Giovanni Bassetti Immagine
 Blog personale di Nanni Bassetti... di Admin
  
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Articolo
Anti-Forensics alcune tecniche di base
Di Admin (del 01/12/2008 @ 11:57:54, in Computer Forensics, linkato 11085 volte)

Ho appena finito di leggere un interessante articolo di Mark Whitteker su ISSA Journal, che riassume alcune tecniche di base dell'anti-forensics, trovo questo genere di articoli molto costruttivi, perchè non dicono niente di nuovo, ma servono ad accorpare e sintetizzare dei concetti, cosa che è utile, specialmente in un settore così ricco di tecniche da dover ricordare.

Cos'è l'anti-forensics? Si tratta di tutti quegli escamotages, che servono a mettere in difficoltà i "digital investigators", in modo da riuscire ad occultare o a rendere estremamente diffcile il reperimento di evidenze digitali.

I tipi di anti-forensics possono suddividersi in tre grandi branche:

  • Data Hiding (occultare i dati)
  • Tool's weakness (debolezze note dei tool per la computer forensics)
  • Investigator's weakness (debolezza dell'investigatore)

DATA HIDING

I dati possono essere nascosti in moltissimi modi e non solo sull'hard disk in esame, ma anche su siti web di storage, qui potete trovare una trattazione di Mario Pascucci in merito ad alcune tecniche, ma esaminiamo quelle più comuni e conosciute:

Encryption

Criptare interi volumi o solo dei file , può essere quanto di più facile da mettere in atto, ma diventa uno degli ostacoli più duri per l'investigatore digitale, perchè un criptaggio con AES (Advanced Encryption Standard) a 128 bit ha 2128 possibili chiavi, con un brute force attack non si giunge a niente, se non in un tempo lunghissimo (parliamo di anni) di elaborazione costante e parallela.
Quindi, in questo caso, conviene che l'investigatore, cerchi la password in altra maniera, tipo cercare nella memoria del sistema (ram dumping) l'eventuale password inserita, se è presente in qualche file leggibile, avendo un log di un eventuale key-logger pre-istallato oppure con un profiling dell'indagato, ma sono tentativi veramente legati alla speranza ed alla fortuna, se per esempio la password è una parola di senso compiuto, magari basterà un dictionary attack e lo scrigno si aprirà.

Steganografia

Dal Greco antico "scrittura nascosta", è una tecnica nota per nascondere delle informazioni dentro altri file binari, per esempio immagini, file mp3, ecc.
Personalmente ho sviluppato un strumentino a fini didattici, che fa capire come può avvenire una steganografia banale: BrutalStego o una più complessa con NBSTEGO.
Ci sono tanti strumenti per la steganografia come: JHide, Digital Invisible Ink e tanti altri che potete leggere qui.
I sistemi per capire se un file contiene della steganografia sono basati su algortimi probabilistici, infatti spesso danno falsi positivi e falsi negativi, tutto ciò non può essere utile all'investigatore, a meno di non aver trovato tracce di programmi di steganografia sul PC dell'indagato, altrimenti diventa una caccia alla cieca.

Spazio non allocato e cancellazione sicura

Questo è lo spazio non occupato da file attivi, infatti quando un file viene cancellato da sistema, di fatto rimane fisicamente in uno spazio marcato come "unallocated", quindi disponibile alla scrittura di altri file.
L'operazione di cancellazione standard, serve solo ad eliminare il pointer al file dalla File Allocation Table (FAT) or Master File Table (MFT).
Con i tools di computer forensics, si riescono a recuperare dei file cancellati (pubblicità occulta FUNDL o SFDUMPER), ma se prima di cancellarli si riempiono i file di careatteri random o di zeri, alla fine non si recupera più il file originale.

SLACK SPACE

I file quando sono salvati vengono allocati in cluster, gruppi di settori del disco, ma se un file occupa 5 cluster e mezzo, viene allocato in sei cluster, lasciano mezzo cluster libero.
Ci sono strumenti come Metasploit’s Slacker utility che permettono di scrivere nello slack space, ossia quello spazio avanzante di un cluster, se poi si cripta il file e lo si inserisce nello slack space, l'investigatore può esser tratto in inganno, trovando solo dei dati che possono sembrare spazzatura di precedenti file allocati in quel cluster, quando invece è un file criptato.

