Mobile Forensics

14

description

A cura di Polizia Postale di Cagliari Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie. (coordinamento delle attività a cura di Massimo Farina)

Transcript of Mobile Forensics

Page 1: Mobile Forensics
Page 2: Mobile Forensics

Mobile ForensicsMobile Forensics

2

POLIZIA DI STATOPOLIZIA DI STATOCOMPARTIMENTO POLIZIA POSTALE E DELLE COMPARTIMENTO POLIZIA POSTALE E DELLE

COMUNICAZIONI – CAGLIARI -COMUNICAZIONI – CAGLIARI -

Università degli Studi di Cagliari - Facoltà di Ingegneria Università degli Studi di Cagliari - Facoltà di Ingegneria ““aula Mocci” aula Mocci”

Cagliari 23/28 gennaio 2014Cagliari 23/28 gennaio 2014

Page 3: Mobile Forensics

Si occupa dell’analisi o dell’ispezione:Si occupa dell’analisi o dell’ispezione:

3

Telefoni cellulari;Smartphone;Tablet;Dispositivi GPS;

MOBILE FORENSICSMOBILE FORENSICS

Page 4: Mobile Forensics

Pertanto, non potendo garantire l’inalterabilità Pertanto, non potendo garantire l’inalterabilità dei dati, tutte le procedure seguiranno la forma dei dati, tutte le procedure seguiranno la forma dell’atto irripetibile;dell’atto irripetibile;

4

MOBILE FORENSICSMOBILE FORENSICS

Analisi/ispezione dispositivi mobili:Analisi/ispezione dispositivi mobili:Le attività vengono effettuate con i dispositivi Le attività vengono effettuate con i dispositivi accesi…accesi…

con conseguente avviso alle parti dell’inizio con conseguente avviso alle parti dell’inizio attività.attività.

Page 5: Mobile Forensics

La diversità dei dispositivi presenti sul mercato non La diversità dei dispositivi presenti sul mercato non consente, a differenza delle memorie di massa, di consente, a differenza delle memorie di massa, di seguire un protocollo di attività standard:seguire un protocollo di attività standard:

5

Analisi/ispezione dispositivi mobili:Analisi/ispezione dispositivi mobili:

Per tale motivo sarà l'operatore a decidere come Per tale motivo sarà l'operatore a decidere come procedere in base al dispositivo da analizzare e procedere in base al dispositivo da analizzare e agli obiettivi da raggiungere.agli obiettivi da raggiungere.

vsvs

MOBILE FORENSICSMOBILE FORENSICS

Page 6: Mobile Forensics

Per semplicità le attività sono state suddivise in tre Per semplicità le attività sono state suddivise in tre gruppi:gruppi:

6

Analisi/verifica dispositivi mobili:Analisi/verifica dispositivi mobili:

Dispositivi di prima generazione;Dispositivi di prima generazione;

Dispositivi che permettono il collegamento col pc;Dispositivi che permettono il collegamento col pc;

Dispositivi che permettono elevate capacità di calcolo e Dispositivi che permettono elevate capacità di calcolo e connessione avanzata;connessione avanzata;

MOBILE FORENSICSMOBILE FORENSICS

Page 7: Mobile Forensics

7

DISPOSITIVI DI PRIMA GENERAZIONEDISPOSITIVI DI PRIMA GENERAZIONE

Se l'apparato sottoposto ad analisi è un cellulare Se l'apparato sottoposto ad analisi è un cellulare di vecchia generazione, che quindi non di vecchia generazione, che quindi non permette il collegamento al pc, si procederà con permette il collegamento al pc, si procederà con la visualizzazione diretta della rubrica, dei la visualizzazione diretta della rubrica, dei messaggi e delle chiamate presenti in memoria.messaggi e delle chiamate presenti in memoria.

