Manuale Volume III

Written By: admin

CAPITOLO 11

QUALITY MANAGEMENT E DIGITAL FORENSICS INDUSTRIALE

a cura di Marco MATTIUCCI

1. Descrizione di un approccio sistemico alla produzione di servizi di digital forensics industriale

2. Digital forensics “semplice” e digital forensics industriale

 

CAPITOLO 12

WINDOWS FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Premessa

2. Sistemi operativi Windows

2.1 Microsoft Windows XP

2.2 Microsoft Windows Vista

2.3 Microsoft Windows 7

3. Analisi forense di un sistema operativo Windows

3.1 File di installazione

3.2 Registro di sistema

3.3 Hive SOFTWARE

3.4 Hive SYSTEM

3.5 Hive SAM

3.6 Hive NTUSER

4. Strumenti per l’analisi del registro di sistema

5. Risorse online e articoli relativi all’analisi del registro

6. Profilo utente

6.1 Profilo utente nei sistemi operativi Windows 2000\XP

6.2 Profilo utente nei sistemi operativi Windows Vista\7

7. Collegamenti e file LNK

7.1 Strumenti per l’analisi dei file LNK

7.2 Risorse online e articoli relativi all’analisi dei collegamenti

8. Cestino

8.1 Cestino nei sistemi operativi 2000\XP

8.2 Cestino nei sistemi operativi Vista\7

8.3 Strumenti per l’analisi del cestino

8.4 Risorse online e articoli relativi all’analisi del cestino

9. Registro Eventi

9.1 Registro eventi nei sistemi operativi NT\2000\XP

9.2 Registro eventi nei sistemi operativi Vista\7

9.3 Strumenti per l’analisi del registro eventi

9.4 Risorse online e articoli relativi all’analisi del registro eventi

10. Prefetch

10.1 Strumenti per l’analisi del prefetch

10.2 Risorse online e articoli relativi all’analisi del prefetch

11. Thumbnails

11.1 Thumbnails nei sistemi operativi 2000\XP

11.2 Thumbnails nei sistemi operativi Vista\7

11.3 Strumenti per l’analisi delle thumbnails

11.4 Risorse online e articoli relativi all’analisi delle thumbnails

12. Spool di stampa

12.1 Strumenti per l’analisi dei file di spool

12.2 Risorse online e articoli relativi all’analisi degli spool di stampa

13. Analisi forense delle principali applicazioni per sistemi Windows

14. Navigazione su Internet

14.1 Internet Explorer

14.1.1 Informazioni di navigazione nei sistemi operativi XP\2003

14.1.2 Informazioni di navigazione nei sistemi operativi Vista\7

14.1.3 Informazioni di navigazione conservate all’interno del registro

14.1.4 Strumenti per l’analisi della navigazione con Internet Explorer

14.1.5 Risorse online e articoli relativi all’analisi dei file di Internet Explorer

14.2 Mozilla Firefox

14.2.1 Informazioni di navigazione nei sistemi operativi XP\2003

14.2.2 Informazioni di navigazione nei sistemi operativi Vista\7

14.2.3 Strumenti per l’analisi della navigazione con Mozilla Firefox

14.2.4 Risorse online e articoli relativi all’analisi dei file di Mozilla Firefox

14.3 Google Chrome

14.3.1 Informazioni di navigazione nei sistemi operativi XP\2003

14.3.2 Informazioni di navigazione nei sistemi operativi Vista\7

14.3.3 Strumenti per l’analisi della navigazione con Google Chrome

14.3.4 Risorse online e articoli relativi all’analisi dei file di Google Chrome

14.4 Apple Safari

14.4.1 Informazioni di navigazione nei sistemi operativi XP\2003

14.4.2 Informazioni di navigazione nei sistemi operativi Vista\7

14.4.3 Strumenti per l’analisi della navigazione con Apple Safari

