AA_018231_resource2_orig
Transcript
AA_018231_resource2_orig
DIGITAL Mobile Analisi FORENSICS Forensics U ’ Un’analisi li i sulla ll Mobile M bil Forensics F i Presentazione di Raoul Chiesa Senior Advisor,, Strategic g Alliances & Cybercrime y Issues Global Crimes Unit (GCU), UNICRI United Nations Interregional Crime & Justice Research Institute Cosa Processo ocesso ssi puòinvestigativo recuperare. ecupe es ga a oe Metodologia di analisi Torino 7 Maggio 2010 Torino, 1 1 Disclaimer ● ● ● Le informazioni contenute in questa presentazione non infrangono alcuna proprietà p p intellettuale,, nè contengono g strumenti o istruzioni che p potrebbero essere in conflitto con la vigente legislazione. I marchi registrati appartengono ai rispettivi proprietari. Le opinioni qui espresse sono quelle dell’autore e non rispecchiano necessariamente quelle dell’UNICRI, di altre Agenzie delle Nazioni Unite e/o d ll’ENISA l’Agenzia dell’ENISA, l’A i Europea E per la l Sicurezza Si d ll Reti delle R ti e delle d ll Informazioni. I f i i Introduzione,, “who is who” Chi sono ? Raoul Chiesa Hacker dal 1986 al 1995, quando vengo arrestato per una lunga serie di violazioni informatiche presso istituzioni ed enti ad alta criticità, nel corso dell’operazione “Ice Trap” condotta dalla S.C.O., Criminalpol, Interpol ed FBI. Da allora il mio approccio all’ICT Security è maturato: nel 1996 inizio ad occuparmi professionalmente di ethical hacking e, nel 1997, fondo @ Mediaservice.net, società di consulenza vendor-independent molto nota a livello europeo e @PSS, @PSS società di Digital Forensics. Forensics Sono inoltre socio fondatore del CLUSIT (Associazione italiana per la sicurezza informatica), dove ricopro anche la carica di membro del Comitato Direttivo (C.D.) (C D ) e del Comitato Tecnico Scientifico (C.T.S.). (C T S ) Membro del Board of Directors ISECOM (Institute for Security and Open Methodologies), TSTF (Telecom Security Task Force) e del Capitolo Italiano di OWASP (Open Web Applications Security Project). I fi Infine, sono membro b dell’ICANN d ll’ICANN e consulente l t sull cybercrime b i alle ll Nazioni Unite per l’UNICRI (United Nations Interregional Crime and Justice Research Center). UNICRI What is UNICRI? United Nations Interregional Crime & Justice Research Institute A United Nations entity established in 1968 to support countries worldwide in crime prevention and criminal justice UNICRI carries out applied research, training, cooperation and documentation / information activities technical UNICRI disseminates information and maintains contacts with professionals and experts worldwide Global Crimes Unit (Former “Counter Human Trafficking and Emerging Crimes Unit”): cyber crimes, counterfeiting, environmental crimes, trafficking in stolen works of art… Fake Bvlgari &Rolex, but also Guess how they update each others? Water systems with “sensors”… Viagra &Cialis (aka SPAM) Email, chat&IM, Skype… ENISA What is ENISA? • • • • • European Network & Information Security Agency ENISA is the EU’s response to security issues of the European Union “Securing g Europe's p Information Society” y is our motto In order to accomplish our mission, we work with EU Institutions and Member States ENISA came into being following the adoption of Regulation (EC) No 460/2004 of the European Parliament and of the Council on 10 March 2004. Operations started on September 2005, after moving from Brussels to Crete, and with the arrival of staff that were recruited through EU25-wide competitions with candidates coming from all over Europe. • ENISA is helping the European Commission, the Member States and the business community to address, respond and especially to prevent Network and Information Security problems. • The Th Agency A also l assists i t the th European E C Commission i i i the in th technical t h i