festival ICT 2013: Il rischio è mobile

491 views
422 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
491
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

festival ICT 2013: Il rischio è mobile

  1. 1. IL RISCHIO E’ MOBILE! MATTIA EPIFANI DIGITAL FORENSICS EXPERT & CEO @ REALITY NET – SYSTEM SOLUTIONS PRESIDENTE @ ASSOCIAZIONE DIGITAL FORENSICS ALUMNI (DFA)
  2. 2. COSAVEDREMO Perché il rischio è “mobile” OWASP Top 10 Mobile Risks Esempi concreti e reali di minacce L’utilizzo dei sistemi di Cloud su dispositivi “mobile” Contromisure e protezioni
  3. 3. PERCHÉ IL RISCHIO È MOBILE?  Negli ultimi anni gli smartphone e i tablet sono entrati prepotentemente sul mercato e nella nostra vita quotidiana  Sono utilizzati sia a livello personale sia a livello aziendale (corporate vs. BYOD)  Li utilizziamo per scopi tradizionali e per svolgere attività che prima facevamo con il computer  Memorizziamo contatti, facciamo telefonate, inviamo SMS  Navighiamo su Internet, consultiamo la posta elettronica, utilizziamo diverse forme di comunicazione (Skype,WhatsApp,Viber, Facebook, Linkedin,Twitter, ecc.)  Acquistiamo oggetti, viaggi e servizi  Accediamo al conto corrente  E soprattutto…non ci preoccupiamo di sapere se i nostri dati sono al sicuro!
  4. 4. MOBILE MARKET SHARE
  5. 5. OWASPTOP 10 MOBILE RISKS https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  6. 6. ACCESSO A INFORMAZIONI SENSIBILI  Dati sensibili dell’utente possono essere memorizzati all’interno del dispositivo in modo non sicuro  Username, passwords, cookies, authentication tokens, location data  A volte dipende dall’applicazione e dal suo programmatore  Memorizzazione di credenziali in modo non cifrato all’interno di file di testo, plist, database SQLite  Dipendenza da una master password debole  "The mobileak project: Forensics methodology for mobile application privacy assessment,“ Stirparo, P.; Kounelis, I., http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6470964&isnumber=6470811  A volte dipende dall’utente/azienda che non configurano in modo adeguato il dispositivo seguendo le linee guida
  7. 7. ACCESSO A INFORMAZIONI SENSIBILI  Nel 2012 Elcomsoft ha presentato uno studio svolto sulle 17 applicazioni di password storage più famose su iOS e BlackBerry  10 su 17 sono risultate insicure e accessibili in meno di un giorno!  http://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf
  8. 8. ACCESSO A INFORMAZIONI SENSIBILI  Utilizzando iTunes è possibile effettuare un backup di un dispositivo iOS  Per poter effettuare il backup è necessario che  Il telefono non sia protetto da codice di blocco, oppure  Conoscere il codice di blocco, oppure  Avere a disposizione i certificati di sincronizzazione del dispositivo presenti su un computer trusted  Il file keychain conserva le password delle reti WiFi, delle caselle di posta elettronica e delle applicazioni di terze parti che decidono di utilizzarlo  Se il backup non è cifrato  il file keychain è cifrato utilizzando una chiave hardcoded nel dispositivo  Se il backup è cifrato con password  il file keychain è cifrato utilizzando la password scelta dell’utente
  9. 9. ACCESSO A INFORMAZIONI SENSIBILI  Se l’attaccante riesce a mettere le mani su un telefono sbloccato può:  Fare un backup scegliendo la password che desidera  Fare “cracking” del backup…con la password nota   Accedere ai dati presenti nel telefono…e alle password memorizzate nel keychain  Se l’attaccante (es. vicino di scrivania, moglie/marito) ha anche accesso al computer della vittima allora può bypassare il codice di blocco estraendo i certificati di sincronizzazione (cartella Lockdown) e ritrovarsi nel caso precedente
  10. 10. ACCESSO A INFORMAZIONI SENSIBILI
  11. 11. ICLOUD  iCloud permette agli utenti di effettuare il backup di iPhone online, per consentire il ripristino dei dati anche su un altro dispositivo (es. in caso di sostituzione)  Le uniche informazioni necessarie per accedere a un backup memorizzato su iCloud sono le credenziali dell’utente  Le credenziali dell’utente….possono essere memorizzate nel dispositivo…
  12. 12. ICLOUD  I ricercatori della software house russa Elcomsoft hanno analizzato il protocollo di comunicazione tra iDevice e Apple iCloud e sono riusciti ad emulare i comandi corretti per recuperare il contenuto dello storage iCloud di un utente (http://cansecwest.com/slides/2013/Cracking%20and%20Analyzing%20Apple%20iClou d.ppt)  Le operazioni di download sono completamente trasparenti all’utente proprietario del dispositivo ed è quindi possibile “tenere sotto controllo” le attività dell’utente stesso, ovvero monitorare ogni volta che viene creato un nuovo backup
