Upload
lamquynh
View
241
Download
0
Embed Size (px)
Citation preview
Mobile Forensics, introduzione e panoramica degli strumen6 commerciali e open source con esempi e
applicazioni pra6che.
10 aprile 2013, MilanoCorso di perfezionamento in “Computer forensics e inves;gazioni digitali”
Do?. Paolo Dal CheccoConsulente di Informatica Forense
Do?. Stefano FratepietroConsulente di Informatica Forense
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
2
Do?. Paolo Dal Checco
§ Consulente Informa6co Forense, 6tolare Studio DiFoB
§ Founder DEFT Associa6on
§ Partner Digit Law S.r.l., Security Brokers S.c.p.A.
§ [email protected], @forensico
Do?. Stefano Fratepietro
§ Founder e CISO di Tesla Consul6ng s.r.l.s
§ Founder, President, DEFT Associa6on
§ [email protected], @stevedeJ
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
3
Mobile Forensicsn Ramo della Digital Forensics, di cui fa parte la Computer Forensicsn All’inizio era il cellulare...n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di
è portatile, talvolta ha capacità di comunicazione, memoria interna/esterna
n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma anche fotocamere/videocamere, registratori digitali, etc...
n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet perché sul resto si può spesso operare con strumenti utilizzati per la computer/disk forensics
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Componenti di un mobile devicen Dispositivo (marca, modello, s/n)n Scheda SIMn Memoria aggiuntiva
n Cloud (Dropbox, iCloud, GDrive, etc...)
4
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Dispositivon In genere scritto sul retro del dispositivo, dietro la
batterian Si può ricavare dall’IMEI (che si legge sul retro
oppure si ottiene “chiamando” il “*#06#”)u Valore univoco attribuito al cellulare sulla reteu www.numberingplans.com, www.trackimei.com
n Utilizzare in mancanza di altro le caratteristiche fisiche (dimensione, forma, etc...)
5
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
SIMn Subscriber Identity Module (SIM)n Permette il collegamento del dispositivo con la
rete GSM/3G n Due codici: ICCID (Integrated Circuit Card
IDentification) e IMSI (International Mobile Subscriber Identity)
n Sempre meno utilizzata nei dispositivi mobili per memorizzare dati rilevanti, va comunque analizzata e conosciuta
6
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
SIM (ICCID)n ICCID (Integrated Circuit Card IDentification)n Codice univico stampato sul dorso della schedan Formattazione precisa:
7
n XX (prime due cifre): codice standard per l'identificazione di un sistema con scopi di telecomunicazione (89 per l’Italia)
n XX (terza e quarta cifra): 39 solo per l'Italia, corrisponde al prefisso internazionale assegnato al paese in cui opera dato gestore e varia a seconda delle nazioni
n XX(X) (due o tre cifre): codice identificativo del gestore, così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb
n XXXXXXX (tutte le cifre restanti fino alla fine del codice ICCID): iidentificativo del singolo chip
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
SIM (IMSI)n International Mobile Subscriber Identityn codice che identifica una coppia SIM-operatore
telefonico, ossia la SIM in una rete GSMn lungo 15 cifre e così strutturato:
8
n XXX - MCC (Mobile Country Code), 222 per l'Italia.n XX - MNC (Mobile Network Code), l'identificativo
della compagnia telefonica in rete. Coincidono con quelli presenti sull'ICCID (01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb);
n XXXXXXXXXX - MSIN (Mobile Subscriber Identification Number), un numero univoco che identifica ciascuna utenza.
