SlideShare a Scribd company logo

festival ICT 2013: Il rischio è mobile

festival ICT 2016
festival ICT 2016
Technology
1 of 47
Download to read offline
IL RISCHIO E’ MOBILE! MATTIA EPIFANI DIGITAL FORENSICS EXPERT & CEO @ REALITY NET – SYSTEM SOLUTIONS PRESIDENTE @ ASSOCIAZIONE DIGITAL FORENSICS ALUMNI (DFA)
COSAVEDREMO Perché il rischio è “mobile” OWASP Top 10 Mobile Risks Esempi concreti e reali di minacce L’utilizzo dei sistemi di Cloud su dispositivi “mobile” Contromisure e protezioni
PERCHÉ IL RISCHIO È MOBILE?  Negli ultimi anni gli smartphone e i tablet sono entrati prepotentemente sul mercato e nella nostra vita quotidiana  Sono utilizzati sia a livello personale sia a livello aziendale (corporate vs. BYOD)  Li utilizziamo per scopi tradizionali e per svolgere attività che prima facevamo con il computer  Memorizziamo contatti, facciamo telefonate, inviamo SMS  Navighiamo su Internet, consultiamo la posta elettronica, utilizziamo diverse forme di comunicazione (Skype,WhatsApp,Viber, Facebook, Linkedin,Twitter, ecc.)  Acquistiamo oggetti, viaggi e servizi  Accediamo al conto corrente  E soprattutto…non ci preoccupiamo di sapere se i nostri dati sono al sicuro!
MOBILE MARKET SHARE
OWASPTOP 10 MOBILE RISKS https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
ACCESSO A INFORMAZIONI SENSIBILI  Dati sensibili dell’utente possono essere memorizzati all’interno del dispositivo in modo non sicuro  Username, passwords, cookies, authentication tokens, location data  A volte dipende dall’applicazione e dal suo programmatore  Memorizzazione di credenziali in modo non cifrato all’interno di file di testo, plist, database SQLite  Dipendenza da una master password debole  "The mobileak project: Forensics methodology for mobile application privacy assessment,“ Stirparo, P.; Kounelis, I., http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6470964&isnumber=6470811  A volte dipende dall’utente/azienda che non configurano in modo adeguato il dispositivo seguendo le linee guida
ACCESSO A INFORMAZIONI SENSIBILI  Nel 2012 Elcomsoft ha presentato uno studio svolto sulle 17 applicazioni di password storage più famose su iOS e BlackBerry  10 su 17 sono risultate insicure e accessibili in meno di un giorno!  http://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf
ACCESSO A INFORMAZIONI SENSIBILI  Utilizzando iTunes è possibile effettuare un backup di un dispositivo iOS  Per poter effettuare il backup è necessario che  Il telefono non sia protetto da codice di blocco, oppure  Conoscere il codice di blocco, oppure  Avere a disposizione i certificati di sincronizzazione del dispositivo presenti su un computer trusted  Il file keychain conserva le password delle reti WiFi, delle caselle di posta elettronica e delle applicazioni di terze parti che decidono di utilizzarlo  Se il backup non è cifrato  il file keychain è cifrato utilizzando una chiave hardcoded nel dispositivo  Se il backup è cifrato con password  il file keychain è cifrato utilizzando la password scelta dell’utente
ACCESSO A INFORMAZIONI SENSIBILI  Se l’attaccante riesce a mettere le mani su un telefono sbloccato può:  Fare un backup scegliendo la password che desidera  Fare “cracking” del backup…con la password nota   Accedere ai dati presenti nel telefono…e alle password memorizzate nel keychain  Se l’attaccante (es. vicino di scrivania, moglie/marito) ha anche accesso al computer della vittima allora può bypassare il codice di blocco estraendo i certificati di sincronizzazione (cartella Lockdown) e ritrovarsi nel caso precedente
ACCESSO A INFORMAZIONI SENSIBILI
ICLOUD  iCloud permette agli utenti di effettuare il backup di iPhone online, per consentire il ripristino dei dati anche su un altro dispositivo (es. in caso di sostituzione)  Le uniche informazioni necessarie per accedere a un backup memorizzato su iCloud sono le credenziali dell’utente  Le credenziali dell’utente….possono essere memorizzate nel dispositivo…
ICLOUD  I ricercatori della software house russa Elcomsoft hanno analizzato il protocollo di comunicazione tra iDevice e Apple iCloud e sono riusciti ad emulare i comandi corretti per recuperare il contenuto dello storage iCloud di un utente (http://cansecwest.com/slides/2013/Cracking%20and%20Analyzing%20Apple%20iClou d.ppt)  Le operazioni di download sono completamente trasparenti all’utente proprietario del dispositivo ed è quindi possibile “tenere sotto controllo” le attività dell’utente stesso, ovvero monitorare ogni volta che viene creato un nuovo backup
