LA COMPUTER FORENSICS IN CAMERA BIANCA C.F. 2014/2015 ( RECOVERY DATA FROM CHIP E MOBILE FORENSICS) Relatori e consulenti esterni: Mr FONTANAROSA Giuseppe | Contractor e Founder RDI RECUPERO DATI ITALIA - Catania Mr TRIASSI Leonardo | Contractor e Founder RECUPERADATI – Palermo PARTE SECONDA Giovedì 11 Giugno 2015 STRUTTURA SEMINARIO - RECUPERO DATI PEN DRIVE E SSD Memorie Flash Riparazione pen drive Elaborazione ed estrazione dati dai chip - RECUPERO DATI CELLULARI E SMARTPHONE Estrazione dati da dispositivi mobili Acquisizione secondo lo standard IE/ISO27037:2012 Analisi elementi estratti PROCEDURE DI ACQUISIZIONE MOBILE FORENSICS DISPOSITIVO ACCESO Se il telefono è acceso la prima cosa da fare è evitare di spegnerlo, perché non sappiamo cosa potremmo trovare alla riaccensione, per esempio: PIN, Password, partizione criptata, auto-cancellazione, non si riaccende più per malfunzionamenti vari, ecc. Ma questo comportamento rende il dispositivo vulnerabile ad eventi alteranti come la ricezione di chiamate, sms, connessioni, controllo remoto e quant’altro. La prima cosa da fare è isolarlo da qualsiasi segnale e per far questo si possono utilizzare delle buste/gabbie di Faraday. Infine ci sono anche dei disturbatori di segnale chiamati Jammer, ma possono esser usati solo dalle Forze dell’Ordine. Sarebbe opportuno mettere il dispositivo in Modalità Aereo, ma bisogna comunque fare attenzione con sistemi tipo OS ove alcuni presentano dei bug di sistema. Si potrebbe pensare che per isolare il telefono basterebbe estrarre la SIM, ma questo non è sempre possibile farlo senza staccare la batteria oppure togliendo la SIM si potrebbe incorrere in blocchi o richieste di PIN, quindi non è una buon’idea. Una volta portato al sicuro il telefono si può procedere all’acquisizione forense dei contenuti che vedremo in seguito. PROCEDURE DI ACQUISIZIONE MOBILE FORENSICS DISPOSITIVO PENTO Se il dispositivo è spento, lo manteniamo spento fino al laboratorio, dove si procederà all’acquisizione forense, chiaramente sempre cercare il caricabatteria, che potrebbe servire in seguito. Fig. 1 – UFED Cellebrite RECUPERO DATI CELLULARI E SMART PHONE Fig. 2 – Dispositivi di lettura L’acquisizione forense ed eventuale recupero dei dati su un dispositivo mobile, si può affrontare mediante due soluzioni: -Oxygen Software; -UFED Cellebrite; TIPI DI ACQUISIZIONE Dump logico – Con la seguente modalità acquisiamo tutto ciò che vediamo a video del dispositivo mobile. È un dump di dati già interpretati, quindi se ci sono 5 SMS, 10 foto, 15 chiamate, ecc. vedremo 5 SMS, 10 foto, 15 chiamate ecc. ecc. Non abbiamo accesso all’alberatura del file system, ai percorsi, ai database, ai log file, allo spazio non allocato, ecc.. ecc.. Physical Dump – è indubbiamente il dump più completo, questa tipologia genererà un file binario pari alla dimensione totale della memoria del dispositivo, è paragonabile ad un’immagine bit a bit di un disco rigido nella computer forensics. Va da sé che questo dump permetterà anche l’accesso allo spazio non allocato, data carving e tutti i vantaggi di avere l’immagine speculare di tutta la memoria. In questo tipo di dump non vengono prese le informazioni presenti sulla memory card. OXYGEN SOFTWARE TOOL Nel caso in cui si usi Oxygen Software Tool, la figura sottostante riporta quali siano le procedure adottate dal sistema. All’atto dell’ acquisizione del dispositivo viene conseguentemente generato un file con estensione ODB con due relativi codici HASH VALUE, rispettivamente MD5 e SHA1. Fig. 3 – Oxygen Software RECUPERO DATI CANCELLATI Il tool è in grado di acquisire elementi cancellati quali , SMS o E-MAIL presenti sul dispositivo mobile. E’ ovvio che verranno estratti dati non compromessi da sovrascrittura. Fig. 4 – Report recupero cancellazione SMS. ANALISI FORENSE Statistiche di contatto Fig. 5 – Statistiche di chiamata. Mediante questo tool si è in grado di sapere quali siano stati gli ultimi contatti dell’utente del dispositivo mobile. ANALISI FORENSE Dettagli di estrazione Fig. 6 – Immagini presenti nel sistema, con codici hash value. CONCLUSIONE LA COMPUTER FORENSICS IN CAMERA BIANCA C.F. 2014/2015 (CLEANING ROOM DATA RECOVERY) Con qualsiasi tool software presente in rete si possono estrarre i dati da quasi tutti i dispositivi, ma l’esigenza della Mobile Forensics nasce dalla necessità di acquisire i dati mediante opportune procedure con congelamento del dato estratto o dell’intero contenuto, con relativo rilascio dei codici hash value MD5 e SHA1 dell’intero contenuto o degli elementi riscontrati una sessione di acquisizione. Grazie per la vostra cortese attenzione. Mr FONTANAROSA Giuseppe Founder Mr TRIASSI Leonardo Founder RDI Recupero Dati Italia – Catania http://www.recuperodatitalia.it [email protected] Numero Verde 800 -910545 Mobile 333.3590201 RECUPERADATI http://www.recuperadati.it [email protected] Numero Verde 800 ----------Mobile 328