Archivi tag: recupero dati

Mobile Forensics per Università Europea di Roma

Oggi ho tenuto una lezione dal titolo “I profili storici ed evolutivi della mobile forensics” per l’Università Europea di Roma, nell’ambito del Master di I livello in “Intelligenza artificiale. Diritto ed etica delle tecnologie emergenti”. È stata una occasione , per la quale ringrazio l’Università Europea di Roma, di ripercorrere una decina di anni di storia e progressi dell’informatica forense applicata alle perizie su cellulari e poi su smartphone che ormai sono diventate uno degli elementi strategici delle attività d’indagine digitale.

Fa riflettere quanto l’evoluzione storica della mobile forensics – così si chiama la disciplina che si occupa di acquisire e analizzare le prove digitali presenti su smartphone e dispositivi mobili – abbia impattato sul lavoro degli informatici forensi e si rifletta nelle perizie informatiche redatte nel corso del tempo. Tutti i consulenti informatici forensi ricorderanno i periodi in cui le copie forensi erano sostituite da stampe prodotte da software di sincronizzazione con i dispositivi mobili, poi sono arrivati i primi strumenti “ufficiali”, in parte tanto si poteva fare anche con prodotti free od open source, poi è arrivata l’epoca degli exploit e dei bug da sfruttare per poter superare i limiti imposti dai produttori. Fino ad arrivare alle soluzioni commerciali, che oggi hanno un mercato di nicchia ma necessario per chi fa attività di perizia su smartphone, perché permettono di ottenere dati che altrimenti non sarebbe possibile acquisire.

Ci sono state epoche nelle quali l’acquisizione e le analisi delle prove informatiche presenti sui cellulari da parte del CTP Informatico procedeva tramite strumenti embrionali, con metodologie ancora da condividere con la comunità scientifica e dei consulenti forensi, problematiche d’integrità della prova, rischi di perdita di dati, tutte questioni che con gli anni sono andate consolidandosi.

Perizie su Smartphone e Mobile Forensics per Università Europea di Roma

Oggi qualunque CTU informatico conosce i princìpi su cui si basa la mobile forensics e sui quali si costruiscono le perizie informatiche su smartphone, dispositivi mobili ma anche hard disk, pendrive, PC oltre che tutto ciò che riguarda il cloud, la posta elettronica, il web. La lezione sui profili storici ed evolutivi della mobile forensics, tenuta per l’Università Europea di Roma, è stata quindi un’occasione di ragionare sui progressi fatti da tutti coloro che hanno dato il loro contributo a sviluppare la materia, ma anche delle nuove sfide e opportunità che sono emerse negli ultimi anni, con la cifratura, la protezione da PIN lock o biometrica, la quantità di modelli, marche e dispositivi sul mercato, i continui aggiornamenti di sistemi operativi e applicazioni mobili.

Infine, la docenza tenuta per il Master di I livello in “Intelligenza artificiale. Diritto ed etica delle tecnologie emergenti” è stata l’occasione per rispolverare il servizio delle Iene sul recupero dati da smartphone, al quale ho dato un piccolo contributo insieme a colleghi ed amici e il risultato è stato un servizio avvincente, dove la mobile forensics si è mescolata con tecniche di ricerca basate su OSINT, che hanno portato a risultati notevoli, in particolare vista la tecnologia disponibile al tempo e il tipo di dispositivi analizzati.

Ringrazio l’opportunità concessa dall’Università Europea di Roma e spero di poter contribuire nuovamente con attività di docenza a Master, Corsi di Laurea o Corsi di Perfezionamento in ambito d’informatica forense e indagini digitali.

Corso Federpol di Aggiornamento Professionale a Torino

Docenza per Corso Federpol DM 269/10 a Torino

Venerdì 4 maggio 2018 avrò l’onore di partecipare come docente alla giornata formativa per il Corso di Aggiornamento Professionale DM 269/2010 per Federpol che si terrà a Torino presso il Best Western Hotel Luxor, in Corso Stati Uniti, 7. Il mio intervento verterà sull’acquisizione forense e recupero dati da dispositivi informatici in ambito di perizia informatica e indagine forense, attività ormai essenziale durante le indagini digitali su computer, smartphone, cellulari, tablet, reti Internet, web e social network.

