DIGITAL FORENSICS Mobile ForensicsAnalisi · PDF fileDIGITAL FORENSICSMobile ForensicsAnalisi U’ liill Mbil F i CosaProcesso si può inv recupeestigartivaroe. Un’analisi su a Mobile

Mobile ForensicsDIGITAL FORENSICSAnalisiU ’ li i ll M bil F i

Processo investigativoCosa si può recuperare.Un’analisi sulla Mobile Forensics

Presentazione di Raoul ChiesaSenior Advisor, Strategic Alliances & Cybercrime Issuesocesso es ga o

Metodologia di analisiCosa s può ecupe a e, g y

Global Crimes Unit (GCU), UNICRIUnited Nations Interregional Crime & Justice Research Institute

Torino 7 Maggio 2010Torino, 7 Maggio 2010

1 1

Disclaimer

● Le informazioni contenute in questa presentazione non infrangono alcunaproprietà intellettuale, nè contengono strumenti o istruzioni che potrebberop p , g pessere in conflitto con la vigente legislazione.

● I marchi registrati appartengono ai rispettivi proprietari.

● Le opinioni qui espresse sono quelle dell’autore e non rispecchianonecessariamente quelle dell’UNICRI, di altre Agenzie delle Nazioni Unite e/od ll’ENISA l’A i E l Si d ll R ti d ll I f i idell’ENISA, l’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni.

Introduzione,,“who is who”

Chi sono ?

Raoul Chiesa

Hacker dal 1986 al 1995, quando vengo arrestato per una lungaserie di violazioni informatiche presso istituzioni ed enti ad alta criticità,nel corso dell’operazione “Ice Trap” condotta dalla S.C.O., Criminalpol,Interpol ed FBI.

Da allora il mio approccio all’ICT Security è maturato: nel 1996 inizioad occuparmi professionalmente di ethical hacking e, nel 1997, fondo@ Mediaservice.net, società di consulenza vendor-independent moltonota a livello europeo e @PSS società di Digital Forensicsnota a livello europeo e @PSS, società di Digital Forensics.

Sono inoltre socio fondatore del CLUSIT (Associazione italiana perla sicurezza informatica), dove ricopro anche la carica di membro delComitato Direttivo (C D ) e del Comitato Tecnico Scientifico (C T S )Comitato Direttivo (C.D.) e del Comitato Tecnico Scientifico (C.T.S.).Membro del Board of Directors ISECOM (Institute for Security andOpen Methodologies), TSTF (Telecom Security Task Force) e delCapitolo Italiano di OWASP (Open Web Applications Security Project).I fi b d ll’ICANN l t l b i llInfine, sono membro dell’ICANN e consulente sul cybercrime alleNazioni Unite per l’UNICRI (United Nations Interregional Crime andJustice Research Center).

UNICRI

What is UNICRI?

United Nations Interregional Crime & Justice Research Institute

A United Nations entity established in 1968 to support countriesworldwide in crime prevention and criminal justice

UNICRI carries out applied research, training, technicalcooperation and documentation / information activities

UNICRI disseminates information and maintains contacts withprofessionals and experts worldwide

Global Crimes Unit (Former “Counter Human Trafficking andEmerging Crimes Unit”): cyber crimes, counterfeiting,environmental crimes, trafficking in stolen works of art…

Fake Bvlgari &Rolex, but alsoViagra &Cialis (aka SPAM)Water systems with “sensors”…Guess how they update each others?

Email, chat&IM, Skype…

ENISA

What is ENISA?• European Network & Information Security Agency• ENISA is the EU’s response to security issues of the European Union• “Securing Europe's Information Society” is our mottog p y• In order to accomplish our mission, we work with EU Institutions and Member States• ENISA came into being following the adoption of Regulation (EC) No 460/2004 of the

European Parliament and of the Council on 10 March 2004. Operations started onSeptember 2005, after moving from Brussels to Crete, and with the arrival of staff thatwere recruited through EU25-wide competitions with candidates coming from allover Europe.

