CyberCop2011

Anche quest’anno ho partecipato, per la seconda volta, al CyberCop.
Per chi non lo sapesse il CyberCop è un concorso nazionale a squadre, sulle indagini informatiche e computer forensics.
Come sempre è stato un evento divertente ed educativo.

Rispetto allo scorso anno ho partecipato con una nuova squadra: Giuseppe Miragoli, Massimo Rocca e, come unico investigatore, un maresciallo della Guardia di Finanza che però, all’ultimo, non ha potuto partecipare lasciando quindi la nostra squadra priva di un  elemento e senza agente di Polizia Giudiziaria (PG). Seppur partecipando per divertirci e fare bella figura, senza la pretesa di vincere, riuscire ad andare avanti nel CyberCop senza un investigatore è utopistico. Non ci siamo però darti per vinti e ci siamo impegnati al massimo ugualmente.

Il gioco è partito con una querela (anche se sarebbe stata più corretta una denuncia) da parte di Gigi Boccalone detto “il tonno” per phishing e frode sulla sua carta per un’operazione da 1€.
Allegata alla querela vi era l’email di phishing acquisita “dai migliori esperti informatici italiani” con FTK Imager ed il relativo log.
Purtroppo non ci siamo accorti che l’hash dell’email, calcolato con FTK, non combaciava con quello presente nel log. Gli organizzatori si sono divertiti a cambiare, nel log, solamente le ultime tre cifre dell’hash; inoltre avendo gli organizzatori rinominato il file, in FTK non veniva effettuata in automatico la verifica dell’hash dell’email con quello presente nel log…

In assenza di un investigatore nel team, mi sono occupato io (con pessimi risultati, almeno dal punto di vista formale) di preparare e compilare la modulistica e le richieste. Così, mentre procedevo alla comunicazione di notizia di reato, Giuseppe e Massimo hanno proceduto ad aprire e controllare l’email. Al suo interno era riportato il link al sito di phishing.

L’url utilizzava il protocollo https ed il certificato era valido. La grafica del sito ricalcava quella di una classica banca (in particolare di IISFA Bank) in cui venivano richieste le credenziali di accesso (utente e password). Inoltre era presente il codice javascript di un malware (BeEF: BeEF Browser Exploitation Framework) che, se eseguito, avrebbe reso il computer dei visitatori degli zombie di una botnet.

Mentre procedevo da “buon investigatore” alla richiesta ad IISFA Bank dell’intestatario della carta coinvolta nella transazione da 1€ (disconosciuta nella querela di Gigi Boccalone) e di tutte le transazioni effettuate online nel mese di Maggio, Giuseppe verificava il sito di phishing, l’intestatario e l’hosting mentre Massimo, analizzando le pagine, trovava quella adibita all’invio tramite email delle credenziali rubate, e si accorgeva che una directory (kit) del web server era navigabile, cioè era possibile vedere tutti i file in essa contenuti. Una volta acquisiti tutti i file, Massimo e Giuseppe passano ad analizzarli; tra questi era presente la pagina mailto.bak che riportava l’indirizzo email a cui venivano inviate le credenziali rubate.

Nel frattempo, ottenuto dalla banca l’elenco della transazioni effettuate, si procedeva ad analizzare i flussi finanziari per poter rispondere al quesito del PM, che chiedeva quali e quante fossero le operazioni fraudolente ed il loro importo totale.

Procediamo a richiedere alla banca il dettaglio delle spendite effettuate dalle transazioni individuate (probabilmente non siamo, anzi non sono, visto che me ne stavo occupando io, riuscito ad individuare tutte le operazioni fraudolente).
La banca, come risposta, ci segnala che tutte le transazioni riportavano delle spendite su di un sito di aste online ed in particolare su due oggetti venduti da parte di un certo AlCapone.
 
Osservando gli altri oggetti in vendita da parte di AlCapone, vediamo che ci sono aste attive ed in scadenza. Ci rendiamo conto di trovarci difronte ad una vera banda criminale che si occupa di vendita di armi, carte di credito e droga.

