1.        Introduzione

 

Solo recentemente l’anti-computer forensics è stata riconosciuta come legittimo argomento di studio (1) anche se, in realtà, l’anti-computer forensics è nata assieme alla computer forensics o, forse, anche prima che ci fosse un sua formalizzazione e definizione.

Con l’uscita sul mercato di Norton Commander per DOS v. 1.00 nel 1982 (2) che conteneva il programma UnErase, viene, di fatto, rivelato che la semplice cancellazione di un file non è un’azione definitiva e che quanto cancellato può essere recuperato.

Nei primi anni ’80, per quanto già disponibile il primo hard disk da 5” ¼ dalla capacità formattata di 5 MB (3) dai costi proibitivi,  i personal computer utilizzavano Floppy disk da 5” ¼ per eseguire il sistema operativo, i programmi e per la memorizzazione dei dati. Possiamo ragionevolmente ritenere che il primo tool  anti-forensics fu il distruggi documenti!

Dalla fine degli anni ’80 anche i computer economici cominciarono a essere dotati di supporti di massa fissi.

L’incremento negli anni seguenti dei computer in circolazione, la disponibilità crescente di mezzi d’interconnessione fra gli stessi e con la decisione del CERN il 30 aprile 1993 (4) di rendere pubblica la tecnologia alla base del web, ha portato con se la nascita dei crimini informatici, cioè fenomeni criminali che si caratterizzano nell’abuso della tecnologia informatica sia hardware che software. L’esigenza di punire i crimini informatici emerse già alla fine degli anni ’80 (raccomandazione sulla criminalità informatica del Consiglio d’Europa, 13 settembre 1989). (5) 

La diffusione negli ultimi anni di nuovi dispositivi assimilabili a dei computer poiché dotati di processore, memoria, memoria di massa, dispositivi di input e output, sistemi operativi e applicazioni, ha sicuramente creato nuove sfide per gli investigatori ma anche nuove opportunità per l’individuazione delle fonti di prova.

 

 

 

 

---

 

2.       Definizioni

La computer forensics è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico. (6)

Per l’anti-computer forensics vi sono molte definizioni; la più accettata è la seguente:

“Il tentativo di influire negativamente sull’esistenza, la quantità e la qualità delle prove presenti in una scena del crimine, o il rendere difficile o addirittura impossibile condurre l’esame e l’analisi delle prove.” (7)

La definizione riportata si riferisce ad azioni eticamente negative, di puro ostacolo alla giustizia. La disciplina  ha invece, a mio parere, un campo d’azione molto più ampio e anche più nobile rispetto a quanto indicato nella definizione.

I dispositivi digitali, oltre a poter essere i contenitori di fonti di prova in un processo giuridico, sono certamente i contenitori di informazioni più o meno rilevanti del suoi utilizzatori, atte a rivelarne i gusti, le abitudini, le tendenze politiche e religiose, capacità di spesa, indirizzi di posta elettronica, credenziali per l’accesso a conti correnti, posizione INPS , ecc.

L’azione degli investigatori autorizzati deve seguire delle regole ed è assoggettata alla legge, per cui la possibilità di azione è limitata. I malintenzionati, invece, spesso non sottostanno a regole e leggi, per cui protezioni all’apparenza efficaci risultano inutili. Per esempio un file crittato con una password robusta è un efficace ostacolo all’azione di un investigatore, in quanto, in Italia per esempio, nessuno può obbligare un indagato a rivelare le proprie password. Un delinquente invece può estorcerla con minacce o peggio.

Oltre agli investigatori da un lato, agenti in piena legalità, e i delinquenti, agenti completamente fuori da regole e leggi, vi è un’altra fattispecie e precisamente le aziende che utilizzano le azioni e i contenuti dei dispositivi digitali di un utilizzatore per tracciarne, a sua insaputa e addirittura forzandone la volontà, le informazioni di loro interesse. Spesso queste aziende agiscono sul filo della legge.

Per fortuna la legge in vari Stati sta cominciando a contrastare questi fenomeni. Un esempio è la condanna alla società californiana KISSmetrics in quanto aveva sfruttato tecniche per ricreare cookies [1] dopo la loro rimozione da parte dell’utente.  (8)
La mia definizione di anti computer forensics è la seguente:

L’insieme di strumenti, tecniche e comportamenti utilizzati per contrastare, in modo differente secondo gli obiettivi di autotutela perseguiti, l’azione di un attaccante, legittimato o no, che utilizza tecniche di computer forensics per ottenere informazioni di vario genere dai dispositivi assimilabili a computer (personal computer, main frame, smartphone, console, ecc.) e dalla loro connessione a reti locali e globali.

 

 

3.       Tecniche

 

 

Le tecniche che si possono utilizzare per prevenire od ostacolare l’acquisizione di dati di interesse per un attaccante, o comunque rendere il più possibile difficoltosa la successiva analisi, possono raggrupparsi, considerando la definizione classica,  nelle seguenti categorie:

• Occultamento dei dati

• Cancellazione dei dati

• Trail obfuscation – Modifica degli elementi identificativi dei dati e delle attività finalizzate a disorientare o depistare l’investigatore e contromisure specifiche contro le attività tipiche di computer Forensics

• Distruzione fisica del supporto contenete i dati.

L’attività di investigazione forense e soprattutto quelle attività perpetrate dalle altre tipologie di attaccanti, non si realizzano esclusivamente con la ricerca delle fonti di prova e delle informazioni di interesse agendo direttamente sui dispositivi, come la classificazione classica delle tecniche anti forensics lascia intendere, ma sfruttano anche le vulnerabilità dei sistemi operativi,  l’apertura di accessi ai dispositivi digitali fornita dalla connessione ad Internet, la vulnerabilità intrinseca di alcune strutture di rete Wi-Fi ed alla falsa sicurezza che si prova quando si è sicuri di essersi protetti da azioni esterne al proprio mondo, non preoccupandosi invece di quello che c’è all’interno.