• ENISA is helping the European Commission, the Member States and the businesscommunity to address, respond and especially to prevent Network and InformationSecurity problems.Th A l i t th E C i i i th t h i l t• The Agency also assists the European Commission in the technical preparatorywork for updating and developing Community legislation in the field of Networkand Information Security.I’ M b f ENISA’ PSG P t St k h ld G• I’m a Member of ENISA’s PSG – Permanent Stakeholders Group.

Strategic Relationships

Nel corso degli anni siamo stati in grado di creare una rete di relazioni speciali e contatti diretti con le seguenti organizzazioni, all’interno di aree di interesse e ricerca comuni:

APWG – Anti Phishing Working Group (USA)AFP Australian Federal Police

JP CERT (Japan)KPMG (EU)McAfee (WW)

(this list is may not complete due to NDAs)

AFP – Australian Federal PoliceANZ-Australia/New Zealand Bank AssociationAUSCert (Australia)Brand Protect (Canada) CLUSIT

McAfee (WW)ESET (WW)LPI Canada@ Mediaservice.netMicrosoft (WW)CLUSIT

CNNIC – China Internet Network Information Center (China) COE (Council of Europe, EU)CSIS (Center for Strategic and International Studies, WW)CYBEX (Spain)

c oso t ( )MyCERT (Malaysia)NAUSS (Naif Arab University for Security

Sciences, Saudi Arabia)NCIS (USA)CYBEX (Spain)

EUROPOLFBI Academy (Quantico, USA)FBI IC3, Cyber Division (Washington DC, USA)GCSC (Global Center for Securing Cyberspace Canada)

( )OpenBSD Development TeamPayPal (USA)Polish Police Academy, Szczytno (PL)@ PSSGCSC (Global Center for Securing Cyberspace, Canada)

Google (WW)INTERPOL ITU – International Communication Union (Switzerland) Immunity (USA)

RACVIAC SE (Croatia)RSA (USA)Team CYMRU (WW)Trend-Micro (WW) Immunity (USA) Verisign (WW)

UNICRI & Cybercrime

Overview dei progetti UNICRI contro il cybercrime (GCU)

Hackers Profiling Project (HPP)

contro il cybercrime (GCU)

SCADA & sicurezza delle ICN (CNIs)

SCADA SecurityFormazione su Digital Forensics etecniche di investigazioni informatiche

Corsi ONU sulla CybersecurityDigital Anti-paedophilia (with ITU: COP)

Spam Analysis (economical model andSpam Analysis (economical model and organized crime, with ITU)

DigitaliForensics

Digital Forensics

L’ di t di i tifi i (id tifi iL’uso di metodi scientifici (identificazione, raccolta, validazione, preservazione, analisi,

interpretazione, documentazione e presentazione delle evidenze digitali derivatepresentazione delle evidenze digitali derivate

da “fonti digitali”) che hanno lo scopo di facilitare la ricostruzione di azioni nonfacilitare la ricostruzione di azioni non

autorizzate, dannose o di eventi criminali.

Digital Forensics

I i i l t l Di it l F i è t t• Inizialmente la Digital Forensics è stata usata solo per i crimini tecnologici.

‒Intrusioni informatiche;‒Web defacement;‒Danneggiamento/Furto di dati;

f‒Pedofilia online.

N li lt i i i t t ti• Negli altri casi i computer sono stati semplicemente ignorati (e non solo quelli

12

Digital Forensics

Al i i “ i f ti i” h bbi• Alcuni casi “non informatici” che abbiamo risolto negli ultimi anni:

‒Frode telefonica: analisi di dispositivi “GSM-box”-like al fine di individuare il Modus Operandi tecnologico ed ilfine di individuare il Modus Operandi tecnologico ed il modello di business criminale.‒Spionaggio Industriale: supporto ad azienda nellaSpionaggio Industriale: supporto ad azienda nella

risoluzione e conseguenti azioni in Tribunale (furto di disegni e progetti industriali).‒Antipedofilia digitale: analisi di evidence elettroniche a

supporto dell’AA.GG., verso PC e smartphone.

