mobile’forensics,’introduzione’e’panoramicadegli’ strumen6 ... · " cloud (dropbox,...

Mobile Forensics, introduzione e panoramica degli strumen6 commerciali e open source con esempi e

applicazioni pra6che.

10 aprile 2013, MilanoCorso di perfezionamento in “Computer forensics e inves;gazioni digitali”

Do?. Paolo Dal CheccoConsulente di Informatica Forense

Do?. Stefano FratepietroConsulente di Informatica Forense

© 2013 Paolo Dal Checco, Stefano Fratepietro per il Corso di Perfezionamento in Computer Forensics e Investigazioni Digitali

2

Do?. Paolo Dal Checco

§ Consulente Informa6co Forense, 6tolare Studio DiFoB

§ Founder DEFT Associa6on

§ Partner Digit Law S.r.l., Security Brokers S.c.p.A.

§ [email protected], @forensico

Do?. Stefano Fratepietro

§ Founder e CISO di Tesla Consul6ng s.r.l.s

§ Founder, President, DEFT Associa6on

§ [email protected], @stevedeJ

mailto:[email protected]





3

Mobile Forensicsn Ramo della Digital Forensics, di cui fa parte la Computer Forensicsn All’inizio era il cellulare...n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di

è portatile, talvolta ha capacità di comunicazione, memoria interna/esterna

n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma anche fotocamere/videocamere, registratori digitali, etc...

n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet perché sul resto si può spesso operare con strumenti utilizzati per la computer/disk forensics


Componenti di un mobile devicen Dispositivo (marca, modello, s/n)n Scheda SIMn Memoria aggiuntiva

n Cloud (Dropbox, iCloud, GDrive, etc...)

4


Dispositivon In genere scritto sul retro del dispositivo, dietro la

batterian Si può ricavare dall’IMEI (che si legge sul retro

oppure si ottiene “chiamando” il “*#06#”)u Valore univoco attribuito al cellulare sulla reteu www.numberingplans.com, www.trackimei.com

n Utilizzare in mancanza di altro le caratteristiche fisiche (dimensione, forma, etc...)

5

http://www.numberingplans.com

http://www.numberingplans.com

http://www.trackimei.com

http://www.trackimei.com


SIMn Subscriber Identity Module (SIM)n Permette il collegamento del dispositivo con la

rete GSM/3G n Due codici: ICCID (Integrated Circuit Card

IDentification) e IMSI (International Mobile Subscriber Identity)

n Sempre meno utilizzata nei dispositivi mobili per memorizzare dati rilevanti, va comunque analizzata e conosciuta

6


SIM (ICCID)n ICCID (Integrated Circuit Card IDentification)n Codice univico stampato sul dorso della schedan Formattazione precisa:

7

n XX (prime due cifre): codice standard per l'identificazione di un sistema con scopi di telecomunicazione (89 per l’Italia)

n XX (terza e quarta cifra): 39 solo per l'Italia, corrisponde al prefisso internazionale assegnato al paese in cui opera dato gestore e varia a seconda delle nazioni

n XX(X) (due o tre cifre): codice identificativo del gestore, così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb

n XXXXXXX (tutte le cifre restanti fino alla fine del codice ICCID): iidentificativo del singolo chip


SIM (IMSI)n International Mobile Subscriber Identityn codice che identifica una coppia SIM-operatore

telefonico, ossia la SIM in una rete GSMn lungo 15 cifre e così strutturato:

8

n XXX - MCC (Mobile Country Code), 222 per l'Italia.n XX - MNC (Mobile Network Code), l'identificativo

della compagnia telefonica in rete. Coincidono con quelli presenti sull'ICCID (01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb);

n XXXXXXXXXX - MSIN (Mobile Subscriber Identification Number), un numero univoco che identifica ciascuna utenza.


