Torna alla pagina di Gestione degli incidenti informatici
:: IRItaly live CD::
Ove non meglio specificato, tutti i testi tra virgolette vanno intesi come citazioni letterali dalle slide del prof Dario Forte, 2008.
IRItaly
"IRItaly (Incident Response Italy) è un progetto nato presso il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema. Lo scopo principale è informare e sensibilizzare la comunità tecnico/scientifica italiana, le aziende piccole e grandi, gli attori privati e pubblici sui temi dell'Incident Response e della Digital Forensics.
Il progetto si sviluppa in due parti fondamentali: la prima, documentale, che fornisce istruzioni dettagliate e ad ampio spettro. La seconda, elettronica, consta di un cdrom bootable set, che può interagire con varie piattaforme. I temi affrontati riguardano le problematiche relative ad attacchi informatici, in particolare i sistemi di difesa, Computer and Network Forensics sulla gestione degli incidenti e le modalità per il recupero dei dati."
(da http://www.iritaly-livecd.org/)
IRItaly live CD
IRItaly CD è lo strumento creato da IRItaly e DFlabs per la first response, ovvero per effettuare una prima indagine forense in risposta all'incidente informatico. Ciò che consente di fare questa suite di strumenti di indagine non è solo una Live System Analysis (LSA) del sistema compromesso, ma dà anche la possibilità di recuperare dati, creare immagini forensi, valutare le vulnerabilità del sistema e documentare con precisione ognuna di queste operazioni.
Gli IRItaly CD sono sistemi operativi live basati sulla distribuzione Linux Gentoo, scelta per la sua versatilità e semplicità di aggiornamento. La maggior parte dei tool messi a disposizione dell'utente sono eseguibili da linea di comando per motivi di compatibilità e funzionalità, ma viene data la possibilità di utilizzare anche un'interfaccia grafica. Quest'ultima fa uso del windows manager Enlightenment, essenziale ma leggero e quindi particolarmente indicato perché richiede basse prestazioni e si dimostra meno invasivo; notare che anch'esso è attivato da terminale con il comando startx.
Menzione particolare va fatta anche sull'utilizzo di binari statici trusted e compilati direttamente dal supporto CD, così da evitare il rischio di utilizzare file di sistema compromessi (ad esempio da un rootkit) che restituiscano risultati falsati delle indagini. Inoltre il fatto che siano statici permette di verificarne l'integrità dopo il download, confrontando il valore di hash dichiarato con quello del file di cui si è effettivamente in possesso. Se non vi è corrispondenza allora o l'hash documentato non è aggiornato o è avvenuta una compromissione in locale (eventualità molto rara) o direttamente alla fonte sul server. Lasciamo immaginare cosa significhi utilizzare uno strumento di indagine forense compromesso.
Esistono tre versioni dei cd live di IRItaly, ognuna della quali si pone un preciso obiettivo e si colloca in una specifica area di competenza: IRItaly Live CD Base, IRItaly Live CD Media e IRItaly Live CD Network.
Sono rilasciate sotto licenza GNU e sono liberamente scaricabili a questo indirizzo: http://www.iritaly-livecd.org/Versione3.htm .
IRItaly Live CD Base
Si tratta della versione di base, ovvero quella che contiene praticamente tutti gli strumenti necessari per la LSA, per l'acquisizione delle fonti di prova dai media o dalla rete, per la valutazione delle vulnerabilità e per la redazione dei report. Le altre due versioni possono essere considerate suoi derivati.
Trattandosi di un live CD il suo utilizzo prevede il riavvio del sistema; se però ci troviamo in ambiente Windows e abbiamo la necessità di effettuare rapidamente una Live System Analysis possiamo lanciare dall'IRItaly Live CD la versione Win32, con un'interfaccia grafica ed una suite di strumenti perfettamente compatibili col sistema Microsoft.
