Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

DALL`ACQUISIZIONE DEL SUPPORTO ALL`ANALISI DEI DATI E

DALL’ACQUISIZIONE DEL
SUPPORTO ALL’ANALISI
DEI DATI E DEI TABULATI DI
TRAFFICO
Giuseppe DEZZANI (partner) – Socio IISFA
Studio Associato Digital Forensics Bureau
www.difob.it
Argomenti
¡  Repertazione di un dispositivo mobile
¡  Le fasi dell’esame tecnico
¡  I Tabulati e le aree di copertura
www.difob.it
La Repertazione
Ragioniamo in base alla tipologia di apparato che
dobbiamo sottoporre a sequestro, in ogni caso
richiedere immediatamente i PIN / Password di
protezione (ed inserirli nel verbale)
Telefono tradizionale : Rimozione della batteria e
assicurazione in box idoneo
SmartPhone : Valutare la situazione
www.difob.it
La Repertazione
(errori ricorrenti)
Attenzione alle APP di controllo remoto degli
SmartPhone ! Ad oggi sono disponibili di default su
tutti i modelli da parte del produttore.
Si può effettuare il factory reset da remoto
Attenzione alle funzioni automatiche pianificate
www.difob.it
La Repertazione
(SmartPhone)
Android :
Per moltissimi modelli è possibile eludere la
protezione con il segno di sblocco
Meno probabile la possibilità di eludere pin /
password
Modelli recenti sono inaccessibili senza conoscere
pin / password
www.difob.it
La Repertazione
(SmartPhone)
Iphone:
È ormai noto che è possibile eludere il PIN fino al
modello 4, dal 4S non è possibile accedere.
Verificare la presenza di computer nella
disponibilità dell’indagato cui lo smartphone sia
stato connesso.
www.difob.it
Iphone Lockdown
OS X
¡  /private/var/db/lockdown
WinXP
¡  C:\Documents and Settings\All Users\Application
Data\Apple\Lockdown
Windows Vista, 7 e 8
¡  C:\ProgramData\Apple\Lockdown
www.difob.it
Iphone iOS 8
-  Assicurarsi che il dispositivo rimanga accesso e che abbia
una carica sufficiente;
-  Attivare “modalità Aereo”
-  Rimuovere la SIM
-  Assicurare il device in box
È indispensabile avere il codice di protezione o il “pairing
certificate” che è contenuto nel PC. La nuova versione di
iOS ha integrato la funzione “Protect Until First User
Authentication."
www.difob.it
Iphone iOS 8
https://www.blackbagtech.com/blog/2014/09/24/ios-8and-its-impact-on-investigations/
L’acquisizione del computer è utile anche per l’estrazione di
eventuali backup.
www.difob.it
Iphone & Apple
Apple and Physical Device Data Extraction
¡  As of the release of iOS 8, Apple has publicly
notified law enforcement that the company is
not technically capable of obtaining any
information from an iOS 8 device. Apple will not
accept an iOS 8 device for any reason. However,
any iOS 7 and earlier device can still be sent to
Apple for data extraction.
www.difob.it
Cosa possiamo chiedere a
Apple
Apple ha pubblicato nel Maggio 2014 le linee
guida contenente i dati da loro acquisiti e
memorizzati per la gestione dei servizi sui propri
dispositivi e le modalità di acquisizione / richiesta
da parte dell’ Autorità Giudiziaria :
http://images.apple.com/privacy/docs/legalprocess-guidelines-us.pdf
www.difob.it
Cosa possiamo chiedere a
Apple
Find My Iphone
Apple cannot activate this feature on users’
devices upon a request from law enforcement. The
Find My iPhone feature must have been previously
enabled by the user for that specific device. Apple
does not have GPS information for a specific
device or user.
www.difob.it
Cosa possiamo chiedere a
Apple
Find My Iphone
Find My iPhone connection logs may be available
and can be obtained with a subpoena or greater
legal process. Find My iPhone connection logs are
available for a period of approximately 30 days.