Memoria aggiuntivan Può contenere diversi dati essenziali: fotografie,

filmati, SMS (in alcuni Nokia si può scegliere...), backup, Whatsapp, etc...

n Se in fase di sequestro... sequestrare pure quella (ci sono casi in cui ciò non è stato fatto!)

n L’esame si può fare in parallelo con gli strumenti per la mobile forensics o separatamente, con gli strumenti tradizionali per digital forensics

9


Cloudn Il dispositivo può non contenere tutti i dati ma i

riferimenti per potervi accedere... è legale farlo?n Discorso molto ampio, ci vorrebbe un seminario

solo per quellon Valutare la presenza di client per Cloud come

Dropbox, iCloud, Google Drive, SkyDrive, etc...n Può rappresentare un problema perché in taluni

casi (es. iCloud) permette all’utilizzatore di operare da remoto sul cellulare

10


Repertazionen Se spento

u lasciare spentou sequestrare anche eventuali schede di memoria e

la batteria (per risparmiarsi problemi in seguito se disponibili prendere anche cavetti, caricabatteria, confezione SIM, software, etc...)

u documentare stato del telefonou non lasciare la batteria all’interno o isolarla per

evitare che si accenda inavvertitamente o suoni la sveglia

11


Repertazionen Se acceso

u Documentare data/ora ed eventuali info su displayu Spegnerlo togliendo la batteria o se si ritiene

importante, mantenerlo acceso ma isolato da tutto (jammer, gabbia di faraday, airplane mode)

12


Acquisizionen Acquisire il più possibile impattando il meno possibilen Nel momento in cui lo si accende, NON lasciare la

SIM originaria e NON farlo connettere al WiFi, Bluetooth, evitare che riceva il GPS

n Se è richiesta SIM e se deve essere quella fornita con il telefono: SIM cloning (IMSI,ICCID)

n tre tipi di acquisizione: SIM, memoria interna, memoria esterna

n un quarto tipo riguarda i dati presso l’operatore, ma non si parla più di mobile forensics...

13


Acquisizione SIMn Sempre meno fruttuosa, permette comunque in

taluni casi di ottenere:u ICCID (Integrated Circuit Card Identification)u IMSI (International Mobile Subscriber Identity)u Rubrica (Abbreviated Dialing Numbers – ADN) u Registro chiamate (Last Dialed Number – LDN) u Short Message Service (SMS)u Location information (LOCI)

14


Acquisizione memoria esternan Paragonabile all’analisi di un disco o una SDn In genere vi sono memorizzati dati multimediali e

documentin Può contenere anche SMS, backup, Whatsapp,

etc...n Acquisire con copia forense (write blocker + dd)n Elaborare con sw di analisi, carving, etc...

15


Acquisizione memoria internan Si esegue tramite strumenti (hardware o

software) dedicati, OSS o commerciali

n Tre modalità:u Logica: copia delle informazioni che il sistema

operativo mette a disposizione (sincronizzazione) u File System: copia (completa o parziale) dei file

presenti all’interno della memoria (backup) u Fisica: acquisizione bit a bit dell’intero contenuto

della memoria NAND presente nel dispositivo

16


17

Panoramica dei softwareIl desolante panorama freeware ed OSS:

n Bitpimn iPBAn Sql lite database browsern Bulk extractorn Stringsn Foremost


18

Panoramica dei softwareIl panorama dei software commerciali:

n Cellebrite UFEDn Micro Systemation XRYn Oxygen Forensicsn Paraben Device Seizuren Mobile Editn ViaForensicsn Elcomsoftn FTS iXAMn Katana Fornsics Lanternn Tarantula


19

SIM Forensicsn Per cominciare, un test sulla SIM forensics, ormai in disuso ma ancora

talvolta necessarian Acquistata SIM di un operatore Italiano, inserita in cellulare “vecchio”,

popolati contatti, inviati e ricevuti SMSn Cancellati due contatti:

n “Topolino”n “Minnie”

n Cancellati tre SMS:n "Light in the box"n "This is just a test"n "Chi cerca trova!"