ICLOUD
ICLOUD
ICLOUD
IPHONE BACKUP ANALYZER
CODICI DI BLOCCO  L’accesso al dispositivo può essere impedito utilizzando un codice di blocco  Tipicamente in ambiente aziendale tale codice è un requisito necessario a livello di policy e con gestione centralizzata  E’ possibile attivare funzionalità di wiping dei dati o di blocco del telefono dopo un certo numero di inserimenti errati (es. 10 tentativi)  Tuttavia anche l’utilizzo di codici di blocco sul dispositivo può essere in alcuni casi inutile…
BYPASS DEL CODICE DI BLOCCO - IOS  Su tutti i dispositivi iOS con processore fino a A4 (iPhone 4, iPad) un codice di blocco a 4 cifre può essere violato in 20 minuti circa  La tecnica consiste nell’avviare il dispositivo in modalità DFU e caricare direttamente in RAM un sistema operativo  iOS Data ProtectionTools (opensource)  iOS ForensicToolkit (commerciale, Elcomsoft)  UFEDTouch (commerciale, Cellebrite)  Mobile Phone Examined (commerciale,AccessData)
IPHONE DATA PROTECTIONTOOLS
CODICE DI BLOCCO - BLACKBERRY  I dispositivi BlackBerry possono essere bloccati e cifrati con un codice  Quando un telefono è locked, è necessario fornire il codice  Per accedere al dispositivo  Per effettuare un backup
BYPASS DEL CODICE DI BLOCCO - BLACKBERRY  I telefoni BlackBerry contengono solitamente una Memory Card, il cui contenuto può essere in chiaro o cifrato  Se il contenuto è in chiaro la Memory Card può essere estratta e letta su un altro dispositivo (telefono o computer), rendendo l’accesso ad alcuni dati molto semplice  Se l’utente decide di cifrare il contenuto della Memory Card può scegliere tra  Device  Security Password  Security Password & Device
BYPASS DEL CODICE DI BLOCCO - BLACKBERRY  La chiave cifrata viene memorizzata nella memory card all’interno del file BlackBerrySysteminfo.mkf  In questo modo posso fare un attacco bruteforce offline….e quindi senza attivare i sistemi di blocco e/o wiping del dispositivo!  Un codice a 4 cifre viene decifrato in tempo reale  E’ possibile effettuare attacchi a PIN complessi o a passcode utilizzando metodi a wordlist o bruteforce
MOBILE THREAT REPORT (F-SECURE) MALWAREVS PUA
MOBILE THREAT REPORT (F-SECURE) Q4 2012 / Q1 2013
ANDROID MOBILE MALWARE  Android è la piattaforma più colpita dai malware  Piattaforma diffusa  Possibilità di installare applicazioni dal market ufficiale (Google Play) o da market alternativi (Amazon,Aptoide, Blackmat, ecc.)  Verifica solo parziale del funzionamento di un applicazione da parte di Google Bouncer  Solo Google Play  Solo analisi dinamica  Solo per 5 minuti…e se il malware parte dopo 6??  Rimozione basata unicamente su feedback degli utenti  E’ tipico trovare applicazioni “cracckate” che sono state modificate inserendo una parte di codice malevolo
ANDROID MOBILE MALWARE  Diverse classificazioni, in funzione dello scopo del Malware  Furto di credenziali dell’utente  Invio di SMS a numeri premium  Botnet  Ecc.  Android Malware Genome Project http://www.malgenomeproject.org/  Raccolta di 1.200 malware tra il 2010 e il 2011, con relativa classificazione e principali caratteristiche
ANDROID MOBILE MALWARE  Per identificare un malware si può fare:  Analisi statica  Analisi dinamica  Per l’analisi statica si possono utilizzare scanner online  Virustotal.org  Andrototal.org (Politecnico di Milano)  Mobilesandbox.org  Oppure fare reverse dell’applicazione…
ANDROID MOBILE MALWARE – ANALISI STATICA  Le applicazioni Android sono sviluppate prevalentemente in linguaggio Java  Il compilatore trasforma il codice sorgente in file class e successivamente in file DEX (Dalvik Executable)  Gli eseguibili DEX sono inseriti all’interno di file APK (Android Package), con altri file di supporto (file XML, immagini dell’applicazione, ecc.)  Un file APK è quindi, sostanzialmente, un file ZIP contenente  File classes.dex (eseguibile)  File AndroidManifest.xml (permessi richiesti dall’applicazione)  Cartelle META-INF e RES (risorse aggiuntive dell’applicazione)
ANALISI APP ICALENDAR  Applicazione per la gestione di un calendario appuntamenti http://securityxploded.com/demystifying-android-malware.php  Verifico il malware utilizzandoVirus Total
