Sei sulla pagina 1di 40

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Home Consulenza Informatica Software Associa Contatti SalvaElementi Downloads Trucchi e suggerimenti Area Riservata Contattami Progettazione System Administration Supporto tecnico Strategie WEB Computer Forensics Anti Computer Forensics

Tecniche e antiforensics
di David Tanzer

strumenti

di

Keywords: Antiforensic; Computer Forensics; Digital Forensics;

1. INTRODUZIONE
Solo recentemente lanti-computer forensics stata riconosciuta come legittimo argomento di studio (1) anche se, in realt, lanti-computer forensics nata assieme alla computer forensics o, forse, anche prima che ci fosse un sua formalizzazione e denizione. Con luscita sul mercato di Norton Commander per DOS v. 1.00 nel 1982 (2) che conteneva il programma UnErase, viene, di fatto, rivelato che la semplice cancellazione di un le non

1 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

unazione denitiva e che quanto cancellato pu essere recuperato. Nei primi anni 80, per quanto gi disponibile il primo hard disk da 5 dalla capacit formattata di 5 MB (3) dai costi proibitivi, i personal computer utilizzavano Floppy disk da 5 per eseguire il sistema operativo, i programmi e per la memorizzazione dei dati. Possiamo ragionevolmente ritenere che il primo tool anti-forensics fu il distruggi documenti! Dalla ne degli anni 80 anche i computer economici cominciarono a essere dotati di supporti di massa ssi. L incremento negli anni seguenti dei computer in circolazione, la disponibilit crescente di mezzi dinterconnessione fra gli stessi e con la decisione del CERN il 30 aprile 1993 (4) di rendere pubblica la tecnologia alla base del web, ha portato con se la nascita dei crimini informatici, cio fenomeni criminali che si caratterizzano nellabuso della tecnologia informatica sia hardware che software. L esigenza di punire i crimini informatici emerse gi alla ne degli anni 80 (raccomandazione sulla criminalit informatica del Consiglio dEuropa, 13 settembre 1989). (5) La diusione negli ultimi anni di nuovi dispositivi assimilabili a dei computer poich dotati di processore, memoria, memoria di massa, dispositivi di input e output, sistemi operativi e applicazioni, ha sicuramente creato nuove sde per gli investigatori ma anche nuove opportunit per lindividuazione delle fonti di prova.

2. DEFINIZIONI
La computer forensics la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al ne di essere valutato in un processo giuridico. (6) Per lanti-computer forensics vi sono molte denizioni; la pi accettata la seguente: Il tentativo di inuire negativamente sullesistenza, la quantit e la qualit delle prove presenti in una scena del crimine, o il rendere dicile o addirittura impossibile condurre lesame e lanalisi delle prove. (7) La denizione riportata si riferisce ad azioni eticamente negative, di puro ostacolo alla giustizia. La disciplina ha invece, a mio parere, un campo dazione molto pi ampio e anche pi nobile rispetto a quanto indicato nella denizione.

2 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

I dispositivi digitali, oltre a poter essere i contenitori di fonti di prova in un processo giuridico, sono certamente i contenitori di informazioni pi o meno rilevanti del suoi utilizzatori, atte a rivelarne i gusti, le abitudini, le tendenze politiche e religiose, capacit di spesa, indirizzi di posta elettronica, credenziali per laccesso a conti correnti, posizione INPS , ecc. L azione degli investigatori autorizzati deve seguire delle regole ed assoggettata alla legge, per cui la possibilit di azione limitata. I malintenzionati, invece, spesso non sottostanno a regole e leggi, per cui protezioni allapparenza ecaci risultano inutili. Per esempio un le crittato con una password robusta un ecace ostacolo allazione di un investigatore, in quanto, in Italia per esempio, nessuno pu obbligare un indagato a rivelare le proprie password. Un delinquente invece pu estorcerla con minacce o peggio. Oltre agli investigatori da un lato, agenti in piena legalit, e i delinquenti, agenti completamente fuori da regole e leggi, vi unaltra fattispecie e precisamente le aziende che utilizzano le azioni e i contenuti dei dispositivi digitali di un utilizzatore per tracciarne, a sua insaputa e addirittura forzandone la volont, le informazioni di loro interesse. Spesso queste aziende agiscono sul lo della legge. Per fortuna la legge in vari Stati sta cominciando a contrastare questi fenomeni. Un esempio la condanna alla societ californiana KISSmetrics in quanto aveva sfruttato tecniche per ricreare cookies [1] dopo la loro rimozione da parte dellutente. (8) La mia denizione di anti computer forensics la seguente: L insieme di strumenti, tecniche e comportamenti utilizzati per contrastare, in modo dierente secondo gli obiettivi di autotutela perseguiti, lazione di un attaccante, legittimato o no, che utilizza tecniche di computer forensics per ottenere informazioni di vario genere dai dispositivi assimilabili a computer (personal computer, main frame, smartphone, console, ecc.) e dalla loro connessione a reti locali e globali.

3. TECNICHE

Le tecniche che si possono utilizzare per prevenire od ostacolare lacquisizione di dati di interesse per un attaccante, o comunque rendere il pi possibile dicoltosa la successiva analisi, possono raggrupparsi, considerando la denizione classica, nelle seguenti categorie:
Occultamento dei dati Cancellazione dei dati Trail obfuscation Modica degli elementi identicativi dei dati e delle attivit

3 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

nalizzate a disorientare o depistare linvestigatore e contromisure speciche contro le attivit tipiche di computer Forensics Distruzione sica del supporto contenete i dati.

L attivit di investigazione forense e soprattutto quelle attivit perpetrate dalle altre tipologie di attaccanti, non si realizzano esclusivamente con la ricerca delle fonti di prova e delle informazioni di interesse agendo direttamente sui dispositivi, come la classicazione classica delle tecniche anti forensics lascia intendere, ma sfruttano anche le vulnerabilit dei sistemi operativi, lapertura di accessi ai dispositivi digitali fornita dalla connessione ad Internet, la vulnerabilit intrinseca di alcune strutture di rete Wi-Fi ed alla falsa sicurezza che si prova quando si sicuri di essersi protetti da azioni esterne al proprio mondo, non preoccupandosi invece di quello che c allinterno. Considerando questi aspetti aggiungerei le seguenti categorie: Tecniche per la prevenzione della trasmissione di informazioni non voluta. Utilizzo di tecniche di crittazione asimmetrica per linvio di informazioni riservate. Tecniche di protezione della infrastruttura informatica dallaccesso illecito perpetrato dallinterno.

3.1 Occultamento dei dati

3.1.1

Crittograa

La parola crittograa deriva dallunione di due parole greche krypts che signica nascosto, e grapha che signica scrittura. La crittograa la collezione di metodi per rendere un messaggio non comprensibile per le persone non autorizzate a leggerlo. Esistono fondamentalmente due tecniche per ouscare un messaggio, quelle basate sulla segretezza del metodo di cifratura e quelle basate sulla segretezza della chiave. Le prime implementazioni della crittograa basata sulla segretezza dellalgoritmo di codica le si possono trovare gi nella Bibbia, libro di Geremia, dove viene utilizzato il cifrario Atbash, cifrario che si basa sulla sostituzione monoalfabetica in cui la prima lettera dellalfabeto viene sostituita dallultima, la seconda dalla penultima e cos via. (9) La storia della crittograa moderna ebbe inizio con Leon Battista Alberti che per primo utilizz