Considerando questi aspetti aggiungerei le seguenti categorie:

• Tecniche per la prevenzione della trasmissione di informazioni non voluta.

• Utilizzo di tecniche di crittazione asimmetrica per l’invio di informazioni riservate.

• Tecniche di protezione della infrastruttura informatica dall’accesso illecito perpetrato dall’interno.

 

3.1   Occultamento dei dati

 

3.1.1           Crittografia

 

La parola crittografia deriva dall’unione di due parole greche kryptós che significa nascosto, e graphía che significa scrittura. La crittografia è la collezione di metodi per rendere un messaggio non comprensibile per le persone non autorizzate a leggerlo.

Esistono fondamentalmente due tecniche per offuscare un messaggio, quelle basate sulla segretezza del metodo di cifratura e quelle basate sulla segretezza della chiave.

Le prime implementazioni della crittografia basata sulla segretezza dell’algoritmo di codifica le si possono trovare già nella Bibbia, libro di Geremia, dove viene utilizzato il cifrario Atbash, cifrario che si basa sulla sostituzione monoalfabetica in cui  la prima lettera dell’alfabeto viene sostituita dall’ultima, la seconda dalla penultima e così via. (9)

La storia della crittografia moderna ebbe inizio con Leon Battista Alberti che per primo utilizzò un disco cifrante (10)  con un alfabeto segreto da spostare ad libitum ogni due o tre parole. Il successivo passo avanti avvenne grazie a Giovan Battista Bellaso con l’introduzione della tecnica di alternare alcuni alfabeti segreti con parola chiave sotto il controllo di un lungo versetto chiamato contrassegno.

Il francese Vigenère (11) utilizzò poi il versetto per cifrare ciascuna lettera con la sua tavola ad alfabeti regolari. Il suo sistema fu considerato indecifrabile per oltre tre secoli. Fu decifrato dal prussiano Friedrich Kasiski (12)

La legge fondamentale che inquadra il corretto uso delle tecniche crittografiche fu scritta da Kerckhoffs (“Legge di Kerckhoffs”) nel 1880 ed è la seguente:

“In un sistema crittografico è importante tenere segreta la chiave, non l’algoritmo di crittazione.” (13)

Nel 1918 Gilbert Vernam perfezionò il metodo Vigenère utilizzando chiavi segrete lunghe quanto il messaggio e mai più riutilizzabili. Nel 1949 Claude Shannon dimostrò che questo è l’unico metodo crittografico possibile che sia totalmente sicuro. (14)

Nell’utilizzo pratico è molto complesso avere chiavi lunghe quanto il messaggio per quanto ci siano stati degli utilizzi in ambito militare (One Time Pad - OPT) (15)

Per un approfondimento ed esempi sulle tecniche criptografiche si  rimanda al sito http://www.cryptool.org in cui sono scaricabili i programmi Cryptool1 e Cryptool2, ottimi strumenti didattici per comprendere gli algoritmi delle varie tecniche conosciute.

Nessun sistema crittografico che utilizzi chiavi meno lunghe del messaggio da codificare è inviolabile.

Diventa a questo punto rilevante il tempo necessario per decifrare il messaggio. Se questo tempo è sufficientemente lungo da rendere non più utile l’ottenimento del messaggio originale, il metodo di crittazione diventa di fatto inviolabile.

L’uso della crittografia come tecnica anti-forensics trova applicazione nell’offuscamento dei dati contenuti negli elaboratori nella sua forma a chiave simmetrica, cioè dove la chiave per crittare l’informazione e per la sua decrittazione è la stessa.

Possiamo distinguere i seguenti metodi di utilizzo della crittografia:

a)  Codifica di alcuni file contenenti dati sensibili

b)  Codifiche di intere strutture contenenti dati sensibili.

c)  Codifica dell’intero disco fisso o di alcune partizioni.

I metodi a) e b) non garantiscono, se utilizzati da soli, un valido sistema di protezione anti forense da un eventuale accesso al sistema dove questi oggetti sono contenuti,  in quanto la stessa apertura dei documenti decodificati lascia tracce sul sistema.

Sono invece metodi molto sicuri e pratici per ottenere un’ottima garanzia (complessità della chiave permettendo) di evitare che all’interno del proprio ambiente, di lavoro o di vita, qualcuno possa accedere a queste informazioni conoscendo magari la password d’accesso al sistema o sfruttando una disattenzione. Sono un ottimo metodo per generare documenti da inviare a un corrispondente che è a conoscenza della password di codifica.

I tool più noti per compiere la crittazione di file sono i seguenti:

-    AxCrypt (http://www.axantum.com/axcrypt/) che utilizza l’algoritmo AES-256 (16). È un software libero di cui è ottenibile anche il codice sorgente. È fornito per ambienti Windows, Mac OS X, Linux, IOS. In ambiente Windows permette di eseguire  la crittazione in pochissimi passaggi generando dei file .exe autoestraenti.

Figura 1

-    Sophos Free Encryption (http://www.sophos.com/it-it/products/free-tools/sophos-free-encryption.aspx). Anche questo software utilizza l’algoritmo AES-256. È disponibile solo per il sistema operativo Windows.

Figura 2

Alcuni programmi di larga diffusione come Microsoft Word, Microsoft Excel, Winzip, Winrar, 7-Zip offrono la possibilità di crittare i documenti da loro generati utilizzando l’algoritmo AES-128 (7-Zip AES-256).

