Re: [ml] attivita' forense

Gufo ha scritto:
> E' stato disponibile per un po' di tempo un documento prodotto dal
> progetto IRitaly (www.iritaly.org). Era un documento con molte
> informazioni interessanti e che approfondiva gli aspetti chiave
> dell'analisi forense di sistemi compromessi oltre a fornire una
> panoramica di alcuni tool disponibili
Concordo sul fatto che Iritaly sia uno dei progetti piu' avanzati sulla
c.f. in italia. L'anima del progetto è il prof. Dario Forte, che spesso
interviene in convegni, ed a cui forse puoi chiedere il "favore" di
avere una copia del loro documento. Il progetto ha prodotto anche un cd
(mi risulta periodicamente aggiornato), basato sul progetto F.I.R.E.

Se non ricordo male (vado a memoria), alcuni punti che raccomandavano erano:

   * fare più di una copia dei dischi "incriminati" (metodologie ed
accorgimenti mi sembrano ben sipegati nel thread). Una di queste copie
deve essere sigillata e tenuta da parte per presentarla come eventuale
evidenza in dibattimento.
   * Filmare, con almeno due telecamere, tutte le operazioni effettuate 
(prima e dopo lo spegnimento dell'hardware, la copiatura, il calcolo
dell'hash, ecc.). Anche i filmati vanno sigillati e tenuti da parte (non 
so se è necessario affidarli ad un notaio, o alle forze di PP.SS....).
   * Documentare il riferimento orario usato, e fare in modo che gli
orologi delle telecamere e dell'hardware usato per l'estrazione dei dati 
siano sincronizzati con tale riferimento.

In caso sia necessaria una "live analysis", si raccomanda di accedere al 
sistema solo via console (non da rete), ed effettuare quanto prima un
dump della RAM. E' consigliabile anche non usare gli eseguibili presenti 
sul sistema, ma eseguibili certificati, con librerie linkate
staticamente, prelevati da un CD-ROM. Naturalmente - in questi casi - va 
accuratamente evitato il reboot della macchina, oppure operazioni tipo
la deframmentazione.
Tenere la macchina in rete e' una scelta che dovrebbe dipendere dalle
politiche aziendali di incident response. Mi sembra che lo
considerassero utile solo nel caso in cui aveste beccato l'intrusore con 
le mani nella marmellata; negli altri casi (in particolar modo se si
sospetta che la macchina sia compromessa e possa essere "usata" per
altri attacchi) ammettevano di staccarla della rete, ed affidarsi ai log 
per ricostruire i dati dell'attacco.

Massimo Coletti



This e-mail and any attachments may contain confidential and
privileged information. If you are not the intended recipient,
please notify the sender immediately by return e-mail, delete this
e-mail and destroy any copies. Any dissemination or use of this
information by a person other than the intended recipient is
unauthorized and may be illegal.