ANALISI APP ICALENDAR  Visualizzo il contenuto del file utilizzando un software di decompressione
ANALISI APP ICALENDAR  Visualizzo il contenuto del file AndroidManifest.xml per vedere i permessi richiesti dall’applicazione uses-permission #android.permission.INTERNET #android.permission.ACCESS_COARSE_LOCATION #android.permission.RESTART_PACKAGE #android.permission.RECEIVE_SMS #android.permission.SEND_SMS #android.permission.SET_WALLPAPER
ANALISI APP ICALENDAR  Converto il file DEX in file class (utilizzando DEX2JAR)
ANALISI APP ICALENDAR  Decompilo il file JAR utilizzando JD-GUI
ANALISI APP ICALENDAR  Cerco di identificare elementi sospetti…
ANALISI APP ICALENDAR  Identifico il numero di telefono
ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
ANALISI APP ICALENDAR  In conclusione…  L’applicazione invia un messaggio SMS al numero 1066185829 con il testo 921X1  In background blocca la ricezione di messaggi da questo numero in modo tale che la vittima non riceva risposta  Il messaggio viene inviato solo una volta, per evitare attività di unsubscribe o sospetti da parte dell’utente
SIDE CHANNEL DATA LEAKAGE  I sistemi operativi mobile memorizzano al loro interno informazioni sulle attività dell’utente  Alcune informazioni possono essere cancellate con facilità dall’utente  Altre sono memorizzate automaticamente e di più complessa rimozione  Screenshot delle applicazioni  Dizionario dell’utente  Localizzazioni GPS
SNAPSHOT DELLE APPLICAZIONI  In iOS sono scattate automaticamente per gestire lo switching delle applicazioni (zoom in-out)  Snapshot dello schermo salvato all’interno del file system  Possibilità di recuperare anche file cancellati attraverso operazioni di carving…
DIZIONARIO DELL’UTENTE  In iOS Il file di testo dynamic- text.dat contiene le parole digitate per semplificare la scrittura con la tastiera su schermo  L’ordine cronologico delle parole permette spesso di estrarre frasi di senso compiuto!
LOCALIZZAZIONI GPS  Il file consolidated.db salva le informazioni relative a hotspot Wi-Fi e celle agganciate, con relativo timestamp e coordinate geografiche  Fino iOS 4.3 conservate per un anno, salvate nel backup in chiaro anche se la geolocalizzazione era disattivata!  Da iOS 4.4 conservate per 7 giorni e solo se la geolocalizzazione è attiva  E comunque non è poco…
AUTENTICAZIONE BASATA SUVALORI FISSI  Un’altra categoria di problema che si può presentare è l’utilizzo di sistemi di autenticazione basata su valori fissi  Esempio: hash MD5 dell’IMEI del telefono o del MAC Address della scheda WiFi  Un problema simile è stato riscontrato in WhatsApp (settembre 2012) http://www.oversecurity.net/2012/09/17/whatsapp-hacked-impersioniamo-unaltra-persona/  Android md5(strrev($imei))  BlackBerry md5(strrev($imei))  iOS md5($wlanMAC$wlanMAC)  https://github.com/venomous0x/WhatsAPI
CONTROMISURE?  Utilizzare codici di sblocco complessi (non 4 cifre…)  Scegliere una password per il backup del telefono  Attivare funzionalità di wiping remoto  Verificare sempre l’applicazione che si installa (p.es. installare un anti-malware sul telefono)  In azienda impedire l’installazione di applicazioni non autorizzate  Effettuare attività di PenTesting sui dispositivi e sulle applicazioni installate  Educare gli utenti!!
DFA (DIGITAL FORENSICS ALUMNI)  L’Associazione Digital Forensics Alumni (DFA) nasce nel 2009 da un’iniziativa di persone provenienti dal mondo giuridico, tecnico e investigativo  Offrire eventi di aggiornamento formativo e approfondimento gratuiti e aperti al pubblico  Creare un patrimonio formativo nell’ambito della Digital Forensics e valorizzare le competenze di ogni socio in una prospettiva di crescita collettiva grazie alla condivisione  Offrire un servizio di newsletter mensile sulle ultime novità della Digital Forensics, per tenersi sempre aggiornati (anche per i non soci)  Se sei interessato a seguire le nostre attività puoi iscriverti alla nostra newsletter mensile!  www.perfezionisti.it  info@perfezionisti.it
Q&A? Mattia Epifani  Digital Forensics Expert  Owner @ REALITY NET – System Solutions  Presidente DFA  CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Linkedin http://www.linkedin.com/in/mattiaepifani

