Iritaly CDv3 Win 32 GUI Interface

La versione windows del CD fornisce una serie di tool che consentono in fase di risposta di rilevare, acquisire e verificare (dal punto di vista dell’integrità) le principali informazioni presenti sul PC incriminato.

Essendo uno strumento di incident response esistono vincoli a cui non è possibile transigere: tutti i tool eseguiti non dovranno far uso in alcun modo dei binari presenti sul sistema operativo (perchè probabilmente compromessi) i salvataggi dei file di log devono essere effettuati su dispositivi esterni (il salvataggio può avvenire anche sul dispositivo incriminato previa conferma da parte dell’utente); lo strumento di IRP non dovrà quindi, in alcun modo, alterare lo stato del sistema.

Il programma è strutturato in sezioni che corrispondono a fasi da seguire durante la procedura di analisi di un incidente informatico:

  • Informazioni di sistema. Vengono recuperate: la lista dei processi attivi, i file dll caricati nel sistema ed eventualmente, per ciascuna di esse, vengono elencate le funzioni implementate, lo stato delle porte attive sul sistema, la lista dei servizi e dei driver installati, la lista dei programmi che vengono eseguiti in modalità autorun ed infine la lista degli ultimi accessi (conclusi con successo o falliti).

  • Acquisizione . Può essere suddivisa in due parti distinte, da utilizzare l’una in modalità client e l’altra in modalità server. Per quando riguarda la parte client, il tool offre all’utente svariate modalità per condurre l’acquisizione del disco. Il metodo basilare consiste nel duplicare un supporto in locale, ossia copiandolo su un dispositivo collegato alla macchina incriminata; in questo caso lo strumento utilizzato è esclusivamente DD. Se si è impossibilitati a duplicare un supporto in locale è possibile combinare l’uso di DD con l’uso di NETCAT (cryptcat). NETCAT permette di inviare ad una macchina remota un flusso di dati; nel nostro caso il flusso che verrà creato dal tool di acquisizione DD. Un altro strumento che appare utile in fase di acquisizione è SPLIT: esso permette, ricevuto un flusso di byte in ingresso, di suddividerlo in porzioni uguali e di dimensione scelta a priori. Prima di iniziare la fase di acquisizione è possibile scegliere di applicare controlli di checksum atti a valutare se il risultato finale è da considerarsi valido. Per quanto riguarda invece la parte server, la fase di acquisizione mette a disposizione l’uso di NETCAT per ricevere, su una porta prefissata e concordata con il client, il flusso di byte mandati dal server e l’uso di SPLIT, nel caso il flusso di dati in ingresso debba essere diviso in più parti.

  • Hashing. Calcolare i valori di hash di un file selezionato secondo diverse codifiche tra cui MD5, SHA1, CRC 32, RMD 256. L’importanza delle funzioni di hash è quella di garantire l’integrità dei dati e quindi valutare se è avvenuta una modifica.

  • Internet. In questa sezione vengono resi disponibili strumenti per il recupero delle attività legate alla rete. Attraverso strumenti quali PASCO, GALLETA, IECV e MZCV è possibile ottenere informazioni di un particolare cookie oppure ottenere la lista di tutti i cookies presenti sulla macchina. L’analisi può essere svolta sia su browser Internet Explorer sia su NetScape sia su Mozilla.

  • Sniffing. Sniffing del traffico di rete, con strumenti prettamente ad interfaccia grafica come SMSNIFF e SNIFFPASS che permettono rispettivamente di analizzare il traffico di rete ed il traffico di password; oppure troviamo strumenti a riga di comando come WINDUMP. Entrambi i programmi che catturano i pacchetti in transito sulla rete consentono di poter descrivere filtri per affinare l’acquisizione.

  • Editor Esadecimali. Strumento (HEXEDIT) per la visione e la modifica del contenuto dei file in esadecimale.

  • Wiping. Questo tool consente di rimuovere in maniera irreversibile i dati contenuti su un supporto. Nel nostro caso il metodo adottato per la cancellazione è il metodo di DoD (Department of Defense) il quale effettua sette passaggi con pattern prefissati.

  • Documentazione. E’ molto probabile che ci si trovi a dover compilare moduli in cui verranno specificate le operazioni intraprese; ecco quindi che all’interno del tool è stata riservata una sezione dedicata alla documentazione necessaria durante la fase di risposta ad un incidente informatico.