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Memoria aggiuntivan Può contenere diversi dati essenziali: fotografie,
filmati, SMS (in alcuni Nokia si può scegliere...), backup, Whatsapp, etc...
n Se in fase di sequestro... sequestrare pure quella (ci sono casi in cui ciò non è stato fatto!)
n L’esame si può fare in parallelo con gli strumenti per la mobile forensics o separatamente, con gli strumenti tradizionali per digital forensics
9
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Cloudn Il dispositivo può non contenere tutti i dati ma i
riferimenti per potervi accedere... è legale farlo?n Discorso molto ampio, ci vorrebbe un seminario
solo per quellon Valutare la presenza di client per Cloud come
Dropbox, iCloud, Google Drive, SkyDrive, etc...n Può rappresentare un problema perché in taluni
casi (es. iCloud) permette all’utilizzatore di operare da remoto sul cellulare
10
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Repertazionen Se spento
u lasciare spentou sequestrare anche eventuali schede di memoria e
la batteria (per risparmiarsi problemi in seguito se disponibili prendere anche cavetti, caricabatteria, confezione SIM, software, etc...)
u documentare stato del telefonou non lasciare la batteria all’interno o isolarla per
evitare che si accenda inavvertitamente o suoni la sveglia
11
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Repertazionen Se acceso
u Documentare data/ora ed eventuali info su displayu Spegnerlo togliendo la batteria o se si ritiene
importante, mantenerlo acceso ma isolato da tutto (jammer, gabbia di faraday, airplane mode)
12
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Acquisizionen Acquisire il più possibile impattando il meno possibilen Nel momento in cui lo si accende, NON lasciare la
SIM originaria e NON farlo connettere al WiFi, Bluetooth, evitare che riceva il GPS
n Se è richiesta SIM e se deve essere quella fornita con il telefono: SIM cloning (IMSI,ICCID)
n tre tipi di acquisizione: SIM, memoria interna, memoria esterna
n un quarto tipo riguarda i dati presso l’operatore, ma non si parla più di mobile forensics...
13
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Acquisizione SIMn Sempre meno fruttuosa, permette comunque in
taluni casi di ottenere:u ICCID (Integrated Circuit Card Identification)u IMSI (International Mobile Subscriber Identity)u Rubrica (Abbreviated Dialing Numbers – ADN) u Registro chiamate (Last Dialed Number – LDN) u Short Message Service (SMS)u Location information (LOCI)
14
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Acquisizione memoria esternan Paragonabile all’analisi di un disco o una SDn In genere vi sono memorizzati dati multimediali e
documentin Può contenere anche SMS, backup, Whatsapp,
etc...n Acquisire con copia forense (write blocker + dd)n Elaborare con sw di analisi, carving, etc...
15
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
Acquisizione memoria internan Si esegue tramite strumenti (hardware o
software) dedicati, OSS o commerciali
n Tre modalità:u Logica: copia delle informazioni che il sistema
operativo mette a disposizione (sincronizzazione) u File System: copia (completa o parziale) dei file
presenti all’interno della memoria (backup) u Fisica: acquisizione bit a bit dell’intero contenuto
della memoria NAND presente nel dispositivo
16
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
17
Panoramica dei softwareIl desolante panorama freeware ed OSS:
n Bitpimn iPBAn Sql lite database browsern Bulk extractorn Stringsn Foremost
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
18
Panoramica dei softwareIl panorama dei software commerciali:
n Cellebrite UFEDn Micro Systemation XRYn Oxygen Forensicsn Paraben Device Seizuren Mobile Editn ViaForensicsn Elcomsoftn FTS iXAMn Katana Fornsics Lanternn Tarantula
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
19
SIM Forensicsn Per cominciare, un test sulla SIM forensics, ormai in disuso ma ancora
talvolta necessarian Acquistata SIM di un operatore Italiano, inserita in cellulare “vecchio”,
popolati contatti, inviati e ricevuti SMSn Cancellati due contatti:
n “Topolino”n “Minnie”
n Cancellati tre SMS:n "Light in the box"n "This is just a test"n "Chi cerca trova!"
