Upload
festival-ict-2014
View
527
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
IL RISCHIO E’ MOBILE!MATTIA EPIFANI
DIGITAL FORENSICS EXPERT & CEO @ REALITY NET – SYSTEM SOLUTIONS
PRESIDENTE @ ASSOCIAZIONE DIGITAL FORENSICS ALUMNI (DFA)
COSA VEDREMO
Perché il rischio è “mobile”
OWASP Top 10 Mobile Risks
Esempi concreti e reali di minacce
L’utilizzo dei sistemi di Cloud su dispositivi “mobile”
Contromisure e protezioni
PERCHÉ IL RISCHIO È MOBILE?
Negli ultimi anni gli smartphone e i tablet sono entrati prepotentemente sul mercato e nella nostra vita quotidiana
Sono utilizzati sia a livello personale sia a livello aziendale (corporate vs. BYOD)
Li utilizziamo per scopi tradizionali e per svolgere attività che prima facevamo con il computer
Memorizziamo contatti, facciamo telefonate, inviamo SMS
Navighiamo su Internet, consultiamo la posta elettronica, utilizziamo diverse forme di comunicazione (Skype, WhatsApp, Viber, Facebook, Linkedin, Twitter, ecc.)
Acquistiamo oggetti, viaggi e servizi
Accediamo al conto corrente
E soprattutto…non ci preoccupiamo di sapere se i nostri dati sono al sicuro!
MOBILE MARKET SHARE
OWASP TOP 10 MOBILE RISKS
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
ACCESSO A INFORMAZIONI SENSIBILI
Dati sensibili dell’utente possono essere memorizzati all’interno del dispositivo in modo non sicuro
Username, passwords, cookies, authentication tokens, location data
A volte dipende dall’applicazione e dal suo programmatore
Memorizzazione di credenziali in modo non cifrato all’interno di file di testo, plist, database SQLite
Dipendenza da una master password debole
"The mobileak project: Forensics methodology for mobile application privacy assessment,“Stirparo, P.; Kounelis, I.,http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6470964&isnumber=6470811
A volte dipende dall’utente/azienda che non configurano in modo adeguato il dispositivo seguendo le linee guida
ACCESSO A INFORMAZIONI SENSIBILI
Nel 2012 Elcomsoft ha presentato uno studio svolto sulle 17
applicazioni di password storage più famose su iOS e
BlackBerry
10 su 17 sono risultate insicure e accessibili in meno di un
giorno!
http://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf
ACCESSO A INFORMAZIONI SENSIBILI
Utilizzando iTunes è possibile effettuare un backup di un dispositivo iOS
Per poter effettuare il backup è necessario che
Il telefono non sia protetto da codice di blocco, oppure
Conoscere il codice di blocco, oppure
Avere a disposizione i certificati di sincronizzazione del dispositivo presenti su un computer trusted
Il file keychain conserva le password delle reti WiFi, delle caselle di posta elettronica e delle applicazioni di terze parti che decidono di utilizzarlo
Se il backup non è cifrato il file keychain è cifrato utilizzando una chiave hardcoded nel dispositivo
Se il backup è cifrato con password il file keychain è cifrato utilizzando la password scelta dell’utente
ACCESSO A INFORMAZIONI SENSIBILI
Se l’attaccante riesce a mettere le mani su un telefono sbloccato può:
Fare un backup scegliendo la password che desidera
Fare “cracking” del backup…con la password nota
Accedere ai dati presenti nel telefono…e alle password memorizzate nel keychain
Se l’attaccante (es. vicino di scrivania, moglie/marito) ha anche accesso al computer
della vittima allora può bypassare il codice di blocco estraendo i certificati di
sincronizzazione (cartella Lockdown) e ritrovarsi nel caso precedente
ACCESSO A INFORMAZIONI SENSIBILI
ICLOUD
iCloud permette agli utenti di effettuare il backup di iPhone online, per
consentire il ripristino dei dati anche su un altro dispositivo (es. in caso di
sostituzione)
Le uniche informazioni necessarie per accedere a un backup memorizzato su iCloud
sono le credenziali dell’utente
Le credenziali dell’utente….possono essere memorizzate nel dispositivo…
ICLOUD
I ricercatori della software house russa Elcomsoft hanno analizzato il protocollo di
comunicazione tra iDevice e Apple iCloud e sono riusciti ad emulare i comandi
corretti per recuperare il contenuto dello storage iCloud di un utente
