Metodologie e tecniche per l'analisi forense di

dispositivi di telefonia mobile

Relatore: Candidata: Chiar.mo Prof. L. Bononi Mariagrazia Cinti Correlatori: Chiar.mo Prof. C. Maioli Dott. M. Ferrazzano

Laurea Magistrale in Scienze di Internet

Bologna, 20 marzo 2014

1. Delineare tematiche Mobile Device Forensics

2. Illustrare metodologie di analisi su dispositivi telefonia cellulare

3. Comparare alcuni software e tecniche di analisi, presentandone i risultati

Agenda

2

Il processo penale

3

«Ogni processo si svolge nel contraddittorio delle parti, in condizione di parità, davanti a giudice terzo e imparziale»

«La persona accusata di un reato ha la facoltà di ottenere l'acquisizione di ogni mezzo di prova a suo favore»

«Principio del contraddittorio nella formazione della prova»

«La legge regola i casi in cui la formazione della prova non ha luogo in contraddittorio per accertata impossibilità

di natura oggettiva»

Disciplinato dall’art. 111 della Costituzione

«Un’informazione generata,

memorizzata o trasmessa

attraverso dispositivi elettronici,

avente valore probatorio»

IOCE – 2000 [Vac12]

Evidenza digitale

4

INDIVIDUAZIONE ACQUISIZIONE E PRESERVAZIONE

ANALISI VALUTAZIONE PRESENTAZIONE

Fasi operative indagini

5

Riconoscibili tre grandi categorie:

•Dispositivi con funzioni di base

•Dispositivi con funzioni avanzate

•Dispositivi smartphone

Evoluzione estremamente rapida,

ampia varietà di configurazioni

Hardware Software

Varietà dispositivi telefonia

6

Micro lettura

Chip-off

Estrazione fisica

Estrazione logica

Estrazione manuale

Livelli di analisi

7

Alterano il sistema operativo del dispositivo

al fine di ottenere accesso ai dati memorizzati

(o per abbassarne livelli di protezione)

Invasive,

tecnicamente e giuridicamente non ripetibili

Rooting in ambiente Android

Jailbreaking in ambiente iOS

Successivamente: acquisizione e analisi

Tecniche di privilege escalation

8

Device Seizure – Paraben DDS – Paraben

Software forensi (1)

9

1. Textual data 2. All data

1. Logical 2. Physical

MOBILedit! – Compelson Oxygen Forensic Suite 2014

Software forensi (2)

10

1. Recommended 2. Advanced

a) with physical dump

b) with logical extraction (selected)

c) with logical extraction (complete)

1. Standard

Dispositivo Android analizzato

11

Vodafone 858 Smart

SO Android ver 2.2.1

• Analisi mediante software forense in ogni modalità

disponibile

Approccio forense

• Analisi post rooting (software forense e non)

Approccio sperimentale

Dispositivo iOS analizzato

12

Apple iPhone 3GS

SO iOS ver 6.1.3

• Analisi mediante software forense in ogni modalità

disponibile

Approccio forense

• Analisi backup di iTunes

• Analisi post jailbreaking (software non forense)

Approccio sperimentale

13

Ris

ulta

ti A

nd

roid

MODALITÀ

1) DDS 1

2) DDS 2

3) Dev.Seizure 1 4) Dev.Seizure 2

5) MOBILedit!

6) Oxygen 1

7) Oxygen 2 8) ROOTING

9) Oxygen 2b

10) Oxygen 2c

...

Analisi forense

pre-rooting

Analisi

sperimentale

post-rooting

Analisi forense

post-rooting

Dati canonici

app di sistema ✔ ✔ ✔

Dati extra

app di sistema ✘ ✔ ✔

Dati app

installate ✘ ✔ ✔

Android in sintesi

14

15

Ris

ulta

ti iO

S MODALITÀ

1) DDS 1

2) DDS 2

3) Dev.Seizure 1

4) Dev.Seizure 2

5) MOBILedit!

6) Oxygen 2b

7) Oxygen 2c

8) JAILBREAKING

9) iTunes

...

Analisi

forense

Analisi

forense

file (*)

Analisi

backup iTunes

Analisi

sperimentale

post-jailbreaking

Dati canonici

app di sistema ✔ ✔ ✔ ✔

Dati extra

app di sistema ✘ ✔ ✔ ✔

Dati app

Facebook ✘ ✘ ✘ ✔

Dati app

WhatsApp ✘ ✔ ✔ ✔

iOS in sintesi

16

Il rooting si rivela fondamentale per poter accedere a tutti i dati di un device Android

Il jailbreaking di iOS non è indispensabile, ma rende disponibili alcune informazioni aggiuntive

Tecniche più efficaci di quelle tradizionali

ma non prive di rischi

In conclusione

17

Grazie dell’attenzione

18