Torna alla pagina di Gestione degli incidenti informatici
:: IRItaly live CD - Win32 ::
Cos'è
IRItaly live CD è lo strumento creato da IRItaly e DFlabs per la first response, ovvero per effettuare una prima indagine forense in risposta all'incidente informatico. Per la Live System Analysis in ambiente Windows viene messa a disposizione un'interfaccia grafica che fornisce l'accesso a molti tools di indagine, dividendo i vari tipi di attività in diverse schede.
Questa modalità di analisi è decisamente più invasiva di quella convenzionale, basti pensare che la sua semplice esecuzione altera inevitabilmente lo stato del sistema (generalmente a livello di RAM); va dunque effettuata con piena consapevolezza e molta cautela, documentando quanto più possibile tutte le modifiche apportate alla macchina. In questo senso si sono mossi anche gli sviluppatori di IRItaly CD, dato che l'interfaccia Win32 non si apre automaticamente con l'inserimento del CD ma bisogna eseguire il file IRITALYProject.exe
nella cartella win32
.
IRItaly live CD è rilasciato sotto licenza GNU ed è liberamente scaricabile a questa pagina: http://www.iritaly-livecd.org/Versione3.htm
Screenshots e commenti
Sistema (schermata iniziale)
In questa scheda vengono mostrate informazioni generali sul sistema, e in particolare:
- sull’utente attualmente loggato
- sulla macchina (memoria fisica e virtuale, ...)
- sulla rete (Indirizzo IP, MAC, ...)
- sul sistema operativo (versione, directory di installazione, serial number)
- sulle variabili d’ambiente (recuperate dal registro)
- sui volumi (tipo di file system e di driver, settori per cluster, byte per settore, spazio disponibile, ...), selezionabili da menu a tendina, chiavette USB comprese
Sistema -> Processi
Da questa scheda è possibile accedere alla lista dei processi attivi nel sistema, utilizzando il programma freeware CurrProcess
della NirSoft.
Segnaliamo subito due caratteristiche del live CD che si ripresenteranno in molte altre schede, ovvero:
- la possibilità di salvare il risultato dell'indagine (in questo caso sui processi) in un file di testo o html
- la comparsa di una finestra di dialogo all'esecuzione di ogni strumento, che riporta il seguente avviso:
"L'utilizzo improprio del programma potrebbe alterare il contenuto del sistema. Continuare?".
Cliccando su OK si prosegue nell'indagine pianemente consapevoli dei rischi sull'integrità
Tornando a CurrProcess
, questo programma mostra la lista dei processi attivi, visualizzando per ognuno di essi informazioni quali: il nome, il PID, la priorità, il nome del prodotto cui fa capo, la versione, una descrizione sommaria e altro ancora. Molto utile inoltre la scelta di visualizzare per ogni processo l'elenco delle dll da lui caricate. Vediamo una screenshot.
Sistema -> DLL
In questa scheda si ripresenta una delle funzioni già viste in CurrProcess
, ovvero quella di mostrare l’elenco delle dll caricate da tutti i processi oppure da uno in particolare tra quelli attivi, selezionabile da un menu a tendina.
In questo caso i programmi utilizzati sono ListDLLs
sviluppato da Sysinternals (che dal 2006 è stata acquistata da Microsoft) e DLL Export Viewer
della NirSoft.
Sistema -> Porte
Il tool utilizzato è CurrPorts
della solita NirSoft, che mostra l’elenco di tutte le porte TCP/IP e UDP aperte sul sistema locale.
Per ognuna di esse vengono visualizzate inoltre:
- il PID ed altre informazioni sul processo che le usa (nome, percorso, versione, descrizione, ...)
- il protocollo utilizzato
- il numero di porta (ovviamente)
- indirizzo locale e remoto
- altro ancora
Con CurrPorts
è inoltre possibile chiudere forzatamente alcuni di questi processi e di evidenziare con un altro colore quelli non identificati (ad esempio quelli senza icona o informazioni sulla versione).
