eBook Gratis

Rispondere a violazioni della sicurezza e ad attacchi da parte di pirati informatici: questo e' lo scopo per il quale questa guida e' stato pensata e realizzata. Il lettore vi ricavera' informazioni dettagliate sull'intero processo d'indagine e comprendera' l'importanza di seguire procedure ben specifiche immediatamente dopo l'intervento di un attacco, Con esempi tecnici e la definizione di possibili scenari, questo volume mostra come riconoscere accessi non autorizzati, scoprire file insoliti o nascosti e monitorare il traffico del Web. Dettagliata, autorevole e aggiornata: Hacker pronto intervento e' la sola guida di cui avete bisogno.

Argomenti:

• Rilevazione delle intrusioni
• Prevenzione degli attacchi
• Linee guida nell'investigazione
• Sorveglianza della rete
• Investigare l'attivita' dei router
• Investigare l'attivita' del sito
• Investigare l'attivita' del server

Introduzione
Gli obiettivi del libro
A chi e' destinato questo libro
Convenzioni grafiche
Struttura del libro
Parte I
Parte II
Parte III e IV
Parte V
Risorse accessibili online

Parte I - Concetti fondamentali dell'Incident Response

Capitolo 1 - Minacce interne ed esterne al sistema
I deterrenti per scoraggiare le aggressioni
Un'autentica talpa
Informazioni ottenute in base a un'ordinanza del tribunale in conformita' con il §2702 del 18 U.S.C

Capitolo 2 - Le tecniche di difesa
Obiettivi
Metodologia
Prevenzione contro gli attacchi
Rilevamento dell'introduzione
Risposta iniziale
Formulazione della strategia di risposta
Decisioni relative alla strategia di risposta
Esposizione della strategia ai dirigenti
Duplicazione a scopo probatorio
Indagini
Attuazione delle misure disicurezza
Monitoraggio della rete
Che cosa e come monitarare?
Che cosa monitorare?
Ripristino
Che cosa e' stato compromesso
Strategia di ripristino
La relazione

Capitolo 3 - Prevenzione degli attacchi
Identificazione delle risorse di rete da proteggere
Preparazione dei singoli host
Registrazione di checksum crittografici dei fili critici
Potenziamento o attivazione di un logging di controllo sicuro
Costruzione delle difese degli host
Backup dei dati
Protezione basata sugli host: istruire gli utenti
Preparazione di una rete
Installazione di firewall e IDS
Utilizzo delle liste di controllo degli accessi sui router
Creazione di una topologia di rete che consenta il monitoraggio
Crittografia del traffico di rete
Richiesta di autenticazione
Definizione di direttive e procedure autorizzate
La strategia di risposta agli attacchi
Le direttive aziendali facilitano le attivita' investigative
AUP
Chiarezza e coerenza
Progettazione della AUP
Creazione del kit di strumenti d'intervento
Hardware
Software
La piattaforma di monitoraggio delle reti
Costituzione di una squadra addetta alla sicurezza
Gli obiettivi della squadra addetta alla sicurezza
Formazione della squadra
Addestramento e associazioni professionali

Parte II - Le tecniche di indagine

Capitolo 4 - Guida alle indagini
Valutazione iniziale
Domande durante la valutazione dell'attacco
Lista di informazioni da annotare
Esame della topologia di rete
Verifica delle direttive
Le indagini
Colloqui con il personale
Attivita' pratiche
Formulazione della strategia di intervento
Ricerca della risposta piu' appropriata
A quale tipo di attacco e' soggetto il sistema?
Classificazione del sistema bersagliato
Esame di altri fattori influenti
Approvazione da parte dei dirigenti

Capitolo 5 - Rinvenimento di materiale probatorio
Come gestire le prove
Errori commessi durante l'accumulo di prove
Norme riguardanti i duplicati "ottimali dal punto di vista legale"
La catena di custodia
L'intervento iniziale
Dati volatili
Esame di un sistema online
Duplicazione a scopo probatorio
Procedure per la duplicazione a scopo probatorio
Verifica della configurazione di sistema di basso livello
I tool per la duplicazione a scopo probatorio
Safeback
Creazione di un dischetto di bootup DOS controllato
Utilizzo di Safeback
Utilizzo di utility di tipo UNIX
Creazione di un disco di bootup affidabile per UNIX
Creazione di un'immagine con dd
Utilizzo di EnCase
Creazione dei file delle prove con EnCase
Anteprima dei drive delle prove con EnCase
Analisi del materiale probatorio
Analisi fisica
Analisi logica
Dove si nascondono le prove?

