Memory (live) analysis with Google!

-
Mi affascina da sempre la Computer Forensics e proprio per questo mi sono deciso ad intraprendere una piccola analisi della memoria del mio computer.

Dopo aver compilato il programma per il dump live della memoria su VISTA (poco importa se troverò il footprint del programma in memoria), lo faccio girare in una shell con diritti di amministratore, ritrovandomi alla fine del processo i miei bei 3 Gbyte di file su disco.



Operazione abbastanza veloce e, giustamente, alla fine del dump il programma mi fornisce anche l'hash del file (necessario in un'indagine forense).

Ma adesso cercare qualche cosa all'interno di un file così grande è come cercare un ago in un pagliaio! La prima cosa (e anche quella più banale ahimè) che mi viene in mente è di cercare qualcuna delle mie innumerevoli password. Hai visto mai che qualche applicazione lascia le password in chiaro in memoria?

Ovviamente esiste sempre una finestra temporale abbastanza piccola (si spera) in cui questo è vero, ma di solito si cerca di azzerare sempre le zone di memoria delle password proprio per evitare analisi di questo tipo. La ricerca va avanti nel mega-file ed ecco i programmi incriminati:

GMail e Google Analytics


Le mie password in chiaro sono presenti nelle URL di accesso sia a GMail (in una prima analisi) che in Google Analytics (con un secondo dump) con il parametro "&passwd=miapassword". Qui sotto potete vedere le schermate ottenute con WinHex e le porzioni di memoria che contengono le URL di autenticazione :




Conclusione ovvia, poiché utilizzo molto spesso le due applicazioni incriminate e la probabilità di trovare in memoria le URL di autenticazione è sicuramente più alta rispetto ad altre applicazioni.

Ma qualche considerazione di sicurezza la possiamo sempre fare:

  • Considerare le URL sopra indicate come pattern di ricerca in memoria mi sembra una buona strategia di ricerca delle password applicative di BigG e se consideriamo che la password della posta elettronica apre tante altre porte...
  • Perché non calcolare l'hash della password tramite JavaScript e inviare alla parte server solo l'hash (e salt e tanto altro) e non la password in chiaro? In questo modo si minimizzerebbe il tempo in cui la password sarebbe in memoria ed inoltre sarebbe più difficile trovare dei pattern (come la URL nelle figure) identificativi per la ricerca di password. Un conto è ricercare la URL e risalire alla password, un altro è cercare le tracce della funziona JavaScript che calcola l'hash della password o trovare l'hash.
  • Per effettuare il dump della memoria bisogna avere i diritti di amministratore sulla macchina. Ma questa è una condizione necessaria ma non sufficiente per trovare le altre password applicative, come per esempio la password di accesso alla posta elettronica.
  • Mi chiedo se non esistano delle API specifiche per l'azzeramento delle aree di memoria in JavaScript (ma banalmente basterebbe riscrivere la password "n" volte con pattern casuali). Anche qui minimizzare il tempo di residenza della password in chiaro in memoria mi sembra un must non solo per le applicazioni fat-client, ma anche per quelle Web. E con tutto il JavaScript che c'è a livello client oramai possiamo considerare le applicazioni Web 2.0 delle Fat-Web-App.
  • I tool che ho utilizzato per questo piccolo esperimento di Computer Forensic (anzi per essere precisi di Live Computer Forensics) sono: MDD: per il dump (live) della memoria su un sistema VISTA; WinHex: per l'analisi del dump file (e non solo...);
Se volete saperne di più sulla Computer Forensics vi consiglio l'ottimo libro di Andrea Ghirardini e Gabriele Faggioli "Computer Forensics 2a edizione". Completo, ben scritto e ben organizzato. Speriamo che il buon Andrea completi l'opera con un compendio di tool e qualche Quick Guide.

Commenti

  1. Anonimo6 luglio 2009 alle ore 06:10

    Ciao Roberto,

    perchè limitarsi alle password, anche le chiavi possono essere ricercate:

    “Getting a private key out of memory? That’s easy. Try looking for the PKCS identifiers.”

    questo è un piccolo estratto da un post di Thomas Ptacek. In sintesi le chiavi non sono sperdute in mezzo a tutta quella memoria, accanto hanno sempre qualcosa di riconoscibile.

    Mario da Roma.

    RispondiElimina
  2. Anonimo7 luglio 2009 alle ore 02:30

    "animal-engineering"

    per questo c'è un termine più adatto inventato da Marcus J.Ranum Rubber Hose Cryptanalysis.

    Mario

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere