Digital	  Evidence,	  Digital	  Forensics,	  Mobile	  Forensics                                              17	  aprile	 ...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bic...
Upcoming SlideShare
Loading in...5
×

Dal checco Dezzani, Digital Evidence Digital Forensics

765

Published on

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
765
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Dal checco Dezzani, Digital Evidence Digital Forensics

  1. 1. Digital  Evidence,  Digital  Forensics,  Mobile  Forensics 17  aprile  2013,  Milano Corso  di  perfezionamento  in  “Computer  forensics  e  inves<gazioni  digitali” Do@.  Giuseppe  Dezzani Consulente di Informatica Forense Do@.  Paolo  Dal  Checco Consulente di Informatica Forensemartedì 16 aprile 13
  2. 2. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Legge 48/2008 n L’importanza della Legge 48/2008 per le modifiche introdotte nel Codice di Procedura Penale 2martedì 16 aprile 13
  3. 3. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le modifiche al codice di procedura penale n 1. Allarticolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole: n «,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne lalterazione». 3martedì 16 aprile 13
  4. 4. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le modifiche al codice di procedura penale n 2. Allarticolo 247 del codice di procedura penale, dopo il comma 1 è inserito il seguente: n «1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne lalterazione». 4martedì 16 aprile 13
  5. 5. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le modifiche al codice di procedura penale n 7. Allarticolo 259, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente: n «Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dellobbligo di impedirne lalterazione o laccesso da parte di terzi, salva, in questultimo caso, diversa disposizione dellautorità giudiziaria». 5martedì 16 aprile 13
  6. 6. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le modifiche al codice di procedura penale n Allarticolo 260 del codice di procedura penale sono apportate le seguenti modificazioni: n a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le seguenti: «, anche di carattere elettronico o informatico,»; n b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia alloriginale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria» 6martedì 16 aprile 13
  7. 7. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le procedure di Acquisizione n RFC3227 n Capture as accurate a picture of the system as possible 7martedì 16 aprile 13
  8. 8. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le procedure di Acquisizione n RFC3227 n Note the difference between the system clock and UTC. 8martedì 16 aprile 13
  9. 9. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le procedure di Acquisizione n RFC3227 n Minimise changes to the data as you are collecting it 9martedì 16 aprile 13
  10. 10. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le procedure di Acquisizione n RFC3227 n Remove external avenues for change 10martedì 16 aprile 13
  11. 11. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le procedure di Acquisizione n RFC3227 n When confronted with a choice between collection and analysis you should do collection first and analysis later 11martedì 16 aprile 13
  12. 12. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Le procedure di Acquisizione n RFC3227 n Proceed from the volatile to the less volatile 12martedì 16 aprile 13
  13. 13. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria RAM (Windows) 13martedì 16 aprile 13
  14. 14. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria RAM (Windows) 14martedì 16 aprile 13
  15. 15. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria RAM (Linux) n Linea di Comando ! n dd if=/dev/fmem of=“memdump” bs=… n Potete/dovete installare una patch : u http://hysteria.sk/~niekt0/foriana/ n 15martedì 16 aprile 13
  16. 16. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria RAM (Mac OS) n Mac Memory Reader n http://cybermarshal.com/index.php/cyber- marshal-utilities/mac-memory-reader n Linea di comando : n Si esegue : mac-memory-reader indicando dove salvare il file di risultato 16martedì 16 aprile 13
  17. 17. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria RAM (Mac OS) 17martedì 16 aprile 13
  18. 18. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria RAM (tutti) n Questi tool non calcolano l’hash del file risultato dell’acquisizione, ricordate di calcolarlo manualmente per la catena di conservazione. 18martedì 16 aprile 13
  19. 19. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Mobile Forensics n Ramo della Digital Forensics, di cui fa parte la Computer Forensics n All’inizio era il cellulare... n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di è portatile, talvolta ha capacità di comunicazione, memoria interna/ esterna n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma anche fotocamere/videocamere, registratori digitali, etc... n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet perché sul resto si può spesso operare con strumenti utilizzati per la computer/disk forensics 19martedì 16 aprile 13
  20. 20. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Componenti di un mobile device n Dispositivo (marca, modello, s/n) n Scheda SIM n Memoria aggiuntiva n Cloud (Dropbox, iCloud, GDrive, etc...) 20martedì 16 aprile 13
