Protezione
Una guida introduttiva alle indagini forensi sui computer
Tom Cloward and Frank Simorjay
Panoramica:
- Guida di base alle indagini sui computer per Windows
- Starter Kit Rimozione malware
- Creazione di un kit di strumenti di indagine con Windows PE
- Conservazione delle informazioni per l'analisi forense
Esistono numerosi modi in cui un computer può essere utilizzato da utenti malintenzionati per eseguire attività illegali: intrusione nei sistemi, divulgazione di segreti industriali, diffusione di nuovi virus, utilizzo di messaggi di phishing per rubare informazioni personali e così via. Accade inoltre sempre più frequentemente di sentir parlare di nuovi exploit
e tecniche. Non si sente invece parlare altrettanto frequentemente di tutti i modi in cui è possibile utilizzare i computer per avviare delle indagini su questi tipi di attività.
Sebbene alcune indagini facciano affidamento su professionisti altamente qualificati che utilizzano strumenti costosi e tecniche complesse, esistono alcuni metodi più semplici ed economici per le analisi e le indagini di base. In questo articolo verranno esaminate le tecniche di analisi forense immediatamente accessibili a tutti gli amministratori.
In particolare, l'attenzione è incentrata su due acceleratori di soluzioni che è possibile scaricare gratuitamente: "Guida di base alle indagini sui computer per Windows" (go.microsoft.com/fwlink/?LinkId=80344) e lo Starter Kit Rimozione malware (go.microsoft.com/fwlink/?LinkId=93103). In questo articolo verrà illustrato come combinare le due soluzioni per creare un ambiente Windows® PE di avvio in cui è possibile condurre un'indagine efficace e preservare le proprie scoperte per la creazione di report e le analisi. Non è tuttavia possibile utilizzare il metodo illustrato in questo articolo per condurre indagini su un disco rigido che sia stato crittografato o faccia parte di un volume RAID. Inoltre, se il disco rigido è danneggiato, prima di avviare un'indagine sarà necessario eseguire ulteriori operazioni per ripristinarne lo stato precedente.
Sebbene la soluzione illustrata costituisca un metodo semplice per raccogliere prove da un computer basato su Windows, si tratta comunque di un approccio ad hoc di base. Sul mercato sono disponibili diverse soluzioni più sofisticate in grado di eseguire il lavoro illustrato nell'articolo in modo molto più efficace.
Inoltre, la tecnica descritta nell'articolo non è una soluzione prescrittiva garantita né certificata dall'International Society of Forensic Computer Examiners. Prima di iniziare un'indagine, è opportuno valutare se la prova rilevata sul disco rigido possa essere utilizzata nell'ambito di un'azione legale. Se tale possibilità esiste, è opportuno reclutare un esperto di informatica forense (Computer Examiner) professionalmente certificato a cui affidare la conduzione dell'indagine. A seconda della natura delle potenziali azioni legali, è necessario inoltre considerare se passare le indagini direttamente alle autorità giudiziarie competenti. Ulteriori informazioni su questo argomento sono disponibili in "Guida di base alle indagini sui computer per Windows".
Informazioni sugli acceleratori di soluzioni
In "Guida di base alle indagini sui computer per Windows" vengono illustrati processi e strumenti che è possibile utilizzare nell'ambito di un'indagine interna sui computer. Nella guida vengono illustrate quattro fasi del modello di indagine sui computer: valutazione, acquisizione, analisi e report. Si tratta di un modello molto utile che offre ai professionisti IT la possibilità di condurre le indagini in maniera tale da preservare le scoperte più importanti.
In questa guida vengono inoltre prese in esame le situazioni in cui è necessario rivolgersi alle autorità giudiziarie competenti, una decisione che prevede il coinvolgimento dei propri consulenti legali. Vengono inoltre fornite informazioni su come gestire i crimini correlati ai sistemi informatici, su come contattare le autorità giudiziarie competenti appropriate, sugli strumenti di Windows Sysinternals e su altri strumenti Windows utili per l'esecuzione di indagini.