13

Digital Forensics• È quindi lampante come l’analisi delle evidenze

digitali si rende necessaria anche per crimini chedigitali si rende necessaria anche per crimini che nulla hanno a che fare con la tecnologia.

• Dal palmare della Lioce al delitto di Garlasco…sino agli atti di bullismo su Facebooked altre cronache recenti (il laptop di Brenda neled altre cronache recenti (il laptop di Brenda nel caso Marrazzo, etc..)

• Non sono stati portati all’attenzione del grande pubblico molti altri casi, risolti per merito delle

id di it lievidenze digitali.

14

Digital Forensics• Adesso la Digital Forensics “è di moda”!!!

• Questo è un bene in quanto vi è:‒Maggiore scambio di informazione;

N i t l t l i‒Nuovi tool e nuove tecnologie;‒Un più rapido sviluppo;‒Una maggiore sensibilità al problema;

• Questo è un male perché:‒Tutti vogliono lanciarsi in questo mercato;

Ci lti “ ti ti” i i ti lt i i‒Ci sono molti “presunti esperti”, improvvisati e molto spesso privi dei necessari skill, strumenti, laboratori ed esperienza sul campo;

‒Tutti promettono tool “facili da usare”;Il fatto di scrivere “forensics” su un programma di 10 anni fa non‒Il fatto di scrivere forensics su un programma di 10 anni fa non lo rende necessariamente più adatto allo scopo.

15

Digital Forensics: le regole d’oro

• Affidarsi a professionisti di comprovata esperienza;

regole d oro

p p p ;

• Non richiedere all’esperto informatico ciò che non è ptecnicamente possibile;

• Non chiedere di “fabbricare prove”;

• Richiedere il possesso di certificazioni di settore, nazionali ed internazionali, e l’appartenenza ad , ppAssociazioni di Categoria (CLUSIT, IISFA, etc.).

16

Mobile Forensics

Mobile Forensics/1Il cellulare è oggi lo strumento più personale d “i ti ” h i i d è dded “intimo” che ci sia, ed è sempre addosso

alla persona.

…In un corso di formazione a LEAs europei p(Accademia di Polizia di Szczytno, Polonia), ho chiesto in aula ai poliziotti presenti:ho chiesto in aula ai poliziotti presenti:“Who could lend me his phone to be analyzed?”“Use your own” has been the global answer ☺Use your own has been the global answer ☺

18

Mobile Forensics/2Inoltre, oltre ai mobile phone, è sempre più

t i t i di it li licomune trovare sistemi digitali personali:

PDA;Sistemi multimediali (iPod, PSP, DS, Fotocamere digitali);Smartphone (Blackberry iPhone HTC );Smartphone (Blackberry, iPhone, HTC, …);Telefoni cellulari;Dispositivi GPS (TomTom, Garmin, …)Dispositivi GPS (TomTom, Garmin, …)

19

Mobile Forensics• L’esame di tali dispositivi comporta quindi

l’accesso ad una pletora di informazioni personali.

• Specialmente i cellulari e gli smartphonecontengono informazioni che possono esserecontengono informazioni che possono essere vitali in diverse indagini. E comunque restituire un profilo abbastanza chiaro dell’utilizzatore.

• La semplice “richiesta dei tabulati” non basta più è evidentepiù…è evidente.

20

Cosa possiamo trovare• Infatti, solo l’esame del terminale e della

h d SIM/USIM ò f ischeda SIM/USIM può fornire:

SMS/MMS;Foto;Video;Informazioni relative alle applicazioni;Posta Elettronica;Dati GPSLog di IM chatsEtc…

21

Situazione attuale

L'It li è f i i il iù lt• L'Italia è fra i paesi con il più alto numero di dispositivi mobile e schede SIM/USIM posseduti da ogni utente.

• Si sta tentando di definire delle Best Practice simili a quelle adottate per iPractice simili a quelle adottate per i computer, considerate le potenzialità degli tt li di iti i biliattuali dispositivi mobili.