Il metodo b) consiste nella generazione di un file di dimensione variabile, a seconda delle proprie esigenze, crittato con vari algoritmi, che ha la possibilità di essere montato nel sistema operativo come se fosse una qualsiasi unità di storage. Quando questo file è montato, i file che si vogliono proteggere devono essere trasferiti all’interno di tale unità. Una volta che l’unità è smontata, i file contenuti all’interno non sono più accessibili. Per riottenerli è necessario montare nuovamente il file, utilizzando la password di crittazione.

I prodotti più noti che svolgono questa funzione questa funzionalità sono i seguenti:

-      Truecrypt (http://www.truecrypt.org/). È in assoluto il più noto fra I programmi di crittazione. Permette la creazione di dischi virtuali crittati di varie dimensioni, di creare dispositivi USB crittati con la possibilità di far avviare in automatico il prompt che richiede la password di crittazione anche su sistemi in cui il prodotto non è installato sfruttando la sua caratteristica di software portable. Una caratteristica molto interessante in chiave anti-forensics e anche di protezione contro un’eventuale azione violenta di mali intenzionati, è la possibilità di inserire un disco virtuale crittato nascosto all’interno di un disco virtuale crittato. Questo comporta che se si fosse costretti per varie ragioni a rivelare la password di crittazione del disco virtuale principale il secondo disco crittato non verrebbe rivelato in alcun modo. Utilizza un enorme numero di algoritmi di crittazione come l’AES 256, Serpent 256, Twofish 256, AES-Twofish 256, AES-Twofish-Serpent 256, Serpent-AES 256, Serpent-Twofish-AES 256, Twofish-Serpent 256.

Figura 3

-    FreeOFTE (http://www.freeotfe.org/). Il programma è molto simile a Truecrypt. I punti in comune sono:

·    Crittazione al volo di partizioni e interi dischi

·    Possibilità di creare un disco nascosto all’interno di un disco crittato

·    Algoritmi AES, Twofish e Serpent

·    Eseguibilità da dispositivo USB

·    Possibilità di montaggio disco virtuale da CD/DVD e rete

          FreeOFTE offre in aggiunta:

·    Esiste per dispositivi PDA

·    Supporta più algoritmi Hash

·    Offre la modalità Explorer che può essere eseguita su un computer pubblico senza la necessità di installare   i drivers

Truecrypt offre in aggiunta:

·    La possibilità di crittare il disco di sistema

·    È eseguibile su Windows, Linux e Mac OS X

·    Sfrutta i processori multipli e la possibilità di utilizzare le istruzioni AES del processore quando disponibili

 

Questa tecnica di crittazione ha il grande vantaggio di poter spostare i propri file riservati da un pc all’altro senza particolari problemi semplicemente copiando il file crittato, che viene montato come unità dai sopra citati programmi, su un supporto appropriato o avendolo creato già lì.

Vi è poi un’estrema facilità nell’effettuare il backup dei propri dati effettuando la semplice copia del file contenente il disco virtuale.

Il problema di sicurezza dal punto di vista anti-forensics però è identico a quello che si ha con la crittazione del file singolo: quando un documento contenuto nel disco virtuale crittato viene aperto, tracce rimangono memorizzate nei registri e nelle cartelle temporanee.

Non è per cui un metodo che può utilizzato da solo.

Il metodo c) è quello che offre la più ampia garanzia di riservatezza dei propri dati riservati in chiave anti-forensics.

La strategia è quella di crittografare completamente il disco di sistema e, se ci sono, gli altri dispositivi di storage.

Utilizzando questo sistema non solamente i file riservati non sono accessibili senza la conoscenza della password di decrittazione, ma lo sono anche le tracce lasciate dall’apertura dei medesimi.

La sicurezza è ovviamente legata alla complessità della password.

I prodotti più noti sono:

-    Bitlocker (questo software è disponibile su sistema operativo Vista ultimate e enterprise , Windows 7 ultimate e enterprise, Windows 8).  Questo software ha tre modalità operative, due richiedono un dispositivo hardware per la cifratura del disco contenente il sistema operativo (Trusted Platform Module - TPM), la terza no.

Le modalità che usano TPM sono:

·    Modo operativo trasparente - l’utente accede al sistema effettuando il login normalmente. La chiave di crittazione è contenuta nel chip TPM

·    Modalità autenticazione utente – questa modalità richiede all’utente un PIN o un dispositivo USB per avviare il sistema operativo.

La terza modalità non richiede un chip TPM:

·    Modalità chiave USB: l’utente deve inserire un dispositivo USB che contiene la chiave di avvio per poter avviare il sistema operativo protetto.

Questa tecnologia, in chiave anti-forensics, ha la forte limitazione di richiedere, per decrittare il disco contenente il sistema operativo in un sistema sprovvisto di TPM, di un dispositivo USB che ovviamente può essere facilmente acquisito durante un sequestro. I dischi non di sistema possono essere sbloccati mediante l’utilizzo di una password, di una smart card e relativo PIN e, nel caso in cui sia protetto anche il sistema operativo, possono essere sbloccati automaticamente all’avvio dello stesso.

Nella nuova versione per Windows 8 Pro e Windows Server 2012 è stata migliorata la velocità di crittazione crittando effettivamente solamente lo spazio su disco utilizzato, la possibilità di crittografare i Clustered Shared Volume in un failover cluster, la possibilità di abilitare Bitlocker su un volume prima che il setup del sistema operativo venga eseguito, permette ai client ed ai server connessi alla rete aziendale di sbloccare automaticamente il disco del sistema operativo senza la necessità di inserire il PIN al momento del boot, compatibilità con i recenti Hardware Encrypted Drives, ossia gli hard disk capaci di gestire la crittografia a livello hardware (sgravando così la CPU da questo compito).