L'altro acceleratore di soluzione cui si fa riferimento in questo articolo, Starter Kit Rimozione malware, fornisce indicazioni su come creare e utilizzare un CD-ROM di Windows PE di avvio per rimuovere eventuali infezioni malware da un computer. Questa guida contiene un elenco di minacce e di alcune soluzioni di attenuazione che consentono di ridurne il potenziale impatto su un'organizzazione. Nella guida viene inoltre messa in rilievo l'importanza dello sviluppo di un piano di risposta ai problemi di protezione da utilizzare in caso di un possibile attacco malware. Lo Starter Kit Rimozione malware include, inoltre, un approccio basato su quattro fasi per consentire ai professionisti IT di determinare la natura del malware rilevato, limitarne la diffusione, rimuoverlo, se possibile, verificare che sia stato rimosso e procedere con tutti i passaggi successivi eventualmente necessari.
CD-ROM di Windows PE
Per eseguire un'indagine di questo tipo sono necessari due prerequisiti: un CD-ROM di Windows PE e un dispositivo di archiviazione esterna, come un'unità memoria flash USB.
Come si può apprendere da alcuni programmi televisivi dedicati alla cronaca, è comunemente noto che gli ufficiali di polizia hanno la responsabilità di garantire l'integrità della scena del crimine. Per lo stesso motivo, è opportuno preservare i dati contenuti nel disco rigido su cui viene condotta l'indagine. A differenza del CD dello Starter Kit Rimozione malware, il CD di Windows PE di avvio che si sta creando eseguirà gli strumenti in maniera da impedire qualsiasi alterazione dei dati del disco rigido.
Il CD di Windows PE consente di avviare il sistema in un ambiente Windows limitato. Quando si crea questo CD di avvio, è possibile includere strumenti, come quelli riportati nello Starter Kit Rimozione malware, configurati per uno scopo specifico. È tuttavia necessario che il computer disponga di almeno 512 MB di RAM, un requisito di Windows PE.
Il processo di creazione del CD-ROM di Windows PE, descritto nei dettagli nello Starter Kit Rimozione malware, è molto semplice. Prima di creare il CD di avvio, è necessario installare Windows Automated Installation Kit (AIK), la famiglia di prodotti Sysinternals (disponibile all'indirizzo microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx), inserire gli strumenti Sysinternals nell'elenco degli strumenti riportato nell'attività 2 dello Starter Kit Rimozione malware e installare qualsiasi altro strumento e utilità di analisi del malware. Per istruzioni dettagliate su come creare il CD, seguire la procedura descritta nel documento Starter Kit Rimozione malware.
Unità USB esterna
Poiché questo processo non determina l'alterazione dell'unità sottoposta a indagine, è necessario utilizzare anche un'unità USB o un altro tipo di unità disco esterna in modo da poter archiviare i file di output che verranno generati. È consigliabile tuttavia utilizzare un'unità USB in quanto Windows PE è in grado di installare i dispositivi USB automaticamente. È opportuno inoltre utilizzare un'unità disco esterna per archiviare un'immagine dell'unità disco originale. Con tutti questi requisiti e opzioni, è importante eseguire una pianificazione preliminare che tenga conto dello spazio su disco totale necessario per l'indagine.
Poiché occorre che il kit sia pulito quando si avvia un'indagine, tutti i dati precedenti dovranno essere completamente rimossi dall'unità disco esterna che si utilizzerà per salvare i file dell'indagine. A tale scopo, utilizzare un'utilità di pulizia del disco che sovrascriva l'intera superficie scrivibile dell'unità. Il disco esterno può essere quindi formattato ed etichettato, se necessario, per l'utilizzo nel processo di indagine. Questa precauzione assicura che il dispositivo non contenga file che possano contaminare la prova raccolta durante l'indagine.
Occorre inoltre includere un modulo di catena di custodia (chain of custody) in modo che vi sia una documentazione ufficiale relativa alla persona che ha gestito il computer nel corso dell'indagine. Nel documento "Guida di base alle indagini sui computer per Windows" viene fornito un modulo di catena di custodia di esempio. Una volta incluso il kit in un pacchetto, che contiene il CD di Windows PE di avvio necessario, il dispositivo di archiviazione esterna e un modulo di catena di custodia, è possibile procedere con l'indagine.
Esecuzione di un'indagine
A questo punto è possibile procedere con l'esecuzione di un'indagine. Innanzitutto, avviare il sistema sospetto dal CD di Windows PE verificando che durante la sequenza di avvio del computer il CD-ROM venga identificato come dispositivo di avvio principale. Quando richiesto, premere un tasto per completare l'avvio dal CD-ROM. In tal modo, sarà possibile accedere agli strumenti installati sul disco.