4 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

un disco cifrante (10) con un alfabeto segreto da spostare ad libitum ogni due o tre parole. Il successivo passo avanti avvenne grazie a Giovan Battista Bellaso con lintroduzione della tecnica di alternare alcuni alfabeti segreti con parola chiave sotto il controllo di un lungo versetto chiamato contrassegno. Il francese Vigenre (11) utilizz poi il versetto per cifrare ciascuna lettera con la sua tavola ad alfabeti regolari. Il suo sistema fu considerato indecifrabile per oltre tre secoli. Fu decifrato dal prussiano Friedrich Kasiski (12) La legge fondamentale che inquadra il corretto uso delle tecniche crittograche fu scritta da Kerckhos (Legge di Kerckhos) nel 1880 ed la seguente: In un sistema crittograco importante tenere segreta la chiave, non lalgoritmo di crittazione. (13) Nel 1918 Gilbert Vernam perfezion il metodo Vigenre utilizzando chiavi segrete lunghe quanto il messaggio e mai pi riutilizzabili. Nel 1949 Claude Shannon dimostr che questo lunico metodo crittograco possibile che sia totalmente sicuro. (14) Nellutilizzo pratico molto complesso avere chiavi lunghe quanto il messaggio per quanto ci siano stati degli utilizzi in ambito militare (One Time Pad - OPT) (15) Per un approfondimento ed esempi sulle tecniche criptograche si rimanda al sito http://www.cryptool.org in cui sono scaricabili i programmi Cryptool1 e Cryptool2, ottimi strumenti didattici per comprendere gli algoritmi delle varie tecniche conosciute. Nessun sistema crittograco che utilizzi chiavi meno lunghe del messaggio da codicare inviolabile. Diventa a questo punto rilevante il tempo necessario per decifrare il messaggio. Se questo tempo sucientemente lungo da rendere non pi utile lottenimento del messaggio originale, il metodo di crittazione diventa di fatto inviolabile. L uso della crittograa come tecnica anti-forensics trova applicazione nellouscamento dei dati contenuti negli elaboratori nella sua forma a chiave simmetrica, cio dove la chiave per crittare linformazione e per la sua decrittazione la stessa. Possiamo distinguere i seguenti metodi di utilizzo della crittograa:

a) Codica di alcuni le contenenti dati sensibili b) Codiche di intere strutture contenenti dati sensibili. c) Codica dellintero disco sso o di alcune partizioni.
I metodi a) e b) non garantiscono, se utilizzati da soli, un valido sistema di protezione anti forense da un eventuale accesso al sistema dove questi oggetti sono contenuti, in quanto la stessa apertura dei documenti decodicati lascia tracce sul sistema. Sono invece metodi molto sicuri e pratici per ottenere unottima garanzia (complessit della

5 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

chiave permettendo) di evitare che allinterno del proprio ambiente, di lavoro o di vita, qualcuno possa accedere a queste informazioni conoscendo magari la password daccesso al sistema o sfruttando una disattenzione. Sono un ottimo metodo per generare documenti da inviare a un corrispondente che a conoscenza della password di codica. I tool pi noti per compiere la crittazione di le sono i seguenti: AxCrypt (http://www.axantum.com/axcrypt/) che utilizza lalgoritmo AES-256 (16). un software libero di cui ottenibile anche il codice sorgente. fornito per ambienti Windows, Mac OS X, Linux, IOS. In ambiente Windows permette di eseguire la crittazione in pochissimi passaggi generando dei le .exe autoestraenti.

Figura 1
Sophos Free Encryption (http://www.sophos.com/it-it/products/free-tools/sophosfree-encryption.aspx). Anche questo software utilizza lalgoritmo AES-256. disponibile solo per il sistema operativo Windows.

Figura 2
Alcuni programmi di larga diusione come Microsoft Word, Microsoft Excel, Winzip, Winrar, 7-Zip orono la possibilit di crittare i documenti da loro generati utilizzando lalgoritmo AES-128 (7-Zip AES-256).

6 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Il metodo b) consiste nella generazione di un le di dimensione variabile, a seconda delle proprie esigenze, crittato con vari algoritmi, che ha la possibilit di essere montato nel sistema operativo come se fosse una qualsiasi unit di storage. Quando questo le montato, i le che si vogliono proteggere devono essere trasferiti allinterno di tale unit. Una volta che lunit smontata, i le contenuti allinterno non sono pi accessibili. Per riottenerli necessario montare nuovamente il le, utilizzando la password di crittazione. I prodotti pi noti che svolgono questa funzione questa funzionalit sono i seguenti:

Truecrypt (http://www.truecrypt.org/). in assoluto il pi noto fra I programmi di crittazione. Permette la creazione di dischi virtuali crittati di varie dimensioni, di creare dispositivi USB crittati con la possibilit di far avviare in automatico il prompt che richiede la password di crittazione anche su sistemi in cui il prodotto non installato sfruttando la sua caratteristica di software portable. Una caratteristica molto interessante in chiave anti-forensics e anche di protezione contro uneventuale azione violenta di mali intenzionati, la possibilit di inserire un disco virtuale crittato nascosto allinterno di un disco virtuale crittato. Questo comporta che se si fosse costretti per varie ragioni a rivelare la password di crittazione del disco virtuale principale il secondo disco crittato non verrebbe rivelato in alcun modo. Utilizza un enorme numero di algoritmi di crittazione come lAES 256, Serpent 256, Twosh 256, AES-Twosh 256, AES-Twosh-Serpent 256, Serpent-AES 256, Serpent-Twosh-AES 256, Twosh-Serpent 256.

Figura 3
FreeOFTE (http://www.freeotfe.org/). Il programma molto simile a Truecrypt. I punti in comune sono: Crittazione al volo di partizioni e interi dischi Possibilit di creare un disco nascosto allinterno di un disco crittato Algoritmi AES, Twosh e Serpent Eseguibilit da dispositivo USB

7 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Possibilit di montaggio disco virtuale da CD/DVD e rete

FreeOFTE ore in aggiunta: Esiste per dispositivi PDA Supporta pi algoritmi Hash Ore la modalit Explorer che pu essere eseguita su un computer pubblico senza la necessit di installare i drivers

Truecrypt ore in aggiunta: La possibilit di crittare il disco di sistema eseguibile su Windows, Linux e Mac OS X Sfrutta i processori multipli e la possibilit di utilizzare le istruzioni AES del processore quando disponibili

Questa tecnica di crittazione ha il grande vantaggio di poter spostare i propri le riservati da un pc allaltro senza particolari problemi semplicemente copiando il le crittato, che viene montato come unit dai sopra citati programmi, su un supporto appropriato o avendolo creato gi l. Vi poi unestrema facilit nelleettuare il backup dei propri dati eettuando la semplice copia del le contenente il disco virtuale. Il problema di sicurezza dal punto di vista anti-forensics per identico a quello che si ha con la crittazione del le singolo: quando un documento contenuto nel disco virtuale crittato viene aperto, tracce rimangono memorizzate nei registri e nelle cartelle temporanee. Non per cui un metodo che pu utilizzato da solo. Il metodo c) quello che ore la pi ampia garanzia di riservatezza dei propri dati riservati in chiave anti-forensics. La strategia quella di crittografare completamente il disco di sistema e, se ci sono, gli altri

8 di 40

15/01/2014 21:38

Anti Computer Forensics dispositivi di storage.

https://www.david-tanzer.com/anti-computer-forensics

Utilizzando questo sistema non solamente i le riservati non sono accessibili senza la conoscenza della password di decrittazione, ma lo sono anche le tracce lasciate dallapertura dei medesimi. La sicurezza ovviamente legata alla complessit della password. I prodotti pi noti sono: Bitlocker (questo software disponibile su sistema operativo Vista ultimate e enterprise , Windows 7 ultimate e enterprise, Windows 8). Questo software ha tre modalit operative, due richiedono un dispositivo hardware per la cifratura del disco contenente il sistema operativo (Trusted Platform Module - TPM), la terza no. Le modalit che usano TPM sono: Modo operativo trasparente - lutente accede al sistema eettuando il login normalmente. La chiave di crittazione contenuta nel chip TPM Modalit autenticazione utente questa modalit richiede allutente un PIN o un dispositivo USB per avviare il sistema operativo.

La terza modalit non richiede un chip TPM: Modalit chiave USB: lutente deve inserire un dispositivo USB che contiene la chiave di avvio per poter avviare il sistema operativo protetto.

Questa tecnologia, in chiave anti-forensics, ha la forte limitazione di richiedere, per decrittare il disco contenente il sistema operativo in un sistema sprovvisto di TPM, di un dispositivo USB che ovviamente pu essere facilmente acquisito durante un sequestro. I dischi non di sistema possono essere sbloccati mediante lutilizzo di una password, di una smart card e relativo PIN e, nel caso in cui sia protetto anche il sistema operativo, possono essere sbloccati automaticamente allavvio dello stesso. Nella nuova versione per Windows 8 Pro e Windows Server 2012 stata migliorata la velocit di crittazione crittando eettivamente solamente lo spazio su disco utilizzato, la possibilit di crittografare i Clustered Shared Volume in un failover cluster, la possibilit di abilitare Bitlocker su un volume prima che il setup del sistema operativo venga eseguito, permette ai client ed ai server connessi alla rete aziendale di sbloccare automaticamente il disco del sistema operativo senza la necessit di inserire il PIN al momento del boot, compatibilit con i recenti Hardware Encrypted Drives, ossia gli hard disk capaci di gestire la crittograa a livello hardware (sgravando cos la CPU da questo compito).

9 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Truecrypt (http://www.truecrypt.org/). Anche Truecrypt ore la possibilit di eseguire una crittazione dellintero disco, compreso quello di sistema. Per il disco di sistema utilizza esclusivamente la password di sblocco, mentre i volumi non di sistema possono utilizzare anche un key le. Truecrypt permette lautomontaggio dei volumi non di sistema allavvio del sistema operativo, quando questo e posto su un volume crittato.