Capitolo 6 - Protocolli di rete e trap and trace
Il protocollo TCP/IP
Incapsulamento
L'intestazione IP
L'intestazione TCP
L'intestazione UDP
Utilizzo di sniffer
Trap and trace
Creazione di file di output

Capitolo 7 - Sorveglianza delle reti
Perche' effettuare la sorveglianza delle reti?
Prove raccolte sulla rete
Mantenimento della catena di custodia
Analisi delle reti
Le sfide dell'analisi delle reti
Messa a punto del sistema di sorveglianza
Definizione degli obiettivi
Verifica con l'ufficio legale
Scelta dell'hardware appropriato
Scelta del software appropriato
Ubicazione e sicurezza del sistema di monitoraggio
Sorveglianza
Monitoraggio di telnet
Monitoraggio del File Transfer Protocol
Monitoraggio del traffico sul Web
Interpretazione di un attacco alla rete

Capitolo 8 - Attivita' avanzate di sorveglianza delle reti
Gli obiettivi degli aggressori piu' abili
Attivita' solitamente non monitorate
Attivita' difficilmente rilevabili
Attivita' difficilmente riproducibili
Attacchi difficilmente riconducibili a un indirizzo di origine
Ostacolare la raccolta delle prove
Mantenimento dell'anonimato
I covert channeling ICMP
Esame del traffico ping
Riconoscimento di covert channeling Loki
Riconoscimento del covert channeling ICMP di ultima generazione
I copvert channeling TCP senza stato
Esame di una sessione TCP senza stato
Riconoscimento del covert channeling TCP senza stato
Covert channeling nel traffico HTTP
Rilevamento dei server illeciti

Parte III - Indigini su diversi sistemi operativi

Capitolo 9 - Risposta iniziale sui sistemi Windows NT/2000
Creazione di un kit di tool per il pronto intervento
Etichette dei tool
Composizione del kit di tool
Memorizzazione delle informazioni durante la risposta iniziale
Raccolta di dati volatili prima della duplicazione a scopo probatorio
Organizzazione e documentazione delle indagini
Esecuzione di un cdm.exe affidabile
Chi e' connesso al sistema?
Individuazione delle porte aperte e delle applicazioni in ascolto
Elenco dei processi in corso di esecuzione
Elenco delle connessioni correnti e recenti
Documentazione dei comandi della risposta iniziale
Script della risposta iniziale
Recupero di informazioni da un sistema attivo
Log degli eventi durante una risposta in tempo reale
Esame del Registro durante una risposta in tempo reale
Acquisizione dei tempi di modifica dei file
Acquisizione delle password di sistema
Dumping della RAM di sistema
E' necessaria la duplicazione a scopo probatorio?

Capitolo 10 - Indagini su sistemi Windows NT/2000
Ubicazione delle prove nei sistemi Windows NT/2000
Predisposizione di una workstation per le indagini
Esame dei file logici
Gestione delle password
Analisi iniziale di basso livello
Indagine su un sistema Windows NT/2000
Esame di tutti i log pertinenti
Ricerca di keyword
Esame di file rilevanti
Identificazione di user account o gruppi autorizzati
Identificazione dei processi illeciti
Ricerca di file inconsueti o nascosti
Verifica dei punti di accesso non autorizzati
Esame dei processi eseguiti dal servizio
Utilita' di pianificazione
Analisi delle relazioni di fiducia
Esame degli identificatori di protezione
Controllo dei file e furto di informazioni
Gestione del caso del dipendente dimissionario
Esame di ricerche effettuate e di file utilizzati
Ricerche di stringhe su dischi rigidi