 

-    Truecrypt (http://www.truecrypt.org/). Anche Truecrypt offre la possibilità di eseguire una crittazione dell’intero disco, compreso quello di sistema.  Per il disco di sistema utilizza esclusivamente la password di sblocco, mentre i volumi non di sistema possono utilizzare anche un key file. Truecrypt permette l’automontaggio dei volumi non di sistema all’avvio del sistema operativo, quando questo e posto su un volume crittato.

Mentre Bitlocker è disponibile solo per alcune versioni di Windows, Truecrypt è disponibile per Windows, Mac OS X e Linux.

Utilizzando sistemi di crittazione  dell’intero disco, per ottenere una buona sicurezza in chiave anti forensics, è importante tenere a mente che quando il sistema è avviato, le password di decrittazione dei sistemi montati sono in memoria e non crittate.

Esistono tool come PasswareKit Forensic che in pochissimi minuti sono in grado di recuperare le password sfruttando il dump della memoria di un sistema con dischi Bitlocker e/o Truecrypt montati.

È raccomandabile per cui spegnere i sistemi quando non sono in uso evitando lo standby. L’ibernazione è invece sicura purché il file d’ibernazione risieda su un’unità crittata.

L’utilizzo di sistemi di crittazione dell’intero disco pongono il problema del  backup dei file. Per prima cosa bisogna utilizzare un sistema di backup in grado di generare degli archivi a loro volta crittati; avere tutto il sistema crittato e il backup in chiaro, rende di fatto, dal punto di vista anti forensics, tutto inutile.

Va scelto poi un sistema di backup in grado di coesistere con il sistema di crittazione scelto.

Ho testato Acronis Backup & Recovery 11.5 (che offre la possibilità di crittare in AES-256 gli archivi di backup) in abbinata con Bitlocker ottenendo un completo successo. Backup completo di tutti i volumi, backup incrementale e differenziale e, soprattutto ripristino completo del sistema che, ovviamente, non è più crittato.

Con Truecrypt non vi sono stati problemi con il disco crittato di sistema, ce ne sono invece stati con i volumi non di sistema. Acronis Backup & Recovery, Paragon Backup & Recovery che ho testato, effettuano il backup di tutta la partizione in formato raw.

Oltre ad occupare molto spazio e richiedere molto tempo, ciò impedisce la possibilità di eseguire backup incrementali e differenziali. Il recupero del singolo file poi è precluso.

Vi è la possibilità di eseguire il backup dei file al posto del volume. Non supportando Truecrypt però le shadow copy per i dischi non di sistema, rimane il problema dei file aperti durante le operazioni di backup, che non sono salvati.

 

3.1.2           Steganografia

 

La steganografia, dal greco steganos (στεγανός), nascosto, e graphei (γραφή), scrittura, s’intende la tecnica di nascondere le informazioni all’interno di altre informazioni.

Le informazioni possono essere inserite, per esempio, all’interno d’immagini, filmati, musica o testi.

A differenza della crittografia, la steganografia non attira l’attenzione di un eventuale investigatore. Un file crittato viene quasi certamente individuato durante l’analisi di un dispositivo digitale, un’informazione steganografata può essere trovata soltanto per mezzo di tecniche dette di stegoanalisi.

Le tecniche di stegoanalisi possono essere così catalogate:  

·    tecniche visive (su file jpeg, bmp, ecc.)

·    tecniche sonore (su file wav, mp3, ecc)

·    tecniche statistiche (cambiamenti nella struttura dei pixel meno significativi)

·    tecniche strutturali (prendono in esame le proprietà dei file)

Per approfondire le tecniche di stegoanalisi si può consultare il sito http://www.sarc-wv.com/ (Steganography Analysis and Research Center).

In chiave anti forensics, è importante tenere presente che l’occultamento è tanto più sicuro, indipendentemente dalla bontà dell’algoritmo utilizzato, tanto più piccolo è il contenuto da occultare confrontato con la dimensione del medium utilizzato.

Al fine di aumentare ulteriormente la sicurezza e la forza anti forensics dell’informazione occultata, questa può essere prima crittata e poi steganografata.

Questa tecnica è ideale per trasferire informazioni tra un soggetto e un altro.

Una delle tecniche più efficaci è la steganografia nelle immagini.

Questa tecnica sfrutta la debolezza del sistema visivo umano.

Un’immagine digitale a colori non compressa è un file composto di 8 bit per pixel (se l’immagine è a 256 colori) o da 24 bit per pixel (per immagini a 16 Milioni di colori). Per esempio, un’immagine di 1920x1440 pixel con profondità di 24 bit (16 M colori) è un file composto di 2.764.800 byte.

Le immagini in formato raw non sono comunemente utilizzate per l’enorme dimensione dei file ottenuti. Vengono per cui normalmente compresse. La stessa immagine dell’esempio, compressa con l’algoritmo jpeg, ha la dimensione di 918.688 byte.

Ovviamente un’immagine raw offre più spazio per celare un messaggio ma questo tipo di oggetti, salvo che chi li detiene sia un fotografo, non venendo comunemente usati, attirerebbero troppo l’attenzione di un investigatore.

Affinché le modifiche apportate alle immagini appaiano invisibili ad occhio nudo, la quantità di dati inseribili deve essere per forza di cose piccola confrontata al contenitore.

