBR in ogni disco - Ha una dimensione di 512 byte - Contiene il codice per eseguire il VBR - Ha una firma 0x55 0xAA (magic number) Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 15 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI RIPRISTINO A BUON FINE MA ….. - Presenza Snapshot VM mai reintegrati ⇒ Ripristino parziale (allo stato dello snapshot) - Gestione LUN operate da SAN ⇒ Alcuni dati corrotti (settori reallocati dalla SAN) Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 16 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI RICERCA PER FILE SIGNATURE - File carving: Identificare il tipo di un file mediante sequenze note di byte - - Header - Footer 50 4B 03 04 14 00 06 00 Microsoft Office Open XML Format Document FF D8 FF E0 xx xx 4A 46 49 46 00 JPEG/JFIF Graphic Files 45 6C 66 46 69 6C 65 00 Windows Vista event log file Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 17 GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI ESITO - - Recupero di file essenziali per l’azienda… - Documenti Word con listini - Immagini di etichette dei prodotti …e per l’attività investigativa - Log eventi di Windows Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 18 ATTIVITA’ INVESTIGATIVA OBBIETTIVO PRIMARIO: Individuazione IP provenienza attacco Dati considerati: - Event Log Windows - Recuperati usando file carving - Event Log classici svuotati … - … ma i nuovi event log 2008 no !! ⇒ Connessione RDP proveniente da server sede estera azienda (VPN) - Log Firewall - Non salvati su alcun syslog !!! - Locali al firewall (su SD) risalenti al 2010 RISULTATO: l’attacco è arrivato … da una sede estera Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 19 ATTIVITA’ INVESTIGATIVA ACQUISIZIONE FORENSE DEL SERVER REMOTO - Acquisizione Event Log server remoto Event Log classici svuotati … … ma anche in questo caso nuovi event log 2008 ci sono ⇒ Individuazione IP pubblico di provenienza - Accesso avvenuto con account di amministratore locale - Nessun tentativo di bruteforce ⇒ conoscenza di credenziali e struttura informatica dell’azienda Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 20 ATTIVITA’ INVESTIGATIVA PUNTO DELLA SITUAZIONE - Ricostruzione sequenza delle operazioni - Ricostruzione del percorso di attacco - Identificazione degli IP pubblici da cui è partito l’attacco … sappiamo tutto? Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 21 ATTIVITA’ INVESTIGATIVA CHE COS’E’ TOR?? - The Onion Router: sistema di anonimizzazione del traffico a «strati» La connessione da sorgente a destinazione passa per un circuito di nodi intermedi (router) Nessun router conosce la sorgente e la destinazione finale Sistema a bassa latenza (dopo 10 minuti il circuito viene rinegoziato e i log dei router cancellati) Praticamente impossibile da tracciare … tutto perduto? Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 22 ATTIVITA’ INVESTIGATIVA PROFILO DELL’ATTACCO ⇒ ⇒ - Preparato meticolosamente Probabilmente ha richiesto molto tempo e vari tentativi Ci possono essere altre tracce di connessione Presenza di ulteriori connessioni via RDP risalenti a 34 mesi prima con IP non TOR-izzato e non riconducibile a utenti leciti - Nessun intervento programmato di manutenzione nelle date delle connessioni sospette ⇒ connessione non autorizzate ⇒ accesso abusivo ⇒ Produzione report immediato per attività di congelamento log da parte delle FdO … sappiamo tutto? Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 23 ATTIVITA’ INVESTIGATIVA …. QUESTA VOLTA SI ! - Correlazione tra attività non lecite (accesso abusivo a sistema) e IP pubblici Possibilità di stabilire legame tra IP pubblici riscontrati e potenziali autori Possibilità di stabilire connessioni tra potenziali autori e sfera d’interesse dell’azienda …Il colpevole ? L’EX IT MANAGER Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 24 CONCLUSIONI - - - Metodologia seguita - Individuazione strumenti migliori e priorità - Analisi approfondita , guidata dal profilo desunto del potenziale attaccante e non limitata ai primi riscontri negativi Strumenti utilizzati - Encase - Caine Risultati - Azienda nuovamente operativa in 2 settimane - Raccolta evidenze senza alterazione scena - Individuazione probabili IP provenienza attacco forniti alle FdO Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 25 Domande … Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 26 Grazie per l’attenzione! MARCO ZANOVELLO +39 347 3906363 [email protected] Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter M. ZANOVELLO 27