l preparatory t work for updating and developing Community legislation in the field of Network and Information Security. • I’m I’ a Member M b off ENISA’s ENISA’ PSG – Permanent P t Stakeholders St k h ld G Group. Strategic Relationships Nel corso degli anni siamo stati in grado di creare una rete di relazioni speciali e contatti diretti con le seguenti organizzazioni, all’interno di aree di interesse e ricerca comuni: (this list is may not complete due to NDAs) APWG – Anti Phishing Working Group (USA) AFP – Australian Federal Police ANZ-Australia/New Zealand Bank Association AUSCert (Australia) Brand Protect (Canada) CLUSIT CNNIC – China Internet Network Information Center (China) COE (Council of Europe, EU) CSIS (Center for Strategic and International Studies, WW) CYBEX (Spain) EUROPOL FBI Academy (Quantico, USA) FBI IC3, Cyber Division (Washington DC, USA) GCSC (Global Center for Securing Cyberspace Cyberspace, Canada) Google (WW) INTERPOL ITU – International Communication Union (Switzerland) Immunity (USA) JP CERT (Japan) KPMG (EU) McAfee (WW) ESET (WW) LPI Canada @ Mediaservice.net c oso t (WW) ( ) Microsoft MyCERT (Malaysia) NAUSS (Naif Arab University for Security Sciences, Saudi Arabia) NCIS ((USA)) OpenBSD Development Team PayPal (USA) Polish Police Academy, Szczytno (PL) @ PSS RACVIAC SE (Croatia) RSA (USA) Team CYMRU (WW) Trend-Micro (WW) Verisign (WW) UNICRI & Cybercrime Overview dei progetti UNICRI contro il cybercrime (GCU) Hackers Profiling Project (HPP) SCADA & sicurezza delle ICN (CNIs) Formazione su Digital Forensics e SCADA Security tecniche di investigazioni informatiche Corsi ONU sulla Cybersecurity Digital Anti-paedophilia (with ITU: COP) Spam Analysis (economical model and organized crime, with ITU) Digital Forensics i Digital Forensics L’uso di metodi L’ t di scientifici i tifi i (identificazione, (id tifi i raccolta, validazione, preservazione, analisi, interpretazione, documentazione e presentazione delle evidenze digitali derivate da “fonti digitali”) che hanno lo scopo di facilitare la ricostruzione di azioni non autorizzate, dannose o di eventi criminali. Digital Forensics • IInizialmente i i l t lla Digital Di it l Forensics F i è stata t t usata solo per i crimini tecnologici. ‒Intrusioni informatiche; ‒Web defacement; ‒Danneggiamento/Furto di dati; ‒Pedofilia f online. • Neglili altri N lt i casii i computer t sono stati t ti semplicemente ignorati (e non solo quelli 12 Digital Forensics • Alcunii casii ““non iinformatici” Al f ti i” che h abbiamo bbi risolto negli ultimi anni: ‒Frode telefonica: analisi di dispositivi “GSM-box”-like al fine di individuare il Modus Operandi tecnologico ed il modello di business criminale. ‒Spionaggio Spionaggio Industriale: supporto ad azienda nella risoluzione e conseguenti azioni in Tribunale (furto di disegni e progetti industriali). ‒Antipedofilia digitale: analisi di evidence elettroniche a supporto dell’AA.GG., verso PC e smartphone. 13 Digital Forensics • È quindi lampante come l’analisi delle evidenze digitali si rende necessaria anche per crimini che nulla hanno a che fare con la tecnologia. • Dal palmare della Lioce al delitto di Garlasco…sino agli atti di bullismo su Facebook ed altre cronache recenti (il laptop di Brenda nel caso Marrazzo, etc..) • Non sono stati portati all’attenzione del grande pubblico molti altri casi, risolti per merito delle evidenze id di digitali. it li 14 Digital Forensics • Adesso la Digital Forensics “è di moda”!!! • Questo è un bene in quanto vi è: ‒Maggiore scambio di informazione; ‒Nuovi N i tool t l e nuove tecnologie; t l i ‒Un più rapido sviluppo; ‒Una maggiore sensibilità al problema; • Questo è un male perché: ‒Tutti vogliono lanciarsi in questo mercato; ‒Ci Ci sono molti lti ““presunti ti esperti”, ti” iimprovvisati i ti e molto lt spesso privi i i dei necessari skill, strumenti, laboratori ed esperienza sul campo; ‒Tutti promettono tool “facili da usare”; ‒Il Il fatto di scrivere “forensics” forensics su un programma di 10 anni fa non lo rende necessariamente più adatto allo scopo. 