Find My iPhone transactional activity for requests to
remotely lock or erase a device may be available
with an order under 18 U.S.C. § 2703(d) or a court
order with the equivalent legal standard or a
search warrant.
www.difob.it
Cosa possiamo chiedere a
Apple
MAC Address: A Media Access Control address
(MAC address), is a unique identifier assigned to
network interfaces for communications on the
physical network segment. Any Apple product with
network interfaces will have one or more MAC
addresses, such as Bluetooth, Ethernet, Wi- Fi, or
FireWire. By providing Apple with a serial number
(or in the case of an iOS device, IMEI, MEID, or
UDID), this information may be obtained with a
subpoena or greater legal process.
www.difob.it
Cosa possiamo chiedere a
Apple
¡  UDID: The unique device identifier (UDID) is a
sequence of 40 letters and numbers that is
specific to a particular iOS device. It will look
similar to following:
2j6f0ec908d137be2e1730235f5664094b831186.
www.difob.it
Cosa possiamo chiedere a
Apple
-  Requests for Apple Retail Store Surveillance Videos
(conservati per circa 3 giorni)
-  Game Center : Connection logs with IP addresses
can be obtained with a subpoena or greater legal
process.
-  iOS Device Activation : When a customer activates
an iOS device or upgrades the software, certain
information is provided to Apple from the service
provider or from the device, depending on the
event. IP addresses of the event, ICCID numbers,
and other device identifiers may be available. This
information can be obtained with a subpoena or
greater legal process.
www.difob.it
Cosa possiamo chiedere a
Apple
-  Sign-on Logs : Sign-on activity for a user or a
device to Apple services such as iTunes, iCloud,
My Apple ID, and Apple Discussions, when
available, may be obtained from Apple.
-  My Apple ID and iForgot Logs : My Apple ID and
iForgot logs for a user may be obtained from
Apple. My Apple ID and iForgot logs may include
information regarding password reset actions.
Connection logs with IP addresses can be
obtained with a subpoena or greater legal
process.
www.difob.it
Cosa possiamo chiedere a
Apple
-  FaceTime : FaceTime communications are endto-end encrypted and Apple has no way to
decrypt FaceTime data when it is in transit
between devices. Apple cannot intercept
FaceTime communications. Apple has FaceTime
call invitation logs when a FaceTime call
invitation is initiated. These logs do not indicate
that any communication between users actually
took place. Apple has no information as to
whether the FaceTime call was successfully
established or duration of a FaceTime call.
FaceTime call invitation logs are retained up to
30 days.
www.difob.it
Cosa possiamo chiedere a
Apple
Dove chiediamo ?
-  [email protected]
-  [email protected]
www.difob.it
Cosa possiamo chiedere a
RIM
Le comunicazioni BES (BlackBerry Enterprise Server)
possono avvenire attraverso il server centrale di
RIM (Canada) oppure tramite un BES installato
presso l’azienda (grandi utenti)
-  Intercettazione dei dati che transitano su
piattaforma BES (BBM, email)
-  Log trattenuti per 30 giorni (richiesti su decreto)
www.difob.it
Cosa possiamo chiedere a
RIM
[Data that may be helpful may include transactional
logging data, which is retained by BlackBerry for
troubleshooting and quality assurance purposes
(Please be advised that BlackBerry does not retain the
content of BlackBerry Messenger conversations). Furthermore we may also be able to provide basic
subscriber data, which can be used to assist the telco
carrier]
PSO Italy [email protected]
PSO On-call [email protected]
[emergenze]
Lawful Access [email protected]
www.difob.it
Cosa possiamo chiedere a
GOOGLE per Android
GOOGLE non ha mai emesso un documento
ufficiale di cosa è disponibile della piattaforma
Android
¡  Phone Number: (001) 650-253-3425
¡  Fax Number: (001) 650-249-3429
¡  E-mail Address: [email protected]
www.difob.it
Cosa possiamo chiedere a
GOOGLE per Android
In corso di un’indagine per omicidio, ho saputo da
Google ed ottenuto dati cancellati da cartella
Gdrive.
-  Google dichiara che a seguito di cancellazione i
dati sono ancora disponibili per il recupero “per
alcuni giorni”
www.difob.it
Cosa possiamo chiedere a
SAMSUNG
Device information : hardware model, IMEI number and other unique
device identifiers, MAC address, IP address, operating system version,
and settings of the device you use to access the Services.
Log information : such as the time and duration of your use of the
Service, search query terms you enter through the Services, and any
information stored in cookies that we have set on your device.
Location information : such as your device’s GPS signal or information
about nearby WiFi access points and cell towers that may be
transmitted to us when you use certain Services.
www.difob.it
Cosa possiamo chiedere a
SAMSUNG
Voice information: such as recordings of your voice that we make (and
may store on our servers) when you use voice commands to control a
Service. (Note that we work with a third-party service provider that
provides speech-to-text conversion services on our behalf. This provider
may receive and store certain voice commands.)
