際際滷

際際滷Share a Scribd company logo

Metodologie Estrazione Evidenze Digitali

P
piccimario

Presentazione (prima della riduzione per motivi di tempo) della tesi di laurea specialistica "Metodologie di estrazione di evidenze digitali da dispositivi embedded Symbian-based"

1 of 56
Metodologie di estrazione di evidenze digitali da dispositivi embedded Symbian-based Relatore: Chiar.mo Prof. Paolo Gubian Correlatore: Ing. Antonio Savoldi UNIVERSIT DEGLI STUDI DI BRESCIA FACOLT DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA ELETTRONICA DIPARTIMENTO DI ELETTRONICA PER L'AUTOMAZIONE Tesi di Laurea di: Mario Piccinelli Matricola 69155
Scopo Descrivere le metodologie attraverso le quali 竪 possibile acquisire informazioni da un dispositivo cellulare basato su sistema operativo Symbian. Analizzare le metodologie sopracitate da un punto di vista forense.
Argomenti principali Digital Forensics Mobile Phone Forensics Symbian Estrazione Logica SyncML AT FBUS/MBUS OBEX On Phone Tool Estrazione Fisica Programmatore FLASH JTAG Flash Box
Digital Forensics Definizione La Digital Forensics 竪 una branca della scienza forense (discipline scientifiche che trovano applicazione in campo giudiziario) legata allanalisi di elementi di prova in qualche modo correlati a dispositivi elettronici quali computer o dispositivi digitali di archiviazione. Il suo scopo ultimo 竪 lanalisi dello stato di un prodotto digitale, sia esso unimmagine, un documento elettronico o un disco fisico, allo scopo di estrarne quante pi湛 possibile informazioni utili a fini giudiziari.
Mobile Phone Forensics Elenco chiamate SMS Inviati Ricevuti Numeri di telefono Timestamp Testo Email Inviate Ricevute Indirizzi Timestamp Testo Effettuate Ricevute Numeri di telefono Timestamp Durata
Mobile Phone Forensics Rubrica Nomi Numeri di telefono Indirizzi email Indirizzi geografici Altre informazioni Calendario Luoghi Date Nomi Browser Cache Cronologia Indirizzi salvati Password
Mobile Phone Forensics WiFi Reti utilizzate Reti individuate (posizione geografica) Telefono Celle utilizzate (posizione geografica) Ultima ricarica batteria
Mobile Phone Forensics Galleria Multimediale Immagini Audio Filmati Applicazioni Informazioni varie GPS Log posizionamento Timestamp Dati EXIF Posizione
Symbian OS Symbian OS 竪 un sistema operativo per dispositivi mobili embedded sviluppato dal Symbian Ltd . Discende dallo Psion EPOC. Attualmente 竪 gestito da Symbian Foundation , ed 竪 in corso il suo rilascio in forma Open Source.
Symbian OS E strutturato fin dalle origini come un moderno sistema operativo per computer. Protezione della memoria e gestione robusta delle risorse; Multitasking pre-emptive; Accesso alle risorse server-based mediante eventi asincroni (request > callback); Divisione netta tra interfaccia utente e servizi; Riusabilit del codice e disponibilit di API documentate; Ottimizzato per dispositivi a batteria con risorse limitate e memoria a stato solido.
Symbian OS
Symbian OS
Symbian OS
Metodi di estrazione Logica Fisica Evidenza Sistema di acquisizione Evidenza Sistema di acquisizione
Estrazione Logica
SyncML Syncronization Markup Language Protocollo di sincronizzazione. Basato su XML. Si pu嘆 appoggiare su qualunque altro protocollo di trasporto dati (HTTP, Obex, WAP, Bluetooth) Architettura client-server.
SyncML Syncronization Markup Language
SyncML Syncronization Markup Language Dal punto di vista forense: Vantaggi: Semplice da realizzare. Basato su standard aperti. Disponibile su quasi qualunque dispositivo mobile. Svantaggi: Richiede di configurare il dispositivo. Pu嘆 modificare lo stato del dispositivo in esame. Informazioni limitate. Implementazioni variabili da produttore a produttore.