Mentre Bitlocker disponibile solo per alcune versioni di Windows, Truecrypt disponibile per Windows, Mac OS X e Linux. Utilizzando sistemi di crittazione dellintero disco, per ottenere una buona sicurezza in chiave anti forensics, importante tenere a mente che quando il sistema avviato, le password di decrittazione dei sistemi montati sono in memoria e non crittate. Esistono tool come PasswareKit Forensic che in pochissimi minuti sono in grado di recuperare le password sfruttando il dump della memoria di un sistema con dischi Bitlocker e/o Truecrypt montati. raccomandabile per cui spegnere i sistemi quando non sono in uso evitando lo standby. L ibernazione invece sicura purch il le dibernazione risieda su ununit crittata. L utilizzo di sistemi di crittazione dellintero disco pongono il problema del backup dei le. Per prima cosa bisogna utilizzare un sistema di backup in grado di generare degli archivi a loro volta crittati; avere tutto il sistema crittato e il backup in chiaro, rende di fatto, dal punto di vista anti forensics, tutto inutile. Va scelto poi un sistema di backup in grado di coesistere con il sistema di crittazione scelto. Ho testato Acronis Backup & Recovery 11.5 (che ore la possibilit di crittare in AES-256 gli archivi di backup) in abbinata con Bitlocker ottenendo un completo successo. Backup completo di tutti i volumi, backup incrementale e dierenziale e, soprattutto ripristino

10 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

completo del sistema che, ovviamente, non pi crittato. Con Truecrypt non vi sono stati problemi con il disco crittato di sistema, ce ne sono invece stati con i volumi non di sistema. Acronis Backup & Recovery, Paragon Backup & Recovery che ho testato, eettuano il backup di tutta la partizione in formato raw. Oltre ad occupare molto spazio e richiedere molto tempo, ci impedisce la possibilit di eseguire backup incrementali e dierenziali. Il recupero del singolo le poi precluso. Vi la possibilit di eseguire il backup dei le al posto del volume. Non supportando Truecrypt per le shadow copy per i dischi non di sistema, rimane il problema dei le aperti durante le operazioni di backup, che non sono salvati.

3.1.2

Steganograa

La steganograa, dal greco steganos (), nascosto, e graphei (), scrittura, sintende la tecnica di nascondere le informazioni allinterno di altre informazioni. Le informazioni possono essere inserite, per esempio, allinterno dimmagini, lmati, musica o testi. A dierenza della crittograa, la steganograa non attira lattenzione di un eventuale investigatore. Un le crittato viene quasi certamente individuato durante lanalisi di un dispositivo digitale, uninformazione steganografata pu essere trovata soltanto per mezzo di tecniche dette di stegoanalisi. Le tecniche di stegoanalisi possono essere cos catalogate: tecniche visive (su le jpeg, bmp, ecc.) tecniche sonore (su le wav, mp3, ecc) tecniche statistiche (cambiamenti nella struttura dei pixel meno signicativi) tecniche strutturali (prendono in esame le propriet dei le)

Per approfondire le tecniche di stegoanalisi si pu consultare il sito http://www.sarc-wv.com/ (Steganography Analysis and Research Center). In chiave anti forensics, importante tenere presente che loccultamento tanto pi sicuro, indipendentemente dalla bont dellalgoritmo utilizzato, tanto pi piccolo il contenuto da occultare confrontato con la dimensione del medium utilizzato. Al ne di aumentare ulteriormente la sicurezza e la forza anti forensics dellinformazione occultata, questa pu essere prima crittata e poi steganografata. Questa tecnica ideale per trasferire informazioni tra un soggetto e un altro.

11 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Una delle tecniche pi ecaci la steganograa nelle immagini. Questa tecnica sfrutta la debolezza del sistema visivo umano. Unimmagine digitale a colori non compressa un le composto di 8 bit per pixel (se limmagine a 256 colori) o da 24 bit per pixel (per immagini a 16 Milioni di colori). Per esempio, unimmagine di 1920x1440 pixel con profondit di 24 bit (16 M colori) un le composto di 2.764.800 byte. Le immagini in formato raw non sono comunemente utilizzate per lenorme dimensione dei le ottenuti. Vengono per cui normalmente compresse. La stessa immagine dellesempio, compressa con lalgoritmo jpeg, ha la dimensione di 918.688 byte. Ovviamente unimmagine raw ore pi spazio per celare un messaggio ma questo tipo di oggetti, salvo che chi li detiene sia un fotografo, non venendo comunemente usati, attirerebbero troppo lattenzione di un investigatore. Anch le modiche apportate alle immagini appaiano invisibili ad occhio nudo, la quantit di dati inseribili deve essere per forza di cose piccola confrontata al contenitore. La tecnica pi diusa la steganograa LSB (Rumore di Fondo) (17), che pu essere applicata solo ad immagine non compresse o ad immagini compresse con metodi senza perdita di dati (png, bmp, Gif, ti). Si basa sulla teoria che apportando modiche impercettibili a unimmagine ad alta denizione questa non cambia. Si pu ottenere una modica impercettibile di unimmagine modicando il bit meno signicativo di ogni byte componente limmagine. Senza lintervento di tecniche steganograche, questo gi avviene normalmente a causa delle normali imperfezioni del sistema di acquisizione (scanner, fotocamera, ecc), appunto il rumore di fondo, o a causa dei ltri correttivi propri dei software di gestione del sistema di acquisizione (aumento del contrasto, miglioramento cromatico, ecc). Come gi precisato, questa tecnica pu essere utilizzata solo con immagini non compresse o compresse con algoritmi lossless. Per utilizzare invece le diusissime immagini in formato jpeg, che un algoritmo di compressione con perdita (lossy), ottenute per esempio da fotocamere, si deve operare a un livello di rappresentazione intermedio, cio bisogna iniettare le informazioni nei coecienti di Fourier ottenuti nella prima fase di compressione (18) (19). I messaggi segreti, che possono essere le di qualsiasi tipo (testo, immagini, binari, ecc), per quanto detto, devono avere dimensioni molto inferiori al contenitore; per ovviare a questa dicolta si pu suddividere il messaggio in pi contenitori. Il migliore, a mio avviso, tool stegograco per Microsoft Windows OpenPu (http://embeddedsw.net/).

12 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

un programma freeware le cui caratteristiche anti forensics sono: Generatore HW di numeri pseudo-casuali (CSPRNG)[2] Steganograa negabile [3] Catene di carrier (no a 256Mb di dati nascosti) Selezione del livello di utilizzo dei bit dei carrier Multi crittograa moderna (16 algoritmi) Ouscamento dei dati a pi livelli (3 password) Resistenza alla steganalisi X-quadro[4] OpenPu supporta molti formati di carrier: Immagini (BMP , JPG, PCX, PNG, TGA) Audio (AIFF, MP3, NEXT/SUN, WAV)

13 di 40

15/01/2014 21:38

Anti Computer Forensics Video (3GP , MP4, MPG, VOB) Flash-Adobe (FLV, SWF, PDF)

https://www.david-tanzer.com/anti-computer-forensics

Crittograa a chiave simmetrica a 256bit+256bit con estensione della password KDF4 Scrambling a chiave simmetrica a 256bit (Shuing basato su CSPRNG)[5] Whitening (Mix con rumore basato su CSPRNG)[6] Codica dei carrier bit adattiva e non-lineare[7] Struttura nativa portatile (nessuna installazione, chiavi di registro, le .ini) Si esegue in user mode con DEP (Data Execution Prevention) on Supporto multithread (no a 16 CPU) = Esecuzione pi veloce Spyware/adware-free Liberamente ridistribuibile Nucleo della libreria crittograca OpenSource (libObfuscate)

un software per la stegograa completo e molto sicuro. L unico che ho trovato in grado di utilizzare come carrier anche i lmati, con la possibilit per cui di inserire moltissime informazioni al loro interno. Pu inoltre lavorare con catene di carrier ottenendo cos la possibilit di nascondere le anche molto grossi. Dal punto di vista anti forensics molto interessante il concetto di steganograa negabile. Concettualmente assomiglia alla tecnica utilizzata da Truecrypt che permette linserimento di un disco virtuale crittato nascosto allinterno di un disco virtuale crittato noto. La crittograa/steganograa negabile, una tecnica basata sulluso di unesca che permette di negare in maniera convincente di stare nascondendo dati sensibili, anche se gli attaccanti possono dimostrare che si sta nascondendo qualcosa. Basta semplicemente fornire unesca sacricabile che plausibilmente deve rimanere condenziale. Verr rivelata allattaccante, sostenendo che questa lunico contenuto. Come possibile? I dati crittografati e sottoposti a scrambling, prima di essere iniettati nei carrier, sono sottoposti a whitening con una grande quantit di rumore. I dati esca possono sostituire un po del rumore senza compromettere le propriet nali di resistenza alla crittoanalisi. I dati sensibili e i dati esca sono crittografati usando password dierenti. Si devono scegliere due diversi insiemi di diverse password. (20) interessante notare che moltissimi dei tools riferiti in molti articoli in internet sono completamente scomparsi. Ci che resta disponibile sono software estremamente deboli o didattici.

