More Related Content Similar to Dal checco Dezzani, Digital Evidence Digital Forensics (20) More from Andrea Rossetti (20) Dal checco Dezzani, Digital Evidence Digital Forensics1. Digital
Evidence,
Digital
Forensics,
Mobile
Forensics
17
aprile
2013,
Milano
Corso
di
perfezionamento
in
“Computer
forensics
e
inves<gazioni
digitali”
Do@.
Giuseppe
Dezzani
Consulente di Informatica Forense
Do@.
Paolo
Dal
Checco
Consulente di Informatica Forense
martedì 16 aprile 13
2. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Legge 48/2008
n L’importanza della Legge 48/2008 per le
modifiche introdotte nel Codice di Procedura
Penale
2
martedì 16 aprile 13
3. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n 1. All'articolo 244, comma 2, secondo periodo,
del codice di procedura penale sono aggiunte, in
fine, le seguenti parole:
n «,anche in relazione a sistemi informatici o
telematici, adottando misure tecniche dirette ad
assicurare la conservazione dei dati originali e ad
impedirne l'alterazione».
3
martedì 16 aprile 13
4. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n 2. All'articolo 247 del codice di procedura penale,
dopo il comma 1 è inserito il seguente:
n «1-bis. Quando vi è fondato motivo di ritenere che
dati, informazioni, programmi informatici o tracce
comunque pertinenti al reato si trovino in un sistema
informatico o telematico, ancorché protetto da misure
di sicurezza, ne è disposta la perquisizione,
adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne
l'alterazione».
4
martedì 16 aprile 13
5. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n 7. All'articolo 259, comma 2, del codice di
procedura penale, dopo il primo periodo è
inserito il seguente:
n «Quando la custodia riguarda dati, informazioni
o programmi informatici, il custode è altresì
avvertito dell'obbligo di impedirne l'alterazione o
l'accesso da parte di terzi, salva, in quest'ultimo
caso, diversa disposizione dell'autorità
giudiziaria».
5
martedì 16 aprile 13
6. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le modifiche al codice di procedura penale
n All'articolo 260 del codice di procedura penale sono apportate le
seguenti modificazioni:
n a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le
seguenti: «, anche di carattere elettronico o informatico,»;
n b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si
tratta di dati, di informazioni o di programmi informatici, la copia
deve essere realizzata su adeguati supporti, mediante procedura
che assicuri la conformità della copia all'originale e la sua
immodificabilità; in tali casi, la custodia degli originali può essere
disposta anche in luoghi diversi dalla cancelleria o dalla
segreteria»
6
martedì 16 aprile 13
7. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Capture as accurate a picture of the system as
possible
7
martedì 16 aprile 13
8. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Note the difference between the system clock
and UTC.
8
martedì 16 aprile 13
9. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Minimise changes to the data as you are
collecting it
9
martedì 16 aprile 13
10. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Remove external avenues for change
10
martedì 16 aprile 13
11. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n When confronted with a choice between
collection and analysis you should do collection
first and analysis later
11
martedì 16 aprile 13
12. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Le procedure di Acquisizione
n RFC3227
n Proceed from the volatile to the less volatile
12
martedì 16 aprile 13
13. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Windows)
13
martedì 16 aprile 13
14. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Windows)
14
martedì 16 aprile 13
15. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Linux)
n Linea di Comando !
n dd if=/dev/fmem of=“memdump” bs=…
n Potete/dovete installare una patch :
u http://hysteria.sk/~niekt0/foriana/
n
15
martedì 16 aprile 13
16. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Mac OS)
n Mac Memory Reader
n http://cybermarshal.com/index.php/cyber-
marshal-utilities/mac-memory-reader
n Linea di comando :
n Si esegue : mac-memory-reader indicando dove
salvare il file di risultato
16
martedì 16 aprile 13
17. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (Mac OS)
17
martedì 16 aprile 13
18. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria RAM (tutti)
n Questi tool non calcolano l’hash del file risultato
dell’acquisizione, ricordate di calcolarlo
manualmente per la catena di conservazione.
