Massimiliano mi autorizza a pubblicare un test di Informatica Forense (traduzione di Computer Forensics) che ci ha sottoposto qualche tempo fa. Da questo test ne è poi scaturita una discussione ricca di considerazioni sulla priorità tra strumenti e competenza (o intuito professionale, se vogliamo dare un altro nome).
Il test viene con la soluzione, quindi non si vince nulla, è solo un utile esercizio. La soluzione, che ho trovato per primo (fatemi vantare un po’ ogni tanto…) mi ha fruttato un piccolo dispositivo per l’analisi delle sim card offerto da IISFA.
Questa la storia, al solito totalmente inventata:
Il file da analizzare è questo, l’unica digital evidence disponibile per le indagini: è una e-mail intercettata, si teme possa nascondere un messaggio in codice relativo ad un imminente attacco terroristico. I sospettati usano un metodo non convenzionale per nascondere i dati. Il file cifrato con 256 AES e non c’e’ il tempo di forzare la password con un attacco brute force!
Lo scopo è rilevare il messaggio nel più breve tempo possibile, ed ovviamente la procedura deve essere documentata e ripetibile.
Per la soluzione e le considerazioni basta continuare a leggere il resto.
Il messaggio è:
Secret Mission:
Make a kamikaze attack on 24 Sept at 11.00 in the same instant in
1) Churc S.Phelipe
2) Vatican Bank Office in S.Peter
3) Vatican Museum
4) Churc S.LazarusThe explosive is ready in Mullah Saddam in Milan MIC.
Osama Bin Laden
Procedura per arrivare al messaggio:
- Nel file ZIP c’è un messaggio e-mail salvato nel formato di Outlook.
- il messaggio ha due allegati: una immagine ed un file compresso con WinZip versione >=9 che possiede la cifratura AES256, incompatibile con tutti gli altri compressori (pkunzip e unzip di Linux terminano con un errore:
unsupported compression method 99). - i 4 numeri nel messaggio sono da interpretare come coppie di coordinate nella foto. A quelle coordinate c’è nascosto un messaggio fra le parole “by” e “Night” che è proprio la password necessaria ad aprire il file compresso con WinZip:
babbati1550356tucayai - Il file compresso e cifrato con WinZip è un file di testo semplice con il messaggio riportato sopra.
Qui potete vedere un ingrandimento della zona dell’immagine dopo l’applicazione del filtro “sharpen” con indice 80 in Gimp.
Considerazioni
La lunghezza della password (21 caratteri) dimostra a posteriori che qualsiasi tentativo di attacco brute force è destinato a fallire miseramente, ed a maggior ragione in questa situazione in cui una decifrazione ottenuta in data successiva a quella degli ipotetici attentati è del tutto inutile.
L’applicazione dei classici tool tipo stegdetect all’immagine non fornisce risultati utilizzabili, o non li fornisce del tutto, a dimostrazione del fatto che i tool sono utili quando il problema che ci si trova ad affrontare è stato già risolto almeno una volta. Qualcosa di simile al problema degli antivirus, che riconoscono solo i virus noti.
Nell’immaginario mediatico il bravo investigatore forense apre il suo notebook (ultimo modello con uno schermo da 30″) e esegue uno dopo l’altro i tool furbissimi e velocissimi sul file da lavorare, per arrivare in pochi secondi al risultato. Scene come questa abbondano in telefilm noti e meno noti appartenenti al genere. E’ simile alla tipica rappresentazione dell’hacker (da strapazzo, lo aggiungo io) che per essere assunto viene messo davanti al portale di accesso di una qualche agenzia governativa di sicurezza nazionale e con la pistola alla tempia deve irrompere nel sito in un minuto o finisce impallinato (in una pellicola non troppo recente c’era anche una signora che provvedeva ad aggiungere una ulteriore “distrazione”…).
Non è per niente così. Se si procede alla cieca si perde tantissimo tempo, e si imboccano strade senza uscita. E quando ci si trovi davanti ad una situazione nuova, qualsiasi tool si rivelerà di poco aiuto, al più potrà servire per escludere soluzioni note. E non è solo questione di trovare il tool giusto, altrimenti sarebbe sufficiente acquistare qualsiasi cosa sia disponibile sul mercato per diventare infallibili: sarebbe come pretendere di essere un grande programmatore solo per avere acquistato un supercomputer e tutti gli strumenti di sviluppo disponibili.
Per ultimo, non meno importante del resto, si deve riflettere su questo: il prodotto delle indagini finisce spesso, se non sempre, in una aula di tribunale, e qui le regole sono ben diverse. Non vince il più bravo, o il più dotato, ma il più tenace, quello che meglio conosce i meccanismi della giustizia e della legge.
Arrivare in aula con un risultato, senza la procedura ripetibile per ottenerlo, significa far escludere del tutto la prova, vanificando molto spesso non solo il proprio lavoro.
