MacGyver - Digital Forensics
-
Upload
davide-riboli -
Category
Documents
-
view
93 -
download
0
description
Transcript of MacGyver - Digital Forensics
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 1/43
Nanni Bassetti http://www.cfitaly.net 1
MacGyver - Digital Forensics
Di Nanni Bassetti
www.nannibassetti.com
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 2/43
http://www.cfitaly.net 2Nanni Bassetti
Definizione
La Digital Forensics è la disciplina scientifica cheserve per identificare, acquisire ed analizzareuna prova digitale, preservandola da eventualialterazioni.
Scientifica: ripetibile (Galileo Galilei)è la modalità tipica con cui la scienza procede per raggiungere unaconoscenza della realtà oggettiva, affidabile, verificabile e condivisibile.Esso consiste, da una parte, nella raccolta di evidenza empirica emisurabile attraverso l'osservazione e l'esperimento; dall'altra, nellaformulazione di ipotesi e teorie da sottoporre nuovamente al vaglio
dell'esperimento.
Prova: deve garantire il suo uso in tribunale
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 3/43
http://www.cfitaly.net 3Nanni Bassetti
Definizione
I campi d’azione della Digital Forensics sono:
1) Indagini interne ad una azienda2) Supporto alla Polizia Giudiziaria ed ai PM (CTP) e Giudici (CTU/Perito)3) Supporto ai privati indagati (CTP)4) Valutazione danni5) Spionaggio6) Frode7) Pedopornografia
8) Violazione policy9) Ricatto10) Terrorismo11) Ecc.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 4/43
http://www.cfitaly.net 4Nanni Bassetti
DefinizioneLe fasi principali sono 4:
1) Identificazione
1) Acquisizione
1) Analisi e valutazione
1) Presentazione
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 5/43
http://www.cfitaly.net 5Nanni Bassetti
ACQUISIZIONE
Ci troviamo in un posto dove ci sono soloportatili da acquisire, abbiamo solo unportatile, ci “obbligano” ad acquisire
in situ …che facciamo? Accettiamo laridicola velocità dell’USB 2.0? :-D
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 6/43
http://www.cfitaly.net 6Nanni Bassetti
W la segretaria ed il suo Desktop PC ☺☺☺☺
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 7/43
http://www.cfitaly.net 7Nanni Bassetti
Write Blocker & Co.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 8/43
http://www.cfitaly.net 8Nanni Bassetti
Write Blocker & Co.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 9/43
http://www.cfitaly.net 9Nanni Bassetti
Write Blocker & Co.FONTE: http://www.marcomattiucci.it/writeblockers.php
I write-blocker sono di tre tipologie fondamentali:
(a) Firmware based : orientati ad impiegare le primitive del BIOS ed agestire la loro inibizione in qualsiasi tipo di scrittura;
(b) Software o Driver based : sono software di basso livello (in ambientewindows dei driver) orientati ad intercettare qualsiasi interruzione hardwareo software che diriga qualsiasi tipo di scrittura verso la memoria di massa
considerata. In questo caso è quindi il sistema operativo ad impedirel'alterazione e non il BIOS. Sempre di conseguenza eventuali bug delsistema operativo hanno un immediato effetto sulla garanzia difunzionamento del write-blocker.
(c) Hardware based : sono veri e propri dispositivi elettronici che "tagliano"il bus di comunicazione tra unità di storage fisica e scheda madre
(generalmente) e si interpongono come intermediari valutando edeventualmente inibendo tutto ciò che entra ed esce dal dispositivo target.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 10/43
http://www.cfitaly.net 10Nanni Bassetti
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 11/43
http://www.cfitaly.net 11Nanni Bassetti
L’Attrezzatura “portatile”
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 12/43
http://www.cfitaly.net 12Nanni Bassetti
E se troviamo un RAID?
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 13/43
http://www.cfitaly.net 13Nanni Bassetti
Arrivano le Live DISTRO!
Live distro Linux:
1.CAINE
2.DEFT3.FORLEX
4.FCCU
5.HELIX
OPEN SOURCE:
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 14/43
http://www.cfitaly.net 14Nanni Bassetti
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 15/43
http://www.cfitaly.net 15Nanni Bassetti
AcquisizioneEcco a voi Mr. BBThumbs.dat
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 16/43
http://www.cfitaly.net 16Nanni Bassetti
Acquisizione
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 17/43
http://www.cfitaly.net 17Nanni Bassetti
Analisi
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 18/43
http://www.cfitaly.net 18Nanni Bassetti
AnalisiEcco a voi Mr. BBThumbs.dat
BBThumbs.dat è inSTORE/home/user/(multimedia directories) enella memorycard.