Recommended

Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
M.Ela International Srl
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Clever Consulting Newsletter > Giugno 2012
Clever Consulting Newsletter > Giugno 2012Clever Consulting Newsletter > Giugno 2012
Clever Consulting Newsletter > Giugno 2012
Clever Consulting
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel web
gmorelli78
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
Enrico La Sala
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
Cyber Security Awareness per Manager
Cyber Security Awareness per ManagerCyber Security Awareness per Manager
Cyber Security Awareness per Manager
Livia Francesca Caruso
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
jekil
 

Recommended

Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
M.Ela International Srl
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Clever Consulting Newsletter > Giugno 2012
Clever Consulting Newsletter > Giugno 2012Clever Consulting Newsletter > Giugno 2012
Clever Consulting Newsletter > Giugno 2012
Clever Consulting
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel web
gmorelli78
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
Enrico La Sala
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
Cyber Security Awareness per Manager
Cyber Security Awareness per ManagerCyber Security Awareness per Manager
Cyber Security Awareness per Manager
Livia Francesca Caruso
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
jekil
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010
Pasquale Lopriore
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
denis frati
 
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Andrea Rossetti
 
On Line Payment Forensics
On Line Payment ForensicsOn Line Payment Forensics
On Line Payment Forensics
Studio Legale Avv. Giuseppe Serafini
 
Dal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital ForensicsDal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital Forensics
Andrea Rossetti
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Gianluca Satta
 
Mobile Forensics
Mobile ForensicsMobile Forensics
Mobile Forensics
Massimo Farina
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
Gianni Amato
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimento
Alfredo Morresi
 
Dammi il tuo iPhone e ti dirò chi sei (Forse)
Dammi il tuo iPhone e ti dirò chi sei (Forse)Dammi il tuo iPhone e ti dirò chi sei (Forse)
Dammi il tuo iPhone e ti dirò chi sei (Forse)
Reality Net System Solutions
 
Acquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOSAcquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOS
Reality Net System Solutions
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitali
piccimario
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
Register.it
 
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
 
Safety informatica asl
Safety informatica aslSafety informatica asl
Safety informatica asl
MartinaDEusebio
 
Smau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSmau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea perna
SMAU
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
SMAU
 
Menlo Security Isolation Platform
Menlo Security Isolation PlatformMenlo Security Isolation Platform
Menlo Security Isolation Platform
Marco Scala
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
LibreItalia
 