Vediamone una screenshot:
Sistema -> Servizi/Driver
Da questa pagina è possibile raccogliere informazioni sui servizi in esecuzione nel sistema ed i driver installati.
Lo strumento utilizzato è ServiWin
della NirSoft, che mostra la lista dei driver e dei servizi e ad ognuno associa informazioni aggiuntive tra cui:
- nome e nome visualizzato
- stato
- tipo di avvio (manuale, automatica, disabilitata o gestita dal sistema)
- controllo degli errori
- gruppo di appartenenza (ad esempio SCSI, System Boot, TDI, ...)
- versione finale
- compagnia che l'ha prodotto
Viene data inoltre la possibilità di fermare, avviare, riavviare o mettere in pausa ognuno di essi in qualsiasi momento.
Sistema -> Altre
Ecco un elenco di alcuni dei tool che vengono messi a disposizione in questa scheda:
Autorunsc
è la versione a linea di commando di Autoruns
sviluppato da Microsoft Sysinternals, la cui funzione è mostrare quali sono i programmi caricati automaticamente all’avvio. In particolare ciccando sul pulsante "Esegui autorunsc" viene chiesto dove salvare il file di testo che contiene tale elenco
NTLast
della Foundstone è un tool piuttosto semplice di Audit per i sistemi Windows NT
FSum
della SlavaSoft è invece un veloce strumento per la verifica dell'integrità di drive o directory, che dà la possibilità di calcolarne hash o checksum
Le altre informazioni che si possono raccogliere da questa pagina sono sulla data e l'ora del sistema, sugli ultimi accessi al computer (con la possibilità di filtrare quelli falliti, quelli che hanno avuto successo o quelli da remoto), e sui file di sistema.
Sistema -> WinAudit
Come si intuisce dal nome, in questa scheda fa la sua comparsa un tool di audit altamente personalizzabile e sviluppato su misura per i sistemi Windows. Ricordiamo che per audit si intende una valutazione tecnica misurabile di un sistema o di un’applicazione.
Il pannello delle opzioni è composto da una lunga serie di checkbox, a ognuna delle quali è associato un aspetto particolare del sistema da tenere o meno sotto osservazione, basta spuntare quella desiderata.
E' possibile scegliere tra molti formati diversi per l'output, tra cui anche il pdf.
Acquisizione
Questa scheda mette a disposizione strumenti per l'acquisizione forense dei dischi sia in locale che da remoto.
L'acquisizione in locale si effettua duplicando il disco su un supporto collegato alla macchina compromessa. Il tool per gestire tale operazione è Dcfldd
, una versione modificata del comando Unix di imaging dd. Di quest’ultimo ne mantiene il cuore e i comandi di base, ma ottimizza il lavoro di duplicazione e velocizza per quanto possibile la verifica del dispositivo (attività questa che comporta uno spreco di tempo non indifferente).
Se invece non si riesce a creare una copia in locale si può utilizzare NetCat
, un tool rilasciato sotto licenza GNU che permette di leggere e scrivere dati attraverso una connessione di rete utilizzando il protocollo TCP/IP. CryptCat
è la versione modificata di NetCat che utilizza un canale criptato per il trasferimento dei dati.
Come supporto alla fase di acquisizione viene data la possibilità di applicare controlli di checksum per validare in seguito la copia risultante (gli algoritmi di hash utilizzabili sono: MD5, SHA1, SHA256, SHA384 e SHA512), e l'uso del tool Split
che permette di partizionare il flusso di dati.
Incident Response -> Hashing
Questa scheda è interamente dedicata al calcolo dell'hash di un file.
Gli algoritmi di hash offerti sono molti, e includono tra le altre le codifiche MD5, SHA1, CRC 32, RMD 256, Tiger, Square, XOR-32, eccetera.
