methodologies and techniques for forensic analysis of mobile phone devices
TRANSCRIPT
![Page 1: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/1.jpg)
Metodologie e tecniche per l'analisi forense di
dispositivi di telefonia mobile
Relatore: Candidata: Chiar.mo Prof. L. Bononi Mariagrazia Cinti Correlatori: Chiar.mo Prof. C. Maioli Dott. M. Ferrazzano
Laurea Magistrale in Scienze di Internet
Bologna, 20 marzo 2014
![Page 2: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/2.jpg)
1. Delineare tematiche Mobile Device Forensics
2. Illustrare metodologie di analisi su dispositivi telefonia cellulare
3. Comparare alcuni software e tecniche di analisi, presentandone i risultati
Agenda
2
![Page 3: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/3.jpg)
Il processo penale
3
«Ogni processo si svolge nel contraddittorio delle parti, in condizione di parità, davanti a giudice terzo e imparziale»
«La persona accusata di un reato ha la facoltà di ottenere l'acquisizione di ogni mezzo di prova a suo favore»
«Principio del contraddittorio nella formazione della prova»
«La legge regola i casi in cui la formazione della prova non ha luogo in contraddittorio per accertata impossibilità
di natura oggettiva»
Disciplinato dall’art. 111 della Costituzione
![Page 4: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/4.jpg)
«Un’informazione generata,
memorizzata o trasmessa
attraverso dispositivi elettronici,
avente valore probatorio»
IOCE – 2000 [Vac12]
Evidenza digitale
4
![Page 5: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/5.jpg)
INDIVIDUAZIONE ACQUISIZIONE E PRESERVAZIONE
ANALISI VALUTAZIONE PRESENTAZIONE
Fasi operative indagini
5
![Page 6: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/6.jpg)
Riconoscibili tre grandi categorie:
•Dispositivi con funzioni di base
•Dispositivi con funzioni avanzate
•Dispositivi smartphone
Evoluzione estremamente rapida,
ampia varietà di configurazioni
Hardware Software
Varietà dispositivi telefonia
6
![Page 7: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/7.jpg)
Micro lettura
Chip-off
Estrazione fisica
Estrazione logica
Estrazione manuale
Livelli di analisi
7
![Page 8: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/8.jpg)
Alterano il sistema operativo del dispositivo
al fine di ottenere accesso ai dati memorizzati
(o per abbassarne livelli di protezione)
Invasive,
tecnicamente e giuridicamente non ripetibili
Rooting in ambiente Android
Jailbreaking in ambiente iOS
Successivamente: acquisizione e analisi
Tecniche di privilege escalation
8
![Page 9: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/9.jpg)
Device Seizure – Paraben DDS – Paraben
Software forensi (1)
9
1. Textual data 2. All data
1. Logical 2. Physical
![Page 10: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/10.jpg)
MOBILedit! – Compelson Oxygen Forensic Suite 2014
Software forensi (2)
10
1. Recommended 2. Advanced
a) with physical dump
b) with logical extraction (selected)
c) with logical extraction (complete)
1. Standard
![Page 11: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/11.jpg)
Dispositivo Android analizzato
11
Vodafone 858 Smart
SO Android ver 2.2.1
• Analisi mediante software forense in ogni modalità
disponibile
Approccio forense
• Analisi post rooting (software forense e non)
Approccio sperimentale
![Page 12: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/12.jpg)
Dispositivo iOS analizzato
12
Apple iPhone 3GS
SO iOS ver 6.1.3
• Analisi mediante software forense in ogni modalità
disponibile
Approccio forense
• Analisi backup di iTunes
• Analisi post jailbreaking (software non forense)
Approccio sperimentale
![Page 13: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/13.jpg)
13
Ris
ulta
ti A
nd
roid
MODALITÀ
1) DDS 1
2) DDS 2
3) Dev.Seizure 1 4) Dev.Seizure 2
5) MOBILedit!
6) Oxygen 1
7) Oxygen 2 8) ROOTING
9) Oxygen 2b
10) Oxygen 2c
...
![Page 14: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/14.jpg)
Analisi forense
pre-rooting
Analisi
sperimentale
post-rooting
Analisi forense
post-rooting
Dati canonici
app di sistema ✔ ✔ ✔
Dati extra
app di sistema ✘ ✔ ✔
Dati app
installate ✘ ✔ ✔
Android in sintesi
14
![Page 15: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/15.jpg)
15
Ris
ulta
ti iO
S MODALITÀ
1) DDS 1
2) DDS 2
3) Dev.Seizure 1
4) Dev.Seizure 2
5) MOBILedit!
6) Oxygen 2b
7) Oxygen 2c
8) JAILBREAKING
9) iTunes
...
![Page 16: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/16.jpg)
Analisi
forense
Analisi
forense
file (*)
Analisi
backup iTunes
Analisi
sperimentale
post-jailbreaking
Dati canonici
app di sistema ✔ ✔ ✔ ✔
Dati extra
app di sistema ✘ ✔ ✔ ✔
Dati app
Facebook ✘ ✘ ✘ ✔
Dati app
WhatsApp ✘ ✔ ✔ ✔
iOS in sintesi
16
![Page 17: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/17.jpg)
Il rooting si rivela fondamentale per poter accedere a tutti i dati di un device Android
Il jailbreaking di iOS non è indispensabile, ma rende disponibili alcune informazioni aggiuntive
Tecniche più efficaci di quelle tradizionali
ma non prive di rischi
In conclusione
17
![Page 18: Methodologies and techniques for forensic analysis of mobile phone devices](https://reader033.vdocument.in/reader033/viewer/2022052910/559b61d11a28ab175f8b47ed/html5/thumbnails/18.jpg)
Grazie dell’attenzione
18