20

SIM ForensicsFree/OSS: pySIM


21

SIM ForensicsFree/OSS: TULP2G


22

SIM ForensicsSoftware Commerciale: Paraben


23

SIM ForensicsSoftware Commerciale: MOBILedit!

n Nessuno dei software provati ha recuperato i due contatti cancellati

n Stessi risultati anche con altri tool e con Cellebrite UFED

n Esistono software che promettono di recuperare contatti cancellati?


24

Cellebrite UFEDDescrizione

n Uno degli strumenti di acquisizione forense più utilizzatin Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di

cui 1/2 R&Dn Opera su mercato privato e governativo/militaren UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solon Non è una panacea, lo citiamo perché rappresenta più o meno lo

standard dei tool di analisi forense per cellularin es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1

come tutti gli altri software


25

Cellebrite UFED


26

Cellebrite UFEDPrincipi di Base: Reverse Engineering

n Hardware (interfacce nascoste, JTAG, cavi di manutenzione)

n Firmware (master password, metodi di scrittura/lettura/cancellazione, accesso, cifratura, backdoors)

n PC Suite (simulazione dei protocolli di comunicazione proprietari)

n Si sfruttano anche vulnerabilità n Esempio Blackberry per estrazione fisica:

capire comandi supportati, organizzazione dei protocolli, come iniettare il bootloader sul dispositivo, come autenticare la firma


27

Cellebrite UFEDPrincipi di Base: Vulnerabilità

n In genere dovute a “sviste” degli sviluppatorin Non prevedibili, di diverse tipologie (stack/

heap overflow, directory traversal, etc..)n Errori nella gestione degli stati (es. rifiuto di

esecuzione codice dopo verifica fallita della signature incorretta MA esecuzione permessa se prima non viene fatta la verifica...)

n Esempio di sfruttamento di vulnerabilità, hardware hacking sul cable, reversing firmware, signature exploit, : Motorola Android Physical Extraction


28

Cellebrite UFEDModalità d’uso: Estrazione Logica

n Si utilizzano le API del telefono

n Vantaggi:n velocen nessun bisogno di decodifican interfaccia stabilitan bassa complessità

n Svantaggi:n disponibilità di dati limitata


29

Cellebrite UFEDModalità d’uso: Estrazione File System

n Copia dell’intero filesystem del dispositivo

n Vantaggi:n velocen più dati disponibilin media complessità

n Svantaggi:n richiede decodifica


30

Cellebrite UFEDModalità d’uso: Estrazione Fisica

n Copia “forense” dell’intera flash del dispositivo

n Vantaggi:n maggiore disponibilità di dettagli (carving)n più dati disponibili

n Svantaggi:n richiede decodifican alta complessitàn richiede tempo (anche la “filesystem”...)


31

Cellebrite UFEDCenni sui tipi di estrazione

n Basata su App: necessario unlock del dispositivo e OS running

n JTAG: poca documentazione, specifico per dispositivo

n Chip-OFF: ottimo in casi limite ma distrugge il reperto

n Flasher Box: specifico per dispositivo, può modificare i dati

n Bootloader: bypassa OS per fornire accesso completo alla memoria


32

Cellebrite UFEDCenni sull’utilizzo del bootloader

n Modalità utilizzata per Physical Extraction

n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema tramite un programma di controllo che ha accesso alla maggior parte delle operazioni sul dispositivo

n Vantaggi:n Nessun Sistema Operativo, meno sicurezza da bypassaren Spesso generico o customizzato sulla famiglia di dispositivin Sicuro e progettato per read-onlyn Accurato, può potenzialmente accedere a tutte le aree