15 Digital Forensics: le regole d d’oro oro • Affidarsi a p professionisti di comprovata p esperienza; p ; • Non richiedere all’esperto p informatico ciò che non è tecnicamente possibile; • Non chiedere di “fabbricare prove”; • Richiedere il possesso di certificazioni di settore, nazionali ed internazionali,, e l’appartenenza pp ad Associazioni di Categoria (CLUSIT, IISFA, etc.). 16 Mobile Forensics Mobile Forensics/1 Il cellulare è oggi lo strumento più personale ed d “i “intimo” ti ” che h cii sia, i ed d è sempre addosso dd alla persona. …In un corso di formazione a LEAs europei p (Accademia di Polizia di Szczytno, Polonia), ho chiesto in aula ai poliziotti presenti: “Who could lend me his phone to be analyzed?” “Use Use your own” own has been the global answer ☺ 18 Mobile Forensics/2 Inoltre, oltre ai mobile phone, è sempre più comune trovare t sistemi i t i di digitali it li personali: li PDA; Sistemi multimediali (iPod, PSP, DS, Fotocamere digitali); Smartphone (Blackberry, (Blackberry iPhone, iPhone HTC, HTC …); ); Telefoni cellulari; Dispositivi GPS (TomTom, Garmin, …) 19 Mobile Forensics • L’esame di tali dispositivi comporta quindi l’accesso ad una pletora di informazioni personali. • Specialmente i cellulari e gli smartphone contengono informazioni che possono essere vitali in diverse indagini. E comunque restituire un profilo abbastanza chiaro dell’utilizzatore. • La semplice “richiesta dei tabulati” non basta più è evidente. più…è evidente 20 Cosa possiamo trovare • Infatti, solo l’esame del terminale e della scheda h d SIM/USIM può ò ffornire: i SMS/MMS; Foto; Video; Informazioni relative alle applicazioni; Posta Elettronica; Dati GPS Log di IM chats Etc… 21 Situazione attuale • L'Italia L'It li è ffra i paesii con il più iù alto lt numero di dispositivi mobile e schede SIM/USIM posseduti da ogni utente. • Si sta tentando di definire delle Best Practice simili a quelle adottate per i computer, considerate le potenzialità degli attuali tt li di dispositivi iti i mobili. bili 22 Struttura di un dispositivo mobile • “CPU” con M Memoria i IInterna t (i (in genere poche decine di MB); • Scheda di memoria rimovibile o aggiuntiva; • SIM o USIM (l’equivalente (l equivalente di una carta SIM nel protocollo UMTS). 23 Subscriber Identity Module • La SIM è un tipo di Smart Card, che permette al mobile device di avere le chiavi di cifratura per connettersi alla rete. •E E’ caratterizzata da due codici: ICCID (Integrated Circuit Card Identification), un codice di venti cifre che identifica univocamente la SIM; IMSI (International Mobile Subscriber Identity), Identity) che identifica l’utente all’interno della rete. 24 Caratteristiche di una SIM • Informazioni I f i i utili tili d da recuperare: ‒ICCID; ‒IMSI; ‒Ultima cella agganciata; ‒Elenco chiamate, Rubrica, SMS (anche cancellati); • Protetta tramite codici PIN e PUK; ‒ Il PUK può essere conosciuto dall’operatore 25 Il Dispositivo Mobile • Il NIST classifica l ifi i ttelefoni l f i cellulari ll l i iin ttre diverse categorie: 1. Basic Phone 2 Advanced Phone 2. 3. Smart Phone 26 Repertamento • Segnalare S l lla posizione. i i • Documentare lo stato del dispositivo. • Se rinvenuto acceso, riportare e fotografare i dati e le informazioni presenti sullo schermo. • Cavi vari ed eventuali memory card. card • Imballaggio originale (Kit scheda SIM operatore), t ) in i particolare ti l d della ll SIM SIM. 27 Preservazione • L’importanza L’i t di iisolare l il device; d i • Modalità di isolamento: ‒Spegnimento del device; ‒Jammer; ‒Faraday’s bag; ‒SIM clone; • Problemi: ‒Mantenere il device alimentato;; ‒Rimozione della batteria; 28 Casi pratici • Un U consulente l t recupera un P Palmare l P Palm l V durante un sequestro. Lo consegna al PM per farlo analizzare un mese dopo. • Peccato... la batteria si è scaricata e i dati sono stati persi persi. 