Dal checco Dezzani, Digital Evidence Digital Forensics

Digital
Evidence,
Digital
Forensics,
Mobile
Forensics

17
aprile
2013,
Milano
Corso
di
perfezionamento
in
“Computer
forensics
e
inves<gazioni
digitali”

Do@.
Giuseppe
Dezzani
Consulente di Informatica Forense

Do@.
Paolo
Dal
Checco
Consulente di Informatica Forense

martedì 16 aprile 13

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Legge 48/2008
n L’importanza della Legge 48/2008 per le
modifiche introdotte nel Codice di Procedura
Penale

2



Le modifiche al codice di procedura penale
n 1. All'articolo 244, comma 2, secondo periodo,
del codice di procedura penale sono aggiunte, in
fine, le seguenti parole:

n «,anche in relazione a sistemi informatici o
telematici, adottando misure tecniche dirette ad
assicurare la conservazione dei dati originali e ad
impedirne l'alterazione».

3



n 2. All'articolo 247 del codice di procedura penale,
dopo il comma 1 è inserito il seguente:

n «1-bis. Quando vi è fondato motivo di ritenere che
dati, informazioni, programmi informatici o tracce
comunque pertinenti al reato si trovino in un sistema
informatico o telematico, ancorché protetto da misure
di sicurezza, ne è disposta la perquisizione,
adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne
l'alterazione».

4



n 7. All'articolo 259, comma 2, del codice di
procedura penale, dopo il primo periodo è
inserito il seguente:

n «Quando la custodia riguarda dati, informazioni
o programmi informatici, il custode è altresì
avvertito dell'obbligo di impedirne l'alterazione o
l'accesso da parte di terzi, salva, in quest'ultimo
caso, diversa disposizione dell'autorità
giudiziaria».
5



n All'articolo 260 del codice di procedura penale sono apportate le
seguenti modificazioni:

n a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le
seguenti: «, anche di carattere elettronico o informatico,»;

n b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si
tratta di dati, di informazioni o di programmi informatici, la copia
deve essere realizzata su adeguati supporti, mediante procedura
che assicuri la conformità della copia all'originale e la sua
immodificabilità; in tali casi, la custodia degli originali può essere
disposta anche in luoghi diversi dalla cancelleria o dalla
segreteria»

6



Le procedure di Acquisizione
n RFC3227

n Capture as accurate a picture of the system as
possible

7



n RFC3227

n Note the difference between the system clock
and UTC.

8



n RFC3227

n Minimise changes to the data as you are
collecting it

9



n RFC3227

n Remove external avenues for change

10



n RFC3227

n When confronted with a choice between
collection and analysis you should do collection
first and analysis later

11



n RFC3227

n Proceed from the volatile to the less volatile

12



Acquisizione memoria RAM (Windows)

13



Acquisizione memoria RAM (Windows)

14



Acquisizione memoria RAM (Linux)
n Linea di Comando !

n dd if=/dev/fmem of=“memdump” bs=…

n Potete/dovete installare una patch :
u http://hysteria.sk/~niekt0/foriana/
n

15



Acquisizione memoria RAM (Mac OS)
n Mac Memory Reader

n http://cybermarshal.com/index.php/cyber-
marshal-utilities/mac-memory-reader

n Linea di comando :
n Si esegue : mac-memory-reader indicando dove
salvare il file di risultato

16



Acquisizione memoria RAM (Mac OS)

17



Acquisizione memoria RAM (tutti)

n Questi tool non calcolano l’hash del file risultato
dell’acquisizione, ricordate di calcolarlo
manualmente per la catena di conservazione.

18



Mobile Forensics

n Ramo della Digital Forensics, di cui fa parte la Computer Forensics
n All’inizio era il cellulare...
n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di
è portatile, talvolta ha capacità di comunicazione, memoria interna/
esterna
n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma
anche fotocamere/videocamere, registratori digitali, etc...
n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet
perché sul resto si può spesso operare con strumenti utilizzati per la
computer/disk forensics

19



Componenti di un mobile device
n Dispositivo (marca, modello, s/n)
n Scheda SIM
n Memoria aggiuntiva

n Cloud (Dropbox, iCloud, GDrive, etc...)

20



Dispositivo
n In genere scritto sul retro del dispositivo, dietro la
batteria
n Si può ricavare dall’IMEI (che si legge sul retro
oppure si ottiene “chiamando” il “*#06#”)
u Valore univoco attribuito al cellulare sulla rete
u www.numberingplans.com, www.trackimei.com

n Utilizzare in mancanza di altro le caratteristiche
fisiche (dimensione, forma, etc...)

