NOTE. 3.4 Tecniche per la prevenzione della trasmissione di informazioni non voluta. 3.5 Utilizzo di tecniche di crittazione asimmetrica per l’invio di informazioni riservate. 4 Conclusioni. 3.5.1 Posta Elettronica. 3.5.2 Tramissione file. 3.5.3 Connessioni Wi - Fi. 3.5.4 Tecniche di protezione della infrastruttura informatica dall’accesso illecito perpetrato dall’interno. Fino ad ora si sono prese in considerazione tecniche anti forensics atte o a nascondere o a eliminare tracce e documenti che si vogliono tenere riservati. La Trail obfuscation invece è una tecnica tendente a modificare alcune caratteristiche dei file in modo da creare confusione in chi deve analizzare un sistema. Le tecniche consistono nel modificare gli attributi di uno o più file come, per esempio, la data e ora dell’ultimo accesso e della creazione del file, il nome del file, modificare i file cambiandone di fatto lo hash, agire sui file di log per alterare le sequenze delle operazioni. A prima vista possono sembrare tecniche di poco valore, ma sono invece veramente rilevanti specialmente quando sul sistema da analizzare vi sono montagne di file. Immaginiamo uno scenario in cui un investigatore debba analizzare un sistema per ricercare dei documenti sottratti a un’azienda. Di fronte alla presenza di un numero notevole di file di un certo tipo, come per esempio documenti PDF, il buon investigatore ben si guarderà da aprirli uno ad uno per analizzarne il contenuto, utilizzerà invece la tecnica di far calcolare da un programma gli hash di tutti i file trovati, calcolerà l’hash dei file consegnatigli dal denunciante come campione e poi effettuerà la ricerca degli hash dei campioni con gli hash calcolati di tutti i file trovati. Se i documenti sono stati modificati in modo da alterarne l’hash originale, questi file non verranno mai trovati. Formuliamo poi l’ipotesi che, per puro caso, sia individuato uno di questi file. Se la data di creazione è, per esempio, di molto antecedente alla data di creazione del file campione, si potrebbe addirittura ipotizzare che il file in oggetto sia stato creato dal denunciato piuttosto che dal denunciante. Un tools che davvero inaspettatamente rivela le sue doti anti forensics è il famosissimo IrfanView () . La sua “dote” anti forensics sta nella capacità di convertire e rinominare in bulk file da un formato a un altro, per esempio da jpg a png, da PDF a PDF ottimizzandolo (e di fatto cambiandogli l’hash). Il risultato di quest’attività è l’ottenimento di files praticamente identici agli originali ma con hash totalmente cambiato, e così pure la data di creazione e altre informazioni rilevanti. Un’altra tecnica di trail obfuscation è quella di contaminare appositamente la propria macchina con un malware noto, come ad esempio un trojan.proxy , programmi di remote administration come Logmein, Vnc, ecc in modo da poter dire “il mio sistema è virato e non sono stato io a fare quello di cui mi si accusa”. A differenza delle altre tecniche, questa può essere utilizzata per modificare la realtà dei fatti estrapolati dal sistema sotto indagine. A titolo di esempio, mettiamo che ci si voglia creare un alibi per un certo range di orari nel futuro. Si può semplicemente modificare l’orario di sistema spostandolo in avanti quel tanto che basta, accendere il sistema e lavorarci un po’ su in modo normale. Una volta coperto il tempo necessario, si spegne il computer e lo si riaccende solo per modificare l’orario riportandolo a quello corretto. Bisogna evitare il collegamento con internet per evitare aggiornamenti non voluti dell’orario di sistema. Più complicato, ma altrettanto fattibile, crearsi un alibi nel passato. Da windows Vista in poi, è abilitata di default la shadow copy (29) su tutto il disco di sistema e per ogni aggiornamento di sistema viene creato un punto di ripristino. Mettiamo per ipotesi che ci si voglia creare un alibi per la mattina del giorno precedente avendo lavorato nel pomeriggio della stessa giornata. Per effettuare questa operazione lasciando meno tracce possibili si può utilizzare ShadowExplorer () un interessantissimo programma che permette di navigare all’interno delle copie shadow presenti su un disco fisso e di esportare il file su un altro supporto. Va anche utilizzato un altro tool della Nirsoft, BulkFileChanger () allo scopo di modificare le date di creazione dei file eventi che andremo a ripristinare. Per poter effettuare una modifica delle date più accurata, al posto di BulkFileChanger sarebbe meglio utilizzare Timestomp () che ha anche la possibilità di modificare il valore del changetime nella MFT (Master File Table) (30) rendendo ancora più complicato per un investigatore trovare la manipolazione. Purtroppo il programma lo si trova con difficoltà; l’unico link ancora attivo è quello che ho indicato. Può essere abbinato ad un’interfaccia grafica, Timestomp-Gui (). Per funzionare con questa interfaccia, bisogna impostare il formato dell’ora sulle 12 ore, utilizzando così i suffissi PM e AM. Bisogna procedere come segue. 