Torna alla pagina di Gestione degli incidenti informatici
:: IRItaly live CD - Win32 ::
IRItaly live CD è lo strumento creato da IRItaly e DFlabs per la first response, ovvero per effettuare una prima indagine forense in risposta all'incidente informatico. Per la Live System Analysis in ambiente Windows viene messa a disposizione un'interfaccia grafica che fornisce l'accesso a molti tools di indagine, dividendo i vari tipi di attività in diverse schede.
Questa modalità di analisi è decisamente più invasiva di quella convenzionale, basti pensare che la sua semplice esecuzione altera inevitabilmente lo stato del sistema (generalmente a livello di RAM); va dunque effettuata con piena consapevolezza e molta cautela, documentando quanto più possibile tutte le modifiche apportate alla macchina. In questo senso si sono mossi anche gli sviluppatori di IRItaly CD, dato che l'interfaccia Win32 non si apre automaticamente con l'inserimento del CD ma bisogna eseguire il file IRITALYProject.exe nella cartella win32.
IRItaly live CD è rilasciato sotto licenza GNU ed è liberamente scaricabile a questa pagina: http://www.iritaly-livecd.org/Versione3.htm
In questa scheda vengono mostrate informazioni generali sul sistema, e in particolare:
Da questa scheda è possibile accedere alla lista dei processi attivi nel sistema, utilizzando il programma freeware CurrProcess della NirSoft.
Segnaliamo subito due caratteristiche del live CD che si ripresenteranno in molte altre schede, ovvero:
Tornando a CurrProcess, questo programma mostra la lista dei processi attivi, visualizzando per ognuno di essi informazioni quali: il nome, il PID, la priorità, il nome del prodotto cui fa capo, la versione, una descrizione sommaria e altro ancora. Molto utile inoltre la scelta di visualizzare per ogni processo l'elenco delle dll da lui caricate. Vediamo una screenshot.
In questa scheda si ripresenta una delle funzioni già viste in CurrProcess, ovvero quella di mostrare l’elenco delle dll caricate da tutti i processi oppure da uno in particolare tra quelli attivi, selezionabile da un menu a tendina.
In questo caso i programmi utilizzati sono ListDLLs sviluppato da Sysinternals (che dal 2006 è stata acquistata da Microsoft) e DLL Export Viewer della NirSoft.
Il tool utilizzato è CurrPorts della solita NirSoft, che mostra l’elenco di tutte le porte TCP/IP e UDP aperte sul sistema locale.
Per ognuna di esse vengono visualizzate inoltre:
Con CurrPorts è inoltre possibile chiudere forzatamente alcuni di questi processi e di evidenziare con un altro colore quelli non identificati (ad esempio quelli senza icona o informazioni sulla versione).
Vediamone una screenshot:
Da questa pagina è possibile raccogliere informazioni sui servizi in esecuzione nel sistema ed i driver installati.
Lo strumento utilizzato è ServiWin della NirSoft, che mostra la lista dei driver e dei servizi e ad ognuno associa informazioni aggiuntive tra cui:
Viene data inoltre la possibilità di fermare, avviare, riavviare o mettere in pausa ognuno di essi in qualsiasi momento.
Ecco un elenco di alcuni dei tool che vengono messi a disposizione in questa scheda:
Autorunsc è la versione a linea di commando di Autoruns sviluppato da Microsoft Sysinternals, la cui funzione è mostrare quali sono i programmi caricati automaticamente all’avvio. In particolare ciccando sul pulsante "Esegui autorunsc" viene chiesto dove salvare il file di testo che contiene tale elenco
NTLast della Foundstone è un tool piuttosto semplice di Audit per i sistemi Windows NT
FSum della SlavaSoft è invece un veloce strumento per la verifica dell'integrità di drive o directory, che dà la possibilità di calcolarne hash o checksum
Le altre informazioni che si possono raccogliere da questa pagina sono sulla data e l'ora del sistema, sugli ultimi accessi al computer (con la possibilità di filtrare quelli falliti, quelli che hanno avuto successo o quelli da remoto), e sui file di sistema.
Come si intuisce dal nome, in questa scheda fa la sua comparsa un tool di audit altamente personalizzabile e sviluppato su misura per i sistemi Windows. Ricordiamo che per audit si intende una valutazione tecnica misurabile di un sistema o di un’applicazione.
Il pannello delle opzioni è composto da una lunga serie di checkbox, a ognuna delle quali è associato un aspetto particolare del sistema da tenere o meno sotto osservazione, basta spuntare quella desiderata.
E' possibile scegliere tra molti formati diversi per l'output, tra cui anche il pdf.