Other information: about your use of the Services, such as the apps you
use, the websites you visit, and how you interact with content offered
through a Service.
www.difob.it
Cosa possiamo chiedere a
SAMSUNG
Legal Counsel SAMSUNG ELECTRONICS ITALIA SPA
Via C. Donat Cattin, 5 - 20063
Cernusco sul Naviglio (MI) - Italy
Phone +39.02.921.89.544
www.difob.it
Cosa possiamo chiedere a
MICROSOFT
????
Non ho ottenuto alcun tipo di risposta
www.difob.it
L’esame tecnico
•  Acquisizione Logica
•  Acquisizione del File System
•  Acquisizione Fisica
•  Chip Off
www.difob.it
L’esame tecnico :
Acquisizione Logica
L’acquisizione a livello logico da un dispositivo mobile è una copia bitfor-bit dei ‘logical storage objects’.
I “Logical storage objects” sono i files e le directories che risiedono
nella memoria di massa del dispositivo a livello di file system. In questo
tipo di acqisizione i tools comunicano con il device e richiedono le
informazioni tramite il sistema operativo del target tramite le API
(Application Programming Interface). Di fatto è molto simile a quanto
non fanno i tools prodotti dal singolo costruttore per la sincronizzazione
dei dati con un PC.
I dati vengono estratti impartendo al device comandi riconosciuti dal
sistema operativo.
Questo tipo di estrazione non produce normalmente la possibilità di
recuperare dati eliminati.
www.difob.it
L’esame tecnico:
Acquisizione del File System
Gli strumenti Mobile su cui è presente un sistema operativo come
Android, iOS Windows Phone o similari permettono l’acquisizione del file
system, l’acquisizione avviene in modo similare a quella logica, ma viene
acquisita l’intera struttura del file system.
Ad esempio dove i dati sono salvati in data base SQLite quanto il dato
viene cancellato, normalmente il dato non viene sovrascritto. Di solito il
dato è marcato come “cancellato”, permettendo in questo modo il
recupero, fino all’eventuale successiva sovrascrittura.
Questo tipo di analisi permette anche di accedere al file system.
www.difob.it
L’esame tecnico:
Acquisizione Fisica
L’acquisizione a livello fisico è di fatto la copia bit-for-bit della memoria.
È la modalità che più si avvicina alla computer forensic.
La successiva analisi permette l’estrazione ed il recupero (ove possibile)
di dati cancellati.
www.difob.it
L’esame tecnico:
Chip-off
•  Sarà oggetto del
prossimo intervento
www.difob.it
L’esame tecnico:
Chip-off
Attività di acquisizione
del dispositivo mobile
è da considerarsi
ripetibile o irripetibile ?
www.difob.it
Iphone Pin Brute Force
-  IP-Box
-  https://youtu.be/meEyYFlSahk
-  Apple ha inserito una fix nell’ iOS 8.1.1
www.difob.it
Iphone Pin Brute Force
- 
www.difob.it
Iphone Pin Brute Force
- 
www.difob.it
Iphone Pin Brute Force
- 
www.difob.it
L’acquisizione con strumenti
Commeriali:
www.difob.it
L’acquisizione con strumenti
Open Source (iOS):
h"p://www.libimobiledevice.org supporta iPhone®, iPod Touch®, iPad® and Apple TV®N non richiede jailbreak e non dipende da librerie esterne E’ in grado di: leggere informazioni circa il disposi1vo eseguire backup/restore del disposi1vo Montare parte del filesystem (come iFunBox) gesDre icone e applicazioni leggere addressbook/calendars/notes e bookmarks (uDlizzando libgpod) sincronizzare musica e video Può essere considerata quasi un’acquisizione filesystem www.difob.it
L’acquisizione con strumenti
Open Source (iOS):
Latest Release: 1.2.0
Supporta :
iPod Touch 1G/2G/3G/4G/5G
iPhone 1G/2G/3G/3GS/4/4S/5/5C/5S/6/6+
iPad 1/2/3/4/Mini/Mini 3/Air/Air 2
Apple TV 2G/3G
running up to firmware 8.2.0
www.difob.it
L’acquisizione con strumenti
Open Source (Android):
Può essere considerata quasi un’acquisizione filesystem
Se esegue tramite il tool ADB, Android Debug Bridge.
