IL RISCHIO E’ MOBILE!MATTIA EPIFANI

DIGITAL FORENSICS EXPERT & CEO @ REALITY NET – SYSTEM SOLUTIONS

PRESIDENTE @ ASSOCIAZIONE DIGITAL FORENSICS ALUMNI (DFA)

COSA VEDREMO

Perché il rischio è “mobile”

OWASP Top 10 Mobile Risks

Esempi concreti e reali di minacce

L’utilizzo dei sistemi di Cloud su dispositivi “mobile”

Contromisure e protezioni

PERCHÉ IL RISCHIO È MOBILE?

Negli ultimi anni gli smartphone e i tablet sono entrati prepotentemente sul mercato e nella nostra vita quotidiana

Sono utilizzati sia a livello personale sia a livello aziendale (corporate vs. BYOD)

Li utilizziamo per scopi tradizionali e per svolgere attività che prima facevamo con il computer

Memorizziamo contatti, facciamo telefonate, inviamo SMS

Navighiamo su Internet, consultiamo la posta elettronica, utilizziamo diverse forme di comunicazione (Skype, WhatsApp, Viber, Facebook, Linkedin, Twitter, ecc.)

Acquistiamo oggetti, viaggi e servizi

Accediamo al conto corrente

E soprattutto…non ci preoccupiamo di sapere se i nostri dati sono al sicuro!

MOBILE MARKET SHARE

OWASP TOP 10 MOBILE RISKS

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

ACCESSO A INFORMAZIONI SENSIBILI

Dati sensibili dell’utente possono essere memorizzati all’interno del dispositivo in modo non sicuro

Username, passwords, cookies, authentication tokens, location data

A volte dipende dall’applicazione e dal suo programmatore

Memorizzazione di credenziali in modo non cifrato all’interno di file di testo, plist, database SQLite

Dipendenza da una master password debole

"The mobileak project: Forensics methodology for mobile application privacy assessment,“Stirparo, P.; Kounelis, I.,http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6470964&isnumber=6470811

A volte dipende dall’utente/azienda che non configurano in modo adeguato il dispositivo seguendo le linee guida

ACCESSO A INFORMAZIONI SENSIBILI

Nel 2012 Elcomsoft ha presentato uno studio svolto sulle 17

applicazioni di password storage più famose su iOS e

BlackBerry

10 su 17 sono risultate insicure e accessibili in meno di un

giorno!

http://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf

ACCESSO A INFORMAZIONI SENSIBILI

Utilizzando iTunes è possibile effettuare un backup di un dispositivo iOS

Per poter effettuare il backup è necessario che

Il telefono non sia protetto da codice di blocco, oppure

Conoscere il codice di blocco, oppure

Avere a disposizione i certificati di sincronizzazione del dispositivo presenti su un computer trusted

Il file keychain conserva le password delle reti WiFi, delle caselle di posta elettronica e delle applicazioni di terze parti che decidono di utilizzarlo

Se il backup non è cifrato il file keychain è cifrato utilizzando una chiave hardcoded nel dispositivo

Se il backup è cifrato con password il file keychain è cifrato utilizzando la password scelta dell’utente

ACCESSO A INFORMAZIONI SENSIBILI

Se l’attaccante riesce a mettere le mani su un telefono sbloccato può:

Fare un backup scegliendo la password che desidera

Fare “cracking” del backup…con la password nota

Accedere ai dati presenti nel telefono…e alle password memorizzate nel keychain

Se l’attaccante (es. vicino di scrivania, moglie/marito) ha anche accesso al computer

della vittima allora può bypassare il codice di blocco estraendo i certificati di

sincronizzazione (cartella Lockdown) e ritrovarsi nel caso precedente

ACCESSO A INFORMAZIONI SENSIBILI

ICLOUD

iCloud permette agli utenti di effettuare il backup di iPhone online, per

consentire il ripristino dei dati anche su un altro dispositivo (es. in caso di

sostituzione)

Le uniche informazioni necessarie per accedere a un backup memorizzato su iCloud

sono le credenziali dell’utente

Le credenziali dell’utente….possono essere memorizzate nel dispositivo…

ICLOUD

I ricercatori della software house russa Elcomsoft hanno analizzato il protocollo di

comunicazione tra iDevice e Apple iCloud e sono riusciti ad emulare i comandi

corretti per recuperare il contenuto dello storage iCloud di un utente

(http://cansecwest.com/slides/2013/Cracking%20and%20Analyzing%20Apple%20iClou

d.ppt)

