Sicurezza Informatica – Prof. Bistarelli

Slides:



Advertisements
Presentazioni simili
1 Introduzione ai calcolatori Parte II Software di base.
Advertisements

Linguaggi di programmazione
Modulo 1 – Ambiente di lavoro Windows 7
Unità D1 Architetture di rete.
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Giuseppe Fabio Fortugno.
Introduzione all’analisi forense: metodologie e strumenti
Introduzione allinformatica. Cosè linformatica ? Scienza della rappresentazione e dellelaborazione dellinformazione ovvero Studio degli algoritmi che.
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
1 Corso di Informatica (Programmazione) Lezione 4 (24 ottobre 2008) Architettura del calcolatore: la macchina di Von Neumann.
Posta elettronica ( ) chiocciola" comunemente letta at Identificativo dellutente Identificativo del computer centrale sul quale risiede.
I.F.S. Laboratorio di Informatica I prof. Giovanni Raho 1 INFORMATICA I sistemi operativi.
Aggiornamento 10 dicembre 2006 Informatica 2004 prof. Giovanni Raho1 Informatica applicata Le intrusioni dalla rete Virus – file temporanei - cookie.
Internet Explorer Il browser.
Struttura dei sistemi operativi (panoramica)
File System NTFS 5.0 Disco: unità fisica di memorizzazione
Linguaggi di programmazione
2) Sistemi operativi Lab. Calc. AA2004/05 - cap.2.
SOFTWARE I componenti fisici del calcolatore (unità centrale e periferiche) costituiscono il cosiddetto Hardware (alla lettera, ferramenta). La struttura.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
BRIDGE-3K Verso il futuro La migrazione dai sistemi HP3000. Un ponte verso il futuro conservando la cultura e le risorse aziendali. NOVITA 2007.
Modulo 7 – reti informatiche u.d. 3 (syllabus – )
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Usare la posta elettronica con il browser web
Guida IIS 6 A cura di Nicola Del Re.
Gestione Clienti Online
L'ambiente informatico: Hardware e Software
STRUTTURA GENERALE DI UN ELABORATORE
Software e sistema operativo 19-22/5/08 Informatica applicata B Cristina Bosco.
Collegare la fotocamera digitale al PC
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.
SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
Configurazione di una rete Windows
Lezione 1 Approccio al sistema operativo : la distribuzione Knoppix Live Cd Knoppix 3.6 Interfacce a caratteri e grafica: console e windows manager File.
ECDL Patente europea del computer
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
L’architettura a strati
Active Directory e Gestione Utenti di Valerio Di Bacco.
Creato da Riccardo Nuzzone
INTERFACCE Schede elettroniche che permettono al calcolatore di comunicare con le periferiche, che possono essere progettate e costruite in modo molto.
Le “nuvole informatiche”
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Indice argomenti Installazione e configurazione
Tecnologie Informatiche ed Elettroniche per le Produzioni Animali (corso TIE) CORSO LAUREA MAGISTRALE IN SCIENZE E TECNOLOGIE DELLE PRODUZIONI ANIMALI.
Introduzione Cos’è un sistema operativo ?. Hardware Sistema Operativo Applicazioni È il livello di SW con cui interagisce l’utente e comprende programmi.
1 Sommario degli argomenti  Sistemi operativi: DOS, Unix/Linux,Windows  Word processors: Word  Fogli elettronici: Excel  Reti: TCP/IP, Internet, ftp,
Io ho voluto dimostrarlo attraverso una delle mie passioni:
Concetti di base Computer, HW e SW
CORSO INTERNET la Posta elettronica
Hardware Struttura fisica (architettura) del calcolatore formata da parti meccaniche, elettriche, elettroniche.
Informazione e Informatica - presentazione dei concetti di base -
ISIA Duca degli Abruzzi a.s. 2010/2011 prof. Antonella Schiavon
I Sistemi Operativi. Che cosa sono? Il sistema operativo è un software di base che fa funzionare il computer. I Sistemi operativi più importanti sono:
I Sistemi Operativi. Definizione Per Sistemi Operativi (di seguito SO) si intendono quei pacchetti software, a loro volta costituiti da più sottoprogrammi.
I sistemi operativi Funzioni principali e caratteristiche.
Backup e Immagine del Sistema.
Test di preparazione all’esame E.C.D.L. CONCETTI DI BASE DEL PC.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Il computer RAM: Unità di misura MByte e GByte MHz Processore: Unità di misura Singolo o multiprocessore 32/64 bit velocità GHz Mouse tastiera video stampante.
Dal problema al programma – ciclo di sviluppo del software La scrittura del programma è solo una delle fasi del processo di sviluppo di un'applicazione.
Un sistema operativo è un componente del software di base di un computer la cui funzione è quella di gestire le sue risorse hardware e software,fornendo.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Sicurezza Informatica – Prof. Bistarelli Seminario Computer Forensics Vicino Francesco Sicurezza Informatica – Prof. Bistarelli

