Mobile Forensics
Total Page:16
File Type:pdf, Size:1020Kb
Mobile Forensics Tecniche e strumenti per l'acquisizione e l'analisi di dispositivi mobili Mattia Epifani – Litiano Piccin IISFA L’International Information Systems Forensics Association (IISFA) è un organizzazione senza scopo di lucro con la missione di promuovere la disciplina dell’information forensics attraverso la divulgazione, l’apprendimento e la certificazione. L’associazione si compone di : una Board of Directors che rappresenta la cabina di regia e di governo della stessa . Di un Comitato Scientifico ed un Comitato Tecnico, composti da esponenti di rilievo ed esperti del settore i quali, volontariamente, contribuiscono al raggiungimento degli obiettivi dell’associazione. © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 2 IISFA - Obiettivi Rendere disponibile un ambiente professionale e stimolante per lo scambio di idee e di informazioni relative alle tematiche del Forensics tra esperti del settore essendo anche il punto di riferimento per tutti coloro che si avvicinano a tali argomenti . Combinare le esperienze reali con le conoscenze dei professionisti dell’information security. Creare un network di relazioni tra i membri dell’associazione, favorendo la nascita di opportunità per il miglioramento e la crescita professionale. Difendere la cultura della professionalità anche attraverso la diffusione della certificazione CIFI. © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 3 IISFA - Formazione certificazione La formazione dei soci è uno dei punti chiave dello statuto dell’associazione IISFA. L’offerta formativa dell’associazione comprende: Seminari di aggiornamento. Convegni. Pubblicazioni. Sito web e newsletter. Corso Intensivo di Computer e Mobile Forensics. Corsi intensivi dedicati. Piattaforma di e-learning. Piattaforma di social network. Certificazione CIFI. © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 4 http://www.iisfa.net © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 5 IISFA Newsletter © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 6 IISFA – Corsi intensivi Corso Intensivo di Computer e Mobile Forensics Due edizioni annuali. Milano (febbraio/marzo) e Roma (ottobre/novembre). Sconti per soci CLUSIT, grazie a convenzione. Comprende il voucher per sostenere la certificazione CIFI. © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 7 IISFA – Corsi dedicati Corsi dedicati Windows Forensics (2 giorni) Macintosh Forensics (2 giorni) Memory Forensics (2 giorni) Malware Forensics (3 giorni) Live Forensics (1 giorno) Internet Forensics (1 giorno) Mobile Forensics (2 giorni) iOS Forensics (1 giorno) Android Forensics (1 giorno) © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 8 http://www.iisfa-elearning.com/ © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 9 http://iisfa-network.org/ © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 10 © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 11 © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 12 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 13 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? “…dica il consulente, previa copia delle memorie, se gli SMS sono stati alterati ...”. “...estragga tutte le immagini contenute con particolare attenzione per quelle…”. “…recuperi tutte le chat presenti nel telefono con particolare attenzione per…”. “What ‘s the GOAL?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 14 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? “What ‘s device?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 15 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? “Which action when i receive it?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 16 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? “Which Software for acquisition?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 17 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? AT COMMANDS. AT commands are used to control a modem. AT is the abbreviation of ATtention. Every command line starts with "AT". Many of the commands that are used to control wired dial-up modems, such as ATD (Dial), ATA (Answer), ATH (Hook control) and ATO (Return to online data state), are also supported by GSM/GPRS modems and mobile phones. Besides this common AT command set, GSM/GPRS modems and mobile phones support an AT command set that is specific to the GSM technology, which includes SMS-related commands like AT+CMGS (Send SMS message), AT+CMSS (Send SMS message from storage), AT+CMGL (List SMS messages) and AT+CMGR (Read SMS messages). http://www.developershome.com/sms/atCommandsIntro.asp “Which Software for acquisition?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 18 MOBILE FORENSICS 03/05/2012 Rome 1. What ‘s the GOAL? 2. What ‘s device? 3. Which action when i receive it? 4. Which Software for acquisition? 5. How can i isolate it during the data acquisition? “How can i isolate it during the data acquisition?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 19 MOBILE FORENSICS 03/05/2012 Rome Inside The Mobile Forensics © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 20 “What ‘s the GOAL?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 21 MOBILE FORENSICS 03/05/2012 Rome Art. 359 Consulenti tecnici del pubblico ministero. Art. 360 Accertamenti tecnici non ripetibili. © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 22 “What ‘s device?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 23 MOBILE FORENSICS 03/05/2012 Rome “How it work?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 24 MOBILE FORENSICS 03/05/2012 Rome Don’t start a work without the PUK Il Personal Unblocking Code (PUC) o Personal Unblocking Key (PUK) è un codice usato nei telefoni cellulari GSM e in alcune Smart card per sbloccare un dispositivo precedentemente bloccato. È principalmente utilizzato nel settore della telefonia. La maggior parte dei telefoni cellulari e delle rispettive SIM card è protetto da codice PIN per prevenirne l'uso non autorizzato. Dopo l'errato inserimento di quest'ultimo per 3 volte consecutive è necessario inserire il codice PUK. Esso è fornito dall'operatore di rete, non è modificabile dall'utente ed è generalmente composto da 8 cifre. Dopo 10 inserimenti errati consecutivi di quest'ultimo la SIM card viene bloccata ed è necessario procedere alla sostituzione. http://it.wikipedia.org/wiki/Codice_PUK © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 25 MOBILE FORENSICS 03/05/2012 Rome ”Memory Card can treated be like an Hard Disk” File Carving. File Carving, or sometimes simply Carving, is the practice of searching an input for files or other kinds of objects based on content, rather than on metadata. File carving is a powerful tool for recovering files and fragments of files when directory entries are corrupt or missing, as may be the case with old files that have been deleted or when performing an analysis on damaged media. http://www.forensicswiki.org/wiki/File_Carving © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 26 MOBILE FORENSICS 03/05/2012 Rome “If you can, use always CABLE!” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 27 “Which action when i receive it?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 28 MOBILE FORENSICS 03/05/2012 Rome “ISOLATE THE DEVICE” Keep it secure from any incoming communications from the networks. © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 29 MOBILE FORENSICS 03/05/2012 Rome “PASSWORD/PATTERN LOCK” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 30 MOBILE FORENSICS 03/05/2012 Rome “REMOVE PASSWORD/PATTERN LOCK” IPHONE ANDROID BLACKBERRY © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 31 MOBILE FORENSICS 03/05/2012 Rome “AIRPLANE MODE” ANDROID IPHONE BLACKBERRY © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 32 “Which Software for acquisition?” © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 33 MOBILE FORENSICS 03/05/2012 Rome http://www.cftt.nist.gov/ http://www.cftt.nist.gov/mobile_devices.htm © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 34 MOBILE FORENSICS 03/05/2012 Rome http://www.cftt.nist.gov/ http://www.cftt.nist.gov/mobile_devices.htm © CLUSIT 2012 – Mobile Forensics – Mattia Epifani – Litiano Piccin 35 MOBILE FORENSICS 03/05/2012