22

Struttura di un dispositivo mobile

“CPU” M i I t (i• “CPU” con Memoria Interna (in genere poche decine di MB);

• Scheda di memoria rimovibile o aggiuntiva;Scheda di memoria rimovibile o aggiuntiva;

• SIM o USIM (l’equivalente di una carta SIM• SIM o USIM (l equivalente di una carta SIM nel protocollo UMTS).

23

Subscriber Identity Module

• La SIM è un tipo di Smart Card, che permette al mobile device di avere le chiavi di cifratura per connettersi alla rete.di cifratura per connettersi alla rete.

• E’ caratterizzata da due codici:• E caratterizzata da due codici:ICCID (Integrated Circuit Card Identification), un

codice di venti cifre che identifica univocamentecodice di venti cifre che identifica univocamente la SIM;IMSI (International Mobile Subscriber Identity)IMSI (International Mobile Subscriber Identity),

che identifica l’utente all’interno della rete.

24

Caratteristiche di una SIM

I f i i tili d• Informazioni utili da recuperare:‒ICCID;‒IMSI;‒Ultima cella agganciata;‒Elenco chiamate, Rubrica, SMS (anche cancellati);

• Protetta tramite codici PIN e PUK;‒ Il PUK può essere conosciuto dall’operatore

25

Il Dispositivo Mobile

Il NIST l ifi i t l f i ll l i i t• Il NIST classifica i telefoni cellulari in tre diverse categorie:1. Basic Phone2 Advanced Phone2. Advanced Phone3. Smart Phone

26

Repertamento

S l l i i• Segnalare la posizione.• Documentare lo stato del dispositivo.• Se rinvenuto acceso, riportare e fotografare

i dati e le informazioni presenti sulloi dati e le informazioni presenti sullo schermo.

• Cavi vari ed eventuali memory card• Cavi vari ed eventuali memory card.• Imballaggio originale (Kit scheda SIM

t ) i ti l d ll SIMoperatore), in particolare della SIM.

27

Preservazione

L’i t di i l il d i• L’importanza di isolare il device;• Modalità di isolamento:‒Spegnimento del device;‒Jammer;‒Faraday’s bag;‒SIM clone;

• Problemi: ‒Mantenere il device alimentato;;‒Rimozione della batteria;

28

Casi pratici

U l t P l P l V• Un consulente recupera un Palmare Palm V durante un sequestro. Lo consegna al PM per farlo analizzare un mese dopo.

• Peccato... la batteria si è scaricata e i dati sono stati persisono stati persi.

29

Casi pratici

D t i i i i• Durante una perquisizione, viene sequestrato e repertato un palmare;

• Non viene ne spento, ne isolato;Non viene ne spento, ne isolato;

• Durante la perquisizione l’indagato si è• Durante la perquisizione, l indagato si è premunito di cancellare i dati via Wi-Fi.

30

Acquisizione e Recupero Datip

• A differenza di un normale device, ci sono molti altri fattori che entrano in gioco durante l’acquisizione della memoria interna di unl acquisizione della memoria interna di un telefono cellulare:

File system proprietari;File system proprietari;Sistemi operativi embedded a seconda di produttore e modello;;Software di analisi disponibili in commercio.

• Risulta pertanto impossibile applicare leRisulta pertanto impossibile applicare le metodologie tradizionali.

31

Acquisizione e Recupero Dati

D d lità di i i i

p

• Due modalità di acquisizione;• Acquisizione Fisica:

Estrazione del chip e lettura del contenuto;Accertamento non ripetibile;Difficile l’interpretazione del file system.

• Acquisizione Logica:q gLivello di astrazione più alto;Slack space e Unassigned Space non p g p

recuperabili;Disomogeneità di risultati tra tool diversi.g

32

Acquisizione e Recupero Dati

L’ i i i l i d i di il

p

• L’acquisizione logica prevede, quindi, il collegamento del device ad un PC o ad un hardware dedicato.

