gli smartphone come digital evidence

Похожие документы
Dalla Teoria alla Pratica. Ing. Selene Giupponi - sg@security-brokers.com

LA COMPUTER FORENSICS IN CAMERA BIANCA C.F. 2014/2015 ( RECOVERY DATA FROM CHIP E MOBILE FORENSICS)

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Procedura aggiornamento firmware

SendMedMalattia v Manuale d uso

Procedura aggiornamento firmware

Procedure di ripristino del sistema.

Procedure di ripristino del sistema.

Guida all accesso al portale e ai servizi self service

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

GPS Personal Tracker Localizzatore Personale GPS GPS-TK90. Guida Rapida

GSM Dialer. Ottimo dispositivo da collegare ad antifurti PSTN ma anche ad altre apparecchiature

PRODUZIONE PAGELLE IN FORMATO PDF

Il progetto Insieme a Scuola di Internet

GSM Dialer. Dispositivo da collegare ad antifurti PSTN ma anche ad altre apparecchiature

Nokia N76-1. Guida all uso Edizione 2 IT

Copyright. Rinuncia e limitazione di responsabilità

Procedure di ripristino del sistema.

Dichiarazione di conformità Noi dichiariamo sotto la nostra esclusiva responsabilità che il prodotto è conforme alle disposizioni della

NGM Funzioni Speciali Sommario

NOZIONI ELEMENTARI DI HARDWARE E SOFTWARE

Indice. 1. Manuale per essere aggiornato prima di usare 1.1. Installazione della SIM 1.2. Ricarica

Microtech Srl. GPS TRACKER v3.0

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

Il sofware è inoltre completato da una funzione di calendario che consente di impostare in modo semplice ed intuitivo i vari appuntamenti.

Avviso 1/2014 Procedura Caricamento Documentazione con Firma Digitale

Procedura aggiornamento firmware

NAVIGAORA HOTSPOT. Manuale utente per la configurazione

F-Secure Mobile Security per Windows Mobile 5.0 Installazione e attivazione dell F-Secure Client 5.1

COMBINATORE TELEFONICOMOD. KIM10GSM Istruzioni Base

AMICO RADIO. Manuale istruzioni - Italiano

Programma applicativo di protezione LOCK Manuale per l utente V2.22-T05

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

MANUALE UTENTE CELLULARE ANZIANI W60 DUAL SIM

Lo scenario: la definizione di Internet

Settaggio per l invio DATI tramite tecnologia GPRS per sistemi: IR-PLUS BF MMS e IR-PLUS MINI MMS

Argo Mobile. Gestione Assenze. Manuale d Installazione e d uso del prodotto

Per localizzare chi vuoi Per tutelare i tuoi lavoratori

Identità e autenticazione

Metti il GPS sul cellulare Nokia

Manuale d'uso del Connection Manager

Modulo T Manuale della procedura di Ripristino

Printer Driver. Questa guida descrive l installazione dei driver stampante per Windows Vista e Windows XP.

Cliens Redigo Versione Aggiornamento al manuale.

Organizzazione della memoria

ISTRUZIONI PER L IMPOSTAZIONE DELL INVIO DI MMS E DI NELL IR PLUS BF MMS (UM565)

Quick Start Guide. Sony Ericsson Z310i

CT2-GSM COMBINATORE TELEFONICO GSM MANUALE D USO E INSTALLAZIONE. Si consiglia di seguire attentamente le istruzioni contenute in questo manuale.

Utilizzo della APP IrriframeVoice. Versione 1.0 maggio 2015

Kit completo per la fatturazione in mobilità e in Tentata Vendita. easysales è: essenziale completo economico semplice.