18
martedì 16 aprile 13
19. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Mobile Forensics
n Ramo della Digital Forensics, di cui fa parte la Computer Forensics
n All’inizio era il cellulare...
n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di
è portatile, talvolta ha capacità di comunicazione, memoria interna/
esterna
n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma
anche fotocamere/videocamere, registratori digitali, etc...
n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet
perché sul resto si può spesso operare con strumenti utilizzati per la
computer/disk forensics
19
martedì 16 aprile 13
20. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Componenti di un mobile device
n Dispositivo (marca, modello, s/n)
n Scheda SIM
n Memoria aggiuntiva
n Cloud (Dropbox, iCloud, GDrive, etc...)
20
martedì 16 aprile 13
21. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Dispositivo
n In genere scritto sul retro del dispositivo, dietro la
batteria
n Si può ricavare dall’IMEI (che si legge sul retro
oppure si ottiene “chiamando” il “*#06#”)
u Valore univoco attribuito al cellulare sulla rete
u www.numberingplans.com, www.trackimei.com
n Utilizzare in mancanza di altro le caratteristiche
fisiche (dimensione, forma, etc...)
21
martedì 16 aprile 13
22. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
SIM
n Subscriber Identity Module (SIM)
n Permette il collegamento del dispositivo con la
rete GSM/3G
n Due codici: ICCID (Integrated Circuit Card
IDentification) e IMSI (International Mobile
Subscriber Identity)
n Sempre meno utilizzata nei dispositivi mobili per
memorizzare dati rilevanti, va comunque
analizzata e conosciuta
22
martedì 16 aprile 13
23. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
SIM (ICCID)
n ICCID (Integrated Circuit Card IDentification)
n Codice univico stampato sul dorso della scheda
n Formattazione precisa:
n XX (prime due cifre): codice standard per l'identificazione
di un sistema con scopi di telecomunicazione (89 per
l’Italia)
n XX (terza e quarta cifra): 39 solo per l'Italia, corrisponde
al prefisso internazionale assegnato al paese in cui opera
dato gestore e varia a seconda delle nazioni
n XX(X) (due o tre cifre): codice identificativo del gestore,
così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G,
007 Noverca e 008 Fastweb
n XXXXXXX (tutte le cifre restanti fino alla fine del codice
ICCID): iidentificativo del singolo chip
23
martedì 16 aprile 13
24. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
SIM (IMSI)
n International Mobile Subscriber Identity
n codice che identifica una coppia SIM-operatore
telefonico, ossia la SIM in una rete GSM
n lungo 15 cifre e così strutturato:
n XXX - MCC (Mobile Country Code), 222 per l'Italia.
n XX - MNC (Mobile Network Code), l'identificativo
della compagnia telefonica in rete. Coincidono con
quelli presenti sull'ICCID (01 TIM, 10 Vodafone, 88
Wind, 99 H3G, 007 Noverca e 008 Fastweb);
n XXXXXXXXXX - MSIN (Mobile Subscriber
Identification Number), un numero univoco che
identifica ciascuna utenza.
24
martedì 16 aprile 13
25. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Memoria aggiuntiva
n Può contenere diversi dati essenziali: fotografie,
filmati, SMS (in alcuni Nokia si può scegliere...),
backup, Whatsapp, etc...
n Se in fase di sequestro... sequestrare pure quella
(ci sono casi in cui ciò non è stato fatto!)
n L’esame si può fare in parallelo con gli strumenti
per la mobile forensics o separatamente, con gli
strumenti tradizionali per digital forensics
25
martedì 16 aprile 13
26. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cloud
n Il dispositivo può non contenere tutti i dati ma i
riferimenti per potervi accedere... è legale farlo?
