venerdì 15 febbraio 2008

ANCORA UN’INDAGINE FORENSE

Che fare quando nel 2008 ti chiamano per un’indagine informatica? 

La prima cosa che ti domandi è: 
“Ma cosa dovrò acquisire? Come dovrò attrezzarmi?” 

Chiaramente sono domande paragonabili agli interrogativi filosofici sui massimi sistemi ed in genere ricevono risposte onomatopeiche a suoni tipo “Bho?”. 
Però questa volta c’è una novità, ti invitano a presenziare al sequestro, al fine di effettuare, professionalmente, il prelievo dei supporti informatici presenti. 

Siamo nel 2008 è già il piccolo investigatore informatico immagina terabytes di hard disk da acquisire, macchine RAID, 200 PC di cui 150 sono accesi e magari hanno sistemi crittografici e tutto questo rende le notti prima della data dello “sbarco” più dure della fatidica notte prima degli esami. 

Ma bisogna farsi coraggio e procedere per passi, quindi subito scrivere una checklist di cose da fare il giorno del sequestro: 

CHECKLIST 
1) Controllare se i PC sono accesi. 
1.1) Verificare che non vi siano volumi criptati (in caso affermativo chiedere passwords e/o analizzare live). 
1.2) Spegnerli col distacco dell'alimentazione. 
2) I PC spenti si sequestrano: perchè serve avere il PC per leggere orario BIOS ed eventualmente capirne l’architettura degli hard disk (es. se sono RAID). 
3) Domandare: 
3.1) Ci sono altri dati su altri supporti oltre i PC (es. cd-rom, pendrive, hd esterni), backup (196/03). 
3.1.1) In caso affermativo sequestrare. 
3.2) Chiedere eventuali passwords e/o buste con le passwords come da D.Lgs. 196/03. 
3.3) Ci sono software proprietari che usano per l'elaborazione dati? 
3.4) Ci sono connessioni internet per trasmissioni dei dati che ci interessano? 
3.4.1) In caso affermativo c'è connessione dedicata? (oppure chiedere il provider es. Wind, telecom, ecc. e relative password ed username) 
3.4.2) Ci sono software proprietari di trasmissione? 
3.4.3) Ci sono dati memorizzati su host remoti? 
3.5) Ci sono Fax/Stampanti con memoria? 
3.5.1In caso affermativo sequestrare o vedere in loco. 
4) Domandare fattura, documentazione varia per capire la tipologia degli hard disk. 
5) In caso di mancanza di risposte sulla tipologia degli hard disk: 
5.1) Spiegare che si andrà ad aprire per motivi tecnici: capire la capienza e la tipologia degli hard disk. 
5.2) Indossare i guanti in lattice (per elettricita statica/non lasciare impronte), scaricarsi da possibile elettricità elettrostatica, aprire il “case”, leggere l'etichette dei dischi ed eventualmente fotografare/videoregistrare tutto. 
5.3) Spiegare che non si sta alterando alcun dato ma solo leggendo delle etichette. 
6) Imballare tutto e portare via. 
7) Fissare una data per l'acquisizione (duplicazione) dei supporti. 

Questa lista è di massima e sarebbe utile controllarla ed aggiornarla a seconda del caso che si andrà ad affrontare. 

Arriva la data, si partecipa insieme alle forze dell’ordine, forte della tua nomina di ausiliario di P.G. (Polizia Giudiziaria), si attende che qualcuno entri nell’ufficio sorvegliato e si pensa di vivere in un film (bhè a chi non è del mestiere fa questo effetto….). 
Finalmente si entra e mentre i militari si presentano ed espletano le formalità del caso, l’occhio adrenalinico del computer forenser, scruta affamato in cerca di computers, palmtop ed ogni diavoleria elettronica, covando segretamente la speranza di trovare un piccolo PC con un piccolo hard disk. 

Ci sono solo due PC uno portatile e l’altro fisso (desktop), sul portatile c’è un’etichetta su stampigliata la misura dell’hard disk …wow solo 40Gb…uno è fatto! 

Poi si guarda e si riguarda il PC Desktop, ricordando la famose frase di Michelangelo “perché non parli!”, infatti il monolite metallico non riporta alcuna indicazione su quanti Gigabyte custodisce nel suo disco rigido, questo implica un’apertura del case e conseguente metamorfosi di un militare, in novello Spielberg ,che dovrà riprendere il guantato investigatore digitale mentre, armato di cacciavite e torcia alla CSI, si appresta a violare l’intimità del mostro d’alluminio. 

Dopo un quarto d’ora di speologia informatica, finalmente la torcia riesce ad inquadrare la stampigliatura dei GigaBytes sull’hard disk, solo 100Gb!!! Inoltre è un semplice disco IDE, molti incubi hardware svaniscono… 
Qualcuno potrebbe domandarsi come mai non si è semplicemnte acceso il computer per capire la dimensione dell’hard disk? 
La risposta è semplice: perché NON si fa! Il computer sospetto non va mai acceso se non dopo averlo privato dell’hard disk, in modo da non compromettere l’integrità dei dati in esso presenti. 

In attesa della convocazione per il giorno della duplicazione dei dischi, si appronta la workstation di lavoro, che, al minimo, dovrebbe essere così composta: 
Cpu abbastanza potente 
Due hard disk, uno col sistema operativo o più sistemi operativi (es. Linux e Windows) ed uno vergine pronto ad ospitare le copie o file immagini degli hard disk suspect. 
Almeno 1 Gb di Ram 
Almeno un bay per inserire l’hard disk suspect senza aprire la workstation. 
Un lettore ed un masterizzatore DVD 
Porte USB 2.0 
Porte FireWire 
Scheda di rete ethernet 
La scheda wi-fi, la scheda video e quella audio non hanno importanza particolare. 
Mainboard con controller SATA ed IDE. 