Incident Response -> Cookie
Come il nome della scheda lascia intendere, i tools qui contenuti sono orientati all'analisi dei cookie. Vediamo quali sono:
IECookiesView
e MozillaCookiesView
sono entrambi prodotti dalla NirSoft e si prepongono di andare a recuperare rispettivamente i cookie salvati dai browser Internet Explorer e Mozilla Firefox (e Netscape). Il risultato della loro ricerca è visualizzato in un elenco che contiene informazioni aggiuntive (numero di accessi, data di creazione, data di ultimo accesso, ...), e viene inoltre data la possibilità di ordinarli, filtrarli, copiarli, modificarli e cancellarli
Pasco
e Galletta
restituiscono invece una serie di informazioni su un singolo cookie dato loro in pasto e salvando il tutto in un file di testo
Incident Response -> Sniffer
Gli strumenti che appaiono in questa scheda si occupano dello sniffing del traffico di rete, ovvero dell'intercettazione passiva dei dati di una telecomunicazione. Sono i seguenti:
windump
, che non è altro che la versione Windows del noto tcpdump
(che gira solo su sistemi Unix), ovvero lo strumento a riga di comando che permette di intercettare e monitorare i pacchetti che transitano in una rete
Smart Network Sniffer
della NirSoft che svolge più o meno le stesse funzioni di windump
fornendogli un'interfaccia grafica
Sniffer Password
anch'esso prodotto dalla NirSoft permette invece di intercettare le password che passano all’interno di una rete attraverso i protocolli POP3, IMAP4, SMTP, FTP e in alcuni casi anche HTTP
Editor Esadecimali
Tutto ciò che appare in questa scheda è un pulsante che permette l'apertura del programma HexEdit
, uno strumento per la visualizzazione e la modifica di file scritti in formato esadecimale e binario.
Wipe
Il wiping è un'attività imprescindibile per la sanitation del supporto su cui caricare l'immagine forense del disco da analizzare, e consiste nella cancellazione completa e irreversibile dei dati contenuti su un disco.
L'algoritmo di wiping scelto da IRItaly è il DoD, quello adottato come standard dal Dipartimento della Difesa Americana e che consiste nella sovrascrittura per sette volte di sequenza di 0, di 1 o di pattern casuali.
Si può scegliere di effettuare il wipe dello spazio di swap, di un media o di un file.
Documentazione
Questa scheda mette a disposizione dell'investigatore tre documenti in pdf che semplificano la fase di documentazione della gestione dell'incidente.
Citiamo le descrizioni di ognuno di questi tre moduli così come appaiono nella scheda:
- "Chain of Custody. La chain of custody è un documento da utilizzare per tenere traccia di tutte le operazioni e movimentazioni delle possibili fonti di prova e digital evidences."
- "Tabella Tempi. La tabella dei tempi è molto utile per tenere traccia della cronologia dell'incidente, ad esempio quando è stato scoperto, da chi è stato scoperto, che eventi sono accaduti dopo la scoperta (mail con minacce, tentativi estorsivi,...) e anche di tutte le operazioni svolte dopo la scoperta dell'incidente informatico volte ad indagare l'incidente avvenuto."
- "Report Incidente. Si tratta di un report riassuntivo relativo all'avvenuto incidente informatico. In questo documento si possono inserire tutte le informazioni relative all'organizzazione e ai sistemi attaccati, al tipo di attacco effettuato ed anche alle misure di risposta da adottare. E' un documento riepilogativo di tutte le azioni intraprese."
BrowseCD
La scheda Browse CD permette la navigazione tra le cartelle del CD e mostra molte informazioni sui file: hash, attributi, dimensioni, percorso, ...
Notare che all'accesso viene visualizzata una finestra di dialogo che recita: "La visione delle proprietà di un file ne modifica il timestamp relativo all'ultimo accesso. Continuare?"
Elenco Tool
L'ultima scheda non è altro che una lista di tutti i programmi di investigazione e forensic messi a disposizione da IRItaly live CD sia in ambiente Windows che in ambiente Linux.
Concludiamo osservando che alla chiusura dell'interfaccia (che possiamo naturalmente effettuare in qualsiasi momento) ci viene chiesto se si vogliono salvare o meno i log della sessione di investigazione.
Torna alla pagina di Gestione degli incidenti informatici