La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Danilo Massa, 08/02/2007 Introduzione allanalisi forense: metodologie e strumenti Danilo Massa Sessione di Studio AIEA Torino 08/02/2007.

Presentazioni simili


Presentazione sul tema: "1 Danilo Massa, 08/02/2007 Introduzione allanalisi forense: metodologie e strumenti Danilo Massa Sessione di Studio AIEA Torino 08/02/2007."— Transcript della presentazione:

1 1 Danilo Massa, 08/02/2007 Introduzione allanalisi forense: metodologie e strumenti Danilo Massa Sessione di Studio AIEA Torino 08/02/2007

2 2 Danilo Massa, 08/02/2007 Contenuti 1.Analisi forense: come, quando e perchè 2.Metodologie di analisi forense 3.I processi aziendali a supporto 4.Casi reali 5.Domande e risposte

3 3 Danilo Massa, 08/02/2007 Analisi forense – come Lanalisi forense consiste nella ricerca e conservazione di evidenze digitali di reato. Queste evidenze devo essere: Ammissibili, per poter essere utilizzate in sede legale Autentiche, ovvero strettamente legate ai media digitali da cui sono state rilevate Complete, correlando tutte le informazioni possibili Affidabili, per non sollevare dubbi sulla loro autenticità Credibili, permettendo a chiunque di ricostruire il processo che ha portato alla loro rilevazione ottenendo gli stessi risultati

4 4 Danilo Massa, 08/02/2007 Analisi forense – quando In seguito ad un incidente informatico (di sicurezza o meno) Durante una causa legale in sede di perizia Durante le indagini (preliminari o meno) relative ad un reato

5 5 Danilo Massa, 08/02/2007 Analisi forense – perché In seguito ad un incidente informatico (di sicurezza o meno) Durante una causa legale in sede di perizia Durante le indagini (preliminari o meno) relative ad un reato Per individuare un responsabile dellaccaduto Per determinare cosa è accaduto Per verificare la reale entità dei danni Per accertare e registrare oggettivamente le responsabilità (C.T.U.) Per definire al meglio la propria posizione rispetto ai fatti accaduti (C.T.P.) Per incrementare le spese processuali e giungere ad un accordo privato tra le parti (sede civile) Per acquisire dati oggettivi sullipotesi di reato Per acquisire evidenze digitali da utilizzare in sede di giudizio

6 6 Danilo Massa, 08/02/2007 Metodologie di analisi forense Mirano ad acquisire e conservare le evidenze digitali, costituite nella maggior parte dei casi da: File (es. documenti, log applicativi) Metadati (es. tempi di accesso ai file) E nella loro conservazione mediante: Sequestro/conservazione fisica in luogo sicuro ed idoneo Catena di custodia

7 7 Danilo Massa, 08/02/2007 Metodologie di analisi forense (cont) Differiscono a seconda del media da porre sotto analisi e dal suo stato. Un flusso di dati su una rete di elaboratori Analisi live Un dispositivo di memorizzazione Analisi live (es. pc alimentato ed acceso) Analisi dead (es. pc spento) Altri dispositivi (es. telefoni cellulari, PDA, rilevatori presenze etc.)

8 8 Danilo Massa, 08/02/2007 Metodologie di analisi forense (cont) Nel caso dellanalisi live di un flusso di dati su una rete è necessario avere: la possibilità di connettere un dispositivo di analisi su un router/switch dotato di porta configurabile in modalità spanning/monitoring oppure in alternativa … predisporre un HUB da inserire nel corretto segmento di rete che si vuole analizzare le corrette autorizzazioni legali per eseguire lattività di intercettazione (es. cfr art C.P.P, art 617 C.P.) oppure in alternativa … la competenza per una analisi delle sole informazioni di busta per preservare la riservatezza e la privacy di coloro che attuano il flusso di dati

9 9 Danilo Massa, 08/02/2007 Metodologie di analisi forense (cont) Nel caso dellanalisi live di un dispositivo di memorizzazione è necessario avere: un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia forensicamente valida del dispositivo da analizzare e … la possibilità di connetterlo sullo stesso router/switch che ospita lelaboratore che lo ospita oppure in alternativa … predisporre un HUB da inserire tra lelaboratore a cui è connesso il dispositivo di memorizzazione da analizzare ed il router/switch che lo ospita le corrette autorizzazioni legali per eseguire lattività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi

10 10 Danilo Massa, 08/02/2007 Metodologie di analisi forense (cont) Nel caso dellanalisi dead di un dispositivo di memorizzazione è necessario avere: un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia forensicamente valida del dispositivo da analizzare le corrette autorizzazioni legali per eseguire lattività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi

11 11 Danilo Massa, 08/02/2007 Metodologie di analisi forense (cont) Lanalisi di altri dispositivi è tecnicamente simile a quella dei dispositivi di memorizzazione (live o dead) in quanto consiste nellestrazione, in modalità forensicamente valida, dei dati memorizzati sugli stessi. E però necessario avere: adeguati strumenti tecnici (es. cavi di connessione PC – cellulare) le corrette autorizzazioni legali per eseguire lattività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi

12 12 Danilo Massa, 08/02/2007 Metodologie di analisi forense (cont) Punti di attenzione: è necessario possedere strumenti tecnologici (software specifico e dispositivi fisici) è necessario possedere competenze specifiche di analisi forense è necessario porre elevata attenzione alle vigenti leggi, normative e policy aziendali

13 13 Danilo Massa, 08/02/2007 I processi aziendali a supporto Alcuni processi aziendali, procedure e prassi possono aiutare lanalista forense nella sua attività. Questi possono essere divisi in due macro livelli: Tecnologico Processo

14 14 Danilo Massa, 08/02/2007 I processi aziendali a supporto (cont) A livello tecnologico vi sono attività del tipo: messa in sicurezza di sistemi operativi, dispositivi di rete ed applicazioni (web, c/s, etc) realizzazione di backup affidabili di dati, configurazioni e log presenza di sistemi di monitoring applicativo o meglio sistemi IDS/IPS aggiornamento costante dei sistemi (patch, update ed upgrade)

15 15 Danilo Massa, 08/02/2007 I processi aziendali a supporto (cont) A livello di processo vi sono: AUP (Acceptable Use/r Policy) policy di sicurezza aggiornate, ben documentate e diffuse efficiente e documentata gestione dei change procedure per la gestione degli incidenti informatici (e non solo)

16 16 Danilo Massa, 08/02/2007 Casi reali Sistema: dead (spento dal Cliente) Copia forensicamente valida Creazione catena di custodia Messa in sicurezza dei supporti originali Analisi della copia AGRO-ALIMENTARE Evento: impossibilità di accedere come amministratore al S.O. della macchina da tempo indefinito Ipotesi del Cliente: accesso da parte di un hacker al server di contro dei PLC ATTIVITA INCIDENTE SETTORE Disco con S.O. danneggiato (HW), file delle password non leggibile. L.L.: installare ed utilizzare un sistema di monitoring RISULTATI

17 17 Danilo Massa, 08/02/2007 Casi reali Sistemi: dead (spenti dal Cliente) Copia forensicamente valida Creazione catena di custodia Messa in sicurezza dei supporti originali Analisi della copia INDUSTRIA Evento: licenziamento dipendente Ipotesi del Cliente: azioni contrarie alle politiche aziendali e possibili attività illegali ATTIVITA INCIDENTE SETTORE Raccolta di evidenze digitali di reato che giustificavano il licenziamento RISULTATI

18 18 Danilo Massa, 08/02/2007 Casi reali Sistemi: live Attivazione sistema di intercettazione delle buste Generazione file di intercettazione forensi Creazione catena di custodia Analisi dei dati BANCARIO Evento: attività anomala sulla rete intranet Ipotesi del Cliente: problemi di configurazione di nuovi dispositivi di rete da poco installati ATTIVITA INCIDENTE SETTORE Individuazione server compromesso da hacker, segnalato laccaduto alle forze dellordine L.L. installare sistemi IDS/IPS e definire procedura di gestione degli incidenti RISULTATI

19 19 Danilo Massa, 08/02/2007 Domande e risposte Danilo Massa

20 20 Danilo Massa, 08/02/2007 Grazie per la partecipazione


Scaricare ppt "1 Danilo Massa, 08/02/2007 Introduzione allanalisi forense: metodologie e strumenti Danilo Massa Sessione di Studio AIEA Torino 08/02/2007."

Presentazioni simili


Annunci Google