Procedo alla notifica del reato di associazione per delinquere finalizzata al traffico di stupefacenti ad opera di ignoti, alla rogatoria (non autorizzata) per l’acquisizione dei file del sito e del database (registrato in America) e alla richiesta dell’autorizzazione ad operare sotto copertura sul sito di aste per poter contattare il venditore. Intanto Massimo e Giuseppe creavano l’utenza fittizia per poter accedere al  sito di aste.
Il sabato ci è stato riferito che analizzando anche il file degli accessi “access.test” presente nella directory kit del sito di phishing, si poteva constatare che uno dei primi accessi proveniva dal sito di aste di online, ed in questo modo si sarebbe potuto aver accesso diretto al sito di aste, senza dover passare per la banca, risparmiando diverso tempo…

Veniamo autorizzati a spendere, per un acquisto controllato sul sito di aste, una cifra massima di 1.000€.
Massimo e Giuseppe si occupano di seguire l’asta, mentre io cerco di contattare il venditore per tentare di concludere, il più velocemente possibile, la transazione al di fuori del sito di aste, senza aspettare la scadenza dell’asta che probabilmente non ci saremmo neanche aggiudicati. Alla fine riesco a concludere la trattativa per 990€.

Durante la consegna della merce acquistata il venditore (AlCapone) riesce a scappare con i soldi, ma gli sfugge e cade a terra una busta chiusa. Purtroppo non mi sono preoccupato, come credo anche tutte le altre squadre, di sequestrare la droga concentrandomi invece sulla richiesta per il rilievo delle impronte digitali e tracce di DNA (saliva) sulla busta e per l’autorizzazione al PM per l’apertura della busta stessa.
All’interno della busta sono presenti le credenziali e l’url di un web operating system cloud di nome eyeos. Autorizzati ad effettuare l’accesso ci troviamo davanti un vero e proprio desktop online. Tra i file presenti notiamo, tra gli altri:

• backup.rar
• Iphone Alcapone.zip
• Directory topsecret con all’interno una struttura con diverse cartelle annidate
• topsecret.avi

Acquisiti tutti i file ci dividiamo il lavoro.
Giuseppe analizza il file topsecret.avi: non può essere un video un file di soli 28KB. Riesce ad aprirlo e viene mostrata una formula matematica (con tra l’altro Fibonacci); passa poi a controllare la directory topsecret e il file di backup dell’Iphone.

Backup.rar contiene al suo interno tre file: passdb (che sembra in qualche modo contenere testo cifrato), foto.jpeg e hint.exe.

Mi accorgo che il file hint.exe non è un eseguibile ma una immagine che però non riesco ad aprire; inizia a lavorarci Massimo che aggiustando gli header ed il magic number riesce ad aprire: l’immagine riporta lo screenshoot di un programma di nome Keepass che serve a memorizzare e mantenere le password per l’accesso a siti ed email.

Riteniamo che il passdb sia quello che contenga le credenziali memorizzate dal programma, ma ci manca il key file per poterlo aprire. Anche l’immagine foto.jpeg, che aprendola normalmente sembra una vera immagine raffigurante una ragazza con il volto offuscato, desta i miei sospetti e mi torna in mente quanto avevo letto a suo tempo e visto lo scorso anno al Cracca al Tesoro: un archivio zip concatenato al termine di un file jpg.

È bastato rinominare l’immagine in .zip che winrar lo aprisse mostrando il suo contenuto: un file di nome file.mp3 ma protetto da password! E purtroppo la password non riuscivamo proprio ad individuarla, perciò avvio e lascio in esecuzione il programma per il recupero della password.

Ci coordiniamo per fare il punto della situazione: Massimo continua a lavorare sul backup alla ricerca del master file per aprire il database di keepass; Giuseppe, mentre dal suo computer fisso sta procedendo ad indicizzare il backup dell’Iphone, sta ancora navigando le cartelle in topsecret che contengono diverse evidenze.

Decido di aiutarlo: fortunatamente non è necessario aprire tutti i livelli poiché, qualora una directory al suo interno non contenga ne file ne altre cartelle, viene visualizzata con un’immagine di una directory vuota. Dopo circa 5 minuti finiamo di raccogliere le 5 evidenze, costituite da foto raffiguranti armi, presenti in oltre 300 cartelle!
  
