anti computer forensics

5/28/2018 Anti Computer Forensics

1/40

HomeConsulenza InformaticaSoftware

Associa ContattiSalvaElementi

DownloadsTrucchi e suggerimentiArea RiservataContattami

ProgettazioneSystem AdministrationSupporto tecnicoStrategie WEBComputer Forensics

Anti Computer Forensics

Tecniche e strumenti diantiforensics

di David Tanzer

Keywords: Antiforensic; Computer Forensics; Digital Forensics;

1. INTRODUZIONESolo recentemente lanti-computer forensics stata riconosciuta come legittimo argomento distudio (1) anche se, in realt, lanti-computer forensics nata assieme alla computer forensicso, forse, anche prima che ci fosse un sua formalizzazione e definizione.

Con luscita sul mercato di Norton Commander per DOS v. 1.00 nel 1982 (2) che conteneva ilprogramma UnErase, viene, di fatto, rivelato che la semplice cancellazione di un file non

Anti Computer Forensics https://www.david-tanzer.com/anti-computer-for

1 di 40 15/01/2014


2/40

unazione definitiva e che quanto cancellato pu essere recuperato.

Nei primi anni 80, per quanto gi disponibile il primo hard disk da 5 dalla capacitformattata di 5 MB (3) dai costi proibitivi, i personal computer utilizzavano Floppy disk da 5 per eseguire il sistema operativo, i programmi e per la memorizzazione dei dati. Possiamoragionevolmente ritenere che il primo tool anti-forensics fu il distruggi documenti!

Dalla fine degli anni 80 anche i computer economici cominciarono a essere dotati di supporti dimassa fissi.

Lincremento negli anni seguenti dei computer in circolazione, la disponibilit crescente dimezzi dinterconnessione fra gli stessi e con la decisione del CERN il 30 aprile 1993 (4) direndere pubblica la tecnologia alla base del web, ha portato con se la nascita dei criminiinformatici, cio fenomeni criminali che si caratterizzano nellabuso della tecnologia informaticasia hardware che software. Lesigenza di punire i crimini informatici emerse gi alla fine deglianni 80 (raccomandazione sulla criminalit informatica del Consiglio dEuropa, 13 settembre1989). (5)

La diffusione negli ultimi anni di nuovi dispositivi assimilabili a dei computer poich dotati di

processore, memoria, memoria di massa, dispositivi di input e output, sistemi operativi eapplicazioni, ha sicuramente creato nuove sfide per gli investigatori ma anche nuoveopportunit per lindividuazione delle fonti di prova.

2. DEFINIZIONI

La computer forensics la scienza che studia l'individuazione, la conservazione, la protezione,l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del datoinformatico al fine di essere valutato in un processo giuridico. (6)

Per lanti-computer forensics vi sono molte definizioni; la pi accettata la seguente:Il tentativo di influire negativamente sullesistenza, la quantit e la qualit delle prove presentiin una scena del crimine, o il rendere difficile o addirittura impossibile condurre lesame elanalisi delle prove. (7)

La definizione riportata si riferisce ad azioni eticamente negative, di puro ostacolo alla giustizia.La disciplina ha invece, a mio parere, un campo dazione molto pi ampio e anche pi nobilerispetto a quanto indicato nella definizione.


2 di 40 15/01/2014


3/40

I dispositivi digitali, oltre a poter essere i contenitori di fonti di prova in un processo giuridico,sono certamente i contenitori di informazioni pi o meno rilevanti del suoi utilizzatori, atte arivelarne i gusti, le abitudini, le tendenze politiche e religiose, capacit di spesa, indirizzi diposta elettronica, credenziali per laccesso a conti correnti, posizione INPS , ecc.

Lazione degli investigatori autorizzati deve seguire delle regole ed assoggettata alla legge,per cui la possibilit di azione limitata. I malintenzionati, invece, spesso non sottostanno a

regole e leggi, per cui protezioni allapparenza efficaci risultano inutili. Per esempio un filecrittato con una password robusta un efficace ostacolo allazione di un investigatore, inquanto, in Italia per esempio, nessuno pu obbligare un indagato a rivelare le proprie password.Un delinquente invece pu estorcerla con minacce o peggio.

Oltre agli investigatori da un lato, agenti in piena legalit, e i delinquenti, agenti completamentefuori da regole e leggi, vi unaltra fattispecie e precisamente le aziende che utilizzano le azionie i contenuti dei dispositivi digitali di un utilizzatore per tracciarne, a sua insaputa e addiritturaforzandone la volont, le informazioni di loro interesse. Spesso queste aziende agiscono sul filodella legge.

Per fortuna la legge in vari Stati sta cominciando a contrastare questi fenomeni. Un esempio

la condanna alla societ californiana KISSmetrics in quanto aveva sfruttato tecniche perricreare cookies [1] dopo la loro rimozione da parte dellutente. (8)La mia definizione di anti computer forensics la seguente:

Linsieme di strumenti, tecniche e comportamenti utilizzati per contrastare, in modo differentesecondo gli obiettivi di autotutela perseguiti, lazione di un attaccante, legittimato o no, cheutilizza tecniche di computer forensics per ottenere informazioni di vario genere dai dispositiviassimilabili a computer (personal computer, main frame, smartphone, console, ecc.) e dalla loroconnessione a reti locali e globali.

3. TECNICHE

Le tecniche che si possono utilizzare per prevenire od ostacolare lacquisizione

di dati di interesse per un attaccante, o comunque rendere il pi possibiledifficoltosa la successiva analisi, possono raggrupparsi, considerando ladefinizione classica, nelle seguenti categorie:

Occultamento dei dati

Cancellazione dei dati

Trail obfuscation Modifica degli elementi identificativi dei dati e delle attivit


3 di 40 15/01/2014


4/40

finalizzate a disorientare o depistare linvestigatore e contromisure specifiche

contro le attivit tipiche di computer Forensics

Distruzione fisica del supporto contenete i dati.

Lattivit di investigazione forense e soprattutto quelle attivit perpetrate dalle altre tipologie diattaccanti, non si realizzano esclusivamente con la ricerca delle fonti di prova e delleinformazioni di interesse agendo direttamente sui dispositivi, come la classificazione classicadelle tecniche anti forensics lascia intendere, ma sfruttano anche le vulnerabilit dei sistemioperativi, lapertura di accessi ai dispositivi digitali fornita dalla connessione ad Internet, lavulnerabilit intrinseca di alcune strutture di rete Wi-Fi ed alla falsa sicurezza che si provaquando si sicuri di essersi protetti da azioni esterne al proprio mondo, non preoccupandosiinvece di quello che c allinterno.

Considerando questi aspetti aggiungerei le seguenti categorie:

Tecniche per la prevenzione della trasmissione di informazioni non voluta.

Utilizzo di tecniche di crittazione asimmetrica per linvio di informazioni

riservate.

Tecniche di protezione della infrastruttura informatica dallaccesso illecito

perpetrato dallinterno.

3.1 Occultamento dei dati

3.1.1 Crittografia

La parola crittografia deriva dallunione di due parole greche kryptsche significa nascosto, egraphache significa scrittura. La crittografia la collezione di metodi per rendere unmessaggio non comprensibile per le persone non autorizzate a leggerlo.

Esistono fondamentalmente due tecniche per offuscare un messaggio, quelle basate sullasegretezza del metodo di cifratura e quelle basate sulla segretezza della chiave.

Le prime implementazioni della crittografia basata sulla segretezza dellalgoritmo di codifica lesi possono trovare gi nella Bibbia, libro di Geremia, dove viene utilizzato il cifrario Atbash,cifrario che si basa sulla sostituzione monoalfabetica in cui la prima lettera dellalfabeto vienesostituita dallultima, la seconda dalla penultima e cos via. (9)

La storia della crittografia moderna ebbe inizio con Leon Battista Alberti che per primo utilizz


4 di 40 15/01/2014


5/40

un disco cifrante (10) con un alfabeto segreto da spostare ad libitum ogni due o tre parole. Ilsuccessivo passo avanti avvenne grazie a Giovan Battista Bellaso con lintroduzione dellatecnica di alternare alcuni alfabeti segreti con parola chiave sotto il controllo di un lungoversetto chiamato contrassegno.

Il francese Vigenre (11) utilizz poi il versetto per cifrare ciascuna lettera con la sua tavola adalfabeti regolari. Il suo sistema fu considerato indecifrabile per oltre tre secoli. Fu decifrato dal

prussiano Friedrich Kasiski (12)

La legge fondamentale che inquadra il corretto uso delle tecniche crittografiche fu scritta daKerckhoffs (Legge di Kerckhoffs) nel 1880 ed la seguente:

In un sistema crittografico importante tenere segreta la chiave, non lalgoritmo dicrittazione. (13)

Nel 1918 Gilbert Vernam perfezion il metodo Vigenre utilizzando chiavi segrete lunghequanto il messaggio e mai pi riutilizzabili. Nel 1949 Claude Shannon dimostr che questo lunico metodo crittografico possibile che sia totalmente sicuro. (14)

Nellutilizzo pratico molto complesso avere chiavi lunghe quanto il messaggio per quanto cisiano stati degli utilizzi in ambito militare (One Time Pad - OPT) (15)

Per un approfondimento ed esempi sulle tecniche criptografiche si rimanda al sitohttp://www.cryptool.orgin cui sono scaricabili i programmi Cryptool1 e Cryptool2, ottimistrumenti didattici per comprendere gli algoritmi delle varie tecniche conosciute.