Comandi AT Set di comandi per il controllo di dispositivi di comunicazione. Introdotti nel 1977 da Hayes Communications per il controllo di modem analogici. Attraverso lo standard ETSI GSM 07.07 vengono implementate funzionalit per il controllo di dispositivi GSM.
Comandi AT Protocollo seriale basato su stringhe ASCII. Si appoggia su RS232 (eventualmente emulata via USB). Pu嘆 dare accesso a informazioni come: Produttore del telefono, modello e versione. Identificativo IMEI telefono. Identificativo IMSI della SIM. Rubrica telefonica. Log chiamate effettuate e ricevute. Messaggi ricevuti e inviati.
Comandi AT
Dal punto di vista forense: Vantaggi: Semplice da utilizzare. Protocollo standard. Disponibile su quasi qualunque dispositivo mobile. Svantaggi: Implementazioni spesso limitate e non documentate. Protocollo divenuto ormai caduto in disuso per il trasferimento di informazioni. Pu嘆 alterare il contenuto del dispositivo in esame. Comandi AT
FBUS/MBUS Bus seriale standard ANSI/IEEE per soluzioni di backplane e dispositivi portatili. Comunicazione master-slave a pacchetti. FBUS Bidirezionale (2 linee, full duplex) Velocit: 115200 bit/sec MBUS Monodirezionale (1 linea multiplexata). Velocit: 9600 bit/sec
FBUS/MBUS
FBUS/MBUS Costituisce una via privilegiata di accesso anche a basso livello alle informazioni contenute nel dispositivo. La maggior parte dei software commerciali (anche per uso forense) utilizza questa modalit di connessione.
Dal punto di vista forense: Vantaggi: Sistema di accesso privilegiato, utilizzato anche dai tool proprietari del produttore. Permette accesso a tutte le informazioni contenute nel dispositivo. Svantaggi: Non standard, non garantito e non documentato. FBUS/MBUS
OBEX (OBject EXchange) 竪 un sistema di accesso ed esplorazione di risorse remote sotto forma di oggetti binari. Protocollo seriale A pacchetti Client server Utilizzato tipicamente per lesplorazione di un sottoinsieme del filesystem del dispositivo, ad esempio la galleria multimediale. OBEX
Dal punto di vista forense non risulta particolarmente utile: Accesso limitato a determinate zone del filesystem. Accesso limitato a specifiche categorie di elementi. Accesso comunque subordinato ai permessi dei singoli file e ad altre protezioni. Viene comunque sfruttato come metodo opzionale per lestrazione. OBEX
La piattaforma Symbian permette linstallazione di applicazioni di terze parti. Le applicazioni hanno a disposizione una serie di API per laccesso al filesystem. E possibile progettare unapplicazione che esegua una copia integrale del filesystem del dispositivo su un dispositivo di archiviazione di massa. On-phone Tool
Versioni precedenti a Symbian 9.1 Nelle versioni meno recenti di Symbian OS non esiste alcun sistema di protezione o certificazione delle applicazioni. Di conseguenza qualunque elemento del filesystem pu嘆 essere manipolato e copiato. Unica limitazione: alcuni file potrebbero essere in uso (e quindi bloccati) da processi che non possono essere interrotti. On-phone Tool
Versioni da Symbian 9.1 in avanti Nelle versioni pi湛 recenti di Symbian OS 竪 implementato un sistema di protezione basato su data caging e capabilities. Le capabilities vengono impostate durante la firma dellapplicazione ad opera del programma Symbian Signed, gestito da un ente certificatore indipendente. On-phone Tool
On-phone Tool Capabilities
On-phone Tool Data Caging Le diverse parti del filesystem sono accessibili dalle applicazioni solo in presenza delle corrette capabilities. Directory Capabilities per lettura: Capabilities per scrittura: /sys AllFiles TCB /resource Nessuna TCB /private/<appSID> Nessuna Nessuna /private/<altroSID> AllFiles AllFiles /other Nessuna Nessuna
On-phone Tool Dal punto di vista forense: Vantaggi: Pu嘆 permettere un accesso completo al filesystem del dispositivo. Svantaggi: Subordinato allautorizzazione del produttore del dispositivo. Richiede linstallazione di software o comunque la modifica del dispositivo sotto esame. La struttura del filesystem varia tra i diversi modelli.