1) Si scarica la versione portable di ShadowExplorer e di BulkFileChanger e li si memorizzino su una chiavetta USB. 2) Si esegue il programma ShadowExplorer e si sceglie la copia shadow con la data desiderata. 3) Si va nella cartella “c:\windows\system32\winevt\Logs” della copia shadow voluta. 4) Si copiano tutti i file *.evtx sulla chiavetta tramite la funzione export del programma ShadowExplorer e poi lo si chiude. 5) Si esegue il programma di sistema msconfig. 6) Si va nella scheda “Servizi” e si toglie la spunta dal servizio “Registro eventi di Windows”, quindi ok. 7) Si accetta il riavvio. Alla partenza premere F8 per scegliere la modalità provvisoria. 8) Al riavvio, ci si sposta sulla cartella del disco fisso “c:\windows\system32\winevt\Logs”. 9) Si prende nota della data di creazione dei file, non della data di ultima modifica. Spesso è la stessa e comunque si potrà utilizzare la data più vecchia. 10)Si eliminano tutti i file *.evtx presenti nella cartella. 11)Si copiano i file *.evtx salvati sulla chiavetta nella cartella. 12)Si esegue BulkFileChanger, si selezionano tutti i file trasferiti e si modifica la data di creazione in modo opportuno. 13)Si modifica la data di sistema in modo da collocarsi al giorno voluto e all’ora voluta. 14)Si riesegue msconfig e si riabilita la voce “Registro eventi di Windows”. 15) Alla richiesta di riavvio, si spegne il sistema con il tasto di accensione. Quindi si riaccende il sistema e si lavora effettivamente facendo un po’ di cose per creare entri nel registro opportune. 16) Completato il riempimento, si arresta il sistema e si reimpostano la data e l’ora corrette. Procedendo in questo modo si sono create voci alla data voluta, file e altre tracce che confermano dell’attività nel periodo voluto. Il programma BulkFileChanger presentato sopra (meglio ancora Timestomp), è un programma che permette di apportare modifiche ad informazioni importanti relative ai file. Senza una data certa molto spesso diventa impossibile utilizzare il file in tribunale. Esistono malware come i keylogger (31) che sono sfruttati per carpire informazioni durante il normale uso del sistema. Nulla esclude che nel corso di un’investigazione si possa ricorrere a strumenti software realizzati appositamente per acquisire informazioni non ottenibili altrimenti. Un esempio sono le conversazioni effettuate tramite Skype, notoriamente crittate. È possibile per cui che per intercettare queste conversazioni si possa indurre in vari modi l’utilizzatore a installare qualche software, volontariamente o a propria insaputa, che registra le conversazioni e le invia a un “ascoltatore”. In generale bisogna per cui porre attenzione anche sull’attività delle applicazioni che sono in esecuzione e impedire loro di comunicare con l’esterno se non autorizzate. Oramai i firewall personali sono attivati di default sulle macchine con sistemi operativi moderni, ma la loro azione è rivolta a evitare l’ingresso dall’esterno verso servizi che non si vogliono pubblicare. Bisogna per cui incrementare la sicurezza in uscita installando firewall che blocca il traffico verso l’esterno se questo non è voluto. Molti software antivirus con funzionalità di Internet Security offrono già questo servizio. In questo spazio segnalo un’applicazione che sfrutta il firewall nativo di Windows XP, Windows Vista, Windows 7 e Windows 8 che permette di realizzare un controllo completo e granulare dell’attività dei software anche in uscita. Il programma è Windows7FirewallControl () . Il programma s’integra con il desktop di Windows ma esiste anche una versione portable che ne permette l’attivazione alla bisogna. Il programma è a pagamento. Pochissime persone hanno coscienza di questa vulnerabilità che colpisce soprattutto la posta elettronica, le trasmissioni di file via ftp o http e i collegamenti Wi – Fi. Spessissimo questo tipo di attività sono svolte senza pensare che, senza opportuni accorgimenti, tutto il traffico generato sia in chiaro, compri gli user id e le password. Vi sono due accorgimenti da implementare. - Utilizzare connessioni con il proprio server di posta che implementato crittazione TLS/SSL. Tenendo poi presente che, anche utilizzando la crittazione della connessione con il