Portale Remote Sign Manuale Utente

Polycom KIRK Butterfly. (telefono sottoscritto ad una base DECT KIRK)

LABORATORIO DI SISTEMI

Guida all installazione Alice DECT e configurazione cordless Aladino

Il tuo manuale d'uso. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Definizione Parte del software che gestisce I programmi applicativi L interfaccia tra il calcolatore e i programmi applicativi Le funzionalità di base

BLACK si distingue da qualsiasi altro servizio criptato.

maggio 2013 Elevend srl Pag. 1/25

Telefono Yealink DECT W52P Manuale d Uso

Procedura aggiornamento firmware

Come funzione la cifratura dell endpoint

Portale Unico dei Servizi NoiPA

Procedure per l upgrade del firmware dell Agility

Procedura aggiornamento firmware

Sistema di gestione Certificato MANUALE PER L'UTENTE

Procedura aggiornamento firmware H02

Quick Reference Giornale di Bordo (e-logbook)

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

EW1051 Lettore di schede USB

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

ARGOMOBILE Argo Software S.r.l. -

Samsung Auto Backup FAQ

Sommario. 1. Cos è SecureDrive Caratteristiche Privacy dei dati: SecureVault... 4

Fast Mobile Card. Guida all utilizzo.

Manuale Operativo per la firma digitale

Gestione delle informazioni necessarie all attività di validazione degli studi di settore. Trasmissione degli esempi da valutare.

Guida alla registrazione on-line di un DataLogger

H A R D D I S K A D A P T E R I D E / S A T A T O U S B 2. 0

INDIRIZZI IP AUTORIZZATI

Manuale Operativo per la firma digitale

Nuovo Sekurvox GSM Manuale Tecnico di programmazione

MANUALE UTENTE Fiscali Free

DENUNCE EDILCONNECT GUIDA COMPILAZIONE

EM1017 Scheda di rete Gigabit USB 3.0

Manuale Utente SIRECO

Come usare P-touch Transfer Manager

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

Aruba Sign 2 Guida rapida

Gestione automatica delle Fatture Elettroniche per la Pubblica Amministrazione (Fatture PA)

FRITZ!Box come centralino telefonico

SURFING TAB 1 WIFI. Manuale Istruzioni - Italiano

Portale Sintesi Procedure Base e di Registrazione

Sostituto abilitato Entratel con più sedi: ricezione diretta e incarico ad intermediario abilitato

Sistema Banca dati e Repertorio dei dispositivi medici Notifiche multiple di DM simili

Guida alla compilazione on-line delle domande di Dote Scuola A.S per le Famiglie INDICE

Manuale d uso SmarTach D-Box 2

Транскрипт:

Dalla computer forensics alla mobile forensics: gli smartphone come digital evidence Security Summit 14 Marzo 2013 Marco Scarito

Cosa vedremo Definizione di Digital Forensics e Digital Evidence Identificazione di un dispositivo mobile Isolamento e repertamento di dispositivi mobile Acquisizione di SIM Card Acquisizione della memoria interna CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 2

Digital Forensics La Digital Forensics (Informatica Forense) è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi digitali CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 3

Digital Evidence Una digital evidence può essere definita come qualsiasi informazione avente valore probatorio che sia memorizzata o trasmessa in forma digitale Una digital evidence può quindi essere estratta da: Un dispositivo di memorizzazione digitale Personal computer, notebook, hard disk esterno, NAS, floppy, nastro, CD/DVD, memory card, USB drive, Telefoni cellulari, SIM, SmartPhone, Tablet, Navigatori satellitari, Una Rete Intranet/Internet Intercettazione di traffico dati Pagine Web, Blog, Social Network, Chat/IM, P2P, ecc. CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 4

Digital Evidence Una digital evidence è fragile per natura, ovvero facilmente modificabile Se il dispositivo che contiene le informazioni di interesse viene spento, i dati che non sono stati salvati possono andare definitivamente persi Se il dispositivo viene rivenuto spento, l accensione comporta modifiche al sistema e/o ai dati in esso contenuti Se il dispositivo è connesso ad Internet o ad una rete aziendale, possono avvenire accessi dall esterno con l obiettivo di cancellare le informazioni Se la digital evidence si trova su Internet (sito web, profilo di social network, ecc.), può essere modificata e/o rimossa dall owner della pagina CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 5