Applicazioni commerciali MOBILedit! Forensics Oxygen Forensics Suite
Applicazioni commerciali
Applicazioni commerciali Dal punto di vista forense sono la soluzione ottimale per lestrazione logica: Sfruttano tutti i protocolli descritti in precedenza. Sono realizzate in collaborazione con i produttori, e quindi hanno una conoscenza ottimale della struttura del sistema da esaminare. Sono relativamente semplici da usare. Sono riconosciute e certificate per luso forense.
Estrazione Fisica Analisi: la memoria Flash Interpretazione dei dati
Programmatore Tutti i dati contenuti nel dispositivo cellulare sono archiviati in uno o pi湛 package di memoria flash. E dunque teoricamente possibile rimuovere il chip dal telefono e leggerne il contenuto con un normale programmatore.
Programmatore Le fasi per lestrazione di informazioni mediante programmatore sono: Identificazione del/dei chip; Rimozione del componente; Preparazione; Acquisizione dellimmagine di memoria; Decodifica e analisi.
Programmatore Problematiche: Necessit di disassemblare (e potenzialmente distruggere) il dispositivo in esame. Rischio di danneggiare le evidenze. Necessit di apparecchiature complesse e costose, oltre che di personale estremamente qualificato. Necessit di identificare componenti spesso non standard e reperire le specifiche. Necessit di dover interpretare i dati estratti.
Programmatore Vantaggi: Possibilit di estrarre qualunque tipo di informazione contenuta nel dispositivo, anche quelle non accessibili per via logica (data hiding). Possibilit di ottenere infinite copie autenticate dellintero contenuto del dispositivo. Unica possibilit di analizzare dispositivi gravemente danneggiati.
JTAG JTAG (Joint Test Action Group) 竪 un sistema di test realizzato allinterno dei dispositivi integrati che permette lanalisi del funzionamento del dispositivo stesso e del sistema cui 竪 connesso.
JTAG Processore Bus memoria (mux) Memoria Comandi di lettura Dati
JTAG Problematiche: Necessit di intervenire sullhardware del dispositivo in esame, con il rischio di danneggiare le evidenze o invalidarle. Necessit di strumentazione adeguata e personale qualificato. Necessit di conoscere le caratteristiche dei componenti e la loro disposizione.
JTAG Problematiche (continua):
Flash Box Le Flash Box sono una categoria di dispositivi prodotti da terzi e utilizzati per eseguire operazioni di manutenzione e modifica di dispositivi cellulari. Utilizzano protocolli di comunicazione realizzati dal produttore del telefono per fini di debug e manutenzione, e di cui spesso le specifiche non sono pubbliche.
Flash Box Le funzionalit tipiche delle Flash Box possono essere (variano in funzione di modello e produttore): Aggiornamento del firmware del cellulare. Modifica delle impostazioni di base del cellulare. Rimozione / manomissione di sim-lock e operator-lock . Estrazione di una immagine della memoria flash .
Flash Box Non richiedono modifiche hardware al dispositivo in esame, al pi湛 un cavo apposito.
Flash Box Dal punto di vista forense sono il dispositivo pi湛 usato per lestrazione fisica di dati. Utilizzano specifiche ufficiali del produttore, garantendo la correttezza dellestrazione. Sono semplici da utilizzare, anche da personale non esperto.
Sistemi Commerciali LogiCube CellDEK
Interpretazione dei dati Contrariamente alle informazioni estratte per via logica, i dati estratti direttamente dalla memoria del dispositivo non sono direttamente fruibili. Il modo in cui i dati sono distribuiti allinterno del blob binario estratto varia in base alla versione e al produttore, e normalmente non esistono specifiche pubbliche.
Interpretazione dei dati Approccio sperimentale Alcuni elementi possono essere individuati mediante analisi del blob binario, purch竪 si conosca a priori la struttura dellelemento ricercato. Tipico esempio: file multimediali. Header Payload
Interpretazione dei dati Approccio sperimentale Esempio di ricerca sperimentale: SMS nel dump di memoria di un sistema Symbian.
Interpretazione dei dati Esistono software commerciali in grado di eseguire automaticamente questa analisi, appoggiandosi su specifiche ottenute dal produttore. Cell Phone Analyzer BBK Forensics
Domande?