  13. 13. ICLOUD
  14. 14. ICLOUD
  15. 15. ICLOUD
  16. 16. IPHONE BACKUP ANALYZER
  17. 17. CODICI DI BLOCCO  L’accesso al dispositivo può essere impedito utilizzando un codice di blocco  Tipicamente in ambiente aziendale tale codice è un requisito necessario a livello di policy e con gestione centralizzata  E’ possibile attivare funzionalità di wiping dei dati o di blocco del telefono dopo un certo numero di inserimenti errati (es. 10 tentativi)  Tuttavia anche l’utilizzo di codici di blocco sul dispositivo può essere in alcuni casi inutile…
  18. 18. BYPASS DEL CODICE DI BLOCCO - IOS  Su tutti i dispositivi iOS con processore fino a A4 (iPhone 4, iPad) un codice di blocco a 4 cifre può essere violato in 20 minuti circa  La tecnica consiste nell’avviare il dispositivo in modalità DFU e caricare direttamente in RAM un sistema operativo  iOS Data ProtectionTools (opensource)  iOS ForensicToolkit (commerciale, Elcomsoft)  UFEDTouch (commerciale, Cellebrite)  Mobile Phone Examined (commerciale,AccessData)
  19. 19. IPHONE DATA PROTECTIONTOOLS
  20. 20. CODICE DI BLOCCO - BLACKBERRY  I dispositivi BlackBerry possono essere bloccati e cifrati con un codice  Quando un telefono è locked, è necessario fornire il codice  Per accedere al dispositivo  Per effettuare un backup
  21. 21. BYPASS DEL CODICE DI BLOCCO - BLACKBERRY  I telefoni BlackBerry contengono solitamente una Memory Card, il cui contenuto può essere in chiaro o cifrato  Se il contenuto è in chiaro la Memory Card può essere estratta e letta su un altro dispositivo (telefono o computer), rendendo l’accesso ad alcuni dati molto semplice  Se l’utente decide di cifrare il contenuto della Memory Card può scegliere tra  Device  Security Password  Security Password & Device
  22. 22. BYPASS DEL CODICE DI BLOCCO - BLACKBERRY  La chiave cifrata viene memorizzata nella memory card all’interno del file BlackBerrySysteminfo.mkf  In questo modo posso fare un attacco bruteforce offline….e quindi senza attivare i sistemi di blocco e/o wiping del dispositivo!  Un codice a 4 cifre viene decifrato in tempo reale  E’ possibile effettuare attacchi a PIN complessi o a passcode utilizzando metodi a wordlist o bruteforce
  23. 23. MOBILE THREAT REPORT (F-SECURE) MALWAREVS PUA
  24. 24. MOBILE THREAT REPORT (F-SECURE) Q4 2012 / Q1 2013
  25. 25. ANDROID MOBILE MALWARE  Android è la piattaforma più colpita dai malware  Piattaforma diffusa  Possibilità di installare applicazioni dal market ufficiale (Google Play) o da market alternativi (Amazon,Aptoide, Blackmat, ecc.)  Verifica solo parziale del funzionamento di un applicazione da parte di Google Bouncer  Solo Google Play  Solo analisi dinamica  Solo per 5 minuti…e se il malware parte dopo 6??  Rimozione basata unicamente su feedback degli utenti  E’ tipico trovare applicazioni “cracckate” che sono state modificate inserendo una parte di codice malevolo
  26. 26. ANDROID MOBILE MALWARE  Diverse classificazioni, in funzione dello scopo del Malware  Furto di credenziali dell’utente  Invio di SMS a numeri premium  Botnet  Ecc.  Android Malware Genome Project http://www.malgenomeproject.org/  Raccolta di 1.200 malware tra il 2010 e il 2011, con relativa classificazione e principali caratteristiche
  27. 27. ANDROID MOBILE MALWARE  Per identificare un malware si può fare:  Analisi statica  Analisi dinamica  Per l’analisi statica si possono utilizzare scanner online  Virustotal.org  Andrototal.org (Politecnico di Milano)  Mobilesandbox.org  Oppure fare reverse dell’applicazione…
  28. 28. ANDROID MOBILE MALWARE – ANALISI STATICA  Le applicazioni Android sono sviluppate prevalentemente in linguaggio Java  Il compilatore trasforma il codice sorgente in file class e successivamente in file DEX (Dalvik Executable)  Gli eseguibili DEX sono inseriti all’interno di file APK (Android Package), con altri file di supporto (file XML, immagini dell’applicazione, ecc.)  Un file APK è quindi, sostanzialmente, un file ZIP contenente  File classes.dex (eseguibile)  File AndroidManifest.xml (permessi richiesti dall’applicazione)  Cartelle META-INF e RES (risorse aggiuntive dell’applicazione)
  29. 29. ANALISI APP ICALENDAR  Applicazione per la gestione di un calendario appuntamenti http://securityxploded.com/demystifying-android-malware.php  Verifico il malware utilizzandoVirus Total