14 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Segnalo un altro tool, assolutamente didattico ma in grado di far capire bene come funziona la steganograa. Il tool si chiama VSL /(Virtual Steganograpgic Laboratory) ed scaricabile allindirizzo http://sourceforge.net/projects/vsl/?source=directory.

3.1.3

Protocolli di rete criptati

L obiettivo dellutilizzo di un protocollo di rete criptato quello di impedire lintercettazione del traco generato fra due sistemi interconnessi da parte di chiunque, investigatore o malintenzionato attraverso attacchi man-in-the -middle (21). Tutti gli utilizzatori di internet hanno a che fare con alcuni protocolli di crittazione del traco di rete giornalmente. molto comunemente utilizzato lHypertext Transfer Protocol over Secure Socket Layer (HTTPS) che il risultato dellapplicazione di un protocollo crittograco asimmetrico (22) al protocollo di trasferimento dipertesti http. In pratica viene creato un canale criptato tra il client ed il server attraverso uno scambio di certicati. Il Secure Socket Layer (SSL) il protocollo crittograco utilizzato. Molto simile il protocollo File Transfer Protocol Secure (FTPS). Molto utilizzato dagli amministratori di sistemi Linux il protocollo Secure Shell (SSH) che permette di aprire uninterfaccia a riga di comando fra un client e un server in cui la trasmissione viene crittata con un metodo di crittazione asimmetrico. Molto usati, e molto importanti da usare, i protocolli di crittazione delle reti Wi-Fi (wep, wpa, wpa2) (23). Collegandosi, infatti, a una rete Wi-Fi aperta il rischio che tutto il traco non crittato con altri protocolli sia intercettato alto. Questi protocolli hanno lo scopo di proteggere il contenuto da occhi indiscreti. Questazione, per, in chiave anti forensics non suciente. Un investigatore, per quanto non in grado di analizzare i contenuti delle comunicazioni, identica facilmente gli indirizzi dei due sistemi interconnessi e pu quindi muoversi su entrambi i sistemi per compiere ricerche. Per rendere complicata la vita allinvestigatore, consigliabile utilizzare un metodo che renda dicile o addirittura impossibile identicare almeno uno dei due soggetti della trasmissione. Molto noti sono i Proxy server di anonimizzazione, alcuni gratuiti e altri a pagamento. Questi sistemi permettono di rendere anonima la navigazione soprattutto su protocolli http e https. Un investigatore che analizza il traco proveniente dal sistema che utilizza il browser di navigazione, utilizzando il protocollo https, non in grado di identicare il contenuto e lorigine. Uno dei sistemi migliori per ottenere anonimato in rete TOR (The Onion Router) (24). L anonimato lo si ottiene inoltrando il traco attraverso una rete di volontari a livello mondiale. Il meccanismo di funzionamento semplice: una qualsiasi comunicazione non transita mai direttamente dal client al server, ma passa attraverso i server TOR che agiscono da router 15 di 40 15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

costruendo un circuito virtuale crittografato a strati. Ogni Onion Router decide a quale nodo della rete spedire i pacchetti e negozia una coppia di chiavi crittograche per spedirgli i dati cifrandoli. In questo modo nessun osservatore posto in un punto qualsiasi del circuito in grado di conoscere lorigine e la destinazione della comunicazione. Oltre a permettere comunicazioni sicure fra client e server, TOR pu rendere anonimo addirittura un server e i suoi servizi. Per accedere a questo server o ai suoi servizi necessario luso di TOR da parte dei client. Ogni utente Tor pu essere: Client; TOR gestisce solo le connessioni dellutente. Middleman relay; un nodo che gestisce il traco da e per la rete TOR senza collegarsi allesterno. Tutti i relay sono pubblicamente noti per scelta progettuale. Exit relay; un nodo che gestisce il traco da e per la rete TOR e verso lesterno. Tutti i relay sono pubblicamente noti per scelta progettuale. Bridge relay; I bridge relay sono dei nodi semi-pubblici di tipo sperimentale, studiati per permettere di collegarsi alla rete Tor anche in presenza di un ltraggio ecace contro Tor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche dei nodi noti ma devono essere richiesti esplicitamente.

Per utilizzare TOR suciente scaricare dal sito https://www.torproject.org/projects /torbrowser.html.en il browser TOR disponibile per Windows, Mac OS X e linux. Si tratta di una customizzazione di Firefox portatile che utilizza direttamente TOR.

16 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Per i sistemi IOS esiste OnionBrowser che ha le stesse funzionalit. Per i sistemi Android disponibile Orbot. Per far diventare client, middleman relay, exit relay o bridge relay si pu agire sul Pannello di controllo Vidalia cliccando su Congurazione del Relay.

Un altro tool un po pi complesso Whonix. http://sourceforge.net/projects/whonix/les /?source=navbar Il tool composto di 2 macchine virtuali Vmware di cui una il gateway verso la rete TOR e laltra il client, un sistema Linux desktop piuttosto completo, che utilizza il gateway per le comunicazioni con lesterno. Il gateway sicuramente la parte pi interessante siccome pu essere utilizzato come gateway predenito di tutto una rete locale. Un altro tool interessante che utilizza la rete TOR Tails https://tails.boum.org/ Consiste in una distro Linux live che pu essere trasferita su una chiavetta usb in cui tutto in funzione dellanonimato e del non lasciare tracce. Ha il grande vantaggio di essere trasportabile e utilizzabile su qualsiasi (o quasi) computer che si ha a disposizione, non lasciando su questo alcuna traccia del suo passaggio.

17 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

possibile, oltre ad utilizzare Tails per la navigazione, ha gi installato un client per la posta, una suite di programmi per ucio (Openoce), programma per la masterizzazione di cd e dvd, la possibilit di creare una partizione sulla chiavetta crittata per il mantenimento dei dati dinteresse. Infatti, alla chiusura del programma, vengono cancellate in modo sicuro tutte le modiche apportate ad esclusione della partizione crittata (Persistent). Uno dei maggiori limiti di TOR e la relativa lentezza dei ussi dovuti agli ovvi limini di utilizzo banda imposti dai volontari. Inoltre poco gradito chi utilizza la rete TOR per inviare massicce quantit di dati o chi utilizza i sistemi peer to peer.[8] Un altro sistema per rendere anonimo e non analizzabile il traco generato ovviando, alla lentezza e alle limitazioni della rete TOR, lutilizzo di connessioni VPN (Virtual Private Network) verso strutture che forniscono questo servizio di anonimizzazione. Una Virtual Private Network una rete di telecomunicazione privata, instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso, come per esempio Internet. Al ne di garantire limpossibilit per un investigatore e chiunque altro di analizzare il traco generato, la VPN deve diventare una Secure VPN utilizzando dei protocolli di cifratura. I protocolli pi utilizzati sono: PPTP (Point to point tunneling protocol) (25) IPsec (IP security) (26) SSL/TLS (27)

Allindirizzo http://www.vpnsp.com/vpn-services.html si pu trovare una lista dei VPN service providers pi conosciuti. Si ottiene lanonimato in quanto a destinazione il usso come se arrivasse dallindirizzo IP del provider e non da quello del computer dorigine. Va tenuto presente che il collegamento dal proprio pc no al provider crittato, ma da quel punto in poi, se le comunicazioni non sono ulteriormente crittate, posso essere intercettate e

18 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

analizzate dal provider stesso o da qualche altro utente collegato allo stesso provider. Quasi tutti questi providers garantiscono di non tener traccia delle connessioni eettuate in ingresso e in uscita, ma sempre meglio non esserne troppo sicuri. Per agire in chiave anti forensics vanno scelti per cui provider situati in paesi dove eventuali richieste dinvestigatori del proprio paese non sarebbero prese in considerazione.