server di posta, una volta giunti sul server su questo sono in chiaro e non si può essere sicuri che il flusso da un server all’altro per l’invio al destinatario segua regole di sicurezza, anzi spesso non le segue. È importante per cui. - Utilizzare certificati digitali per crittare le conversazioni riservate, in modo tale da permetterne la lettura solo al legittimo destinatario. Questa possibilità è offerta a tutti a costo zero sul portale di COMODO (). Sul sito è possibile procurarsi un certificato da utilizzare per l’invio di mail crittate. Per inviare posta crittografata utilizzando i certificati impone la seguente procedura. a) Bisogna che entrambi i corrispondenti abbiano un certificato digitale utilizzabile per l’invio di posta crittografata. b) Ogni corrispondente deve inviare una mail firmata con il proprio certificato all’altro. c) Si deve aggiungere il certificato digitale del proprio corrispondente alla rubrica del proprio client di posta (modalità differenti a seconda del client stesso). d) Dopo la compilazione della mail da inviare bisogna abilitare l’opzione di crittatura. Va comunque ricordato che una volta giunto sul client del proprio corrispondente il messaggio è in chiaro e può essere letto da chiunque abbia accesso al computer del corrispondente a meno della revoca del certificato (nel caso di COMODO la revoca del certificato può essere effettuata qui: ) . Anche per la trasmissione file utilizzando protocolli FTP e HTTP è consigliabile la crittazione. Per quanto non in grado di dimostrarlo, nella mia attività di consulente, l’aver fatto impostare il trasferimento di file per siti web su SFTP ha fatto cessare completamente azioni di hacking dei siti stessi avendo escluso a priori vulnerabilità note del software del sito stesso. Purtroppo sono pochissimi i provider che offrono hosting di siti web che forniscono questo servizio. Bisogna per cui cercare un provider che fornisca tale connettività (fra i grandi, in Italia, Aruba fornisce il servizio gratuitamente). Per comprendere quanto sia delicata la questione rimando al seguente articolo su Punto Informatico: . Dal punto di vista puramente anti forensics, è possibile che un investigatore venga in possesso delle password ftp di un sito di un indagato e solo grazie a questo fatto ottenere molte informazioni, ma, in aggiunta, vi è la possibilità di modificare del codice, per esempio nella parte amministrativa del sito, in modo tale da installare un malware appositamente costruito sul pc o sui pc oggetto di future indagini. Molte strutture alberghiere, aereoportuali, bar, ristoranti, hanno messo a disposizione hot spot Wi – Fi gratuiti per i loro clienti. Questi hot spot sono spesso aperti, cioè senza alcuna crittatura del segnale, lasciando la validazione per la navigazione a livello di gateway. Chiunque collegato a questa rete non protetta è in grado di catturare il traffico generato dagli altri avventori e impossessarsi per esempio delle password per l’accesso alla loro posta se la connessione con la propria casella non è crittata. Collegarsi a reti aperte sconosciute non è cosa saggia poiché un malintenzionato o anche un investigatore potrebbe creare ad hoc un access point aperto per farvi collegare, invogliati dalla gratuità, e carpire il traffico in chiaro generato. Vanno per cui preferite le reti crittate e comunque tenere ben presente il rischio che si corre utilizzando quelle in chiaro. Ognuno in casa propria pensa di essere al riparo da azioni malevole effettuate dalle persone che lo circondano. Spesso, nella mia attività di consulente, di fronte all’impossibilità o alla scarsa probabilità che un furto d’informazioni possa essere stato perpetrato da un “pirata” esterno, dichiarando di voler verificare eventuali azioni interne, mi trovo spesso di fronte ad un irrigidimento. La logica porterebbe invece a mettere in prima linea una ricerca all’interno, giacché le persone coinvolte in un business sono quelle più interessate ad avere informazioni riservate. Oltre ad azioni truffaldine, vi sono a volte all’interno di un’azienda rapporti interpersonali che fan sorgere gelosie non propriamente lavorative e fanno scattare il desiderio di farsi gli affari dei colleghi. Vi sono numerosi software disponibili in internet, in grado di intercettare il traffico generato da un host perpetrando un attacco Man In The Middle (21) utilizzando usa sola scheda di rete sfruttando l’Arp Spoofing (32) . Fra i più famosi troviamo Ettercap (), disponibile anche per Windows (). È disponibile pronto nella distro live NST 2.16 (), che abbinato con un tool gratuito di analisi forense come Xplico (), disponibile