Successfully reported this slideshow.

Metodologie Estrazione Evidenze Digitali

1,439 views

Published on

Presentazione (prima della riduzione per motivi di tempo) della tesi di laurea specialistica "Metodologie di estrazione di evidenze digitali da dispositivi embedded Symbian-based"

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Metodologie Estrazione Evidenze Digitali

  1. 1. Metodologie di estrazione di evidenze digitali da dispositivi embedded Symbian-based Relatore: Chiar.mo Prof. Paolo Gubian Correlatore: Ing. Antonio Savoldi UNIVERSITÁ DEGLI STUDI DI BRESCIA FACOLTÁ DI INGEGNERIA   CORSO DI LAUREA IN INGEGNERIA ELETTRONICA DIPARTIMENTO DI ELETTRONICA PER L'AUTOMAZIONE Tesi di Laurea di: Mario Piccinelli Matricola 69155
  2. 2. Scopo <ul><li>Descrivere le metodologie attraverso le quali è possibile acquisire informazioni da un dispositivo cellulare basato su sistema operativo Symbian. </li></ul><ul><li>Analizzare le metodologie sopracitate da un punto di vista forense. </li></ul>
  3. 3. Argomenti principali <ul><li>Digital Forensics </li></ul><ul><li>Mobile Phone Forensics </li></ul><ul><li>Symbian </li></ul><ul><li>Estrazione Logica </li></ul><ul><ul><li>SyncML </li></ul></ul><ul><ul><li>AT </li></ul></ul><ul><ul><li>FBUS/MBUS </li></ul></ul><ul><ul><li>OBEX </li></ul></ul><ul><ul><li>On Phone Tool </li></ul></ul><ul><li>Estrazione Fisica </li></ul><ul><ul><li>Programmatore FLASH </li></ul></ul><ul><ul><li>JTAG </li></ul></ul><ul><ul><li>Flash Box </li></ul></ul>
  4. 4. Digital Forensics Definizione <ul><li>La Digital Forensics è una branca della scienza forense (discipline scientifiche che trovano applicazione in campo giudiziario) legata all’analisi di elementi di prova in qualche modo correlati a dispositivi elettronici quali computer o dispositivi digitali di archiviazione. </li></ul><ul><li>Il suo scopo ultimo è l’analisi dello stato di un prodotto digitale, sia esso un’immagine, un documento elettronico o un disco fisico, allo scopo di estrarne quante più possibile informazioni utili a fini giudiziari. </li></ul>
  5. 5. Mobile Phone Forensics Elenco chiamate SMS Inviati Ricevuti <ul><li>Numeri di telefono </li></ul><ul><li>Timestamp </li></ul><ul><li>Testo </li></ul>Email Inviate Ricevute <ul><li>Indirizzi </li></ul><ul><li>Timestamp </li></ul><ul><li>Testo </li></ul>Effettuate Ricevute <ul><li>Numeri di telefono </li></ul><ul><li>Timestamp </li></ul><ul><li>Durata </li></ul>
  6. 6. Mobile Phone Forensics Rubrica <ul><li>Nomi </li></ul><ul><li>Numeri di telefono </li></ul><ul><li>Indirizzi email </li></ul><ul><li>Indirizzi geografici </li></ul><ul><li>Altre informazioni </li></ul>Calendario <ul><li>Luoghi </li></ul><ul><li>Date </li></ul><ul><li>Nomi </li></ul>Browser <ul><li>Cache </li></ul><ul><li>Cronologia </li></ul><ul><li>Indirizzi salvati </li></ul><ul><li>Password </li></ul>
  7. 7. Mobile Phone Forensics WiFi <ul><li>Reti utilizzate </li></ul><ul><li>Reti individuate (posizione geografica) </li></ul>Telefono <ul><li>Celle utilizzate </li></ul><ul><li>(posizione geografica) </li></ul><ul><li>Ultima ricarica batteria </li></ul><ul><li>… </li></ul>