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
20
SIM ForensicsFree/OSS: pySIM
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
21
SIM ForensicsFree/OSS: TULP2G
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
22
SIM ForensicsSoftware Commerciale: Paraben
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
23
SIM ForensicsSoftware Commerciale: MOBILedit!
n Nessuno dei software provati ha recuperato i due contatti cancellati
n Stessi risultati anche con altri tool e con Cellebrite UFED
n Esistono software che promettono di recuperare contatti cancellati?
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
24
Cellebrite UFEDDescrizione
n Uno degli strumenti di acquisizione forense più utilizzatin Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di
cui 1/2 R&Dn Opera su mercato privato e governativo/militaren UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solon Non è una panacea, lo citiamo perché rappresenta più o meno lo
standard dei tool di analisi forense per cellularin es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1
come tutti gli altri software
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
25
Cellebrite UFED
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
26
Cellebrite UFEDPrincipi di Base: Reverse Engineering
n Hardware (interfacce nascoste, JTAG, cavi di manutenzione)
n Firmware (master password, metodi di scrittura/lettura/cancellazione, accesso, cifratura, backdoors)
n PC Suite (simulazione dei protocolli di comunicazione proprietari)
n Si sfruttano anche vulnerabilità n Esempio Blackberry per estrazione fisica:
capire comandi supportati, organizzazione dei protocolli, come iniettare il bootloader sul dispositivo, come autenticare la firma
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
27
Cellebrite UFEDPrincipi di Base: Vulnerabilità
n In genere dovute a “sviste” degli sviluppatorin Non prevedibili, di diverse tipologie (stack/
heap overflow, directory traversal, etc..)n Errori nella gestione degli stati (es. rifiuto di
esecuzione codice dopo verifica fallita della signature incorretta MA esecuzione permessa se prima non viene fatta la verifica...)
n Esempio di sfruttamento di vulnerabilità, hardware hacking sul cable, reversing firmware, signature exploit, : Motorola Android Physical Extraction
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
28
Cellebrite UFEDModalità d’uso: Estrazione Logica
n Si utilizzano le API del telefono
n Vantaggi:n velocen nessun bisogno di decodifican interfaccia stabilitan bassa complessità
n Svantaggi:n disponibilità di dati limitata
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
29
Cellebrite UFEDModalità d’uso: Estrazione File System
n Copia dell’intero filesystem del dispositivo
n Vantaggi:n velocen più dati disponibilin media complessità
n Svantaggi:n richiede decodifica
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
30
Cellebrite UFEDModalità d’uso: Estrazione Fisica
n Copia “forense” dell’intera flash del dispositivo
n Vantaggi:n maggiore disponibilità di dettagli (carving)n più dati disponibili
n Svantaggi:n richiede decodifican alta complessitàn richiede tempo (anche la “filesystem”...)
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
31
Cellebrite UFEDCenni sui tipi di estrazione
n Basata su App: necessario unlock del dispositivo e OS running
n JTAG: poca documentazione, specifico per dispositivo
n Chip-OFF: ottimo in casi limite ma distrugge il reperto
n Flasher Box: specifico per dispositivo, può modificare i dati
n Bootloader: bypassa OS per fornire accesso completo alla memoria
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
32
Cellebrite UFEDCenni sull’utilizzo del bootloader
n Modalità utilizzata per Physical Extraction
n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema tramite un programma di controllo che ha accesso alla maggior parte delle operazioni sul dispositivo
n Vantaggi:n Nessun Sistema Operativo, meno sicurezza da bypassaren Spesso generico o customizzato sulla famiglia di dispositivin Sicuro e progettato per read-onlyn Accurato, può potenzialmente accedere a tutte le aree
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
33
Cellebrite UFEDCenni sulla encryption
n Problematica sempre più rilevante
n Soluzioni:n Reverse Engineeringn Exploitsn Brute force
n Esempio di encryption “bucata”: Tom Tom e i triplog
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
34
Cellebrite UFEDWork Flow di un’analisi di cellulare
n Estrazione
n Decodifica
n Analisi
n Report
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
35
Cellebrite UFEDPhysical Analyzer: funzionalità di base
n Supporto per immagini fisiche, logiche e filesystemn Report personalizzatin Shell PYTHONn Supporto per plugin, piattaforma estendibile e flessibilen Timeline e Analisi globale del progetton Carving delle immaginin Visualizzazione diretta in HEXn Watch List su keyword per soglie di attenzionen SQLite Browsern Decifratura del triplog TomTomn Malware Scanningn Recupero BBM cancellati e di gruppo
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
36
Cellebrite UFEDfunzionalità di avanzate
n Pattern/Code unlockn Link analysis (diversi dispositivi)n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...)n Phone Detective (riconoscimento marca e modello telefono e
identificazione capabilities)
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
37
Cellebrite UFEDQuando si trova molto...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
38
Cellebrite UFEDQuando si trova molto...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
39
Cellebrite UFEDQuando si trova molto...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
40
Cellebrite UFEDQuando si trova molto...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
41
Cellebrite UFEDQuando si trova molto...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
42
Cellebrite UFEDQuando non si trova nulla o quasi...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
43
Cellebrite UFEDQuando non si trova nulla o quasi...