Le operazioni di download sono completamente trasparenti all’utente

proprietario del dispositivo ed è quindi possibile “tenere sotto controllo” le

attività dell’utente stesso, ovvero monitorare ogni volta che viene creato un

nuovo backup

ICLOUD

ICLOUD

ICLOUD

IPHONE BACKUP ANALYZER

CODICI DI BLOCCO

L’accesso al dispositivo può essere impedito utilizzando un codice di

blocco

Tipicamente in ambiente aziendale tale codice è un requisito necessario

a livello di policy e con gestione centralizzata

E’ possibile attivare funzionalità di wiping dei dati o di blocco del

telefono dopo un certo numero di inserimenti errati (es. 10 tentativi)

Tuttavia anche l’utilizzo di codici di blocco sul dispositivo può essere in

alcuni casi inutile…

BYPASS DEL CODICE DI BLOCCO - IOS

Su tutti i dispositivi iOS con processore fino a A4 (iPhone 4, iPad) un

codice di blocco a 4 cifre può essere violato in 20 minuti circa

La tecnica consiste nell’avviare il dispositivo in modalità DFU e caricare

direttamente in RAM un sistema operativo

iOS Data Protection Tools (opensource)

iOS Forensic Toolkit (commerciale, Elcomsoft)

UFED Touch (commerciale, Cellebrite)

Mobile Phone Examined (commerciale, AccessData)

IPHONE DATA PROTECTION TOOLS

CODICE DI BLOCCO - BLACKBERRY

I dispositivi BlackBerry possono

essere bloccati e cifrati con un

codice

Quando un telefono è locked, è

necessario fornire il codice

Per accedere al dispositivo

Per effettuare un backup

BYPASS DEL CODICE DI BLOCCO - BLACKBERRY

I telefoni BlackBerry contengono solitamente una

Memory Card, il cui contenuto può essere in chiaro o

cifrato

Se il contenuto è in chiaro la Memory Card può essere

estratta e letta su un altro dispositivo (telefono o

computer), rendendo l’accesso ad alcuni dati molto

semplice

Se l’utente decide di cifrare il contenuto della Memory

Card può scegliere tra

Device

Security Password

Security Password & Device

BYPASS DEL CODICE DI BLOCCO - BLACKBERRY

La chiave cifrata viene memorizzata nella memory card

all’interno del file \BlackBerry\System\info.mkf

In questo modo posso fare un attacco bruteforce

offline….e quindi senza attivare i sistemi di blocco e/o

wiping del dispositivo!

Un codice a 4 cifre viene decifrato in tempo reale

E’ possibile effettuare attacchi a PIN complessi o a

passcode utilizzando metodi a wordlist o bruteforce

MOBILE THREAT REPORT (F-SECURE)

MALWARE VS PUA

MOBILE THREAT REPORT (F-SECURE)

Q4 2012 / Q1 2013

ANDROID MOBILE MALWARE

Android è la piattaforma più colpita dai malware

Piattaforma diffusa

Possibilità di installare applicazioni dal market ufficiale (Google Play) o da market alternativi (Amazon, Aptoide, Blackmat, ecc.)

Verifica solo parziale del funzionamento di un applicazione da parte di Google Bouncer

Solo Google Play

Solo analisi dinamica

Solo per 5 minuti…e se il malware parte dopo 6??

Rimozione basata unicamente su feedback degli utenti

E’ tipico trovare applicazioni “cracckate” che sono state modificate inserendo una parte di codice malevolo

ANDROID MOBILE MALWARE

Diverse classificazioni, in funzione dello scopo del Malware

Furto di credenziali dell’utente

Invio di SMS a numeri premium

Botnet

Ecc.

Android Malware Genome Project

http://www.malgenomeproject.org/

Raccolta di 1.200 malware tra il 2010 e il 2011, con relativa classificazione e principali

caratteristiche

ANDROID MOBILE MALWARE

Per identificare un malware si può fare:

Analisi statica

Analisi dinamica

Per l’analisi statica si possono utilizzare scanner online

Virustotal.org

Andrototal.org (Politecnico di Milano)

Mobilesandbox.org

Oppure fare reverse dell’applicazione…

ANDROID MOBILE MALWARE – ANALISI STATICA

Le applicazioni Android sono sviluppate prevalentemente in linguaggio Java

Il compilatore trasforma il codice sorgente in file class e successivamente in file DEX (Dalvik Executable)

Gli eseguibili DEX sono inseriti all’interno di file APK (Android Package), con altri file di supporto (file XML, immagini dell’applicazione, ecc.)