Computer Forensics Introduzione Il laboratorio di Analisi Helix Analisi su Windows Analisi su Linux Catena di custodia

Introduzione Computer Forensics ”La disciplina che si occupa della prevenzione, dell'identificazione, dello studio delle informazioni contenute nei computer o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa”

Introduzione L'applicazione della computer forensics non è limitata solo ai computer ma viene applicata su qualsiasi dispositivo tecnologico costituito da una parte fisica e da una parte logica contenete le informazioni digitali.

Computer Forensics Introduzione Il laboratorio di Analisi Helix Analisi su Windows Analisi su Linux Catena di custodia

Laboratorio di Analisi Gli strumenti che adotteremo per effettuare l'analisi Punti chiave sono due: - La ridondanza: necessaria in quanto il forenser non può permetersi di perdere nemmeno un dato in suo possesso. - La velocità: necessaria in quanto si lavora con un grosso quantitativo di dati.

Laboratorio di Analisi La scelta del sistema operativo da adottare per eseguire un analisi forense ricade su Linux. Vantaggi di Linux: - Ampio supporto di file system (più di 30), mentre Windows gestisce solo ISO 9660, NTFS e FAT e Mac OSX gestisce solo HFS, ISO 8660,NTFS, USF e FAT. - Architettura Unix-like: ognu cosa è un file, ci permette le stesse operazioni a livelli diversi (file, file system, device...) utilizzando gli stessi tool. - Costi di licenza nulli

Laboratorio di Analisi Svantaggi di Linux - Confusione: ci sono centinaia di distribuzioni linux. F.I.R.E. : una delle prime distribuzioni, il sito non viene aggiornato dal 2004. IR-Italy : progetto italiano nato in collaborazione tra l'università di Milano e il polo didattico si Crema, ci sono poche informazini sul suo funzinamento. Helix : attualmente la migliore distribuzione linux orientata alla computer forensics aggiornata regolatmente.

Computer Forensics Introduzione Il laboratorio di Analisi Helix Analisi su Windows Analisi su Linux Catena di custodia

Helix E' una distribuzione linux incentrata alla computer forensics Contiene titti i tool già aggiornati e comprende un software che gira sotto windows. La Parte Windows

Helix

Helix

Helix

Helix

Helix

Helix System info: ci fornisce le informazioni riguardanti la configurazione del sistema Running process: ci fornisce l'elenco di tutti i processi attivi Wiaudit: fornisce una panoramica molto precisa dell'hardware, del sistema operativo, comprese le patch installate configurazioni del sistema e del firewall. PC Inspector: permette il recupero di file da file system FAT e NTFS e permette di lavorare su supporti danneggiati. PC ON/OFF : accensione e sospensione sistema ultime 3 settimane

Helix PST password viewer: estrae password dal client di posta. Messanger password: estrae password da msn, ICQ, GAIM. Network password viewer: sniffa passwor di rete. Mozilla cookie viewer: visualizza i cookies di firefox. IE cookie viewer: visualizza i cookies di IE. Protected Storage viewer: estrae password salvate all'interno di IE. USB Deview: visualizza tutti i supporti USB che sono stati collegati al computer.