More Related Content

Metodologie Estrazione Evidenze Digitali

  • 1. Metodologie di estrazione di evidenze digitali da dispositivi embedded Symbian-based Relatore: Chiar.mo Prof. Paolo Gubian Correlatore: Ing. Antonio Savoldi UNIVERSIT DEGLI STUDI DI BRESCIA FACOLT DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA ELETTRONICA DIPARTIMENTO DI ELETTRONICA PER L'AUTOMAZIONE Tesi di Laurea di: Mario Piccinelli Matricola 69155
  • 2. Scopo Descrivere le metodologie attraverso le quali 竪 possibile acquisire informazioni da un dispositivo cellulare basato su sistema operativo Symbian. Analizzare le metodologie sopracitate da un punto di vista forense.
  • 3. Argomenti principali Digital Forensics Mobile Phone Forensics Symbian Estrazione Logica SyncML AT FBUS/MBUS OBEX On Phone Tool Estrazione Fisica Programmatore FLASH JTAG Flash Box
  • 4. Digital Forensics Definizione La Digital Forensics 竪 una branca della scienza forense (discipline scientifiche che trovano applicazione in campo giudiziario) legata allanalisi di elementi di prova in qualche modo correlati a dispositivi elettronici quali computer o dispositivi digitali di archiviazione. Il suo scopo ultimo 竪 lanalisi dello stato di un prodotto digitale, sia esso unimmagine, un documento elettronico o un disco fisico, allo scopo di estrarne quante pi湛 possibile informazioni utili a fini giudiziari.
  • 5. Mobile Phone Forensics Elenco chiamate SMS Inviati Ricevuti Numeri di telefono Timestamp Testo Email Inviate Ricevute Indirizzi Timestamp Testo Effettuate Ricevute Numeri di telefono Timestamp Durata
  • 6. Mobile Phone Forensics Rubrica Nomi Numeri di telefono Indirizzi email Indirizzi geografici Altre informazioni Calendario Luoghi Date Nomi Browser Cache Cronologia Indirizzi salvati Password
  • 7. Mobile Phone Forensics WiFi Reti utilizzate Reti individuate (posizione geografica) Telefono Celle utilizzate (posizione geografica) Ultima ricarica batteria
  • 8. Mobile Phone Forensics Galleria Multimediale Immagini Audio Filmati Applicazioni Informazioni varie GPS Log posizionamento Timestamp Dati EXIF Posizione
  • 9. Symbian OS Symbian OS 竪 un sistema operativo per dispositivi mobili embedded sviluppato dal Symbian Ltd . Discende dallo Psion EPOC. Attualmente 竪 gestito da Symbian Foundation , ed 竪 in corso il suo rilascio in forma Open Source.
  • 10. Symbian OS E strutturato fin dalle origini come un moderno sistema operativo per computer. Protezione della memoria e gestione robusta delle risorse; Multitasking pre-emptive; Accesso alle risorse server-based mediante eventi asincroni (request > callback); Divisione netta tra interfaccia utente e servizi; Riusabilit del codice e disponibilit di API documentate; Ottimizzato per dispositivi a batteria con risorse limitate e memoria a stato solido.
  • 14. Metodi di estrazione Logica Fisica Evidenza Sistema di acquisizione Evidenza Sistema di acquisizione
  • 16. SyncML Syncronization Markup Language Protocollo di sincronizzazione. Basato su XML. Si pu嘆 appoggiare su qualunque altro protocollo di trasporto dati (HTTP, Obex, WAP, Bluetooth) Architettura client-server.
  • 18. SyncML Syncronization Markup Language Dal punto di vista forense: Vantaggi: Semplice da realizzare. Basato su standard aperti. Disponibile su quasi qualunque dispositivo mobile. Svantaggi: Richiede di configurare il dispositivo. Pu嘆 modificare lo stato del dispositivo in esame. Informazioni limitate. Implementazioni variabili da produttore a produttore.
  • 19. Comandi AT Set di comandi per il controllo di dispositivi di comunicazione. Introdotti nel 1977 da Hayes Communications per il controllo di modem analogici. Attraverso lo standard ETSI GSM 07.07 vengono implementate funzionalit per il controllo di dispositivi GSM.
