Conservazione dei dati originali Inalterabilità dei dati originali ... · Recupero informazioni...
Transcript of Conservazione dei dati originali Inalterabilità dei dati originali ... · Recupero informazioni...
Pag. 1
� Conservazione dei dati originali
� Inalterabilità dei dati originali
� Conformità dei dati acquisiti a quelli originali
Pag. 2
SEQUESTRO DELL’INFORMAZIONE DIGITALE
� Sequestro di hardware:
- Intera macchina
- Rimozioni di hard disk o memorie
� Sequestro selettivo:
- Informazione specifica (file di log, email, file di testo, immagine)
� Validazione:- Calcolo dell’hash
Pag. 3
HASH
� Nel linguaggio scientifico e, in particolare, in quello informatico, l’hash è una funzione
che, sulla base di un algoritmo matematico, trasforma l’insieme dei bit di un file o di
una stringa qualsiasi di testo, in una stringa di bit di lunghezza predefinita
� La stringa di bit risultante ( Digest ) è di lunghezza fissa e limitata. E’ rappresentata
da una stringa alfanumerica
� La funzione di hash è univoca ( non può essere invertita )
� Costituisce l’impronta digitale di un documento informatico
� Può essere applicata a una semplice stringa di testo, a un file qualsiasi ( testo,
immagine, video etc. ), a un intero supporto fisico ( hard disk, floppy, pen drive etc. )
Pag. 4
Analisi dei dati
� valutazione dell’ambiente operativo
� scelta della strumentazione hardware e software
� modalità di acquisizione delle evidenze digitali dai supporti (clonazione, analisi sul
supporto in sola lettura)
� preparazione dei supporti di memoria di destinazione (formattazione, wiping)
Pag. 5
STRUMENTI HARDWARE
Pag. 6
STRUMENTI SOFTWARE (proprietari)
Pag. 7
STRUMENTI SOFTWARE (open source)
Pag. 8
ANALISI
Il software per l’analisi forense - sia open source che proprietario - permette:
� Recupero informazioni cancellate e non sovrascritte
� Analisi dei registri di sistema;
� Recupero dati in settori non allocati;
� Recupero di password dei software più comuni;
� Sintesi e report idonei all’attività forense.
Pag. 9
PROBLEMATICHE
� Ripetibilità degli atti
� Occultabilità fisica e software.
Pag. 10
- Occultabilità fisica -
Pag. 11
- Occultabilità Software -
� Crittografia
� Steganografia
� Partizioni nascoste
� altro (tunneling)
Pag. 12
� I dati viaggiano nella rete Internet incapsulati all’interno dipacchetti digitali multilivello , ciascuno dei quali dotato di una propria intestazione ( header ) .
Livello applicativo ( e.g. intestazione HTTP, intestazione SMTP )
Livello di trasporto ( intestazione TCP )
Livello di rete ( intestazione IP )
Data link ( non fa parte dello stack : PPP, Ethernet , Wifi , etc )
LO STACK TCP/IP
Pag. 13
� L’ intestazione IP contiene informazioni fondamentali per l’instradamento dei pacchetti nella rete :
- Indirizzo IP sorgente
- Indirizzo IP destinazione
In ambito investigativo possono assumere particolare rilievo
L’ INTESTAZIONE IP
Pag. 14
Pag. 15
� Gli indirizzi IP devono essere univoci nella rete Internet
� Sono lunghi 32 bit ( quattro byte ) e sono espressi scrivendo i valori decimali di
ciascun byte separati dal carattere punto.
Esempi : 192.168.4.35 , 212.222.216.112 , 128.14.5.68
� Sono assegnati da un’unica autorità internazionale ( IANA , Internet Assigned
Numbers Authority ) che ne garantisce l’univocità a livello mondiale
Pag. 16
� Esistono delle autorità locali ( continentali e nazionali ) che, sulla base dei piani di
indirizzamento previsti dalla IANA, possono sub-assegnare localmente gli indirizzi
IP. In Italia - ad esempio - il GARR presso il CNR di Pisa.