SDCard/BlackBerry/(multimedia directories)Se vi capita un BlackBerry (pre OS 5)…e qualcuno
vi dice di recuperare tutti i file, ma non tutti sono
recuperabili o vanno confrontati con unbackup…ecco che bbthumbs.dat ci viened’aiuto.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 19/43
http://www.cfitaly.net 19Nanni Bassetti
AnalisiEcco a voi Mr. BBThumbs.dat
Per le immagini si comporta comethumbs.db, per le note vocali come solofile name e timestamps
Se non posso fare un dump fisico del
telefono, però bbthumbs (hidden file) neldump logico c’è e mi fa da “spione”.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 20/43
http://www.cfitaly.net 20Nanni Bassetti
AnalisiEcco a voi Mr. BBThumbs.dat
Ma chi dice che è un file che “cascia” tutto?
Un po’ il forum della BlackBerry, ma anche ilconfronto con altri.Inoltre becco il BBT.py, tool in python cherealizza un timestamp in GMT+0 corretto, (All
times for thumbnails are expressed in device local time regardless of the time zone ), ma conl’attributo –l (--local), mi dava un GMT+1, ma ioa Luglio sono in GMT+2….facciamolo presenteall’autore, che modifica il tool col Device Timeeliminando (GMT e Local).
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 21/43
http://www.cfitaly.net 21Nanni Bassetti
AnalisiEcco a voi Mr. BBThumbs.dat
Infatti il BB OS memorizza su Fat16 col devicetime e non in GMT+0 e le primitive Pythonprendevano il tempo as is non adeguandolo altime della macchina che sta analizzando. Anche
DCode, prendendo il byte del bbthumbs.dat coltimestamps, fornisce il timestamp esatto solo sein UTC+0, perché in sostanza, questi softwareprendono il tempo dai bytes e non sanno comeson stati scritti, con che aggiustamentotemporale o in GMT+0…
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 22/43
http://www.cfitaly.net 22Nanni Bassetti
Ecco a voi Mr. BBThumbs.dat
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 23/43
http://www.cfitaly.net 23Nanni Bassetti
AnalisiEcco a voi Mr. BBThumbs.dat
Per chi non ha letto nella slide precedente:
Change Log: + 0.5b - Fixed an issue with how
timestamps are handled
(thanks to Nanni Bassetti for pointing this out)
by Sheran Gunasekera
https://github.com/sheran/bbt e ringrazio anche Shafik Punja
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 24/43
http://www.cfitaly.net 24Nanni Bassetti
AnalisiBBT.py in action!
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 25/43
http://www.cfitaly.net 25Nanni Bassetti
AnalisiEcco a voi Mr. BBThumbs.dat
Prendere i primi 8 bytes dopo il nomefile, convertirli in decimale e poi darli a
DCodehttp://www.digital-detective.co.uk/freetools/decode.asp
e scegliere UNIX time milliseconds.UTC+0 (che non c’entra, perché cmq lui
prende il device time)
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 26/43
http://www.cfitaly.net 26Nanni Bassetti
Analisi
BBThumbs.dat visto in esadecimale, timestamps 8 bytesdopo il nome file
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 27/43
http://www.cfitaly.net 27Nanni Bassetti
Analisiconvertirli in decimale e poi darli a DCodehttp://www.digital-detective.co.uk/freetools/decode.asp
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 28/43
http://www.cfitaly.net 28Nanni Bassetti
Analisi
il numero decimale va messo in 13 cifre (aggiungiamo 000 allafine), per avere le corrette conversioni in Hex
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 29/43
http://www.cfitaly.net 29Nanni Bassetti
Lo strano caso di McAfee EE
Acquisiamo più hard disk Chiediamo se ci sono password e ce le
forniscono
Chiediamo se ci sono programmi di criptazione eci rispondo di No/Bho/Cosa sono?
Controlliamo a campione e le immagini dei
dischi acquisiti si montano, quindi sono in chiaro.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 30/43
http://www.cfitaly.net 30Nanni Bassetti
Lo strano caso di McAfee EE
Arriviamo in laboratorio ed un’immaginenon si monta!
Controlliamo con MMLS e editor HEX e
notiamo che il disco è criptato.
Virtualizziamo l’immagine.