http://developer.android.com/tools/help/adb.html
Utility command line inclusa nell’SDK Google Android che permette di
comunicare con l’emulatore Android o un device connesso via USB
per:
•  Controllare il dispositivo via USB
•  Copiare file da e verso il dispositivo
•  Installare e disinstallare applicazioni
•  Eseguire comandi da shell / Fare debug di applicazioni
•  Backup/restore (Android >= 4.0)
www.difob.it
L’acquisizione con strumenti
Open Source:
Interessante documento sull’acquisizione degli strumenti
mobile attraverso l’impiego di software Open Source :
https://www.securitysummit.it/static/files/
atti_milano_2014/20/20.03.2014_DALCHECCO.pdf
www.difob.it
Casi Particolari (LUMIA):
I LUMIA 800 E 710 COMPATIBILI CON LO SBLOCCO
Per scoprire se il proprio Nokia Lumia 800 o 710 è sbloccabile basta
metterlo in download mode:
http://www.windowsblogitalia.com/2012/04/guida-per-sbloccare-inokia-lumia-800-e-710-con-custom-rom/
www.difob.it
Casi Particolari (LUMIA):
-  Scaricate la ROM per il vostro Lumia
-  Entrate nel menu Qualcomm premento contemporaneamente i
tasti del volume e il tasto power (partendo dal telefono spento) e
collegate il telefono al computer.
-  Nel prompt di dd (in Linux; non abbiamo conferme che funzioni
anche in Windows) digitate dd if=./os-new.nb of=/dev/sdX9 dove X
è il numero o la lettera corrispondente al Nokia Lumia riconosciuto
dal sistema.
www.difob.it
Casi Particolari (LUMIA):
-  Ora dovrete eseguire un hard reset del Lumia: tenete premuto il
tasto di accensione per 10 secondi per uscire dal menu Qualcomm.
-  Premete il tasto power, il tasto per abbassare il volume e il tasto della
fotocamera contemporaneamente fino a quando il Lumia non
vibrerà.
-  Dopo la vibrazione lasciate solo il tasto di accensione e tenete
premuti ancora il tasto per abbassare il volume e quello della
fotocamera per 5 o più secondi.
-  Al riavvio il vostro Lumia avrà l’Interop-Unlock!
www.difob.it
L’analisi :
Parsing di immagine proveniente da Chip-off con UFED:
www.difob.it
L’analisi :
www.difob.it
L’analisi :
Parsing di immagine proveniente da Chip-off con XRY:
www.difob.it
L’analisi :
Parsing di immagine proveniente da Chip-off con XRY:
www.difob.it
L’analisi :
Parsing di immagine con IEF :
www.difob.it
L’analisi :
Parsing di immagine con IEF :
www.difob.it
L’analisi :
Gli strumenti commerciali puntano all’estrazione degli artefatti
principali, e sicuramente più utili :
- 
- 
- 
- 
Registro chiamate
Chat
Files multimediali
…
www.difob.it
L’analisi :
Esempi di analisi del file system / dump fisico effettuati
manualmente al fine di individuare informazioni di cui gli strumenti
commerciali non effettuano il parsing :
Estratti da LOG di Samsung Android :
[AAAA.M.GG - HH:MM:SS] Local time is changed....
www.difob.it
L’analisi :
[AAAA.M.GG - HH:MM:SS] Power Off BmDirectShutDown() is called:
LPM Mode TA_REMOVED or USB_REMOVED..
[AAAA.M.GG - HH:MM:SS] Power on : Normal booting....
[AAAA.M.GG - HH:MM:SS] Power off : Normal Mode....
[AAAA.M.GG - HH:MM:SS] Power on : Normal booting...
www.difob.it
L’analisi :
[AAAA.M.GG - HH:MM:SS] Create New Alarm! (type=1, hAlarm=4,
dueTime=2014/1/23 06:00, repeat type=254, snooze type=1, snooze
count = 1)
[AAAA.M.GG - HH:MM:SS] OrgAppAlarmPopupTimerCallback is
called
[AAAA.M.GG - HH:MM:SS] Snooze Alarm!
(type=1, hAlarm=-1,
dueTime=2014/1/22 06:01, repeat type=254, snooze type=1,
curSnoozeCnt = 1, setSnoozeCnt=1)
www.difob.it
L’analisi :
www.difob.it
L’analisi :
www.difob.it
L’analisi (DropBox Event) :
start=1426914120913
end=1426915921146
www.difob.it
L’analisi (WIFI) :
ctrl_interface=eth0
update_config=1
device_name=Wireless Client
manufacturer=Samsung Electronics
device_type=1-0050F204-1
network={
ssid="Telecom-63693617"
psk="SfwamryVpSw417huxPMACiIk"
key_mgmt=WPA-PSK
priority=1
}
www.difob.it
Localizzazione :
SS7, anche noto come Signaling System #7, è un set standardizzato
di protocolli di segnalazione usati nelle reti telefoniche PSTN (Public
Switched Telephone Network) mondiali per gestire le chiamate.