Un aspetto del tutto ignorato è il fatto che occorre saper scrivere in italiano corretto, con uno stile chiaro e conciso. Una splendida analisi che porta alla scoperta di prove importantissime, corredata da una relazione scritta in modo incomprensibile o passibile di più interpretazioni diventa un’arma a doppio taglio, o un boomerang. Niente spazio a speculazioni e tecnicismi, niente sfoggio di gergo incomprensibile che fa tanto hacker, ma diventa controproducente in un ambiente non informatico.
Per ora chiudo qui. I commenti sono sempre aperti alle vostre considerazioni.
#1 da denis il 22 November 2007 - 01:22
L’esercizio mostra una volta di più che il tool non è sufficiente a risolvere il problema. Serve l’intuito investigativo e, a mio avviso importantissima, l’esperienza.
Alcuni giorni fa mi sono ritrovato con altri appassionati di CF ed è stato riproposto il tuo test dello schema trafugato. Qualcuno ci ha provato con Encase ed FTK, impiegando per l’individuazione del file sospetto non meno tempo di quanto impiegai io con Autopsy, trovandosi però con il problema di comprendere che tipologia di file aveva davanti.
La mia fortuna fu di aver lavorato con mail ed allegati in precedenza. Mi ero ritrovato a trasformare i file .dbx di outlook express in mbox e ad estrarre gli allegati individuati in seguito a ricerche per keyword.
Aver visto in precedenza i file uuencodati, o codificati in base64, (l’esperienza), mi ha permesso di riconoscere il file e comportarmi di conseguenza.
Allo stesso modo competenza/esperienza possono aiutare l’investigatore a seguire determinate “piste” e scartarne altre, aver lavorato ampiamente su una certa tipologia di reati, può aiutare l’analista ad individuare (in base ai tool installati sull’host, ai documenti presenti, ecc..) uno scostamento dell’indagato dal profilo tipo e portarlo a porre maggiore attenzione a determinati fattori.
Avvicinandomi alla CF mi è parso di riscontrare una certa resistenza al divulgare le informazioni, l’esperienza. Probabilmente è normale. Investo nella mia formazione, acquisto esperienza, sono meglio spendibile sul mercato, perché mai dovrei inflazionarmi condividendo quanto con fatica ho appreso e mi da maggiori chance sul mercato?
Probabilmente lavorando in una pubblica amministrazione sono poco attento al problema e l’appartenenza alle FFPP mi porta a reputare la condivisione dell’informazione un mezzo per conseguire il nostro fine: arrivare alla verità (…non iniziate a ridere, su, avrei potuto scrivere “combattere il crimine” e vi scompisciavate :-] ).
Ciò non toglie che se si parla, si discute della casistica, ci si aiuta a riconoscere casi simili, giungendo con maggior celerità al reperimento delle prova.
Pingback: DenisFrati.it » Blog Archive » Tools Vs Competenza/esperienza
#2 da Nanni Bassetti il 22 November 2007 - 08:48
Devo dire che i modi per nascondere le cose sono sempre più fantasiosi !!!
A ogni modo, in questo caso c’erano degli indizi, che aiutavano l’investigatore a focalizzare la propria attenzione su quella e-mail:
1) Allegato zippato e criptato
2) Quattro numeri separati da virgole, che apparentemente non significavano alcunchè.
3) Unico file apribile era l’immagine
Ci concentra sull’immagine e sul testo dell’e-mail (magari cercando codici, anagrammi, ecc.) e sull’immagine passandola al setaccio con tutti i mezzi…dallo Stegdetect allo Zoom …et voilà ecco la password!
#3 da Giancarlo il 26 November 2007 - 10:52
Come profano assoluto della materia (alle spalle ho solo un mese di harvesting di informazioni online sulla CF) ho trovato l’esercizio facilissimo.
Ma aggiungo una provocazione alla provocazione… (“Ma anche no”, come direbbe Crozza-Veltroni)
Essendo un newbie assoluto alla materia, sono arrivato alla soluzione proprio perchè non ho ancora avuto l’opportunità e il tempo materiale per poter lavorare a lungo sui famosi tools citati. Credo che in tema di CF è necessario che l’investigatore mantenga diversi approcci: uno professionale, portando le proprie esperienze, uno tecnico, grazie ai tool studiati ed usati, ed infine uno squisitamente personale, che consiste nel mantenere la propria mente elastica e ben disposta all’imprevisto.
Per questo caso mi sono rivolto esclusivamente al buonsenso (si trattava di analizzare due file!) e ai miei anni buttati sull’editing di immagini con Photoshop, che mi hanno aiutato a risolvere l’equazione, traducendo i numeri in coordinate.
(Giancarlo Giustini – Laurendo nel Corso di Laurea Specialistica in Ingegneria Informatica – Univ. di Modena)