Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

presentazione

annuncio pubblicitario 
Virtual Machines Forensics
Andrea Di Maio
[email protected]
Sicurezza
A.A. 2010-2011
Pasquale Salza
[email protected]
2
Virtual Machines Forensics
Indice
•
•
•
•
•
•
•
Introduzione
Le macchine virtuali
Indagine forense
Due scenari di Anti-Forensics
Intercettazione delle VM
Riferimenti
Conclusioni
Martedì 19 luglio 2011
3
Virtual Machines Forensics
Martedì 19 luglio 2011
Introduzione
La sicurezza nell’ambito della virtualizzazione non
è ancora ad un livello di sviluppo sufficiente.
L’indagine forense nel campo non può essere
condotta allo stesso modo di un’indagine
tradizionale.
Per sviluppare tale branca della sicurezza, è
necessario conoscere innanzitutto il «nemico»
(Anti-Forensics).
4
Virtual Machines Forensics
Martedì 19 luglio 2011
Il mondo delle macchine virtuali, le loro componenti essenziali
e le applicazioni moderne.
5
Virtual Machines Forensics
Martedì 19 luglio 2011
Tipologie
La virtualizzazione può essere classificata in:
• Emulazione
Non si utilizzano direttamente le risorse fisiche
ma, queste, sono del tutto emulate.
• Full Virtualization
La virtualizzazione avviene solo se l’hardware è
compatibile con il sistema ospite.
• Paravirtualization
La maggior parte dell’hardware fisico è
interfacciato direttamente con il sistema ospite.
6
Virtual Machines Forensics
Hypervisors
L’ hypervisor è il componente chiave per un
sistema virtualizzato.
Può essere classificato come:
• Bare-Metal Hypervisor (tipo 1)
• Embedded Hypervisor
• Hosted Hypervisor (tipo 2)
Martedì 19 luglio 2011
7
Virtual Machines Forensics
Martedì 19 luglio 2011
Applicazioni
La virtualizzazione, a fronte di una leggera perdita
prestazionale rispetto alla macchina fisica, slega
completamente le risorse utilizzate dall’hardware
fisico.
Questo porta diversi vantaggi, come:
• costi minori
• recupero in caso di malfunzionamenti
• sandbox
• strumenti di analisi forense
8
Virtual Machines Forensics
Martedì 19 luglio 2011
Le attività dell'investigatore forense nel campo delle macchine
virtuali, le modalità di analisi e l'utilizzo delle macchine virtuali
come strumento per l'analisi forense.
9
Virtual Machines Forensics
Martedì 19 luglio 2011
Macchine virtuali come
strumenti investigativi
C’è l’esigenza di preservare un’immagine estratta
da una memoria volatile o da una memoria di
massa.
Grazie alle macchine virtuali è possibile avviare
una simulazione completa di un sistema sospetto.
10
Virtual Machines Forensics
Penguin Sleuth Kit
L'obiettivo è quello di
portare una serie di
strumenti per l'analisi
forense al ricercatore
comune, senza che
questi conosca
strettamente Linux.
Martedì 19 luglio 2011
11
Virtual Machines Forensics
Caine
Caine è un tool che offre
un ambiente completo
per tutte le fasi
dell’indagine forense.
Martedì 19 luglio 2011
12
Virtual Machines Forensics
Martedì 19 luglio 2011
Macchine virtuali interrotte
Dato il largo impiego in molti ambiti aziendali,
anche le macchine virtuali necessitano di essere
esaminate.
Una macchina virtuale è costituita semplicemente
da un file memorizzato su un dispositivo.
13
Virtual Machines Forensics
Martedì 19 luglio 2011
Tracce di virtualizzazione
Nei sistemi Windows è possibile riscontrare alcune tracce:
• File d’installazione
Sono artefatti dovuti all’installazione di un programma
di virtualizzazione o nella registrazione della
configurazione.
• Registro di sistema
Es. MUICache.
• Files di prefetch
Registrano informazioni sugli eseguibili per esecuzioni
successive in modo velocizzato.
• Page file
Windows effettua lo swap dei dati tra memoria volatile e
memoria di massa memorizzando i dati in un file.
14
Virtual Machines Forensics
Martedì 19 luglio 2011
Prevenire è meglio che curare
Trovare tracce di esecuzione non è sufficiente a
rilevare l’attività all’interno dell’ambiente virtuale.
L’unica arma a possibile è l’esecuzione di un
keylogger.
15
Virtual Machines Forensics
Martedì 19 luglio 2011
Macchine virtuali in esecuzione
Le macchine virtuali sospette potrebbero essere in
esecuzione su di un cluster quindi spesso non
prelevabili.
Le indagini corrispondono in pieno a quelle
effettuate con macchine fisiche in esecuzione ma si
distinguono nella fase preliminare di
riconoscimento tra ambiente virtuale e fisico.