Corso Federpol di Aggiornamento Professionale a Torino

Il programma del Corso di Aggiornamento Professionale Federpol di venerdì 4 maggio 2018 è il seguente:

  • 09.00 – 09.30: Registrazione Partecipanti
  • 09.30 – 09.45: Saluti – Dott.ssa Antonella Pavesio (Vice Presidente Area Nord Federpol)
  • 09.45 – 10.00: Presentazione T&T Gate. Matteo Simeoni – Sales Manager
  • 10.00 – 11.30: Tavola Rotonda – Privacy 1 parte
    Moderatore: Avv. Roberto GOBBI (Segretario Generale Federpol)
    Dott. Riccardo MARTINA (Consulente Privacy)
    Sig. Piero PROVENZANO (Pres. Comitato Studi Legislativi Federpol)
  • 11.30 – 12.00: Coffee Break
  • 12.00 – 13.30: Tavola Rotonda – Privacy 2 parte
    Moderatore: Avv. Roberto GOBBI (Segretario Generale Federpol)
    Dott. Riccardo MARTINA (Consulente Privacy)
    Sig. Piero PROVENZANO (Pres. Comitato Studi Legislativi Federpol)
  • 13.30 – 15.00: Pausa Pranzo
  • 15.00 – 16.00: Gestione Amministrativa degli Istituti
    di Investigazione: Ispezioni Amministrative (P.A.S., GdF), Relazioni conclusive delle Indagini. Relatore: Avv. Roberto GOBBI (Segretario Generale Federpol)
  • 16.30 – 17.30: Acquisizione Forense e Recupero Dati da Dispositivi Informatici. Relatore: Dr. Paolo DAL CHECCO (Consulente Informatico in Ambito di Perizia Forense e Indagini Informatiche)
  • 17.30: Termine Lavori e consegna attestati

Per informazioni o iscrizioni, chi è interessato può visitare la pagina ufficiale del corso di aggiornamento professionale 2018 DM 269/10 presso il sito di Federpol o scaricare il volantino del corso direttamente da questo link.

L’ATO, Cellebrite e il “leak” della Guida sull’Hacking degli Smartphone

Alcuni giorni fa è uscita su diverse testate giornalistiche di rilievo la notizia della pubblicazione su Linkedin, da parte di un impiegato dell’Ufficio delle Tasse Australiano (ATO), di una guida di hacking degli smartphone [WBM, AI] che spiega passo dopo passo come forzare i cellulari, anche se protetti da PIN. A quanto riportano ad alcune fonti, l’impiegato proverrebbe da task force d’Intelligence e avrebbe fatto delle ricerche sul Dark Web per il Governo [WBM, AI], aggiungendo che altrimenti non si spiega come riesca a forzare le password di cellulari anche se con batteria scarica e persino senza scheda SIM, così da poter recuperare dati anche cancellati, messaggi di testo ed elenco chiamate con strumenti tra i quali quelli prodotti dall’israeliana Cellebrite.

Leak dell'Australian Tax Office di un manuale con tecniche di hacking avanzate

La popolazione australiana si è indignata, temendo che il loro equivalente della nostra Agenzia delle Entrate potesse “spiare” il reddito personale entrando di soppiatto nei cellulari, anche protetti da password. Il Ministro della Giustizia, Michael Keenan, si è detto seriamente preoccupato di questo “leak” dell’Ufficio delle Tasse che illustra le metodologie e gli strumenti di hacking dei telefonini. L’impiegato dell’Ufficio sembra aver subito provvedimenti disciplinari o come minimo un rimprovero e ciò che è certo è che ha rimosso in neanche un’ora la guida e buona parte dei suoi profili sui social network (Linkedin, SlideShare, etc…) mentre l’Ufficio delle Tasse era sommerso di contatti da parte dei giornali.

Ramez Katf, il Direttore Tecnico dell’ATO (Australian Tax Office) ha dichiarato che “l’Ufficio delle Tasse non entra di nascosto negli smartphone dei cittadini e che la parola “hacking” forse è un po’ esagerata, l’Agenzia delle Entrate Australiana non agisce da remoto e comunque non fa nulla di nascosto, senza cioè un Decreto dell’Autorità Giudiziaria”. Katf aggiunge che “è vero, uno dei software citato nelle slide viene effettivamente utilizzato, ma soltanto per indagini su larga scala su frodi o attività criminale e sempre su mandato delle Autorità, senza peraltro agire da remoto, i dispositivi vengono infatti prima prelevati o sequestrati tramite un Decreto del Giudice e poi, tramite il software di acquisizione forense per smarthpone, vengono acceduti i contenuti”. Insomma, la situazione è meno terribile di quanto non sia stata dipinta dai giornali, lascia intendere. “Anche quando viene forzato il PIN o la password di uno smartphone”, continua Katf, “c’è sempre l’autorizzazione dell’Autorità Giudiziaria o il consenso del proprietario del cellulare”. Alcune testate giornalistiche sono persino arrivate http://www.abc.net.au/news/2017-07-12/tax-office-slip-up-reveals-new-phone-hacking-capabilities/8698800