Nessun sistema crittografico che utilizzi chiavi meno lunghe del messaggio da

codificare inviolabile.

Diventa a questo punto rilevante il tempo necessario per decifrare il messaggio. Se questotempo sufficientemente lungo da rendere non pi utile lottenimento del messaggio originale,

il metodo di crittazione diventa di fatto inviolabile.

Luso della crittografia come tecnica anti-forensics trova applicazione nelloffuscamento dei daticontenuti negli elaboratori nella sua forma a chiave simmetrica, cio dove la chiave per crittarelinformazione e per la sua decrittazione la stessa.

Possiamo distinguere i seguenti metodi di utilizzo della crittografia:

a) Codifica di alcuni file contenenti dati sensibili

b) Codifiche di intere strutture contenenti dati sensibili.

c) Codifica dellintero disco fisso o di alcune partizioni.

I metodi a) e b) non garantiscono, se utilizzati da soli, un valido sistema di protezione antiforense da un eventuale accesso al sistema dove questi oggetti sono contenuti, in quanto lastessa apertura dei documenti decodificati lascia tracce sul sistema.

Sono invece metodi molto sicuri e pratici per ottenere unottima garanzia (complessit della


5 di 40 15/01/2014


6/40

chiave permettendo) di evitare che allinterno del proprio ambiente, di lavoro o di vita, qualcunopossa accedere a queste informazioni conoscendo magari la password daccesso al sistema osfruttando una disattenzione. Sono un ottimo metodo per generare documenti da inviare a uncorrispondente che a conoscenza della password di codifica.

I tool pi noti per compiere la crittazione di file sono i seguenti:

- AxCrypt(http://www.axantum.com/axcrypt/) che utilizza lalgoritmo AES-256 (16). unsoftware libero di cui ottenibile anche il codice sorgente. fornito per ambientiWindows, Mac OS X, Linux, IOS. In ambiente Windows permette di eseguire lacrittazione in pochissimi passaggi generando dei file .exe autoestraenti.

Figura 1

- Sophos Free Encryption(http://www.sophos.com/it-it/products/free-tools/sophos-free-encryption.aspx). Anche questo software utilizza lalgoritmo AES-256. disponibilesolo per il sistema operativo Windows.

Figura 2

Alcuni programmi di larga diffusione come Microsoft Word, Microsoft Excel, Winzip, Winrar,7-Zip offrono la possibilit di crittare i documenti da loro generati utilizzando lalgoritmoAES-128 (7-Zip AES-256).


6 di 40 15/01/2014


7/40

Il metodo b) consiste nella generazione di un file di dimensione variabile, a seconda delleproprie esigenze, crittato con vari algoritmi, che ha la possibilit di essere montato nel sistemaoperativo come se fosse una qualsiasi unit di storage. Quando questo file montato, i file che sivogliono proteggere devono essere trasferiti allinterno di tale unit. Una volta che lunit smontata, i file contenuti allinterno non sono pi accessibili. Per riottenerli necessariomontare nuovamente il file, utilizzando la password di crittazione.

I prodotti pi noti che svolgono questa funzione questa funzionalit sono i seguenti:

- Truecrypt (http://www.truecrypt.org/). in assoluto il pi noto fra I programmi dicrittazione. Permette la creazione di dischi virtuali crittati di varie dimensioni, di crearedispositivi USB crittati con la possibilit di far avviare in automatico il prompt cherichiede la password di crittazione anche su sistemi in cui il prodotto non installatosfruttando la sua caratteristica di software portable. Una caratteristica moltointeressante in chiave anti-forensics e anche di protezione contro uneventuale azioneviolenta di mali intenzionati, la possibilit di inserire un disco virtuale crittato nascostoallinterno di un disco virtuale crittato. Questo comporta che se si fosse costretti pervarie ragioni a rivelare la password di crittazione del disco virtuale principale il secondodisco crittato non verrebbe rivelato in alcun modo. Utilizza un enorme numero di

algoritmi di crittazione come lAES 256, Serpent 256, Twofish 256, AES-Twofish 256,AES-Twofish-Serpent 256, Serpent-AES 256, Serpent-Twofish-AES 256, Twofish-Serpent

256.

Figura 3

- FreeOFTE(http://www.freeotfe.org/). Il programma molto simile a Truecrypt. I punti incomune sono:

Crittazione al volo di partizioni e interi dischi

Possibilit di creare un disco nascosto allinterno di un disco crittato

Algoritmi AES, Twofish e Serpent

Eseguibilit da dispositivo USB


7 di 40 15/01/2014


8/40

Possibilit di montaggio disco virtuale da CD/DVD e rete

FreeOFTE offre in aggiunta:

Esiste per dispositivi PDA

Supporta pi algoritmi Hash

Offre la modalit Explorer che pu essere eseguita su un computer pubblico senzala necessit di installare i drivers

Truecrypt offre in aggiunta:

La possibilit di crittare il disco di sistema

eseguibile su Windows, Linux e Mac OS X

Sfrutta i processori multipli e la possibilit di utilizzare le istruzioni AES delprocessore quando disponibili

Questa tecnica di crittazione ha il grande vantaggio di poter spostare i propri file riservati da unpc allaltro senza particolari problemi semplicemente copiando il file crittato, che viene montatocome unit dai sopra citati programmi, su un supporto appropriato o avendolo creato gi l.

Vi poi unestrema facilit nelleffettuare il backup dei propri dati effettuando la semplice copiadel file contenente il disco virtuale.

Il problema di sicurezza dal punto di vista anti-forensics per identico a quello che si ha con la

crittazione del file singolo: quando un documento contenuto nel disco virtuale crittato vieneaperto, tracce rimangono memorizzate nei registri e nelle cartelle temporanee.

Non per cui un metodo che pu utilizzato da solo.

Il metodo c) quello che offre la pi ampia garanzia di riservatezza dei propri dati riservati inchiave anti-forensics.

La strategia quella di crittografare completamente il disco di sistema e, se ci sono, gli altri


8 di 40 15/01/2014


9/40

dispositivi di storage.

Utilizzando questo sistema non solamente i file riservati non sono accessibili senza laconoscenza della password di decrittazione, ma lo sono anche le tracce lasciate dallaperturadei medesimi.

La sicurezza ovviamente legata alla complessit della password.

I prodotti pi noti sono:

- Bitlocker(questo software disponibile su sistema operativo Vista ultimate e enterprise, Windows 7 ultimate e enterprise, Windows 8). Questo software ha tre modalitoperative, due richiedono un dispositivo hardware per la cifratura del disco contenente ilsistema operativo (Trusted Platform Module - TPM), la terza no.

Le modalit che usano TPM sono:

Modo operativo trasparente - lutente accede al sistema effettuando il loginnormalmente. La chiave di crittazione contenuta nel chip TPM

Modalit autenticazione utente questa modalit richiede allutente un PIN o undispositivo USB per avviare il sistema operativo.

La terza modalit non richiede un chip TPM:

Modalit chiave USB: lutente deve inserire un dispositivo USB che contiene la chiavedi avvio per poter avviare il sistema operativo protetto.

Questa tecnologia, in chiave anti-forensics, ha la forte limitazione di richiedere, per decrittare ildisco contenente il sistema operativo in un sistema sprovvisto di TPM, di un dispositivo USB cheovviamente pu essere facilmente acquisito durante un sequestro. I dischi non di sistema

possono essere sbloccati mediante lutilizzo di una password, di una smart card e relativo PIN e,nel caso in cui sia protetto anche il sistema operativo, possono essere sbloccatiautomaticamente allavvio dello stesso.

Nella nuova versione per Windows 8 Pro e Windows Server 2012 stata migliorata la velocit dicrittazione crittando effettivamente solamente lo spazio su disco utilizzato, la possibilit dicrittografare i Clustered Shared Volume in un failover cluster, la possibilit di abilitare Bitlockersu un volume prima che il setup del sistema operativo venga eseguito, permette ai client ed aiserver connessi alla rete aziendale di sbloccare automaticamente il disco del sistema operativosenza la necessit di inserire il PIN al momento del boot, compatibilit con i recenti HardwareEncrypted Drives, ossia gli hard disk capaci di gestire la crittografia a livello hardware(sgravando cos la CPU da questo compito).