sulla distribuzione live Deft 7.2 (), permettere di effettuare una comoda analisi anche da parte dei non addetti ai lavori. Ovviamente, sempre guardando la questione dal punto di vista anti forensics, un investigatore può trovare una giustificazione plausibile (manutenzione del centralino, della stampante multifunzione, tecnico Telecom o simile) per inserire sulla rete locale aziendale un minuscolo pc tipo lo EEE della Asus, senza tastiera mouse, monitor o altro tanto da farlo apparire come un qualsiasi dispositivo abbinato al centralino, router ecc, con tutta la suite NST 2.16 opportunamente pilotabile dall’esterno, non destando alcun sospetto. Ovviamente la cosa è difficile da compiere in aziende strutturate con un reparto ITC, ma nelle piccole aziende l’ipotesi non è per nulla peregrina. Una tecnica di protezione già disponibile nelle comuni reti Windows con controller di dominio è l’IPsec (33). La sicurezza è raggiunta attraverso funzionalità di autenticazione, cifratura e controllo d’integrità dei pacchetti IP (datagrammi). Purtroppo non mi è mai capitato di trovare una rete in una piccola struttura con i criteri IPsec abilitati, e, devo ammette, non l’ho mai attivata neppure io sulle installazioni da me eseguite. Oltre alla scarsa sensibilità e conoscenza del protocollo, vi è il problema che, se implementato funziona solamente con i PC con Windows XP e successivi legati al dominio. Tutti i client con sistema operativo non supportato (i Mac per esempio) non avrebbero accesso alla rete. Riporto comunque un interessante tutorial in lingua inglese su come effettuare la configurazione di IPsec: . Un’altra tecnica è quella di inserire un software che rileva un attacco ARP Spoofing. Un tool gratuito è ARP Antispoofer (), per Windows. Molto spesso l’anti forensics è considerata una scienza al servizio dei malfattori. Molte attività umane hanno il loro rovescio della medaglia. Ritengo personalmente legittimo che chiunque abbia il diritto di difendersi come gli è consentito, malfattore o persona per bene, anche da legittime indagini ordinate dalla magistratura. Nella mia esperienza di consulente della difesa in procedimenti penali, mi sono trovato a scontrarmi troppo spesso con azioni del magistrato non comprensibili e che, pur essendo certamente legittime, ledevano in modo palese il diritto di difesa dell’imputato. Per esempio, è sempre più difficile ottenere una copia di quanto sequestrato dal PM durante la fase delle indagini, o, se concesso, a cause delle ultime normative, estremamente costoso. Solo grandi aziende possono sopportarne i costi. Infine ci sono addirittura sentenze della Cassazione che legittimano di fatto acquisizioni di documenti informatici e catene di custodia dei reperti che non rispondono minimamente a quanto stabilito dalla Convenzione di Budapest recepita dalla legge N° 48 del 18 Marzo 2008 (per esempio: Cassazione Sentenza 14511 del 2.4.2009 ) . Sulla base di queste premesse ben venga qualsiasi attività di autotutela, anti forensics compresa. 1. forensics, Anti-computer. http://en.wikipedia.org/wiki/Anti-computer_forensics Wikipedia. [Online] 21 12 2012. 2. Norton Utilities. [Online]. 3. ST-506. [Online] 27 2 2013. 4. Storia di Internet. [Online]. 5. Crimine informatico. [Online]. 6. Informatica forense. [Online] 2 3 2013. 7. Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. San Diego : s.n., 2005. 8. KISSmetrics, accordo sui cookie traccianti. [Online] 24 Ottobre 2012. 9. Atbash. [Online] 14 febbraio 2013. 10. Disco cifrante. [Online]. 11. Blaise de Vigenère. [Online]. 12. Friedrich Kasiski. [Online]. 13. Principio di Kerckhoffs. [Online] 8 Marzo 2013. 14. La teoria della comunicazione nei sistemi crittografici. [Online]. 15. Cifrario di Vernam. [Online]. 16. Advanced Encryption Standard. [Online]. 17. Steganografia. [Online]. 18. Compressione JPEG. [Online]. 19. Trasformata discreta del coseno. [Online]. 20. Crittografia negabile. [Online]. 21. Attacco man in the middle. [Online]. 22. Crittografia asimmetrica. [Online]. 23. What is WEP, WPA, and WPA2? [Online]. 24. Tor. [Online] . 25. PPTP. [Online] . 26. IPsec. [Online] . 27. Transport Layer Security. [Online]. 28. What is VIA PadLock? [Online]. 29. Copia Shadow. [Online]. 30. Master File Table. [Online]. 31. Keylogger. [Online]. 32. ARP Spoofing. [Online]. 33. IPsec. [Online] . 34. Cookie. [Online] 27 Febbraio 2013. 35. Generatore di numeri pseudocasuali crittograficamente sicuro. [Online] ttp://it.wikipedia.org/wiki/Generatore_di_numeri_pseudocasuali_crittograficamente_sicuro. 36. Pfitzmann, Andreas Westfeld and Andreas. Attacks on Steganographic Systems. [Online].