Il principale obiettivo di SS7 è quello di gestire l'attivazione e la
chiusura delle chiamate. Altri utilizzi di questo sistema di
segnalazione sono la gestione dei servizi SMS (Short Message
Service), la fatturazione con sistemi prepagati, la traduzione del
numero chiamato o chiamante (number translation) e una ampia
gamma di servizi aggiuntivi ormai appannaggio dei clienti di molte
delle reti telefoniche mondiali.
www.difob.it
Localizzazione :
HLR Lookup (Home Location Register) è un servizio attraverso il quale
l'utente registrato può controllare lo stato di un numero cellulare in tutto il
mondo.
In realtà, con questo servizio è possibile analizzare perché l'invio di un
messaggio è fallita o è in sospeso. È inoltre possibile controllare in quale
operatore di rete un numero di cellulare appartiene.
Come forse saprete, non possiamo essere sicuri in quale rete un numero
di cellulare (MSISDN) appartiene. Le persone spesso mantengono il loro
numero di telefono e cambiano operatore, situazione ben nota come
portabilità del numero cellulare.
www.difob.it
Localizzazione :
“home location register” (HLR) è costituito da un data base che
contiene ogni dato di un numero telefonico GSM autorizzato ad
accedere alla rete GSM(oltre ad altre informazioni).
Il DB HLR è dislocato presso ogni operatore telefonico, ed
interconnesso con gli altri, e contiene i dettagli di ogni SIM card
rilasciata.
Esistono servizi per interrogare il DB HLR e sapere se un numero è
attivo, e la sua localizzazione. Es. : www.inviosmart.it
www.difob.it
Localizzazione :
www.difob.it
Localizzazione :
[is_roaming] - Roaming indication
[roaming_country_prefix] - The country code where number is
[roaming_country_name] - Roaming country description
[roaming_operator_prefix] - Roaming operator's dialing code
[roaming_operator_name] - The name of the roaming operator
www.difob.it
Tabulati telefonici
Fino a Ieri :
24 Mesi per il traffico telefonico
30 giorni per le chiamate senza risposta
12 Mesi per il traffico dati
Si può richiedere in base al Numero telefonico / IMEI dell’apparato
telefonico : fare sempre la verifica incrociata
Richiedere sempre anche il traffico dati
www.difob.it
Tabulati telefonici
www.difob.it
Tabulati telefonici
La condizione U3/3 si verifica nei casi in
cui l’apparato telefonico di
destinazione della chiamata riceve la
chiamata ma l’utente non risponde,
lasciano trascorrere il periodo time out
di 60”
La condizione U3/2 si verifica nei casi in
cui il mittente della chiamata termina
la connessione con il tasto di chiusura
della chiamata
www.difob.it
LAC
http://www.open-electronics.org/celltrack/
www.difob.it
LAC
www.difob.it
Traffico Dati
blackberry.net
348XXXXX
20/12/XXXX19:00:41
20/12/XXXX19:30:42
N (GPRS)
durata
3572XXXXXXXXXXXXX
222 10 38020 18660 [LAC]
www.difob.it
Copertura BTS
www.difob.it
Copertura BTS
www.difob.it
Copertura BTS
www.difob.it
Copertura BTS
www.difob.it
!
Copertura BTS
www.difob.it
Grazie !
Giuseppe DEZZANI (partner)
Studio Associato Digital Forensics Bureau
www.difob.it
Documenti correlati
La preistoria - puntoBregaglia
La preistoria - puntoBregaglia
UN APPLE AL GIORNO
UN APPLE AL GIORNO
Tante novità all`evento Apple
Tante novità all`evento Apple
Locandina MiniTraining Apple - MUSICARTE
Locandina MiniTraining Apple - MUSICARTE
Diapositiva 1 - Paolo Ruggeri
Diapositiva 1 - Paolo Ruggeri
Sistemi Operativi di Rosatelli Daniele 2B File
Sistemi Operativi di Rosatelli Daniele 2B File
Diapositiva 1 - Scienze a scuola
Diapositiva 1 - Scienze a scuola
Diapositiva 1 - Paolo Ruggeri
Diapositiva 1 - Paolo Ruggeri
Il nuovo sistema operativo di Apple blocca la pubblicità. L`iOS9
Il nuovo sistema operativo di Apple blocca la pubblicità. L`iOS9
InMobi Mobile Insights Report Luglio
InMobi Mobile Insights Report Luglio
Pensiero unico informatico nella scuola ticinese
Pensiero unico informatico nella scuola ticinese
apri/salva file
apri/salva file
Scarica