9 di 40 15/01/2014


10/40

- Truecrypt(http://www.truecrypt.org/). Anche Truecrypt offre la possibilit di eseguireuna crittazione dellintero disco, compreso quello di sistema. Per il disco di sistemautilizza esclusivamente la password di sblocco, mentre i volumi non di sistema possonoutilizzare anche un key file. Truecrypt permette lautomontaggio dei volumi non disistema allavvio del sistema operativo, quando questo e posto su un volume crittato.

Mentre Bitlocker disponibile solo per alcune versioni di Windows, Truecrypt disponibileper Windows, Mac OS X e Linux.

Utilizzando sistemi di crittazione dellintero disco, per ottenere una buona sicurezza in

chiave anti forensics, importante tenere a mente che quando il sistema avviato, lepassword di decrittazione dei sistemi montati sono in memoria e non crittate.

Esistono tool come PasswareKit Forensicche in pochissimi minuti sono in grado direcuperare le password sfruttando il dump della memoria di un sistema con dischi Bitlockere/o Truecrypt montati.

raccomandabile per cui spegnere i sistemi quando non sono in uso evitando lo standby.Libernazione invece sicura purch il file dibernazione risieda su ununit crittata.

Lutilizzo di sistemi di crittazione dellintero disco pongono il problema del backup dei file.Per prima cosa bisogna utilizzare un sistema di backup in grado di generare degli archivi a

loro volta crittati; avere tutto il sistema crittato e il backup in chiaro, rende di fatto, dalpunto di vista anti forensics, tutto inutile.

Va scelto poi un sistema di backup in grado di coesistere con il sistema di crittazione scelto.

Ho testatoAcronis Backup & Recovery 11.5(che offre la possibilit di crittare in AES-256gli archivi di backup) in abbinata con Bitlocker ottenendo un completo successo. Backupcompleto di tutti i volumi, backup incrementale e differenziale e, soprattutto ripristino


10 di 40 15/01/2014


11/40

completo del sistema che, ovviamente, non pi crittato.

Con Truecrypt non vi sono stati problemi con il disco crittato di sistema, ce ne sono invecestati con i volumi non di sistema. Acronis Backup & Recovery, Paragon Backup & Recoveryche ho testato, effettuano il backup di tutta la partizione in formato raw.

Oltre ad occupare molto spazio e richiedere molto tempo, ci impedisce la possibilit di

eseguire backup incrementali e differenziali. Il recupero del singolo file poi precluso.

Vi la possibilit di eseguire il backup dei file al posto del volume. Non supportandoTruecrypt per le shadow copy per i dischi non di sistema, rimane il problema dei file aperti

durante le operazioni di backup, che non sono salvati.

3.1.2 Steganografia

La steganografia, dal greco steganos(), nascosto, e graphei (), scrittura,sintende la tecnica di nascondere le informazioni allinterno di altre informazioni.

Le informazioni possono essere inserite, per esempio, allinterno dimmagini, filmati, musicao testi.

A differenza della crittografia, la steganografia non attira lattenzione di un eventualeinvestigatore. Un file crittato viene quasi certamente individuato durante lanalisi di undispositivo digitale, uninformazione steganografata pu essere trovata soltanto per mezzodi tecniche dette di stegoanalisi.

Le tecniche di stegoanalisi possono essere cos catalogate:

tecniche visive (su file jpeg, bmp, ecc.)

tecniche sonore (su file wav, mp3, ecc)

tecniche statistiche (cambiamenti nella struttura dei pixel meno significativi)

tecniche strutturali (prendono in esame le propriet dei file)

Per approfondire le tecniche di stegoanalisi si pu consultare il sito http://www.sarc-wv.com/(Steganography Analysis and Research Center).

In chiave anti forensics, importante tenere presente che loccultamento tanto pi sicuro,indipendentemente dalla bont dellalgoritmo utilizzato, tanto pi piccolo il contenuto daoccultare confrontato con la dimensione del medium utilizzato.

Al fine di aumentare ulteriormente la sicurezza e la forza anti forensics dellinformazioneoccultata, questa pu essere prima crittata e poi steganografata.

Questa tecnica ideale per trasferire informazioni tra un soggetto e un altro.


11 di 40 15/01/2014


12/40

Una delle tecniche pi efficaci la steganografia nelle immagini.

Questa tecnica sfrutta la debolezza del sistema visivo umano.

Unimmagine digitale a colori non compressa un file composto di 8 bit per pixel (selimmagine a 256 colori) o da 24 bit per pixel (per immagini a 16 Milioni di colori). Peresempio, unimmagine di 1920x1440 pixel con profondit di 24 bit (16 M colori) un file

composto di 2.764.800 byte.

Le immagini in formato raw non sono comunemente utilizzate per lenorme dimensione deifile ottenuti. Vengono per cui normalmente compresse. La stessa immagine dellesempio,compressa con lalgoritmo jpeg, ha la dimensione di 918.688 byte.

Ovviamente unimmagine raw offre pi spazio per celare un messaggio ma questo tipo dioggetti, salvo che chi li detiene sia un fotografo, non venendo comunemente usati,attirerebbero troppo lattenzione di un investigatore.

Affinch le modifiche apportate alle immagini appaiano invisibili ad occhio nudo, la quantitdi dati inseribili deve essere per forza di cose piccola confrontata al contenitore.

La tecnica pi diffusa la steganografia LSB (Rumore di Fondo) (17), che pu essereapplicata solo ad immagine non compresse o ad immagini compresse con metodi senzaperdita di dati (png, bmp, Gif, tiff). Si basa sulla teoria che apportando modificheimpercettibili a unimmagine ad alta definizione questa non cambia. Si pu ottenere unamodifica impercettibile di unimmagine modificando il bit meno significativo di ogni bytecomponente limmagine.

Senza lintervento di tecniche steganografiche, questo gi avviene normalmente a causadelle normali imperfezioni del sistema di acquisizione (scanner, fotocamera, ecc), appunto ilrumore di fondo, o a causa dei filtri correttivi propri dei software di gestione del sistema diacquisizione (aumento del contrasto, miglioramento cromatico, ecc).

Come gi precisato, questa tecnica pu essere utilizzata solo con immagini non compresse ocompresse con algoritmi lossless. Per utilizzare invece le diffusissime immagini in formatojpeg, che un algoritmo di compressione con perdita (lossy), ottenute per esempio dafotocamere, si deve operare a un livello di rappresentazione intermedio, cio bisognainiettare le informazioni nei coefficienti di Fourier ottenuti nella prima fase di compressione(18) (19).

I messaggi segreti, che possono essere file di qualsiasi tipo (testo, immagini, binari, ecc), perquanto detto, devono avere dimensioni molto inferiori al contenitore; per ovviare a questadifficolta si pu suddividere il messaggio in pi contenitori.

Il migliore, a mio avviso, tool stegografico per Microsoft Windows OpenPuff(http://embeddedsw.net/ ).


12 di 40 15/01/2014


13/40

un programma freeware le cui caratteristiche anti forensics sono:

Generatore HW di numeri pseudo-casuali (CSPRNG)[2]

Steganografia negabile [3]

Catene di carrier (fino a 256Mb di dati nascosti)

Selezione del livello di utilizzo dei bit dei carrier

Multi crittografia moderna (16 algoritmi)

Offuscamento dei dati a pi livelli (3 password)

Resistenza alla steganalisi X-quadro[4]

OpenPuff supporta molti formati di carrier:

Immagini (BMP, JPG, PCX, PNG, TGA)

Audio (AIFF, MP3, NEXT/SUN, WAV)


13 di 40 15/01/2014


14/40

Video (3GP, MP4, MPG, VOB)

Flash-Adobe (FLV, SWF, PDF)

Crittografia a chiave simmetrica a 256bit+256bit con estensione della password KDF4

Scrambling a chiave simmetrica a 256bit (Shuffling basato su CSPRNG)[5]

Whitening (Mix con rumore basato su CSPRNG)[6]

Codifica dei carrier bit adattiva e non-lineare[7]

Struttura nativa portatile (nessuna installazione, chiavi di registro, file .ini)

Si esegue in user mode con DEP (Data Execution Prevention) on

Supporto multithread (fino a 16 CPU) = Esecuzione pi veloce

Spyware/adware-free

Liberamente ridistribuibile

Nucleo della libreria crittografica OpenSource (libObfuscate)

un software per la stegografia completo e molto sicuro. Lunico che ho trovato in grado diutilizzare come carrier anche i filmati, con la possibilit per cui di inserire moltissimeinformazioni al loro interno.

Pu inoltre lavorare con catene di carrier ottenendo cos la possibilit di nascondere file anchemolto grossi.

Dal punto di vista anti forensics molto interessante il concetto di steganografia negabile.Concettualmente assomiglia alla tecnica utilizzata da Truecrypt che permette linserimento diun disco virtuale crittato nascosto allinterno di un disco virtuale crittato noto.

La crittografia/steganografia negabile, una tecnica basata sulluso di unesca che permette dinegare in maniera convincente di stare nascondendo dati sensibili, anche se gli attaccantipossono dimostrare che si sta nascondendo qualcosa. Basta semplicemente fornire unescasacrificabile che plausibilmente deve rimanere confidenziale. Verr rivelata allattaccante,sostenendo che questa lunico contenuto.

