Post on 13-Oct-2020
transcript
1Danilo Massa, 08/02/2007
Introduzione all’analisi forense:metodologie e strumentiDanilo MassaSessione di Studio AIEATorino 08/02/2007
2Danilo Massa, 08/02/2007
Contenuti
1. Analisi forense: come, quando e perchè2. Metodologie di analisi forense3. I processi aziendali a supporto4. Casi reali5. Domande e risposte
3Danilo Massa, 08/02/2007
Analisi forense – come
L’analisi forense consiste nella ricerca e conservazione di evidenze digitali di reato.
Queste evidenze devo essere:
Ammissibili, per poter essere utilizzate in sede legale
Autentiche, ovvero strettamente legate ai media digitali da cui sono state rilevate
Complete, correlando tutte le informazioni possibili
Affidabili, per non sollevare dubbi sulla loro autenticità
Credibili, permettendo a chiunque di ricostruire il processo cheha portato alla loro rilevazione ottenendo gli stessi risultati
4Danilo Massa, 08/02/2007
Analisi forense – quando
In seguito ad un incidente informatico (di sicurezza o meno)
Durante una causa legale in sede di perizia
Durante le indagini (preliminari o meno) relative ad un reato
5Danilo Massa, 08/02/2007
Analisi forense – perché
In seguito ad un incidente informatico (di sicurezza o meno)
Durante una causa legale in sede di perizia
Durante le indagini (preliminari o meno) relative ad un reato
Per individuare un responsabile dell’accadutoPer determinare cosa è accadutoPer verificare la reale entità dei danni
Per accertare e registrare oggettivamente le responsabilità (C.T.U.)Per definire al meglio la propria posizione rispetto ai fatti accaduti (C.T.P.)Per incrementare le spese processuali e giungere ad un accordo privato tra le parti (sede civile)
Per acquisire dati oggettivi sull’ipotesi di reatoPer acquisire evidenze digitali da utilizzare in sede di giudizio
6Danilo Massa, 08/02/2007
Metodologie di analisi forense
Mirano ad acquisire e conservare le evidenze digitali, costituite nella maggior parte dei casi da:
File (es. documenti, log applicativi)Metadati (es. tempi di accesso ai file)
E nella loro conservazione mediante:
Sequestro/conservazione fisica in luogo sicuro ed idoneoCatena di custodia
7Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont)
Differiscono a seconda del media da porre sotto analisi e dal suo “stato”.
Un flusso di dati su una rete di elaboratoriAnalisi “live”
Un dispositivo di memorizzazioneAnalisi “live” (es. pc alimentato ed acceso)Analisi “dead” (es. pc spento)
Altri dispositivi (es. telefoni cellulari, PDA, rilevatori presenze etc.)
8Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont)
Nel caso dell’analisi “live” di un flusso di dati su una rete è necessario avere:
la possibilità di connettere un dispositivo di analisi su un router/switchdotato di porta configurabile in modalità spanning/monitoring oppure in alternativa …
predisporre un HUB da inserire nel corretto segmento di rete che si vuole analizzare
le corrette autorizzazioni legali per eseguire l’attività di intercettazione (es. cfr art 266-270 C.P.P, art 617 C.P.) oppure in alternativa …
la competenza per una analisi delle sole informazioni di “busta” per preservare la riservatezza e la privacy di coloro che attuano il flusso di dati
9Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont)
Nel caso dell’analisi “live” di un dispositivo di memorizzazione ènecessario avere:
un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare e …
la possibilità di connetterlo sullo stesso router/switch che ospita l’elaboratore che lo ospita oppure in alternativa …predisporre un HUB da inserire tra l’elaboratore a cui è connesso il dispositivo di memorizzazione da analizzare ed il router/switch che lo ospita
le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfrdlg 196/03) oppure in alternativa …
una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi
10Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont)
Nel caso dell’analisi “dead” di un dispositivo di memorizzazione ènecessario avere:
un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare
le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfrdlg 196/03) oppure in alternativa …
una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi
11Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont)
L’analisi di “altri dispositivi” è tecnicamente simile a quella dei dispositivi di memorizzazione (“live” o “dead”) in quanto consiste nell’estrazione, in modalità forensicamente valida, dei dati memorizzati sugli stessi.E’ però necessario avere:
adeguati strumenti tecnici (es. cavi di connessione PC – cellulare)
le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfrdlg 196/03) oppure in alternativa …
una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi
12Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont)
Punti di attenzione:
è necessario possedere strumenti tecnologici (software specifico e dispositivi fisici)
è necessario possedere competenze specifiche di analisi forense
è necessario porre elevata attenzione alle vigenti leggi, normative e policy aziendali
13Danilo Massa, 08/02/2007
I processi aziendali a supporto
Alcuni processi aziendali, procedure e prassi possono aiutare l’analista forense nella sua attività.
