20.03.2014_epifani

CLOUD FORENSICS
Tecniche di acquisizione e analisi
Mattia Epifani
Perché Cloud Forensics?




I sistemi Cloud sono in costante crescita
Dati e applicazioni fornite all’utente
attraverso Internet
Nuove sfide per l’acquisizione di digital
evidence
I dati non stanno su un dispositivo che può
essere sequestrato ma in un qualche data
center chissà dove nel mondo…
Cloud Forensics – Mattia Epifani
2
Cloud Companies
© CLUSIT 2010 - Titolo - Autore
3
Cloud Forensics – Dove?
Cloud Forensics – Mattia Epifani
4
Problemi dell’acquisizione da Cloud
Giurisdizione?
 Dove sono i dati?
 Siamo sicuri che i dati siano in un
solo posto?

Cloud Forensics – Mattia Epifani
5
Website Forensics
Una metodologia tradizionale
prevede:
 Accesso fisico al server
 Copia forense del codice sorgente
 Copia forense del/dei database
 Ricostruzione dell’ambiente per
l’accesso e la consultazione dei dati
 Il più delle volte è impraticabile

Cloud Forensics – Mattia Epifani
6
Website Forensics
 Acquisizione da remoto:
Strumenti a riga di comando
(es. WGET)
 Software di website cloning
(es. HTTRACK)
 Browser dedicati
(es. FAW)

Cloud Forensics – Mattia Epifani
7
Website Forensics - Procedura

Contestuale acquisizione di tutti gli elementi «al contorno»:
 Registrazioni video della acquisizione
 Registrazione del traffico di rete
 Verifica della configurazione DNS
 Sincronizzazione con server NTP
 Verifica dell’indirizzo IP di destinazione tramite fonte
esterna
 Visualizzazione del codice sorgente della pagina
 Salvataggio della pagina acquisita
 Hashing dei file acquisiti
 Firma digitale e marca temporale
Cloud Forensics – Mattia Epifani
8
FAW – Forensic Acquisition of Websites
Cloud Forensics – Mattia Epifani
9
Social Network Forensics


Sono una miniera di informazioni e
strumenti fondamentali per attività di
OSINT
Diversi metodi di acquisizione
 Download informazioni dal profilo
 Acquisizione dei dati visibili
all’esterno
 Richiesta diretta al sito/servizio
Cloud Forensics – Mattia Epifani
10
Facebook Forensics


Conoscendo le credenziali del profilo
possiamo utilizzare la funzione «Scarica una
copia dei tuoi dati», messa a disposizione da
Facebook
L’operazione di scaricamento viene notificata
via mail all’indirizzo associato all’account
Cloud Forensics – Mattia Epifani
11
Facebook Forensics

L’archivio scaricato contiene:
Informazioni sul profilo
 Informazioni sui contatti (compresa la rubrica con
indirizzi email e cellulari)
 Bacheca (con data, ora e autore del post)
 Messaggi (con data, ora e autore del messaggio)
 Eventi
 Foto e video (con data e ora di caricamento)
 Impostazioni
 Sicurezza (sessioni con data, ora, IP browser)

Cloud Forensics – Mattia Epifani
12
Cloud Forensics – Mattia Epifani
13
Cloud Forensics – Mattia Epifani
14
Facebook Forensics
Cloud Forensics – Mattia Epifani
15
Facebook Forensics

Se non si hanno a disposizione le credenziali di
accesso si possono scaricare le informazioni
«pubbliche» utilizzando Belkasoft Facebook Profile
Saver
Cloud Forensics – Mattia Epifani
16
Facebook Forensics
Cloud Forensics – Mattia Epifani
17
Mail Forensics




L’acquisizione di caselle di posta elettronica può presentare
analoghi problemi di «territorialità»
Se si conoscono le credenziali esistono diverse tecniche e
strumenti per l’acquisizione online
Il metodo più comune consiste nell’utilizzare client di posta
tradizionali opportunamente configurati
 Preferibilmente utilizzando connessioni IMAP Over SSL
 Estrema cautela per evitare di cancellare
inavvertitamente email
 Nessuna garanzia sull’inalterabilità del dato
Consigliabile utilizzare strumenti in cui siano inibiti i comandi
di scrittura e cancellazione
Cloud Forensics – Mattia Epifani
18
Mail Forensics - Strumenti



F-Response e Nuix sono prodotti commerciali che hanno
implementato client IMAP «forensically sound», ovvero in
cui non sono stati implementati i comandi di scrittura e
cancellazione
Mail Store Home è un software freeware per uso personale
che permette il download IMAP e POP3 e l’archiviazione di
intere caselle di posta
Cloudian, client Windows in fase di sviluppo da parte di
REALITY NET con il supporto IMAP e POP3 «forensically
sound»
Cloud Forensics – Mattia Epifani
19
F-Response® Email Connector