Come possibile? I dati crittografati e sottoposti a scrambling, prima di essere iniettati neicarrier, sono sottoposti a whitening con una grande quantit di rumore. I dati esca possono

sostituire un po del rumore senza compromettere le propriet finali di resistenza allacrittoanalisi. I dati sensibili e i dati esca sono crittografati usando password differenti. Sidevono scegliere due diversi insiemi di diverse password. (20)

interessante notare che moltissimi dei tools riferiti in molti articoli in internet sonocompletamente scomparsi.

Ci che resta disponibile sono software estremamente deboli o didattici.


14 di 40 15/01/2014


15/40

Segnalo un altro tool, assolutamente didattico ma in grado di far capire bene come funziona lasteganografia. Il tool si chiamaVSL/(Virtual Steganograpgic Laboratory) ed scaricabileallindirizzo http://sourceforge.net/projects/vsl/?source=directory.

3.1.3 Protocolli di rete criptati

Lobiettivo dellutilizzo di un protocollo di rete criptato quello di impedire lintercettazione deltraffico generato fra due sistemi interconnessi da parte di chiunque, investigatore omalintenzionato attraverso attacchi man-in-the -middle (21).

Tutti gli utilizzatori di internet hanno a che fare con alcuni protocolli di crittazione del traffico direte giornalmente. molto comunemente utilizzato lHypertext Transfer Protocol over SecureSocket Layer (HTTPS) che il risultato dellapplicazione di un protocollo crittograficoasimmetrico (22) al protocollo di trasferimento dipertesti http. In pratica viene creato un canale

criptato tra il client ed il server attraverso uno scambio di certificati. Il Secure Socket Layer(SSL) il protocollo crittografico utilizzato.

Molto simile il protocollo File Transfer Protocol Secure (FTPS).

Molto utilizzato dagli amministratori di sistemi Linux il protocollo Secure Shell (SSH) chepermette di aprire uninterfaccia a riga di comando fra un client e un server in cui latrasmissione viene crittata con un metodo di crittazione asimmetrico.

Molto usati, e molto importanti da usare, i protocolli di crittazione delle reti Wi-Fi (wep, wpa,wpa2) (23). Collegandosi, infatti, a una rete Wi-Fi aperta il rischio che tutto il traffico noncrittato con altri protocolli sia intercettato alto.

Questi protocolli hanno lo scopo di proteggere il contenuto da occhi indiscreti.

Questazione, per, in chiave anti forensics non sufficiente. Un investigatore, per quanto nonin grado di analizzare i contenuti delle comunicazioni, identifica facilmente gli indirizzi dei duesistemi interconnessi e pu quindi muoversi su entrambi i sistemi per compiere ricerche.

Per rendere complicata la vita allinvestigatore, consigliabile utilizzare un metodo che rendadifficile o addirittura impossibile identificare almeno uno dei due soggetti della trasmissione.

Molto noti sono i Proxy server di anonimizzazione, alcuni gratuiti e altri a pagamento. Questisistemi permettono di rendere anonima la navigazione soprattutto su protocolli http e https.

Un investigatore che analizza il traffico proveniente dal sistema che utilizza il browser dinavigazione, utilizzando il protocollo https, non in grado di identificare il contenuto e lorigine.

Uno dei sistemi migliori per ottenere anonimato in rete TOR(The Onion Router) (24).Lanonimato lo si ottiene inoltrando il traffico attraverso una rete di volontari a livello mondiale.

Il meccanismo di funzionamento semplice: una qualsiasi comunicazione non transita maidirettamente dal client al server, ma passa attraverso i server TOR che agiscono da router


15 di 40 15/01/2014


16/40

costruendo un circuito virtuale crittografato a strati. Ogni Onion Router decide a quale nododella rete spedire i pacchetti e negozia una coppia di chiavi crittografiche per spedirgli i daticifrandoli. In questo modo nessun osservatore posto in un punto qualsiasi del circuito in gradodi conoscere lorigine e la destinazione della comunicazione.

Oltre a permettere comunicazioni sicure fra client e server, TOR pu rendere anonimoaddirittura un server e i suoi servizi. Per accedere a questo server o ai suoi servizi necessario

luso di TOR da parte dei client.

Ogni utente Tor pu essere:

- Client; TOR gestisce solo le connessioni dellutente.

- Middleman relay; un nodo che gestisce il traffico da e per la rete TOR senza collegarsiallesterno. Tutti i relay sono pubblicamente noti per scelta progettuale.

- Exit relay; un nodo che gestisce il traffico da e per la rete TOR e verso lesterno. Tutti irelay sono pubblicamente noti per scelta progettuale.

- Bridge relay; I bridge relay sono dei nodi semi-pubblici di tipo sperimentale, studiati perpermettere di collegarsi alla rete Tor anche in presenza di un filtraggio efficace controTor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche dei nodi noti madevono essere richiesti esplicitamente.

Per utilizzare TOR sufficiente scaricare dal sito https://www.torproject.org/projects/torbrowser.html.enil browser TOR disponibile per Windows, Mac OS X e linux.

Si tratta di una customizzazione di Firefox portatile che utilizza direttamente TOR.


16 di 40 15/01/2014


17/40

Per i sistemi IOS esiste OnionBrowserche ha le stesse funzionalit.

Per i sistemi Android disponibile Orbot.

Per far diventare client, middleman relay, exit relay o bridge relay si pu agire sul Pannello dicontrollo Vidalia cliccando su Configurazione del Relay.

Un altro tool un po pi complesso Whonix. http://sourceforge.net/projects/whonix/files/?source=navbar

Il tool composto di 2 macchine virtuali Vmware di cui una il gateway verso la rete TOR elaltra il client, un sistema Linux desktop piuttosto completo, che utilizza il gateway per lecomunicazioni con lesterno.

Il gateway sicuramente la parte pi interessante siccome pu essere utilizzato come gateway

predefinito di tutto una rete locale.

Un altro tool interessante che utilizza la rete TOR Tailshttps://tails.boum.org/

Consiste in una distro Linux live che pu essere trasferita su una chiavetta usb in cui tutto infunzione dellanonimato e del non lasciare tracce. Ha il grande vantaggio di essere trasportabilee utilizzabile su qualsiasi (o quasi) computer che si ha a disposizione, non lasciando su questoalcuna traccia del suo passaggio.


17 di 40 15/01/2014


18/40

possibile, oltre ad utilizzare Tails per la navigazione, ha gi installato un client per la posta,una suite di programmi per ufficio (Openoffice), programma per la masterizzazione di cd e dvd,la possibilit di creare una partizione sulla chiavetta crittata per il mantenimento dei datidinteresse. Infatti, alla chiusura del programma, vengono cancellate in modo sicuro tutte lemodifiche apportate ad esclusione della partizione crittata (Persistent).

Uno dei maggiori limiti di TOR e la relativa lentezza dei flussi dovuti agli ovvi limini di utilizzobanda imposti dai volontari. Inoltre poco gradito chi utilizza la rete TOR per inviare massiccequantit di dati o chi utilizza i sistemi peer to peer.[8]

Un altro sistema per rendere anonimo e non analizzabile il traffico generato ovviando, allalentezza e alle limitazioni della rete TOR, lutilizzo di connessioni VPN(Virtual PrivateNetwork) verso strutture che forniscono questo servizio di anonimizzazione.

Una Virtual Private Network una rete di telecomunicazione privata, instaurata tra soggetti cheutilizzano un sistema di trasmissione pubblico e condiviso, come per esempio Internet.

Al fine di garantire limpossibilit per un investigatore e chiunque altro di analizzare il traffico

generato, la VPN deve diventare una Secure VPN utilizzando dei protocolli di cifratura.

I protocolli pi utilizzati sono:

PPTP (Point to point tunneling protocol) (25)

IPsec (IP security) (26)

SSL/TLS (27)

Allindirizzo http://www.vpnsp.com/vpn-services.htmlsi pu trovare una lista dei VPN serviceproviders pi conosciuti.

Si ottiene lanonimato in quanto a destinazione il flusso come se arrivasse dallindirizzo IP delprovider e non da quello del computer dorigine.

Va tenuto presente che il collegamento dal proprio pc fino al provider crittato, ma da quelpunto in poi, se le comunicazioni non sono ulteriormente crittate, posso essere intercettate e


18 di 40 15/01/2014


19/40

analizzate dal provider stesso o da qualche altro utente collegato allo stesso provider.

Quasi tutti questi providers garantiscono di non tener traccia delle connessioni effettuate iningresso e in uscita, ma sempre meglio non esserne troppo sicuri.

Per agire in chiave anti forensics vanno scelti per cui provider situati in paesi dove eventualirichieste dinvestigatori del proprio paese non sarebbero prese in considerazione.

3.2 Cancellazione dei dati

La strategia di questa tecnica anti-forensics di eliminare definitivamente le informazionisensibili.

