Resoconto Dettagliato IISFA Cybercop (parte I)

Avevo promesso di postare il report entro pochi giorni, ma come sempre, il tempo sinora è stato tiranno. In ogni modo alla fine eccolo qui.

La nostra squadra era stata compsta la settimana prima. Con un attacco di immodestia mi assumo la piena responsabilità della cosa. Stavo prendendo un the in ufficio e mi è venuto in mente di telefonare al buon Rebus. Tra le varie cose è saltata fuori l'idea di partecipare a Cybercoop 2008.

Come spesso accade Davide ha bisogno solamente del “la” per poi partire con tutta la sinfonia. Ha compilato i moduli, dato il nome alla squadra (un imbarazzantissimo ' OR 1=1 che, essendo quasi impronunciabile, è stato cambiato dagli organizzatori in un più semplice “SQL Injection”), reclutato gli altri membri e piazzato l'iscrizione un minuto prima della scadenza dei termini (“giusto per rappresaglia”).

Siamo arrivati nel centro di Bologna che sembravamo più degli sherpa che dei computer forenser. Tra borse, valige, hardware software (che tanto soft non era), dischi esterni, write blocker, memorie di massa, mancavano solo i lama per confonderci con una spedizione sull'Everest.

Io avevo:

1- Portatile Asus AMD64 con 2 Gb di RAM, Opensuse 10.2 e un po' di software forense

2- EEEPC con 1 GB di RAM, disco esterno da 40 Gb, Xandros e DEEEFT

3- Apple Macbook con 2 GB di RAM, 250 Gb di disco, MacOSX 10.5, Parallels Desktop 3 e un disco esterno pieno zeppo di macchine virtuali.

4- Adattatore ATA/SATA <--> USB

5- Due dischi fissi vergini per un totale di 2 TB di spazio libero.

6- Ceralacca e “kit del piccolo mummificatore” per repertare le evidenze.

7- Cacciaviti e stazione saldante.

8- Modem HSDPA con contratto 3.Dati (è stato decisamente uno egli elementi che ci hanno permesso di surclassare le altre squadre)

9- Una ventina di memory card usabili come supporti “a perdere”

Matteo oltre al suo fidato Macbook aveva una montagna di cose che tirava fuori prontamente dallo zaino... alimentatori, switch, prese multiple, adattatori, lettori di card ... Se mai al mondo è stata inventata la borsa di Mery Poppins, beh è stata sicuramente comprata da Matteo.

Rebus è giunto con uno zaino apocalittico organizzato molto “sbirro style” e perfettamente inventariato e contenente portatile, write blocker, dischi esterni e quelle 300/400 diavolerie che si sono rivelate essenziali.

Ad ogni modo alle 10:00 è iniziato il concorso. Lo stesso era composto sia da una parte legale sia da una tecnica. Lo scopo era di far interagire i pool di investigatori con i consulenti tecnici così da permettere all'indagine di potersi sviluppare a 360 gradi.

La partenza riguardava una denuncia presentata dalla filiale italiana di una corporation americana, per sospetta sottrazione di know how da parte di uno dei dipendenti.

Eravamo in pieno brainstorming quando si presenta un arcigno e antipaticissimo professore che ci ha intimato tutti di uscire dall'aula perché era necessaria per le lezioni. Da lì ci hanno trasferito in biblioteca, dalla quale ci hanno sfrattato dieci minuti dopo , e la stessa cosa è successa dai tavoli nel corridoio. Alla fine siamo finiti su una panchina del chiostro (e nei tre metri quadri adiacenti dove abbiamo sparso la nostra attrezzatura. Complimenti all'università di Bologna per aver avuto l'ospitalità di un unno con problemi relazionali e la flessibilità di un paracarro.

Alessandro Clementi si è subito messo in azione. Vi erano una serie infinita di carte da compilare, bisognava capire se il soggetto che ha presentato la querela era legittimato a farlo, era necessario richiedere alla parte lesa i log per provare il reato e cominciare ad investigare, effettuare le richieste necessarie al pubblico ministero ecc. ecc.

Risultato, dopo un primo exploit che ha coinvolto Rebus, LK e me, che ha portato alla creazione di una mind map necessaria per organizzare la richiesta di evidenze e la successiva indagine, abbiamo passato due ore a piantare grane, a confabulare ad alta voce giusto per infastidire i vicini e a compiere altre azioni socialmente seccanti, mentre Clementi passava il tempo a scrivere documenti, a recapitarli a chi dovere e a sfogliare svariati codici nazionali e internazionali. Che belo avere un vero ispettore a smazzarsi la parte di PG! Ad ogni modo un plauso al nostro poliziotto che ci ha subito avvantaggiato rispetto alle alte squadre.