 

Intanto, tramite un excel, avevo anche risolto la formula di Fibonacci presente nel file topsecret.avi (o meglio pdf), ma ci ho perso ben 5 minuti prima di capire che i numeri generati combaciavano esattamente con il numero delle directory contenenti le evidenze! Arg doppio lavoro inutile…

Tra queste directory vi è anche un’immagine di nome AlcaponeSL.jpg che mostra una persona seduta su di un divano in Second Life e 4 cifre composte da 4 numeri separati da una virgola. Secondo Giuseppe potrebbe essere il numero di una carta bancaria, visto che finora tutte le carte bancarie analizzate erano composte da 16 cifre. Giuseppe procede alla richiesta dell’intestatario della carta, ma dalla risata di Giuseppe M. capiamo che non siamo sulla strada corretta.Giuseppe inizia allora ad analizzare l’immagine finché non trova nascosto sul muro dietro al divano una piccola scritta tono su tono con le credenziali per l’accesso ad un account su Second Life: le cifre riportate sull’immagine erano le coordinate pixel dell’area, della immagine stessa, che nascondeva le credenziali.

Giuseppe chiede l’autorizzazione ad effettuare l’accesso su Second Life ed una volta ottenuto entra, portando la nostra squadra ad arrivare per prima su tale mondo virtuale!
Purtroppo il client ufficiale di Second Life che intanto Giuseppe aveva installato, da più problemi che altro e Giuseppe non riesce ad individuare nessun indizio. Altre squadre sono riuscite ad arrivare alle credenziali per accedere a Second Life e per questo l’organizzazione ci impone di effettuare il logout, per dare la possibilità anche alle altre squadre di entrare. Non essere riusciti ad arrivare ad alcuna traccia su Second Life, per colpa del client ufficiale e per il poco tempo concessoci (ma uguale per tutte le squadre), ci
ha un po’ demoralizzati… Eravamo in vantaggio su tutte le altre squadre ed avevamo capito che dovevamo salire al secondo piano della casa per trovare qualcosa, ma essendo la casa a 653 metri d’altezza il volo era disabilitato e per salire era necessario utilizzare il teletrasporto, purtroppo con un po’ più di tempo a disposizione ce l’avremmo fatta!

Restava il file foto.zip che conteneva il file file.mp3 ma senza la password non sapevamo come fare… Il programma di password recovery aveva completato tutte le password da 4 caratteri, ma niente!
Usufruiamo del primo aiuto degli organizzatori, un link al sito di TinEye, un motore di ricerca di immagini similari in rete. Capiamo subito che dobbiamo dargli in pasto l’immagine foto.jpeg, che raffigura una ragazza con il volto offuscato. Dopo pochi secondi ci viene restituito il nome della ragazza. Il cognome ed il nome della ragazza ci permettono di estrarre il file file.mp3 presente all’interno del file zip “foto.jpg”.
Senza l’aiuto probabilmente ci saremmo arenati qui… 

File.mp3 è un file di un solo KB ed evidentemente non può essere un file audio; guardano gli header ci rendiamo conto che è un file rar che contiene al suo interno un file di nome keyfile che ad occhio sembrerebbe proprio quello necessario ad aprire il database della password di Keepass. Il problema è che anche questo file è protetto da password: siamo da capo a dodici… Provo le password banali ma niente, rimetto in funzione il programma di password recovery, sperando che sia presente all’interno del dizionario o composta da pochi caratteri. Purtroppo non è così… Siamo completamente nel pallone ed un aiuto degli organizzatori, che evidentemente non era indirizzato a noi, ci manda fuori strada! Vedendoci nel pallone Giuseppe M. ci suggerisce di controllare meglio backup.rar, ma ormai l’avevo spulciato tutto, o almeno credevo… Ricontrollo tutti i file presenti nell’archivio backup.rar, tutti gli header, cerco file concatenati in tutti i file, ma niente! Anche Giuseppe e Massimo sono fermi, senza quella password non riusciamo ad andare avanti (e su Second Life non possiamo ancora ri-effettuare l’accesso)… Perciò mi chiedono di copiargli su di una chiavetta usb il file “backup.rar” in modo tale che avrebbero potuto procedere anche loro all’analisi; mentre lo vado a selezionare, capisco! Non dovevo cercare e spulciare i file preseti all’interno di backup.rar, ma dovevo cercare proprio dentro il file backup.rar!!! Lo stress mi ha giocato un brutto scherzo.
Cercando header di altri formati di file infatti emerge la presenza di una immagine GIF. In questo caso non basta rinominare il file da backup.rar in backup.gif ma è necessario cancellare completamente la prima porzione del file; fatto ciò ci troviamo di fronte ad un rebus.

Non siamo bravi enigmisti e perciò decidiamo di provare a cercare la soluzione su internet; Giuseppe inserendo su google immagini il nome dell’autore del rebus, riportato nell’immagine, trova velocemente la soluzione online e, nemmeno a dirlo, era proprio la password che ci permette di estrarre il file keyfile dall’archivio “file.mp3”.

Riusciamo così, probabilmente con notevole ritardo rispetto ad altre squadre, ad aprire il file delle credenziali con Keepass, senza password ma tramite il keyfile.

All’interno troviamo le credenziali EyeOs di LuckyLuciano e FrankCostello.
Le credenziali di FrankCostello non sono valide, mentre quelle di LuckyLuciano ci consentono di accedere, non prima di aver richiesto l’autorizzazione al PM.

Decidiamo di dedicarci completamente alla ricerca di indizi ed evidenze su EyeOs di LuckyLuciano, tralasciando completamente l’analisi dell’Iphone di AlCapone.
Dentro EyeOs di LuckyLuciano troviamo, tra l’altro:

• eyeos.dll
• Iphone Lucky Luciano.zip, Rubrica Lucky Luciano.zip e Rubrica FrankCostello.zip
• MB 2010 -Boscaiolo 13-2.jpg (condivisa da FrankCostello)

Eyeos.dll si riconosce immediatamente essere un file eseguibile di un autoestraente; aprendolo con winrar si trova un file credenziali.txt con le credenziali Second Life di LuckyLuciano.
Giuseppe effettua l’accesso e si dedica a Second Life.
Mentre avvio l’indicizzazione dei tre file dell’Iphone, apro l’immagine “MB 2010 -Boscaiolo 13-2.jpg” che presenta la copertina del memberbook IISFA 2010. Come un fesso prendo il memberbook (che mi ero portato previdentemente insieme al Codice Penale e Codice di Procedura Penale), apro pagina 13 e cerco la seconda parola.

Nel frattempo, su Second Life con un client migliore, Giuseppe riesce a salire al secondo piano dell’abitazione dove trova un pacco al cui interno è presente un messaggio che rimandava ad un’altra località su SecondLife (Quoltar 184,201,24). Qui veniva rinvenuta un’ulteriore scatola recante un messaggio codificato.
Prontamente Massimo riesce a decifrarla (era codificata in Base64): ci indirizza oltre la piscina dello chalet, su Second Life, alla ricerca di un secondo pacco.

UXVlaSBtYWxlZGV0dGkgZGVnbGkgaW52ZXN0aWdhdG9yaSBkZWwgY3liZXJjb3A
gY2kgc3Rhbm5vIHRyYWNjaWFuZG8uDQpQZXIgZm9ydHVuYSBpbCBub3N0cm8g
Y29tdW5lIGFtaWNvIGNpIHN0YSBkYW5kbyB1bmEgbWFubyBhIGZhciBwZXJkZXJ
lIGxlIHRyYWNjZSEhDQoNCkFuZGF0ZSBuZWxsbyBjaGFsZXQgb2x0cmUgbGEgcGl
zY2luYSBlIGNlcmNhdGUgaWwgcGFjY28u
——————————————————————————–
Quei maledetti degli investigatori del cybercop ci stanno tracciando.
Per fortuna il nostro comune amico ci sta dando una mano a far perdere le tracce!!Andate nello chalet oltre la piscina e cercate il pacco.

All’interno del pacco è presente una seconda frase (codificata con ROT 13), decifrata sempre da Massimo, che rimanda invece ad un appuntamento con un certo DickTracy in  uno strip club (sempre su Second Life).
Giuseppe si teletrasporta nel luogo dell’incontro ma non troviamo nessuno.

Va cvrab fgvyr Ubyyljbqvnab vy abfgeb ncchagnzragb fv gebin va hab fgevc pyho.
Pv gebivnzb yà  dhnaqb irqergr Q1pxGe4pl bayvar.
Jvfqvz Vfyr  (237,208,22)
——————————————————————————–
In pieno stile  Hollywodiano il nostro appuntamento si trova in uno strip club.
Ci troviamo là  quando vedrete D1ckTr4cy online.
Wisdim Isle  (237,208,22)

Intanto riprendo il memberbook IISFA 2010 e ricordo l’email del presidente Gerardo Costabile che si raccomandava di leggere la prefazione da lui scritta, intitolata “il Boscaiolo!”: rigo 13 parola 2 ed ecco la password. Ancora una volta avevo la soluzione sotto gli occhi ed invece, per la fretta e la tensione, non me ne sono accorto…

Effettuando un altro controllo su EyeOs apro l’email, pensando di vedere i messaggi che la banda si scambiava tramite il sistema di messaggistica interna ad EyeOs. Invece mi trovo davanti la posta elettronica di una casella email, senza alcuna richiesta di password; stando ben attento a non aprire email non ancora lette (per non modificarne lo stato) apro alcuni messaggi già letti: sono tutti, e solamente, messaggi destinati all’indirizzo email presente sul sito di phishing e riportanti le credenziali inserite dagli utenti sul sito di phishing. Cerco anche nella posta inviata ma non sono presenti messaggi, infine verifico anche la presenza di messaggi nel cestino e sorprendentemente trovo un’email: inviata da una casella di posta personale all’indirizzo email presente sul sito di phishing oltre che a diverse caselle di poste personali. Nell’email è anche riportata l’intera discussione dei soggetti, in cui viene dimostrato come tali persone abbiano configurato e messo in funzione il sito di phishing. Inoltre nell’email viene anche richiesto da uno dei soggetti coinvolti la password per accedere all’indirizzo email presente nel sito di phishing (a cui venivano inviate le credenziali rubate), e sempre all’interno della stessa email un altro soggetto risponde che la password è cambiata con una nuova che viene riportata.
Riteniamo pertanto di avere un’ottima prova che potrebbe incastrare l’intera banda criminale.

Indecisi se arrestare, interrogare o semplicemente ascoltare quale persona informata sui fatti il mittente dell’email, optiamo per quest’ultima possibilità, se non altro perché senza un agente di PG e senza il supporto di un PM non avremmo potuto reggere un interrogatorio con l’indagato assistito da un avvocato.
Durante l’assunzione di sommarie informazioni, il soggetto dichiara di non sapere nulla di quella email e degli altri individui coinvolti, e che probabilmente è stata la sua segretaria che ha accesso ed utilizza quotidianamente il suo computer fisso con quella casella di posta configurata.
Rispondiamo che l’email risulta inviata da uno smartphone e che pertanto non può essere stata la segretaria; a questo punto concludiamo l’acquisizione delle sommarie informazioni, ma non sappiamo come procedere (quanto ci è mancato un vero investigatore!). Probabilmente a questo punto, in base alle dichiarazioni rese, emergevano indizi di reità e si sarebbe dovuto procedere a sottoporlo ad indagini.

Torniamo perciò sui nostri computer alla ricerca di ulteriori elementi di prova ma anche e soprattutto per iniziare a scrivere la relazione finale, visto il poco tempo rimasto a disposizione.
Intanto su Second Life ancora non si manifestava DickTracy mentre, con la password recuperata dal racconto del boscaiolo siamo riusciti ad effettuare l’accesso ad EyeOs con le credenziali di FrankCostello.
All’interno troviamo, tra gli altri, i file:

• bilancio the gang.xls
• Promemoria Incontro sl.jpg
• Iphone Frank Costello.zip e Rubrica FrankCostello.zip che però, visto il poco tempo a disposizione, abbiamo completamente ignorato come pure i file Iphone di LuckyLuciano.