More Related Content

Viewers also liked

Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010
Pasquale Lopriore
 
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Andrea Rossetti
 
Dal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital ForensicsDal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital Forensics
Andrea Rossetti
 

Viewers also liked (8)

Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
 
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
 
On Line Payment Forensics
On Line Payment ForensicsOn Line Payment Forensics
On Line Payment Forensics
 
Dal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital ForensicsDal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital Forensics
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Mobile Forensics
Mobile ForensicsMobile Forensics
Mobile Forensics
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 

Similar to festival ICT 2013: Il rischio è mobile

Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
 
Smau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSmau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea perna
SMAU
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 

Similar to festival ICT 2013: Il rischio è mobile (20)

Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimento
 
Dammi il tuo iPhone e ti dirò chi sei (Forse)
Dammi il tuo iPhone e ti dirò chi sei (Forse)Dammi il tuo iPhone e ti dirò chi sei (Forse)
Dammi il tuo iPhone e ti dirò chi sei (Forse)
 
Acquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOSAcquisizione forense di dispositivi iOS
Acquisizione forense di dispositivi iOS
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitali
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
 
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
 
Safety informatica asl
Safety informatica aslSafety informatica asl
Safety informatica asl
 
Smau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSmau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea perna
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Menlo Security Isolation Platform
Menlo Security Isolation PlatformMenlo Security Isolation Platform
Menlo Security Isolation Platform
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
 
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
 
La (in)sicurezza nell'era della IoT
La (in)sicurezza nell'era della IoTLa (in)sicurezza nell'era della IoT
La (in)sicurezza nell'era della IoT
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018
 
ITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APT
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014
 

More from festival ICT 2016

Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
festival ICT 2016
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
festival ICT 2016
 
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
festival ICT 2016
 
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
festival ICT 2016
 
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
festival ICT 2016
 
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
festival ICT 2016
 
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
festival ICT 2016
 
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
festival ICT 2016
 

More from festival ICT 2016 (20)

Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
 
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
 
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
 
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
 
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
 
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
 
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
 
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
 
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
 
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
 
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
 
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
 
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
 
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
 
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
 
Web e privacy, le nuove regole per i cookies - festival ICT 2015
Web e privacy, le nuove regole per i cookies - festival ICT 2015Web e privacy, le nuove regole per i cookies - festival ICT 2015
Web e privacy, le nuove regole per i cookies - festival ICT 2015
 
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
 
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution... Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
 