TOOL'S WEAKNESS

Altre tecniche di anti-forensics, possono risedere nello sfruttare bachi o debolezze note dei più famosi tool per la computer forensics.
Gli ADS (Alternate Data Streams), oggi non più una minaccia.
La MD5 collision, ossia il poter modificare un file e far risultare lo stesso hash MD5 del file originale, questo può servire per occultare un file e spacciarlo per un file noto, quando l'investigatore effettua una ricerca usando il matching di un dizionario di hash MD5 noti sui file contenuti sul disco in esame.
La modifica del Timestamp, con questa tecnica si possono ingannare i tool che creano una timeline basata sui tempi di MAC (Modify, Access e Create file).
La manipolazione del magic number e dell'estensione dei file, questa tecnica è abbastanza fastidiosa per gli investigatori, perchè se si cambia solo l'estensione di un file, per esempio da JPG a DOC, i programmi di carving (Foremost, Photorec, Scalpel, ecc.) ed i programmi come "file" o "TridNet", se ne accorgono, perchè considerano gli headers ed i footers del file (nel caso della JPG sono FFD8 e FFD9 in esadecimale), ma se si cambiano anche i gli header ed i footer, si imbrogliano anche quest'ultimi tool, quindi va fatta un'ispezione accurata e manuale!

LA INVESTIGATOR'S WEAKNESS

Questa è, secondo me, la tecnica più problematica, infatti si condensa in un semplice concetto, ossia il tempo e le risorse che deve impiegare l'investigatore per analizzare i supporti sequestrati.
Basta avere dischi di parecchi gigabyte o terabyte, Raid, usare tecniche di data hiding e a quel punto le analisi da condurre porterebbero via moltissime risorse in termini di tempo e denaro, costringendo l'investigatore a lavorare alla grossa.
Questo è una riflessione che mi ero posto molte volte, quando leggevo di tutte le tecniche "fini" di anti-forensics, mi domandavo spesso:
"Ma se un consulente tecnico riceve da analizzare 10-100 hard disk da 250Gb l'uno, come può mettersi a lavorare di fino, su ogni hard disk, controllando eventuali criptazioni, steganografie, slack space, file nascosti negli spazi tra MBR ed inizio partizione, partizioni nascoste, file system dentro file system, ecc. ecc.?"

Conclusioni

Penso che sia utile conoscere più metodi possibili di data hiding, però credo sempre nel motto "è più facile occultare che scoprire"

Nanni Bassetti

Articolo Articolo  Storico Storico Stampa Stampa
Ci sono 1135 persone collegate

< aprile 2025 >
L
M
M
G
V
S
D
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
        
             

Cerca per parola chiave
 

Titolo
Annunci (68)
CHI SONO (4)
Computer Forensics (108)
SICUREZZA INFORMATICA (7)
TuttoStorto (16)

Catalogati per mese:
Marzo 2018
Aprile 2018
Maggio 2018
Giugno 2018
Luglio 2018
Agosto 2018
Settembre 2018
Ottobre 2018
Novembre 2018
Dicembre 2018
Gennaio 2019
Febbraio 2019
Marzo 2019
Aprile 2019
Maggio 2019
Giugno 2019
Luglio 2019
Agosto 2019
Settembre 2019
Ottobre 2019
Novembre 2019
Dicembre 2019
Gennaio 2020
Febbraio 2020
Marzo 2020
Aprile 2020
Maggio 2020
Giugno 2020
Luglio 2020
Agosto 2020
Settembre 2020
Ottobre 2020
Novembre 2020
Dicembre 2020
Gennaio 2021
Febbraio 2021
Marzo 2021
Aprile 2021
Maggio 2021
Giugno 2021
Luglio 2021
Agosto 2021
Settembre 2021
Ottobre 2021
Novembre 2021
Dicembre 2021
Gennaio 2022
Febbraio 2022
Marzo 2022
Aprile 2022
Maggio 2022
Giugno 2022
Luglio 2022
Agosto 2022
Settembre 2022
Ottobre 2022
Novembre 2022
Dicembre 2022
Gennaio 2023
Febbraio 2023
Marzo 2023
Aprile 2023
Maggio 2023
Giugno 2023
Luglio 2023
Agosto 2023
Settembre 2023
Ottobre 2023
Novembre 2023
Dicembre 2023
Gennaio 2024
Febbraio 2024
Marzo 2024
Aprile 2024
Maggio 2024
Giugno 2024
Luglio 2024
Agosto 2024
Settembre 2024
Ottobre 2024
Novembre 2024
Dicembre 2024
Gennaio 2025
Febbraio 2025
Marzo 2025
Aprile 2025

Gli interventi più cliccati

Titolo

Nanni Bassetti
Onphalos romanzo
INDAGINI DIGITALI
CFITALY.NET
SFDumper
CAINE Live Distro
Scripts4CF
Forensics Blog
My GitHub
My Videos
John Lehr's blog
GovForensics.it
Paolo Reale
DFI News
ONIF
Tools Open Source and free



Titolo
Support Wikipedia




Titolo
Autori
Il perché
Privacy & Copyright

Feed XML RSS 0.91 Feed RSS 0.91
Feed XML Atom 0.3 Feed Atom 0.3

23/04/2025 @ 13:56:20
script eseguito in 32 ms


Valid XHTML 1.0 / CSS