Apro il file che, almeno dal titolo, sembra il più promettente: “bilancio the gang.xls” ma è richiesta una password di apertura.
Provo con le password già provate e con tutti i nomi delle persone già individuate, ma niente. Decido di avviare un programma di password recovery, conscio del fatto che se la lunghezza e complessità di questa password fosse stata uguale alle precedenti (almeno 10 caratteri con caratteri alfanumerici) non sarei riuscito a recuperarla nell’arco dei pochi minuti rimasti. Ma tentar non nuoce.
Giuseppe con Massimo che lo coadiuva, riescono nel pochissimo tempo rimasto a disposizione a scrivere una breve ma precisa relazione, allegando la prova delle evidenze raccolte nell’arco della giornata.
Mentre il programma di password recovery tenta di recuperare la password di apertura del file, provo a cercare su EyeOs se anche questo account ha un profilo di posta configurato, ma purtroppo non è così. Trovo invece nel calendario l’appuntamento su Second Life con il Boss e la password per incontrarlo, ma ormai è troppo tardi ed il tempo a nostra disposizione è finito.

Interrompo il programma di password recovery che aveva appena finito di testare le password di tre caratteri; in effetti il mio scetticismo si è dimostrato fondato, sebbene il sabato durante la spiegazione della soluzione ci viene detto che la password era semplicemente “dick”. Con una decina di minuti in più sarei riuscito a trovarla!
Non siamo riusciti ad incontrare DickTracy su Second Life, probabilmente perché già scappato o già arrestato da qualche squadra che ci deve aver proceduto.
Abbiamo anche completamente ignorato i backup degli iPhone, sia per il poco tempo a disposizione, sia perché non sono un esperto di iPhone: analizzando e correlando le tre rubriche dei diversi soggetti (AlCapone, LuckyLuciano e FrankCostello) ciascuna con un centinaio di numeri, si sarebbe potuto scoprire (come fatto dalla squadra vincitrice del CyberCop) un unico numero presente in tutte e tre le rubriche, e da lì prendere una nuova pista investigativa.

Ormai il gioco è finito e siamo tutti stanchi, ma soddisfatti di quanto siamo riusciti a fare…
Veniamo anche a sapere che il messaggio di posta recuperato nel cestito dell’email di LuckyLuciano non era una cosa voluta dagli organizzatori, ma una loro dimenticanza, e per questo abbiamo fatto vincere a Giuseppe M. (nella figura di coordinatore di tutti gli organizzatori del CyberCop) un bel Tapiro, consegnatogli il sabato mattina nell’aula del tribunale… Che forza!!!

Ringrazio i miei compagni di squadra (Giuseppe Miragoli e Massimo Rocca): nonostante rimasti orfani dell’unico investigatore e con poca esperienza in ambito di Computer Forensics, ci siamo dati da fare (non solamente sul lato tecnico) per andare avanti il più possibile, lavorando di squadra ed impegnandoci nel fare bella figura.

Anche questa volta gli organizzatori non si sono risparmiati: file nascosti, cloud computing e second life.
Il tempo è stato veramente poco; si è lavorato costantemente sotto pressione e con lo stress, ed anche per questo si perde alle volte di vista ciò che si ha sotto gli occhi (vedi backup.rar e boscaiolo.jpg)…
Con il poco tempo a disposizione e con tante cose su cui lavorare, riuscire a fare un buon lavoro sotto tutti i punti di vista è impossibile.

Ci siamo divertiti molto ed è stata sicuramente un’ottima palestra, una palestra che solo il CyberCop mette a disposizione:
squadre composte da persone con competenze diverse che devono necessariamente lavorare di squadra per risolvere le prove create dai migliori professionisti; la simulazione processuale; l’opportunità di confrontare il proprio lavoro e la propria metodologia con quello delle altre squadre; ma anche, e soprattutto, la possibilità di conoscere altre persone con gli stessi interessi e le stesse passioni!
Congratulazioni ai vincitori, ma i miei più sinceri complimenti anche ai secondi classificati.

I miei ringraziamenti finali vanno agli organizzatori del CyberCop che, negli ultimi mesi, hanno sacrificato il loro tempo libero (immagino poco tra lavoro, fidanzate, figli, mogli e matrimoni) per la riuscita di questo evento…
Grazie ad Andrea Ghirardini, Litiano Piccin, Davide Gabrini, Massimiliano Graziani e Giuseppe M.
Anche quest’anno, per merito vostro, è stata per me un’esperienza unica ed indimenticabile!