Post on 28-Nov-2014
description
Digital Evidence, Digital Forensics, Mobile Forensics
17 aprile 2013, MilanoCorso di perfezionamento in “Computer forensics e inves<gazioni digitali”
Do@. Giuseppe DezzaniConsulente di Informatica Forense
Do@. Paolo Dal CheccoConsulente di Informatica Forense
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
2
Legge 48/2008n L’importanza della Legge 48/2008 per le
modifiche introdotte nel Codice di Procedura Penale
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n 1. All'articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole:
n «,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».
3
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n 2. All'articolo 247 del codice di procedura penale, dopo il comma 1 è inserito il seguente:
n «1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».
4
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n 7. All'articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente:
n «Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorità giudiziaria».
5
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n All'articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni:
n a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le seguenti: «, anche di carattere elettronico o informatico,»;
n b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria»
6
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Capture as accurate a picture of the system as possible
7
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Note the difference between the system clock and UTC.
8
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Minimise changes to the data as you are collecting it
9
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Remove external avenues for change
10
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n When confronted with a choice between collection and analysis you should do collection first and analysis later
11
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Proceed from the volatile to the less volatile
12
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Windows)
13
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Windows)
14
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Linux)
n Linea di Comando !
n dd if=/dev/fmem of=“memdump” bs=…
n Potete/dovete installare una patch :u \http://hysteria.sk/~niekt0/foriana/
n
15
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Mac OS)
n Mac Memory Reader
n http://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader
n Linea di comando :n Si esegue : mac-memory-reader indicando dove
salvare il file di risultato
16
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Mac OS)
17
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (tutti)
n Questi tool non calcolano l’hash del file risultato dell’acquisizione, ricordate di calcolarlo manualmente per la catena di conservazione.
18
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
19
Mobile Forensics
n Ramo della Digital Forensics, di cui fa parte la Computer Forensicsn All’inizio era il cellulare...n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di
è portatile, talvolta ha capacità di comunicazione, memoria interna/esterna
n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma anche fotocamere/videocamere, registratori digitali, etc...
n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet perché sul resto si può spesso operare con strumenti utilizzati per la computer/disk forensics
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Componenti di un mobile device
n Dispositivo (marca, modello, s/n)n Scheda SIMn Memoria aggiuntiva
n Cloud (Dropbox, iCloud, GDrive, etc...)
20
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Dispositivo
n In genere scritto sul retro del dispositivo, dietro la batteria
n Si può ricavare dall’IMEI (che si legge sul retro oppure si ottiene “chiamando” il “*#06#”)u Valore univoco attribuito al cellulare sulla reteu www.numberingplans.com, www.trackimei.com
n Utilizzare in mancanza di altro le caratteristiche fisiche (dimensione, forma, etc...)
21
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
SIM
n Subscriber Identity Module (SIM)n Permette il collegamento del dispositivo con la
rete GSM/3G n Due codici: ICCID (Integrated Circuit Card
IDentification) e IMSI (International Mobile Subscriber Identity)
n Sempre meno utilizzata nei dispositivi mobili per memorizzare dati rilevanti, va comunque analizzata e conosciuta
22
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
SIM (ICCID)n ICCID (Integrated Circuit Card IDentification)n Codice univico stampato sul dorso della schedan Formattazione precisa:
23
n XX (prime due cifre): codice standard per l'identificazione di un sistema con scopi di telecomunicazione (89 per l’Italia)
n XX (terza e quarta cifra): 39 solo per l'Italia, corrisponde al prefisso internazionale assegnato al paese in cui opera dato gestore e varia a seconda delle nazioni
n XX(X) (due o tre cifre): codice identificativo del gestore, così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb
n XXXXXXX (tutte le cifre restanti fino alla fine del codice ICCID): iidentificativo del singolo chip
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
SIM (IMSI)n International Mobile Subscriber Identityn codice che identifica una coppia SIM-operatore
telefonico, ossia la SIM in una rete GSMn lungo 15 cifre e così strutturato:
24
n XXX - MCC (Mobile Country Code), 222 per l'Italia.n XX - MNC (Mobile Network Code), l'identificativo
della compagnia telefonica in rete. Coincidono con quelli presenti sull'ICCID (01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb);
n XXXXXXXXXX - MSIN (Mobile Subscriber Identification Number), un numero univoco che identifica ciascuna utenza.