Per qualche giorno le condivisioni di post sull’argomento si sono sprecate, ma nessuno ha approfondito il contenuto effettivo di questa guida (rimossa, appunto, di tutta fretta) e se davvero rappresentasse un pericolo per la sicurezza dei cittadini. Vediamo di recuperare, tramite tecniche OSINT, ciò che rimane di questa guida e del profilo del povero impiegato dell’Ufficio delle Tasse, per scoprire che è tutto un equivoco: la guida di hacking non è altro che una presentazione divulgativa che parla di ciò che gli informatici forensi e gli esperti di sicurezza conoscono ormai da anni.

Google, come sappiamo, memorizza una cache – una sorta di “copia” – delle pagine web che indicizza, che utilizza per poter mostrare agli utenti quale versione della pagina lui sta presentando nei motori di ricerca e su quali parole chiave si basa. A meno che non si provveda alla rimozione manuale dei risultati di ricerca, è spesso possibile accedere alla cache di Google anche per diversi giorni dopo che la pagina indicizzata è scomparsa. Nel caso delle presentazioni SlideShare pubblicate da Linkedin, la pagina cache non conterrà l’intera presentazione ma ne riporterà integralmente il testo, proprio per ragioni d’indicizzazione.

Bene, cercando negli indici di Google le informazioni riportate dai giornali, arriviamo a una presentazione intitolata “Hexadecimal Extraction Theory –Mobile Forensics II“, che tradotta viene più o meno “Teoria dell’Estrazione Esadecimale, Analisi Forense di Dispositivi Mobili 2” di cui viene riportata, dai newspaper, una slide considerata la più significativa.

Pros and Cons of the Shoe Boxes

La pagina contenente la presentazione su SlideShare non esiste più, è stata rimossa dall’utente, ma si può ancora osservare il profilo dell’autore, che si dichiara esperto in Computer Forensics e conoscitore di strumenti d’informatica forense come Encase, X-Ways Forensics, Nuix e Access Data. La pagina punta al profilo Linkedin, anch’esso rimosso, ancora presente però come indice nella cache di Google inclusa la descrizione “Australian Taxation Office”, senza versione cache.

Profilo Linkedin dell'impiegato accusato di aver pubblicato un leak

La presentazione “Hexadecimal Extraction Theory –Mobile Forensics II” è già scomparsa anche dalla cache di Google, se ne trova però una copia su Archive.is dalla quale possiamo ricavare i titoli delle slide considerate così “pericolose” dalle testate giornalistiche:

  • Pros and Cons of the Shoe Boxes
  • Phone Forensics Tools Software
  • XRY VS Shoe box XRY Positive
  • Information required to perform a hex dump
  • Locating information before commencing the hex dump
  • Using Shoe box (UFSx series)
  • Free tools
  • Scenario 1 Extract data from Damaged Nokia phone
  • Using FTK imager to create MD5 hash for extracted mobile data file
  • Date and Time Calculations Date and time entry & Patten
  • HEX examiner examples
  • Exercise 2– Breaking the Hex code using Hex examiner
  • Security key
  • Call records S30’s
  • SMS S40’s
  • Protocol Data Unit (PDU)

Leggendo il contenuto delle slide, si nota come l’autore si limita a presentare alcune delle soluzioni più note in ambito di mobile forensics, disciplina che comprende tecniche e metodologie utilizzate in ambito di perizia informatica per acquisizione forense e recupero dati anche cancellati da cellulare. L’autore presenta vantaggi e svantaggi degli strumenti principali come XRY, Shoe Box, SarasSoft, NAND Downloader, Pandora’s box, HEXexaminer, FTK Imager, Cellebrite, XACT e simili. Si parla di conversione di dati tra diversi formati, metadati EXIF e coordinate GPS, estrazione di dati da cellulari Nokia danneggiati, calcolo dei valori hash tramite FTK Imager per una corretta catena di conservazione.