Helix La parte Linux

Helix Adepto: scopre tutti i media collegati, gestisce la catena di custodia. Retriver: estrae e cataloga tutte le immagini e i video dei dispositivi collegati. Autopsy: esegue analisi di file system senza doverli montare. Reg viewer: permette analisi del file di registro. Wiresharck: sniffing di rete. Xfprot: antivirus. TrueCrypt: permette di criptare interi dischi rigidi. Opchrack: recupera le password.

Helix Meld: ferifica differenze tra file e cartelle. Linen: crea file immagini di device. HFS volume browser: permette di visualizzare il contento di volumi HFS.

Computer Forensics Introduzione Il laboratorio di Analisi Helix Analisi su Windows Analisi su Linux Catena di custodia

Analisi Indipendentemente dal sistema operativo che andremo ad analizzare le prime operazioni da eseguire arrivati su di una scena del crimine sono due: Dump della ram. Copia del supporto per evitare compromissioni nel sistema da analizzare.

Analisi su Windows Eseguire un analisi forense su Windows ha i suoi vantaggi e i suoi svantaggi. Vantaggi - E' ben documentato: è usato da talmente tante persone che ogni sua caratteristica è stata oggetto di analisi. - E' diffusissimo: c'è sempre qualcuno con cui condividere le proprie esperienze di la voro. - E' ben supportato: qulunque software di analisi, open source o commerciale permette di amalizzarlo.

Analisi su Windows Svantaggi - Pochi log: sarà difficile trovare delle evideneze fornite direttamente dal sistema operativo. - molti sistemi installati in FAT: usa pochi metadati e non ha permessi percui non aiuta a capire chi ha fatto cosa su si una macchina dove vi siano più utenti. - Antivirus: scansioni periodiche resettano l'Access Time ogni volta rendendo complesse le operazioni di ricostruzione della Timeline

Analisi su Windows File di registro Il registry è un albero binario che contiene qualunque informazione riguardante le configurazioni all'interno di un sistema windows. E' composto da sottorami detti HIVE e da sottoalberi, sottochiavi e le chiavi (coppie di valori, key, value).

Analisi su Windows HKEY_CLASSES_ROOT: Contiene informazioni relative ai dati che permettono di associare un file a uno specifico programma. Per ogni estensione di un nome di file vi è uno specifico sottoalbero dove sono registrate le applicazioni in grado di aprirlo. HKEY_CURRENT_USER: è dove sono memorizzati tutti i dati del registro relativi al profilo dell'utente attivo HKEY_LOCAL_MACHINE: Contiene informazioni relative alla configurazione del computer, inclusi i dati riguardanti l’hardware, lo stato del sistema operativo, i bus di sistema, i device driver e i parametri di startup. HKEY_USERS: sono presenti le chiavi HKEY_CURRENT_USER di tutti gli utenti connessi al sistema. HKEY_CURRENT_CONFIG: è dove sono raccolte informazioni volatili sulla sessione.

Analisi su Windows Thumbs.db File creati nelle directory in cui sono presenti delle immagini e permettono di velocizzare le anteprime dei file. Al loro interno è possibile trovare anche anteprime relative a file non più presenti nel sistema. Dati Applicazioni e Impostazioni Locali Sono due directory nascoste all'interno della home directory; contengono molte informazioni quali: - Posta elettronica: vengono salvati archivi del software di posta utilizzato. - Cache: memoria temporanea del browser utilizzato. - Cronologia: dei browser utilizzato (cookies, cronologia...). - Configurazioni: username e password di salvate su software utilizzati dall'utente.