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
 

festival ICT 2013: Il rischio è mobile

  • 1. IL RISCHIO E’ MOBILE! MATTIA EPIFANI DIGITAL FORENSICS EXPERT & CEO @ REALITY NET – SYSTEM SOLUTIONS PRESIDENTE @ ASSOCIAZIONE DIGITAL FORENSICS ALUMNI (DFA)
  • 2. COSAVEDREMO Perché il rischio è “mobile” OWASP Top 10 Mobile Risks Esempi concreti e reali di minacce L’utilizzo dei sistemi di Cloud su dispositivi “mobile” Contromisure e protezioni
  • 3. PERCHÉ IL RISCHIO È MOBILE?  Negli ultimi anni gli smartphone e i tablet sono entrati prepotentemente sul mercato e nella nostra vita quotidiana  Sono utilizzati sia a livello personale sia a livello aziendale (corporate vs. BYOD)  Li utilizziamo per scopi tradizionali e per svolgere attività che prima facevamo con il computer  Memorizziamo contatti, facciamo telefonate, inviamo SMS  Navighiamo su Internet, consultiamo la posta elettronica, utilizziamo diverse forme di comunicazione (Skype,WhatsApp,Viber, Facebook, Linkedin,Twitter, ecc.)  Acquistiamo oggetti, viaggi e servizi  Accediamo al conto corrente  E soprattutto…non ci preoccupiamo di sapere se i nostri dati sono al sicuro!
  • 5. OWASPTOP 10 MOBILE RISKS https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  • 6. ACCESSO A INFORMAZIONI SENSIBILI  Dati sensibili dell’utente possono essere memorizzati all’interno del dispositivo in modo non sicuro  Username, passwords, cookies, authentication tokens, location data  A volte dipende dall’applicazione e dal suo programmatore  Memorizzazione di credenziali in modo non cifrato all’interno di file di testo, plist, database SQLite  Dipendenza da una master password debole  "The mobileak project: Forensics methodology for mobile application privacy assessment,“ Stirparo, P.; Kounelis, I., http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6470964&isnumber=6470811  A volte dipende dall’utente/azienda che non configurano in modo adeguato il dispositivo seguendo le linee guida
  • 7. ACCESSO A INFORMAZIONI SENSIBILI  Nel 2012 Elcomsoft ha presentato uno studio svolto sulle 17 applicazioni di password storage più famose su iOS e BlackBerry  10 su 17 sono risultate insicure e accessibili in meno di un giorno!  http://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf
  • 8. ACCESSO A INFORMAZIONI SENSIBILI  Utilizzando iTunes è possibile effettuare un backup di un dispositivo iOS  Per poter effettuare il backup è necessario che  Il telefono non sia protetto da codice di blocco, oppure  Conoscere il codice di blocco, oppure  Avere a disposizione i certificati di sincronizzazione del dispositivo presenti su un computer trusted  Il file keychain conserva le password delle reti WiFi, delle caselle di posta elettronica e delle applicazioni di terze parti che decidono di utilizzarlo  Se il backup non è cifrato  il file keychain è cifrato utilizzando una chiave hardcoded nel dispositivo  Se il backup è cifrato con password  il file keychain è cifrato utilizzando la password scelta dell’utente
  • 9. ACCESSO A INFORMAZIONI SENSIBILI  Se l’attaccante riesce a mettere le mani su un telefono sbloccato può:  Fare un backup scegliendo la password che desidera  Fare “cracking” del backup…con la password nota   Accedere ai dati presenti nel telefono…e alle password memorizzate nel keychain  Se l’attaccante (es. vicino di scrivania, moglie/marito) ha anche accesso al computer della vittima allora può bypassare il codice di blocco estraendo i certificati di sincronizzazione (cartella Lockdown) e ritrovarsi nel caso precedente
  • 11. ICLOUD  iCloud permette agli utenti di effettuare il backup di iPhone online, per consentire il ripristino dei dati anche su un altro dispositivo (es. in caso di sostituzione)  Le uniche informazioni necessarie per accedere a un backup memorizzato su iCloud sono le credenziali dell’utente  Le credenziali dell’utente….possono essere memorizzate nel dispositivo…
  • 12. ICLOUD  I ricercatori della software house russa Elcomsoft hanno analizzato il protocollo di comunicazione tra iDevice e Apple iCloud e sono riusciti ad emulare i comandi corretti per recuperare il contenuto dello storage iCloud di un utente (http://cansecwest.com/slides/2013/Cracking%20and%20Analyzing%20Apple%20iClou d.ppt)  Le operazioni di download sono completamente trasparenti all’utente proprietario del dispositivo ed è quindi possibile “tenere sotto controllo” le attività dell’utente stesso, ovvero monitorare ogni volta che viene creato un nuovo backup