  • 20. Comandi AT Protocollo seriale basato su stringhe ASCII. Si appoggia su RS232 (eventualmente emulata via USB). Pu嘆 dare accesso a informazioni come: Produttore del telefono, modello e versione. Identificativo IMEI telefono. Identificativo IMSI della SIM. Rubrica telefonica. Log chiamate effettuate e ricevute. Messaggi ricevuti e inviati.
  • 22. Dal punto di vista forense: Vantaggi: Semplice da utilizzare. Protocollo standard. Disponibile su quasi qualunque dispositivo mobile. Svantaggi: Implementazioni spesso limitate e non documentate. Protocollo divenuto ormai caduto in disuso per il trasferimento di informazioni. Pu嘆 alterare il contenuto del dispositivo in esame. Comandi AT
  • 23. FBUS/MBUS Bus seriale standard ANSI/IEEE per soluzioni di backplane e dispositivi portatili. Comunicazione master-slave a pacchetti. FBUS Bidirezionale (2 linee, full duplex) Velocit: 115200 bit/sec MBUS Monodirezionale (1 linea multiplexata). Velocit: 9600 bit/sec
  • 25. FBUS/MBUS Costituisce una via privilegiata di accesso anche a basso livello alle informazioni contenute nel dispositivo. La maggior parte dei software commerciali (anche per uso forense) utilizza questa modalit di connessione.
  • 26. Dal punto di vista forense: Vantaggi: Sistema di accesso privilegiato, utilizzato anche dai tool proprietari del produttore. Permette accesso a tutte le informazioni contenute nel dispositivo. Svantaggi: Non standard, non garantito e non documentato. FBUS/MBUS
  • 27. OBEX (OBject EXchange) 竪 un sistema di accesso ed esplorazione di risorse remote sotto forma di oggetti binari. Protocollo seriale A pacchetti Client server Utilizzato tipicamente per lesplorazione di un sottoinsieme del filesystem del dispositivo, ad esempio la galleria multimediale. OBEX
  • 28. Dal punto di vista forense non risulta particolarmente utile: Accesso limitato a determinate zone del filesystem. Accesso limitato a specifiche categorie di elementi. Accesso comunque subordinato ai permessi dei singoli file e ad altre protezioni. Viene comunque sfruttato come metodo opzionale per lestrazione. OBEX
  • 29. La piattaforma Symbian permette linstallazione di applicazioni di terze parti. Le applicazioni hanno a disposizione una serie di API per laccesso al filesystem. E possibile progettare unapplicazione che esegua una copia integrale del filesystem del dispositivo su un dispositivo di archiviazione di massa. On-phone Tool
  • 30. Versioni precedenti a Symbian 9.1 Nelle versioni meno recenti di Symbian OS non esiste alcun sistema di protezione o certificazione delle applicazioni. Di conseguenza qualunque elemento del filesystem pu嘆 essere manipolato e copiato. Unica limitazione: alcuni file potrebbero essere in uso (e quindi bloccati) da processi che non possono essere interrotti. On-phone Tool
  • 31. Versioni da Symbian 9.1 in avanti Nelle versioni pi湛 recenti di Symbian OS 竪 implementato un sistema di protezione basato su data caging e capabilities. Le capabilities vengono impostate durante la firma dellapplicazione ad opera del programma Symbian Signed, gestito da un ente certificatore indipendente. On-phone Tool
  • 33. On-phone Tool Data Caging Le diverse parti del filesystem sono accessibili dalle applicazioni solo in presenza delle corrette capabilities. Directory Capabilities per lettura: Capabilities per scrittura: /sys AllFiles TCB /resource Nessuna TCB /private/<appSID> Nessuna Nessuna /private/<altroSID> AllFiles AllFiles /other Nessuna Nessuna
  • 34. On-phone Tool Dal punto di vista forense: Vantaggi: Pu嘆 permettere un accesso completo al filesystem del dispositivo. Svantaggi: Subordinato allautorizzazione del produttore del dispositivo. Richiede linstallazione di software o comunque la modifica del dispositivo sotto esame. La struttura del filesystem varia tra i diversi modelli.