  8. 8. Mobile Phone Forensics Galleria Multimediale <ul><li>Immagini </li></ul><ul><li>Audio </li></ul><ul><li>Filmati </li></ul>Applicazioni <ul><li>Informazioni varie </li></ul>GPS <ul><li>Log posizionamento </li></ul><ul><li>Timestamp </li></ul><ul><li>Dati EXIF </li></ul><ul><li>Posizione </li></ul>
  9. 9. Symbian OS <ul><li>Symbian OS è un sistema operativo per dispositivi mobili embedded sviluppato dal Symbian Ltd . Discende dallo Psion EPOC. </li></ul><ul><li>Attualmente è gestito da Symbian Foundation , ed è in corso il suo rilascio in forma Open Source. </li></ul>
  10. 10. Symbian OS <ul><li>E’ strutturato fin dalle origini come un moderno sistema operativo per computer. </li></ul><ul><ul><li>Protezione della memoria e gestione robusta delle risorse; </li></ul></ul><ul><ul><li>Multitasking pre-emptive; </li></ul></ul><ul><ul><li>Accesso alle risorse server-based mediante eventi asincroni (request > callback); </li></ul></ul><ul><ul><li>Divisione netta tra interfaccia utente e servizi; </li></ul></ul><ul><ul><li>Riusabilità del codice e disponibilità di API documentate; </li></ul></ul><ul><ul><li>Ottimizzato per dispositivi a batteria con risorse limitate e memoria a stato solido. </li></ul></ul>
  11. 11. Symbian OS
  12. 12. Symbian OS
  13. 13. Symbian OS
  14. 14. Metodi di estrazione <ul><li>Logica </li></ul><ul><li>Fisica </li></ul>Evidenza Sistema di acquisizione Evidenza Sistema di acquisizione
  15. 15. Estrazione “Logica”
  16. 16. SyncML Syncronization Markup Language <ul><li>Protocollo di sincronizzazione. </li></ul><ul><li>Basato su XML. </li></ul><ul><li>Si può appoggiare su qualunque altro protocollo di trasporto dati (HTTP, Obex, WAP, Bluetooth…) </li></ul><ul><li>Architettura client-server. </li></ul>
  17. 17. SyncML Syncronization Markup Language
  18. 18. SyncML Syncronization Markup Language <ul><li>Dal punto di vista forense: </li></ul><ul><li>Vantaggi: </li></ul><ul><ul><li>Semplice da realizzare. </li></ul></ul><ul><ul><li>Basato su standard aperti. </li></ul></ul><ul><ul><li>Disponibile su quasi qualunque dispositivo mobile. </li></ul></ul><ul><li>Svantaggi: </li></ul><ul><ul><li>Richiede di configurare il dispositivo. </li></ul></ul><ul><ul><li>Può modificare lo stato del dispositivo in esame. </li></ul></ul><ul><ul><li>Informazioni limitate. </li></ul></ul><ul><ul><li>Implementazioni variabili da produttore a produttore. </li></ul></ul>
  19. 19. Comandi AT <ul><li>Set di comandi per il controllo di dispositivi di comunicazione. </li></ul><ul><li>Introdotti nel 1977 da Hayes Communications per il controllo di modem analogici. </li></ul><ul><li>Attraverso lo standard ETSI GSM 07.07 vengono implementate funzionalità per il controllo di dispositivi GSM. </li></ul>
  20. 20. Comandi AT <ul><li>Protocollo seriale basato su stringhe ASCII. </li></ul><ul><li>Si appoggia su RS232 (eventualmente emulata via USB). </li></ul><ul><li>Può dare accesso a informazioni come: </li></ul><ul><ul><li>Produttore del telefono, modello e versione. </li></ul></ul><ul><ul><li>Identificativo IMEI telefono. </li></ul></ul><ul><ul><li>Identificativo IMSI della SIM. </li></ul></ul><ul><ul><li>Rubrica telefonica. </li></ul></ul><ul><ul><li>Log chiamate effettuate e ricevute. </li></ul></ul><ul><ul><li>Messaggi ricevuti e inviati. </li></ul></ul>
  21. 21. Comandi AT