29 Casi pratici • Durante D t una perquisizione, i i i viene i sequestrato e repertato un palmare; • Non viene ne spento, ne isolato; • Durante la perquisizione perquisizione, l’indagato l indagato si è premunito di cancellare i dati via Wi-Fi. 30 Acquisizione e p Dati Recupero • A differenza di un normale device, ci sono molti altri fattori che entrano in gioco durante ll’acquisizione acquisizione della memoria interna di un telefono cellulare: File system proprietari; Sistemi operativi embedded a seconda di produttore e modello;; Software di analisi disponibili in commercio. • Risulta pertanto impossibile applicare le metodologie tradizionali. 31 Acquisizione e p Dati Recupero • Due D modalità d lità di acquisizione; i i i • Acquisizione Fisica: Estrazione del chip e lettura del contenuto; Accertamento non ripetibile; Difficile l’interpretazione del file system. • Acquisizione q Logica: g Livello di astrazione più alto; Slack space p e Unassigned g Space p non recuperabili; Disomogeneità g di risultati tra tool diversi. 32 Acquisizione e p Dati Recupero • L’acquisizione L’ i i i llogica i prevede, d quindi, i di il collegamento del device ad un PC o ad un hardware dedicato. • Collegamenti possibili (in ordine dal meno al più invasivo): ‒Cavo; ‒IR IR (infrarossi); ‒BT (Bluetooth). 33 Analisi • Device D i rinvenuto i t spento: t Rimuovere SIM ed eventuale memory card; Analisi SIM; Analisi memory card; Clonare SIM ed inserirla nel device; Collegare il device al software/hardware; Estrarre i dati. • Ricordarsi la preservazione. 34 Analisi • Device D i rinvenuto i t acceso: ‒Preservazione del device: isolamento ed alimentazione; ‒Collegare il telefono al software/hardware; ‒Estrarre i dati; ‒Analizzare SIM e memory card. • Opzione analisi manuale: ricordarsi di videoregistrare. 35 Mobile Forensics • Diversi Di i sistemi, i t i di diverse soluzioni, l i i stessi t i principi e metodologia: iPhone Android BlackBerry 36 iPhone Forensics • Introdotto I t d tt nell 2007, 2007 ha h superato t BB diventando il secondo smartphone più presente sul mercato (Nokia il primo); • Diverse possibilità di connettività ‒GSM/EDGE, UMTS ‒WiFi WiFi, GPS, GPS Bluetooth • Diverse capacità hardware ‒Sensori di posizione posizione, velocità e prossimità ‒Videocamera incorporata 37 iPhone Forensics 38 iPhone Forensics • Tre T modalità d lità di acquisizione i i i ed d analisi: li i ‒Acquisizione dei dati dai backup presenti sul sistema con cui il dispositivo si sincronizza; ‒Acquisizione logica del file system utilizzando il protocollo di Apple per il sync; ‒Acquisizione fisica, creando una copia bit-a-bit del file system. 39 iPhone Forensics • Acquisizione A i i i B Backup k Windows XP: C:\Documents and Settings\(username)\Application Data\Apple Computer\MobileSync\Backup\ Windows Vista: C:\Users\(username)\AppData\Roaming\Apple Computer\MobileSync\Backup\ Mac OS X: /Users/(username)/Library/Application Support/MobileSync/Backup/ 40 iPhone Forensics ‒Tre T file fil .plist li t (file (fil di ttesto) t ) • Status.plist, che ci dice lo stato dell’ultimo sync • Info.plist, Info plist informazioni sull’iPhone sull iPhone • Manifest.plist, lista di tutti i file copiati durante il backup, p, modification time e hash ‒ Diversi file .mdbackup, p, che contengono g i dati effettivamente salvati. 