  21. 21. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Dispositivo n In genere scritto sul retro del dispositivo, dietro la batteria n Si può ricavare dall’IMEI (che si legge sul retro oppure si ottiene “chiamando” il “*#06#”) u Valore univoco attribuito al cellulare sulla rete u www.numberingplans.com, www.trackimei.com n Utilizzare in mancanza di altro le caratteristiche fisiche (dimensione, forma, etc...) 21martedì 16 aprile 13
  22. 22. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca SIM n Subscriber Identity Module (SIM) n Permette il collegamento del dispositivo con la rete GSM/3G n Due codici: ICCID (Integrated Circuit Card IDentification) e IMSI (International Mobile Subscriber Identity) n Sempre meno utilizzata nei dispositivi mobili per memorizzare dati rilevanti, va comunque analizzata e conosciuta 22martedì 16 aprile 13
  23. 23. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca SIM (ICCID) n ICCID (Integrated Circuit Card IDentification) n Codice univico stampato sul dorso della scheda n Formattazione precisa: n XX (prime due cifre): codice standard per lidentificazione di un sistema con scopi di telecomunicazione (89 per l’Italia) n XX (terza e quarta cifra): 39 solo per lItalia, corrisponde al prefisso internazionale assegnato al paese in cui opera dato gestore e varia a seconda delle nazioni n XX(X) (due o tre cifre): codice identificativo del gestore, così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb n XXXXXXX (tutte le cifre restanti fino alla fine del codice ICCID): iidentificativo del singolo chip 23martedì 16 aprile 13
  24. 24. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca SIM (IMSI) n International Mobile Subscriber Identity n codice che identifica una coppia SIM-operatore telefonico, ossia la SIM in una rete GSM n lungo 15 cifre e così strutturato: n XXX - MCC (Mobile Country Code), 222 per lItalia. n XX - MNC (Mobile Network Code), lidentificativo della compagnia telefonica in rete. Coincidono con quelli presenti sullICCID (01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb); n XXXXXXXXXX - MSIN (Mobile Subscriber Identification Number), un numero univoco che identifica ciascuna utenza. 24martedì 16 aprile 13
  25. 25. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Memoria aggiuntiva n Può contenere diversi dati essenziali: fotografie, filmati, SMS (in alcuni Nokia si può scegliere...), backup, Whatsapp, etc... n Se in fase di sequestro... sequestrare pure quella (ci sono casi in cui ciò non è stato fatto!) n L’esame si può fare in parallelo con gli strumenti per la mobile forensics o separatamente, con gli strumenti tradizionali per digital forensics 25martedì 16 aprile 13
  26. 26. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cloud n Il dispositivo può non contenere tutti i dati ma i riferimenti per potervi accedere... è legale farlo? n Discorso molto ampio, ci vorrebbe un seminario solo per quello n Valutare la presenza di client per Cloud come Dropbox, iCloud, Google Drive, SkyDrive, etc... n Può rappresentare un problema perché in taluni casi (es. iCloud) permette all’utilizzatore di operare da remoto sul cellulare 26martedì 16 aprile 13
  27. 27. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Repertazione n Se spento u lasciare spento u sequestrare anche eventuali schede di memoria e la batteria (per risparmiarsi problemi in seguito se disponibili prendere anche cavetti, caricabatteria, confezione SIM, software, etc...) u documentare stato del telefono u non lasciare la batteria all’interno o isolarla per evitare che si accenda inavvertitamente o suoni la sveglia 27martedì 16 aprile 13
  28. 28. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Repertazione n Se acceso u Documentare data/ora ed eventuali info su display u Spegnerlo togliendo la batteria o se si ritiene importante, mantenerlo acceso ma isolato da tutto (jammer, gabbia di faraday, airplane mode) 28martedì 16 aprile 13
  29. 29. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione n Acquisire il più possibile impattando il meno possibile n Nel momento in cui lo si accende, NON lasciare la SIM originaria e NON farlo connettere al WiFi, Bluetooth, evitare che riceva il GPS n Se è richiesta SIM e se deve essere quella fornita con il telefono: SIM cloning (IMSI,ICCID) n tre tipi di acquisizione: SIM, memoria interna, memoria esterna n un quarto tipo riguarda i dati presso l’operatore, ma non si parla più di mobile forensics... 29martedì 16 aprile 13
  30. 30. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione SIM n Sempre meno fruttuosa, permette comunque in taluni casi di ottenere: u ICCID (Integrated Circuit Card Identification) u IMSI (International Mobile Subscriber Identity) u Rubrica (Abbreviated Dialing Numbers – ADN) u Registro chiamate (Last Dialed Number – LDN) u Short Message Service (SMS) u Location information (LOCI) 30martedì 16 aprile 13
  31. 31. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria esterna n Paragonabile all’analisi di un disco o una SD n In genere vi sono memorizzati dati multimediali e documenti n Può contenere anche SMS, backup, Whatsapp, etc... n Acquisire con copia forense (write blocker + dd) n Elaborare con sw di analisi, carving, etc... 31martedì 16 aprile 13
  32. 32. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Acquisizione memoria interna n Si esegue tramite strumenti (hardware o software) dedicati, OSS o commerciali n Tre modalità: u Logica: copia delle informazioni che il sistema operativo mette a disposizione (sincronizzazione) u File System: copia (completa o parziale) dei file presenti all’interno della memoria (backup) u Fisica: acquisizione bit a bit dell’intero contenuto della memoria NAND presente nel dispositivo 32martedì 16 aprile 13
