Mobile Forensics Case Study.

Slides:



Advertisements
Presentazioni simili
ANDROID FORENSICS.
Advertisements

Relatori e consulenti esterni:
© 2015 Giorgio Porcu - Aggiornamennto 01/12/2015 I STITUTO T ECNICO SECONDO BIENNIO T ECNOLOGIE E P ROGETTAZIONE Rappresentazione dell’ Informazione Sistemi.
IL PROCESSORE I MICROPROCESSORI INTEL Il microprocessore è un circuito integrato dotato di una struttura circuitale in grado di effettuare un determinato.
Unità di apprendimento 6 Dal problema al programma.
Il test del DNA: utilizzi ● Riconoscimento della paternità/maternità ● In criminologia e diritto ● Identificare le vittime di un disastro.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
Corso gratuito di Linux. Linux User Group Mantova
Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.
Sistemi Operativi : Gestione della Memoria Anno Scolastico 2012/2013 Un sistema operativo è un programma o un insieme di programmi che garantisce e permette.
VO-Neural Project e GRID Giovanni d’Angelo Dipartimento di Scienze Fisiche Università degli Studi di Napoli Federico II Martina Franca 12 – 23 Novembre.
Rappresentazione dell’ Informazione Digitale e Binario
User Group Riccardo Righi Analista Titulus e titulus organi.
Il team dello sportello per il cittadino
Summary di (quasi) tutti gli utenti non presentati…
La comunicazione scritta
Prova d’Esame: selezione di domande
Rielaborato da Atzeni et al., Basi di Dati, Mc-Graw Hill
Rappresentazione dell’ Informazione Informazione e Comunicazione
La rappresentazione delle informazioni
Introduzione al linguaggio C
NegoziCS packing list fidelitycard ordini merceinsaldo www ® software
FLUXUS il modulo interbibliotecario informazioni di base sul servizio
Il pensiero computazionale
Dal problema al processo risolutivo
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
INFORMATICA DI BASE I FONDAMENTI.
Commissione Calcolo e Reti
Terza Lezione → Navigare nel file System → parte 2
Presentazione dei nuovi sviluppi software
Trasmettitori e ricevitori
Unità di apprendimento 7
INDICO Parte 1 01/07/2018 Francesco Serafini.
Un’università vuole raccogliere ed organizzare in un database
La misura del tempo.
I FILES AD ACCESSO SEQUENZIALE
La storia dei social è come vengono utilizzati
Come comportarsi?.
Ardis e il sistema qualità
istalliamo l’ambiente di sviluppo - ide
SOFTWARE Modulo di INFORMATICA DI BASE a cura di T. PRIMERANO.
realizzato dal prof.Conti Riccardo
Programmazione e Laboratorio di Programmazione
Introduzione alle basi di dati
Informatica - Prof. Gregorio Cosentino
Predisposizione e presentazione della domanda di nullaosta
Il Nuovo Esame Di Stato Conclusivo del I ciclo d’Istruzione
Programmazione e Laboratorio di Programmazione
Codicfiche Interi Complemento alla base.
Gli automi.
Programmazione e Laboratorio di Programmazione
Laboratorio II, modulo LabView.
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
File System ed Input/Output
APPUNTI SUL LINGUAGGIO C Esercizi su File e Alberi Binari
Predisposizione e presentazione della domanda di nullaosta
Gli archivi e le basi di dati
Programmazione e Laboratorio di Programmazione
Grafi e problem solving
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
Algoritmi.
Programmazione e Laboratorio di Programmazione
Programmazione e Laboratorio di Programmazione
Transcript della presentazione:

Mobile Forensics Case Study

Mobile Forensics – case study Estrazione Messaggi Dispositivo Mobile: Nokia 6120c Strumenti forensi utilizzati: Cellebrite UFED Oxygen Mobiledit! Forensic Paraben Device Seizure Metodo “Artigianale”

Mobile Forensics – case study Caso reale: Estrazione Messaggi, Strumenti Strumento Rubrica SMS SMS Canc MMS Cellebrite UFED 183 2.447 Oxygen Mobiledit! Forensic Paraben Device Seizure 22 La versione del tool forense disponibile all’epoca (late 2010) non permettevano l’estrazione fisica Strumento Rubrica SMS SMS Canc MMS Studio e Pazienza 183 2.447 Tantissimi segmenti 3