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Memoria aggiuntiva
n Può contenere diversi dati essenziali: fotografie, filmati, SMS (in alcuni Nokia si può scegliere...), backup, Whatsapp, etc...
n Se in fase di sequestro... sequestrare pure quella (ci sono casi in cui ciò non è stato fatto!)
n L’esame si può fare in parallelo con gli strumenti per la mobile forensics o separatamente, con gli strumenti tradizionali per digital forensics
25
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cloud
n Il dispositivo può non contenere tutti i dati ma i riferimenti per potervi accedere... è legale farlo?
n Discorso molto ampio, ci vorrebbe un seminario solo per quello
n Valutare la presenza di client per Cloud come Dropbox, iCloud, Google Drive, SkyDrive, etc...
n Può rappresentare un problema perché in taluni casi (es. iCloud) permette all’utilizzatore di operare da remoto sul cellulare
26
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Repertazione
n Se spentou lasciare spentou sequestrare anche eventuali schede di memoria e
la batteria (per risparmiarsi problemi in seguito se disponibili prendere anche cavetti, caricabatteria, confezione SIM, software, etc...)
u documentare stato del telefonou non lasciare la batteria all’interno o isolarla per
evitare che si accenda inavvertitamente o suoni la sveglia
27
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Repertazione
n Se accesou Documentare data/ora ed eventuali info su displayu Spegnerlo togliendo la batteria o se si ritiene
importante, mantenerlo acceso ma isolato da tutto (jammer, gabbia di faraday, airplane mode)
28
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione
n Acquisire il più possibile impattando il meno possibilen Nel momento in cui lo si accende, NON lasciare la
SIM originaria e NON farlo connettere al WiFi, Bluetooth, evitare che riceva il GPS
n Se è richiesta SIM e se deve essere quella fornita con il telefono: SIM cloning (IMSI,ICCID)
n tre tipi di acquisizione: SIM, memoria interna, memoria esterna
n un quarto tipo riguarda i dati presso l’operatore, ma non si parla più di mobile forensics...
29
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione SIM
n Sempre meno fruttuosa, permette comunque in taluni casi di ottenere:u ICCID (Integrated Circuit Card Identification)u IMSI (International Mobile Subscriber Identity)u Rubrica (Abbreviated Dialing Numbers – ADN) u Registro chiamate (Last Dialed Number – LDN) u Short Message Service (SMS)u Location information (LOCI)
30
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria esterna
n Paragonabile all’analisi di un disco o una SDn In genere vi sono memorizzati dati multimediali e
documentin Può contenere anche SMS, backup, Whatsapp,
etc...n Acquisire con copia forense (write blocker + dd)n Elaborare con sw di analisi, carving, etc...