Inserimento delle credenziali di accesso
Cloud Forensics – Mattia Epifani
20
F-Response® Email Connector

Download della casella di posta
Cloud Forensics – Mattia Epifani
21
F-Response® Email Connector


Al termine del download viene creato un «disco virtuale»
contenente tutte le mail catalogate nelle rispettive cartelle
(Posta in arrivo, Bozze, Posta inviata, Posta eliminata,
eventuali cartelle di archiviazione, ecc. ) in formato EML
Tale disco può essere acquisito con le tecniche standard (es.
FTK Imager) e analizzato in modo tradizionale (X-ways,
AccessData FTK, Encase, ecc. )
Cloud Forensics – Mattia Epifani
22
MailStore Home

Inserimento delle credenziali di accesso
Cloud Forensics – Mattia Epifani
23
MailStore Home

Navigazione e ricerca nelle mail scaricate
Cloud Forensics – Mattia Epifani
24
Cloudian
Cloud Forensics – Mattia Epifani
25
Cloud Storage Forensics




Analoghi problemi di «territorialità»
I servizi di cloud storage mettono a disposizione uno spazio di
archiviazione su un server remoto che può essere
sincronizzato con un device locale
Possibile condividere file e cartelle con altri utenti del
servizio
Due tecniche di acquisizione:

Accesso online al profilo
Possibilità di recuperare le informazioni cancellate
Rischio di errore e cancellazione dei dati

Software per un accesso «forensically sound» in sola lettura
Cloud Forensics – Mattia Epifani
26
Dropbox – Accesso online




Necessario conoscere le credenziali dell’utente
Si possono ottenere informazioni sui file cancellati
Nella versione gratuita possibilità di recuperare i file
cancellati negli ultimi 30 giorni
Nessun limite nella versione commerciale
Cloud Forensics – Mattia Epifani
27
Dropbox – Accesso online

Per ciascun file è possibile recuperare le versioni precedenti
con la data di ultimo salvataggio e il nome del dispositivo e
dell’utente che ha effettuato la modifica
Cloud Forensics – Mattia Epifani
28
Dropbox – Accesso online

E’ infine possibile verificare la lista dei dispositivi collegati e
delle sessioni web
Cloud Forensics – Mattia Epifani
29
Google Drive – Accesso online



Per ciascun file è presenta la
cronologia delle modifiche, con
indicazione di data e ora
Possibilità di ripristinare le versioni
precedenti del file
Se il file è condiviso riporta anche
l’autore dell’ultima modifica
Cloud Forensics – Mattia Epifani
30
F-Response® Cloud Storage Connector



Software commerciale per l’acquisizione di dati da servizi di
Cloud Storage
Una volta inserite le credenziali crea un disco virtuale, con
accesso in sola lettura, che contiene tutti i file dell’utente
Il disco virtuale può essere acquisito con strumenti
tradizionali (es. FTK Imager)
Cloud Forensics – Mattia Epifani
31
F-Response® Cloud Storage Connector
Cloud Forensics – Mattia Epifani
32
E dove trovo le password?


Per poter effettuare le acquisizioni di dati da Cloud è, in
generale, necessario conoscere le credenziali dell’utente
Le credenziali si possono ottenere in diversi modi:
 Estraendole
da un sistema operativo live
Nirsoft Utilities - http://www.nirsoft.net/
Security Xploded - http://securityxploded.com/
 Virtualizzando
un’immagine forense del disco
Problema: devo conoscere le credenziali dell’utente del
sistema operativo
 Da
un dispositivo mobile (es. Keychain iPhone, )
Cloud Forensics – Mattia Epifani
33
E la password dell’utente di Windows?

Chiederla all’utente
(Risposta tipica: «ahahahahahahahaha».
Nota «ahahahahahahahaha» non è la password )

Crakkarla
Rainbow Table su NTLM
 Dizionario
 Forza Bruta

Cloud Forensics – Mattia Epifani
34
Cloud Forensics – Mattia Epifani
35
E la password dell’utente di Windows?

Developed by Francesco Picasso (Chief R&D @ RN)
RAM
dump
Volatility
RN
mimikatz
plugin
Hiberfil
Cloud Forensics – Mattia Epifani
36
E la password dell’utente di Windows?
Cloud Forensics – Mattia Epifani
37
Tracce d’uso di sistemi Cloud su PC


Analizzando un PC o un dispositivo Mobile è possibile
recuperare un elevata quantità di informazioni
sull’utilizzo dei sistemi Cloud
Diverse soluzioni commerciali disponibili
Internet Evidence Finder (Magnet Forensics)
 Evidence Center 2014 (Belkasoft)
 NetAnalysis (Digital Detective)
 Internet Examiner Toolkit (SiQuest)