14.4.4 Risorse online e articoli relativi all’analisi dei file di Apple Safari

15. Posta Elettronica

15.1 Microsoft Outlook

15.1.1 Strumenti per l’analisi della posta elettronica su Microsoft Outlook

15.1.2 Risorse online e articoli relativi all’analisi dei file di Microsoft Outlook

15.2 Microsoft Outlook Express

15.2.1 Strumenti per l’analisi della posta elettronica su Microsoft Outlook Express

15.2.2 Risorse online e articoli relativi all’analisi dei file di Microsoft Outlook Express

15.3 Windows Mail

15.3.1 Strumenti per l’analisi della posta elettronica su Windows Mail

16. File Sharing

16.1 Strumenti per l’analisi dei software di file sharing

17. Instant Messaging e Chat

17.1 Strumenti per l’analisi dei software di Instant Messaging

18. Altri elementi di interesse in fase di analisi

19. Software di analisi forense per Windows

19.1 Suite per l’analisi forense

19.2 Software di Acquisizione

19.3 Data Recovery

19.4 Password Cracking

19.5 Metadati

19.6 Strumenti per l’analisi dei metadati

19.7 Ricerca per parola chiave

 

CAPITOLO 13

MACINTOSH FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Premessa

2. Sistema Operativo Mac OS X

3. Partizionamento di un Macintosh

4. Macintosh Boot Process

5. Acquisizione forense di un Mac

6. Analisi forense di un Mac

6.1 Property List File

6.2 Database Sqlite3

6.3 Impostazioni generali del Sistema

6.3.1 Struttura delle cartelle

6.3.2 Versione del Sistema Operativo e data di installazione

6.3.3 Timezone

6.3.4 Informazioni di login e utenti cancellati

6.3.5 Aggiornamento del Software

6.3.6 Configurazioni di Rete

6.4 Profilo Utente

6.4.1 Account Utente e gruppi del Sistema

6.4.2 Password degli account Utente

6.4.3 Cartelle del Profilo Utente

6.4.4 Cartella Utente Library

6.5 Tracce di navigazione su Internet

6.5.1 Safari

6.5.2 Mozilla Firefox

6.6 Strumenti di Posta Elettronica, Chat e Calendario

6.6.1 Apple Mail

6.6.2 Rubrica Indirizzi

6.6.3 iChat, Skype e Microsoft Messenger

6.6.4 Apple iCal

6.7 Applicazioni Multimediali

6.7.1 iTunes

6.7.2 iPhoto

6.7.3 iMovie e iDVD

6.8 Strumenti di Office Automation

6.8.1 Microsoft Office

6.8.2 OpenOffice

6.9 File di Log

6.9.1 Log delle operazioni di logon/logoff

6.10 File Vault

6.10.1 Accesso ai dati senza protezione (analisi live)

6.11 Accesso ai dati protetti (password cracking)

6.12 Software di analisi forense per Mac

6.13 Toolkit Forensi

6.14 Software di visualizzazione file di sistema

6.15 Software di acquisizione e mounting

6.16 Software di data recovery

 

CAPITOLO 14

WINDOWS MEMORY FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Introduzione

2. Acquisizione della memoria principale

3. Problematiche e limiti nella fase di acquisizione della memoria

4. Perché acquisire la memoria principale

5. Metodologie di acquisizione della memoria

6. Strumenti di acquisizione della memoria

7. Introduzione all’analisi della memoria: esempi di analisi

8. Altri strumenti di acquisizione della memoria

9. Anti-Forensics nella fase di acquisizione della memoria

 

CAPITOLO 15

CRIMEWARE FORENSICS.
INTRODUZIONE ALL’ANALISI DEI MALWARE E AL FUNZIONAMENTO DEI CRIMEWARE IN UN CONTESTO DI INFORMATION FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Introduzione

2. Malware e Crimeware

3. Ciclo di Vita di un Malware

4. Malware Forensics

 