Ci appare la richiesta di password di Mr.McAfee Endpoint Encryption
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 31/43
http://www.cfitaly.net 31Nanni Bassetti
Lo strano caso di McAfee EE
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 32/43
http://www.cfitaly.net 32Nanni Bassetti
Lo strano caso di McAfee EEDopodichè nonostante la username e la
password fossero giuste:
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 33/43
http://www.cfitaly.net 33Nanni Bassetti
Lo strano caso di McAfee EECreare un BartPe Live CD-Rom, che sarebbe un
CD avviabile basato sul sistema operativoWindows, nel quale è possibile inserire un plugin(programma) specifico per decrittare i dischi criptati
con McAfee Encryption Endpoint, ossia il WintechSafeboot 5.1.7 scaricato liberamente al seguenteindirizzo:
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/ CORP_KNOWLEDGEBASE/66000/KB66802/en_US/Wintec h_5.2.0.12_Plugin.zip
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 34/43
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 35/43
http://www.cfitaly.net 35Nanni Bassetti
Lo strano caso di McAfee EESi procede a creare un disco in formato VDI per
VirtualBox partendo dal formato raw (bit a bit) dellecopie effettuate:sudo VBoxManage internalcommands convertdd
file.dd file.vdiIn seguito si imposta la macchina virtuale suVirtualBox, sul singolo disco criptato e si fa partire la
suddetta macchina virtuale dalla ISO (immagine delcd-rom BartPe) del BartPe.
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 36/43
http://www.cfitaly.net 36Nanni Bassetti
Lo strano caso di McAfee EEAl termine del boot del cd-rom BartPe si imposta la data al
16/11/20XX nel sistema live così da poter inserirel’Authorise Code: 1234, codice giornaliero, da menùWintech ed autenticarsi con “Authenticate with SBFS”, inseguito inserire la password fornitaci e si procede alla
decrittazione del disco.Si conclude riconvertendo il file VDI in file DD (raw) tramite ilcomando:sudo VBoxManage internalcommands converttoraw file.vdifile.dd
IT’S A KIND OF MAGIC ;-)
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 37/43
http://www.cfitaly.net 37Nanni Bassetti
AnalisiL’ANALISI FISICA
L’analisi fisica comporta l’identificazione ed il recupero dei dati su tuttoil drive fisico non considerando il file system, quindi senza
alcun’organizzazione logica.I metodi applicabili sono:keyword searching, file carving ed estrazione delle tabelle di partizione
e dello spazio inutilizzato sul drive fisico.
Questo tipo di ricerca ed estrazione hanno delle limitazioni, perchél’informazione non è organizzata dal file system, quindi i dati allocatiin settori non contigui diventano veramente difficili da trovare, senon impossibili.
Dice Brian Carrier, (creatore di Sleuthkit ed Autopsy), che questatipologia (sector by sector) di ricerca va utilizzata per casi MOLTOimportanti e se pensiamo di applicarla, anche solo ad un hard disk di10Gb, ecco i tempi che ci vorrebbero:
10 GB = 20,971,520 sectors5 sec / sector > 3 anni (senza interruzione)
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 38/43
http://www.cfitaly.net 38Nanni Bassetti
AnalisiLO SAPEVATE CHE?
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 39/43
http://www.cfitaly.net 39Nanni Bassetti
AnalisiI TimeStamps nell’NTFS:From:http://computer-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp-manipulation
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 40/43
http://www.cfitaly.net 40Nanni Bassetti
AnalisiCreare un tool per le proprie esigenze:
1) Trovare i file duplicati#!/bin/bashDIR="folder"# File's FolderOUT="filetmp.txt"# File output hash
md5sum $DIR/* > $OUTecho "Uniq"awk '!x[$1]++' FS=" " $OUTecho "Duplicate"awk 'x[$1]++' FS=" " $OUT
http://www.gianniamato.it/2011/03/file-unici-e-duplicati-hash-a-confronto.html
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 41/43
http://www.cfitaly.net 41Nanni Bassetti
AnalisiCreare un tool per le proprie esigenze:
2) Estrarre gli headers
#!bin/bash# MagicFinder.sh – by Nanni Bassetti
ls > dir.txtecho "Magic numbers" > magic_num.txtfor I in $(cat dir.txt)doecho $I >> magic_num.txtxxd -l 20 $I >> magic_num.txtdone
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 42/43
http://www.cfitaly.net 42Nanni Bassetti
ConclusioniArrivederci e buona caccia! ☺
Queste slides sono rilasciate con licenzaCreative Commons
“Attribuzione-Non commerciale-Condividi allo stesso modo 2.5”, il cui testo e’ disponibile sul sito
http://creativecommons.org/licenses/by-ncsa/2.5/it/legalcode
5/10/2018 MacGyver - Digital Forensics - slidepdf.com
http://slidepdf.com/reader/full/macgyver-digital-forensics 43/43
http://www.cfitaly.net 43Nanni Bassetti
CONTATTI
NBS di Nanni BassettiInformation Technology Consultant
http://www.nannibassetti.com
E-Mail: [email protected]
Cell. +39-3476587097