21



SIM
n Subscriber Identity Module (SIM)
n Permette il collegamento del dispositivo con la
rete GSM/3G
n Due codici: ICCID (Integrated Circuit Card
IDentification) e IMSI (International Mobile
Subscriber Identity)
n Sempre meno utilizzata nei dispositivi mobili per
memorizzare dati rilevanti, va comunque
analizzata e conosciuta

22



SIM (ICCID)
n ICCID (Integrated Circuit Card IDentification)
n Codice univico stampato sul dorso della scheda
n Formattazione precisa:
n XX (prime due cifre): codice standard per l'identificazione
di un sistema con scopi di telecomunicazione (89 per
l’Italia)
n XX (terza e quarta cifra): 39 solo per l'Italia, corrisponde
al prefisso internazionale assegnato al paese in cui opera
dato gestore e varia a seconda delle nazioni
n XX(X) (due o tre cifre): codice identificativo del gestore,
così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G,
007 Noverca e 008 Fastweb
n XXXXXXX (tutte le cifre restanti fino alla fine del codice
ICCID): iidentificativo del singolo chip

23



SIM (IMSI)
n International Mobile Subscriber Identity
n codice che identifica una coppia SIM-operatore
telefonico, ossia la SIM in una rete GSM
n lungo 15 cifre e così strutturato:
n XXX - MCC (Mobile Country Code), 222 per l'Italia.
n XX - MNC (Mobile Network Code), l'identificativo
della compagnia telefonica in rete. Coincidono con
quelli presenti sull'ICCID (01 TIM, 10 Vodafone, 88
Wind, 99 H3G, 007 Noverca e 008 Fastweb);
n XXXXXXXXXX - MSIN (Mobile Subscriber
Identification Number), un numero univoco che
identifica ciascuna utenza.

24



Memoria aggiuntiva
n Può contenere diversi dati essenziali: fotografie,
filmati, SMS (in alcuni Nokia si può scegliere...),
backup, Whatsapp, etc...
n Se in fase di sequestro... sequestrare pure quella
(ci sono casi in cui ciò non è stato fatto!)
n L’esame si può fare in parallelo con gli strumenti
per la mobile forensics o separatamente, con gli
strumenti tradizionali per digital forensics

25



Cloud
n Il dispositivo può non contenere tutti i dati ma i
riferimenti per potervi accedere... è legale farlo?
n Discorso molto ampio, ci vorrebbe un seminario
solo per quello
n Valutare la presenza di client per Cloud come
Dropbox, iCloud, Google Drive, SkyDrive, etc...
n Può rappresentare un problema perché in taluni
casi (es. iCloud) permette all’utilizzatore di
operare da remoto sul cellulare

26



Repertazione
n Se spento
u lasciare spento
u sequestrare anche eventuali schede di memoria e

la batteria (per risparmiarsi problemi in seguito se
disponibili prendere anche cavetti, caricabatteria,
confezione SIM, software, etc...)
u documentare stato del telefono

u non lasciare la batteria all’interno o isolarla per

evitare che si accenda inavvertitamente o suoni la
sveglia
27



Repertazione
n Se acceso
u Documentare data/ora ed eventuali info su display
u Spegnerlo togliendo la batteria o se si ritiene

importante, mantenerlo acceso ma isolato da tutto
(jammer, gabbia di faraday, airplane mode)

28



Acquisizione
n Acquisire il più possibile impattando il meno possibile
n Nel momento in cui lo si accende, NON lasciare la
SIM originaria e NON farlo connettere al WiFi,
Bluetooth, evitare che riceva il GPS
n Se è richiesta SIM e se deve essere quella fornita
con il telefono: SIM cloning (IMSI,ICCID)
n tre tipi di acquisizione: SIM, memoria interna,
memoria esterna
n un quarto tipo riguarda i dati presso l’operatore, ma
non si parla più di mobile forensics...
29



Acquisizione SIM
n Sempre meno fruttuosa, permette comunque in
taluni casi di ottenere:
u ICCID (Integrated Circuit Card Identification)
u IMSI (International Mobile Subscriber Identity)

u Rubrica (Abbreviated Dialing Numbers – ADN)

u Registro chiamate (Last Dialed Number – LDN)

u Short Message Service (SMS)

u Location information (LOCI)

30



Acquisizione memoria esterna
n Paragonabile all’analisi di un disco o una SD
n In genere vi sono memorizzati dati multimediali e
documenti
n Può contenere anche SMS, backup, Whatsapp,
etc...
n Acquisire con copia forense (write blocker + dd)
n Elaborare con sw di analisi, carving, etc...