  22. 22. <ul><li>Dal punto di vista forense: </li></ul><ul><li>Vantaggi: </li></ul><ul><ul><li>Semplice da utilizzare. </li></ul></ul><ul><ul><li>Protocollo standard. </li></ul></ul><ul><ul><li>Disponibile su quasi qualunque dispositivo mobile. </li></ul></ul><ul><li>Svantaggi: </li></ul><ul><ul><li>Implementazioni spesso limitate e non documentate. </li></ul></ul><ul><ul><li>Protocollo divenuto ormai caduto in disuso per il trasferimento di informazioni. </li></ul></ul><ul><ul><li>Può alterare il contenuto del dispositivo in esame. </li></ul></ul>Comandi AT
  23. 23. FBUS/MBUS <ul><li>Bus seriale standard ANSI/IEEE per soluzioni di backplane e dispositivi portatili. </li></ul><ul><li>Comunicazione master-slave a pacchetti. </li></ul><ul><li>FBUS </li></ul><ul><ul><li>Bidirezionale (2 linee, full duplex) </li></ul></ul><ul><ul><li>Velocità: 115’200 bit/sec </li></ul></ul><ul><li>MBUS </li></ul><ul><ul><li>Monodirezionale (1 linea multiplexata). </li></ul></ul><ul><ul><li>Velocità: 9’600 bit/sec </li></ul></ul>
  24. 24. FBUS/MBUS
  25. 25. FBUS/MBUS <ul><li>Costituisce una via privilegiata di accesso anche a basso livello alle informazioni contenute nel dispositivo. </li></ul><ul><li>La maggior parte dei software commerciali (anche per uso forense) utilizza questa modalità di connessione. </li></ul>
  26. 26. <ul><li>Dal punto di vista forense: </li></ul><ul><li>Vantaggi: </li></ul><ul><ul><li>Sistema di accesso privilegiato, utilizzato anche dai tool proprietari del produttore. </li></ul></ul><ul><ul><li>Permette accesso a tutte le informazioni contenute nel dispositivo. </li></ul></ul><ul><li>Svantaggi: </li></ul><ul><ul><li>Non standard, non garantito e non documentato. </li></ul></ul>FBUS/MBUS
  27. 27. <ul><li>OBEX (OBject EXchange) è un sistema di accesso ed esplorazione di risorse remote sotto forma di oggetti binari. </li></ul><ul><li>Protocollo seriale </li></ul><ul><li>A pacchetti </li></ul><ul><li>Client – server </li></ul><ul><li>Utilizzato tipicamente per l’esplorazione di un sottoinsieme del filesystem del dispositivo, ad esempio la galleria multimediale. </li></ul>OBEX
  28. 28. <ul><li>Dal punto di vista forense non risulta particolarmente utile: </li></ul><ul><li>Accesso limitato a determinate zone del filesystem. </li></ul><ul><li>Accesso limitato a specifiche categorie di elementi. </li></ul><ul><li>Accesso comunque subordinato ai permessi dei singoli file e ad altre protezioni. </li></ul><ul><li>Viene comunque sfruttato come metodo opzionale per l’estrazione. </li></ul>OBEX
  29. 29. <ul><li>La piattaforma Symbian permette l’installazione di applicazioni di terze parti. </li></ul><ul><li>Le applicazioni hanno a disposizione una serie di API per l’accesso al filesystem. </li></ul><ul><li>E’ possibile progettare un’applicazione che esegua una copia integrale del filesystem del dispositivo su un dispositivo di archiviazione di massa. </li></ul>On-phone Tool
  30. 30. <ul><li>Versioni precedenti a Symbian 9.1 </li></ul><ul><li>Nelle versioni meno recenti di Symbian OS non esiste alcun sistema di protezione o certificazione delle applicazioni. </li></ul><ul><li>Di conseguenza qualunque elemento del filesystem può essere manipolato e copiato. </li></ul><ul><li>Unica limitazione: alcuni file potrebbero essere in uso (e quindi bloccati) da processi che non possono essere interrotti. </li></ul>On-phone Tool
