Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale

Transcript

Soluzioni e sicurezza per
applicazioni mobile e
payments
Metodi per la
Forensic Analysis e
il recupero dei dati.
Un caso reale di
intrusione abusiva
MARCO ZANOVELLO
Venezia, 27 settembre 2013
Forensic Analysis e recupero dati - un caso reale 27.9.2013 - Venezia - ISACA VENICE Chapter
M. ZANOVELLO
1
Metodi per la
forensic analysis e
il recupero dei dati.
Un caso reale di
intrusione abusiva
M. ZANOVELLO
2
Soluzioni e sicurezza per applicazioni
mobile e payments
Consorzio Triveneto, azienda leader nei sistemi di
pagamento a livello italiano da sempre
all’avanguardia nello studio e nella sperimentazione di nuove tecnologie nell’ambito dei
pagamenti, è una realtà del Gruppo Bassilichi che
opera prevalentemente nei campi della Monetica
– con la gestione dei servizi POS e di Commercio
Elettronico – e del Corporate Banking a supporto
delle imprese.
SPONSOR
DELL’EVENTO
Sponsor e
sostenitori di
ISACA VENICE
Chapter
Con il
patrocinio di
M. ZANOVELLO
3
MARCO ZANOVELLO
Sono Direttore Tecnico presso Yarix S.r.l., dove mi
mi occupo di sicurezza informatica e analisi forense
Laureato in Ingegneria Elettronica all’Università degli Studi
di Padova
Lead Auditor ISO 27001
Lead Auditor ISO 20000
CISA
ITIL V3.0 Foundation
M. ZANOVELLO
4
ABSTRACT
Speso accade che il fatto di trascurare dettagli
apparentemente banali può portare a conseguenze
disastrose.
Ciò è vero in moltissime situazioni, incluse quelle che
coinvolgono aspetti legati alla sicurezza informatica e alla
gestione della sicurezza delle informazioni.
Nel seguito si presenterà un esempio (basato su un caso reale
anonimizzato) di quali possano essere le conseguenze di un
accesso abusivo ad una rete informatica, e le modalità con
cui si sono gestite le operazione di recupero dati e di
individuazione delle cause e dei responsabili dell’azione
illecita.
M. ZANOVELLO
5
Agenda
• DEFINIZIONE DELLO SCENARIO E BREVE
ANTEFATTO
• IL «D-DAY»
• GESTIONE DELL’INCIDENTE
NELL’IMMEDIATEZZA DEI FATTI
• L’ATTIVITA’ INVESTIGATIVA
M. ZANOVELLO
6
Lo Scenario
- Azienda a ristretta base azionaria
- Multinazionale con filiali in 10 paesi esteri
- Gestione IT centralizzata e monopolizzata da una persona
M. ZANOVELLO
7
Lo Scenario
- Dal 2010 al 2012 si verificano una serie di fuoriuscite di
dipendenti che avviano una attività concorrente
- Nel 2012 se ne va anche l'IT manager
M. ZANOVELLO
8
Il «D-Day»
Lunedì mattina, ore 8.00:
-
Il server di posta non risponde più
Il file server non risponde più
Il gestionale non risponde più
I file locali improvvisamente spariscono
…. Azienda bloccata !!
M. ZANOVELLO
9
GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI
FATTI
DEFINIZIONE DEL PERIMETRO
-
Infrastruttura Virtuale
-
Storage condiviso (SAN)
-
Dominio Active Directory
M. ZANOVELLO
10
FATTI
DIAGNOSI
-
VM Cancellate da LUN
-
Backup criptato (Truecrypt)
-
Logon script modificato per cancellare tutti i dati anche sui
pc client
…… non è stato un incidente !!
M. ZANOVELLO
11
FATTI
ESIGENZA AZIENDALE:
- Il Business non si deve fermare
⇒ Necessità di attuare attività sistemistiche di ripristino
ESIGENZA INVESTIGATIVA:
- La scena criminis non deve essere modificata
⇒ Necessità di individuare e preservare le evidenze
- Spegnimento di tutti sistemi
- SAN
- Server
- Firewall (VPN)
M. ZANOVELLO
12
FATTI
CONDIZIONI AL CONTORNO
-
RAID
-
Dischi SAS
-
Volumi in RAID
-
LUN accessibili solo via FC
-
5TB di dati effettivi
M. ZANOVELLO
13
FATTI
PRECEDENZA ALL’ACQUISIZIONE FORENSE
- Blocco ulteriori possibilità di connessioni esterne di tutte le
sedi
- Boot mediante cd Caine su Host ESX (collegamento FC
verso SAN)
- Acquisizione con Guymager su supporto collegato via
USB all’host ESX
- Tempi non stimabili a priori
OBBIETTIVO
- Ricerca partizioni cancellate con Encase
- SAN formattata VMFS (FS proprietario Vmware)
- Dischi virtuali delle VM contenuti nella partizione
VMFS
- Partizioni dischi VM in formato NTFS
M. ZANOVELLO
14
FATTI
RECUPERO DELLE VIRTUAL MACHINES
Utilizzo dell’MBR come indicatore
- Si trova nel settore 0 del disco
- Esiste solo 1 MBR in ogni disco
- Ha una dimensione di 512 byte
- Contiene il codice per eseguire