La tecnica più diffusa è la steganografia LSB (Rumore di Fondo) (17), che può essere applicata solo ad immagine non compresse o ad immagini compresse con metodi senza perdita di dati (png, bmp, Gif, tiff). Si basa sulla teoria che apportando modifiche impercettibili a un’immagine ad alta definizione questa non cambia. Si può ottenere una modifica impercettibile di un’immagine modificando il bit meno significativo di ogni byte componente l’immagine.

Senza l’intervento di tecniche steganografiche, questo già avviene normalmente a causa delle normali imperfezioni del sistema di acquisizione (scanner, fotocamera, ecc), appunto il rumore di fondo, o a causa dei filtri correttivi propri dei software di gestione del sistema di acquisizione (aumento del contrasto, miglioramento cromatico, ecc).

Come già precisato, questa tecnica può essere utilizzata solo con immagini non compresse o compresse con algoritmi lossless.  Per utilizzare invece le diffusissime immagini in formato jpeg, che è un algoritmo di compressione con perdita (lossy), ottenute per esempio da fotocamere, si deve operare a un livello di rappresentazione intermedio, cioè bisogna iniettare le informazioni nei coefficienti di Fourier ottenuti nella prima fase di compressione (18) (19).

I messaggi segreti, che possono essere file di qualsiasi tipo (testo, immagini, binari, ecc), per quanto detto, devono avere dimensioni molto inferiori al contenitore; per ovviare a questa difficolta si può suddividere il messaggio in più contenitori.

Il migliore, a mio avviso, tool stegografico per Microsoft Windows è OpenPuff (http://embeddedsw.net/).

 

 

È un programma freeware le cui caratteristiche anti forensics sono:

·    Generatore HW di numeri pseudo-casuali (CSPRNG)[2]

·    Steganografia negabile [3]

·    Catene di carrier (fino a 256Mb di dati nascosti)

·    Selezione del livello di utilizzo dei bit dei carrier

·    Multi crittografia moderna (16 algoritmi)

·    Offuscamento dei dati a più livelli (3 password)

·    Resistenza alla steganalisi X-quadro[4]

·    OpenPuff supporta molti formati di carrier:

Immagini (BMP, JPG, PCX, PNG, TGA)

Audio (AIFF, MP3, NEXT/SUN, WAV)

Video (3GP, MP4, MPG, VOB)

Flash-Adobe (FLV, SWF, PDF)

·    Crittografia a chiave simmetrica a 256bit+256bit con estensione della password KDF4

·    Scrambling a chiave simmetrica a 256bit (Shuffling basato su CSPRNG)[5]

·    Whitening (Mix con rumore basato su CSPRNG)[6]

·    Codifica dei carrier bit adattiva e non-lineare[7]

·    Struttura nativa portatile (nessuna installazione, chiavi di registro, file .ini)

·    Si esegue in user mode con DEP (Data Execution Prevention) on

·    Supporto multithread (fino a 16 CPU) = Esecuzione più veloce

·    Spyware/adware-free

·    Liberamente ridistribuibile

·    Nucleo della libreria crittografica OpenSource (libObfuscate)

È un software per la stegografia completo e molto sicuro. L’unico che ho trovato in grado di utilizzare come carrier anche i filmati, con la possibilità per cui di inserire moltissime informazioni al loro interno.

Può inoltre lavorare con catene di carrier ottenendo così la possibilità di nascondere file anche molto grossi.

Dal punto di vista anti forensics è molto interessante il concetto di steganografia negabile. Concettualmente assomiglia alla tecnica utilizzata da Truecrypt che permette l’inserimento di un disco virtuale crittato nascosto all’interno di un disco virtuale crittato noto.

La crittografia/steganografia negabile, è una tecnica basata sull’uso di un’esca che permette di negare in maniera convincente di stare nascondendo dati sensibili, anche se gli attaccanti possono dimostrare che si sta nascondendo qualcosa. Basta semplicemente fornire un’esca sacrificabile che plausibilmente deve rimanere confidenziale. Verrà rivelata all’attaccante, sostenendo che questa è l’unico contenuto.

Come è possibile? I dati crittografati e sottoposti a scrambling, prima di essere iniettati nei carrier, sono sottoposti a whitening con una grande quantità di rumore. I dati esca possono sostituire un po’ del rumore senza compromettere le proprietà finali di resistenza alla crittoanalisi.  I dati sensibili e i dati esca sono crittografati usando password differenti. Si devono scegliere due diversi insiemi di diverse password. (20)

È interessante notare che moltissimi dei tools riferiti in molti articoli in internet sono completamente scomparsi.

Ciò che resta disponibile sono software estremamente deboli o didattici.

Segnalo un altro tool, assolutamente didattico ma in grado di far capire bene come funziona la steganografia. Il tool si chiama VSL /(Virtual Steganograpgic Laboratory) ed è scaricabile all’indirizzo http://sourceforge.net/projects/vsl/?source=directory.

 

3.1.3           Protocolli di rete criptati

L’obiettivo dell’utilizzo di un protocollo di rete criptato è quello di impedire l’intercettazione del traffico generato fra due sistemi interconnessi da parte di chiunque, investigatore o malintenzionato attraverso attacchi man-in-the -middle (21).

Tutti gli utilizzatori di internet hanno a che fare con alcuni protocolli di crittazione del traffico di rete giornalmente. È molto comunemente utilizzato l’Hypertext Transfer Protocol over Secure Socket Layer (HTTPS) che è il risultato dell’applicazione di un protocollo crittografico asimmetrico (22) al protocollo di trasferimento d’ipertesti http. In pratica viene creato un canale criptato tra il client ed il server attraverso uno scambio di certificati. Il Secure Socket Layer (SSL) è il protocollo crittografico utilizzato.