  • 17. CODICI DI BLOCCO  L’accesso al dispositivo può essere impedito utilizzando un codice di blocco  Tipicamente in ambiente aziendale tale codice è un requisito necessario a livello di policy e con gestione centralizzata  E’ possibile attivare funzionalità di wiping dei dati o di blocco del telefono dopo un certo numero di inserimenti errati (es. 10 tentativi)  Tuttavia anche l’utilizzo di codici di blocco sul dispositivo può essere in alcuni casi inutile…
  • 18. BYPASS DEL CODICE DI BLOCCO - IOS  Su tutti i dispositivi iOS con processore fino a A4 (iPhone 4, iPad) un codice di blocco a 4 cifre può essere violato in 20 minuti circa  La tecnica consiste nell’avviare il dispositivo in modalità DFU e caricare direttamente in RAM un sistema operativo  iOS Data ProtectionTools (opensource)  iOS ForensicToolkit (commerciale, Elcomsoft)  UFEDTouch (commerciale, Cellebrite)  Mobile Phone Examined (commerciale,AccessData)
  • 20. CODICE DI BLOCCO - BLACKBERRY  I dispositivi BlackBerry possono essere bloccati e cifrati con un codice  Quando un telefono è locked, è necessario fornire il codice  Per accedere al dispositivo  Per effettuare un backup
  • 21. BYPASS DEL CODICE DI BLOCCO - BLACKBERRY  I telefoni BlackBerry contengono solitamente una Memory Card, il cui contenuto può essere in chiaro o cifrato  Se il contenuto è in chiaro la Memory Card può essere estratta e letta su un altro dispositivo (telefono o computer), rendendo l’accesso ad alcuni dati molto semplice  Se l’utente decide di cifrare il contenuto della Memory Card può scegliere tra  Device  Security Password  Security Password & Device
  • 22. BYPASS DEL CODICE DI BLOCCO - BLACKBERRY  La chiave cifrata viene memorizzata nella memory card all’interno del file BlackBerrySysteminfo.mkf  In questo modo posso fare un attacco bruteforce offline….e quindi senza attivare i sistemi di blocco e/o wiping del dispositivo!  Un codice a 4 cifre viene decifrato in tempo reale  E’ possibile effettuare attacchi a PIN complessi o a passcode utilizzando metodi a wordlist o bruteforce
  • 23. MOBILE THREAT REPORT (F-SECURE) MALWAREVS PUA
  • 24. MOBILE THREAT REPORT (F-SECURE) Q4 2012 / Q1 2013
  • 25. ANDROID MOBILE MALWARE  Android è la piattaforma più colpita dai malware  Piattaforma diffusa  Possibilità di installare applicazioni dal market ufficiale (Google Play) o da market alternativi (Amazon,Aptoide, Blackmat, ecc.)  Verifica solo parziale del funzionamento di un applicazione da parte di Google Bouncer  Solo Google Play  Solo analisi dinamica  Solo per 5 minuti…e se il malware parte dopo 6??  Rimozione basata unicamente su feedback degli utenti  E’ tipico trovare applicazioni “cracckate” che sono state modificate inserendo una parte di codice malevolo
  • 26. ANDROID MOBILE MALWARE  Diverse classificazioni, in funzione dello scopo del Malware  Furto di credenziali dell’utente  Invio di SMS a numeri premium  Botnet  Ecc.  Android Malware Genome Project http://www.malgenomeproject.org/  Raccolta di 1.200 malware tra il 2010 e il 2011, con relativa classificazione e principali caratteristiche
  • 27. ANDROID MOBILE MALWARE  Per identificare un malware si può fare:  Analisi statica  Analisi dinamica  Per l’analisi statica si possono utilizzare scanner online  Virustotal.org  Andrototal.org (Politecnico di Milano)  Mobilesandbox.org  Oppure fare reverse dell’applicazione…
  • 28. ANDROID MOBILE MALWARE – ANALISI STATICA  Le applicazioni Android sono sviluppate prevalentemente in linguaggio Java  Il compilatore trasforma il codice sorgente in file class e successivamente in file DEX (Dalvik Executable)  Gli eseguibili DEX sono inseriti all’interno di file APK (Android Package), con altri file di supporto (file XML, immagini dell’applicazione, ecc.)  Un file APK è quindi, sostanzialmente, un file ZIP contenente  File classes.dex (eseguibile)  File AndroidManifest.xml (permessi richiesti dall’applicazione)  Cartelle META-INF e RES (risorse aggiuntive dell’applicazione)
  • 29. ANALISI APP ICALENDAR  Applicazione per la gestione di un calendario appuntamenti http://securityxploded.com/demystifying-android-malware.php  Verifico il malware utilizzandoVirus Total
  • 30. ANALISI APP ICALENDAR  Visualizzo il contenuto del file utilizzando un software di decompressione