Dopo innumerevoli giorni, finalmente si è convocati per la duplicazione dei supporti, ci si sveglia di buon ora, si carica l’automobile con la seguente attrezzatura: 
Workstation priva di tastiera e monitor (useremo quelli della caserma), ma il mouse sì…non si sa mai… 
Case per hard disk esterni dotato di adattatore IDE e SATA con uscita USB 2 e E-SATA. 
Case per hard disk da 2.5” (quelli dei portatili) con uscita USB 2.0. 
Adattatore Ide 2.5” a Ide 3.5” per acquisire l’hard disk del portatile direttamente dal rack della workstation. 
Laptop con tutta la tua vita dentro….(non si sa mai). 
Cavi vari (alimentazioni, doppie prese, usb, firewire, ecc.) e set di cacciaviti e pinzette. 
Guanti in lattice 
Videocamera. 

Tutto per fugare ogni problema…ma tanto si userà solo la workstation, il cacciavite e l’adattatore ide 2.5” – 3.5 “, i guanti e la videocamera. 

Arriva il proprietario dei computer ed il suo legale, rigorosamente non accompagnati da un CTP (tecnico di parte), costringendo l’investigatore della procura a sgonfiarsi come un palloncino forato, infatti egli s’era preparato alla pugna, armato di tutte le risposte e pronto a demolire il suo, probabilmente, “incompetente” avversario, ma questa tenzone non sa da fare…. 

Dopo un estrazione, paragonabile ad un parto cesareo, difficile degli hard disk, ecco che si procede ad accendere i computer per dare un’occhiata al BIOS ed al clock di ognuno di essi, tutto con una mano sola, perché l’altra impugna la videocamera che riprende le operazioni, commentandole ad alta voce, come un medico patologo fa durante le autopsie. 

Si inserisce l’hard disk del laptop nel rack della workstation, utilizzando l’adattatore 2.5” – 3.5” e si lanciano i comandi: 
mount –l 
fdisk –lu 
disktype /dev/hda 
hdparm –gI /dev/hda 

e si ridereziona l’output di questi verso dei file txt con nomi di fantasia come fdisk.txt, disktype.txt ecc. ecc. e si fa lo sha256sum di ognuno di essi conservando l’output in un file chiamato hash.txt, che a sua volta sarà sottoposto allo sha256sum, così da avere l’hash del file degli hash. 

È molto importante il “mount –l” per dimostrare che Linux non ha montato in alcun modo il disco da duplicare, così si garantisce la non alterazione, tutti gli altri comandi servono a fornire ulteriori informazioni sul disco suspect. 
È il momento di accendere i motori, dopo aver inserito l’hard disk da duplicare nel rack, si lancia AIR 1.2.8 e si procede alla duplicazione del disco utilizzando i parametri: 
ibs=512 e obs=2048 (da alcuni test condotti l’obs>512 velocizza la scrittura dell’immagine) 
l’hash prescelto è lo SHA256, algortimo che non ha presentato ancora collisioni, quindi inattaccabile pure dagli avvocati USA. 
Chiaramente impostiamo la VERIFICA, in modo da far risultare che l’hash del disco originale coincida con quello della copia. 
Per concludere si salva il log file di AIR e si sottopone ad hashing. 

L’acquisizione è terminata, come la mattinata e con una fame da lupi si torna alle proprie dimore, ma già con l’idea di procedere al backup delle immagini dei dischi. 

L’ANALISI 

La prima cosa che si fa è quella di lanciare AUTOPSY ed iniziare l’esplorazione del file system, individuare i files che possono interessare, effettuare una ricerca per stringhe/keywords, creare una timeline per vedere le ultime attività, ordinare i files per tipologia ed ad uno ad uno aprirli per capirne il contenuto. Dato che non si sta cercando niente di particolare e dato che il “profiling” del proprietario dei dischi sequestrati è di utente medio-basso, si evitano le indagini sulle occultazioni sofisticate. 
Infine si può procedere ad un carving con foremost o scalpel per estrarre tutti i files presenti nello spazio non allocato. 

IL REPORT E LA CONSEGNA 

Finito il tutto, si crea una cartella REPERTI dove si conservano tutti i files estratti dal contenuto più o meno interessante, si sottopone ad hash e si ridereziona l’output in un file hash_reperti.txt (per esempio), poi si fa l’hash di quest’ultimo e lo si conserva. 
Infine si comprime l’immagine dell’hard disk con gz, tar, zip o quel che si vuole e si sottopone a hash, si copia tutto su hard disk da consegnare all’Autorità Giudiziaria o A.G. per sicurezza si masterizzano i reperti e tutti gli hash files su CD/DVD-ROM non riscrivibile, che, come al solito, per prudenza, lo si può anche firmare col pennarello indelebile. 
Il rapporto finale va scritto in due versioni, una completa di tutto, output di fdisk, mmls, disktype,log files di air, hash dei reperti, hash dei file consegnati, ecc. ed una sintetica per far capire “velocemente” i risultati raccolti. 
Si deve scrivere anche un rapporto di consegna di tutto ciò che si va rilasciare all’A.G. e farlo firmare da almeno un “verificatore” esterno che testimoni la presenza di ciò che si è dichiarato di consegnare. 
Infine la nota spese,che comprende le ore lavoro e le fatture del materiale di consumo utilizzato.
_________________