Questi possono essere divisi in due macro livelli:
Tecnologico
Processo
14Danilo Massa, 08/02/2007
I processi aziendali a supporto (cont)
A livello tecnologico vi sono attività del tipo:
messa in sicurezza di sistemi operativi, dispositivi di rete edapplicazioni (web, c/s, etc)
realizzazione di backup affidabili di dati, configurazioni e log
presenza di sistemi di monitoring applicativo o meglio sistemi IDS/IPS
aggiornamento costante dei sistemi (patch, update ed upgrade)
15Danilo Massa, 08/02/2007
I processi aziendali a supporto (cont)
A livello di processo vi sono:
• AUP (Acceptable Use/r Policy)
• policy di sicurezza aggiornate, ben documentate e diffuse
• efficiente e documentata gestione dei change
• procedure per la gestione degli incidenti informatici (e non solo)
16Danilo Massa, 08/02/2007
Casi reali
Sistema: “dead” (spento dal Cliente)Copia forensicamente validaCreazione catena di custodiaMessa in sicurezza dei supporti originaliAnalisi della copia
AGRO-ALIMENTARE
Evento: impossibilità di accedere come amministratore al S.O. della macchina da tempo indefinitoIpotesi del Cliente: accesso da parte di un hacker al server di contro dei PLC
ATT
IVIT
A’
INC
IDEN
TESE
TTO
RE
Disco con S.O. danneggiato (HW), file delle password non leggibile.
L.L.: installare ed utilizzare un sistema di monitoring
RIS
ULT
ATI
17Danilo Massa, 08/02/2007
Casi reali
Sistemi: “dead” (spenti dal Cliente)Copia forensicamente validaCreazione catena di custodiaMessa in sicurezza dei supporti originaliAnalisi della copia
INDUSTRIA
Evento: licenziamento dipendenteIpotesi del Cliente: azioni contrarie alle politiche aziendali e possibili attività illegali
ATT
IVIT
A’
INC
IDEN
TESE
TTO
RE
Raccolta di evidenze digitali di reato che giustificavano il licenziamento
RIS
ULT
ATI
18Danilo Massa, 08/02/2007
Casi reali
Sistemi: “live”Attivazione sistema di intercettazione delle “buste”Generazione file di intercettazione forensiCreazione catena di custodiaAnalisi dei dati
BANCARIO
Evento: attività anomala sulla rete intranetIpotesi del Cliente: problemi di configurazione di nuovi dispositivi di rete da poco installati
ATT
IVIT
A’
INC
IDEN
TESE
TTO
RE
Individuazione server compromesso da hacker, segnalato l’accaduto alle forze dell’ordine
L.L. installare sistemi IDS/IPS e definire procedura di gestione degli incidenti
RIS
ULT
ATI
19Danilo Massa, 08/02/2007
Domande e risposte
Danilo Massa (danilo.massa@altran-cis.it)
20Danilo Massa, 08/02/2007
Grazie per la partecipazione