payments Forensic Analysis e il recupero dei dati. Un caso ... · Forensic Analysis e recupero dati...

27.9.2013 - Venezia - ISACA VENICE Chapter 1 Forensic Analysis e recupero dati - un caso reale - M. ZANOVELLO

Metodi per la Forensic Analysis e il recupero dei dati.

Un caso reale di

intrusione abusiva MARCO ZANOVELLO

Venezia, 27 settembre 2013

Soluzioni e sicurezza per applicazioni mobile e payments


Metodi per la forensic analysis e il recupero dei dati.

Un caso reale di

intrusione abusiva


Soluzioni e sicurezza per applicazioni mobile e payments

Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese.

SPONSOR DELL’EVENTO

Sponsor e sostenitori di ISACA VENICE Chapter

Con il patrocinio di


MARCO ZANOVELLO

Sono Direttore Tecnico presso Yarix S.r.l., dove mi mi occupo di sicurezza informatica e analisi forense Laureato in Ingegneria Elettronica all’Università degli Studi di Padova Lead Auditor ISO 27001 Lead Auditor ISO 20000 CISA ITIL V3.0 Foundation


ABSTRACT

Speso accade che il fatto di trascurare dettagli apparentemente banali può portare a conseguenze disastrose.

Ciò è vero in moltissime situazioni, incluse quelle che coinvolgono aspetti legati alla sicurezza informatica e alla gestione della sicurezza delle informazioni.

Nel seguito si presenterà un esempio (basato su un caso reale anonimizzato) di quali possano essere le conseguenze di un accesso abusivo ad una rete informatica, e le modalità con cui si sono gestite le operazione di recupero dati e di individuazione delle cause e dei responsabili dell’azione illecita.


Agenda

•DEFINIZIONE DELLO SCENARIO E BREVE ANTEFATTO

• IL «D-DAY» •GESTIONE DELL’INCIDENTE

NELL’IMMEDIATEZZA DEI FATTI • L’ATTIVITA’ INVESTIGATIVA


Lo Scenario

- Azienda a ristretta base azionaria

- Multinazionale con filiali in 10 paesi esteri

- Gestione IT centralizzata e monopolizzata da una persona


Lo Scenario

- Dal 2010 al 2012 si verificano una serie di fuoriuscite di

dipendenti che avviano una attività concorrente

- Nel 2012 se ne va anche l'IT manager


Il «D-Day»

Lunedì mattina, ore 8.00: - Il server di posta non risponde più - Il file server non risponde più - Il gestionale non risponde più - I file locali improvvisamente spariscono

…. Azienda bloccata !!


GESTIONE DELL’INCIDENTE NELL’IMMEDIATEZZA DEI FATTI

DEFINIZIONE DEL PERIMETRO

- Infrastruttura Virtuale

- Storage condiviso (SAN)

- Dominio Active Directory



DIAGNOSI

- VM Cancellate da LUN

- Backup criptato (Truecrypt)

- Logon script modificato per cancellare tutti i dati anche sui

pc client

…… non è stato un incidente !!



ESIGENZA AZIENDALE:

- Il Business non si deve fermare

⇒Necessità di attuare attività sistemistiche di ripristino

ESIGENZA INVESTIGATIVA: - La scena criminis non deve essere modificata ⇒ Necessità di individuare e preservare le evidenze - Spegnimento di tutti sistemi - SAN - Server - Firewall (VPN)



CONDIZIONI AL CONTORNO

- RAID

- Dischi SAS

- Volumi in RAID

- LUN accessibili solo via FC

- 5TB di dati effettivi



PRECEDENZA ALL’ACQUISIZIONE FORENSE - Blocco ulteriori possibilità di connessioni esterne di tutte le

sedi - Boot mediante cd Caine su Host ESX (collegamento FC

verso SAN) - Acquisizione con Guymager su supporto collegato via

USB all’host ESX - Tempi non stimabili a priori

OBBIETTIVO - Ricerca partizioni cancellate con Encase

- SAN formattata VMFS (FS proprietario Vmware) - Dischi virtuali delle VM contenuti nella partizione

VMFS - Partizioni dischi VM in formato NTFS



RECUPERO DELLE VIRTUAL MACHINES

Utilizzo dell’MBR come indicatore - Si trova nel settore 0 del disco - Esiste solo 1 MBR in ogni disco - Ha una dimensione di 512 byte - Contiene il codice per eseguire

il VBR - Ha una firma 0x55 0xAA

(magic number)



RIPRISTINO A BUON FINE MA …..