3.2 Cancellazione dei dati


La strategia di questa tecnica anti-forensics di eliminare denitivamente le informazioni sensibili. Le informazioni in oggetto possono essere documenti informatici di varia natura di cui non si ha pi bisogno, come per esempio la totalit dei dati ancora presenti su un disco sso che si deve eliminare, le tracce delle attivit svolte su un elaboratore elettronico, come i le temporanei e i cookie della navigazione in internet eettuata con un browser, la cronologia della navigazione e delle ricerche eettuate, i le temporanei dai quali si pu risalire allutilizzo di documenti o addirittura alla loro ricostruzione , la cronologia dei documenti aperti da unapplicazione, i log di sistema che possono dare informazioni circa i cicli di accensione e spegnimento, sui programmi installati e rimossi, sugli utenti che si sono validati sul sistema. Si possono suddividere i tools che permettono di bonicare queste fonti di informazione per un investigatore, o anche per chi vuole avere informazioni su una persona, in due categorie: Tools che realizzano il wiping (cancellazione sicura) di un intero dispositivo come un disco sso, una chiavetta usb, una memoria di una fotocamera, ecc. Tools che realizzano cancellazioni sicure selettive di documenti e di tracce in genere.

3.2.1

Tools di wiping

Fra i tools che realizzano il wiping possiamo trovare sia prodotti software sia prodotti hardware. Fra i prodotti hardware vi sono dispositivi che utilizzano software che implementano dierenti algoritmi di wiping ma anche dispositivi che utilizzano procedimenti sici di degaussing (demagnetizzazione). I dispositivi di degaussing sono molto veloci e agiscono sul materiale magnetico di un disco sso, di un oppy disk o di un nastro magnetico generando un campo magnetico di forte intensit che agisce sui domini magnetici dei dispositivi orientandoli in modo totalmente casuale

19 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

tale da non permetterne il recupero con alcun mezzo. Un grande vantaggio che hanno questi dispositivi, oltre alla velocit elevata (cancellano un disco in circa 4 secondi), la possibilit di agire su dispositivi non funzionati ma che, con tecniche opportune, possono restituire i dati in essi contenuti. Gli altri dispositivi hardware utilizzano gli stessi metodi di cancellazione dei dati che sono implementati dai tools software. Hanno il vantaggio di poter agire su pi dispositivi simultaneamente ed essendo costruiti per questo scopo, forniscono dierenti interfacce per collegare dispositivi di diversa natura e utilizzano il metodo migliore in automatico per il particolare dispositivo. I tools hardware sono rivolti essenzialmente alle grandi aziende che necessitano una cancellazione sicura per un gran numero e variet di dispositivi. Fra gli apparecchi che utilizzano il degaussing segnalo i seguenti: Ontrack Eraser Degausser (http://www.ontrackdatarecovery.it/degausser/ ) Tabernus Degaussers (http://www.tabernus.com/index.php?page=degauss )

Fra gli apparecchi che utilizzano algoritmi software segnalo :

Tabernus E800 Hard Drive Erasure Appliance (http://www.tabernus.com/index.php?page=loose ) Extreme Protocols Solutions (http://www.enterprisedataerasure.com/products/ )

Esistono numerosi tools software che dichiarano di eseguire cancellazione utilizzando vari metodi. Fra i molti metodi proposti i seguenti sono i pi diusi:

I tools che segnalo sono:

20 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

BCWipe Total Wipeout (http://www.jetico.com/wiping-bcwipe-total-wipe-out/ ) . Questo tools per Windows. Punti di forza sono la possibilit di eseguire il wiping di pi dischi simultaneamente, di cancellare anche la HPA (Host Protected Area) [9] . Pu essere creato un live disk da lanciare sulla macchina sulla quale si vuole cancellare i dischi presenti. Darik's Boot And Nuke (http://www.dban.org/download ). Il punto di forza di questo tools che freeware. HDDErase (http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml ) . Questo software stato sviluppato dallUniversit della California. Gratuito. Live Disk. Active Killdisk (http://www.killdisk.com/ ) . probabilmente il pi completo prodotto in forma freeware. Pu essere installato o lavorare Live su cd e chiavette USB. in grado di eseguire il wiping su pi dischi contemporaneamente. in grado di eseguire una cancellazione sicura anche su oppy disk. Genera un report a ne operazioni. Supporta IDE ATA SATA SSD SCSI Supporta dischi pi grandi di 2 TB Supporto per USB 3. La versione a pagamento aggiunge le seguenti funzioni: Verica dopo la cancellazione. Permette la scelta e la customizzazione del metodo di wiping. Invia il log delle operazioni fatte via mail. Spegne il computer a ne operazioni.

3.2.2

Tools di shredding e di cleaning

I tools di shredding sono programmi che permettono di cancellare in modo sicuro un le o unintera cartella. Sono molto facili da utilizzare e garantiscono lirrecuperabilit del le cancellato senza per curarsi delle tracce che lapertura di tali le possono aver lasciato da qualche parte nel sistema.

21 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Fra i tool pi noti si ritrova Eraser (http://eraser.heidi.ie/) . Oltre ad eseguire la cancellazione immediata dei le e delle cartelle scelte, si possono creare dei job schedulati per la cancellazione ricorrente. Sintegra con la shell di windows in modo da poter agire sul le o cartella voluta con il tasto destro del mouse. Implementa un numero impressionante di metodi di cancellazione sicura con vari livelli di adabilit. Cancella in modo sicuro lo spazio non utilizzato di un volume. gratuito.

Un altro tool gratuito Free File Shredder (http://www.leshredder.org/), simile ad Eraser ma mancante della schedulazione delle operazioni. Questo tipo di tools rivestono a mio avviso uno scarso interesse dal punto di vista anti forensics in quanto non si occupano di rimuovere anche le tracce delle aperture dei le che vengono cancellati. Un discorso a parte invece lo si pu fare per un prodotto che eettua lo shredding delle mail di una dei diusi client di posta, Microsoft Outlook. Il prodotto si chiama E-mail Shredder for Outlook (http://www.safeit.com/products/index.asp) . Com noto, la cancellazione di una mail non comporta la sua eliminazione completa dal database pst di Outlook, ed facilmente recuperabile. Per poter eettuarne leliminazione bisognerebbe compattare il database, cosa che richiede unenorme quantit di tempo e spesso la si evita. Questo programma permette di eseguire una cancellazione completa delle e-mail selezionate senza la necessit della compattazione, agendo con i metodi di cancellazione sicura solo sugli elementi voluti. Esiste anche la versione per gli utilizzatori di Exchange Server e agisce sul database locale ost nello stesso modo che con il database pst.

22 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Anche questo tools non si cura per dei le temporanei tipicamente generati dallapertura degli allegati. Volendo utilizzare come tecnica anti forensics la cancellazione, opportuno utilizzare , o aggiungere, un tool pi completo in grado di andare a rimuovere in modo sicuro tutte le tracce che si vogliono eliminare. Va premesso che un buon prodotto deve essere in grado di agire sulle tracce dei singoli programmi utilizzati, che spesso cambiano nel tempo aggiungendo informazioni incontrollabili. Fra i migliori prodotti di questo tipo troviamo CyberScrub Privacy Suite (http://www.cyberscrub.com/en/privacy-suite/). un prodotto a pagamento con il metodo della sottoscrizione annuale. Questa sicuramente una scelta corretta poich il prodotto, anch sia ecace, deve essere continuamente aggiornato nelle denizioni di un enorme numero di applicazioni. Il prodotto in grado di identicare automaticamente le applicazioni installate e se le ha fra le sue denizioni permette allutilizzatore di abilitarne la pulizia dei le, delle chiavi di registro e delleventuale cache. La debolezza dal punto di vista anti forensics di questo tipo di applicazioni sta proprio nel fatto che le applicazioni continuano a essere aggiornate, a volte con frequenze altissime, come gli antivirus, e i programmatori dei tools in questione devono analizzare le modiche apportare e rilasciare le denizioni per i nuovi aggiornamenti. Una caratteristica sicuramente positiva di questo programma di non permettere labilitazione della denizione di un programma se questa denizione non quella per quella particolare release, non lasciando di fatto lutente nella falsa sicurezza di aver bonicato quanto voluto. Unaltra caratteristica interessante quella di poter creare delle denizioni custom, a totale rischio e pericolo di chi le realizza, per cancellare in modo sicuro qualsiasi cosa in modo schedulato. Altra caratteristica per cui preferirlo la certicazione Via Padlock (28) che ne garantisce la

23 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

conformit alle ultime disposizioni in materia di crittograa e meccanismi di sicurezza a livello militare. Pu inoltre operare in modalit stealth impedendo la sua individuazione.

Fornisce anche strumenti per larchiviazione sicura creando una locazione crittata accessibile tramite password.

24 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Un altro tool interessante Privacy Guardian di Pctools (http://www.pctools.com/it/privacyguardian/).

