Introduzione all’analisi forense: metodologie e strumenti Danilo Massa Sessione di Studio AIEA Torino 08/02/2007 Danilo Massa, 08/02/2007
Contenuti Analisi forense: come, quando e perchè Metodologie di analisi forense I processi aziendali a supporto Casi reali Domande e risposte Danilo Massa, 08/02/2007
Analisi forense – come L’analisi forense consiste nella ricerca e conservazione di evidenze digitali di reato. Queste evidenze devo essere: Ammissibili, per poter essere utilizzate in sede legale Autentiche, ovvero strettamente legate ai media digitali da cui sono state rilevate Complete, correlando tutte le informazioni possibili Affidabili, per non sollevare dubbi sulla loro autenticità Credibili, permettendo a chiunque di ricostruire il processo che ha portato alla loro rilevazione ottenendo gli stessi risultati Danilo Massa, 08/02/2007
Analisi forense – quando In seguito ad un incidente informatico (di sicurezza o meno) Durante una causa legale in sede di perizia Durante le indagini (preliminari o meno) relative ad un reato Danilo Massa, 08/02/2007
Analisi forense – perché In seguito ad un incidente informatico (di sicurezza o meno) Durante una causa legale in sede di perizia Durante le indagini (preliminari o meno) relative ad un reato Per individuare un responsabile dell’accaduto Per determinare cosa è accaduto Per verificare la reale entità dei danni Per accertare e registrare oggettivamente le responsabilità (C.T.U.) Per definire al meglio la propria posizione rispetto ai fatti accaduti (C.T.P.) Per incrementare le spese processuali e giungere ad un accordo privato tra le parti (sede civile) Per acquisire dati oggettivi sull’ipotesi di reato Per acquisire evidenze digitali da utilizzare in sede di giudizio Danilo Massa, 08/02/2007
Metodologie di analisi forense Mirano ad acquisire e conservare le evidenze digitali, costituite nella maggior parte dei casi da: File (es. documenti, log applicativi) Metadati (es. tempi di accesso ai file) E nella loro conservazione mediante: Sequestro/conservazione fisica in luogo sicuro ed idoneo Catena di custodia Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont) Differiscono a seconda del media da porre sotto analisi e dal suo “stato”. Un flusso di dati su una rete di elaboratori Analisi “live” Un dispositivo di memorizzazione Analisi “live” (es. pc alimentato ed acceso) Analisi “dead” (es. pc spento) Altri dispositivi (es. telefoni cellulari, PDA, rilevatori presenze etc.) Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont) Nel caso dell’analisi “live” di un flusso di dati su una rete è necessario avere: la possibilità di connettere un dispositivo di analisi su un router/switch dotato di porta configurabile in modalità spanning/monitoring oppure in alternativa … predisporre un HUB da inserire nel corretto segmento di rete che si vuole analizzare le corrette autorizzazioni legali per eseguire l’attività di intercettazione (es. cfr art 266-270 C.P.P, art 617 C.P.) oppure in alternativa … la competenza per una analisi delle sole informazioni di “busta” per preservare la riservatezza e la privacy di coloro che attuano il flusso di dati Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont) Nel caso dell’analisi “live” di un dispositivo di memorizzazione è necessario avere: un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare e … la possibilità di connetterlo sullo stesso router/switch che ospita l’elaboratore che lo ospita oppure in alternativa … predisporre un HUB da inserire tra l’elaboratore a cui è connesso il dispositivo di memorizzazione da analizzare ed il router/switch che lo ospita le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont) Nel caso dell’analisi “dead” di un dispositivo di memorizzazione è necessario avere: un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont) L’analisi di “altri dispositivi” è tecnicamente simile a quella dei dispositivi di memorizzazione (“live” o “dead”) in quanto consiste nell’estrazione, in modalità forensicamente valida, dei dati memorizzati sugli stessi. E’ però necessario avere: adeguati strumenti tecnici (es. cavi di connessione PC – cellulare) le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi Danilo Massa, 08/02/2007
Metodologie di analisi forense (cont) Punti di attenzione: è necessario possedere strumenti tecnologici (software specifico e dispositivi fisici) è necessario possedere competenze specifiche di analisi forense è necessario porre elevata attenzione alle vigenti leggi, normative e policy aziendali Danilo Massa, 08/02/2007
I processi aziendali a supporto Alcuni processi aziendali, procedure e prassi possono aiutare l’analista forense nella sua attività. Questi possono essere divisi in due macro livelli: Tecnologico Processo Danilo Massa, 08/02/2007
I processi aziendali a supporto (cont) A livello tecnologico vi sono attività del tipo: messa in sicurezza di sistemi operativi, dispositivi di rete ed applicazioni (web, c/s, etc) realizzazione di backup affidabili di dati, configurazioni e log presenza di sistemi di monitoring applicativo o meglio sistemi IDS/IPS aggiornamento costante dei sistemi (patch, update ed upgrade) Danilo Massa, 08/02/2007
I processi aziendali a supporto (cont) A livello di processo vi sono: AUP (Acceptable Use/r Policy) policy di sicurezza aggiornate, ben documentate e diffuse efficiente e documentata gestione dei change procedure per la gestione degli incidenti informatici (e non solo) Danilo Massa, 08/02/2007
Casi reali AGRO-ALIMENTARE SETTORE AGRO-ALIMENTARE Evento: impossibilità di accedere come amministratore al S.O. della macchina da tempo indefinito Ipotesi del Cliente: accesso da parte di un hacker al server di contro dei PLC INCIDENTE ATTIVITA’ Sistema: “dead” (spento dal Cliente) Copia forensicamente valida Creazione catena di custodia Messa in sicurezza dei supporti originali Analisi della copia Disco con S.O. danneggiato (HW), file delle password non leggibile. L.L.: installare ed utilizzare un sistema di monitoring RISULTATI Danilo Massa, 08/02/2007
Casi reali INDUSTRIA Evento: licenziamento dipendente SETTORE INDUSTRIA Evento: licenziamento dipendente Ipotesi del Cliente: azioni contrarie alle politiche aziendali e possibili attività illegali INCIDENTE ATTIVITA’ Sistemi: “dead” (spenti dal Cliente) Copia forensicamente valida Creazione catena di custodia Messa in sicurezza dei supporti originali Analisi della copia Raccolta di evidenze digitali di reato che giustificavano il licenziamento RISULTATI Danilo Massa, 08/02/2007
Casi reali BANCARIO Evento: attività anomala sulla rete intranet SETTORE BANCARIO Evento: attività anomala sulla rete intranet Ipotesi del Cliente: problemi di configurazione di nuovi dispositivi di rete da poco installati INCIDENTE ATTIVITA’ Sistemi: “live” Attivazione sistema di intercettazione delle “buste” Generazione file di intercettazione forensi Creazione catena di custodia Analisi dei dati Individuazione server compromesso da hacker, segnalato l’accaduto alle forze dell’ordine L.L. installare sistemi IDS/IPS e definire procedura di gestione degli incidenti RISULTATI Danilo Massa, 08/02/2007
Domande e risposte Danilo Massa (danilo.massa@altran-cis.it)
Grazie per la partecipazione Danilo Massa, 08/02/2007