(http://cansecwest.com/slides/2013/Cracking%20and%20Analyzing%20Apple%20iClou
d.ppt)
Le operazioni di download sono completamente trasparenti all’utente
proprietario del dispositivo ed è quindi possibile “tenere sotto controllo” le
attività dell’utente stesso, ovvero monitorare ogni volta che viene creato un
nuovo backup
ICLOUD
ICLOUD
ICLOUD
IPHONE BACKUP ANALYZER
CODICI DI BLOCCO
L’accesso al dispositivo può essere impedito utilizzando un codice di
blocco
Tipicamente in ambiente aziendale tale codice è un requisito necessario
a livello di policy e con gestione centralizzata
E’ possibile attivare funzionalità di wiping dei dati o di blocco del
telefono dopo un certo numero di inserimenti errati (es. 10 tentativi)
Tuttavia anche l’utilizzo di codici di blocco sul dispositivo può essere in
alcuni casi inutile…
BYPASS DEL CODICE DI BLOCCO - IOS
Su tutti i dispositivi iOS con processore fino a A4 (iPhone 4, iPad) un
codice di blocco a 4 cifre può essere violato in 20 minuti circa
La tecnica consiste nell’avviare il dispositivo in modalità DFU e caricare
direttamente in RAM un sistema operativo
iOS Data Protection Tools (opensource)
iOS Forensic Toolkit (commerciale, Elcomsoft)
UFED Touch (commerciale, Cellebrite)
Mobile Phone Examined (commerciale, AccessData)
IPHONE DATA PROTECTION TOOLS
CODICE DI BLOCCO - BLACKBERRY
I dispositivi BlackBerry possono
essere bloccati e cifrati con un
codice
Quando un telefono è locked, è
necessario fornire il codice
Per accedere al dispositivo
Per effettuare un backup
BYPASS DEL CODICE DI BLOCCO - BLACKBERRY
I telefoni BlackBerry contengono solitamente una
Memory Card, il cui contenuto può essere in chiaro o
cifrato
Se il contenuto è in chiaro la Memory Card può essere
estratta e letta su un altro dispositivo (telefono o
computer), rendendo l’accesso ad alcuni dati molto
semplice
Se l’utente decide di cifrare il contenuto della Memory
Card può scegliere tra
Device
Security Password
Security Password & Device
BYPASS DEL CODICE DI BLOCCO - BLACKBERRY
La chiave cifrata viene memorizzata nella memory card
all’interno del file \BlackBerry\System\info.mkf
In questo modo posso fare un attacco bruteforce
offline….e quindi senza attivare i sistemi di blocco e/o
wiping del dispositivo!
Un codice a 4 cifre viene decifrato in tempo reale
E’ possibile effettuare attacchi a PIN complessi o a
passcode utilizzando metodi a wordlist o bruteforce
MOBILE THREAT REPORT (F-SECURE)
MALWARE VS PUA
MOBILE THREAT REPORT (F-SECURE)
Q4 2012 / Q1 2013
ANDROID MOBILE MALWARE
Android è la piattaforma più colpita dai malware
Piattaforma diffusa
Possibilità di installare applicazioni dal market ufficiale (Google Play) o da market alternativi (Amazon, Aptoide, Blackmat, ecc.)
Verifica solo parziale del funzionamento di un applicazione da parte di Google Bouncer
Solo Google Play
Solo analisi dinamica
Solo per 5 minuti…e se il malware parte dopo 6??
Rimozione basata unicamente su feedback degli utenti
E’ tipico trovare applicazioni “cracckate” che sono state modificate inserendo una parte di codice malevolo
ANDROID MOBILE MALWARE
Diverse classificazioni, in funzione dello scopo del Malware
Furto di credenziali dell’utente
Invio di SMS a numeri premium
Botnet
Ecc.
Android Malware Genome Project
http://www.malgenomeproject.org/
Raccolta di 1.200 malware tra il 2010 e il 2011, con relativa classificazione e principali
caratteristiche
ANDROID MOBILE MALWARE
Per identificare un malware si può fare:
Analisi statica
Analisi dinamica
Per l’analisi statica si possono utilizzare scanner online
Virustotal.org
Andrototal.org (Politecnico di Milano)
Mobilesandbox.org
Oppure fare reverse dell’applicazione…
ANDROID MOBILE MALWARE – ANALISI STATICA
Le applicazioni Android sono sviluppate prevalentemente in linguaggio Java
Il compilatore trasforma il codice sorgente in file class e successivamente in file DEX (Dalvik Executable)
Gli eseguibili DEX sono inseriti all’interno di file APK (Android Package), con altri file di supporto (file XML, immagini dell’applicazione, ecc.)