n Discorso molto ampio, ci vorrebbe un seminario
solo per quello
n Valutare la presenza di client per Cloud come
Dropbox, iCloud, Google Drive, SkyDrive, etc...
n Può rappresentare un problema perché in taluni
casi (es. iCloud) permette all’utilizzatore di
operare da remoto sul cellulare
26
martedì 16 aprile 13
27. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Repertazione
n Se spento
u lasciare spento
u sequestrare anche eventuali schede di memoria e
la batteria (per risparmiarsi problemi in seguito se
disponibili prendere anche cavetti, caricabatteria,
confezione SIM, software, etc...)
u documentare stato del telefono
u non lasciare la batteria all’interno o isolarla per
evitare che si accenda inavvertitamente o suoni la
sveglia
27
martedì 16 aprile 13
28. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Repertazione
n Se acceso
u Documentare data/ora ed eventuali info su display
u Spegnerlo togliendo la batteria o se si ritiene
importante, mantenerlo acceso ma isolato da tutto
(jammer, gabbia di faraday, airplane mode)
28
martedì 16 aprile 13
29. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione
n Acquisire il più possibile impattando il meno possibile
n Nel momento in cui lo si accende, NON lasciare la
SIM originaria e NON farlo connettere al WiFi,
Bluetooth, evitare che riceva il GPS
n Se è richiesta SIM e se deve essere quella fornita
con il telefono: SIM cloning (IMSI,ICCID)
n tre tipi di acquisizione: SIM, memoria interna,
memoria esterna
n un quarto tipo riguarda i dati presso l’operatore, ma
non si parla più di mobile forensics...
29
martedì 16 aprile 13
30. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione SIM
n Sempre meno fruttuosa, permette comunque in
taluni casi di ottenere:
u ICCID (Integrated Circuit Card Identification)
u IMSI (International Mobile Subscriber Identity)
u Rubrica (Abbreviated Dialing Numbers – ADN)
u Registro chiamate (Last Dialed Number – LDN)
u Short Message Service (SMS)
u Location information (LOCI)
30
martedì 16 aprile 13
31. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria esterna
n Paragonabile all’analisi di un disco o una SD
n In genere vi sono memorizzati dati multimediali e
documenti
n Può contenere anche SMS, backup, Whatsapp,
etc...
n Acquisire con copia forense (write blocker + dd)
n Elaborare con sw di analisi, carving, etc...
31
martedì 16 aprile 13
32. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Acquisizione memoria interna
n Si esegue tramite strumenti (hardware o software)
dedicati, OSS o commerciali
n Tre modalità:
u Logica: copia delle informazioni che il sistema
operativo mette a disposizione (sincronizzazione)
u File System: copia (completa o parziale) dei file
presenti all’interno della memoria (backup)
u Fisica: acquisizione bit a bit dell’intero contenuto
della memoria NAND presente nel dispositivo
32
martedì 16 aprile 13
33. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Panoramica dei software
Il desolante panorama freeware ed OSS:
n Bitpim
n iPBA
n Sql lite database browser
n Bulk extractor
n Strings
n Foremost
33
martedì 16 aprile 13
34. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Panoramica dei software
Il panorama dei software commerciali:
n Cellebrite UFED (approfondimento nelle slide successive)
n Micro Systemation XRY
n Oxygen Forensics
n Paraben Device Seizure
n Mobile Edit
n ViaForensics
n Elcomsoft
n FTS iXAM
n Katana Fornsics Lantern
n Tarantula
34
martedì 16 aprile 13
35. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Descrizione
n Uno degli strumenti di acquisizione forense più utilizzati
n Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di
cui 1/2 R&D
n Opera su mercato privato e governativo/militare
n UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solo
n Non è una panacea, lo citiamo perché rappresenta più o meno lo
standard dei tool di analisi forense per cellulari
n es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1
come tutti gli altri software
35
martedì 16 aprile 13
36. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
36
martedì 16 aprile 13
37. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Principi di Base: Reverse Engineering
n Hardware (interfacce nascoste, JTAG, cavi di
manutenzione)
n Firmware (master password, metodi di
scrittura/lettura/cancellazione, accesso,
cifratura, backdoors)
n PC Suite (simulazione dei protocolli di
comunicazione proprietari)
n Si sfruttano anche vulnerabilità
n Esempio Blackberry per estrazione fisica:
capire comandi supportati, organizzazione dei
protocolli, come iniettare il bootloader sul
dispositivo, come autenticare la firma
37
martedì 16 aprile 13
38. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Principi di Base: Vulnerabilità
n In genere dovute a “sviste” degli sviluppatori
n Non prevedibili, di diverse tipologie (stack/
heap overflow, directory traversal, etc..)