MOBILE FORENSICSMOBILE FORENSICS

Page 8: Mobile Forensics

8

DISPOSITIVI CHE PERMETTONO IL DISPOSITIVI CHE PERMETTONO IL COLLEGAMENTO COL PCCOLLEGAMENTO COL PC

I telefoni della generazione successiva (per intenderci quelli che I telefoni della generazione successiva (per intenderci quelli che sono muniti di fotocamera e supportano le tecnologie gprs-mms sono muniti di fotocamera e supportano le tecnologie gprs-mms ecc.) possono essere acquisiti ed analizzati mediante appositi ecc.) possono essere acquisiti ed analizzati mediante appositi dispositivi hardware e software.dispositivi hardware e software.

Cellebrite – UFED Physical ProGuidence Software - EnCaseOxygen-Forensic - Oxygen SuiteParaben Corp. - Device Seizure v6

MOBILE FORENSICSMOBILE FORENSICS

Page 9: Mobile Forensics

9

DISPOSITIVI CHE PERMETTONO IL DISPOSITIVI CHE PERMETTONO IL COLLEGAMENTO COL PCCOLLEGAMENTO COL PCquesti software generalmente leggono i dati presenti nel telefono e questi software generalmente leggono i dati presenti nel telefono e li salvano in un report in formato html, suddividendo le informazioni li salvano in un report in formato html, suddividendo le informazioni per categoria:per categoria:

contatticontattichiamate in entratachiamate in entratachiamate in uscitachiamate in uscitachiamate non rispostechiamate non rispostesms sms mmsmmsimmagini immagini videovideo

MOBILE FORENSICSMOBILE FORENSICS

Page 10: Mobile Forensics

10

Dispositivi che permettono elevate capacità di calcolo e Dispositivi che permettono elevate capacità di calcolo e connessione avanzataconnessione avanzata

Smartphone e tabletSmartphone e tablet

Possiedono memorie interne che possono raggiungere elevate Possiedono memorie interne che possono raggiungere elevate capacità;capacità;

Sono muniti di sistema operativo;Sono muniti di sistema operativo;Google AndroidGoogle Android

Windows MobileWindows Mobile

Apple iOSApple iOSBlackberryBlackberrySymbianSymbian

MOBILE FORENSICSMOBILE FORENSICS

Page 11: Mobile Forensics

upgrade

ANALISIANALISI

Smartphone e tabletSmartphone e tablet

Utilizzo dei dispositivi hardware e software commerciali;Utilizzo dei dispositivi hardware e software commerciali;

Svantaggi:Svantaggi: - per grandi quantità di dati il report risulta ingestibile;- per grandi quantità di dati il report risulta ingestibile;- scarsa compatibilità con le nuove versioni dei - scarsa compatibilità con le nuove versioni dei dispositivi. dispositivi.

MOBILE FORENSICSMOBILE FORENSICS

Vantaggi:Vantaggi: - minima interazione col dispositivo;- minima interazione col dispositivo;- report preconfezionato;- report preconfezionato;

Page 12: Mobile Forensics

12

ANALISIANALISI

Smartphone e tabletSmartphone e tablet

ad esempio:-si potranno dapprima salvare le immagini e i video, visualizzarli e descriverli in relazione;-si procederà poi all'analisi della navigazione memorizzata nella cache del browser, ricorrendo anche alla ricerca di parole chiave:-Infine, in maniera dettagliata, si verificheranno le impostazioni delle app di istant-messaging (whatsapp - ecc) e, mediante interpretazione dei relativi database, si riporteranno le risultanze in relazione.

Saranno le esigenze ad orientare l'operatore...

MOBILE FORENSICSMOBILE FORENSICS

Page 13: Mobile Forensics

MOBILE FORENSICSMOBILE FORENSICS

13

conclusioni

POLIZIA DI STATOPOLIZIA DI STATOCOMPARTIMENTO POLIZIA POSTALE E DELLE COMPARTIMENTO POLIZIA POSTALE E DELLE

COMUNICAZIONI – CAGLIARI -COMUNICAZIONI – CAGLIARI -

Page 14: Mobile Forensics