Molto simile è il protocollo File Transfer Protocol Secure (FTPS).

Molto utilizzato dagli amministratori di sistemi Linux è il protocollo Secure Shell (SSH) che permette di aprire un’interfaccia a riga di comando fra un client e un server in cui la trasmissione viene crittata con un metodo di crittazione asimmetrico.

Molto usati, e molto importanti da usare, i protocolli di crittazione delle reti Wi-Fi (wep, wpa, wpa2) (23). Collegandosi, infatti, a una rete Wi-Fi aperta il rischio che tutto il traffico non crittato con altri protocolli sia intercettato è alto.

Questi protocolli hanno lo scopo di proteggere il contenuto da occhi indiscreti.

Quest’azione, però, in chiave anti forensics non è sufficiente. Un investigatore, per quanto non in grado di analizzare i contenuti delle comunicazioni, identifica facilmente gli indirizzi dei due sistemi interconnessi e può quindi muoversi su entrambi i sistemi per compiere ricerche.

Per rendere complicata la vita all’investigatore, è consigliabile utilizzare un metodo che renda difficile o addirittura impossibile identificare almeno uno dei due soggetti della trasmissione.

Molto noti sono i Proxy server di anonimizzazione, alcuni gratuiti e altri a pagamento. Questi sistemi permettono di rendere anonima la navigazione soprattutto su protocolli http e https.

Un investigatore che analizza il traffico proveniente dal sistema che utilizza il browser di navigazione, utilizzando il protocollo https, non è in grado di identificare il contenuto e l’origine.

Uno dei sistemi migliori per ottenere anonimato in rete è TOR (The Onion Router) (24). L’anonimato lo si ottiene inoltrando il traffico attraverso una rete di volontari a livello mondiale.

Il meccanismo di funzionamento è semplice: una qualsiasi comunicazione non transita mai direttamente dal client al server, ma passa attraverso i server TOR che agiscono da router costruendo un circuito virtuale crittografato a strati. Ogni Onion Router decide a quale nodo della rete spedire i pacchetti e negozia una coppia di chiavi crittografiche per spedirgli i dati cifrandoli. In questo modo nessun osservatore posto in un punto qualsiasi del circuito è in grado di conoscere l’origine e la destinazione della comunicazione.

Oltre a permettere comunicazioni sicure fra client e server, TOR può rendere anonimo addirittura un server e i suoi servizi. Per accedere a questo server o ai suoi servizi è necessario l’uso di TOR da parte dei client.

Ogni utente Tor può essere:

-    Client; TOR gestisce solo le connessioni dell’utente.

-    Middleman relay; è un nodo che gestisce il traffico da e per la rete TOR senza collegarsi all’esterno. Tutti i relay sono pubblicamente noti per scelta progettuale.

-    Exit relay; è un nodo che gestisce il traffico da e per la rete TOR e verso l’esterno. Tutti i relay sono pubblicamente noti per scelta progettuale.

-    Bridge relay; I bridge relay sono dei nodi semi-pubblici di tipo sperimentale, studiati per permettere di collegarsi alla rete Tor anche in presenza di un filtraggio efficace contro Tor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche dei nodi noti ma devono essere richiesti esplicitamente.

Per utilizzare TOR è sufficiente scaricare dal sito https://www.torproject.org/projects/torbrowser.html.en il browser TOR disponibile per Windows, Mac OS X e linux.

Si tratta di una customizzazione di Firefox portatile che utilizza direttamente TOR.

Per i sistemi IOS esiste OnionBrowser che ha le stesse funzionalità.

Per i sistemi Android è disponibile Orbot.

Per far diventare client, middleman relay, exit relay o bridge relay si può agire sul Pannello di controllo Vidalia cliccando su “Configurazione del Relay”.

Un altro tool un po’ più complesso è Whonix. http://sourceforge.net/projects/whonix/files/?source=navbar

Il tool è composto di 2 macchine virtuali Vmware di cui una è il gateway verso la rete TOR e l’altra è il client, un sistema Linux desktop piuttosto completo, che utilizza il gateway per le comunicazioni con l’esterno.

Il gateway è sicuramente la parte più interessante siccome può essere utilizzato come gateway predefinito di tutto una rete locale.

Un altro tool interessante che utilizza la rete TOR è Tailshttps://tails.boum.org/

Consiste in una distro Linux live che può essere trasferita su una chiavetta usb in cui tutto è in funzione dell’anonimato e del non lasciare tracce. Ha il grande vantaggio di essere trasportabile e utilizzabile su qualsiasi (o quasi) computer che si ha a disposizione, non lasciando su questo alcuna traccia del suo “passaggio”.

È possibile, oltre ad utilizzare Tails per la navigazione, ha già installato un client per la posta, una suite di programmi per ufficio (Openoffice), programma per la masterizzazione di cd e dvd, la possibilità di creare una partizione sulla chiavetta crittata per il mantenimento dei dati d’interesse. Infatti, alla chiusura del programma, vengono cancellate in modo sicuro tutte le modifiche apportate ad esclusione della partizione crittata (Persistent).

Uno dei maggiori limiti di TOR e la relativa lentezza dei flussi dovuti agli ovvi limini di utilizzo banda imposti dai volontari. Inoltre è poco gradito chi utilizza la rete TOR per inviare massicce quantità di dati o chi utilizza i sistemi peer to peer.[8]  

Un altro sistema per rendere anonimo e non analizzabile il traffico generato ovviando, alla lentezza e alle limitazioni della rete TOR, èl’utilizzo di connessioni VPN (Virtual Private Network) verso strutture che forniscono questo servizio di anonimizzazione.