Le informazioni in oggetto possono essere documenti informatici di varia natura di cui non si ha

pi bisogno, come per esempio la totalit dei dati ancora presenti su un disco fisso che si deveeliminare, le tracce delle attivit svolte su un elaboratore elettronico, come i file temporanei e icookie della navigazione in internet effettuata con un browser, la cronologia della navigazione edelle ricerche effettuate, i file temporanei dai quali si pu risalire allutilizzo di documenti oaddirittura alla loro ricostruzione , la cronologia dei documenti aperti da unapplicazione, i logdi sistema che possono dare informazioni circa i cicli di accensione e spegnimento, suiprogrammi installati e rimossi, sugli utenti che si sono validati sul sistema.

Si possono suddividere i tools che permettono di bonificare queste fonti di informazione per uninvestigatore, o anche per chi vuole avere informazioni su una persona, in due categorie:

Tools che realizzano il wiping (cancellazione sicura) di un intero dispositivo come un

disco fisso, una chiavetta usb, una memoria di una fotocamera, ecc.

Tools che realizzano cancellazioni sicure selettive di documenti e di tracce in genere.

3.2.1 Tools di wiping

Fra i tools che realizzano il wiping possiamo trovare sia prodotti software sia prodotti hardware.

Fra i prodotti hardware vi sono dispositivi che utilizzano software che implementano differentialgoritmi di wiping ma anche dispositivi che utilizzano procedimenti fisici di degaussing(demagnetizzazione).

I dispositivi di degaussing sono molto veloci e agiscono sul materiale magnetico di un discofisso, di un floppy disk o di un nastro magnetico generando un campo magnetico di forteintensit che agisce sui domini magnetici dei dispositivi orientandoli in modo totalmente casuale


19 di 40 15/01/2014


20/40

tale da non permetterne il recupero con alcun mezzo. Un grande vantaggio che hanno questidispositivi, oltre alla velocit elevata (cancellano un disco in circa 4 secondi), la possibilit diagire su dispositivi non funzionati ma che, con tecniche opportune, possono restituire i dati inessi contenuti.

Gli altri dispositivi hardware utilizzano gli stessi metodi di cancellazione dei dati che sonoimplementati dai tools software. Hanno il vantaggio di poter agire su pi dispositivi

simultaneamente ed essendo costruiti per questo scopo, forniscono differenti interfacce percollegare dispositivi di diversa natura e utilizzano il metodo migliore in automatico per ilparticolare dispositivo.

I tools hardware sono rivolti essenzialmente alle grandi aziende che necessitano unacancellazione sicura per un gran numero e variet di dispositivi.

Fra gli apparecchi che utilizzano il degaussing segnalo i seguenti:

Ontrack Eraser Degausser

(http://www.ontrackdatarecovery.it/degausser/ )

Tabernus Degaussers

(http://www.tabernus.com/index.php?page=degauss)

Fra gli apparecchi che utilizzano algoritmi software segnalo :

Tabernus E800 Hard Drive Erasure Appliance

(http://www.tabernus.com/index.php?page=loose)

Extreme Protocols Solutions

(http://www.enterprisedataerasure.com/products/ )

Esistono numerosi tools software che dichiarano di eseguire cancellazione utilizzando varimetodi. Fra i molti metodi proposti i seguenti sono i pi diffusi:

I tools che segnalo sono:


20 di 40 15/01/2014


21/40

BCWipe Total Wipeout(http://www.jetico.com/wiping-bcwipe-total-wipe-out/ ) . Questo tools per Windows. Punti di forza sono la possibilit di eseguire il wiping di pi dischisimultaneamente, di cancellare anche la HPA (Host Protected Area) [9] . Pu essere creato unlive disk da lanciare sulla macchina sulla quale si vuole cancellare i dischi presenti.

Darik's Boot And Nuke (http://www.dban.org/download ). Il punto di forza di questo tools che freeware.

HDDErase (http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml ) . Questo software statosviluppato dallUniversit della California. Gratuito. Live Disk.

Active Killdisk(http://www.killdisk.com/ ) .

probabilmente il pi completo prodotto in forma freeware.

Pu essere installato o lavorare Live su cd e chiavette USB.

in grado di eseguire il wiping su pi dischi contemporaneamente.

in grado di eseguire una cancellazione sicura anche su floppy disk.

Genera un report a fine operazioni.

Supporta IDE ATA SATA SSD SCSI

Supporta dischi pi grandi di 2 TB

Supporto per USB 3.

La versione a pagamento aggiunge le seguenti funzioni:

Verifica dopo la cancellazione.

Permette la scelta e la customizzazione del metodo di wiping.

Invia il log delle operazioni fatte via mail.

Spegne il computer a fine operazioni.

3.2.2 Tools di shredding e di cleaning

I tools di shredding sono programmi che permettono di cancellare in modo sicuro un file ounintera cartella. Sono molto facili da utilizzare e garantiscono lirrecuperabilit del filecancellato senza per curarsi delle tracce che lapertura di tali file possono aver lasciato daqualche parte nel sistema.


21 di 40 15/01/2014


22/40

Fra i tool pi noti si ritrova Eraser(http://eraser.heidi.ie/) .

Oltre ad eseguire la cancellazione immediata dei file e delle cartelle scelte, si possonocreare dei job schedulati per la cancellazione ricorrente.

Sintegra con la shell di windows in modo da poter agire sul file o cartella voluta con iltasto destro del mouse.

Implementa un numero impressionante di metodi di cancellazione sicura con vari livelli diaffidabilit.

Cancella in modo sicuro lo spazio non utilizzato di un volume.

gratuito.

Un altro tool gratuito Free File Shredder(http://www.fileshredder.org/), simile ad Eraser mamancante della schedulazione delle operazioni.

Questo tipo di tools rivestono a mio avviso uno scarso interesse dal punto di vista anti forensicsin quanto non si occupano di rimuovere anche le tracce delle aperture dei file che vengonocancellati.

Un discorso a parte invece lo si pu fare per un prodotto che effettua lo shredding delle mail diuna dei diffusi client di posta, Microsoft Outlook. Il prodotto si chiama

E-mail Shredder for Outlook

(http://www.safeit.com/products/index.asp) . Com noto, la cancellazione di una mail noncomporta la sua eliminazione completa dal database pst di Outlook, ed facilmente

recuperabile. Per poter effettuarne leliminazione bisognerebbe compattare il database, cosache richiede unenorme quantit di tempo e spesso la si evita. Questo programma permette dieseguire una cancellazione completa delle e-mail selezionate senza la necessit dellacompattazione, agendo con i metodi di cancellazione sicura solo sugli elementi voluti.

Esiste anche la versione per gli utilizzatori di Exchange Server e agisce sul database locale ostnello stesso modo che con il database pst.


22 di 40 15/01/2014


23/40

Anche questo tools non si cura per dei file temporanei tipicamente generati dallapertura degliallegati.

Volendo utilizzare come tecnica anti forensics la cancellazione, opportuno utilizzare , oaggiungere, un tool pi completo in grado di andare a rimuovere in modo sicuro tutte le tracceche si vogliono eliminare.

Va premesso che un buon prodotto deve essere in grado di agire sulle tracce dei singoliprogrammi utilizzati, che spesso cambiano nel tempo aggiungendo informazioni incontrollabili.

Fra i migliori prodotti di questo tipo troviamo CyberScrub Privacy Suite(http://www.cyberscrub.com/en/privacy-suite/).

un prodotto a pagamento con il metodo della sottoscrizione annuale. Questa sicuramenteuna scelta corretta poich il prodotto, affinch sia efficace, deve essere continuamenteaggiornato nelle definizioni di un enorme numero di applicazioni.

Il prodotto in grado di identificare automaticamente le applicazioni installate e se le ha fra lesue definizioni permette allutilizzatore di abilitarne la pulizia dei file, delle chiavi di registro edelleventuale cache.

La debolezza dal punto di vista anti forensics di questo tipo di applicazioni sta proprio nel fattoche le applicazioni continuano a essere aggiornate, a volte con frequenze altissime, come gliantivirus, e i programmatori dei tools in questione devono analizzare le modifiche apportare erilasciare le definizioni per i nuovi aggiornamenti.

Una caratteristica sicuramente positiva di questo programma di non permettere labilitazionedella definizione di un programma se questa definizione non quella per quella particolarerelease, non lasciando di fatto lutente nella falsa sicurezza di aver bonificato quanto voluto.

Unaltra caratteristica interessante quella di poter creare delle definizioni custom, a totalerischio e pericolo di chi le realizza, per cancellare in modo sicuro qualsiasi cosa in modoschedulato.

Altra caratteristica per cui preferirlo la certificazione Via Padlock (28) che ne garantisce la


23 di 40 15/01/2014


24/40

conformit alle ultime disposizioni in materia di crittografia e meccanismi di sicurezza a livellomilitare.

Pu inoltre operare in modalit stealth impedendo la sua individuazione.