Necessario effettuare anche ricerche mirate (file e/o
keyword) per individuare elementi non estratti dai
tool automatizzati
Cloud Forensics – Mattia Epifani
38
Facebook
© CLUSIT 2010 - Titolo - Autore
39
Findmyfacebookid.com
Cloud Forensics – Mattia Epifani
40




I file di configurazione sono cifrati dal 2011
Il file di maggiore interesse è filecache.dbx
In un ambiente live possiamo usare IEF Triage
Su un disco acquisito possiamo usare Internet
Evidence Finder or Dropbox Decryptor (freeware)
Funzionano (per ora) solo se Dropbox è installato su
Windows XP o Windows Vista
 Dobbiamo conoscere la password dell’utente del SO
 Dobbiamo estrarre una chiave dal registro di
configurazione

Cloud Forensics – Mattia Epifani
41





Filecache.dbx
C:\Documents and Settings\<username>\
Application Data\Dropbox\Filecache.dbx
Windows Protection Folder
C:\Documents and Settings\<username>\
Application Data\Microsoft\Protect
Chiave di registro
NTUSER.DAT\Software\Dropbox\ks\Client
Password dell’utente locale
Se la Cartella non è stata sincronizzata
possiamo trovare i nomi dei file e delle
cartelle cancellate
Cloud Forensics – Mattia Epifani
42

Il file filecache.db decifrato contiene:





Server Path
Local File Time
Local Creation Time
Local Modified Time
Local Size
Cloud Forensics – Mattia Epifani
43

Stringhe utili per la ricerca di
informazioni in dump di RAM, file
di ibernazione e pagefile
 Authenticate
 Filecache.dbx
 Server_time
 Updated/deleted

Possiamo trovare:






User email
Display Name
Percorso filecache.dbx
Server Time (UNIX
Timestamp)
Lista file
Nomi di file cancellati
Cloud Forensics – Mattia Epifani
44


Se l’utente è loggato alla pagina web di Dropbox nella
Ram possiamo trovare anche il nome utente e la
password in chiaro
Possiamo utilizzare le keywords
login_email
 login_password

Cloud Forensics – Mattia Epifani
45

Il file di maggior interesse è snapshot.db che
contiene:

Cloud Entry Table

Local Entry Table
URL
Nome del file
Checksum (MD5 hash)
Data di creazione (UNIX Timestamp) Size
Data di modifica (UNIX Timestamp) Shared
Nome del file
Data di modifica (UNIX Timestamp)
Checksum (MD5 hash)
Cloud Forensics – Mattia Epifani
46

Un altro file interessante è Sync_Log.log che
contiene le informazioni sulla sincronizzazione:
Sessioni di sincronizzazione
 File creati
 File salvati da locale
 File cancellati

Cloud Forensics – Mattia Epifani
47

Stringhe utili per la ricerca di
informazioni in dump di RAM, file
di ibernazione e pagefile
 user_emailvalue
 highest_app_versionvalue
 local_sync_root_pathvalue
 snapshot.db
 sync_config.db

Possiamo trovare:




User email
Numero di versione del sw
Percorso locale di
archiviazione
Ultima cartella sincronizzata
Cloud Forensics – Mattia Epifani
48


Se l’utente è loggato alla pagina web di Google Drive
nella Ram possiamo trovare anche il nome utente e la
password in chiaro
Possiamo utilizzare le keywords
Email=
 Passwd=

Cloud Forensics – Mattia Epifani
49
Per approfondire

Cloud Storage Forensics
Mattia Epifani
SANS European Digital Forensics Summit Prague, 7/10/2013
https://digital-forensics.sans.org/community/summits
Cloud Forensics – Mattia Epifani
50


Università di Genova, Villa Cambiaso
Due giornate su argomenti:






Web and Dark Web: new challenges from CyberCrime
Corporate Investigations and eDiscovery
Call for paper
In contemporanea il Cybercop 2014, simulazione di una digital
investigation a squadre
Pertecipazione gratuita
www.iisfa.it
Cloud Forensics – Mattia Epifani
51
DFA Open Day 2014
5 Giugno 2014
 Università degli Studi di Milano
 Giornata di studio di 8 ore sui temi:

OSINT e Investigazioni Digitali
 Security e Incident Response aziendale

Partecipazione gratuita
 www.perfezionisti.it

Cloud Forensics – Mattia Epifani
52
Grazie per l’attenzione!
Mattia Epifani





Digital Forensics Analyst
GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
CEO @ REALITY NET – System Solutions
Responsabile della formazione @ IISFA Italian Chapter
Past President @ DFA Association
Mail
Twitter
Linkedin
Blog
[email protected]
@mattiaep
http://www.linkedin.com/in/mattiaepifani
http://mattiaep.blogspot.it
Cloud Forensics – Mattia Epifani
53

Download Report