  31. 31. <ul><li>Versioni da Symbian 9.1 in avanti </li></ul><ul><li>Nelle versioni più recenti di Symbian OS è implementato un sistema di protezione basato su “data caging” e “capabilities”. </li></ul><ul><li>Le capabilities vengono impostate durante la “firma” dell’applicazione ad opera del programma “Symbian Signed”, gestito da un ente certificatore indipendente. </li></ul>On-phone Tool
  32. 32. On-phone Tool Capabilities
  33. 33. On-phone Tool Data Caging <ul><li>Le diverse parti del filesystem sono accessibili dalle applicazioni solo in presenza delle corrette capabilities. </li></ul>Directory Capabilities per lettura: Capabilities per scrittura: /sys AllFiles TCB /resource Nessuna TCB /private/<appSID> Nessuna Nessuna /private/<altroSID> AllFiles AllFiles /other Nessuna Nessuna
  34. 34. On-phone Tool <ul><li>Dal punto di vista forense: </li></ul><ul><li>Vantaggi: </li></ul><ul><ul><li>Può permettere un accesso completo al filesystem del dispositivo. </li></ul></ul><ul><li>Svantaggi: </li></ul><ul><ul><li>Subordinato all’autorizzazione del produttore del dispositivo. </li></ul></ul><ul><ul><li>Richiede l’installazione di software o comunque la modifica del dispositivo sotto esame. </li></ul></ul><ul><ul><li>La struttura del filesystem varia tra i diversi modelli. </li></ul></ul>
  35. 35. Applicazioni commerciali MOBILedit! Forensics Oxygen Forensics Suite
  36. 36. Applicazioni commerciali
  37. 37. Applicazioni commerciali <ul><li>Dal punto di vista forense sono la soluzione ottimale per l’estrazione logica: </li></ul><ul><li>Sfruttano tutti i protocolli descritti in precedenza. </li></ul><ul><li>Sono realizzate in collaborazione con i produttori, e quindi hanno una conoscenza ottimale della struttura del sistema da esaminare. </li></ul><ul><li>Sono relativamente semplici da usare. </li></ul><ul><li>Sono riconosciute e certificate per l’uso forense. </li></ul>
  38. 38. Estrazione “Fisica” Analisi: la memoria Flash Interpretazione dei dati
  39. 39. Programmatore <ul><li>Tutti i dati contenuti nel dispositivo cellulare sono archiviati in uno o più package di memoria flash. E’ dunque teoricamente possibile rimuovere il chip dal telefono e leggerne il contenuto con un normale programmatore. </li></ul>
  40. 40. Programmatore <ul><li>Le fasi per l’estrazione di informazioni mediante programmatore sono: </li></ul><ul><li>Identificazione del/dei chip; </li></ul><ul><li>Rimozione del componente; </li></ul><ul><li>Preparazione; </li></ul><ul><li>Acquisizione dell’immagine di memoria; </li></ul><ul><li>Decodifica e analisi. </li></ul>
  41. 41. Programmatore <ul><li>Problematiche: </li></ul><ul><li>Necessità di disassemblare (e potenzialmente distruggere) il dispositivo in esame. </li></ul><ul><li>Rischio di danneggiare le evidenze. </li></ul><ul><li>Necessità di apparecchiature complesse e costose, oltre che di personale estremamente qualificato. </li></ul><ul><li>Necessità di identificare componenti spesso non standard e reperire le specifiche. </li></ul><ul><li>Necessità di dover interpretare i dati estratti. </li></ul>
  42. 42. Programmatore <ul><li>Vantaggi: </li></ul><ul><li>Possibilità di estrarre qualunque tipo di informazione contenuta nel dispositivo, anche quelle non accessibili per via logica (data hiding). </li></ul><ul><li>Possibilità di ottenere infinite copie autenticate dell’intero contenuto del dispositivo. </li></ul><ul><li>Unica possibilità di analizzare dispositivi gravemente danneggiati. </li></ul>