33

Cellebrite UFEDCenni sulla encryption

n Problematica sempre più rilevante

n Soluzioni:n Reverse Engineeringn Exploitsn Brute force

n Esempio di encryption “bucata”: Tom Tom e i triplog


34

Cellebrite UFEDWork Flow di un’analisi di cellulare

n Estrazione

n Decodifica

n Analisi

n Report


35

Cellebrite UFEDPhysical Analyzer: funzionalità di base

n Supporto per immagini fisiche, logiche e filesystemn Report personalizzatin Shell PYTHONn Supporto per plugin, piattaforma estendibile e flessibilen Timeline e Analisi globale del progetton Carving delle immaginin Visualizzazione diretta in HEXn Watch List su keyword per soglie di attenzionen SQLite Browsern Decifratura del triplog TomTomn Malware Scanningn Recupero BBM cancellati e di gruppo


36

Cellebrite UFEDfunzionalità di avanzate

n Pattern/Code unlockn Link analysis (diversi dispositivi)n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...)n Phone Detective (riconoscimento marca e modello telefono e

identificazione capabilities)


37

Cellebrite UFEDQuando si trova molto...


38



39



40



41



42

Cellebrite UFEDQuando non si trova nulla o quasi...


43

Cellebrite UFEDQuando non si trova nulla o quasi...


44

Automazione nell’ analisi dei dump


45

La bocca della veritàLuogo comune: se il software dice che non c’è nulla...

...NON C’E’ NULLA!!!

n Troppa fiducia nella soluzione commercialen Poca voglia nel verificare le risultanze

con altri software o altre metodologie


46

Perchè falliscono?Chi crea questi automatisimi è pur sempre un umano e come tutti gli umani può sbagliare:

n Parser che non gestiscono tutte le eccezioni e che producono risultati parziali

n Parser funzionanti solo su determinate release di sistema operativo del dispositivo

n Parser di un dispositivo che funziona su altri dispositivin Anti Forensics - Cifratura


47

Dump della memoriaE’ possibile eseguire un dump fisico della memoria ottenendo un risultato simile a quello di Ufed?

• Si se dobbiamo eseguire il dump di una memoria di smartphone Android• Necessario eseguire il rooting del dispositivo• In molti casi bisogna dotarsi di una memoria MicroSD per

salvare il dump• Acquisizione via rete con netcat

• Si se dobbiamo acquisire un device Apple ed apparteniamo alle forze dell’ ordine

• No per quasi la totalità dei dispositivi diversi da quelli sopra citati


48

Copia logica dei fileE’ possibile eseguire una copia logica dei file del dispositivo?

• Si, le impostazioni e le procedure di backup previste dal produttore ci vengono spesso in aiuto

• Samsung Keys• iTunes• Nokia PC Suite e OVI

• No se stiamo operando su dispositivi non a brand, come i “cinafonini”

Ho i dati... e con cosa li analizzo?


49

Software Open e FreewarePanorama desolante e molto mirato alla mono funzione:

• Bitpin• iPBA• SQLite Database Browser• Bulk extractor

• Analisi di file a basso livello mediante l’ utilizzo di editor esadecimale


50

Esache?n Sistema numerico posizionale in base 16

u utilizza 16 simboli invece dei 10 del sistema numerico decimaleu usano in genere simboli da 0 a 9 per le prime dieci cifre, e poi le

lettere da A a F per le successive sei cifre, per un totale di 16 simboli

CIAO = 0x43 0x49 0x41 0x4F

http://it.wikipedia.org/wiki/Numerazione_posizionale

http://it.wikipedia.org/wiki/Numerazione_posizionale

http://it.wikipedia.org/wiki/Sistema_numerico_decimale

http://it.wikipedia.org/wiki/Sistema_numerico_decimale


51

XXD e Ghex2Sono i principali due editor esadecimali più usatiDa un lato viene visualizzano il valore in esadecimale, dall’ altro la rappresentazione del dato in formato comprensibile

Perchè usare un editor esadecimale per aprire un file e non un editor testuale?