� I database delle Internet authority sono pubblicamente accessibili e consentono di
ottenere diverse informazioni circa l’assegnazione degli indirizzi IP, quali ad
esempio le organizzazioni ,gli enti , le aziende, gli Internet provider ad essi
associati e le relative persone di riferimento.
Pag. 20
� SERVIZI DI CONNETTIVITA’
� SERVIZI DI CONTENUTO
Pag. 21
� Servizi di connettività
L’Internet provider fornisce ai propri utenti il
collegamento alla rete Internet mediante
infrastrutture fisiche e tecnologie diverse :
• doppino telefonico ( dial up , adsl )
• fibra ottica
• onde elettromagnetiche ( wireless, Gprs, Umts
etc. )
Pag. 22
� Servizi di contenuto
L’ Internet provider fornisce agli utenti -direttamente o indirettamente – contenuti di
vario genere accessibili via Internet :
• Web
• Posta elettronica
• Instant messaging
• Newsgroup ( gruppi di discussione )
• Ftp
• Irc ( chat )
• Telefonia ( VoIP )
• File sharing
Pag. 23
Ogni servizio Internet - sia di connettività che di contenuto - è di fatto fornito e
gestito mediante sistemi informatici dedicati ( hardware e software ) che vengono
genericamente chiamati server :
NAS ( Network Access Server ) per i servizi di connettività
Web server , Mail server, Ftp server etc. per i servizi di contenuto
Pag. 24
Sotto il profilo strettamente informatico , ciascun sistema per la fornitura di
servizi Internet è di norma in grado di registrare – sotto forma di cd LOG e
in maniera più o meno dettagliata – alcune informazioni relative agli
accessi al servizio stesso.
Pag. 25
CONNESSIONE AL POP DEL PROVIDER
Data e ora di inizio Data e ora di fine IP Assegnato Caller ID
COLLEGAMENTO A UN SERVER DI CONTENUTO
Data e ora IP sorgente ( client ) IP destinatario ( server ) Tipo Servizio Operazione
Pag. 26
Fri Mar 4 19:40:12 2005NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = “0815413024"Acct-Status-Type = Start
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Delay-Time = 0Client-IP-Address = 192.168.0.184
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109936412
Fri Mar 4 19:51:17 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = VirtualUser-Name = "David"
Calling-Station-Id = “0815413024"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-UserAcct-Session-Id = "00000026"
Acct-Terminate-Cause = Idle-Timeout
Acct-Session-Time = 665
Acct-Delay-Time = 0Client-IP-Address = 192.168.0.184
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109937077
Esempio di log di un server di autenticazione ( Radius )
Pag. 27
Esempio Log di un WebServer
192.168.0.41 - - [10/Aug/2007:17:45:21 +0200] "GET /roundcubemail/index.php HTTP/1.1" 200 2311 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6“
192.168.0.41 - - [10/Aug/2007:17:45:22 +0200] "GET /roundcubemail/skins/default/images/favicon.ico HTTP/1.1" 200 1406 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"
Pag. 28
Esempio Log di un MailServer
Mon 2008-05-19 08:08:59: Accettazione connessione POP da [192.168.4.226:1060]Mon 2008-05-19 08:08:59: --> +OK dominio.com POP MDaemon 9.6.5 ready [email protected] 2008-05-19 08:08:59: <-- USER [email protected] 2008-05-19 08:08:59: --> +OK [email protected]... User okMon 2008-05-19 08:08:59: <-- PASS ******Mon 2008-05-19 08:08:59: --> +OK [email protected]'s mailbox has 0 total messages (0 octets)Mon 2008-05-19 08:08:59: <-- STATMon 2008-05-19 08:08:59: --> +OK 0 0Mon 2008-05-19 08:09:00: <-- QUITMon 2008-05-19 08:09:00: --> +OK [email protected] dominio.com POP Server signing off (mailbox empty)Mon 2008-05-19 08:09:00: POP session complete (Bytes in/out: 56/302)