CAPITOLO 16

TECNICHE DI ATTACCHI INFORMATICI A SITI WEB: ANALISI DELLE CASISTICHE E LOG ANALYSIS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Premessa

2. Cenni teorici di base: Tipologie di sistemi coinvolti nell’erogazione di un servizio Web

3. Web server

4. IDS/IPS

5. Firewall

6. Reverse Proxy

7. Il concetto di “regular expression”

8. Utilizzo delle espressioni regolari

9. I log

10. Elementi generali sul log di traffico di rete

11. Elementi teorici per l’analisi dei log di un web server

12. Tecniche di attacco informatico “base”: la metodologia espositiva

13. Riferimenti a standard e metodologie

14. Open Web Application Security Project (OWASP)

15. Cenni alla metodologia DREAD per la valutazione dell’impatto di attacchi informatici

16. Le principali tipologie di attacco “base”

17. Attacchi abilitati da erronea validazione degli input

18. SQL Injection (e altre Injection Flaws)

19. Cross-site Scripting (XSS)

20. Hidden-Field Tampering

21. Attacchi al sistema di autenticazione

22. Brute Force

23. Failure to Restrict URL Access

24. Broken Authentication and Session Management

25. Cross Site Request Forgery (CSRF o XSRF)

26. Attacchi a elementi sul server

27. Information Leakage e Improper Error Handling

28. Malicious File Execution (abilitato da Remote File Inclusion)

29. Insecure Direct Object Reference

30. Denial of Service su applicazioni Web

31. Defacement

32. Scenari di attacco avanzati

32.1 Esempi di scenario di attacco

32.2 Creazione di shell PHP tramite SQL injection

32.3 Concetti preliminary

33. Scenario di attacco

34. “CRLF Injection” e alterazione di Header HTTP

35. CSRF e intercettazione di email

36. Approcci al rilevamento degli attacchi

37. Miglioramento delle tecniche manuali di analisi dei log

38. Le librerie di regular expression

39. Analisi e rilevamento tramite proxy

40. Strumenti per l’analisi automatica

40.1 Il plugin “SCALP”

40.2 OSSEC

40.3 Logwatch

40.4 Analog

 