• Il primo legge un file a basso livello e non considera il formato file

• Il secondo legge il file ad un livello più alto e si aspetta il file formattato in una certa maniera; se non trova quello che si aspetta, legge male il file


52

XXD e Ghex2


53

Bitpim• Sia per Linux che per Windows• Acquisizione logica e interpretazione dei dati per telefoni CDMA come

LG, Samsung e Sanyo• Rubrica• Sms• Calendario appuntamenti• Immagini• Memo

• Sviluppo fermo da gennaio 2010


54

iPBAProgetto italiano, Mario Piccinelli, Fabio Sangiacomo, Nicodemo Gawronsky (deft), permette di analizzare file di backup di iPhone

Supporta:• Address book• Call history• Sms• Navigazione Safari browser• Whatsapp, Viber e Skype chat history• Editor di testo• Editor esadecimale


55

iPBA


56

Sqlite database browserDisponibile sia per Windows, Mac e LinuxDue app su tre utilizzano un database sqlite per memorizzare informazioni e configurazioni

• Chrome• Firefox• Skype

• Rubrica• SMS


57

Sqlite database browser


58

Sqlite database browserPiccola parentesi sul formato del tempo all’ interno dei db sqlite:

Il tempo è espresso in secondi dal 01-01-1970

Esempio di conversione:

sqlite> select colonna1 from tabbella_db;1365580461

sqlite> select datetime(colonna1, 'unixepoch') from tabbella_db;2013-04-10 07:54:21


59

Bulk extractorE’ un software che dato un file, una directory o una immagine di un disco, restituisce come output le informazioni richieste indipendentemente dalla struttura logica del file system:

• numeri di carte di credito• elenchi di numeri di telefono• indirizzi di posta elettronica• url di siti navigati• url di ricerche sui principali motori di ricerca• indirizzi ip• mac address• word list• output di parser custom


60

Case study “Le Iene”Il dispositivo da analizzare è un Nokia E72

n Symbian 9.3n Factory reset eseguito sul cellularen MicroSD interna formattata

Obiettivo: recuperare tutto il possibile


61

Case study “Le Iene”Come lo acquisisco?

n Physical dump con UFED per la memoria internan Bit stream image per la microSD card

Secondo physical analyzer, il physical dump del dispositivo non conterrebbe alcun dato...

Tutto vero?


62

Case study “Le Iene”


63

Case study “Le Iene”Posso automatizzare il recupero degli sms?

Posso provarci, con il datacarving!

n Identifico un header ed un possibile footern Se gli sms non hanno un footer, definisco un

numero massimo di bit per passare al prossimoheader


64

Case study “Le Iene”Header

Footer


65

Case study “Le Iene”

# SMS Nokia E72 sms y 200000 \x23\x00\x00\x0c \x18\x02\x00\x00 sms+39 y 200000 \x1a\x2b\x33\x39

header footer extension case sensitive size

I valori di header e footer sono in esadecimaleIl campo size rappresenta il massimo numero di byte che foremost recupera se non trova il footer

foremost -c /etc/foremost.conf -o sms/ dump.bin


66

Case study “Le Iene”Recuperare immagini e video

n Utilizzo il mio carver di fiduciau Foremostu Photorecu Scalpel2

Sia sul dump ufed che sulla dd della microSD


67

Case study “Le Iene”Recuperare dati della navigazione Internet

n Eseguo strings sull’ immagine

strings dump.bin > output.txt

n Eseguo un grep di http://, https:// o www

grep http:// output.txt > navigazione.txt


68

Pro e controPro

n Utilizzare più soluzioni contemporaneamente per la risoluzione del problema

n So come funziona l’ applicativo ed ho a disposizione i sorgentin Costo nullo di avviamento e documentazione a volontà

Contron Driver per Linux quasi inesistentin Impossibile interagire direttamente con il file systemn Difficoltà nell’ associare riferimenti temporali ai dati recuperatin Tempi di analisi e di elaborazione elevati

Domande?

DoK. Paolo Dal [email protected] -‐ @forensico

DoK. Stefano [email protected] -‐ @stevedeJ

mobile’forensics,’introduzione’e’panoramicadegli’ strumen6 ... · " cloud (dropbox,...

Documents