Oddio, mi hanno taroccato l’aifon!!

forensics_1200x800

A seguito dei miei precedenti articoli sull’analisi dei tabulati telefonici, sulle intercettazioni telefoniche ed ambientali e su altri temi simili mi sono arrivate varie domande di questo tipo: “il mio telefono fa X ed Y. Mi stanno spiando? Se si, come posso ripulire il mio telefono?”

Provo a rispondere qui di seguito.

L’analisi forense dei telefoni cellulari

In realtà, il problema che stiamo cercando di risolvere è uno dei vari problemi che fanno parte di una disciplina tecnica nota come “mobile forensics”, cioè “analisi forense dei dispositivi mobili”. Si tratta di una disciplina vasta, complessa ed affascinante che forse merita un piccolo approfondimento. Provo a raccontarvi di cosa si tratta qui di seguito.

Se questo approfondimento non vi interessa, andate direttamente agli ultimi paragrafi dell’articolo.

Com’è fatto un cellulare

Dal nostro particolare punto di vista, un cellulare (o smartphone) è in realtà un oggetto composto da almeno tre diverse “unità logiche”:

  1. Una SIM (che contiene l’identificatore della scheda, noto come IMSI, la rubrica dei contatti e la memoria degli SMS)
  2. Una memoria centrale (che contiene altri numeri telefonici, SMS e MMS, applicazioni, dati delle applicazioni ed altra roba. Il “device”, inoltre, contiene anche un identificatore univoco noto come IMEI).
  3. Una SD card (una “flash memory”) ausiliaria che contiene ancora altri dati.

Questo tre oggetti devono ovviamente essere analizzati in modi diversi ed usando strumenti diversi.

Sensori ed applicazioni

I moderni telefoni cellulari (e gli smartphone in particolare) sono dei temibili strumenti di spionaggio soprattutto perché sono possono vantare una ricchissima dotazione di sensori come, ad esempio:

  • GPS, A-GPS e Bussole magnetiche
  • Microfoni
  • Fotocamere e telecamere
  • Sensori di posizione e di prossimità
  • Sensori di luminosità
  • Rilevatori di segnali Wi-Fi e Bluetooth

e via dicendo.

Non solo: questi sensori sono quasi sempre asserviti ad applicazioni software molto raffinate che sono in grado di incrociare i dati provenienti da più sensori e/o di eseguire raffinati ragionamenti sulla base di queste informazioni. Un esempio classico sono i sistemi che riescono a determinare la posizione geografica del dispositivo anche in assenza del GPS, usando come riferimenti le fonti di segnali radio che si trovano nelle vicinanze (cella GSM, hot-spot wi-fi, etc.).

Operare su delle copie

Prima di procedere è meglio sottolineare un punto: l’analisi si esegue sempre su delle copie dei dati (su dei backup) MAI sugli originali. Di conseguenza, la nostra prima preoccupazione deve essere quella di creare delle copie dei dati che ci interessano.

Strumenti di analisi

Esistono appositi lettori di SIM card che si collegano ad un PC via USB. Grazie a questi dispositivi è possibile copiare il contenuto della SIM sull’hard disk del PC ed analizzarlo con calma, usando appositi programmi.

La SIM deve però essere sbloccata usando l’apposito PIN (detenuto dall’utente) o l’apposito PUK (detenuto dall’utente ma spesso anche dal gestore telefonico).

La SD Card può essere analizzata usando un normale adattatore da SD per i PC ed i soliti programmi per l’analisi del disco. Si tratta infatti di una semplice unità di memoria di massa esterna.

L’analisi del telefono e della sua memoria interna richiede invece un apposito strumento di analisi, prodotto da aziende specializzate e dal costo di qualche migliaio di euro.

Ne trovate un esempio qui:

http://www.cellebrite.com/forensic-products.html?loc=seg

Il software necessario per l’analisi del telefono e per la rimozione di eventuali “virus” (“malware”, più esattamente) è disponibile sul web. Cercatelo con Google o con un altro motore di ricerca. Ricordatevi di inserire tra i parametri della ricerca il produttore del telefono, il modello e magari qualche parola che identifichi i sintomi come “scarsa durata batteria” o “display che si accende senza motivo”. Vi consiglio di cercare tra il materiale pubblicato in lingua inglese (il mondo parla Inglese, Cinese e Spagnolo, non Italiano. L’informatica parla SOLO inglese…)

Protezione durante l’analisi

Può non essere subito evidente a tutti ma un telefono cellulare è una stazione radio ricevente e trasmittente e resta tale anche durante le operazioni di analisi. Di conseguenza, è necessario isolarlo per evitare che prima o durante l’analisi possa succedere una di queste tre cose:

  1. Qualcuno, dall’esterno, invii al telefono via radio un segnale con l’intento di alterare o cancellare delle tracce.
  2. Arrivi comunque un segnale che può alterare lo stato del sistema, anche se puramente accidentale (un SMS di auguri, un messaggio di riconfigurazione dell’operatore, etc.).
  3. Il telefono invii all’esterno dei segnali, magari diretti al suo proprietario e destinati ad informarlo dei tentativi di analisi.