CAPITOLO 17

MOBILE FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Premessa

2. I dispositivi mobili

3. Cenni alle architetture hardware e software

3.1 L’architettura hardware e software di un generico PDA

3.2 L’architettura hardware e software di un generico cellulare

4. Specificità sui dispositivi cellulari

5. Il Subscriber Identity Module (SIM)

6. Cenni all’architettura delle reti di telefonia mobile

6.1 Componenti fondamentali di una rete per telefonia mobile

6.2 Servizi offerti dalle reti di telefonia mobile

7. Cenni all’architettura dei servizi RIM (BlackBerry)

8. Cenni sulla connettività a corto raggio

9. Dispositivi potenzialmente sincronizzati

10. Periferiche di memorizzazione

11. Cablaggi e “docking station”

11.1 Cavi caricabatterie

11.2 Cavi per connessione dati

11.3 Docking station

12. La conservazione sicura del dispositivo fisico

12.1 PDA e dispositivi basati prevalentemente su memoria volatile

12.2 Cellulari e dispositivi basati prevalentemente su memorie allo stato solido

13. La conservazione sicura delle informazioni sul dispositivo

14. La gestione della connettività wireless

14.1 Connettività generica (a corto raggio e cellulare)

14.2 Connettività cellulare/GPRS/3G

14.3 Connettività RIM o altre connettività “push”

15. Le informazioni per la catena di custodia

16. Acquisizione forense dei dati ed analisi del dispositivo

16.1 Dispositivi “obstructed” o “unobstructed”

16.2 Acquisizione fisica o logica dei dati

16.3 Soluzioni e best practices a supporto dei processi di acquisizione

16.3.1 Calcolo di hash

16.3.2 Utilizzo di ambiente “sterile”

16.3.3 Tracciatura delle operazioni

16.3.4 Accesso in sola lettura ai dispositivi

16.3.5 Tipologie di file “frequenti” su tutti i device

17. Informazioni specifiche per i device mobili con funzionalità “cellulare”

18. Informazioni specifiche per i device con funzionalità “BlackBerry”

19. Analisi delle memorie (integrate o rimovibili)

19.1 Memoria integrata

19.2 Memoria sulla (U)SIM

19.3 Memoria rimovibile

19.4 Analisi dei dispositivi potenzialmente sincronizzati a quelli d’interesse

20. Analisi dei dispositivi mobili

20.1 Il problema del calcolo dell’hash

20.2 Approccio “manuale” tramite console di comando (locale o remota)

20.3 Approccio tramite software di connettività non forense

20.4 Tool di assistenza e riprogrammazione

20.5 Approccio tramite tool forensi specifici

20.6 Matrice di compatibilità

20.7 Elementi d’uso sui tool più diffusi

20.7.1 Tool specifici per l’analisi diretta della SIM/USIM

20.7.2 Forensic Card Reader

20.7.3 Forensic SIM Toolkit

20.7.4 SIMCon

20.7.5 SIMIS

20.7.6 USIMDetective

20.8 Strumenti per l’analisi di schede di memoria flash

20.9 Tool per analisi di dispositivi

20.9.1 Device Seizure

20.9.2 PocketPC forensic software

20.9.3 ABC Amber BlackBerry Converte

20.9.4 iPod Data Recovery

20.9.5 Lantern per iPhone/iPod Touch

20.10 Tool integrati

20.10.1 Oxygen Forensic Suite

20.10.2 Paraben Cell Seizure

20.10.3 Logicube CellDek

20.10.4 MicroSystemation Forensic Toolkit

20.10.5 MOBILedit! Forensic

20.10.6 Secure View

20.10.7 EnCase

20.11 Approccio tramite tool installati su memory card

21. Guida pratica per gli investigatori sulle attività “base di “mobile forensics”

21.1 Schema generale per l’analisi del dispositivo

22. Mappatura tra informazioni e obiettivi d’indagine

23. Analisi dei dispositivi

23.1 Analisi dei dispositivi iPhone

23.1.1 Caratteristiche tecniche dei sistemi iPhone

23.1.2 Architettura del sistema operativo

23.1.3 Comunicazioni

23.1.4 Meccanismi di salvataggio dei dati

23.1.5 Partizionamento della memoria

23.1.6 Salvataggio dei dati

23.1.7 Meccanismi di sicurezza

23.1.8 Kernel sicuro

23.1.9 Ripristino di fabbrica “rapido”

23.1.10 Strategie d’acquisizione e analisi

23.1.11 Acquisizione “fisica” della partizione dei dati dell’utente

