ANTIFORENSICS Falso Alibi digitale
Transcript
ANTIFORENSICS Falso Alibi digitale
ANTIFORENSICS Falso Alibi digitale Forensic meeting Roma 11 settembre 2013 Milano 12 Settembre 2013 Marco Mella Marco Mella, 2011 Marco Mella (ISC)² CISSP (Certified Information Systems Security Professional ) SANS CGIH (GIAC Certified Incident Handler) ITIL v3 LA ISO27001 Marco Mella, 2011 Socio fondatore (ISC)² Italy Chapter Socio CLUSIT Socio IISFA Antiforensics: Definizione “...Anti Digital Forensics concerns an approach to manipulate, erase, or obfuscate digital data or to make its examination difficult, time consuming, or virtually impossible.” Anti-Digital Forensics, “The Next Challenge” [John J. Barbara http://www.forensicmag.com/ ] Marco Mella, 2011 Forensic Meeting Roma - Milano 11-12 Settembre 2013 Antiforensics: Tecniche “Confondere le acque” inquinare le certezze, allungare i tempi di analisi attraverso operazioni di: Cancellazione del dato. Sovrascrittura dati e metadati (WIPING). Crittografia (es.TrueCrypt). Cifratura comunicazione di rete (VPN, SSL). Cloud Steganografia. Data Hiding. IDS e Malware Evasion. LIVE CD …. Creare false certezze «Falso Alibi» Forensic Meeting Roma - Milano 11-12 Settembre 2013 Marco Mella, 2011 • • • • • • • • • • Antiforensics: Falso Alibi CONVEGNO UAE/OLAF 29 GENNAIO 2010 L’obbiettivo dello studio compiuto dal TEAM dell‘ Università di Salerno è stato quello di rendere “indistinguibile” l’esecuzione automatica da quella manuale attraverso script residenti sul Computer. I Ricercatori hanno tentato di minimizzare le seguenti evidenze digitali indesiderate: •Tracce di esecuzione di codice. •Operazioni eseguite in sequenza temporizzata costante. •Evidenza di cancellazioni effettuate. Marco Mella, 2011 LE CONCLUSIONI. Pur non essendo stata trovata traccia di software in grado di generare degli automatismi o indizi di un collegamento remoto sono state individuate alcune operazioni di antiforensic (WIPING e disabilitazione dell’AUDITING) seguite dalla sequenzialità delle operazioni in tempi prefissati. Questo ha portato alla conclusione che con una certa probabilità le operazioni svolte sono state compiute da un automatismo. Forensic Meeting Roma Milano 11-12 Settembre 2013 Antiforensics: Device ? Forensic Meeting Roma Milano 11-12 Settembre 2013 Marco Mella, 2011 … PSP, IPod, Xbox… Antiforensics: HID Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Automatismo “Hardware” Basato su un processore Amtel che esegue comandi memorizzati su una SD • Atmel 32bit AVR RISC-based • MicroSD card reader • Connettore standard USB Tipo A Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Automatismo “Hardware” Esecuzione Script Script Navigare su Internet Inviare una mail Scrivere un documento (es. una tesi) «scrivere» un binario Forensic Meeting Roma Milano 11-12 Settembre 2013 Marco Mella, 2011 • • • • Comandi (*) Demo Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Automatismo “Hardware” – Non ci sono script da eseguire sul computer o eseguiti dal computer. – Non vi sono tracce da cancellare (*). – Non c’è necessità di installare SW specifico sul computer – Multi piattaforma (Win, iOS, Linux, Android .. ) Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Sniffing USB Identificazione Processore o meglio Vendor ed Idproduct Elementi di analisi HW Atmel Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Sniffing USB Elementi di analisi per identificazione device …. siamo certi di identificare il Vendor ID (ATMEL nel nostro caso ) Firmware (Jtag, acquisizione forense ..) (art. 360 cpp ?!)e Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 USB device Elementi di analisi per identificazione device Forensic Meeting Roma Milano 11-12 Settembre 2013 Marco Mella, 2011 NIRSOFT: Hub/Port: Specifies the hub number and port number that the device was plugged into. This value is empty for mass storage devices. Marco Mella, 2011 Forensic Meeting Roma Milano 11- 12 Settembre 2013 Altri usi • Posso utilizzare il modem del computer o di un cellulare per fare una «telefonata» • perchè no …. inviare un SMS Forensic Meeting Roma Milano 11-12 Settembre 2013 Marco Mella, 2011 • Utilizzare il sistema per attaccare un sistema informatico (magari critico) • Penetration test Hardware Antiforensics • Ma io ho l’antivirus il FW ed il sistema di IDS/IPS – Praticamente inutile per rilevare un simile “attacco” (visto che … abbiamo installato una tastiera) Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Antiforensics Forensics Station Programmable HID ScanCode Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Antiforensics HW Il diavolo fa le pentole ma non i coperchi Timing, mouse, controllo errori, condizioni …. Marco Mella, 2011 Forensic Meeting Roma Milano 11-12 Settembre 2013 Pentesting & Antiforensics • Attenzione se qualcuno si siede al vostro terminale. • Chiavetta (?) … incustodita (classic) • L’HW potrebbe essere nascosto in device insospettabili (es. mouse, Printer)… ma si sequestrano ancora i mouse, tastiere…. ? Art.253 Oggetto e formalità del sequestro • 1. L’autorità giudiziaria dispone con decreto motivato il sequestro del corpo del reato e delle cose pertinenti al reato necessarie per l’accertamento dei fatti (81 att.; 10 reg.). Forensic Meeting Roma Milano 11-12 Settembre 2013 ? Marco Mella, 2011 – Percezione dell’HW – Profiling persona Grazie Marco Mella (ISC)² CISSP (Certified Information Systems Security Professional ) SANS CGIH (GIAC Certified Incident Handler) ITIL v3 LA ISO27001 Marco Mella, 2011 Socio fondatore (ISC)² Italy Chapter Socio CLUSIT Socio IISFA