Salta subito all’occhio che i dati non sono neanche aggiornati: nell’illustrare le diverse codifiche di rappresentazione delle date l’autore cita Blackberry, Nokia e Motorola, tutti praticamente scomparsi, menzionando di sfuggita Samsung e ignorando completamente Apple con i suoi iPhone e iPad. Gli esempi di utilizzo degli strumenti di mobile forensics, tra l’altro, riguardano Nokia S30 e S40, che ormai non si trovano più neanche nei negozi dell’usato.

D’altra parte è chiaro che il target non è prettamente tecnico e quindi i contenuti non sono di alto livello, altrimenti non verrebbe dato peso al fatto che si possono recuperare dati anche da cellulari senza scheda SIM o danneggiati, entrambe cose ormai note a chiunque.

Per chi le cercasse, non ci sono istruzioni passo passo su come entrare in un telefonino e forzare la password da remoto, né guide di hacking avanzato, soltanto elenchi di strumenti con pro e contro, esempi di conversione stringhe e bypass di PIN e password per eseguire attività di acquisizione forense e recupero dati da vecchi cellulari.

Per quanto i giornali vi abbiano dato molto peso, l’israeliana Cellebrite non c’entra nulla con questa faccenda: il loro marchio viene citato una sola volta nelle slide dell’impiegato dell’Ufficio delle Tasse mentre viene data più importanza ad altri tool o metodologie, anche gratuite.

Speriamo quindi che l’impiegato (che non abbiamo voluto citare per mantenere un minimo di anonimato, benché sia facilmente reperibile in rete il suo nome) possa tornare a una vita normale e riaprire il suo profilo su Linkedin dopo questa avventura, continuando a fare divulgazione in ambito di digital e mobile forensics ma sperando di non cadere nuovamente in malintesi che rimbalzando di giornale in giornale aumentano in modo incontrollato la loro portata.

iTunes 12.5.1 su Mac OS, lockdown folder e iOS forensics

Ieri è uscita, per Mac OS, la versione di iTunes 12.5.1 che, oltre a innovazioni grafiche e supporto per iOS 10, apporta al sistema una modifica ai permessi di accesso alla cartella di “lockdown”, che viene utilizzata dai software di mobile forensics per sincronizzare i dispositivi iOS con il computer ed eseguire l’acquisizione dei contenuti.

L'upgrade di iTunes 12.5.1 e la Mobile Forensics

Chi ha aggiornato iTunes alla versione 12.5.1 e possiede software di estrazione e recupero dati come Lantern (Katana Forensics), BlackLight e Mobilyze (BlackBag Technologies) e simili si ritrova quindi a non poterli utilizzare fino a quando non verranno aggiornati e distribuiti in versione compatibile con le modifiche intercorse.

Fino alla versione 12.5.0 infatti iTunes lasciava la cartella “/private/var/db/lockdown/” con permessi di lettura, scrittura e attraversamento folder per chiunque, non soltanto per l’utente _usbmuxd e il gruppo _usbmuxd assegnato alla directory.

Folder lockdown di iTunes fino alla versione 12.5.0

Dalla versione 152.5.1 invece iTunes rimuove i permessi di lettura, scrittura e attraversamento per “group” e “other”, lasciandoli soltanto allo “user” _usbmuxd, impedendo quindi ai software di acquisizione forensi, utilizzati per recuperare dati da iPhone e iPad, di accedere ai certificati di lockdown necessari per poter attivare il pairing con il dispositivo e accederne al contenuto.

Folder lockdown di iTunes dalla versione 12.5.1

Al momento i produttori di software di iOS forensics per l’acquisizione e il recupero dei dati da iPhone e iPad stanno prontamente inviando mail ai clienti dove consigliano di non aggiornare iTunes alla versione 12.5.1 su Mac OS, attendendo qualche giorno fino all’uscita di versioni compatibili con le nuove modifiche ai permessi.

Ovviamente, per poter scegliere cosa installare e cosa no è necessario disabilitare gli aggiornamenti automatici su Mac OS o meglio, averlo fatto prima dell’uscita di questo aggiornamento. Per disabilitare gli aggiornamenti automatici sul Mac OS X è sufficiente avviare Preferenze di sistema e App Store. Nella finestra App Store si può scegliere se togliere direttamente la spunta a “Verifica aggiornamenti automaticamente” (evitando quindi anche il controllo di nuovo software) oppure lasciare la spunta ma toglierla alle altre voci, in modo da lasciare che il sistema verifichi la presenza di aggiornamenti ma non li scarichi (“Scarica gli aggiornamenti disponibili in background”) oppure li scarichi ma non li installi (le altre voci).