Fornisce anche strumenti per larchiviazione sicura creando una locazione crittata accessibiletramite password.


24 di 40 15/01/2014


25/40

Un altro tool interessante Privacy Guardian di Pctools(http://www.pctools.com/it/privacy-guardian/).

Il prodotto ha a favore rispetto a Cyberscrub la capacit di cancellare le tracce da un maggior

numero di browser internet e un prezzo davvero basso per un prodotto di questo tipo. In meno,non da la possibilit di customizzare azioni personalizzate.

Un ulteriore prodotto di buona qualit ParetoLogic Privacy Controls(http://www.paretologic.com/products/paretologicpc/) la cui peculiarit la capacit dicancellare efficacemente le tracce dai sistemi di messaging e voip maggiormente utilizzati qualiAOL, ICQ, MSN Skype, Google Talk e Windows Live Messenger.

Ottima lazione sui pi diffusi client P2P.

Un altro tool molto interessante CleanAfterMedella Nirsoft (http://www.nirsoft.net/utils/clean_after_me.html). Questo tool non ha tutte le funzioni dei tool precedenti, per portatile e

permette di eliminare le tracce di utilizzo di molti programmi e browser. molto utile quando sivuole evitare che qualcuno capisca dalle tracce grossolane lasciate che il computer in questione stato utilizzato. Ha inoltre, come scelta, la possibilit di sovrascrivere i file oggetto dieliminazione con degli zeri prima di effettuare leliminazione.


25 di 40 15/01/2014


26/40

3.3 Trail obfuscation

Fino ad ora si sono prese in considerazione tecniche anti forensics atte o a nascondere o aeliminare tracce e documenti che si vogliono tenere riservati.

La Trail obfuscation invece una tecnica tendente a modificare alcune caratteristiche dei file inmodo da creare confusione in chi deve analizzare un sistema.

Le tecniche consistono nel modificare gli attributi di uno o pi file come, per esempio, la data eora dellultimo accesso e della creazione del file, il nome del file, modificare i file cambiandonedi fatto lo hash, agire sui file di log per alterare le sequenze delle operazioni.

A prima vista possono sembrare tecniche di poco valore, ma sono invece veramente rilevantispecialmente quando sul sistema da analizzare vi sono montagne di file.

Immaginiamo uno scenario in cui un investigatore debba analizzare un sistema per ricercare dei

documenti sottratti a unazienda. Di fronte alla presenza di un numero notevole di file di uncerto tipo, come per esempio documenti PDF, il buon investigatore ben si guarder da aprirliuno ad uno per analizzarne il contenuto, utilizzer invece la tecnica di far calcolare da unprogramma gli hash di tutti i file trovati, calcoler lhash dei file consegnatigli dal denunciantecome campione e poi effettuer la ricerca degli hash dei campioni con gli hash calcolati di tutti ifile trovati.

Se i documenti sono stati modificati in modo da alterarne lhash originale, questi file non


26 di 40 15/01/2014


27/40

verranno mai trovati.

Formuliamo poi lipotesi che, per puro caso, sia individuato uno di questi file. Se la data dicreazione , per esempio, di molto antecedente alla data di creazione del file campione, sipotrebbe addirittura ipotizzare che il file in oggetto sia stato creato dal denunciato piuttosto chedal denunciante.

Un tools che davvero inaspettatamente rivela le sue doti anti forensics il famosissimoIrfanView(http://www.irfanview.net/) . La sua dote anti forensics sta nella capacit diconvertire e rinominare in bulk file da un formato a un altro, per esempio da jpg a png, da PDFa PDF ottimizzandolo (e di fatto cambiandogli lhash).

Il risultato di questattivit lottenimento di files praticamente identici agli originali ma conhash totalmente cambiato, e cos pure la data di creazione e altre informazioni rilevanti.

Unaltra tecnica di trail obfuscation quella di contaminare appositamente la propria macchinacon un malware noto, come ad esempio un trojan.proxy [10] , programmi di remoteadministration come Logmein, Vnc, ecc in modo da poter dire il mio sistema virato e nonsono stato io a fare quello di cui mi si accusa.

A differenza delle altre tecniche, questa pu essere utilizzata per modificare la realt dei fattiestrapolati dal sistema sotto indagine.

A titolo di esempio, mettiamo che ci si voglia creare un alibi per un certo range di orari nelfuturo. Si pu semplicemente modificare lorario di sistema spostandolo in avanti quel tanto chebasta, accendere il sistema e lavorarci un po su in modo normale. Una volta coperto il temponecessario, si spegne il computer e lo si riaccende solo per modificare lorario riportandolo aquello corretto. Bisogna evitare il collegamento con internet per evitare aggiornamenti nonvoluti dellorario di sistema.


27 di 40 15/01/2014


28/40

Pi complicato, ma altrettanto fattibile, crearsi un alibi nel passato. Da windows Vista in poi, abilitata di default la shadow copy (29) su tutto il disco di sistema e per ogni aggiornamento disistema viene creato un punto di ripristino. Mettiamo per ipotesi che ci si voglia creare un alibiper la mattina del giorno precedente avendo lavorato nel pomeriggio della stessa giornata.

Per effettuare questa operazione lasciando meno tracce possibili si pu utilizzareShadowExplorer (http://www.shadowexplorer.com/ ) un interessantissimo programma che

permette di navigare allinterno delle copie shadow presenti su un disco fisso e di esportare ilfile su un altro supporto.

Va anche utilizzato un altro tool della Nirsoft, BulkFileChanger (http://www.nirsoft.net/utils/bulk_file_changer.html) allo scopo di modificare le date di creazione dei file eventi che andremoa ripristinare. Per poter effettuare una modifica delle date pi accurata, al posto diBulkFileChanger sarebbe meglio utilizzare Timestomp (http://www.jonrajewski.com/data/for270/timestomp.exe) che ha anche la possibilit di modificare il valore del changetimenella MFT (Master File Table) (30) rendendo ancora pi complicato per un investigatore trovarela manipolazione. Purtroppo il programma lo si trova con difficolt; lunico link ancora attivo quello che ho indicato.

Pu essere abbinato ad uninterfaccia grafica, Timestomp-Gui(http://sourceforge.net/projects/timestomp-gui/). Per funzionare con questa interfaccia, bisogna impostare il formato dellorasulle 12 ore, utilizzando cos i suffissi PM e AM.

Bisogna procedere come segue:

1) Si scarica la versione portable di ShadowExplorer e di BulkFileChanger e li simemorizzino su una chiavetta USB.

2) Si esegue il programma ShadowExplorer e si sceglie la copia shadow con la datadesiderata.

3) Si va nella cartella c:\windows\system32\winevt\Logs della copia shadow voluta.


28 di 40 15/01/2014


29/40

4) Si copiano tutti i file *.evtx sulla chiavetta tramite la funzione export del programmaShadowExplorer e poi lo si chiude.

5) Si esegue il programma di sistema msconfig.

6) Si va nella scheda Servizi e si toglie la spunta dal servizio Registro eventi diWindows, quindi ok.

7) Si accetta il riavvio. Alla partenza premere F8 per scegliere la modalit provvisoria.

8) Al riavvio, ci si sposta sulla cartella del disco fisso c:\windows\system32\winevt\Logs.

9) Si prende nota della data di creazione dei file, non della data di ultima modifica.Spesso la stessa e comunque si potr utilizzare la data pi vecchia.

10) Si eliminano tutti i file *.evtx presenti nella cartella.

11) Si copiano i file *.evtx salvati sulla chiavetta nella cartella.

12) Si esegue BulkFileChanger, si selezionano tutti i file trasferiti e si modifica la data dicreazione in modo opportuno.

13) Si modifica la data di sistema in modo da collocarsi al giorno voluto e allora voluta.

14) Si riesegue msconfig e si riabilita la voce Registro eventi di Windows.

15) Alla richiesta di riavvio, si spegne il sistema con il tasto di accensione. Quindi siriaccende il sistema e si lavora effettivamente facendo un po di cose per creare entrinel registro opportune.

16) Completato il riempimento, si arresta il sistema e si reimpostano la data e loracorrette.

Procedendo in questo modo si sono create voci alla data voluta, file e altre tracce che


29 di 40 15/01/2014


30/40

confermano dellattivit nel periodo voluto.

Il programma BulkFileChangerpresentato sopra (meglio ancora Timestomp), unprogramma che permette di apportare modifiche ad informazioni importanti relative ai file.Senza una data certa molto spesso diventa impossibile utilizzare il file in tribunale.

3.4 Tecniche per la prevenzione dellatrasmissione di informazioni non voluta.

Esistono malware come i keylogger(31) che sono sfruttati per carpire informazioni durante ilnormale uso del sistema. Nulla esclude che nel corso di uninvestigazione si possa ricorrere astrumenti software realizzati appositamente per acquisire informazioni non ottenibili altrimenti.