• Collegamenti possibili (in ordine dal meno al più invasivo):più invasivo):‒Cavo;

IR (infrarossi);‒IR (infrarossi);‒BT (Bluetooth).

33

Analisi

D i i t t• Device rinvenuto spento:Rimuovere SIM ed eventuale memory card;Analisi SIM;Analisi memory card;Clonare SIM ed inserirla nel device;Collegare il device al software/hardware;Estrarre i dati.

• Ricordarsi la preservazione.

34

Analisi

D i i t• Device rinvenuto acceso:‒Preservazione del device: isolamento ed alimentazione;‒Collegare il telefono al software/hardware;‒Estrarre i dati;‒Analizzare SIM e memory card.

• Opzione analisi manuale: ricordarsi di videoregistrare.

35

Mobile Forensics

Di i i t i di l i i t i• Diversi sistemi, diverse soluzioni, stessi principi e metodologia:

iPhoneAndroidAndroidBlackBerry

36

iPhone Forensics

I t d tt l 2007 h t BB• Introdotto nel 2007, ha superato BB diventando il secondo smartphone più presente sul mercato (Nokia il primo);

• Diverse possibilità di connettivitàDiverse possibilità di connettività‒GSM/EDGE, UMTS‒WiFi GPS BluetoothWiFi, GPS, Bluetooth

• Diverse capacità hardware‒Sensori di posizione velocità e prossimità‒Sensori di posizione, velocità e prossimità‒Videocamera incorporata

37

iPhone Forensics

38

iPhone Forensics

T d lità di i i i d li i• Tre modalità di acquisizione ed analisi:‒Acquisizione dei dati dai backup presenti sul sistema con cui il dispositivo si sincronizza;

‒Acquisizione logica del file system utilizzando il protocollo di Apple per il sync;

‒Acquisizione fisica, creando una copia bit-a-bitdel file system.

39

iPhone Forensics

A i i i B k• Acquisizione BackupWindows XP: C:\Documents and

Settings\(username)\Application Data\AppleComputer\MobileSync\Backup\Windows Vista:

C:\Users\(username)\AppData\Roaming\Apple Computer\MobileSync\Backup\Mac OS X:

/Users/(username)/Library/ApplicationSupport/MobileSync/Backup/

40

iPhone Forensics

T fil li t (fil di t t )‒Tre file .plist (file di testo)• Status.plist, che ci dice lo stato dell’ultimo sync• Info plist informazioni sull’iPhone• Info.plist, informazioni sull iPhone• Manifest.plist, lista di tutti i file copiati durante il

backup, modification time e hashp,

‒ Diversi file .mdbackup, che contengono i dati p, geffettivamente salvati.

41

iPhone Forensics

A i i i l i• Acquisizione logica‒ Quanto e cosa si trova dipende, purtroppo, dal tool utilizzato.‒ Alcuni di questi:

• UFED CelleBrite• Oxygen Forensics Suite• XRY/XACT• XRY/XACT• Paraben Device Seizure• …

42

iPhone Forensics: Case Studyy

• Una tipologia di metadati molto interessante è p gquella fornita dal formato Exif (Exchangeableimage file format);image file format);

• Exif è una specifica per il formato di file immagine utilizzato dalle fotocamere digitaliimmagine utilizzato dalle fotocamere digitali ed anche dagli smartphone;

• Si appoggia su formati già esistenti come• Si appoggia su formati già esistenti come JPEG, TIFF e altri ai quali aggiunge dei

t d ti (t )metadati (tag).