- Presenza Snapshot VM mai reintegrati

⇒ Ripristino parziale (allo stato dello snapshot)

- Gestione LUN operate da SAN ⇒ Alcuni dati corrotti (settori reallocati dalla SAN)



RICERCA PER FILE SIGNATURE - File carving: Identificare il tipo di un file mediante

sequenze note di byte - Header

- Footer

- 50 4B 03 04 14 00 06 00 Microsoft Office Open XML Format Document

- FF D8 FF E0 xx xx 4A 46 49 46 00 JPEG/JFIF Graphic Files

- 45 6C 66 46 69 6C 65 00 Windows Vista event log file



ESITO

- Recupero di file essenziali per l’azienda…

- Documenti Word con listini

- Immagini di etichette dei prodotti

- …e per l’attività investigativa

- Log eventi di Windows


ATTIVITA’ INVESTIGATIVA

OBBIETTIVO PRIMARIO: Individuazione IP provenienza attacco Dati considerati:

- Event Log Windows - Recuperati usando file carving - Event Log classici svuotati … - … ma i nuovi event log 2008 no !! ⇒ Connessione RDP proveniente da server sede estera

azienda (VPN) - Log Firewall

- Non salvati su alcun syslog !!! - Locali al firewall (su SD) risalenti al 2010

RISULTATO: l’attacco è arrivato … da una sede estera


ATTIVITA’ INVESTIGATIVA ACQUISIZIONE FORENSE DEL SERVER REMOTO

- Acquisizione Event Log server remoto - Event Log classici svuotati … - … ma anche in questo caso nuovi event log 2008 ci

sono ⇒ Individuazione IP pubblico di provenienza

- Accesso avvenuto con account di amministratore

locale - Nessun tentativo di bruteforce ⇒ conoscenza di credenziali e struttura informatica

dell’azienda



PUNTO DELLA SITUAZIONE

- Ricostruzione sequenza delle operazioni

- Ricostruzione del percorso di attacco

- Identificazione degli IP pubblici da cui è partito l’attacco

… sappiamo tutto?



CHE COS’E’ TOR??

- The Onion Router: sistema di anonimizzazione del traffico a «strati»

- La connessione da sorgente a destinazione passa per un circuito di nodi intermedi (router)

- Nessun router conosce la sorgente e la destinazione finale - Sistema a bassa latenza (dopo 10 minuti il circuito viene

rinegoziato e i log dei router cancellati) - Praticamente impossibile da tracciare … tutto perduto?



PROFILO DELL’ATTACCO - Preparato meticolosamente ⇒ Probabilmente ha richiesto molto tempo e vari tentativi ⇒ Ci possono essere altre tracce di connessione

… sappiamo tutto?

- Presenza di ulteriori connessioni via RDP risalenti a 3-4 mesi prima con IP non TOR-izzato e non riconducibile a utenti leciti

- Nessun intervento programmato di manutenzione nelle date delle connessioni sospette

⇒ connessione non autorizzate ⇒ accesso abusivo ⇒ Produzione report immediato per attività di

congelamento log da parte delle FdO


ATTIVITA’ INVESTIGATIVA …. QUESTA VOLTA SI !

- Correlazione tra attività non lecite (accesso abusivo a

sistema) e IP pubblici - Possibilità di stabilire legame tra IP pubblici riscontrati e

potenziali autori - Possibilità di stabilire connessioni tra potenziali autori e

sfera d’interesse dell’azienda …Il colpevole ?

L’EX IT MANAGER


CONCLUSIONI

- Metodologia seguita - Individuazione strumenti migliori e priorità - Analisi approfondita , guidata dal profilo desunto del

potenziale attaccante e non limitata ai primi riscontri negativi

- Strumenti utilizzati - Encase - Caine

- Risultati - Azienda nuovamente operativa in 2 settimane - Raccolta evidenze senza alterazione scena - Individuazione probabili IP provenienza attacco forniti

alle FdO


Domande …


Grazie per l’attenzione!

MARCO ZANOVELLO +39 347 3906363 [email protected]

Date post:	01-Oct-2018
Category:	Documents
Upload:	lythuy
View:	220 times
Download:	0 times

payments Forensic Analysis e il recupero dei dati. Un caso ... · Forensic Analysis e recupero dati...

Documents