Passi operativi Identificazione e repertamento Acquisizione Conservazione Analisi Valutazione e presentazione CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 6

Identificazione dei dispositivi mobili L identificazione di uno dispositivo mobile a fini probatori riguarda tipicamente tre aree di ricerca, ovvero: La scheda SIM e Il Network Service Provider Marca, modello e caratteristiche del dispositivo La memoria rimovibile aggiuntiva (es. SD Card) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 7

Scheda SIM e Network Service Provider Per poter accedere alla rete di servizi cellulari GSM o UMTS, i dispositivi sono dotati di una particolare Smart Card, detta Subscriber Identity Module (SIM) La SIM è caratterizzata da due codici univoci: Integrated Circuit Card Identification (ICCID) International Mobile Subscriber Identity (IMSI) Il sito http://www.numberingplans.com/ permette di individuare l operatore associato a una scheda SIM mediante l inserimento dell ICCID CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 8

Numberingplans.com CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 9

Marca, modello e caratteristiche del dispositivo Per identificare il dispositivo sono disponibili diverse tecniche: Etichette presenti sul dispositivo Caratteristiche fisiche del dispositivo Identificazione tramite il codice IMEI Se il dispositivo è spento, le informazioni si trovano solitamente sotto la batteria o sul retro dello stesso Se il dispositivo è acceso, è possibile identificarne il suo IMEI digitando la combinazione di tasti *#06# CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 10

IMEI I terminali radiomobili GSM sono caratterizzati da un codice di quindici cifre detto International Mobile Equipment Identifier (IMEI), che viene utilizzato per identificare il dispositivo all interno della rete cellulare Tale codice rappresenta in maniera univoca la casa costruttrice, il modello e la nazione in cui il terminale è stato prodotto Diversi siti consentono di verificare l associazione tra modello del telefono e IMEI http://www.numberingplans.com/ http://www.trackimei.com/ CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 11

Numberingplans.com CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 12

Repertamento Non permettere a nessuno di operare sul dispositivo Annotare eventuali problemi fisici evidenti riscontrati (per esempio display rotto) Fotografare tutti gli aspetti esterni del telefono Documentare tutte le azioni intraprese Se è spento lasciarlo spento, ma CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 13

Repertamento.. se è acceso Documentare le informazioni presenti sullo schermo del dispositivo Se possibile registrare data e ora del dispositivo verificandone l eventuale scarto rispetto all ora reale Non navigare nel menu o aprire alcun messaggio in questa fase Mantenerlo acceso, isolandone l accesso alle diverse reti Bluetooth Wi-Fi GSM/UMTS GPS oppure Spegnerlo rimuovendo la batteria (se possibile) o attraverso un normale shutdown CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 14

Isolamento Esistono almeno 3 tecniche per isolare un dispositivo in fase di repertamento: Jammer (disturbatore di segnale) Gabbia di Faraday (attenuatore di segnale) Airplane mode (modalità software) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 15

Jammer Ma è legale? CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 16

Gabbia di Faraday CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 17

Spegnimento vs. Isolamento Lo spegnimento del dispositivo potrebbe attivare il codice di autenticazione del telefono (es. il PIN della scheda SIM oppure il codice di sblocco del telefono). In alcuni casi questi codici potrebbero essere molto complessi o impossibili da recuperare, rendendo quindi di fatto impossibile un analisi forense L isolamento del telefono mediante jammer o gabbia di Faraday comporta un maggior consumo di batteria da parte del dispositivo che cercherà di connettersi (senza successo) alla rete. Queste tecniche devono quindi essere accompagnate dalla connessione del dispositivo con una fonte di carica (batterie esterne) La modalità Airplane garantisce l isolamento senza spreco ulteriore di batteria, tuttavia richiede l interazione da parte dell operatore con la tastiera del telefono. Potrebbe comportare dei rischi se non si ha familiarità con lo specifico dispositivo (p.es. errori di attivazione) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 18