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
44
Automazione nell’ analisi dei dump
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
45
La bocca della veritàLuogo comune: se il software dice che non c’è nulla...
...NON C’E’ NULLA!!!
n Troppa fiducia nella soluzione commercialen Poca voglia nel verificare le risultanze
con altri software o altre metodologie
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
46
Perchè falliscono?Chi crea questi automatisimi è pur sempre un umano e come tutti gli umani può sbagliare:
n Parser che non gestiscono tutte le eccezioni e che producono risultati parziali
n Parser funzionanti solo su determinate release di sistema operativo del dispositivo
n Parser di un dispositivo che funziona su altri dispositivin Anti Forensics - Cifratura
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
47
Dump della memoriaE’ possibile eseguire un dump fisico della memoria ottenendo un risultato simile a quello di Ufed?
• Si se dobbiamo eseguire il dump di una memoria di smartphone Android• Necessario eseguire il rooting del dispositivo• In molti casi bisogna dotarsi di una memoria MicroSD per
salvare il dump• Acquisizione via rete con netcat
• Si se dobbiamo acquisire un device Apple ed apparteniamo alle forze dell’ ordine
• No per quasi la totalità dei dispositivi diversi da quelli sopra citati
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
48
Copia logica dei fileE’ possibile eseguire una copia logica dei file del dispositivo?
• Si, le impostazioni e le procedure di backup previste dal produttore ci vengono spesso in aiuto
• Samsung Keys• iTunes• Nokia PC Suite e OVI
• No se stiamo operando su dispositivi non a brand, come i “cinafonini”
Ho i dati... e con cosa li analizzo?
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
49
Software Open e FreewarePanorama desolante e molto mirato alla mono funzione:
• Bitpin• iPBA• SQLite Database Browser• Bulk extractor
• Analisi di file a basso livello mediante l’ utilizzo di editor esadecimale
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
50
Esache?n Sistema numerico posizionale in base 16
u utilizza 16 simboli invece dei 10 del sistema numerico decimaleu usano in genere simboli da 0 a 9 per le prime dieci cifre, e poi le
lettere da A a F per le successive sei cifre, per un totale di 16 simboli
CIAO = 0x43 0x49 0x41 0x4F
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
51
XXD e Ghex2Sono i principali due editor esadecimali più usatiDa un lato viene visualizzano il valore in esadecimale, dall’ altro la rappresentazione del dato in formato comprensibile
Perchè usare un editor esadecimale per aprire un file e non un editor testuale?