23.1.12 Sostituzione del kernel e installazione del software agente

23.1.13 Attivazione del software agente

23.1.14 Trasmissione del contenuto della partizione dei dati dell’utente alla workstation

23.1.15 Analisi del contenuto della memoria

23.1.16 Analisi logica del file system

23.1.17 Analisi fisica del file immagine della partizione dei dati utente

23.1.18 Accesso a terminali bloccati

23.1.19 Estrazione dei dati sincronizzati sul PC associato

23.2 Analisi dei dispositivi BlackBerry

23.2.1 Caratteristiche tecniche dei sistemi BlackBerry

23.2.2 Comunicazioni e integrazione con altri sistemi

23.2.2.1 Messaggistica

23.2.2.2 Meccanismi di sicurezza

23.2.3 Aree d’acquisizione e analisi

23.2.3.1 Server centrale RIM

23.2.3.2 Server enterprise BES

23.2.3.3 Software di sincronizzazione BlackBerry Desktop

23.2.3.4 Utilizzo di un simulatore software

23.2.3.5 BlackBerry Diagnostic Report

23.3 Analisi dei dispositivi Android

23.3.1 Caratteristiche tecniche dei sistemi Android

23.3.1.1 Architettura del sistema operativo

23.3.1.2 Interfaccia di debug

23.3.1.3 Integrazione con i servizi Google

23.3.1.4 Meccanismi di salvataggio dei dati

23.3.1.5 Meccanismi di sicurezza

23.3.2 Strategie d’acquisizione e analisi

23.3.2.1 Accesso “amministrativo” al sistema

23.3.2.2 Analisi logica della memoria

23.3.2.3 Estrazione del contenuto fisico della memoria

23.3.2.4 Utilizzo di emulatori Android

23.4 Analisi dei dispositivi Symbian

23.4.1 Caratteristiche tecniche dei sistemi Symbian

23.4.1.1 Architettura del sistema operativo

23.4.1.2 Meccanismi di sicurezza con impatti sull’analisi forense

23.4.2 Strategie d’acquisizione e analisi

23.4.3 Estrazione “logica” attraverso software di sincronizzazione

23.4.4 Estrazione “logica” dei contenuti attraverso software agente

23.4.4.1 Disabilitazione delle protezioni di sicurezza

23.4.4.2 Installazione di software agente sul dispositivo

23.5 Analisi dei dispositivi Windows Mobile

23.5.1 Caratteristiche tecniche dei sistemi Windows Mobile

23.5.2 Comunicazioni

23.5.3 Meccanismi di salvataggio dei dati

23.5.4 Partizionamento della memoria

23.5.5 Salvataggio dei dati

23.5.6 Meccanismi di sicurezza con impatti sull’analisi forense

23.5.7 Strategie d’acquisizione e analisi

23.5.8 Acquisizione “fisica” della partizione dei dati dell’utente

23.5.8.1 Disabilitazione della policy per il controllo della certificazione delle applicazioni

23.5.8.2 Installazione del software agente

23.5.8.3 Copia “live” della partizione dei dati

23.5.9 Analisi del contenuto della memoria

23.5.9.1 Analisi logica del file system

23.5.9.2 Emulazione software dei dispositivi

23.5.9.3 Analisi “fisica” del file immagine della partizione dei dati utente

23.6 Analisi dei dispositivi Palm OS

23.6.1 Caratteristiche tecniche dei sistemi Palm OS

23.6.1.1 Comunicazioni

23.6.1.2 Meccanismi di salvataggio dei dati

23.6.2 Strategie d’acquisizione e analisi

23.6.3 Estrazione “fisica” del contenuto della memoria del dispositivo

23.6.3.1 Abilitazione della modalità di debug

23.6.3.2 Estrazione del contenuto della memoria RAM

23.6.4 Analisi del contenuto della memoria

24. Conclusioni

24.1 Strategie applicabili alle famiglie di dispositivi mobili

24.2 Mappatura delle strategie abilitate dalle possibilità d’intervento tecnologico

 

CAPITOLO 18

CRITTOGRAFIA, STEGANOGRAFIA E TECNICHE DI ANALISI FORENSE

a cura di Gerardo COSTABILE, Marco MATTIUCCI e Giuseppe MAZZARACO

1. Premessa

2. Steganografia

3. Principali metodi steganografici

4. Steganalisi

5. Identificazione della steganografia

6. Crittografia

7. La crittoanalisi

8. Possibili attacchi alla cifratura dei dati

9. Attacco alla cifratura di volumi di storage

10. Attacco alla cifratura di file e archivi di file

11. Attacco alla cifratura delle email

12. Esempio di un’acquisizione “live” e decifratura di un volume TrueCrypt

 