Repertamento Sequestrare, unitamente al dispositivo, anche: i cavi di connessione il caricabatteria gli imballaggi le memorie di massa o rimovibili i manuali d uso i supporti contenenti il software del telefono le bollette telefoniche associate all utenza la confezione della SIM (che riporta il PIN e il PUK di fabbricazione) Documentare il sequestro con le informazioni utili: Nome dell operatore che procede al sequestro Data e ora di sequestro del dispositivo Posizione in cui il telefono è stato rinvenuto (indirizzo, coordinate GPS, ecc.) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 19

Passi operativi Identificazione e repertamento Acquisizione e verifica Conservazione Analisi Valutazione e presentazione CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 20

Acquisizione di dispositivi mobile Quando i dati sono conservati all interno di memorie saldate in dispositivi mobile (es. SmartPhone e Tablet), l operazione di rimozione del chip può essere complessa se non addirittura inutile (es. in caso di cifratura dei dati) Per questo motivo l acquisizione dei dati viene solitamente effettuata utilizzando il dispositivo stesso Poiché questa operazione può comportare la modifica di informazioni presenti nella memoria, è consigliabile trattarla come accertamento tecnico non ripetibile Non esiste lo strumento perfetto in grado di operare su tutti i modelli di dispositivi mobile In base al modello di dispositivo da acquisire sarà necessario scegliere il set di strumenti da utilizzare per l investigazione CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 21

Isolamento Analogamente all isolamento in fase di sequestro, anche in fase di analisi in laboratorio si dovrà garantire l isolamento dalle frequenza radio Oltre alle tecniche già illustrate è possibile procedere con: SIM Cloning Richiesta di blocco all operatore CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 22

SIM Cloning Alcuni telefoni all accensione verificano se la SIM inserita è diversa dalla SIM precedentemente contenuta nel dispositivo Nel caso in cui la SIM risulti cambiata il telefono potrebbe eliminare alcune informazioni (es. SMS, MMS, elenco delle chiamate perse, ricevute e fatte, ecc.) Per ovviare a tale inconveniente si possono utilizzare SIM CLONATE che riportano lo stesso IMSI e ICCID dell originale. La SIM CLONATA non permette di connettersi alla rete GSM E una tecnica molto efficace, che tuttavia non previene le alterazioni derivanti da reti Wi-Fi, connessioni bluetooth o GPS e deve quindi essere utilizzate insieme ad altre tecniche CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 23

SIM Cloning CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 24

Acquisizione di dispositivi mobile La fase di acquisizione è caratterizzata da diversi aspetti che ne condizionano il risultato e la quantità e qualità di informazioni recuperabili Ad esempio: Produttore Modello Sistema operativo Versione del sistema operativo Codici di protezione (es. PIN Sim, Passcode dispositivo) File system Presenza di cifratura CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 25

Acquisizione di dispositivi mobile L acquisizione di un dispositivo mobile si concentra su diversi aspetti che vanno affrontati con tecniche e metodologie differenti: Scheda SIM Operatore mobile Memoria estraibile Memoria interna del telefono CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 26

Scheda SIM La sicurezza di una SIM è garantita dalla possibilità di attivare meccanismi interni di cifratura dei dati Se tali meccanismi sono attivati è necessario inserire, ad ogni accensione del telefono, un PIN (Personal Identification Number), ovvero un codice composto da quattro a otto cifre. L inserimento di un codice errato per tre volte manda usualmente la scheda in blocco temporaneo In questo caso per sbloccare la scheda è necessario richiedere al Network Service Provider il PUK (Personal Unlocking Key), ovvero un codice di dieci cifre da digitare sul telefono bloccato L inserimento del codice PUK errato per 10 volte manda la SIM in blocco definitivo Attualmente non esistono strumenti hardware o software in grado di estrarre o superare i codici PIN e PUK di una scheda SIM CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 27