  43. 43. JTAG <ul><li>JTAG (Joint Test Action Group) è un sistema di test realizzato all’interno dei dispositivi integrati che permette l’analisi del funzionamento del dispositivo stesso e del sistema cui è connesso. </li></ul>
  44. 44. JTAG Processore Bus memoria (mux) Memoria Comandi di lettura Dati
  45. 45. JTAG <ul><li>Problematiche: </li></ul><ul><li>Necessità di intervenire sull’hardware del dispositivo in esame, con il rischio di danneggiare le evidenze o invalidarle. </li></ul><ul><li>Necessità di strumentazione adeguata e personale qualificato. </li></ul><ul><li>Necessità di conoscere le caratteristiche dei componenti e la loro disposizione. </li></ul>
  46. 46. JTAG <ul><li>Problematiche (continua): </li></ul>
  47. 47. Flash Box <ul><li>Le “Flash Box” sono una categoria di dispositivi prodotti da terzi e utilizzati per eseguire operazioni di manutenzione e modifica di dispositivi cellulari. </li></ul><ul><li>Utilizzano protocolli di comunicazione realizzati dal produttore del telefono per fini di debug e manutenzione, e di cui spesso le specifiche non sono pubbliche. </li></ul>
  48. 48. Flash Box <ul><li>Le funzionalità tipiche delle Flash Box possono essere (variano in funzione di modello e produttore): </li></ul><ul><li>Aggiornamento del firmware del cellulare. </li></ul><ul><li>Modifica delle impostazioni di base del cellulare. </li></ul><ul><li>Rimozione / manomissione di sim-lock e operator-lock . </li></ul><ul><li>Estrazione di una immagine della memoria flash . </li></ul><ul><li>… </li></ul>
  49. 49. Flash Box <ul><li>Non richiedono modifiche hardware al dispositivo in esame, al più un cavo apposito. </li></ul>
  50. 50. Flash Box <ul><li>Dal punto di vista forense sono il dispositivo più usato per l’estrazione “fisica” di dati. </li></ul><ul><li>Utilizzano specifiche ufficiali del produttore, garantendo la correttezza dell’estrazione. </li></ul><ul><li>Sono semplici da utilizzare, anche da personale non esperto. </li></ul>
  51. 51. Sistemi Commerciali LogiCube™ CellDEK
  52. 52. Interpretazione dei dati <ul><li>Contrariamente alle informazioni estratte per via logica, i dati estratti direttamente dalla memoria del dispositivo non sono direttamente fruibili. </li></ul><ul><li>Il modo in cui i dati sono distribuiti all’interno del “blob” binario estratto varia in base alla versione e al produttore, e normalmente non esistono specifiche pubbliche. </li></ul>
  53. 53. Interpretazione dei dati Approccio sperimentale <ul><li>Alcuni elementi possono essere individuati mediante analisi del blob binario, purchè si conosca a priori la struttura dell’elemento ricercato. </li></ul><ul><li>Tipico esempio: file multimediali. </li></ul>Header Payload
  54. 54. Interpretazione dei dati Approccio sperimentale <ul><li>Esempio di ricerca sperimentale: SMS nel dump di memoria di un sistema Symbian. </li></ul>
  55. 55. Interpretazione dei dati <ul><li>Esistono software commerciali in grado di eseguire automaticamente questa analisi, appoggiandosi su specifiche ottenute dal produttore. </li></ul>Cell Phone Analyzer BBK Forensics
  56. 56. Domande?

×