Il kit verrà utilizzato su un computer di esempio per illustrare come raccogliere informazioni da un computer (che verrà chiamato Testbox1). La lettera dell'unità CD assegnata a Testbox1 è X:\ e il percorso predefinito fornito per gli strumenti nello Starter Kit Rimozione malware è X:\tools. Per accedere agli strumenti inclusi nel kit, digitare semplicemente: cd \tools.
Esistono diversi strumenti in grado di identificare le unità di destinazione installate in un computer. Bginfo.exe, situato nella directory degli strumenti Sysinternals, è in grado di fornire queste informazioni e di inserirle in una finestra in background sul desktop in modo da consentirne una rapida consultazione. Drive Manager inoltre è in grado di identificare tutte le unità presenti nel computer, compresi il dispositivo USB esterno e le unità disco rigido di destinazione. Nella Figura 1 vengono riportate le informazioni sulle unità disco per Testbox1. L'unità di avvio è X:\, l'unità disco di destinazione è C:\ e l'unità USB esterna è F:\.
Figura 1** Visualizzazione delle informazioni sulle unità disco con Drive Manager **
Verifica della presenza di malware
Prima di avviare un'indagine, è importante eseguire strumenti anti-malware in modo da assicurare che l'indagine non venga contaminata da un virus o altro codice dannoso. Il report che lo strumento anti-malware genera può essere utilizzato come prova, se necessario. La mancata esecuzione di un controllo nel computer per verificare la presenza di malware può ostacolare l'indagine nonché mettere a rischio la credibilità dell'esperto di informatica forense in termini di precisione e accuratezza. È consigliabile eseguire gli strumenti anti-malware forniti in modalità sola lettura o di report.
Nello Starter Kit Rimozione malware vengono trattati numerosi strumenti consigliati, compresi lo Strumento di rimozione malware e McAfee AVERT Stinger. Quando si esegue lo Strumento di rimozione malware, accertarsi di includere l'opzione da riga di comando /N per indicare allo strumento di segnalare solo la presenza di malware e di non tentare di rimuoverlo:
x:\tools\windows-KB890830-v1.29.exe /N
Il file di report risultante si trova in %windir%\debug\mrt.log.
Analogamente, quando si esegue McAfee AVERT Stinger, impostare la preferenza solo su Report, come illustrato nella Figura 2, in modo che venga eseguita l'analisi del computer ma non venga apportata alcuna modifica all'unità disco rigido. Una volta completata l'analisi, assicurarsi di salvare un report fornito dallo strumento.
Figura 2** Utilizzo della sola modalità Report in McAfee AVERT Stinger **
Salvataggio di file critici
Se, prima di avviare l'indagine, non si è eseguito il backup completo del disco, è consigliabile sottoporre a backup almeno i file più importanti degli utenti. Le informazioni di configurazione possono essere utilizzate per un'analisi futura, se necessario. Raccogliere innanzitutto le impostazioni e i file del Registro di sistema che contengono tutte le informazioni rilevanti sulla modalità di utilizzo del computer e sul software installato nel sistema.
Per salvare l'hive del Registro di sistema per Testbox1, creare prima una cartella nell'unità F:\ rimovibile, quindi registrare l'ora e la data in cui l'indagine è stata avviata utilizzando i seguenti comandi:
f:
Mkdir f:\evidence_files
Date /t >> f:\evidence_files\Evidence_start.txt
Time /t >> f:\evidence_files\Evidence_start.txt
Salvare l'hive del Registro di sistema utilizzando il comando xcopy per copiare l'intera directory di configurazione e il relativo contenuto. I file del Registro di sistema a cui si è interessati sono situati in %windows%\system32\config. In questo caso, verrà eseguito il seguente comando:
xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v
Questo comando consente di copiare tutte le informazioni di configurazione presenti nella cartella config. Textbox1 contiene circa 95 MB di informazioni nella cartella config.