Capitolo 11 - Risposta iniziale su sistemi UNIX
Creazione diun kit di tool per il pronto intervento
Memorizzazione di informazioni durante la risposta iniziale
Acquisizione di dati volatili prima della duplicazione a scopo probatorio
Esecuzione di una shell affidabile
Chi e' connesso al sistema?
Determinazione dei processi in corso di esecuzione
Rilevamento di rootkit LKM
Individuazione di porte aperte e applicazioni in ascolto
Mappatura dei processi sulle porte aperte in altri sistemi UNIX
Rilevamento di sniffer illeciti sui sistemi UNIX
Esame del File System/proc
Il link exe nel File System /proc
La sottodirectory fd nel File System/proc
Il file cmdline nel File System/proc
Cancellazione delle tracce
Recupero di informazioni da un sistema attivo
Acquisizione delle ore di modifica, creazione a accesso per tutti i file
Acquisizione dei log di sistema durante una risposta in tempo reale
Acquisizione di file di configurazione importanti
Dumping del contenuto della RAM di sistema

Capitolo 12 - Indagini su sistemi UNIX
Preparazione all'esame di un'immagine ripristinata
Bootup con il sistema operativio nativo
Esecuzione dell'analisi iniziale di basso livello
Esecuzione di un'indagine UNIX
Esame dei log pertinenti
Esecuzione di ricerche di keyword
Esame dei file rilevanti
Identificazione di user account o group account non autorizzati
Identificazione di processi illeciti
Controllo dei punti di accesso non autorizzati
Analisi delle relazioni di fiducia

Parte IV - Indagine su tecnologie non specifiche di una piattaforma

Capitolo 13 - Indagini sui router
Acquisizione di dati volatili prima dello spegnimento del sistema
Creazione di una connessione con il router
Registrazione dell'ora di sistema
Determinazione degli utenti collegati
Determinazione dell'uptime del router
Determinazione dei socket in ascolto
Salvataggio della configurazione del router
Esame della tabella di routing
Verifica delle configurazioni delle interfacce
Visualizzazione della cache di ARP
Ricerca delle prove decisive
Gestione degli attacchi con compromissione diretta
Gestione di attacchi con alterazione della tabella di routing
Gestione di attacchi con furto di informazioni
Gestione degli attacchi Denial-of-Service
Utilizzo dei router come strumenti di risposta
Comprensione delle ACL
Monitoraggio con i router
Risposta agli attacchi DDoS

Capitolo 14 - Indagini sugli attacchi provenienti dal Web
Prima di disattivare il sistema
Ricerca delle prove
Indagini sui file di log
Indagini sul defacement di siti Web
Indagini su attacchi a livello Applicazione
Origine degli attacchi

Capitolo 15 - Indagini sugli Application Server
Indagini su attacchi contro i server DNS
Risposta agli attacchi diretti
Indagini sull'alterazione della cache
Indagini su attacchi contro server FTP
Risposta ad attacchi con compromissione diretta
Indagini sulla memorizzazione abusiva dei file
Indagini sugli attacchi contro i servizi RPC
Utilizzo dei record dei programmi di chat online nelle indagini
Risposta ad attacchi contro Microsoft Office
Ricerca di indizi nei documenti di Office
Decodifica dei documenti di Office
Origine degli attacchi contro le applicazioni
Ripristino di Application Server compromessi

Capitolo 16 - Indagini sui tool utilizzati dagli hacker
Compilazione dei file
Programmi collegati staticamente
Programmi collegati dinamicamente
Programmi compilati con le opzioni debug
Programmi compattati con strip
Programmi compressi con UPX
Analisi statica dei tool di un hacker
Determinazione del tipo di file
Esame delel stringhe ASCII e UNICODE
Ricerche sul Web
Esame del codice sorgente
Analisi dinamica del tool di un hacker
Creazione di un ambiente protetto
Analisi dinamica su un sistema UNIX
Analisi dinamica su un sistema Windows

Parte V - Appendici

Appendice A - Identificazione di persone nel Web
Indagini sugli indirizzi IP
Utilizzo di nslookup
Utilizzo di traceroute o tracert
Utilizzo del database Whois
Indagini su indirizzi IP dinamici
Indagini sugli indirizzi MAC
Invio di e-mail anonimi
Individuazione dell'autore di una fakemail
Individuazione dell'identita' di un e-mail basata sul Web
Indagini su indirizzi di posta elettronica, pseudonimi, username e hostname
Identificazione di un utente anonimo tramite vie legali
Avvio di procedimento giudiziario contro ignoti
Denuncia dell'attacco alle forze dell'ordine

Appendice B - Direttive sulla sicurezza informatica e AUP
Ambiti da valutare
AUP
Un esempio di AUP

Indice analitico