16
Virtual Machines Forensics
ScoopyNG
ScoopyNG analizza le
eventuali impronte
digitati lasciate dal
software di
virtualizzazione
VMware.
Martedì 19 luglio 2011
17
Virtual Machines Forensics
Martedì 19 luglio 2011
La realizzazione di due soluzioni per due diversi scenari di AntiForensics tramite l'uso di dispositivi portatili con relativi
software per la virtualizzazione e la sicurezza portabili.
18
Virtual Machines Forensics
Martedì 19 luglio 2011
Scenario 1:
Utilizzo in luogo pubblico
Internet Café
19
Virtual Machines Forensics
QEMU
QEMU è un software che implementa un
particolare sistema di emulazione.
È composto da due parti:
• emulazione
• emulatore di Sistema
Martedì 19 luglio 2011
20
Virtual Machines Forensics
Martedì 19 luglio 2011
Alternate Data Streams
I flussi di dati alternativi o ADS (Alternate Data
Streams) sono disponibili univocamente su
partizioni NTFS.
Permette di aggiungere flussi di dati a ogni singolo
file.
21
Virtual Machines Forensics
Pro e contro – Scenario 1
Pro
Contro
• Avvio senza
permessi di
amministratore
• Avvio da qualsiasi
postazione
• Lentezza
• Limitazione nella
scelta dei sistemi
operativi emulabili
• Sicurezza limitata
Martedì 19 luglio 2011
22
Virtual Machines Forensics
Martedì 19 luglio 2011
Scenario 2:
Utilizzo in luogo autorizzato
Home
23
Virtual Machines Forensics
Martedì 19 luglio 2011
VirtualBox
È un software di virtualizzazione sviluppato dalla
Oracle Corporation.
Emula i seguenti componenti hardware:
• hard disk, tramite i file VDI (Virtual Disk
Images)
• scheda grafica, una VESA con 12 MB di RAM
• scheda di rete
• scheda audio, una Intel ICH AC’97 o una
SoundBlaster 16
24
Virtual Machines Forensics
Martedì 19 luglio 2011
VirtualBox - Architettura
Sistema
Operativo
Guest
Sistema
Operativo
Guest
...
VirtualBox
Sistema Operativo Host
Hardware Host
Sistema
Operativo
Guest
25
Virtual Machines Forensics
Martedì 19 luglio 2011
VirtualBox – Esecuzione del
codice
VirtualBox tenta di eseguire quanto più codice guest
possibile in maniera nativa (sul processore host).
Rispetto al contesto dell’architettura «ring» di Intel,
utilizza la seguente strategia per l’esecuzione del
codice guest:
• il codice ring 3 (modalità utente) è eseguito
direttamente dal processore host
• il codice ring 0 (istruzioni privilegiate) è eseguito
come ring 1, ove possibile
• in caso di errori, utilizza un ricompilatore dinamico
basato su QEMU
26
Virtual Machines Forensics
Martedì 19 luglio 2011
TrueCrypt
È un noto applicativo utilizzato per la crittazione
on-the-fly (OTFE, On-the-fly Encryption) di:
• interi dischi rigidi
• partizioni
• dischi virtuali
Questi elementi prendono il nome di «volumi».
27
Virtual Machines Forensics
Martedì 19 luglio 2011
TrueCrypt – Volumi
Ogni volume è crittato attraverso una password,
secondo svariati algoritmi di crittazione.
Una volta creato un volume è possibile, tramite il
programma, montarlo come una periferica
rimovibile (previo inserimento della password
corretta).
Sarà possibile leggere e scrivere velocemente (onthe-fly) i file contenuti in esso.
28
Virtual Machines Forensics
Martedì 19 luglio 2011
TrueCrypt – Plausible deniability
TrueCrypt garantisce che non possa essere
provato in alcun modo l’utilizzo di un volume
come contenitore di file crittati.
Visto dall’esterno l’intero volume presenterà dei
dati del tutto casuali e privi di correlazione.
Questa garanzia, chiamata «plausible deniability»
(negazione plausibile), è ulteriormente accentuata
dalla possibilità di creare «volumi ignoti».
29
Virtual Machines Forensics
Martedì 19 luglio 2011
TrueCrypt – Volumi ignoti
È possibile creare un volume nascosto, protetto da un’ulteriore
password, all’interno di un volume TrueCrypt standard
esistente.
Il volume occuperà lo spazio libero non occupato dai file del
volume standard.
La presenza di due password garantisce la protezione in caso di
estorsione.
Header volume
standard
Header volume
ignoto
Spazio libero
(contenente dati casuali)
Spazio occupato del
volume standard
Spazio occupato del
volume ignoto
Spazio libero
(contenente dati casuali)
30
Virtual Machines Forensics
Pro e contro – Scenario 2
Pro
Contro
• Velocità
• Anonimia minore
• Ampia scelta tra i
sistemi operativi
emulabili
• Maggiore sicurezza
Martedì 19 luglio 2011
31
Virtual Machines Forensics
Martedì 19 luglio 2011
I test effettuati tramite l’uso di keylogger per intercettare le
attività all’interno dell’ambiente virtualizzato.