Il prodotto ha a favore rispetto a Cyberscrub la capacit di cancellare le tracce da un maggior numero di browser internet e un prezzo davvero basso per un prodotto di questo tipo. In meno, non da la possibilit di customizzare azioni personalizzate. Un ulteriore prodotto di buona qualit ParetoLogic Privacy Controls (http://www.paretologic.com/products/paretologicpc/) la cui peculiarit la capacit di cancellare ecacemente le tracce dai sistemi di messaging e voip maggiormente utilizzati quali AOL, ICQ, MSN Skype, Google Talk e Windows Live Messenger. Ottima lazione sui pi diusi client P2P . Un altro tool molto interessante CleanAfterMe della Nirsoft (http://www.nirsoft.net/utils /clean_after_me.html). Questo tool non ha tutte le funzioni dei tool precedenti, per portatile e permette di eliminare le tracce di utilizzo di molti programmi e browser. molto utile quando si vuole evitare che qualcuno capisca dalle tracce grossolane lasciate che il computer in questione stato utilizzato. Ha inoltre, come scelta, la possibilit di sovrascrivere i le oggetto di eliminazione con degli zeri prima di eettuare leliminazione.

25 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

3.3 Trail obfuscation


Fino ad ora si sono prese in considerazione tecniche anti forensics atte o a nascondere o a eliminare tracce e documenti che si vogliono tenere riservati. La Trail obfuscation invece una tecnica tendente a modicare alcune caratteristiche dei le in modo da creare confusione in chi deve analizzare un sistema. Le tecniche consistono nel modicare gli attributi di uno o pi le come, per esempio, la data e ora dellultimo accesso e della creazione del le, il nome del le, modicare i le cambiandone di fatto lo hash, agire sui le di log per alterare le sequenze delle operazioni. A prima vista possono sembrare tecniche di poco valore, ma sono invece veramente rilevanti specialmente quando sul sistema da analizzare vi sono montagne di le. Immaginiamo uno scenario in cui un investigatore debba analizzare un sistema per ricercare dei documenti sottratti a unazienda. Di fronte alla presenza di un numero notevole di le di un certo tipo, come per esempio documenti PDF, il buon investigatore ben si guarder da aprirli uno ad uno per analizzarne il contenuto, utilizzer invece la tecnica di far calcolare da un programma gli hash di tutti i le trovati, calcoler lhash dei le consegnatigli dal denunciante come campione e poi eettuer la ricerca degli hash dei campioni con gli hash calcolati di tutti i le trovati. Se i documenti sono stati modicati in modo da alterarne lhash originale, questi le non

26 di 40

15/01/2014 21:38

Anti Computer Forensics verranno mai trovati.

https://www.david-tanzer.com/anti-computer-forensics

Formuliamo poi lipotesi che, per puro caso, sia individuato uno di questi le. Se la data di creazione , per esempio, di molto antecedente alla data di creazione del le campione, si potrebbe addirittura ipotizzare che il le in oggetto sia stato creato dal denunciato piuttosto che dal denunciante. Un tools che davvero inaspettatamente rivela le sue doti anti forensics il famosissimo IrfanView (http://www.irfanview.net/) . La sua dote anti forensics sta nella capacit di convertire e rinominare in bulk le da un formato a un altro, per esempio da jpg a png, da PDF a PDF ottimizzandolo (e di fatto cambiandogli lhash).

Il risultato di questattivit lottenimento di les praticamente identici agli originali ma con hash totalmente cambiato, e cos pure la data di creazione e altre informazioni rilevanti. Unaltra tecnica di trail obfuscation quella di contaminare appositamente la propria macchina con un malware noto, come ad esempio un trojan.proxy [10] , programmi di remote administration come Logmein, Vnc, ecc in modo da poter dire il mio sistema virato e non sono stato io a fare quello di cui mi si accusa. A dierenza delle altre tecniche, questa pu essere utilizzata per modicare la realt dei fatti estrapolati dal sistema sotto indagine. A titolo di esempio, mettiamo che ci si voglia creare un alibi per un certo range di orari nel futuro. Si pu semplicemente modicare lorario di sistema spostandolo in avanti quel tanto che basta, accendere il sistema e lavorarci un po su in modo normale. Una volta coperto il tempo necessario, si spegne il computer e lo si riaccende solo per modicare lorario riportandolo a quello corretto. Bisogna evitare il collegamento con internet per evitare aggiornamenti non voluti dellorario di sistema.

27 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Pi complicato, ma altrettanto fattibile, crearsi un alibi nel passato. Da windows Vista in poi, abilitata di default la shadow copy (29) su tutto il disco di sistema e per ogni aggiornamento di sistema viene creato un punto di ripristino. Mettiamo per ipotesi che ci si voglia creare un alibi per la mattina del giorno precedente avendo lavorato nel pomeriggio della stessa giornata. Per eettuare questa operazione lasciando meno tracce possibili si pu utilizzare ShadowExplorer (http://www.shadowexplorer.com/) un interessantissimo programma che permette di navigare allinterno delle copie shadow presenti su un disco sso e di esportare il le su un altro supporto. Va anche utilizzato un altro tool della Nirsoft, BulkFileChanger (http://www.nirsoft.net/utils /bulk_le_changer.html) allo scopo di modicare le date di creazione dei le eventi che andremo a ripristinare. Per poter eettuare una modica delle date pi accurata, al posto di BulkFileChanger sarebbe meglio utilizzare Timestomp (http://www.jonrajewski.com /data/for270/timestomp.exe) che ha anche la possibilit di modicare il valore del changetime nella MFT (Master File Table) (30) rendendo ancora pi complicato per un investigatore trovare la manipolazione. Purtroppo il programma lo si trova con dicolt; lunico link ancora attivo quello che ho indicato. Pu essere abbinato ad uninterfaccia graca, Timestomp-Gui (http://sourceforge.net/projects /timestomp-gui/). Per funzionare con questa interfaccia, bisogna impostare il formato dellora sulle 12 ore, utilizzando cos i sussi PM e AM. Bisogna procedere come segue: 1) Si scarica la versione portable di ShadowExplorer e di BulkFileChanger e li si memorizzino su una chiavetta USB. 2) Si esegue il programma ShadowExplorer e si sceglie la copia shadow con la data desiderata.

3) Si va nella cartella c:\windows\system32\winevt\Logs della copia shadow voluta.

28 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

4) Si copiano tutti i le *.evtx sulla chiavetta tramite la funzione export del programma ShadowExplorer e poi lo si chiude. 5) Si esegue il programma di sistema mscong. 6) Si va nella scheda Servizi e si toglie la spunta dal servizio Registro eventi di Windows, quindi ok. 7) Si accetta il riavvio. Alla partenza premere F8 per scegliere la modalit provvisoria. 8) Al riavvio, ci si sposta sulla cartella del disco sso c:\windows\system32\winevt\Logs. 9) Si prende nota della data di creazione dei le, non della data di ultima modica. Spesso la stessa e comunque si potr utilizzare la data pi vecchia. 10) Si eliminano tutti i le *.evtx presenti nella cartella. 11) Si copiano i le *.evtx salvati sulla chiavetta nella cartella. 12) Si esegue BulkFileChanger, si selezionano tutti i le trasferiti e si modica la data di creazione in modo opportuno.

13) Si modica la data di sistema in modo da collocarsi al giorno voluto e allora voluta. 14) Si riesegue mscong e si riabilita la voce Registro eventi di Windows. 15) Alla richiesta di riavvio, si spegne il sistema con il tasto di accensione. Quindi si riaccende il sistema e si lavora eettivamente facendo un po di cose per creare entri nel registro opportune. 16) Completato il riempimento, si arresta il sistema e si reimpostano la data e lora corrette. Procedendo in questo modo si sono create voci alla data voluta, le e altre tracce che

29 di 40

15/01/2014 21:38

Anti Computer Forensics confermano dellattivit nel periodo voluto.

https://www.david-tanzer.com/anti-computer-forensics

Il programma BulkFileChanger presentato sopra (meglio ancora Timestomp), un programma che permette di apportare modiche ad informazioni importanti relative ai le. Senza una data certa molto spesso diventa impossibile utilizzare il le in tribunale.