• Il primo legge un file a basso livello e non considera il formato file
• Il secondo legge il file ad un livello più alto e si aspetta il file formattato in una certa maniera; se non trova quello che si aspetta, legge male il file
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
52
XXD e Ghex2
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
53
Bitpim• Sia per Linux che per Windows• Acquisizione logica e interpretazione dei dati per telefoni CDMA come
LG, Samsung e Sanyo• Rubrica• Sms• Calendario appuntamenti• Immagini• Memo
• Sviluppo fermo da gennaio 2010
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
54
iPBAProgetto italiano, Mario Piccinelli, Fabio Sangiacomo, Nicodemo Gawronsky (deft), permette di analizzare file di backup di iPhone
Supporta:• Address book• Call history• Sms• Navigazione Safari browser• Whatsapp, Viber e Skype chat history• Editor di testo• Editor esadecimale
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
55
iPBA
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
56
Sqlite database browserDisponibile sia per Windows, Mac e LinuxDue app su tre utilizzano un database sqlite per memorizzare informazioni e configurazioni
• Chrome• Firefox• Skype
• Rubrica• SMS
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
57
Sqlite database browser
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
58
Sqlite database browserPiccola parentesi sul formato del tempo all’ interno dei db sqlite:
Il tempo è espresso in secondi dal 01-01-1970
Esempio di conversione:
sqlite> select colonna1 from tabbella_db;1365580461
sqlite> select datetime(colonna1, 'unixepoch') from tabbella_db;2013-04-10 07:54:21
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
59
Bulk extractorE’ un software che dato un file, una directory o una immagine di un disco, restituisce come output le informazioni richieste indipendentemente dalla struttura logica del file system:
• numeri di carte di credito• elenchi di numeri di telefono• indirizzi di posta elettronica• url di siti navigati• url di ricerche sui principali motori di ricerca• indirizzi ip• mac address• word list• output di parser custom
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
60
Case study “Le Iene”Il dispositivo da analizzare è un Nokia E72
n Symbian 9.3n Factory reset eseguito sul cellularen MicroSD interna formattata
Obiettivo: recuperare tutto il possibile
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
61
Case study “Le Iene”Come lo acquisisco?
n Physical dump con UFED per la memoria internan Bit stream image per la microSD card
Secondo physical analyzer, il physical dump del dispositivo non conterrebbe alcun dato...
Tutto vero?
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
62
Case study “Le Iene”
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
63
Case study “Le Iene”Posso automatizzare il recupero degli sms?
Posso provarci, con il datacarving!
n Identifico un header ed un possibile footern Se gli sms non hanno un footer, definisco un
numero massimo di bit per passare al prossimoheader
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
64
Case study “Le Iene”Header
Footer
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
65
Case study “Le Iene”
# SMS Nokia E72 sms y 200000 \x23\x00\x00\x0c \x18\x02\x00\x00 sms+39 y 200000 \x1a\x2b\x33\x39
header footer extension case sensitive size
I valori di header e footer sono in esadecimaleIl campo size rappresenta il massimo numero di byte che foremost recupera se non trova il footer
foremost -c /etc/foremost.conf -o sms/ dump.bin
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
66
Case study “Le Iene”Recuperare immagini e video
n Utilizzo il mio carver di fiduciau Foremostu Photorecu Scalpel2
Sia sul dump ufed che sulla dd della microSD
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
67
Case study “Le Iene”Recuperare dati della navigazione Internet
n Eseguo strings sull’ immagine
strings dump.bin > output.txt
n Eseguo un grep di http://, https:// o www
grep http:// output.txt > navigazione.txt
© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali
68
Pro e controPro
n Utilizzare più soluzioni contemporaneamente per la risoluzione del problema
n So come funziona l’ applicativo ed ho a disposizione i sorgentin Costo nullo di avviamento e documentazione a volontà
Contron Driver per Linux quasi inesistentin Impossibile interagire direttamente con il file systemn Difficoltà nell’ associare riferimenti temporali ai dati recuperatin Tempi di analisi e di elaborazione elevati
Domande?
DoK. Paolo Dal [email protected] -‐ @forensico
DoK. Stefano [email protected] -‐ @stevedeJ