Un file APK è quindi, sostanzialmente, un file ZIP contenente

File classes.dex (eseguibile)

File AndroidManifest.xml (permessi richiesti dall’applicazione)

Cartelle META-INF e RES (risorse aggiuntive dell’applicazione)

ANALISI APP ICALENDAR

Applicazione per la gestione di un calendario appuntamenti

http://securityxploded.com/demystifying-android-malware.php

Verifico il malware utilizzando Virus Total

ANALISI APP ICALENDAR

Visualizzo il contenuto del file utilizzando un software di decompressione

ANALISI APP ICALENDAR

Visualizzo il contenuto del file AndroidManifest.xml per vedere i permessi

richiesti dall’applicazione

uses-permission

#android.permission.INTERNET

#android.permission.ACCESS_COARSE_LOCATION

#android.permission.RESTART_PACKAGE

#android.permission.RECEIVE_SMS

#android.permission.SEND_SMS

#android.permission.SET_WALLPAPER

ANALISI APP ICALENDAR

Converto il file DEX in file class (utilizzando DEX2JAR)

ANALISI APP ICALENDAR

Decompilo il file JAR utilizzando JD-GUI

ANALISI APP ICALENDAR

Cerco di identificare elementi sospetti…

ANALISI APP ICALENDAR

Identifico il numero di telefono

ANALISI APP ICALENDAR

Continuo ad analizzare il codice sorgente…

ANALISI APP ICALENDAR

Continuo ad analizzare il codice sorgente…

ANALISI APP ICALENDAR

Continuo ad analizzare il codice sorgente…

ANALISI APP ICALENDAR

In conclusione…

L’applicazione invia un messaggio SMS al numero 1066185829 con

il testo 921X1

In background blocca la ricezione di messaggi da questo numero

in modo tale che la vittima non riceva risposta

Il messaggio viene inviato solo una volta, per evitare attività di

unsubscribe o sospetti da parte dell’utente

SIDE CHANNEL DATA LEAKAGE

I sistemi operativi mobile memorizzano al loro interno informazioni sulle attività

dell’utente

Alcune informazioni possono essere cancellate con facilità dall’utente

Altre sono memorizzate automaticamente e di più complessa rimozione

Screenshot delle applicazioni

Dizionario dell’utente

Localizzazioni GPS

SNAPSHOT DELLE APPLICAZIONI

In iOS sono scattate

automaticamente per gestire lo

switching delle applicazioni

(zoom in-out)

Snapshot dello schermo salvato

all’interno del file system

Possibilità di recuperare anche file

cancellati attraverso operazioni di

carving…

DIZIONARIO DELL’UTENTE

In iOS Il file di testo dynamic-

text.dat contiene le parole digitate

per semplificare la scrittura con la

tastiera su schermo

L’ordine cronologico delle

parole permette spesso di

estrarre frasi di senso

compiuto!

LOCALIZZAZIONI GPS

Il file consolidated.db salva leinformazioni relative a hotspotWi-Fi e celle agganciate, conrelativo timestamp e coordinategeografiche

Fino iOS 4.3 conservate per unanno, salvate nel backup in chiaroanche se la geolocalizzazione eradisattivata!

Da iOS 4.4 conservate per 7 giorni esolo se la geolocalizzazione è attiva

E comunque non è poco…

AUTENTICAZIONE BASATA SU VALORI FISSI

Un’altra categoria di problema che si può presentare è l’utilizzo di sistemi di autenticazione basata su valori fissi

Esempio: hash MD5 dell’IMEI del telefono o del MAC Address della scheda WiFi

Un problema simile è stato riscontrato in WhatsApp (settembre 2012)http://www.oversecurity.net/2012/09/17/whatsapp-hacked-impersioniamo-unaltra-persona/

Android md5(strrev($imei))

BlackBerry md5(strrev($imei))

iOS md5($wlanMAC$wlanMAC)

https://github.com/venomous0x/WhatsAPI

CONTROMISURE?

Utilizzare codici di sblocco complessi (non 4 cifre…)

Scegliere una password per il backup del telefono

Attivare funzionalità di wiping remoto

Verificare sempre l’applicazione che si installa (p.es. installare un anti-malware sul

telefono)

In azienda impedire l’installazione di applicazioni non autorizzate

Effettuare attività di PenTesting sui dispositivi e sulle applicazioni installate

Educare gli utenti!!

DFA (DIGITAL FORENSICS ALUMNI)

L’Associazione Digital Forensics Alumni (DFA) nasce nel 2009 da un’iniziativa di

persone provenienti dal mondo giuridico, tecnico e investigativo

Offrire eventi di aggiornamento formativo e approfondimento gratuiti e aperti al

pubblico

Creare un patrimonio formativo nell’ambito della Digital Forensics e valorizzare le

competenze di ogni socio in una prospettiva di crescita collettiva grazie alla condivisione

Offrire un servizio di newsletter mensile sulle ultime novità della Digital Forensics, per

tenersi sempre aggiornati (anche per i non soci)

Se sei interessato a seguire le nostre attività puoi iscriverti alla nostra

newsletter mensile!

www.perfezionisti.it

info@perfezionisti.it

Q&A?

Mattia Epifani

Digital Forensics Expert

Owner @ REALITY NET – System Solutions

Presidente DFA

CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC

Mail mattia.epifani@realitynet.it

Linkedin http://www.linkedin.com/in/mattiaepifani