3.4 Tecniche per la prevenzione della trasmissione di informazioni non voluta.


Esistono malware come i keylogger (31) che sono sfruttati per carpire informazioni durante il normale uso del sistema. Nulla esclude che nel corso di uninvestigazione si possa ricorrere a strumenti software realizzati appositamente per acquisire informazioni non ottenibili altrimenti. Un esempio sono le conversazioni eettuate tramite Skype, notoriamente crittate. possibile per cui che per intercettare queste conversazioni si possa indurre in vari modi lutilizzatore a installare qualche software, volontariamente o a propria insaputa, che registra le conversazioni e le invia a un ascoltatore. In generale bisogna per cui porre attenzione anche sullattivit delle applicazioni che sono in esecuzione e impedire loro di comunicare con lesterno se non autorizzate. Oramai i rewall personali sono attivati di default sulle macchine con sistemi operativi moderni, ma la loro azione rivolta a evitare lingresso dallesterno verso servizi che non si vogliono pubblicare. Bisogna per cui incrementare la sicurezza in uscita installando rewall che blocca il traco verso lesterno se questo non voluto. Molti software antivirus con funzionalit di Internet Security orono gi questo servizio. In questo spazio segnalo unapplicazione che sfrutta il rewall nativo di Windows XP , Windows Vista, Windows 7 e Windows 8 che permette di realizzare un controllo completo e granulare dellattivit dei software anche in uscita. Il programma Windows7FirewallControl (http://www.sphinx-soft.com/Vista/) . Il programma sintegra con il desktop di Windows ma esiste anche una versione portable che ne permette lattivazione alla bisogna. Il programma a pagamento.

3.5 Utilizzo di tecniche di crittazione asimmetrica per linvio di informazioni


30 di 40 15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

riservate.
Pochissime persone hanno coscienza di questa vulnerabilit che colpisce soprattutto la posta elettronica, le trasmissioni di le via ftp o http e i collegamenti Wi Fi. Spessissimo questo tipo di attivit sono svolte senza pensare che, senza opportuni accorgimenti, tutto il traco generato sia in chiaro, compri gli user id e le password.

3.5.1

Posta Elettronica

Vi sono due accorgimenti da implementare: Utilizzare connessioni con il proprio server di posta che implementato crittazione TLS/SSL.

Tenendo poi presente che, anche utilizzando la crittazione della connessione con il server di posta, una volta giunti sul server su questo sono in chiaro e non si pu essere sicuri che il usso da un server allaltro per linvio al destinatario segua regole di sicurezza, anzi spesso non le segue. importante per cui: Utilizzare certicati digitali per crittare le conversazioni riservate, in modo tale da permetterne la lettura solo al legittimo destinatario.

Questa possibilit oerta a tutti a costo zero sul portale di COMODO (http://www.comodo.com /home/email-security/free-email-certicate.php). Sul sito possibile procurarsi un certicato da utilizzare per linvio di mail crittate. Per inviare posta crittografata utilizzando i certicati impone la seguente procedura: a) Bisogna che entrambi i corrispondenti abbiano un certicato digitale utilizzabile per linvio di posta crittografata. b) Ogni corrispondente deve inviare una mail rmata con il proprio certicato allaltro. c) Si deve aggiungere il certicato digitale del proprio corrispondente alla rubrica del proprio client di posta (modalit dierenti a seconda del client stesso). d) Dopo la compilazione della mail da inviare bisogna abilitare lopzione di crittatura. Va comunque ricordato che una volta giunto sul client del proprio corrispondente il messaggio in chiaro e pu essere letto da chiunque abbia accesso al computer del corrispondente a meno della revoca del certicato (nel caso di COMODO la revoca del certicato pu essere eettuata qui: https://secure.comodo.com/products/!SecureEmailCerticate_Revoke) .

31 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

3.5.2

Tramissione le

Anche per la trasmissione le utilizzando protocolli FTP e HTTP consigliabile la crittazione. Per quanto non in grado di dimostrarlo, nella mia attivit di consulente, laver fatto impostare il trasferimento di le per siti web su SFTP ha fatto cessare completamente azioni di hacking dei siti stessi avendo escluso a priori vulnerabilit note del software del sito stesso. Purtroppo sono pochissimi i provider che orono hosting di siti web che forniscono questo servizio. Bisogna per cui cercare un provider che fornisca tale connettivit (fra i grandi, in Italia, Aruba fornisce il servizio gratuitamente). Per comprendere quanto sia delicata la questione rimando al seguente articolo su Punto Informatico: http://punto-informatico.it/2086911/PI/Interviste/seeweb-cronaca-un-attacco.aspx . Dal punto di vista puramente anti forensics, possibile che un investigatore venga in possesso delle password ftp di un sito di un indagato e solo grazie a questo fatto ottenere molte informazioni, ma, in aggiunta, vi la possibilit di modicare del codice, per esempio nella parte amministrativa del sito, in modo tale da installare un malware appositamente costruito sul pc o sui pc oggetto di future indagini.

3.5.3

Connessioni Wi - Fi

Molte strutture alberghiere, aereoportuali, bar, ristoranti, hanno messo a disposizione hot spot Wi Fi gratuiti per i loro clienti. Questi hot spot sono spesso aperti, cio senza alcuna crittatura del segnale, lasciando la validazione per la navigazione a livello di gateway. Chiunque collegato a questa rete non protetta in grado di catturare il traco generato dagli altri avventori e impossessarsi per esempio delle password per laccesso alla loro posta se la connessione con la propria casella non crittata. Collegarsi a reti aperte sconosciute non cosa saggia poich un malintenzionato o anche un investigatore potrebbe creare ad hoc un access point aperto per farvi collegare, invogliati dalla gratuit, e carpire il traco in chiaro generato. Vanno per cui preferite le reti crittate e comunque tenere ben presente il rischio che si corre utilizzando quelle in chiaro.

32 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

3.5.4 Tecniche di protezione della infrastruttura informatica dallaccesso illecito perpetrato dallinterno.

Ognuno in casa propria pensa di essere al riparo da azioni malevole eettuate dalle persone che lo circondano. Spesso, nella mia attivit di consulente, di fronte allimpossibilit o alla scarsa probabilit che un furto dinformazioni possa essere stato perpetrato da un pirata esterno, dichiarando di voler vericare eventuali azioni interne, mi trovo spesso di fronte ad un irrigidimento. La logica porterebbe invece a mettere in prima linea una ricerca allinterno, giacch le persone coinvolte in un business sono quelle pi interessate ad avere informazioni riservate. Oltre ad azioni trualdine, vi sono a volte allinterno di unazienda rapporti interpersonali che fan sorgere gelosie non propriamente lavorative e fanno scattare il desiderio di farsi gli aari dei colleghi. Vi sono numerosi software disponibili in internet, in grado di intercettare il traco generato da un host perpetrando un attacco Man In The Middle (21) utilizzando usa sola scheda di rete sfruttando lArp Spoong (32) . Fra i pi famosi troviamo Ettercap (http://ettercap.github.com /ettercap/), disponibile anche per Windows (http://sourceforge.net/projects/ettercap/les /unocial%20binaries/windows/). disponibile pronto nella distro live NST 2.16 (http://networksecuritytoolkit.org /nst/index.html), che abbinato con un tool gratuito di analisi forense come Xplico (http://www.xplico.org/download), disponibile sulla distribuzione live Deft 7.2 (http://www.deftlinux.net/download/), permettere di eettuare una comoda analisi anche da parte dei non addetti ai lavori. Ovviamente, sempre guardando la questione dal punto di vista anti forensics, un investigatore pu trovare una giusticazione plausibile (manutenzione del centralino, della stampante multifunzione, tecnico Telecom o simile) per inserire sulla rete locale aziendale un minuscolo pc tipo lo EEE della Asus, senza tastiera mouse, monitor o altro tanto da farlo apparire come un qualsiasi dispositivo abbinato al centralino, router ecc, con tutta la suite NST 2.16 opportunamente pilotabile dallesterno, non destando alcun sospetto. Ovviamente la cosa dicile da compiere in aziende strutturate con un reparto ITC, ma nelle piccole aziende lipotesi non per nulla peregrina. Una tecnica di protezione gi disponibile nelle comuni reti Windows con controller di dominio lIPsec (33). La sicurezza raggiunta attraverso funzionalit di autenticazione, cifratura e controllo dintegrit dei pacchetti IP (datagrammi). Purtroppo non mi mai capitato di trovare una rete in una piccola struttura con i criteri IPsec abilitati, e, devo ammette, non lho mai attivata neppure io sulle installazioni da me eseguite. Oltre alla scarsa sensibilit e conoscenza del protocollo, vi il problema che, se implementato funziona solamente con i PC con Windows XP e successivi legati al dominio. Tutti i client con sistema operativo non supportato (i Mac per esempio) non avrebbero accesso alla rete.

33 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Riporto comunque un interessante tutorial in lingua inglese su come eettuare la congurazione di IPsec: http://allcomputers.us/windows_server/windows-server-2003---securingnetwork-communications-using-ipsec---deploying-ipsec.aspx . Unaltra tecnica quella di inserire un software che rileva un attacco ARP Spoong. Un tool gratuito ARP Antispoofer (http://arpantispoofer.sourceforge.net/), per Windows.