n Errori nella gestione degli stati (es. rifiuto di
esecuzione codice dopo verifica fallita della
signature incorretta MA esecuzione permessa
se prima non viene fatta la verifica...)
n Esempio di sfruttamento di vulnerabilità,
hardware hacking sul cable, reversing
firmware, signature exploit, : Motorola Android
Physical Extraction
38
martedì 16 aprile 13
39. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Modalità d’uso: Estrazione Logica
n Si utilizzano le API del telefono
n Vantaggi:
n veloce
n nessun bisogno di decodifica
n interfaccia stabilita
n bassa complessità
n Svantaggi:
n disponibilità di dati limitata
39
martedì 16 aprile 13
40. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Modalità d’uso: Estrazione File System
n Copia dell’intero filesystem del dispositivo
n Vantaggi:
n veloce
n più dati disponibili
n media complessità
n Svantaggi:
n richiede decodifica
40
martedì 16 aprile 13
41. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Modalità d’uso: Estrazione Fisica
n Copia “forense” dell’intera flash del dispositivo
n Vantaggi:
n maggiore disponibilità di dettagli (carving)
n più dati disponibili
n Svantaggi:
n richiede decodifica
n alta complessità
n richiede tempo (anche la “filesystem”...)
41
martedì 16 aprile 13
42. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Cenni sull’utilizzo del bootloader
n Modalità utilizzata per Physical Extraction
n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema
tramite un programma di controllo che ha accesso alla maggior parte
delle operazioni sul dispositivo
n Vantaggi:
n Nessun Sistema Operativo, meno sicurezza da bypassare
n Spesso generico o customizzato sulla famiglia di dispositivi
n Sicuro e progettato per read-only
n Accurato, può potenzialmente accedere a tutte le aree
42
martedì 16 aprile 13
43. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Cenni sulla encryption
n Problematica sempre più rilevante
n Soluzioni:
n Reverse Engineering
n Exploits
n Brute force
n Esempio di encryption “bucata”: Tom Tom e i triplog
43
martedì 16 aprile 13
44. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Work Flow di un’analisi di cellulare
n Estrazione
n Decodifica
n Analisi
n Report
44
martedì 16 aprile 13
45. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
Physical Analyzer: funzionalità di base
n Supporto per immagini fisiche, logiche e filesystem
n Report personalizzati
n Shell PYTHON
n Supporto per plugin, piattaforma estendibile e flessibile
n Timeline e Analisi globale del progetto
n Carving delle immagini
n Visualizzazione diretta in HEX
n Watch List su keyword per soglie di attenzione
n SQLite Browser
n Decifratura del triplog TomTom
n Malware Scanning
n Recupero BBM cancellati e di gruppo
45
martedì 16 aprile 13
46. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Cellebrite UFED
funzionalità di avanzate
n Pattern/Code unlock
n Link analysis (diversi dispositivi)
n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...)
n Phone Detective (riconoscimento marca e modello telefono e
identificazione capabilities)
46
martedì 16 aprile 13
47. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca
Domande?
Do5.
Paolo
Dal
Checco
pdalchecco@digitlaw.it
Do5.
Giuseppe
Dezzani
gdezzani@digitlaw.it
47
martedì 16 aprile 13