LA COMPUTER FORENSICS
IN CAMERA BIANCA
C.F. 2014/2015
( RECOVERY DATA FROM CHIP
E
MOBILE FORENSICS)
Relatori e consulenti esterni:
Mr FONTANAROSA Giuseppe | Contractor e Founder RDI RECUPERO DATI ITALIA - Catania
Mr TRIASSI Leonardo | Contractor e Founder RECUPERADATI – Palermo
PARTE SECONDA
Giovedì 11 Giugno 2015
STRUTTURA SEMINARIO
- RECUPERO DATI PEN DRIVE E SSD
Memorie Flash
Riparazione pen drive
Elaborazione ed estrazione dati dai chip
- RECUPERO DATI CELLULARI E SMARTPHONE
Estrazione dati da dispositivi mobili
Acquisizione secondo lo standard IE/ISO27037:2012
Analisi elementi estratti
PROCEDURE DI ACQUISIZIONE
MOBILE FORENSICS
DISPOSITIVO ACCESO
Se il telefono è acceso la prima cosa da fare è evitare di spegnerlo, perché non sappiamo
cosa potremmo trovare alla riaccensione, per esempio: PIN, Password, partizione criptata,
auto-cancellazione, non si riaccende più per malfunzionamenti vari, ecc.
Ma questo comportamento rende il dispositivo vulnerabile ad eventi alteranti come la
ricezione di chiamate, sms, connessioni, controllo remoto e quant’altro.
La prima cosa da fare è isolarlo da qualsiasi segnale e per far questo si possono utilizzare
delle buste/gabbie di Faraday. Infine ci sono anche dei disturbatori di segnale
chiamati Jammer, ma possono esser usati solo dalle Forze dell’Ordine.
Sarebbe opportuno mettere il dispositivo in Modalità Aereo, ma bisogna comunque fare
attenzione con sistemi tipo OS ove alcuni presentano dei bug di sistema.
Si potrebbe pensare che per isolare il telefono basterebbe estrarre la SIM, ma questo non
è sempre possibile farlo senza staccare la batteria oppure togliendo la SIM si potrebbe
incorrere in blocchi o richieste di PIN, quindi non è una buon’idea.
Una volta portato al sicuro il telefono si può procedere all’acquisizione forense dei contenuti
che vedremo in seguito.
PROCEDURE DI ACQUISIZIONE
MOBILE FORENSICS
DISPOSITIVO PENTO
Se il dispositivo è spento, lo manteniamo spento fino al laboratorio, dove si procederà
all’acquisizione forense, chiaramente sempre cercare il caricabatteria, che potrebbe
servire in seguito.
Fig. 1 – UFED Cellebrite
RECUPERO DATI CELLULARI E SMART
PHONE
Fig. 2 – Dispositivi di lettura
L’acquisizione forense ed eventuale recupero dei dati su un dispositivo mobile, si può
affrontare mediante due soluzioni:
-Oxygen Software;
-UFED Cellebrite;
TIPI DI ACQUISIZIONE
Dump logico – Con la seguente modalità acquisiamo tutto ciò che vediamo a video del
dispositivo mobile. È un dump di dati già interpretati, quindi se ci sono 5 SMS, 10 foto,
15 chiamate, ecc. vedremo 5 SMS, 10 foto, 15 chiamate ecc. ecc.
Non abbiamo accesso all’alberatura del file system, ai percorsi, ai database, ai log file,
allo spazio non allocato, ecc.. ecc..
Physical Dump – è indubbiamente il dump più completo, questa tipologia genererà un
file binario pari alla dimensione totale della memoria del dispositivo, è paragonabile ad
un’immagine bit a bit di un disco rigido nella computer forensics. Va da sé che questo
dump permetterà anche l’accesso allo spazio non allocato, data carving e tutti i vantaggi
di avere l’immagine speculare di tutta la memoria. In questo tipo di dump non vengono
prese le informazioni presenti sulla memory card.
OXYGEN SOFTWARE TOOL
Nel caso in cui si usi Oxygen Software Tool, la figura sottostante riporta quali
siano le procedure adottate dal sistema.
All’atto dell’ acquisizione del dispositivo viene conseguentemente generato un
file con estensione ODB con due relativi codici HASH VALUE, rispettivamente
MD5 e SHA1.
Fig. 3 – Oxygen Software
RECUPERO DATI CANCELLATI
Il tool è in grado di acquisire elementi cancellati quali , SMS o E-MAIL
presenti sul dispositivo mobile. E’ ovvio che verranno estratti dati non
compromessi da sovrascrittura.
Fig. 4 – Report recupero cancellazione SMS.
ANALISI FORENSE
Statistiche di contatto
Fig. 5 – Statistiche di chiamata.
Mediante questo tool si è in grado di sapere quali siano stati gli ultimi contatti
dell’utente del dispositivo mobile.
ANALISI FORENSE
Dettagli di estrazione
Fig. 6 – Immagini presenti nel sistema, con codici hash value.
CONCLUSIONE
LA COMPUTER FORENSICS
IN CAMERA BIANCA
C.F. 2014/2015
(CLEANING ROOM DATA RECOVERY)
Con qualsiasi tool software presente in rete si possono estrarre i dati da quasi tutti i dispositivi,
ma l’esigenza della Mobile Forensics nasce dalla necessità di acquisire i dati mediante opportune
procedure con congelamento del dato estratto o dell’intero contenuto, con relativo rilascio dei
codici hash value MD5 e SHA1 dell’intero contenuto o degli elementi riscontrati una sessione di
acquisizione.
Grazie per la vostra cortese attenzione.
Mr FONTANAROSA Giuseppe
Founder
Mr TRIASSI Leonardo
Founder
RDI Recupero Dati Italia – Catania
http://www.recuperodatitalia.it
[email protected]
Numero Verde 800 -910545
Mobile 333.3590201
RECUPERADATI
http://www.recuperadati.it
[email protected]
Numero Verde 800 ----------Mobile 328