il VBR
- Ha una firma 0x55 0xAA
(magic number)
M. ZANOVELLO
15
FATTI
RIPRISTINO A BUON FINE MA …..
-
Presenza Snapshot VM mai reintegrati
⇒ Ripristino parziale (allo stato dello snapshot)
-
Gestione LUN operate da SAN
⇒ Alcuni dati corrotti (settori reallocati dalla SAN)
M. ZANOVELLO
16
FATTI
RICERCA PER FILE SIGNATURE
-
File carving: Identificare il tipo di un file mediante
sequenze note di byte
-
-
Header
-
Footer
50 4B 03 04 14 00 06 00  Microsoft Office Open XML
Format Document
FF D8 FF E0 xx xx 4A 46 49 46 00  JPEG/JFIF Graphic
Files
45 6C 66 46 69 6C 65 00  Windows Vista event log file
M. ZANOVELLO
17
FATTI
ESITO
-
-
Recupero di file essenziali per l’azienda…
-
Documenti Word con listini
-
Immagini di etichette dei prodotti
…e per l’attività investigativa
- Log eventi di Windows
M. ZANOVELLO
18
ATTIVITA’ INVESTIGATIVA
OBBIETTIVO PRIMARIO: Individuazione IP provenienza attacco
Dati considerati:
- Event Log Windows
- Recuperati usando file carving
- Event Log classici svuotati … 
- … ma i nuovi event log 2008 no !! 
⇒ Connessione RDP proveniente da server sede estera
azienda (VPN)
- Log Firewall
- Non salvati su alcun syslog !!!   
- Locali al firewall (su SD) risalenti al 2010
RISULTATO: l’attacco è arrivato … da una sede estera
M. ZANOVELLO
19
ACQUISIZIONE FORENSE DEL SERVER REMOTO
-
Acquisizione Event Log server remoto
Event Log classici svuotati …
… ma anche in questo caso nuovi event log 2008 ci
sono
⇒ Individuazione IP pubblico di provenienza
-
Accesso avvenuto con account di amministratore
locale
- Nessun tentativo di bruteforce
⇒ conoscenza di credenziali e struttura informatica
dell’azienda
M. ZANOVELLO
20
PUNTO DELLA SITUAZIONE
-
Ricostruzione sequenza delle operazioni
-
Ricostruzione del percorso di attacco
-
Identificazione degli IP pubblici da cui è partito l’attacco
… sappiamo tutto?
M. ZANOVELLO
21
CHE COS’E’ TOR??
-
The Onion Router: sistema di anonimizzazione del traffico a
«strati»
La connessione da sorgente a destinazione passa per un
circuito di nodi intermedi (router)
Nessun router conosce la sorgente e la destinazione finale
Sistema a bassa latenza (dopo 10 minuti il circuito viene
rinegoziato e i log dei router cancellati)
Praticamente impossibile da tracciare
… tutto perduto?
M. ZANOVELLO
22
PROFILO DELL’ATTACCO
⇒
⇒
-
Preparato meticolosamente
Probabilmente ha richiesto molto tempo e vari tentativi
Ci possono essere altre tracce di connessione
Presenza di ulteriori connessioni via RDP risalenti a 34 mesi prima con IP non TOR-izzato e non
riconducibile a utenti leciti
- Nessun intervento programmato di manutenzione
nelle date delle connessioni sospette
⇒ connessione non autorizzate
⇒ accesso abusivo
⇒ Produzione report immediato per attività di
congelamento log da parte delle FdO
… sappiamo tutto?
M. ZANOVELLO
23
…. QUESTA VOLTA SI !
-
Correlazione tra attività non lecite (accesso abusivo a
sistema) e IP pubblici
Possibilità di stabilire legame tra IP pubblici riscontrati e
potenziali autori
Possibilità di stabilire connessioni tra potenziali autori e
sfera d’interesse dell’azienda
…Il colpevole ?
L’EX IT MANAGER
M. ZANOVELLO
24
CONCLUSIONI
-
-
-
Metodologia seguita
- Individuazione strumenti migliori e priorità
- Analisi approfondita , guidata dal profilo desunto del
potenziale attaccante e non limitata ai primi riscontri
negativi
Strumenti utilizzati
- Encase
- Caine
Risultati
- Azienda nuovamente operativa in 2 settimane
- Raccolta evidenze senza alterazione scena
- Individuazione probabili IP provenienza attacco forniti
alle FdO
M. ZANOVELLO
25
Domande …
M. ZANOVELLO
26
Grazie per l’attenzione!
MARCO ZANOVELLO
+39 347 3906363
[email protected]
M. ZANOVELLO
27

Metodi per la Forensic Analysis e il recupero dei dati. Un caso reale

Transcript

Documenti analoghi

programma - Aldo Manuzio. Il rinascimento di Venezia

Il Gazzettino di Venezia

leggi il comunicato stampa

regolamento nominating committee

Stage IT Forensic

Vorwort Con la mostra di Jo Enzweiler, che a Palazzo Albrizzi

Fondaco dei Tedeschi is reborn as La Fenice, in Venice, Venezia

Aron Rodrigue (Stanford University) Reflections on the History and

Leggi tutto - IC Octavia