Dato che la denuncia prendeva spunto da una mail, uno dei log che necessitava di essere raccolto ed esaminato era quello del mail server aziendale. Da questo si doveva risalire ad uno specifico IP e da quest'ultimo all'intestatario della linea. Solo il server stava negli Stati Uniti e quindi era necessario adattare gli orari al nostro fuso orario. A qualche squadra questo è sfuggito e quindi si sono trovati a fare una perquisizione a casa di un innocente! Solo che gli organizzatori, in un attacco di cattiveria infinita, avevano preparato un puzzle anche per coloro che avevano sbagliato persona e quindi hanno perso ore cercando nel pendrive cose che non potevano esserci!

Per fortuna noi non siamo caduti nella trappola, abbiamo fatto la perquisizione e ci siamo trovati in mano il pendrive corretto. Lo abbiamo repertato con la ceralacca, abbiamo provveduto a portarlo in laboratorio per iniziare l'analisi.

La copia (effettuata con “dcfldd”) tramite un notebook con helix a bordo è andata perfettamente. Abbiamo poi saputo/notato un paio di cose. Il modello di pendrive scelto da IISFA aveva la particolarità di piantare alcuni dei principali write blocker presenti sul mercato. Quindi alcune squadre hanno perso molto tempo già solo in questa fase. Oltretutto un file “autorun.inf” faceva in modo di alterare il contenuto del pendrive nel caso si fosse usato Windows come sistema operativo senza un write blocker. Anche qui qualcun è caduto.

Dato che avevo una caterva di memory card della stessa dimensione, abbiamo provveduto a crearci un nuovo supporto per ciascuno, così che ognuno potesse approfondire l'indagine come meglio credeva.

E qui abbiamo cominciato a lavorare. Quello che ci siamo trovati davanti è stato un vero incubo da forenser. L'evidenza era stata spaccata in quattro parti nascosti in modi differenti uno dall'altro. Tutto fuorché un caso reale in quanto, nel mondo reale, nessuno usa metodi così assurdi.

I file contenuti all'interno del pendriver erano:

totale 24920
-r--r--r-- 1 root root 80 2008-04-16 13:05 autorun.inf
-rw-rw-rw- 1 root root 4658448 2007-06-22 17:28 CarryItEasy.exe
-rw-rw-rw- 1 root root 964118 2007-07-03 14:16 Carry it Easy +Plus - User Manual.pdf
drwxrwxrwx 2 root root 2048 2008-04-16 02:07 collezione/
-rw-rw-rw- 1 root root 9879101 2007-03-06 20:34 DIKOMcat07-part1.indd.pdf
-rw-rw-rw- 1 root root 10002549 2007-03-07 11:26 DIKOMcat07-part2.indd.pdf
drwxrwxrwx 3 root root 2048 2008-04-16 02:07 driver/
drwxrwxrwx 3 root root 2048 2008-04-16 02:07 lavoro/
drwxrwxrwx 2 root root 2048 2008-04-16 02:07 Privato/

Abbiamo cominciato a curiosare intorno, cercando di soffermarci su quanto attirasse la nostra attenzione. LK ha cominciato a ficcanasare nella directory /Privato, che conteneva i seguenti file.


-rw-rw-rw- 1 root root 133864 2008-04-06 01:57 bologna.jpg
-rw-rw-rw- 1 root root 23 2008-04-18 15:15 login.exe
-rw-rw-rw- 1 root root 4894 2008-04-06 02:43 log.txt
-rw-rw-rw- 1 root root 12698 2008-04-06 15:49 password.txt
-rw-rw-rw- 1 root root 5242880 2008-04-06 23:26 reserved

LK ha notato subito il file “reserved” senza estensione. Leggendo il file “password.txt” (che conteneva una serie di consigli su come scegliere password sicure) e osservando con un editor esadecimale il file “reserved” ha dedotto (vista la mancanza di appigli possibili) che potesse essere un file truecrypt (in un altra directory in effetti c'era anche il manuale di Truecrypt).

LK a quel punto è entrato in loop con una serie di frasi a rotazione “Truecrypt, sì è truecrypt, risolvo io, ho l'ultima versione .... Truecrypt, sì è truecrypt, risolvo io, ho l'ultima versione .... Truecrypt, sì è truecrypt, risolvo io, ho l'ultima versione .... “ Sembrava giusto Federico Moccia nell'imitazione di Fiorello.

Fiduciosi in un break nel ciclo di LK io e il buon Rebus ci siamo dedicati a trovare i restanti pezzi del puzzle...

(Segue domani seconda parte)