  • 35. Applicazioni commerciali MOBILedit! Forensics Oxygen Forensics Suite
  • 37. Applicazioni commerciali Dal punto di vista forense sono la soluzione ottimale per lestrazione logica: Sfruttano tutti i protocolli descritti in precedenza. Sono realizzate in collaborazione con i produttori, e quindi hanno una conoscenza ottimale della struttura del sistema da esaminare. Sono relativamente semplici da usare. Sono riconosciute e certificate per luso forense.
  • 38. Estrazione Fisica Analisi: la memoria Flash Interpretazione dei dati
  • 39. Programmatore Tutti i dati contenuti nel dispositivo cellulare sono archiviati in uno o pi湛 package di memoria flash. E dunque teoricamente possibile rimuovere il chip dal telefono e leggerne il contenuto con un normale programmatore.
  • 40. Programmatore Le fasi per lestrazione di informazioni mediante programmatore sono: Identificazione del/dei chip; Rimozione del componente; Preparazione; Acquisizione dellimmagine di memoria; Decodifica e analisi.
  • 41. Programmatore Problematiche: Necessit di disassemblare (e potenzialmente distruggere) il dispositivo in esame. Rischio di danneggiare le evidenze. Necessit di apparecchiature complesse e costose, oltre che di personale estremamente qualificato. Necessit di identificare componenti spesso non standard e reperire le specifiche. Necessit di dover interpretare i dati estratti.
  • 42. Programmatore Vantaggi: Possibilit di estrarre qualunque tipo di informazione contenuta nel dispositivo, anche quelle non accessibili per via logica (data hiding). Possibilit di ottenere infinite copie autenticate dellintero contenuto del dispositivo. Unica possibilit di analizzare dispositivi gravemente danneggiati.
  • 43. JTAG JTAG (Joint Test Action Group) 竪 un sistema di test realizzato allinterno dei dispositivi integrati che permette lanalisi del funzionamento del dispositivo stesso e del sistema cui 竪 connesso.
  • 44. JTAG Processore Bus memoria (mux) Memoria Comandi di lettura Dati
  • 45. JTAG Problematiche: Necessit di intervenire sullhardware del dispositivo in esame, con il rischio di danneggiare le evidenze o invalidarle. Necessit di strumentazione adeguata e personale qualificato. Necessit di conoscere le caratteristiche dei componenti e la loro disposizione.
  • 47. Flash Box Le Flash Box sono una categoria di dispositivi prodotti da terzi e utilizzati per eseguire operazioni di manutenzione e modifica di dispositivi cellulari. Utilizzano protocolli di comunicazione realizzati dal produttore del telefono per fini di debug e manutenzione, e di cui spesso le specifiche non sono pubbliche.
  • 48. Flash Box Le funzionalit tipiche delle Flash Box possono essere (variano in funzione di modello e produttore): Aggiornamento del firmware del cellulare. Modifica delle impostazioni di base del cellulare. Rimozione / manomissione di sim-lock e operator-lock . Estrazione di una immagine della memoria flash .
  • 49. Flash Box Non richiedono modifiche hardware al dispositivo in esame, al pi湛 un cavo apposito.
  • 50. Flash Box Dal punto di vista forense sono il dispositivo pi湛 usato per lestrazione fisica di dati. Utilizzano specifiche ufficiali del produttore, garantendo la correttezza dellestrazione. Sono semplici da utilizzare, anche da personale non esperto.
  • 52. Interpretazione dei dati Contrariamente alle informazioni estratte per via logica, i dati estratti direttamente dalla memoria del dispositivo non sono direttamente fruibili. Il modo in cui i dati sono distribuiti allinterno del blob binario estratto varia in base alla versione e al produttore, e normalmente non esistono specifiche pubbliche.
  • 53. Interpretazione dei dati Approccio sperimentale Alcuni elementi possono essere individuati mediante analisi del blob binario, purch竪 si conosca a priori la struttura dellelemento ricercato. Tipico esempio: file multimediali. Header Payload
  • 54. Interpretazione dei dati Approccio sperimentale Esempio di ricerca sperimentale: SMS nel dump di memoria di un sistema Symbian.
  • 55. Interpretazione dei dati Esistono software commerciali in grado di eseguire automaticamente questa analisi, appoggiandosi su specifiche ottenute dal produttore. Cell Phone Analyzer BBK Forensics