Questa scheda mette a disposizione strumenti per l'acquisizione forense dei dischi sia in locale che da remoto.
L'acquisizione in locale si effettua duplicando il disco su un supporto collegato alla macchina compromessa. Il tool per gestire tale operazione è Dcfldd, una versione modificata del comando Unix di imaging dd. Di quest’ultimo ne mantiene il cuore e i comandi di base, ma ottimizza il lavoro di duplicazione e velocizza per quanto possibile la verifica del dispositivo (attività questa che comporta uno spreco di tempo non indifferente).
Se invece non si riesce a creare una copia in locale si può utilizzare NetCat, un tool rilasciato sotto licenza GNU che permette di leggere e scrivere dati attraverso una connessione di rete utilizzando il protocollo TCP/IP. CryptCat è la versione modificata di NetCat che utilizza un canale criptato per il trasferimento dei dati.
Come supporto alla fase di acquisizione viene data la possibilità di applicare controlli di checksum per validare in seguito la copia risultante (gli algoritmi di hash utilizzabili sono: MD5, SHA1, SHA256, SHA384 e SHA512), e l'uso del tool Split che permette di partizionare il flusso di dati.
Questa scheda è interamente dedicata al calcolo dell'hash di un file.
Gli algoritmi di hash offerti sono molti, e includono tra le altre le codifiche MD5, SHA1, CRC 32, RMD 256, Tiger, Square, XOR-32, eccetera.
Come il nome della scheda lascia intendere, i tools qui contenuti sono orientati all'analisi dei cookie. Vediamo quali sono:
IECookiesView e MozillaCookiesView sono entrambi prodotti dalla NirSoft e si prepongono di andare a recuperare rispettivamente i cookie salvati dai browser Internet Explorer e Mozilla Firefox (e Netscape). Il risultato della loro ricerca è visualizzato in un elenco che contiene informazioni aggiuntive (numero di accessi, data di creazione, data di ultimo accesso, ...), e viene inoltre data la possibilità di ordinarli, filtrarli, copiarli, modificarli e cancellarli
Pasco e Galletta restituiscono invece una serie di informazioni su un singolo cookie dato loro in pasto e salvando il tutto in un file di testo
Gli strumenti che appaiono in questa scheda si occupano dello sniffing del traffico di rete, ovvero dell'intercettazione passiva dei dati di una telecomunicazione. Sono i seguenti:
windump, che non è altro che la versione Windows del noto tcpdump (che gira solo su sistemi Unix), ovvero lo strumento a riga di comando che permette di intercettare e monitorare i pacchetti che transitano in una rete
Smart Network Sniffer della NirSoft che svolge più o meno le stesse funzioni di windump fornendogli un'interfaccia grafica
Sniffer Password anch'esso prodotto dalla NirSoft permette invece di intercettare le password che passano all’interno di una rete attraverso i protocolli POP3, IMAP4, SMTP, FTP e in alcuni casi anche HTTP
Tutto ciò che appare in questa scheda è un pulsante che permette l'apertura del programma HexEdit, uno strumento per la visualizzazione e la modifica di file scritti in formato esadecimale e binario.
Il wiping è un'attività imprescindibile per la sanitation del supporto su cui caricare l'immagine forense del disco da analizzare, e consiste nella cancellazione completa e irreversibile dei dati contenuti su un disco.
L'algoritmo di wiping scelto da IRItaly è il DoD, quello adottato come standard dal Dipartimento della Difesa Americana e che consiste nella sovrascrittura per sette volte di sequenza di 0, di 1 o di pattern casuali.
Si può scegliere di effettuare il wipe dello spazio di swap, di un media o di un file.
Questa scheda mette a disposizione dell'investigatore tre documenti in pdf che semplificano la fase di documentazione della gestione dell'incidente.
Citiamo le descrizioni di ognuno di questi tre moduli così come appaiono nella scheda:
La scheda Browse CD permette la navigazione tra le cartelle del CD e mostra molte informazioni sui file: hash, attributi, dimensioni, percorso, ...
Notare che all'accesso viene visualizzata una finestra di dialogo che recita: "La visione delle proprietà di un file ne modifica il timestamp relativo all'ultimo accesso. Continuare?"
L'ultima scheda non è altro che una lista di tutti i programmi di investigazione e forensic messi a disposizione da IRItaly live CD sia in ambiente Windows che in ambiente Linux.
Concludiamo osservando che alla chiusura dell'interfaccia (che possiamo naturalmente effettuare in qualsiasi momento) ci viene chiesto se si vogliono salvare o meno i log della sessione di investigazione.