  33. 33. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Panoramica dei software Il desolante panorama freeware ed OSS: n Bitpim n iPBA n Sql lite database browser n Bulk extractor n Strings n Foremost 33martedì 16 aprile 13
  34. 34. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Panoramica dei software Il panorama dei software commerciali: n Cellebrite UFED (approfondimento nelle slide successive) n Micro Systemation XRY n Oxygen Forensics n Paraben Device Seizure n Mobile Edit n ViaForensics n Elcomsoft n FTS iXAM n Katana Fornsics Lantern n Tarantula 34martedì 16 aprile 13
  35. 35. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Descrizione n Uno degli strumenti di acquisizione forense più utilizzati n Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di cui 1/2 R&D n Opera su mercato privato e governativo/militare n UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solo n Non è una panacea, lo citiamo perché rappresenta più o meno lo standard dei tool di analisi forense per cellulari n es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1 come tutti gli altri software 35martedì 16 aprile 13
  36. 36. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED 36martedì 16 aprile 13
  37. 37. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Principi di Base: Reverse Engineering n Hardware (interfacce nascoste, JTAG, cavi di manutenzione) n Firmware (master password, metodi di scrittura/lettura/cancellazione, accesso, cifratura, backdoors) n PC Suite (simulazione dei protocolli di comunicazione proprietari) n Si sfruttano anche vulnerabilità n Esempio Blackberry per estrazione fisica: capire comandi supportati, organizzazione dei protocolli, come iniettare il bootloader sul dispositivo, come autenticare la firma 37martedì 16 aprile 13
  38. 38. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Principi di Base: Vulnerabilità n In genere dovute a “sviste” degli sviluppatori n Non prevedibili, di diverse tipologie (stack/ heap overflow, directory traversal, etc..) n Errori nella gestione degli stati (es. rifiuto di esecuzione codice dopo verifica fallita della signature incorretta MA esecuzione permessa se prima non viene fatta la verifica...) n Esempio di sfruttamento di vulnerabilità, hardware hacking sul cable, reversing firmware, signature exploit, : Motorola Android Physical Extraction 38martedì 16 aprile 13
  39. 39. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Modalità d’uso: Estrazione Logica n Si utilizzano le API del telefono n Vantaggi: n veloce n nessun bisogno di decodifica n interfaccia stabilita n bassa complessità n Svantaggi: n disponibilità di dati limitata 39martedì 16 aprile 13
  40. 40. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Modalità d’uso: Estrazione File System n Copia dell’intero filesystem del dispositivo n Vantaggi: n veloce n più dati disponibili n media complessità n Svantaggi: n richiede decodifica 40martedì 16 aprile 13
  41. 41. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Modalità d’uso: Estrazione Fisica n Copia “forense” dell’intera flash del dispositivo n Vantaggi: n maggiore disponibilità di dettagli (carving) n più dati disponibili n Svantaggi: n richiede decodifica n alta complessità n richiede tempo (anche la “filesystem”...) 41martedì 16 aprile 13
  42. 42. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Cenni sull’utilizzo del bootloader n Modalità utilizzata per Physical Extraction n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema tramite un programma di controllo che ha accesso alla maggior parte delle operazioni sul dispositivo n Vantaggi: n Nessun Sistema Operativo, meno sicurezza da bypassare n Spesso generico o customizzato sulla famiglia di dispositivi n Sicuro e progettato per read-only n Accurato, può potenzialmente accedere a tutte le aree 42martedì 16 aprile 13
  43. 43. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Cenni sulla encryption n Problematica sempre più rilevante n Soluzioni: n Reverse Engineering n Exploits n Brute force n Esempio di encryption “bucata”: Tom Tom e i triplog 43martedì 16 aprile 13
  44. 44. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Work Flow di un’analisi di cellulare n Estrazione n Decodifica n Analisi n Report 44martedì 16 aprile 13
  45. 45. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED Physical Analyzer: funzionalità di base n Supporto per immagini fisiche, logiche e filesystem n Report personalizzati n Shell PYTHON n Supporto per plugin, piattaforma estendibile e flessibile n Timeline e Analisi globale del progetto n Carving delle immagini n Visualizzazione diretta in HEX n Watch List su keyword per soglie di attenzione n SQLite Browser n Decifratura del triplog TomTom n Malware Scanning n Recupero BBM cancellati e di gruppo 45martedì 16 aprile 13
  46. 46. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Cellebrite UFED funzionalità di avanzate n Pattern/Code unlock n Link analysis (diversi dispositivi) n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...) n Phone Detective (riconoscimento marca e modello telefono e identificazione capabilities) 46martedì 16 aprile 13
  47. 47. © 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca Domande? Do5.  Paolo  Dal  Checco pdalchecco@digitlaw.it Do5.  Giuseppe  Dezzani gdezzani@digitlaw.it 47martedì 16 aprile 13
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×