IRItaly (Incident Response Italy) è un progetto nato presso il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema. Lo scopo principale è informare e sensibilizzare la comunità tecnico/scientifica italiana, le aziende piccole e grandi, gli attori privati e pubblici sui temi dell'Incident Response e della Digital Forensics.

Il progetto si sviluppa in due parti fondamentali: la prima, documentale, che fornisce istruzioni dettagliate e ad ampio spettro.La seconda, elettronica, consta di un cdrom bootable set, che può interagire con varie piattaforme. I temi affrontati riguardano le problematiche relative ad attacchi informatici, in particolare i sistemi di difesa, Computer and Network Forensics sulla gestione degli incidenti e le modalità per il recupero dei dati.

Il documento di IRItaly è disponibile, al momento, solo per le Forze di Polizia e gli Enti Governativi. Il CdSet è scaricabile liberamente. Viene continuamente aggiornato e basato su cross validation. Prossimamente saranno pubblicamente rilasciate alcune linee guida contenute nel Documento.

Per quanto concerne le procedure di risposta ad incidenti informatici, sono definite le best practices per le analisi da effettuare sulle macchine vittime, in modo da poter rintracciare gli episodi di hacking, e comprendere le modalità dell’attacco. Il tutto è finalizzato a dare una valida risposta all’intrusione. Tale risposta deve essere intesa come la possibilità di effettuare un hardening dei sistemi piú consapevole ed efficace, che permetta di ridurre la possibilità di futuri attacchi. Non deve invece essere intesa come la generazione di un contro-attacco verso il presunto attaccante.

Tutte le attività finora descritte sono effettuate ponendo una particolare attenzione nella modalità di individuazione, conservazione ed eventuale utilizzo in sede di contenzioso disciplinare o giudiziario delle fonti di prova. Il filo conduttore del documento è l’insieme di azioni che dovrebbero essere intraprese in caso di intrusione informatica. Esso è infatti costituito da differenti capitoli, ognuno dei quali effettua un’analisi approfondita di tali momenti, ossia:

  • la fase di preparazione della risposta all’intrusione;
  • l’analisi delle informazioni disponibili che la caratterizzano;
  • la raccolta e la conservazione delle informazioni ad essa associate (le fonti di prova);
  • l’eliminazione degli strumenti utilizzati per guadagnare e mantenere l’accesso illecito alla macchina (rootkit);
  • il ripristino dei sistemi alle condizioni di normale operatività.

Vengono dunque fornite informazioni dettagliate riguardanti:

  • la gestione dei differenti file system,
  • le procedure di backup dei dati,
  • le operazioni necessarie per effettuare le immagini dei dischi fissi e di supporti removibili,
  • la gestione di comunicazioni elettroniche sicure,
  • gli algoritmi di crittografia e le relative implementazioni,
  • gli strumenti di analisi, acquisizione e tutela dei file di log.

Il documento contiene infine una proposta per una modulistica uniforme, volta ad organizzare al meglio le attività, agevolando l’interazione tra organizzazioni che analizzano l’incidente avvenuto, o tra differenti target coinvolti nell’attacco. In particolare si presenta un Report per la gestione degli incidenti informatici e la Chain of Custody, documento utile per tenere traccia di tutte le informazioni riguardanti le fonti di prova. Il cdrom set può essere altresi' utilizzato per effettuare un primo riconoscimento della configurazione dei computer compromessi.

Gli strumenti presenti offrono la possibilità di effettuare l’analisi dei dischi, generare una loro immagine ed effettuare accertamenti sui log, in modo da poter compiere un’analisi di primo livello dell’incidente avvenuto.

Team

IRItaly Live CD e IRitaly Paper sono parte integrante del progetto IRItaly fondato dal prof. Dario Forte.


Per ulteriori informazioni : info@iritaly.org