Scheda SIM Le informazioni di maggior interesse recuperabili da una scheda SIM sono: ICCID (Integrated Circuit Card Identification) IMSI (International Mobile Subscriber Identity) Rubrica (Abbreviated Dialing Numbers ADN) Registro chiamate (Last Dialed Number LDN) Short Message Service (SMS) Location information (LOCI) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 28

Analisi presso il Network Service Provider In base al D.lvo 109/2008, i dati che si possono ottenere dal Provider riguardo a comunicazioni cellulari sono: Numero telefonico chiamante e del chiamato Nome e indirizzo dell'utente registrato Numero composto, ovvero il numero o i numeri chiamati e, nei casi che comportino servizi supplementari (come l'inoltro o il trasferimento di chiamata), il numero o i numeri verso i quali è diretta la chiamata Data e ora dell'inizio e della fine della comunicazione IMSI del chiamante e del chiamato IMEI del chiamante e del chiamato Etichetta di ubicazione (Cell ID) all'inizio della comunicazione CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 29

Memoria rimovibile Utilizzata per aumentare la ridotta capacità di memorizzazione della memoria flash integrata All interno si trovano solitamente dati multimediali e documenti Può contenere qualsiasi dato in forma digitale e costituisce un semplice strumento per l occultamento di dati, anche grazie alle dimensioni geometriche ridotte L acquisizione può essere effettuate mediante tradizionali tecniche (es. write blocker + DD) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 30

Memoria interna Per la memoria interna, in base al tipo di dispositivo, al sistema operativo installato e agli strumenti di analisi disponibili si possono effettuare tre tipi di acquisizione: Logica - ovvero estrazioni delle informazioni che il sistema operativo mette a disposizione (sincronizzazione) File System - ovvero acquisizione (completa o parziale) dei file presenti all interno della memoria (backup) Fisica - ovvero acquisizione bit a bit dell intero contenuto della memoria NAND presente nel dispositivo In tutti i casi l estrazione dei dati sarà effettuata utilizzando un personal computer dotato un software di estrazione dei dati oppure un dispositivo hardware dedicato CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 31

Sistemi Operativi mobile CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 32

Acquisizione logica (sincronizzazione) Avviene generalmente utilizzando i software messi a disposizione dal produttore del telefono che permettono di visualizzare a schermo parte delle informazioni contenute nel dispositivo (rubrica, SMS, contenuti multimediali) Non permette il recupero di informazioni cancellate e l estrazione di dati da applicazioni non standard del sistema operativo (skype, whatsapp, ecc.. ) CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 33

Acquisizione file system (backup) Avviene per mezzo delle funzioni di backup dei software del produttore oppure per mezzo di software e hardware dedicati In base allo specifico modello è possibile ottenere acquisizioni parziali o complete CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 34

Acquisizione file system (backup) Principali hardware forensi per l acquisizione logica Cellebrite UFED Micro Systemation XRY CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 35

Acquisizione fisica Alcuni produttori di hardware e software per la mobile forensics hanno implementato tecniche di estrazione bit a bit dell intero contenuto delle memorie fisiche presenti all interno dei telefoni Tali tecniche sono però limitate a specifici modelli (fortunatamente in genere quelli più diffusi) L acquisizione fisica permette in molti casi il recupero di informazioni cancellate avete visto il servizio delle IENE? CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 36

Digital Forensics Marco Scarito Mail: marco.scarito@digital-forensics.it Web: http://www.digital-forensics.it - http://blog.digital-forensics.it Linkedin: http://www.linkedin.com/in/marcoscarito CLUSIT 2013 Mobile Forensics Marco Scarito Francesco Picasso 37

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back