Come disabilitare gli aggiornamenti automatici su Mac OS X

A questo punto, Mac OS comunicherà all’utente la presenza di aggiornamenti, eventualmente scaricandoli in background ma permettendogli di scegliere quali aggiornamenti installare e quali ignorare.

Corso di Computer Forensics e Indagini Digitali a Torino

Per chi fosse interessato alla computer forensics e digital forensics, durante i giorni di venerdì 14, 21, 28 Ottobre e venerdì 4 Novembre 2016 si terrà il corso sulle attività d’informatica forense e investigazioni digitali.

Corso di Computer Forensics a Torino

Il corso di digital forensics su informatica forense e indagini digitali che si terrà a Torino tra ottobre e novembre 2016 fornirà agli allievi le conoscenze principali dell’informatica forense, mettendo in evidenza sia gli aspetti tecnologici che quelli giuridici attinenti alla prova digitale in ambito d’informatica forense, elementi necessari per le attività di perizia informatica svolta dai consulenti informatici forensi. Durante il corso verrà  illustrato l’utilizzo dei sistemi DEFT e DART, utilizzati quotidianamente da Consulenti Tecnici Forensi e Forze dell’Ordine, per attività digital forensics e incident response su computer e dispositivi mobili.

Si partirà dalle basi della digital forensics, analizzando le metodologie di base impiegate dagli operatori per attività di recupero dati o ricostruzione delle attività svolte sul PC, fino ad arrivare ad illustrare le più sofisticate tecniche di acquisizione forense di evidenze digitali e recupero dati da cellulari, smartphone e tablet mediante sistemi di mobile forensics, oltre che acquisizione e analisi del traffico di rete tramite tecniche di network forensics. Seguiranno nozioni sulle tecniche di analisi, elaborazione, reportistica e relazione tecnica che fanno parte di un corretto processo di perizia informatica prodotta da consulenti informatici forensi specializzati in informatica forense.

Il corso sull’informatica forense e investigazioni digitali che si terrà a Torino è articolato in 4 giornate sia teoriche sia pratico operative sulla digital forensics, con l’ultima giornata che sarà effettuata presso un vero laboratorio d’informatica forense permettendo un approccio strettamente procedurale.

Il dettaglio del programma del corso di Computer Forensics e Acquisizione/Analisi della Prova Digitale è il seguente:

Giorno 1

  • Introduzione alle problematiche di computer forensics
  • Le fasi dell’accertamento forense su dati digitali
  • Princìpi, preparazione, precauzioni e utilizzo dei sistemi live
  • Introduzione al sistema DEFT e DART
  • Utilizzo di DEFT con i principali OS e filesystem
  • Tipologie di acquisizione forense e formati
  • Attività di preview e triage sicuro con DEFT
  • Acquisizione di memorie di massa
  • Acquisizione di memoria volatile
  • Cenni su acquisizione di smartphone

Giorno 2

  • Verifica e apertura delle immagini forensi
  • Virtualizzazione delle immagini
  • Recupero dei dati cancellati
  • Analisi dei metadati
  • Ricostruzione delle attività tramite timeline e supertimeline
  • Rilevamento di compromissioni
  • Analisi delle periferiche USB utilizzate
  • Analisi dei documenti aperti e utilizzati
  • Estrazione di evidenze tramite Bulk Extractor e Autopsy

Giorno 3

  • Riepilogo su metodologie e strumenti di acquisizione
  • Acquisizione di memorie di massa via rete
  • Acquisizione di dispositivi iOS
  • Acquisizione di dispositivi Android
  • Analisi di file pList e database SQLite

Giorno 4

  • Introduzione a DART
  • Panoramica degli strumenti presenti in DART
  • Utilizzo di DART in DEFT
  • Incident response
  • Cracking di password e creazione di dizionari
  • Network forensics
  • Gestione di un incidente informatico
  • Riepilogo degli argomenti

Per informazioni sui costi, sconti di pre-iscrizione, contatti o registrazione al corso di digital forensics e informatica forense, per l’edizione in corso e quelle successive, potete contattare lo Studio agli indirizzi indicati nella pagina contatti.