  30. 30. ANALISI APP ICALENDAR  Visualizzo il contenuto del file utilizzando un software di decompressione
  31. 31. ANALISI APP ICALENDAR  Visualizzo il contenuto del file AndroidManifest.xml per vedere i permessi richiesti dall’applicazione uses-permission #android.permission.INTERNET #android.permission.ACCESS_COARSE_LOCATION #android.permission.RESTART_PACKAGE #android.permission.RECEIVE_SMS #android.permission.SEND_SMS #android.permission.SET_WALLPAPER
  32. 32. ANALISI APP ICALENDAR  Converto il file DEX in file class (utilizzando DEX2JAR)
  33. 33. ANALISI APP ICALENDAR  Decompilo il file JAR utilizzando JD-GUI
  34. 34. ANALISI APP ICALENDAR  Cerco di identificare elementi sospetti…
  35. 35. ANALISI APP ICALENDAR  Identifico il numero di telefono
  36. 36. ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
  37. 37. ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
  38. 38. ANALISI APP ICALENDAR  Continuo ad analizzare il codice sorgente…
  39. 39. ANALISI APP ICALENDAR  In conclusione…  L’applicazione invia un messaggio SMS al numero 1066185829 con il testo 921X1  In background blocca la ricezione di messaggi da questo numero in modo tale che la vittima non riceva risposta  Il messaggio viene inviato solo una volta, per evitare attività di unsubscribe o sospetti da parte dell’utente
  40. 40. SIDE CHANNEL DATA LEAKAGE  I sistemi operativi mobile memorizzano al loro interno informazioni sulle attività dell’utente  Alcune informazioni possono essere cancellate con facilità dall’utente  Altre sono memorizzate automaticamente e di più complessa rimozione  Screenshot delle applicazioni  Dizionario dell’utente  Localizzazioni GPS
  41. 41. SNAPSHOT DELLE APPLICAZIONI  In iOS sono scattate automaticamente per gestire lo switching delle applicazioni (zoom in-out)  Snapshot dello schermo salvato all’interno del file system  Possibilità di recuperare anche file cancellati attraverso operazioni di carving…
  42. 42. DIZIONARIO DELL’UTENTE  In iOS Il file di testo dynamic- text.dat contiene le parole digitate per semplificare la scrittura con la tastiera su schermo  L’ordine cronologico delle parole permette spesso di estrarre frasi di senso compiuto!
  43. 43. LOCALIZZAZIONI GPS  Il file consolidated.db salva le informazioni relative a hotspot Wi-Fi e celle agganciate, con relativo timestamp e coordinate geografiche  Fino iOS 4.3 conservate per un anno, salvate nel backup in chiaro anche se la geolocalizzazione era disattivata!  Da iOS 4.4 conservate per 7 giorni e solo se la geolocalizzazione è attiva  E comunque non è poco…
  44. 44. AUTENTICAZIONE BASATA SUVALORI FISSI  Un’altra categoria di problema che si può presentare è l’utilizzo di sistemi di autenticazione basata su valori fissi  Esempio: hash MD5 dell’IMEI del telefono o del MAC Address della scheda WiFi  Un problema simile è stato riscontrato in WhatsApp (settembre 2012) http://www.oversecurity.net/2012/09/17/whatsapp-hacked-impersioniamo-unaltra-persona/  Android md5(strrev($imei))  BlackBerry md5(strrev($imei))  iOS md5($wlanMAC$wlanMAC)  https://github.com/venomous0x/WhatsAPI
  45. 45. CONTROMISURE?  Utilizzare codici di sblocco complessi (non 4 cifre…)  Scegliere una password per il backup del telefono  Attivare funzionalità di wiping remoto  Verificare sempre l’applicazione che si installa (p.es. installare un anti-malware sul telefono)  In azienda impedire l’installazione di applicazioni non autorizzate  Effettuare attività di PenTesting sui dispositivi e sulle applicazioni installate  Educare gli utenti!!
  46. 46. DFA (DIGITAL FORENSICS ALUMNI)  L’Associazione Digital Forensics Alumni (DFA) nasce nel 2009 da un’iniziativa di persone provenienti dal mondo giuridico, tecnico e investigativo  Offrire eventi di aggiornamento formativo e approfondimento gratuiti e aperti al pubblico  Creare un patrimonio formativo nell’ambito della Digital Forensics e valorizzare le competenze di ogni socio in una prospettiva di crescita collettiva grazie alla condivisione  Offrire un servizio di newsletter mensile sulle ultime novità della Digital Forensics, per tenersi sempre aggiornati (anche per i non soci)  Se sei interessato a seguire le nostre attività puoi iscriverti alla nostra newsletter mensile!  www.perfezionisti.it  info@perfezionisti.it
  47. 47. Q&A? Mattia Epifani  Digital Forensics Expert  Owner @ REALITY NET – System Solutions  Presidente DFA  CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Linkedin http://www.linkedin.com/in/mattiaepifani

×