Questa modalità di analisi è decisamente più invasiva di quella convenzionale, basti pensare che la sua semplice esecuzione altera inevitabilmente lo stato del sistema (si spera solo a livello di RAM e non di log di sistema); va dunque effettuata con piena consapevolezza e molta cautela, documentando quanto più possibile tutte le modifiche apportate alla macchina. In questo senso si sono mossi anche gli sviluppatori di IRItaly CD, dato che l'interfaccia Win32 non si apre automaticamente con l'inserimento del disco ma con un doppio clic sull'eseguibile.
Un approfondimento su IRItaly Live CD Win32 corredato di screenshots e informazioni sugli strumenti utilizzati si trova su questa pagina.
IRItaly Live CD Media
IRItaly Live CD Media concentra la sua attenzione sull'analisi forense dei media, generando rapporti molto più dettagliati e facilmente esportabili rispetto alle altre versioni. Vediamo quali sono gli strumenti messi a disposizione:
sleuthkit e la sua interfaccia autopsy per l'indagine forense. Il motivo per cui non si usa PTK come interfaccia è che fa uso di database e quindi non può girare da CD
foremost per il data carving, ovvero per il recupero selettivo di dati presenti su supporti indefiniti (come ad esempio quelli non ancora allocati). Il recupero selettivo può basarsi sull'estensione dei file, su informazioni incrociate prese da header e footer del file stesso, su firme nel codice, ecc.
outguess per l'analisi steganografica
- strumenti di password recovery
- tools per l'analisi dei sistemi operativi Microsoft
rkhunter e chkrootkit per la ricerca dei rootkit di prima generazione (di complessità non troppo avanzata)
f-spot e clamav come software antivirus
Sono tutti strumenti di first response che lavorano in modo coerente con l'obiettivo di accantonare l'ovvio e non certo per dare una visione onnicomprensiva dell'accaduto.
IRItaly Live CD Network
Questa terza versione è orientata principalmente alla cattura e all’analisi del traffico di rete, dunque offre molti più tool legati al network rispetto al CD Base.
La cattura del traffico di rete può seguire tre diverse metodologie:
- full content, che memorizza tutte le informazioni scambiate tra mittente e ricevente durante la comunicazione. Il vantaggio di tale approccio è che è possibile effettuare analisi offline anche molto granulari, a fronte però di tempi di acquisizione molto lunghi ed un pesante impatto sulle performance del calcolatore (soprattutto in termini di spazio necessario). Lo strumento più utilizzato e potente per questo genere di cattura è
tcpdump
- session oriented, che tiene traccia di una serie di informazioni (durata, stato, dati) relative ad ogni sessione intercettata. E' la modalità più diffusa
- statistica, che effettua e registra delle statistiche sulla rete, come ad esempio il grado di utilizzo, i protocolli usati, le porte coinvolte, e così via; i risultati prodotti permettono di stabilire delle priorità di intervento. Tra gli strumenti che svolgono questo tipo di attività uno tra i più validi è
argus
Per quanto riguarda l'analisi dei pacchetti lo strumento più diffuso è Ethereal, che permette sia di analizzare offline le sessioni già registrare che scansionare il traffico in tempo reale.
Infine un altro tipo di strumenti messi a disposizione dalla versione Network del Live CD di IRItaly sono quelli che valutano il livello di esposizione di un sistema, effettuando in altre parole un'analisi sulle sue vulnerabilità.
Altre distribuzioni
Quella di IRItaly non è ovviamente l'unica distribuzione di live CD per la first response, ma ne esistono molte altre. Vediamone alcune:
- Helix, che ha rivoluzionato l'interfaccia grafica di questo genere di strumenti e che attualmente rappresenta lo stato dell'arte
- CAINE, anch'esso dotato di un'interfaccia grafica molto intuitiva per l'utente che non ha dimestichezza con l'interazione a linea di comando
- DEFT-LINUX, piuttosto datato ma considerato affidabile dalla comunità scientifica. E' realizzato da italiani e - a loro detta - "it isn’t for newbie"
Torna alla pagina di Gestione degli incidenti informatici