32
Virtual Machines Forensics
Martedì 19 luglio 2011
I keylogger utilizzati
I test sono stati effettuati tramite tre prodotti
software:
• Spytech SpyAgent 7.50.11
• REFOG Personal Monitor 7.1
• The Best Keylogger
33
Virtual Machines Forensics
Martedì 19 luglio 2011
Il test somministrato
Il test è consistito nell’esecuzione dei due scenari
visti prima e dell’inserimento di input da tastiera.
In seguito sono state verificate le seguenti
proprietà di rilevazione:
• Apertura programma
• Rilevamento tastiera
• Screenshots finestra
• Screenshots tutto schermo
34
Virtual Machines Forensics
Martedì 19 luglio 2011
I risultati – Scenario 1
Tutti e tre i software verificano le proprietà per il
primo scenario.
L’apertura di QEMU è rilevata così come l’input da
tastiera e la cattura delle schermate.
35
Virtual Machines Forensics
Martedì 19 luglio 2011
I risultati – Scenario 2
Tutti e tre i software verificano le proprietà per il
secondo scenario, tranne che per l’intercettazione
dell’input da tastiera.
36
Virtual Machines Forensics
Martedì 19 luglio 2011
I risultati – Riassunto
Scenario 1
Scenario 2
Spytech
SpyAgent
REFOG
Personal
Monitor
The Best
Keylogger
Apertura programma
✓
✓
✓
Rilevamento tastiera
✓
✓
✓
Screenshots finestra
✓
✓
✓
Screenshots tutto
schermo
✓
✓
✓
Apertura programma
✓
✓
✓
Rilevamento tastiera
✗
✗
✗
Screenshots finestra
✓
✓
✓
Screenshots tutto
schermo
✓
✓
✓
37
Virtual Machines Forensics
Martedì 19 luglio 2011
Riferimenti
Eoghan Casey
Handbook of Digital Forensics and Investigation
Academic Press, 2009
T. Killalea, D. Brezinski
Guidelines for Evidence Collection and Archiving
http://www.ietf.org/rfc/rfc3227.txt
Greg Kipper, Diane Barrett
Virtualization and Forensics: A Digital Forensic
Investigator's Guide to Virtual Environments
Syngress, 2010
TrueCrypt
Plausible deniability
http://www.truecrypt.org/docs/?s=plausible-deniability
38
Virtual Machines Forensics
Martedì 19 luglio 2011
Conclusioni
È molto semplice creare un sistema portatile in grado di
nascondere l'identità di un utente e la sua attività.
La combinazione dei giusti strumenti può produrre un
sistema portatile con una tracciabilità minima.
I risultati sono stati entusiasmanti per la contro parte,
ossia l’Anti-Forensics.
L'analisi forense ha necessità di stare al passo coi tempi e
con le nuove tecnologie quindi, in tal senso, è strettamente
necessario che gli strumenti d'indagine si adattino e
crescano allo stesso ritmo dei loro oggetti di studio.
Documenti correlati
Programma PEKIT CoFo
Programma PEKIT CoFo
unibg_ponte_1 - Giovanni Maironi da Ponte
unibg_ponte_1 - Giovanni Maironi da Ponte
volantino definitivo_progetto Unibg student
volantino definitivo_progetto Unibg student
volantino definitivo_progetto Unibg student_2016
volantino definitivo_progetto Unibg student_2016
Matematica Finanziaria 1 Appelli d`esame a.a. 2011 – 2012
Matematica Finanziaria 1 Appelli d`esame a.a. 2011 – 2012
volantino-banca-etica in pdf - San Lazzaro Citta` di Transizione
volantino-banca-etica in pdf - San Lazzaro Citta` di Transizione
Chiusura scuole Martedì 10 gennaio 2017
Chiusura scuole Martedì 10 gennaio 2017
Baby Dancehall. Danza giamaicana per bambini
Baby Dancehall. Danza giamaicana per bambini
ORARIO PROVVISORIO CDL LETTERE L 20 II SEMESTRE TERZO
ORARIO PROVVISORIO CDL LETTERE L 20 II SEMESTRE TERZO
Programma di statistica sociale
Programma di statistica sociale
“Mangiare con gusto per guadagnare in salute” “Gli ormoni e il
“Mangiare con gusto per guadagnare in salute” “Gli ormoni e il
Patente Europea del Computer Calendario Modulo Reti Informatiche
Patente Europea del Computer Calendario Modulo Reti Informatiche
Presentazione di PowerPoint
Presentazione di PowerPoint
giorn_studio_programma - IPE - Istituto per ricerche ed attività
giorn_studio_programma - IPE - Istituto per ricerche ed attività
Scarica
annuncio pubblicitario