4 Conclusioni
Molto spesso lanti forensics considerata una scienza al servizio dei malfattori. Molte attivit umane hanno il loro rovescio della medaglia. Ritengo personalmente legittimo che chiunque abbia il diritto di difendersi come gli consentito, malfattore o persona per bene, anche da legittime indagini ordinate dalla magistratura. Nella mia esperienza di consulente della difesa in procedimenti penali, mi sono trovato a scontrarmi troppo spesso con azioni del magistrato non comprensibili e che, pur essendo certamente legittime, ledevano in modo palese il diritto di difesa dellimputato. Per esempio, sempre pi dicile ottenere una copia di quanto sequestrato dal PM durante la fase delle indagini, o, se concesso, a cause delle ultime normative, estremamente costoso. Solo grandi aziende possono sopportarne i costi. Inne ci sono addirittura sentenze della Cassazione che legittimano di fatto acquisizioni di documenti informatici e catene di custodia dei reperti che non rispondono minimamente a quanto stabilito dalla Convenzione di Budapest recepita dalla legge N 48 del 18 Marzo 2008 (per esempio: Cassazione Sentenza 14511 del 2.4.2009 ) http://www.marcomattiucci.it /copy.php#14511 . Sulla base di queste premesse ben venga qualsiasi attivit di autotutela, anti forensics

34 di 40

15/01/2014 21:38

Anti Computer Forensics compresa.

https://www.david-tanzer.com/anti-computer-forensics

BIBLIOGRAFIA
1. forensics, Anti-computer. http://en.wikipedia.org/wiki/Anticomputer_forensics Wikipedia. [Online] 21 12 2012. http://en.wikipedia.org /wiki/Anti-computer_forensics 2. Norton Utilities. [Online] http://en.wikipedia.org/wiki/Norton_Utilities 3. ST-506. [Online] 27 2 2013. http://en.wikipedia.org/wiki/ST-506 4. Storia di Internet. [Online] http://it.wikipedia.org/wiki/Storia_di_Internet 5. Crimine informatico. [Online] http://it.wikipedia.org /wiki/Crimine_informatico 6. Informatica forense. [Online] 2 3 2013. http://it.wikipedia.org /wiki/Informatica_forense 7. Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. San Diego : s.n., 2005. 8. KISSmetrics, accordo sui cookie traccianti. [Online] 24 Ottobre 2012. http://punto-informatico.it/3631886/PI/News/kissmetrics-accordo-sui-cookietraccianti.aspx 9. Atbash. [Online] 14 febbraio 2013. http://it.wikipedia.org/wiki/Atbash 10. Disco cifrante. [Online] http://it.wikipedia.org/wiki/Disco_cifrante 11. Blaise de Vigenre. [Online] http://it.wikipedia.org/wiki/Blaise_de_Vigen %C3%A8re 12. Friedrich Kasiski. [Online] http://it.wikipedia.org/wiki/Friedrich_Kasiski 13. Principio di Kerckhos. [Online] 8 Marzo 2013. http://it.wikipedia.org /wiki/Principio_di_Kerckhos 14. La teoria della comunicazione nei sistemi crittograci. [Online] http://it.wikipedia.org /wiki/La_teoria_della_comunicazione_nei_sistemi_crittograci

35 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

15. Cifrario di Vernam. [Online] http://it.wikipedia.org /wiki/Cifrario_di_Vernam 16. Advanced Encryption Standard. [Online] http://it.wikipedia.org /wiki/Advanced_Encryption_Standard 17. Steganograa. [Online] http://it.wikipedia.org/wiki/Steganograa 18. Compressione JPEG. [Online] http://wiki.dmi.unict.it/mediawiki /index.php/Compressione_JPEG 19. Trasformata discreta del coseno. [Online] http://it.wikipedia.org /wiki/Trasformata_discreta_del_coseno 20. Crittograa negabile. [Online] http://it.wikipedia.org /wiki/Crittograa_negabile 21. Attacco man in the middle. [Online] http://it.wikipedia.org /wiki/Attacco_man_in_the_middle 22. Crittograa asimmetrica. [Online] http://it.wikipedia.org /wiki/Crittograa_asimmetrica 23. What is WEP, WPA, and WPA2? [Online] http://www.brighthub.com /computing/smb-security/articles/53262.aspx 24. Tor. [Online] https://www.torproject.org/. 25. PPTP. [Online] http://it.wikipedia.org/wiki/PPTP. 26. IPsec. [Online] http://it.wikipedia.org/wiki/IPsec. 27. Transport Layer Security. [Online] http://it.wikipedia.org /wiki/Transport_Layer_Security 28. What is VIA PadLock? [Online] http://www.via.com.tw/en/initiatives /padlock/what_and_how.jsp 29. Copia Shadow. [Online] http://it.wikipedia.org/wiki/Copia_shadow 30. Master File Table. [Online] http://it.wikipedia.org/wiki/Master_File_Table 31. Keylogger. [Online] http://it.wikipedia.org/wiki/Keylogger 32. ARP Spoong. [Online] http://it.wikipedia.org/wiki/ARP_poisoning 33. IPsec. [Online] http://it.wikipedia.org/wiki/IPsec.

36 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

34. Cookie. [Online] 27 Febbraio 2013.http://it.wikipedia.org/wiki/Cookie 35. Generatore di numeri pseudocasuali crittogracamente sicuro. [Online] http://it.wikipedia.org /wiki/Generatore_di_numeri_pseudocasuali_crittogracamente_sicuro 36. Ptzmann, Andreas Westfeld and Andreas. Attacks on Steganographic Systems. [Online] http://www.di.unisa.it/~ads/corso-security /www/CORSO-0203/steganograa/LINKS%20LOCALI/Attacks.pdf

NOTE
[1] In informatica i cookie HTTP (pi comunemente denominati Web cookies, tracking cookies o semplicemente cookie) sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server (senza subire modiche) ogni volta che il client accede alla stessa porzione dello stesso dominio. Il termine "cookie" - letteralmente "biscotto" - deriva da magic cookie, concetto ben noto in ambiente UNIX che ha ispirato sia l'idea che il nome dei cookie HTTP . Sono usati per eseguire autenticazioni automatiche, tracking di sessioni e memorizzazione dinformazioni speciche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti on-line, il contenuto dei loro "carrelli della spesa" (shopping cart).

(34)

[2] Un generatore di numeri pseudocasuali crittogracamente sicuro (detto in genere CSPRNG da Cryptographically Secure Pseudo-random Number Generator un generatore di numeri pseudocasuali le cui propriet lo rendono adatto all'uso in crittograa. (35) [3] I dati altamente sensibili possono essere protetti usando dei dati meno sensibili come esca. [4] Metodo di stegoanalisi sviluppato da Andreas Westfeld e Andreas Ptzmann (36) [5] I dati crittografati sono sempre sottoposti a scrambling per spezzare qualsiasi struttura residua dello stream. Viene inizializzato un nuovo generatore di numeri pseudo-casuali crittogracamente sicuro (CSPRNG) con una terza password (256bit) e i dati vengono mischiati globalmente con indici random. [6] I dati sottoposti a scrambling sono sempre mischiati a una grande quantit di rumore, proveniente da un CSPRNG indipendente inizializzato con entropia hardware. [7] I dati sottoposti a whitening sono sempre codicati usando una funzione non-lineare che usa come input anche i bit originali dei carrier. I carrier modicati subiranno meno cambiamenti e supereranno molti test steganalitici (p.e.: Chi Quadro test). [8] In informatica il termine Peer-to-peer (P2P) indica un'architettura logica di rete informatica in cui i nodi non sono gerarchizzati unicamente sotto forma di client o server ssi (clienti e serventi), ma sotto forma di nodi equivalenti o paritari (in inglese peer) che possono cio fungere sia da cliente che da servente verso gli altri nodi terminali della rete. Essa dunque un caso particolare dell'architettura logica di rete client-server.

[9] La Host Protected Area una sezione del disco sso non visibile al sistema operativo. Viene normalmente utilizzata per memorizzare la copia del sistema operativo da utilizzare nel caso di ripristino. Pu venire utilizzata anche per memorizzare dati che si vogliono tenere nascosti

37 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

[10]

Un Trojan.Proxy un malware che realizza un proxy server sul pc contaminato. Questo computer poi utilizzato dagli attaccanti per navigare in modo anonimo, scaricare le ecc.

38 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

39 di 40

15/01/2014 21:38

Anti Computer Forensics

https://www.david-tanzer.com/anti-computer-forensics

Mi piace

Condividi

Condividi

Tweet

Share

Copyright 2013 David Tanzer - Consulente Informatico. Tutti i diritti riservati. Joomla! un software libero rilasciato sotto licenza GNU/GPL. Joomla template created with Artisteer.

40 di 40

15/01/2014 21:38