[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2006 ml@sikurezza.org Soggetto: Re: [ml] attivita' forense Mittente: Matteo G.P. Flora Data: Sun, 21 May 2006 14:53:13 +0200 (CEST)On 5/19/06, Daniele Palumbo <daniele@xxxxxxxxxxxx> wrote:
veramente, secondo me, il punto mancante è: mai spegnere una macchina sulla quale devi fare analisi forense. cioè: - ti rendi conto che è non-sana - stacchi l'rj45 - fine
Mmm... Secondo il mio modesto parere la situazione è un pò più complessa...
Soprattutto tenderei s SCONSIGLIARE vivamente lo 'stacchi l'rj45'. Se è necessario, e non sempre lo è, effettuare una live acquisition dei processi attivi e dello stato del sistema è probabile che sia di fondamentale importanza classificare quali connessioni sono attive, verso che destinazione e mediante quali porte e protocolli.
Mi riferisco soprattutto a casi di supposte intrusioni informatiche, ma anche alla verifica di presenza di connessioni remote alla macchina in esame, per sfatare i famosissimi 'è colpa della backdoor/del troyan cattivo/i'...
Anche l'attaccare un disco usb portebbe essere una scelta non propriamente corretta (cosa accade se qualche processo monitora l'evento?) o fattibile (vasto palco di macchine corporate non possiebe usb per obsolescenza e/o scelta societaria).
Va anche preso in esame il caso di un frequente windows98 in cui un disco usb deve essere installato con relativi drivers che comprometterebbero l'analisi.
Anche il cavo cross a volte non è una scelta possibile: non sempre è presente una scheda di rete.
Capisco che siano sofismi, ma sofismi concreti che capitano e capitano spesso...
Ricordo infine che dd su discogrosso non è la fine...
1- wipe discogrosso secondo crismi DoD 2- hash discopiccolo (sorgente) 3- dd 4- hash immagine e confronto 5- hash sorgente per testimoniare tutto è inalterato
Per una live si aggiungono i passaggi di individuazione processi, dd della memoria, individuazione servizi, rilevazione connessioni, etcetc...
Nulla di fantascientifico, solo qualche passaggio fatto cum grano salis...
My 2 cents e disponibile come al solito..
MgpF
-- Matteo G.P. Flora | mf@xxxxxxxxxxxxxxx | www.MatteoFlora.com Pres. Milano AIP-ITCS #2657 | IEEE CS Member #80409490 Privacy & Security Consultant | Forensic Examiner | SEO Expert Secure Channel | pgp F3B6BC10 | 1984-at-nym.hash-dot-com
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005