Una Virtual Private Network è una rete di telecomunicazione privata, instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso, come per esempio Internet.

Al fine di garantire l’impossibilità per un investigatore e chiunque altro di analizzare il traffico generato, la VPN deve diventare una Secure VPN utilizzando dei protocolli di cifratura.

I protocolli più utilizzati sono:

·   PPTP (Point to point tunneling protocol) (25)

·   IPsec (IP security) (26)

·   SSL/TLS (27)

All’indirizzo http://www.vpnsp.com/vpn-services.html si può trovare una lista dei VPN service providers più conosciuti.

Si ottiene l’anonimato in quanto a destinazione il flusso è come se arrivasse dall’indirizzo IP del provider e non da quello del computer d’origine.

Va tenuto presente che il collegamento dal proprio pc fino al provider è crittato, ma da quel punto in poi, se le comunicazioni non sono ulteriormente crittate, posso essere intercettate e analizzate dal provider stesso o da qualche altro utente collegato allo stesso provider.

Quasi tutti questi providers garantiscono di non tener traccia delle connessioni effettuate in ingresso e in uscita, ma è sempre meglio non esserne troppo sicuri.

Per agire in chiave anti forensics vanno scelti per cui provider situati in paesi dove eventuali richieste d’investigatori del proprio paese non sarebbero prese in considerazione.

3.2   Cancellazione dei dati

 

La strategia di questa tecnica anti-forensics è di eliminare definitivamente le informazioni sensibili.

Le informazioni in oggetto possono essere documenti informatici di varia natura di cui non si ha più bisogno, come per esempio la totalità dei dati ancora presenti su un disco fisso che si deve eliminare, le tracce delle attività svolte su un elaboratore elettronico, come i file temporanei e i cookie della navigazione in internet effettuata con un browser, la cronologia della navigazione e delle ricerche effettuate, i file temporanei dai quali si può risalire all’utilizzo di documenti o addirittura alla loro ricostruzione , la cronologia dei documenti aperti da un’applicazione, i log di sistema che possono dare informazioni circa i cicli di accensione e spegnimento, sui programmi installati e rimossi, sugli utenti che si sono validati sul sistema.

Si  possono suddividere i tools che permettono di bonificare queste fonti di informazione per un investigatore, o anche per chi vuole avere informazioni su una persona, in due categorie:

·    Tools che realizzano il wiping (cancellazione sicura) di un intero dispositivo come un disco fisso, una chiavetta usb, una memoria di una fotocamera, ecc.

·    Tools che realizzano cancellazioni sicure selettive di documenti e di tracce in genere.

3.2.1           Tools di wiping

Fra i tools che realizzano il wiping possiamo trovare sia prodotti software sia prodotti hardware.

Fra i prodotti hardware vi sono dispositivi che utilizzano software che implementano differenti algoritmi di wiping ma anche dispositivi che utilizzano procedimenti fisici di degaussing (demagnetizzazione).

I dispositivi di degaussing sono molto veloci e agiscono sul materiale magnetico di un disco fisso, di un floppy disk o di un nastro magnetico generando un campo magnetico di forte intensità che agisce sui domini magnetici dei dispositivi orientandoli in modo totalmente casuale tale da non permetterne il recupero con alcun mezzo. Un grande vantaggio che hanno questi dispositivi, oltre alla velocità elevata (cancellano un disco in circa 4 secondi), è la possibilità di agire su dispositivi non funzionati ma che, con tecniche opportune, possono restituire i dati in essi contenuti.

Gli altri dispositivi hardware utilizzano gli stessi metodi di cancellazione dei dati che sono implementati dai tools software. Hanno il vantaggio di poter agire su più dispositivi simultaneamente ed essendo costruiti per questo scopo, forniscono differenti interfacce per collegare dispositivi di diversa natura e utilizzano il metodo migliore in automatico per il particolare dispositivo.

I tools hardware sono rivolti essenzialmente alle grandi aziende che necessitano una cancellazione sicura per un gran numero e varietà di dispositivi.

Fra gli apparecchi che utilizzano il degaussing segnalo i seguenti:

-          Ontrack Eraser Degausser

(http://www.ontrackdatarecovery.it/degausser/ )

-          Tabernus Degaussers

(http://www.tabernus.com/index.php?page=degauss )

Fra gli apparecchi che utilizzano algoritmi software segnalo :

-          Tabernus E800 Hard Drive Erasure Appliance

(http://www.tabernus.com/index.php?page=loose )

-          Extreme Protocols Solutions

(http://www.enterprisedataerasure.com/products/ )

Esistono numerosi tools software che dichiarano di eseguire cancellazione utilizzando vari metodi. Fra i molti metodi proposti i seguenti sono i più diffusi:

I tools che segnalo sono:

-    BCWipe Total Wipeout (http://www.jetico.com/wiping-bcwipe-total-wipe-out/ ) . Questo tools è per Windows. Punti di forza sono la possibilità di eseguire il wiping di più dischi simultaneamente, di cancellare anche la HPA (Host Protected Area)  [9] . Può essere creato un live disk da lanciare sulla macchina sulla quale si vuole cancellare i dischi presenti.

Darik's Boot And Nuke (http://www.dban.org/download ). Il punto di forza di questo tools è che è freeware.

HDDErase (http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml ) . Questo software è stato sviluppato dall’Università della California. Gratuito. Live Disk.

-    Active Killdisk (http://www.killdisk.com/ ) .

È probabilmente il più completo prodotto in forma freeware.