41 iPhone Forensics • Acquisizione A i i i llogica i ‒ Quanto e cosa si trova dipende, purtroppo, dal tool utilizzato. ‒ Alcuni di questi: • UFED CelleBrite • Oxygen Forensics Suite • XRY/XACT • Paraben Device Seizure •… 42 iPhone Forensics: Case Studyy • Una tipologia p g di metadati molto interessante è quella fornita dal formato Exif (Exchangeable image file format); • Exif è una specifica per il formato di file immagine utilizzato dalle fotocamere digitali ed anche dagli smartphone; • Si appoggia su formati già esistenti come JPEG, TIFF e altri ai quali aggiunge dei metadati t d ti (tag). (t ) 43 iPhone Forensics: Case Studyy • Esempi di metadati Exif: – Data ed ora in cui è stata scattata la foto; – Impostazioni fotocamera (modello, produttore, orientazione, apertura, velocità scatto, etc); – Miniatura dell’immagine dell immagine per ll’anteprima anteprima sul display della macchina digitale; – Location Information tag: coordinate GPS in formato GPX; – Etc… 44 iPhone Forensics: Case Studyy •L L’11 11 Gennaio 2010 viene pubblicato un post da fonte anonima che dice di aver anonima, avuto una giornata pesante a l lavoro e volerla l l concludere l d i in maniera “particolare”; • Pubblica anche una foto, ma afferma a e a c che e non o rivelerà ee à dove lavora… 45 iPhone Forensics: Case Studyy • La foto pubblicata raffigura tre piste di (presumibilmente) cocaina; • Qualche Q l h utente t t particolarmente curioso ha provato ad estrarne i etadat e e… metadati 46 iPhone Forensics: Case Studyy Make Camera Model Name Orientation X Resolution Y Resolution … Exif Version Date/Time Original Create Date … GPS Altitude GPS Latitude GPS Longitude GPS Position Image Size : : : : : Apple iPhone 3GS Horizontal (normal) 72 72 : 0221 : 2010:01:11 18:05:47 : 2010:01:11 18:05:47 : : : : : 49 m Above Sea Level 38 deg 53' 52.20" N 77 deg 2' 12.00" W 38 deg 53' 52.20" N, 77 deg 2' 12.00" W 450x600 47 iPhone Forensics: Case Studyy • Vera o falsa che sia la foto appena analizzata, dimostra comunque q l’utilità e la “pericolosità” delle informazioni che possono p essere contenute nei metadati… e negli g smartphone. • In ogni g caso,, alla corte di Obama questo lo avranno sicuramente capito p ;-)) http://blog.savejersey.com/2010/01/12/white-out-cocaine-in-theobama-white-house.aspx 48 Android Forensics • Basato B t su Kernel K l Linux Li 26 2.6 • SQLite (un “mini” Data-Base) per il salvataggio dei dati • Dalvik VM (Virtual Machine) ‒ Ogni applicazione gira all’interno di una VM separata; ‒ AndroidManifest.xml contiene la descrizione dell applicazione. dell’applicazione. 49 Android Forensics 50 Android Forensics • Diverse Di opzioni i i per acquisire i i il Googlefonino; G l f i ‒Android Debug Bridge • Interagisce con il demone adbd • # adb push|pull <src> <dest> • Possibilità di inviare classici shell commands ‒Hardware Hardware device • UFED CelleBrite • XRY/XACT • Paraben 51 BB Forensics • Acquisizione A i i i ed d analisi li i via i software… ft BlackBerry Desktop Software BlackBerry Simulator Amber Blackberry Converter • … e via hardware ‒ UFED CelleBrite ‒ Paraben Device Seizure ‒ Oxygen Forensics Suite ‒ XRY/XACT 52 Conclusioni • Gli studi t di riguardanti i d ti l’l’analisi li i d delle ll SIM sono decisamente avanti; ‒Struttura del “file system” nota; • Purtroppo P t i dispositivi di iti i moderni d i non utilizzano più la SIM per lo storage di informazioni; • Problematiche nell’acquisizione nell acquisizione fisica fisica. 53 Conclusioni • Disomogeneità g dei risultati tra tool differenti; • Irripetibilità della perizia; • Non solo telefoni cellulari/smartphones: Lettori multimediali (iPod); Console portabili (PSP); Dispositivi di Navigazione Satellitare (TomTom, per verificare le “destinazioni”: per esempio, i pusher-taxisti, etc..); etc… 54 Domande? Contatti - Domande? Raoul Chiesa E-mail: [email protected] Sito ufficiale Sit ffi i l di HPP : http://www.isecom.org/hpp Questionari HPP: http://hpp.recursiva.org UNICRI Cybercrime Home Page: http://www.unicri.it/wwd/cyber p y _crime/index.php p p http://www.unicri.it Grazie per l’attenzione!