Analisi su Windows Hiberfil.sys Questo file contiene il dump della memoria ram. File di SWAP Contiene porzioni casuali di RAM Software installati Analizzare i software installati sul sistema come Internet explorer Outloock e altri.

Computer Forensics Introduzione Il laboratorio di Analisi Helix Analisi su Windows Analisi su Linux Catena di custodia

Analisi su Linux Vantaggi - Molte informazini in più rispetto ad un sistema windows - Esistono decine di log differenti pieni di informazini - Il sistema è più standardizzato e ordinato Svantaggi - la piena libertà lasciata all'amministratore di sistema compresa la possibilità di ricompilare il kernel rende difficile da gestire l'analisi forense.

Analisi su Linux Log Tutti i sistemi Unix utilizzano un sistema standard per gestire i log che prende il nome di syslog. Una volta ricevuto un messaggio di log syslogd esegue le direttive presenti nel file di configurazione /etc/syslog.conf per decidere dove scrivere tali entry. Le entry dei log sono gestite da due parametri: - Facility: che ci dice il tipo del log - Severity: ci dice il livello di priorità

Analisi su Linux Facility Servility Codice Descrizione 0 Messaggio kernel 1 Messaggio da user-level 2 Sottosistema di mail 3 Daemon di sistema 4 Messaggio di security/autorizzazione 5 Messaggio generato internamente da syslog 6 Messaggio dallo spool di stampa 7 Messaggio dal sistema di network news 8 Sottosistema UUCP 9 Daemon funzionanti con il clock (cron/at) 10 Messaggio di security/autorizzazione 11 Daemon FTP 12 Daemon NTP 13 Log Audit 14 Log Alert 15 Clock daemon Codice Descrizione 0 Emergency: sistema non utilizzabile. 1 Alert: si richiede una azione immediata. 2 Critical: condizione critica. 3 Errore: condizione di errore. 4 Warning: avviso. 5 Notice: notifica di un evento significativo. 6 Informational: nota informativa. 7 Debug: messaggio di debug.

Analisi su Linux L'unico log non in formato testo è il file wtm chè è in formato binario Tiene informazioni degli accessi di coloro che hanno utilizzato il sistema ed è leggibile tramite il comando ”last” eseguito da terminale.

Analisi su Linux Configurazione del sistema Linux è configurabile tramite un editor di testo. Tutte le configurazioni sono contenute nella direcotry /etc in una serie di file di testo. Da questi file un forenser può verificare la configurazione del sistema tramite vari programmi o comandi da terminale come ”grep” e ”find”. File nascosti In Unix i fail nascosti sono identificati dall'iniziale del loro nome ovvero il ”.”. Questi file non sono visibili con il comando ls o tramite file manager ma bisogna usare il comando ls con il paremetro ”-a”.

Analisi su Linux Home directory E' il primo posto da controllare in quanto è possibile trovare dati dell'utente riguardanti i file utilizzati. In questa directory è presente il file .bash_history: la storia dei comandi inseriti da terminale e informazioni su molti programmi installati come browser client di posta e altri.

Computer Forensics Introduzione Il laboratorio di Analisi Helix Analisi su Windows Analisi su Linux Catena di custodia

Catena di custodia E' un documento che dice quello che è stato fatto e quali persone fisiche hanno avuto accesso al dato originale e alle copie effettuate fino ad arrivare al giorno del processo. Le principali informazioni che possono essere contenute in questo documento sono: - Numero del caso - Società incaricata dell'investigazione - Investigatore assegnato al caso - Natura e breve descrizione del caso - Investigatore incaricato della duplicazione dei dati - Data e ora di inizio custodia - Luogo in cui il supporto è stato rinvenuto - Produttore del supporto - Modello del supporto - Numero di serie del supporto Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, nellacatena di custodia, dovrà essere aggiunta un'informazione contenente: - Nome dell'incaricato all'analisi - Data e ora di presa in carico del supporto - Data e ora di restituzione del supporto