CAPITOLO 19

ELECTRONIC FORENSICS

a cura di Gerardo COSTABILE, Marco MATTIUCCI e Giuseppe MAZZARACO

1. Premessa

2. Dispositivi embedded general purpose

3. Analisi dell’hardware e delle sue caratteristiche

4. Identificazione delle modalità d’interazione

5. Analisi del software e dei dati

6. Skimmer analisys

7. Alterazione di uno sportello bancario ATM

8. Alterazione di un terminale POS

9. Caratteristiche di un circuito pirata

10. Ulteriori considerazioni tecniche

11. Caratteristiche del sistema forense di lettura delle EEPROM

12. Skimming da sportello ATM mediante lettura audio della banda magnetica

13. Memorizzazione dei dati sulla banda magnetica

13.1. Dalla banda magnetica ai caratteri ASCII

13.2. La banda magnetica

13.3. Il segnale della testina di lettura

13.4. La codifica F2F o Aiken Biphase

13.5. Acquisizione di una banda magnetica mediante registrazione audio

13.6 Decodifica di una banda magnetica acquisita in formato audio

13.7. Il software MABdec per la decodifica Aiken Biphase

13.8. RFID analysis

14. Cenni al mondo RFID

14.1. Panoramica sull’analisi forense dei sistemi basati su RFID

14.2. Analisi dei tag RFID

14.3. Analisi dei sistemi dedicati al trattamento dei tag RFID

 

CAPITOLO 20

MEDIA FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. I supporti ottici e la loro analisi

2. Caratteristiche dei supporti ottici

2.1 Caratteristiche fisiche

3. Organizzazione fisica dei dati sui supporti ottici

4. Organizzazione logica dei dati sui supporti ottici

5. Acquisizione e analisi dei supporti ottici

6. Creazione dell’immagine del supporto

7. Analisi delle informazioni

 

CAPITOLO 21

CLOUD FORENSICS

a cura di Gerardo COSTABILE, Marco MATTIUCCI e Giuseppe MAZZARACO

1. Premessa

2. Introduzione al cloud computing

3. Struttura di un Cloud System

4. La forensics applicata al cloud computing

5. Ricerca di evidenze lato server

6. Ricerca di evidenze lato client

7. Ricerca di evidenze relative a dati in transito

8. Cenni al Cloud Computing per finalità di digital forensics

 

CAPITOLO 22

PRINTER AND SCANNER FORENSICS

a cura di Gerardo COSTABILE e Giuseppe MAZZARACO

1. Premessa

2. Ambiti d’interesse della printer and scanner forensics

3. Analisi della stampa e identificazione della stampante

4. Analisi generale del documento

5. Analisi delle caratteristiche della stampa

6. Informazioni inserite nella stampa dal produttore

7. Profilazione delle stampanti

8. Preparazione del documento e profilazione della stampante

9. Analisi della scansione e identificazione dello scanner

10. Analisi della memoria interna dei dispositivi di stampa

11. Analisi delle evidenze generate dal processo di stampa sui sistemi collegati alla stampante

 

CAPITOLO 23

CASE STUDY ED ESERCIZI TECNICI

Caso 1. Esercizio: furto di informazioni tramite pen drive

Caso 2. Esercizio: password recovery

Caso 3. Esercizio: network traffic analysis

Caso 4. Esercizio: attacco terroristico

Caso 5. Esercizio: puzzle forensics

Caso 6. Esercizio: crypto analysis

Caso 7. Esercizio: analisi di un floppy disk

Caso 8. Esercizio: validazione di un write blocker (software)

Caso 9. Esercizio: validazione di un write blocker (hardware)

Caso 10. Case study: analisi di un computer vittima di frode informatica

Caso 11. Case study: analisi di un’email di phishing e di un sito clone

Caso 12. Case study: analisi tecnica del virus Anserin

Caso 13. Case study: tecnica di analisi di un sito di phishing – step by step

Caso 14. Relazione di consulenza tecnica informatica

 

BIBLIOGRAFIA E SITOGRAFIA

 

GLOSSARIO

 

APPENDICE DELLE IMMAGINI

Share

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

*

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>