31
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria interna
n Si esegue tramite strumenti (hardware o software) dedicati, OSS o commerciali
n Tre modalità:u Logica: copia delle informazioni che il sistema
operativo mette a disposizione (sincronizzazione) u File System: copia (completa o parziale) dei file
presenti all’interno della memoria (backup) u Fisica: acquisizione bit a bit dell’intero contenuto
della memoria NAND presente nel dispositivo
32
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
33
Panoramica dei software
Il desolante panorama freeware ed OSS:
n Bitpimn iPBAn Sql lite database browsern Bulk extractorn Stringsn Foremost
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
34
Panoramica dei softwareIl panorama dei software commerciali:
n Cellebrite UFED (approfondimento nelle slide successive)n Micro Systemation XRYn Oxygen Forensicsn Paraben Device Seizuren Mobile Editn ViaForensicsn Elcomsoftn FTS iXAMn Katana Fornsics Lanternn Tarantula
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
35
Cellebrite UFEDDescrizione
n Uno degli strumenti di acquisizione forense più utilizzatin Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di
cui 1/2 R&Dn Opera su mercato privato e governativo/militaren UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solon Non è una panacea, lo citiamo perché rappresenta più o meno lo
standard dei tool di analisi forense per cellularin es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1
come tutti gli altri software
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
36
Cellebrite UFED
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
37
Cellebrite UFEDPrincipi di Base: Reverse Engineering
n Hardware (interfacce nascoste, JTAG, cavi di manutenzione)
n Firmware (master password, metodi di scrittura/lettura/cancellazione, accesso, cifratura, backdoors)
n PC Suite (simulazione dei protocolli di comunicazione proprietari)
n Si sfruttano anche vulnerabilità n Esempio Blackberry per estrazione fisica:
capire comandi supportati, organizzazione dei protocolli, come iniettare il bootloader sul dispositivo, come autenticare la firma
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
38
Cellebrite UFEDPrincipi di Base: Vulnerabilità
n In genere dovute a “sviste” degli sviluppatorin Non prevedibili, di diverse tipologie (stack/
heap overflow, directory traversal, etc..)n Errori nella gestione degli stati (es. rifiuto di
esecuzione codice dopo verifica fallita della signature incorretta MA esecuzione permessa se prima non viene fatta la verifica...)
n Esempio di sfruttamento di vulnerabilità, hardware hacking sul cable, reversing firmware, signature exploit, : Motorola Android Physical Extraction
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
39
Cellebrite UFEDModalità d’uso: Estrazione Logica
n Si utilizzano le API del telefono
n Vantaggi:n velocen nessun bisogno di decodifican interfaccia stabilitan bassa complessità
n Svantaggi:n disponibilità di dati limitata
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
40
Cellebrite UFEDModalità d’uso: Estrazione File System
n Copia dell’intero filesystem del dispositivo
n Vantaggi:n velocen più dati disponibilin media complessità
n Svantaggi:n richiede decodifica
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
41
Cellebrite UFEDModalità d’uso: Estrazione Fisica
n Copia “forense” dell’intera flash del dispositivo
n Vantaggi:n maggiore disponibilità di dettagli (carving)n più dati disponibili
n Svantaggi:n richiede decodifican alta complessitàn richiede tempo (anche la “filesystem”...)
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
42
Cellebrite UFEDCenni sull’utilizzo del bootloader
n Modalità utilizzata per Physical Extraction
n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema tramite un programma di controllo che ha accesso alla maggior parte delle operazioni sul dispositivo
n Vantaggi:n Nessun Sistema Operativo, meno sicurezza da bypassaren Spesso generico o customizzato sulla famiglia di dispositivin Sicuro e progettato per read-onlyn Accurato, può potenzialmente accedere a tutte le aree
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
43
Cellebrite UFEDCenni sulla encryption
n Problematica sempre più rilevante
n Soluzioni:
n Reverse Engineeringn Exploitsn Brute force
n Esempio di encryption “bucata”: Tom Tom e i triplog
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
44
Cellebrite UFEDWork Flow di un’analisi di cellulare
n Estrazione
n Decodifica
n Analisi
n Report
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
45
Cellebrite UFEDPhysical Analyzer: funzionalità di base
n Supporto per immagini fisiche, logiche e filesystemn Report personalizzatin Shell PYTHONn Supporto per plugin, piattaforma estendibile e flessibilen Timeline e Analisi globale del progetton Carving delle immaginin Visualizzazione diretta in HEXn Watch List su keyword per soglie di attenzionen SQLite Browsern Decifratura del triplog TomTomn Malware Scanningn Recupero BBM cancellati e di gruppo
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
46
Cellebrite UFEDfunzionalità di avanzate
n Pattern/Code unlockn Link analysis (diversi dispositivi)n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...)n Phone Detective (riconoscimento marca e modello telefono e
identificazione capabilities)
martedì 16 aprile 13
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Do5. Paolo Dal Checcopdalchecco@digitlaw.it
Do5. Giuseppe Dezzanigdezzani@digitlaw.it
Domande?
47
martedì 16 aprile 13