 

3.2.2           Tools di shredding e di cleaning

I tools di shredding sono programmi che permettono di cancellare in modo sicuro un file o un’intera cartella. Sono molto facili da utilizzare e garantiscono l’irrecuperabilità del file cancellato senza però curarsi delle tracce che l’apertura di tali file possono aver lasciato da  qualche parte nel sistema.

Fra i tool più noti si ritrova Eraser (http://eraser.heidi.ie/) .

·    Oltre ad eseguire la cancellazione immediata dei file e delle cartelle scelte, si possono creare dei job schedulati per la cancellazione ricorrente.

·    S’integra con la shell di windows in modo da poter agire sul file o cartella voluta con il tasto destro del mouse.

·    Implementa un numero impressionante di metodi di cancellazione sicura con vari livelli di affidabilità.

·    Cancella in modo sicuro lo spazio non utilizzato di un volume.

·    È gratuito.

Un altro tool gratuito è Free File Shredder (http://www.fileshredder.org/), simile ad Eraser ma mancante della schedulazione delle operazioni.

Questo tipo di tools rivestono a mio avviso uno scarso interesse dal punto di vista anti forensics in quanto non si occupano di rimuovere anche le tracce delle aperture dei file che vengono cancellati.

Un discorso a parte invece lo si può fare per un prodotto che effettua lo shredding delle mail di una dei diffusi client di posta, Microsoft Outlook. Il prodotto si chiama

E-mail Shredder for Outlook

(http://www.safeit.com/products/index.asp) . Com’è noto, la cancellazione di una mail non comporta la sua eliminazione completa dal database pst di Outlook, ed è facilmente recuperabile. Per poter effettuarne l’eliminazione bisognerebbe compattare il database, cosa che richiede un’enorme quantità di tempo e spesso la si evita. Questo programma permette di eseguire una cancellazione completa delle e-mail selezionate senza la necessità della compattazione, agendo con i metodi di cancellazione sicura solo sugli elementi voluti.

Esiste anche la versione per gli utilizzatori di Exchange Server e agisce sul database locale ost nello stesso modo che con il database pst.

Anche questo tools non si cura però dei file temporanei tipicamente generati dall’apertura degli allegati.

Volendo utilizzare come tecnica anti forensics la cancellazione, è opportuno utilizzare , o aggiungere, un tool più completo in grado di andare a rimuovere in modo sicuro tutte le tracce che si vogliono eliminare.

Va premesso che un buon prodotto deve essere in grado di agire sulle tracce dei singoli programmi utilizzati, che spesso cambiano nel tempo aggiungendo informazioni incontrollabili.

Fra i migliori prodotti di questo tipo troviamo CyberScrub Privacy Suite (http://www.cyberscrub.com/en/privacy-suite/).

È un prodotto a pagamento con il metodo della sottoscrizione annuale. Questa è sicuramente una scelta corretta poiché il prodotto, affinché sia efficace, deve essere continuamente aggiornato nelle definizioni di un enorme numero di applicazioni.

Il prodotto è in grado di identificare automaticamente le applicazioni installate e se le ha fra le sue definizioni permette all’utilizzatore di abilitarne la pulizia dei file, delle chiavi di registro e dell’eventuale cache.

La debolezza dal punto di vista anti forensics di questo tipo di applicazioni sta proprio nel fatto che le applicazioni continuano a essere aggiornate, a volte con frequenze altissime, come gli antivirus, e i programmatori dei tools in questione devono analizzare le modifiche apportare e rilasciare le definizioni per i nuovi aggiornamenti.

Una caratteristica sicuramente positiva di questo programma è di non permettere l’abilitazione della definizione di un programma se questa definizione non è quella per quella particolare release, non lasciando di fatto l’utente nella falsa sicurezza di aver bonificato quanto voluto.

Un’altra caratteristica interessante è quella di poter creare delle definizioni custom, a totale rischio e pericolo di chi le realizza, per cancellare in modo sicuro qualsiasi cosa in modo schedulato.

Altra caratteristica per cui preferirlo è la certificazione Via Padlock (28) che ne garantisce la conformità alle ultime disposizioni in materia di crittografia e meccanismi di sicurezza a livello militare.

 Può inoltre operare in modalità stealth impedendo la sua individuazione.

Fornisce anche strumenti per l’archiviazione sicura creando una locazione crittata accessibile tramite password.

Un altro tool interessante è Privacy Guardian di Pctools (http://www.pctools.com/it/privacy-guardian/).

 

Il prodotto ha a favore rispetto a Cyberscrub la capacità di cancellare le tracce da un maggior numero di browser internet e un prezzo davvero basso per un prodotto di questo tipo. In meno, non da la possibilità di customizzare azioni personalizzate.

Un ulteriore prodotto di buona qualità è ParetoLogic Privacy Controls  (http://www.paretologic.com/products/paretologicpc/) la cui peculiarità è la capacità di cancellare efficacemente le tracce dai sistemi di messaging e voip maggiormente utilizzati quali AOL, ICQ, MSN Skype, Google Talk e Windows Live Messenger.

Ottima l’azione sui più diffusi client P2P.

Un altro tool molto interessante è CleanAfterMe della Nirsoft (http://www.nirsoft.net/utils/clean_after_me.html). Questo tool non ha tutte le funzioni dei tool precedenti, però è portatile e permette di eliminare le tracce di utilizzo di molti programmi e browser. È molto utile quando si vuole evitare che qualcuno capisca dalle tracce grossolane lasciate che il computer in questione è stato utilizzato. Ha inoltre, come scelta, la possibilità di sovrascrivere i file oggetto di eliminazione con degli zeri prima di effettuare l’eliminazione.