Un esempio sono le conversazioni effettuate tramite Skype, notoriamente crittate.

possibile per cui che per intercettare queste conversazioni si possa indurre in vari modilutilizzatore a installare qualche software, volontariamente o a propria insaputa, che registra leconversazioni e le invia a un ascoltatore.

In generale bisogna per cui porre attenzione anche sullattivit delle applicazioni che sono inesecuzione e impedire loro di comunicare con lesterno se non autorizzate.

Oramai i firewall personali sono attivati di default sulle macchine con sistemi operativi moderni,ma la loro azione rivolta a evitare lingresso dallesterno verso servizi che non si voglionopubblicare.

Bisogna per cui incrementare la sicurezza in uscita installando firewall che blocca il trafficoverso lesterno se questo non voluto.

Molti software antivirus con funzionalit di Internet Security offrono gi questo servizio.

In questo spazio segnalo unapplicazione che sfrutta il firewall nativo di Windows XP, WindowsVista, Windows 7 e Windows 8 che permette di realizzare un controllo completo e granularedellattivit dei software anche in uscita.

Il programma Windows7FirewallControl(http://www.sphinx-soft.com/Vista/) . Il programmasintegra con il desktop di Windows ma esiste anche una versione portable che ne permette

lattivazione alla bisogna. Il programma a pagamento.

3.5 Utilizzo di tecniche di crittazioneasimmetrica per linvio di informazioni


30 di 40 15/01/2014


31/40

riservate.

Pochissime persone hanno coscienza di questa vulnerabilit che colpisce soprattutto la postaelettronica, le trasmissioni di file via ftp o http e i collegamenti Wi Fi.

Spessissimo questo tipo di attivit sono svolte senza pensare che, senza opportuni accorgimenti,tutto il traffico generato sia in chiaro, compri gli user id e le password.

3.5.1 Posta Elettronica

Vi sono due accorgimenti da implementare:

- Utilizzare connessioni con il proprio server di posta che implementato crittazione

TLS/SSL.Tenendo poi presente che, anche utilizzando la crittazione della connessione con il server diposta, una volta giunti sul server su questo sono in chiaro e non si pu essere sicuri che il flussoda un server allaltro per linvio al destinatario segua regole di sicurezza, anzi spesso non lesegue.

importante per cui:

- Utilizzare certificati digitali per crittare le conversazioni riservate, in modo tale dapermetterne la lettura solo al legittimo destinatario.

Questa possibilit offerta a tutti a costo zero sul portale di COMODO(http://www.comodo.com/home/email-security/free-email-certificate.php). Sul sito possibile procurarsi un certificato dautilizzare per linvio di mail crittate.

Per inviare posta crittografata utilizzando i certificati impone la seguente procedura:

a) Bisogna che entrambi i corrispondenti abbiano un certificato digitale utilizzabile perlinvio di posta crittografata.

b) Ogni corrispondente deve inviare una mail firmata con il proprio certificato allaltro.

c) Si deve aggiungere il certificato digitale del proprio corrispondente alla rubrica delproprio client di posta (modalit differenti a seconda del client stesso).

d) Dopo la compilazione della mail da inviare bisogna abilitare lopzione di crittatura.

Va comunque ricordato che una volta giunto sul client del proprio corrispondente il messaggio in chiaro e pu essere letto da chiunque abbia accesso al computer del corrispondente a menodella revoca del certificato (nel caso di COMODO la revoca del certificato pu essere effettuataqui: https://secure.comodo.com/products/!SecureEmailCertificate_Revoke) .


31 di 40 15/01/2014


32/40

3.5.2 Tramissione file

Anche per la trasmissione file utilizzando protocolli FTP e HTTP consigliabile la crittazione.Per quanto non in grado di dimostrarlo, nella mia attivit di consulente, laver fatto impostare iltrasferimento di file per siti web su SFTP ha fatto cessare completamente azioni di hacking deisiti stessi avendo escluso a priori vulnerabilit note del software del sito stesso.

Purtroppo sono pochissimi i provider che offrono hosting di siti web che forniscono questoservizio. Bisogna per cui cercare un provider che fornisca tale connettivit (fra i grandi, inItalia, Aruba fornisce il servizio gratuitamente).

Per comprendere quanto sia delicata la questione rimando al seguente articolo su PuntoInformatico: http://punto-informatico.it/2086911/PI/Interviste/seeweb-cronaca-un-attacco.aspx.

Dal punto di vista puramente anti forensics, possibile che un investigatore venga in possessodelle password ftp di un sito di un indagato e solo grazie a questo fatto ottenere molteinformazioni, ma, in aggiunta, vi la possibilit di modificare del codice, per esempio nellaparte amministrativa del sito, in modo tale da installare un malware appositamente costruito sulpc o sui pc oggetto di future indagini.

3.5.3 Connessioni Wi - Fi

Molte strutture alberghiere, aereoportuali, bar, ristoranti, hanno messo a disposizione hot spotWi Fi gratuiti per i loro clienti.

Questi hot spot sono spesso aperti, cio senza alcuna crittatura del segnale, lasciando lavalidazione per la navigazione a livello di gateway.

Chiunque collegato a questa rete non protetta in grado di catturare il traffico generato daglialtri avventori e impossessarsi per esempio delle password per laccesso alla loro posta se laconnessione con la propria casella non crittata.

Collegarsi a reti aperte sconosciute non cosa saggia poich un malintenzionato o anche uninvestigatore potrebbe creare ad hoc un access point aperto per farvi collegare, invogliati dallagratuit, e carpire il traffico in chiaro generato.

Vanno per cui preferite le reti crittate e comunque tenere ben presente il rischio che si correutilizzando quelle in chiaro.


32 di 40 15/01/2014


33/40

3.5.4 Tecniche di protezione della infrastruttura

informatica dallaccesso illecito perpetratodallinterno.

Ognuno in casa propria pensa di essere al riparo da azioni malevole effettuate dalle persone chelo circondano. Spesso, nella mia attivit di consulente, di fronte allimpossibilit o alla scarsaprobabilit che un furto dinformazioni possa essere stato perpetrato da un pirata esterno,dichiarando di voler verificare eventuali azioni interne, mi trovo spesso di fronte ad unirrigidimento.

La logica porterebbe invece a mettere in prima linea una ricerca allinterno, giacch le personecoinvolte in un business sono quelle pi interessate ad avere informazioni riservate.

Oltre ad azioni truffaldine, vi sono a volte allinterno di unazienda rapporti interpersonali chefan sorgere gelosie non propriamente lavorative e fanno scattare il desiderio di farsi gli affaridei colleghi.

Vi sono numerosi software disponibili in internet, in grado di intercettare il traffico generato daun host perpetrando un attacco Man In The Middle (21) utilizzando usa sola scheda di retesfruttando lArp Spoofing(32) . Fra i pi famosi troviamo Ettercap(http://ettercap.github.com/ettercap/), disponibile anche per Windows (http://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/).

disponibile pronto nella distro live NST 2.16(http://networksecuritytoolkit.org/nst/index.html), che abbinato con un tool gratuito di analisi forense come Xplico(http://www.xplico.org/download), disponibile sulla distribuzione live Deft 7.2(http://www.deftlinux.net/download/), permettere di effettuare una comoda analisi anche daparte dei non addetti ai lavori.

Ovviamente, sempre guardando la questione dal punto di vista anti forensics, un investigatorepu trovare una giustificazione plausibile (manutenzione del centralino, della stampantemultifunzione, tecnico Telecom o simile) per inserire sulla rete locale aziendale un minuscolo pctipo lo EEE della Asus, senza tastiera mouse, monitor o altro tanto da farlo apparire come unqualsiasi dispositivo abbinato al centralino, router ecc, con tutta la suite NST 2.16opportunamente pilotabile dallesterno, non destando alcun sospetto.

Ovviamente la cosa difficile da compiere in aziende strutturate con un reparto ITC, ma nellepiccole aziende lipotesi non per nulla peregrina.

Una tecnica di protezione gi disponibile nelle comuni reti Windows con controller di dominio lIPsec (33). La sicurezza raggiunta attraverso funzionalit di autenticazione, cifratura econtrollo dintegrit dei pacchetti IP (datagrammi).

Purtroppo non mi mai capitato di trovare una rete in una piccola struttura con i criteri IPsecabilitati, e, devo ammette, non lho mai attivata neppure io sulle installazioni da me eseguite.Oltre alla scarsa sensibilit e conoscenza del protocollo, vi il problema che, se implementatofunziona solamente con i PC con Windows XP e successivi legati al dominio. Tutti i client consistema operativo non supportato (i Mac per esempio) non avrebbero accesso alla rete.


33 di 40 15/01/2014


34/40

Riporto comunque un interessante tutorial in lingua inglese su come effettuare laconfigurazione di IPsec: http://allcomputers.us/windows_server/windows-server-2003---securing-network-communications-using-ipsec---deploying-ipsec.aspx.

Unaltra tecnica quella di inserire un software che rileva un attacco ARP Spoofing. Un toolgratuito ARP Antispoofer(http://arpantispoofer.sourceforge.net/), per Windows.