Successivamente, concentrare l'attenzione sui dati degli utenti, che possono essere situati in qualsiasi punto del disco rigido. Ai fini dell'esempio riportato in questo articolo, vengono copiati solo i dati presenti nella directory c:\HR. Per assicurare che i dati vengano raccolti completamente, copiare tutti i dati nella directory e nelle rispettive sottodirectory utilizzando il seguente comando xcopy:
Mkdir f:\evidence_files\HR_Evidence
Mkdir f:\evidence_files\documents_and_settings
Mkdir f:\evidence_files\users
xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v
A questo punto, è possibile focalizzare l'attenzione sulle informazioni delle cartelle personali. Copiare di nuovo tutti i dati da queste directory e dalle relative sottodirectory. A tal fine, utilizzare i seguenti comandi:
Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v
Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v
Questo esempio ha consentito di raccogliere circa 500 MB di dati, che è possibile analizzare se necessario. Come è possibile osservare, la quantità di dati raccolti può raggiungere dimensioni estremamente elevate, in particolare se sono presenti file audio, video e foto. Tuttavia, è importante preservare il maggior numero possibile di dati originali in quanto un'indagine potrebbe richiedere non solo l'a prova raccolta fisicamente ma anche la sicurezza che queste informazioni non siano state alterate durante il processo di raccolta. L'ideale sarebbe creare un'immagine disco completa per l'indagine, ma questa operazione può rivelarsi difficoltosa a causa delle limitazioni di dimensione. Inutile a dirsi, la valutazione preliminare della quantità di spazio di archiviazione eventualmente necessaria per l'indagine riveste un'importanza fondamentale.
Raccolta di ulteriori informazioni
Anche i file di sistema possono essere una risorsa utile nel processo di raccolta delle prove, ma la raccolta di questi dati potrebbe richiedere l'esplorazione del computer di destinazione in quanto è possibile che tali file non risiedano sempre nella stessa posizione. Tuttavia, vale comunque la pena analizzare determinati tipi di file in quando possono fornire informazioni molto utili. I file di scambio, ad esempio, contengono informazioni sui tipi di file utilizzati dalla memoria. Inoltre, i file di scambio possono fornire anche attività di utilizzo dettagliate. Allo stesso modo, i dati e i cookie del browser Web offrono informazioni sul comportamento e sui modelli di esplorazione.
Il rilevamento di questi dati può richiedere un po' di lavoro da detective, soprattutto se un utente ha modificato la configurazione del sistema in modo da archiviare i dati in posizioni diverse da quelle predefinite. Sono disponibili diversi strumenti di Sysinternals che consentono di identificare i file critici. Nella Figura 3 vengono elencate cinque utili applicazioni e viene descritto come tali applicazioni possono semplificare le indagini.
Figure 3 Strumenti per l'individuazione dei file e dei dati di interesse
| Applicazione | Descrizione |
| AccessChk | Consente di visualizzare l'accesso a file, chiavi del Registro di sistema e servizi di Windows da parte dell'utente o del gruppo specificato. |
| AccessEnum | Consente di visualizzare l'utente che ha accesso a determinati file, directory e chiavi del Registro di sistema su un computer. È possibile utilizzare questo strumento per individuare le posizioni in cui le autorizzazioni non sono applicate in modo corretto. |
| Du | Consente di visualizzare l'utilizzo del disco in base alla directory. |
| PsInfo | Consente di visualizzare le informazioni su un computer. |
| Strings | Consente di cercare le stringhe ANSI e UNICODE nelle immagini binarie. |
Tom Cloward, CCE, CISSP, è Program Manager presso Microsoft e la sua attività è incentrata sulla fornitura ai professionisti IT di acceleratori di soluzioni per la protezione e la conformità. Ha lavorato nei settori software e IT per oltre 15 anni e ha una spiccata passione per la protezione IT, le indagini forensi e la conformità. Frank Simorjay, CISSP, CET, è Technical Program Manager e un esperto nell'area della protezione per il gruppo Microsoft Solution Accelerator - Security and Compliance. È responsabile della progettazione di soluzioni di protezione per i clienti Microsoft. La sua creazione più recente è Starter Kit Rimozione malware, disponibile su Microsoft TechNet.
Frank Simorjay, CISSP, CET, è Technical Program Manager e un esperto nell'area della protezione per il gruppo Microsoft Solution Accelerator - Security and Compliance. È responsabile della progettazione di soluzioni di protezione per i clienti Microsoft. La sua creazione più recente è Starter Kit Rimozione malware, disponibile su Microsoft TechNet.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.