Pag. 29
Sotto il profilo informatico possono essere grossolanamente suddivisi in tre macro-categorie :
• Forzatura dei sistemi informatici : si sfruttano taluni difetti di
programmazione – noti e meno noti – per eseguire codice arbitrario
che consente di ottenere accesso al sistema , secondo vari livelli di
privilegio , oppure di svolgere operazioni non autorizzate
• Social engineering : raccolta fraudolenta di informazioni idonee ad
accedere a sistemi protetti da misure di sicurezza
• Insider hacking : accesso e/o utilizzo non autorizzato di un sistema
informatico da parte di utenti interni
Pag. 30
Alcune tecniche :
• Buffer overflow
• Sniffing
• Spoofing
• Sql injection
• Cross site scripting
• Trojan horse
• Back door
• Wardriving
• Portscanning
Pag. 31
• Si realizza solitamente mediante l’invio di messaggi di posta elettronica che
sembrano provenire da siti web autentici ( banche , poste, finanziarie, e-commerce )
• Lo scopo è quello di ingannare i destinatari e ottenerne fraudolentemente le
credenziali di accesso ai servizi on-line .
Pag. 32
Pag. 33
Pag. 34
Return-Path: <[email protected]>
Received: from smtp-in4.libero.it (192.168.32.10) by ims14b.libero.it (8.0.013.5)id 475897220173AC2C for [email protected]; Tue, 13 May 2008 04:55:25 +0200
Received: from mailrelay07.libero.it (172.31.0.114) by smtp-in4.libero.it (7.3.120)
id 47F2341F0A28E4D9 for [email protected]; Tue, 13 May 2008 04:55:25 +0200
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: Ah8qAPifKEhUE7I2Wmdsb2JhbABXgWUhDigKhwaGRYEfAR2aBQX-IronPort-AV: E=Sophos;i="4.27,476,1204498800";
d="scan'208,217";a="318268975"
Received: from ercole.hostingplan.net ([66.71.188.11])
by mailrelay07.libero.it with ESMTP; 13 May 2008 04:55:25 +0200
Received: from nobody by ercole.hostingplan.net with local (Exim 4.68)(envelope-from <[email protected]>)
id 1Jvkd6-0000qj-6N
for [email protected]; Tue, 13 May 2008 04:52:40 +0200
Subject: Poste Italiane Nuove misure di sicurezza Maggio 2008!From: [email protected] <[email protected]>
Reply-To: Poste Italiane A.s.P
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bitMessage-Id: <[email protected]>
Date: Tue, 13 May 2008 04:52:40 +0200
Header email (1/2)
Pag. 35
<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<img name="poste1" src="http://www.altinf.fr/catalog/images/12.PNG" border="0" id="poste1" usemap="#m_poste1"
alt="image" /><map name="m_poste1" id="m_poste1">
<area shape="rect" coords="42,282,202,322" href="http://silniki.info//images/color.html" target="_blank"
alt="http://www.poste.it" /></map>
</body>
</html>
Header email (2/2)
Pag. 36
Pag. 37
Ce vrea omul:uighiugi
Nume: ana iumista
Email: [email protected]: 153-566-9899
Reach: IP: 172.166.26.218
##################################################
Name on Card: ana iumista
Card Number: 4323784173882011MONTH: 03
YEAR: 2009
PIN: 9887
IP: 172.166.26.218
############################Nume: ana iumista
PIN2: 9088
IP:172.166.26.218
#########################################
Fri May 09, 2008 8:24 pmLogin: 372614
Password: oceans
IP: 209.180.172.172
##################################################
Ce vrea omul:Nume: Christopher J. Parosa
Email: [email protected]
Email: 541-343-0061
Reach: IP: 199.79.32.18
Dati Acquisiti
Pag. 38
Sovr. Marco Firrincieli
Polizia Postale e delle Comunicazioni
Torino