31



Acquisizione memoria interna
n Si esegue tramite strumenti (hardware o software)
dedicati, OSS o commerciali

n Tre modalità:
u Logica: copia delle informazioni che il sistema
operativo mette a disposizione (sincronizzazione)
u File System: copia (completa o parziale) dei file
presenti all’interno della memoria (backup)
u Fisica: acquisizione bit a bit dell’intero contenuto
della memoria NAND presente nel dispositivo

32



Panoramica dei software

Il desolante panorama freeware ed OSS:

n Bitpim
n iPBA
n Sql lite database browser
n Bulk extractor
n Strings
n Foremost

33



Panoramica dei software
Il panorama dei software commerciali:

n Cellebrite UFED (approfondimento nelle slide successive)
n Micro Systemation XRY
n Oxygen Forensics
n Paraben Device Seizure
n Mobile Edit
n ViaForensics
n Elcomsoft
n FTS iXAM
n Katana Fornsics Lantern
n Tarantula

34



Cellebrite UFED
Descrizione
n Uno degli strumenti di acquisizione forense più utilizzati
n Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di
cui 1/2 R&D
n Opera su mercato privato e governativo/militare
n UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solo
n Non è una panacea, lo citiamo perché rappresenta più o meno lo
standard dei tool di analisi forense per cellulari
n es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1
come tutti gli altri software

35



Cellebrite UFED

36



Cellebrite UFED
Principi di Base: Reverse Engineering

n Hardware (interfacce nascoste, JTAG, cavi di
manutenzione)
n Firmware (master password, metodi di
scrittura/lettura/cancellazione, accesso,
cifratura, backdoors)
n PC Suite (simulazione dei protocolli di
comunicazione proprietari)
n Si sfruttano anche vulnerabilità
n Esempio Blackberry per estrazione fisica:
capire comandi supportati, organizzazione dei
protocolli, come iniettare il bootloader sul
dispositivo, come autenticare la firma

37



Cellebrite UFED
Principi di Base: Vulnerabilità

n In genere dovute a “sviste” degli sviluppatori
n Non prevedibili, di diverse tipologie (stack/
heap overflow, directory traversal, etc..)
n Errori nella gestione degli stati (es. rifiuto di
esecuzione codice dopo verifica fallita della
signature incorretta MA esecuzione permessa
se prima non viene fatta la verifica...)

n Esempio di sfruttamento di vulnerabilità,
hardware hacking sul cable, reversing
firmware, signature exploit, : Motorola Android
Physical Extraction

38



Cellebrite UFED
Modalità d’uso: Estrazione Logica

n Si utilizzano le API del telefono

n Vantaggi:
n veloce
n nessun bisogno di decodifica
n interfaccia stabilita
n bassa complessità

n Svantaggi:
n disponibilità di dati limitata

39



Cellebrite UFED
Modalità d’uso: Estrazione File System

n Copia dell’intero filesystem del dispositivo

n Vantaggi:
n veloce
n più dati disponibili
n media complessità

n Svantaggi:
n richiede decodifica

40



Cellebrite UFED
Modalità d’uso: Estrazione Fisica

n Copia “forense” dell’intera flash del dispositivo

n Vantaggi:
n maggiore disponibilità di dettagli (carving)
n più dati disponibili

n Svantaggi:
n richiede decodifica
n alta complessità
n richiede tempo (anche la “filesystem”...)

41



Cellebrite UFED
Cenni sull’utilizzo del bootloader

n Modalità utilizzata per Physical Extraction

n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema
tramite un programma di controllo che ha accesso alla maggior parte
delle operazioni sul dispositivo

n Vantaggi:
n Nessun Sistema Operativo, meno sicurezza da bypassare
n Spesso generico o customizzato sulla famiglia di dispositivi
n Sicuro e progettato per read-only
n Accurato, può potenzialmente accedere a tutte le aree

42



Cellebrite UFED
Cenni sulla encryption

n Problematica sempre più rilevante

n Soluzioni:

n Reverse Engineering
n Exploits
n Brute force

n Esempio di encryption “bucata”: Tom Tom e i triplog

43



Cellebrite UFED
Work Flow di un’analisi di cellulare

n Estrazione

n Decodifica

n Analisi

n Report

44



Cellebrite UFED
Physical Analyzer: funzionalità di base
n Supporto per immagini fisiche, logiche e filesystem
n Report personalizzati
n Shell PYTHON
n Supporto per plugin, piattaforma estendibile e flessibile
n Timeline e Analisi globale del progetto
n Carving delle immagini
n Visualizzazione diretta in HEX
n Watch List su keyword per soglie di attenzione
n SQLite Browser
n Decifratura del triplog TomTom
n Malware Scanning
n Recupero BBM cancellati e di gruppo

45



Cellebrite UFED
funzionalità di avanzate
n Pattern/Code unlock
n Link analysis (diversi dispositivi)
n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...)
n Phone Detective (riconoscimento marca e modello telefono e
identificazione capabilities)

46



Domande?

Do5.
Paolo
Dal
Checco
pdalchecco@digitlaw.it

Do5.
Giuseppe
Dezzani
gdezzani@digitlaw.it

47


Dal checco Dezzani, Digital Evidence Digital Forensics

More Related Content

What's hot

Viewers also liked

Similar to Dal checco Dezzani, Digital Evidence Digital Forensics

More from Andrea Rossetti

Dal checco Dezzani, Digital Evidence Digital Forensics