43

iPhone Forensics: Case Studyy

• Esempi di metadati Exif:Esempi di metadati Exif:– Data ed ora in cui è stata scattata la foto;– Impostazioni fotocamera (modello, produttore,Impostazioni fotocamera (modello, produttore,

orientazione, apertura, velocità scatto, etc);– Miniatura dell’immagine per l’anteprima sulMiniatura dell immagine per l anteprima sul

display della macchina digitale;– Location Information tag: coordinate GPS inLocation Information tag: coordinate GPS in

formato GPX;– Etc…Etc…

44

iPhone Forensics: Case Study

• L’11 Gennaio 2010 viene

y

L 11 Gennaio 2010 vienepubblicato un post da fonteanonima che dice di averanonima, che dice di averavuto una giornata pesante al l l l d ilavoro e volerla concludere inmaniera “particolare”;

• Pubblica anche una foto, maafferma che non riveleràa e a c e o e e àdove lavora…

45


• La foto pubblicata raffigura

y

La foto pubblicata raffigura tre piste di (presumibilmente) cocaina;cocaina;

Q l h t t• Qualche utente particolarmente curioso ha provato ad estrarne i metadati e…etadat e

46


Make : AppleCamera Model Name : iPhone 3GS

y

Camera Model Name : iPhone 3GSOrientation : Horizontal (normal)X Resolution : 72Y Resolution : 72…Exif Version : 0221Date/Time Original : 2010:01:11 18:05:47Create Date : 2010:01:11 18:05:47…GPS Altitude : 49 m Above Sea LevelGPS Latitude : 38 deg 53' 52.20" NGPS Longitude : 77 deg 2' 12.00" WGPS Position : 38 deg 53' 52.20" N, 77 deg 2' 12.00" WImage Size : 450x600

47


• Vera o falsa che sia la foto

y

appena analizzata, dimostra comunque l’utilità e la q“pericolosità” delle informazioni che possono pessere contenute nei metadati… e negli gsmartphone.

• In ogni caso, alla corte di g ,Obama questo lo avranno sicuramente capito ;-)p )

48http://blog.savejersey.com/2010/01/12/white-out-cocaine-in-the-obama-white-house.aspx

Android Forensics

B t K l Li 2 6• Basato su Kernel Linux 2.6• SQLite (un “mini” Data-Base) per il

salvataggio dei dati• Dalvik VM (Virtual Machine)Dalvik VM (Virtual Machine)‒ Ogni applicazione gira all’interno di una VM separata;separata;‒ AndroidManifest.xml contiene la descrizione dell’applicazione.dell applicazione.

49

Android Forensics

50

Android Forensics

Di i i i i il G l f i• Diverse opzioni per acquisire il Googlefonino;‒Android Debug Bridge

• Interagisce con il demone adbd• # adb push|pull <src> <dest>• Possibilità di inviare classici shell commands• Possibilità di inviare classici shell commands

‒Hardware deviceHardware device• UFED CelleBrite• XRY/XACT• Paraben

51

BB Forensics

A i i i d li i i ft• Acquisizione ed analisi via software…BlackBerry Desktop Software BlackBerry SimulatorAmber Blackberry Converter

• … e via hardware‒ UFED CelleBrite‒ Paraben Device Seizure‒ Oxygen Forensics Suite‒ XRY/XACT

52

Conclusioni

Gli t di i d ti l’ li i d ll SIM• Gli studi riguardanti l’analisi delle SIM sono decisamente avanti;‒Struttura del “file system” nota;

P t i di iti i d i• Purtroppo i dispositivi moderni non utilizzano più la SIM per lo storage di informazioni;

• Problematiche nell’acquisizione fisica• Problematiche nell acquisizione fisica.

53

Conclusioni

• Disomogeneità dei risultati tra tool differenti;g• Irripetibilità della perizia;• Non solo telefoni cellulari/smartphones:

Lettori multimediali (iPod);Lettori multimediali (iPod);Console portabili (PSP);Dispositivi di Navigazione Satellitare (TomTom,

per verificare le “destinazioni”: per esempio, i pusher-taxisti, etc..);etc…

54

Domande?

Contatti - Domande?

Raoul Chiesa

E-mail: [email protected] ffi i l di HPPSito ufficiale di HPP :http://www.isecom.org/hpp

http://www.unicri.itQuestionari HPP:http://hpp.recursiva.org

Grazie per l’attenzione!

UNICRI Cybercrime Home Page:http://www.unicri.it/wwd/cyber crime/index.phpp y _ p p