[29 Dicembre 2008] - IRItaly and PTK 2009/2010

Come ogni anno, con questo messaggio desidero ringraziare tutti coloro che hanno contribuito (e stanno contribuendo) ai progetti di IRITaly e DFLabs. É stato un 2008 estremamente carico di impegni, e di numerose soddisfazioni, su più livelli. I download del nostro progetto PTK sono state varie migliaia, provenienti da tutto il mondo, e ci hanno confermato che il progetto, tra l’altro scelto e valutato dal SANS Institute e da numerose altre realtà internazionali, tra cui Europol, è sulla buona strada.

Il 2009 ci aspetta con grandi prospettive, sia come Dflabs sia come progetto IRItaly, ormai giunto al suo sesto anno di attività.

Abbiamo iniziato quando, senza inutili snobbismi, la materia della digital investigation era davvero ad appannaggio di pochi al mondo. I primi contributi del progetto risalgono al 1999, con diverse partecipazioni internazionali, tra cui citiamo la pietra miliare, il DFRWS. Le nostre ricerche sono state pubblicate worldwide, e, ad oggi, possiamo contare circa venti articoli peer reviewed , in autorevoli riviste e conference proceedings.

E’ quindi giunto il momento di consolidare ulteriormente gli sforzi, in vista del 2010. Per il biennio che ci aspetta, abbiamo deciso questa strategia:

  • i Cd di IRItaly, nelle tre versioni, saranno ancora disponibili, ma non riceveranno ulteriore supporto (end of life). Si tratta di un progetto nato ormai sei anni or sono. In questo periodo assistiamo con piacere ad una serie di emulazioni, molte delle quali non presentano, a nostro parere, nulla di innovativo e, al contempo, per la loro impostazione, generano forti dubbi in materia di validazione forense. Al momento in cui scriviamo, nel nostro paese, abbiamo contato almeno quattro distribuzioni che “rielaborano” quanto consolidato da IRItaly ormai sei anni fa. Auguriamo ai rispettivi mantainers il massimo successo, pur ritenendo che non sia utile per la comunità (e per noi) proseguire su una strada (quella del live Cd) ormai appartenente ad una generazione passata.
  • DIM-AM continuerà ad essere supportato, in quanto si tratta di un tool, a nostro parere, ancora utile, e che può aiutare molti investigatori nella fase di preservation di base. Essendo poi DIM-AM parte integrante (ancorchè gratuita) di Digital Investigation Manager, ci sembra giusto proseguire nel supporto.
  • I nostri sforzi, sia di sviluppo, sia di documentazione sia di website, saranno diretti soprattutto a PTK, ormai vicino ai diecimila download reali, e le cui potenzialità sono ormai condivise a livello mondiale. Il progetto avrà numerose novità per il biennio 2009/2010.

A questo punto desidero ringraziare tutti coloro che hanno contribuito, direttamente e indirettamente, alla crescita di IRItaly. In particolare il Team di DFLabs. Un gruppo di persone di altissimo livello, sempre disponibili al confronto e alle sfide professionali; un gruppo che ha sposato il progetto sin da tempi non sospetti e che, ora più che mai, merita il plauso. Non solo del sottoscritto, ma di tutti coloro che, realmente, fanno questo mestiere.

Dario Forte.


IRItaly (Incident Response Italy) è un progetto nato presso il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema. Lo scopo principale è informare e sensibilizzare la comunità tecnico/scientifica italiana, le aziende piccole e grandi, gli attori privati e pubblici sui temi dell'Incident Response e della Digital Forensics.

Il progetto si sviluppa in due parti fondamentali: la prima, documentale, che fornisce istruzioni dettagliate e ad ampio spettro.La seconda, elettronica, consta di un cdrom bootable set, che può interagire con varie piattaforme. I temi affrontati riguardano le problematiche relative ad attacchi informatici, in particolare i sistemi di difesa, Computer and Network Forensics sulla gestione degli incidenti e le modalità per il recupero dei dati.

Il documento di IRItaly è disponibile, al momento, solo per le Forze di Polizia e gli Enti Governativi. Il CdSet è scaricabile liberamente. Viene continuamente aggiornato e basato su cross validation. Prossimamente saranno pubblicamente rilasciate alcune linee guida contenute nel Documento.

Per quanto concerne le procedure di risposta ad incidenti informatici, sono definite le best practices per le analisi da effettuare sulle macchine vittime, in modo da poter rintracciare gli episodi di hacking, e comprendere le modalità dell’attacco. Il tutto è finalizzato a dare una valida risposta all’intrusione. Tale risposta deve essere intesa come la possibilità di effettuare un hardening dei sistemi piú consapevole ed efficace, che permetta di ridurre la possibilità di futuri attacchi. Non deve invece essere intesa come la generazione di un contro-attacco verso il presunto attaccante.

Tutte le attività finora descritte sono effettuate ponendo una particolare attenzione nella modalità di individuazione, conservazione ed eventuale utilizzo in sede di contenzioso disciplinare o giudiziario delle fonti di prova. Il filo conduttore del documento è l’insieme di azioni che dovrebbero essere intraprese in caso di intrusione informatica. Esso è infatti costituito da differenti capitoli, ognuno dei quali effettua un’analisi approfondita di tali momenti, ossia:

  • la fase di preparazione della risposta all’intrusione;
  • l’analisi delle informazioni disponibili che la caratterizzano;
  • la raccolta e la conservazione delle informazioni ad essa associate (le fonti di prova);
  • l’eliminazione degli strumenti utilizzati per guadagnare e mantenere l’accesso illecito alla macchina (rootkit);
  • il ripristino dei sistemi alle condizioni di normale operatività.

Vengono dunque fornite informazioni dettagliate riguardanti:

  • la gestione dei differenti file system,
  • le procedure di backup dei dati,
  • le operazioni necessarie per effettuare le immagini dei dischi fissi e di supporti removibili,
  • la gestione di comunicazioni elettroniche sicure,
  • gli algoritmi di crittografia e le relative implementazioni,
  • gli strumenti di analisi, acquisizione e tutela dei file di log.

Il documento contiene infine una proposta per una modulistica uniforme, volta ad organizzare al meglio le attività, agevolando l’interazione tra organizzazioni che analizzano l’incidente avvenuto, o tra differenti target coinvolti nell’attacco. In particolare si presenta un Report per la gestione degli incidenti informatici e la Chain of Custody, documento utile per tenere traccia di tutte le informazioni riguardanti le fonti di prova. Il cdrom set può essere altresi' utilizzato per effettuare un primo riconoscimento della configurazione dei computer compromessi.

Gli strumenti presenti offrono la possibilità di effettuare l’analisi dei dischi, generare una loro immagine ed effettuare accertamenti sui log, in modo da poter compiere un’analisi di primo livello dell’incidente avvenuto.

Team

IRItaly Live CD e IRitaly Paper sono parte integrante del progetto IRItaly fondato dal prof. Dario Forte.


Per ulteriori informazioni : info@iritaly.org