4 Conclusioni

Molto spesso lanti forensics considerata una scienza al servizio dei malfattori. Molte attivitumane hanno il loro rovescio della medaglia.

Ritengo personalmente legittimo che chiunque abbia il diritto di difendersi come gli consentito, malfattore o persona per bene, anche da legittime indagini ordinate dallamagistratura.

Nella mia esperienza di consulente della difesa in procedimenti penali, mi sono trovato ascontrarmi troppo spesso con azioni del magistrato non comprensibili e che, pur essendocertamente legittime, ledevano in modo palese il diritto di difesa dellimputato.

Per esempio, sempre pi difficile ottenere una copia di quanto sequestrato dal PM durante lafase delle indagini, o, se concesso, a cause delle ultime normative, estremamente costoso. Solograndi aziende possono sopportarne i costi.

Infine ci sono addirittura sentenze della Cassazione che legittimano di fatto acquisizioni didocumenti informatici e catene di custodia dei reperti che non rispondono minimamente aquanto stabilito dalla Convenzione di Budapest recepita dalla legge N 48 del 18 Marzo 2008(per esempio: Cassazione Sentenza 14511 del 2.4.2009 ) http://www.marcomattiucci.it/copy.php#14511.

Sulla base di queste premesse ben venga qualsiasi attivit di autotutela, anti forensics


34 di 40 15/01/2014


35/40

compresa.

BIBLIOGRAFIA

1. forensics, Anti-computer. http://en.wikipedia.org/wiki/Anti-computer_forensics Wikipedia. [Online] 21 12 2012. http://en.wikipedia.org/wiki/Anti-computer_forensics

2. Norton Utilities. [Online] http://en.wikipedia.org/wiki/Norton_Utilities

3. ST-506. [Online] 27 2 2013. http://en.wikipedia.org/wiki/ST-506

4. Storia di Internet. [Online] http://it.wikipedia.org/wiki/Storia_di_Internet

5. Crimine informatico. [Online] http://it.wikipedia.org/wiki/Crimine_informatico

6. Informatica forense. [Online] 2 3 2013. http://it.wikipedia.org/wiki/Informatica_forense

7. Rogers, D. M.Anti-Forensic Presentation given to Lockheed Martin.San Diego : s.n., 2005.

8. KISSmetrics, accordo sui cookie traccianti. [Online] 24 Ottobre 2012.

http://punto-informatico.it/3631886/PI/News/kissmetrics-accordo-sui-cookie-traccianti.aspx

9. Atbash. [Online] 14 febbraio 2013. http://it.wikipedia.org/wiki/Atbash

10. Disco cifrante. [Online] http://it.wikipedia.org/wiki/Disco_cifrante

11. Blaise de Vigenre. [Online] http://it.wikipedia.org/wiki/Blaise_de_Vigen%C3%A8re

12. Friedrich Kasiski. [Online] http://it.wikipedia.org/wiki/Friedrich_Kasiski

13. Principio di Kerckhoffs. [Online] 8 Marzo 2013. http://it.wikipedia.org/wiki/Principio_di_Kerckhoffs

14. La teoria della comunicazione nei sistemi crittografici. [Online]http://it.wikipedia.org/wiki/La_teoria_della_comunicazione_nei_sistemi_crittografici


35 di 40 15/01/2014


36/40

15. Cifrario di Vernam. [Online] http://it.wikipedia.org/wiki/Cifrario_di_Vernam

16. Advanced Encryption Standard. [Online] http://it.wikipedia.org/wiki/Advanced_Encryption_Standard

17. Steganografia. [Online] http://it.wikipedia.org/wiki/Steganografia18. Compressione JPEG. [Online] http://wiki.dmi.unict.it/mediawiki/index.php/Compressione_JPEG

19. Trasformata discreta del coseno. [Online] http://it.wikipedia.org/wiki/Trasformata_discreta_del_coseno

20. Crittografia negabile. [Online] http://it.wikipedia.org/wiki/Crittografia_negabile

21. Attacco man in the middle. [Online] http://it.wikipedia.org/wiki/Attacco_man_in_the_middle

22. Crittografia asimmetrica. [Online] http://it.wikipedia.org/wiki/Crittografia_asimmetrica

23. What is WEP, WPA, and WPA2? [Online] http://www.brighthub.com/computing/smb-security/articles/53262.aspx

24. Tor. [Online] https://www.torproject.org/.

25. PPTP. [Online] http://it.wikipedia.org/wiki/PPTP.26. IPsec. [Online] http://it.wikipedia.org/wiki/IPsec.

27. Transport Layer Security. [Online] http://it.wikipedia.org/wiki/Transport_Layer_Security

28. What is VIA PadLock? [Online] http://www.via.com.tw/en/initiatives/padlock/what_and_how.jsp

29. Copia Shadow. [Online] http://it.wikipedia.org/wiki/Copia_shadow

30. Master File Table. [Online] http://it.wikipedia.org/wiki/Master_File_Table

31. Keylogger. [Online] http://it.wikipedia.org/wiki/Keylogger

32. ARP Spoofing. [Online] http://it.wikipedia.org/wiki/ARP_poisoning

33. IPsec. [Online] http://it.wikipedia.org/wiki/IPsec.


36 di 40 15/01/2014


37/40

34. Cookie. [Online] 27 Febbraio 2013.http://it.wikipedia.org/wiki/Cookie

35. Generatore di numeri pseudocasuali crittograficamente sicuro.[Online] http://it.wikipedia.org/wiki/Generatore_di_numeri_pseudocasuali_crittograficamente_sicuro

36. Pfitzmann, Andreas Westfeld and Andreas. Attacks onSteganographic Systems. [Online] http://www.di.unisa.it/~ads/corso-security/www/CORSO-0203/steganografia/LINKS%20LOCALI/Attacks.pdf

NOTE

[1] In informatica i cookie HTTP (pi comunemente denominati Web cookies, tracking cookies o semplicemente cookie)sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandatiindietro dal client al server (senza subire modifiche) ogni volta che il client accede alla stessa porzione dello stessodominio. Il termine "cookie" - letteralmente "biscotto" - deriva da magic cookie, concetto ben noto in ambiente UNIX cheha ispirato sia l'idea che il nome dei cookie HTTP.

Sono usati per eseguire autenticazioni automatiche, tracking di sessioni e memorizzazione dinformazioni specificheriguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti on-line, il

contenuto dei loro "carrelli della spesa" (shopping cart).(34)

[2] Un generatore di numeri pseudocasuali crittograficamente sicuro (detto in genere CSPRNG da CryptographicallySecure Pseudo-random Number Generator un generatore di numeri pseudocasuali le cui propriet lo rendono adattoall'uso in crittografia. (35)

[3] I dati altamente sensibili possono essere protetti usando dei dati meno sensibili come esca.

[4] Metodo di stegoanalisi sviluppato da Andreas Westfeld e Andreas Pfitzmann (36)

[5] I dati crittografati sono sempre sottoposti a scrambling per spezzare qualsiasi struttura residua dello stream. Vieneinizializzato un nuovo generatore di numeri pseudo-casuali crittograficamente sicuro (CSPRNG) con una terza password(256bit) e i dati vengono mischiati globalmente con indici random.

[6] I dati sottoposti a scrambling sono sempre mischiati a una grande quantit di rumore, proveniente da un CSPRNGindipendente inizializzato con entropia hardware.

[7] I dati sottoposti a whitening sono sempre codificati usando una funzione non-lineare che usa come input anche i bitoriginali dei carrier. I carrier modificati subiranno meno cambiamenti e supereranno molti test steganalitici (p.e.: Chi

Quadro test).

[8] In informatica il termine Peer-to-peer (P2P) indica un'architettura logica di rete informatica in cui i nodi non sonogerarchizzati unicamente sotto forma di client o server fissi (clienti e serventi), ma sotto forma di nodi equivalenti oparitari (in inglese peer) che possono cio fungere sia da cliente che da servente verso gli altri nodi terminali della rete.Essa dunque un caso particolare dell'architettura logica di rete client-server.

[9] La Host Protected Area una sezione del disco fisso non visibile al sistema operativo. Viene normalmente utilizzataper memorizzare la copia del sistema operativo da utilizzare nel caso di ripristino. Pu venire utilizzata anche permemorizzare dati che si vogliono tenere nascosti


37 di 40 15/01/2014


38/40

[10] Un Trojan.Proxy un malware che realizza un proxy server sul pc contaminato. Questo computer poi utilizzatodagli attaccanti per navigare in modo anonimo, scaricare file ecc.


38 di 40 15/01/2014


39/40


39 di 40 15/01/2014


40/40

1 Tweet

Copyright 2013 David Tanzer - Consulente Informatico. Tutti i diritti riservati.Joomla! un software libero rilasciato sotto licenza GNU/GPL.

Joomla templatecreated with Artisteer.

0Mi piaceMi piace CondividiCondividi 0CondividiCondividi ShareShare


40 di 40 15/01/2014