Un file APK è quindi, sostanzialmente, un file ZIP contenente
File classes.dex (eseguibile)
File AndroidManifest.xml (permessi richiesti dall’applicazione)
Cartelle META-INF e RES (risorse aggiuntive dell’applicazione)
ANALISI APP ICALENDAR
Applicazione per la gestione di un calendario appuntamenti
http://securityxploded.com/demystifying-android-malware.php
Verifico il malware utilizzando Virus Total
ANALISI APP ICALENDAR
Visualizzo il contenuto del file utilizzando un software di decompressione
ANALISI APP ICALENDAR
Visualizzo il contenuto del file AndroidManifest.xml per vedere i permessi
richiesti dall’applicazione
uses-permission
#android.permission.INTERNET
#android.permission.ACCESS_COARSE_LOCATION
#android.permission.RESTART_PACKAGE
#android.permission.RECEIVE_SMS
#android.permission.SEND_SMS
#android.permission.SET_WALLPAPER
ANALISI APP ICALENDAR
Converto il file DEX in file class (utilizzando DEX2JAR)
ANALISI APP ICALENDAR
Decompilo il file JAR utilizzando JD-GUI
ANALISI APP ICALENDAR
Cerco di identificare elementi sospetti…
ANALISI APP ICALENDAR
Identifico il numero di telefono
ANALISI APP ICALENDAR
Continuo ad analizzare il codice sorgente…
ANALISI APP ICALENDAR
Continuo ad analizzare il codice sorgente…
ANALISI APP ICALENDAR
Continuo ad analizzare il codice sorgente…
ANALISI APP ICALENDAR
In conclusione…
L’applicazione invia un messaggio SMS al numero 1066185829 con
il testo 921X1
In background blocca la ricezione di messaggi da questo numero
in modo tale che la vittima non riceva risposta
Il messaggio viene inviato solo una volta, per evitare attività di
unsubscribe o sospetti da parte dell’utente
SIDE CHANNEL DATA LEAKAGE
I sistemi operativi mobile memorizzano al loro interno informazioni sulle attività
dell’utente
Alcune informazioni possono essere cancellate con facilità dall’utente
Altre sono memorizzate automaticamente e di più complessa rimozione
Screenshot delle applicazioni
Dizionario dell’utente
Localizzazioni GPS
SNAPSHOT DELLE APPLICAZIONI
In iOS sono scattate
automaticamente per gestire lo
switching delle applicazioni
(zoom in-out)
Snapshot dello schermo salvato
all’interno del file system
Possibilità di recuperare anche file
cancellati attraverso operazioni di
carving…
DIZIONARIO DELL’UTENTE
In iOS Il file di testo dynamic-
text.dat contiene le parole digitate
per semplificare la scrittura con la
tastiera su schermo
L’ordine cronologico delle
parole permette spesso di
estrarre frasi di senso
compiuto!
LOCALIZZAZIONI GPS
Il file consolidated.db salva leinformazioni relative a hotspotWi-Fi e celle agganciate, conrelativo timestamp e coordinategeografiche
Fino iOS 4.3 conservate per unanno, salvate nel backup in chiaroanche se la geolocalizzazione eradisattivata!
Da iOS 4.4 conservate per 7 giorni esolo se la geolocalizzazione è attiva
E comunque non è poco…
AUTENTICAZIONE BASATA SU VALORI FISSI
Un’altra categoria di problema che si può presentare è l’utilizzo di sistemi di autenticazione basata su valori fissi
Esempio: hash MD5 dell’IMEI del telefono o del MAC Address della scheda WiFi
Un problema simile è stato riscontrato in WhatsApp (settembre 2012)http://www.oversecurity.net/2012/09/17/whatsapp-hacked-impersioniamo-unaltra-persona/
Android md5(strrev($imei))
BlackBerry md5(strrev($imei))
iOS md5($wlanMAC$wlanMAC)
https://github.com/venomous0x/WhatsAPI
CONTROMISURE?
Utilizzare codici di sblocco complessi (non 4 cifre…)
Scegliere una password per il backup del telefono
Attivare funzionalità di wiping remoto
Verificare sempre l’applicazione che si installa (p.es. installare un anti-malware sul
telefono)
In azienda impedire l’installazione di applicazioni non autorizzate
Effettuare attività di PenTesting sui dispositivi e sulle applicazioni installate
Educare gli utenti!!
DFA (DIGITAL FORENSICS ALUMNI)
L’Associazione Digital Forensics Alumni (DFA) nasce nel 2009 da un’iniziativa di
persone provenienti dal mondo giuridico, tecnico e investigativo
Offrire eventi di aggiornamento formativo e approfondimento gratuiti e aperti al
pubblico
Creare un patrimonio formativo nell’ambito della Digital Forensics e valorizzare le
competenze di ogni socio in una prospettiva di crescita collettiva grazie alla condivisione
Offrire un servizio di newsletter mensile sulle ultime novità della Digital Forensics, per
tenersi sempre aggiornati (anche per i non soci)
Se sei interessato a seguire le nostre attività puoi iscriverti alla nostra
newsletter mensile!
www.perfezionisti.it
Q&A?
Mattia Epifani
Digital Forensics Expert
Owner @ REALITY NET – System Solutions
Presidente DFA
CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail [email protected]
Linkedin http://www.linkedin.com/in/mattiaepifani