  • 31. ANALISI APP ICALENDAR  Visualizzo il contenuto del file AndroidManifest.xml per vedere i permessi richiesti dall’applicazione uses-permission #android.permission.INTERNET #android.permission.ACCESS_COARSE_LOCATION #android.permission.RESTART_PACKAGE #android.permission.RECEIVE_SMS #android.permission.SEND_SMS #android.permission.SET_WALLPAPER
  • 32. ANALISI APP ICALENDAR  Converto il file DEX in file class (utilizzando DEX2JAR)
  • 33. ANALISI APP ICALENDAR  Decompilo il file JAR utilizzando JD-GUI
  • 34. ANALISI APP ICALENDAR  Cerco di identificare elementi sospetti…
  • 35. ANALISI APP ICALENDAR  Identifico il numero di telefono
  • 36. ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
  • 37. ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
  • 38. ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
  • 39. ANALISI APP ICALENDAR  In conclusione…  L’applicazione invia un messaggio SMS al numero 1066185829 con il testo 921X1  In background blocca la ricezione di messaggi da questo numero in modo tale che la vittima non riceva risposta  Il messaggio viene inviato solo una volta, per evitare attività di unsubscribe o sospetti da parte dell’utente
  • 40. SIDE CHANNEL DATA LEAKAGE  I sistemi operativi mobile memorizzano al loro interno informazioni sulle attività dell’utente  Alcune informazioni possono essere cancellate con facilità dall’utente  Altre sono memorizzate automaticamente e di più complessa rimozione  Screenshot delle applicazioni  Dizionario dell’utente  Localizzazioni GPS
  • 41. SNAPSHOT DELLE APPLICAZIONI  In iOS sono scattate automaticamente per gestire lo switching delle applicazioni (zoom in-out)  Snapshot dello schermo salvato all’interno del file system  Possibilità di recuperare anche file cancellati attraverso operazioni di carving…
  • 42. DIZIONARIO DELL’UTENTE  In iOS Il file di testo dynamic- text.dat contiene le parole digitate per semplificare la scrittura con la tastiera su schermo  L’ordine cronologico delle parole permette spesso di estrarre frasi di senso compiuto!
  • 43. LOCALIZZAZIONI GPS  Il file consolidated.db salva le informazioni relative a hotspot Wi-Fi e celle agganciate, con relativo timestamp e coordinate geografiche  Fino iOS 4.3 conservate per un anno, salvate nel backup in chiaro anche se la geolocalizzazione era disattivata!  Da iOS 4.4 conservate per 7 giorni e solo se la geolocalizzazione è attiva  E comunque non è poco…
  • 44. AUTENTICAZIONE BASATA SUVALORI FISSI  Un’altra categoria di problema che si può presentare è l’utilizzo di sistemi di autenticazione basata su valori fissi  Esempio: hash MD5 dell’IMEI del telefono o del MAC Address della scheda WiFi  Un problema simile è stato riscontrato in WhatsApp (settembre 2012) http://www.oversecurity.net/2012/09/17/whatsapp-hacked-impersioniamo-unaltra-persona/  Android md5(strrev($imei))  BlackBerry md5(strrev($imei))  iOS md5($wlanMAC$wlanMAC)  https://github.com/venomous0x/WhatsAPI
  • 45. CONTROMISURE?  Utilizzare codici di sblocco complessi (non 4 cifre…)  Scegliere una password per il backup del telefono  Attivare funzionalità di wiping remoto  Verificare sempre l’applicazione che si installa (p.es. installare un anti-malware sul telefono)  In azienda impedire l’installazione di applicazioni non autorizzate  Effettuare attività di PenTesting sui dispositivi e sulle applicazioni installate  Educare gli utenti!!
  • 46. DFA (DIGITAL FORENSICS ALUMNI)  L’Associazione Digital Forensics Alumni (DFA) nasce nel 2009 da un’iniziativa di persone provenienti dal mondo giuridico, tecnico e investigativo  Offrire eventi di aggiornamento formativo e approfondimento gratuiti e aperti al pubblico  Creare un patrimonio formativo nell’ambito della Digital Forensics e valorizzare le competenze di ogni socio in una prospettiva di crescita collettiva grazie alla condivisione  Offrire un servizio di newsletter mensile sulle ultime novità della Digital Forensics, per tenersi sempre aggiornati (anche per i non soci)  Se sei interessato a seguire le nostre attività puoi iscriverti alla nostra newsletter mensile!  www.perfezionisti.it  info@perfezionisti.it
  • 47. Q&A? Mattia Epifani  Digital Forensics Expert  Owner @ REALITY NET – System Solutions  Presidente DFA  CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Linkedin http://www.linkedin.com/in/mattiaepifani