Mobile Forensics – case study Caso reale: Symbian Sul Dispositivo mobile è installato il Sistema Operativo (software) Symbian 9.2 S60 Per capire le modalità di memorizzazione dei Dati dal parte del Sistema Operativo ci sono due strade: studio delle righe di codice del programma, approfittando del fatto che trattasi di un software open source, il cui sorgente è pubblico, (oltre 2.000.000 di istruzioni  via impraticabile) studio empirico ed esperimenti da laboratorio

Mobile Forensics – case study Caso reale: Procedimento È stato indispensabile procurarsi un dispositivo Nokia 6120c identico al reperto sul quale effettuare alcune prove. Queste ultime hanno confermato che una volta cancellato un messaggio non è possibile recuperalo poiché la memoria liberata non è raggiungibile con i tools a disposizione già citati Le operazioni di backup del dispositivo hanno però evidenziato la presenza di un file chiamato “index.dat”, non rilevabile con i tradizionali tools, la cui funzione è quella di accelerare la ricerca dei messaggi da parte dell’utente del cellulare

Mobile Forensics – case study Caso reale: Parte in chiaro Prove ripetute sul dispositivo di test hanno permesso di rintracciare la testa e la coda dei messaggi all’interno del file “index.dat”; una volta reso riconoscibile il blocco dei caratteri (codificati in esadecimale) del messaggio è stato agevole identificare la posizione del testo del messaggio, il destinatario/mittente poiché in chiaro.

Mobile Forensics – case study Caso reale: Data ed Ora Le informazioni relative alla Data ed Ora non erano immediatamente riconoscibili. Ma, messaggi identici spediti in tempi diversi differiscono solo in otto caratteri, che evidentemente rappresentano la Data e l’Ora.

Mobile Forensics – case study Caso reale: Data ed Ora Messaggi identici spediti nel tempo hanno fatto emergere che cambiava solo la parte iniziale della sequenza di otto caratteri  si è dedotto che la data è rappresentata invertendo la sequenza dei byte. Dal differenziale di Data ed Ora dei messaggi identici successivi si è dedotta la codifica in microsecondi.

Mobile Forensics – case study Caso reale: Data ed Ora Ipotizzando, come poi si è potuto verificare, che i microsecondi avessero origine dall’anno zero, si è provveduto a decodificare la stringa di caratteri relativi alla Data e l’Ora di uno dei messaggi di prova sul dispositivo di test, trovando che differivano di poco più di un anno dalla momento reale. A questo punto è apparso chiaro che la codifica era espressa secondo il Calendario Giuliano, emendato da papa Gregorio XIII con la bolla papale “Inter gravissimas” del 1582 e diventato Calendario Gregoriano così come noi lo conosciamo e pratichiamo oggi.

Mobile Forensics – case study Caso reale: Procedura A questo punto è stato agevole predisporre una procedura software utile all’estrazione automatica dei segmenti dei messaggi. Nel caso di specie: E7 60 A8 A7 5B 70 E1 00  00 E1 70 5B A7 A8 60 E7  da HEX a DEC  microsec Giuliano  sec Giuliano  sec Gregoriano  15.10.2010 14:25:17

Mobile Forensics – case study Caso reale: Flow Chart Estraggo 16 Byte HEX Inverto HEX step -2 Converto HEX  DEC µsec  sec Data Giuliano Data Gregoriano Estraggo 16 Byte

Mobile Forensics – case study Caso reale: Flow Chart

Mobile Forensics – case study Caso reale: Test Affidabilità Per finire è utile dire che ci si è preoccupati di effettuare dei test di affidabilità del Sistema Operativo (Symbian) che hanno evidenziato che qualora fosse stato sostituito il file “index.dat” con un falso, il dispositivo non avrebbe accettato la modifica poiché non coerente con il resto delle informazioni contenute nel dispositivo mobile. Ciò evidenzia una buona resistenza del Sistema Symbian alle manipolazioni.

Mobile Forensics – case study Caso reale: Conclusioni A questo punto la vendetta dell’uomo sulla macchina è compiuta! Laddove gli strumenti forensi non sono riusciti è arrivata la pazienza dell’Operatore forense