Per questa ragione, di solito il telefono viene piazzato in una gabbia di Faraday e mantenuto staccato dall’alimentazione (con le conseguenze del caso) e dai PC (niente cavetti USB…).

I telefoni cellulari normalmente NON possono essere spenti perché sono quasi sempre protetti da un PIN noto solo all’utente. Ecco perché è meglio avere con sé vari tipi di alimentatore.

Le Fake SIM

Molti telefoni non funzionano senza SIM. Per questa ragione, alcuni produttori di strumenti di analisi forense vendono delle apposite “fake SIM” da usare durante l’analisi.

Queste fake SIM permettono al telefono di avviarsi e di funzionare ma non gli permettono di collegarsi alla rete e di comunicare.

La SD Card

Le “memory card” dei cellulari sono delle normalissime flash memory come quelle usate dalle fotocamere e come tali possono essere trattate. Qualunque programma di navigazione sul file system va bene ma esistono anche molti programmi appositi. Si possono usare anche i vari programmi di “undelete” usati sugli hard disk.

Di solito, sulla SD Card vengono memorizzati soprattutto le immagini ed i filmati ripresi con la telecamera di bordo, i documenti creati con le applicazioni installate e, in alcuni casi, gli SMS e gli MMS inviati e ricevuti.

Si tratta quindi, molto spesso, del materiale più interessante. Se si considera che la SD Card può essere facilmente rimossa o sostituita, è facile capire quanto sia facile “farsi fregare” delle informazioni “sensibili”.

La SIM

La SIM è, in realtà, una “smart card”, non molto diversa da una carta di credito di ultima generazione, che contiene al suo interno una piccola quantità di memoria flash (identica alle SD Card). Sulla SIM vengono memorizzati soprattutto i contatti (numeri di telefono). Oltre a questo, la SIM contiene un apposito codice che identifica l’utente presso il fornitore di servizi, il famoso codice IMSI.

L’analisi della SIM è leggermente più complessa di quella di una SD Card perché la SIM è, a tutti gli effetti pratici, un vero computer e come tale non può essere letta e scritta come se fosse un dispositivo passivo, come un hard disk. Inoltre, la SIM è protetta da un apposito PIN che, di solito, è in possesso dell’utente e che viene chiesto al momento dell’accensione del dispositivo. Per questa ragione, di solito non è possibile spegnere il telefono prima di procedere all’analisi.

Il PIN può essere scoperto in vari modi (ad esempio riprendendo l’utente con la telecamera mentre lo digita) ma è possibile bypassare la protezione offerta dal PIN anche chiedendo (per vie legali) il PUK al venditore del dispositivo e/o al fornitore di accesso alla rete telefonica (spesso i due operatori coincidono).

Una volta noto il PIN e/o il PUK, è possibile accedere alla SIM lasciandola installata sul telefono e collegando il telefono ad un PC via cavetto USB (o via Bluetooth o altri collegamenti radio, anche se questa pratica è MOLTO pericolosa). In alternativa, la SIM può essere rimossa ed inserita in un apposito adattatore collegato al PC.

In ogni caso, una volta ottenuto l’accesso alla SIM, è possibile scaricare i dati che essa contiene ed esaminarli usando un normale programma di backup e/o di sincronizzazione. Ad esempio, per i cellulari Nokia (Symbian) si può usare l’ottimo Gnokii (Open Source): http://www.gnokii.org/ .

La memoria interna

Nei cellulari, come in quasi tutti i piccoli dispositivi, la memoria principale viene usata sia come memoria “operativa” (quella che nei PC è la RAM) sia come memoria di massa (cioè come hard disk o, più esattamente, come disco virtuale). Questo perché la RAM viene mantenuta (quasi) sempre alimentata (il dispositivo non viene quasi mai spento). Di conseguenza, è normale trovare nella memoria principale del dispositivo una certa quantità di SMS, di MMS, di riprese video e cose simili. Questo è un altro motivo per non spegnere il dispositivo prima di effettuare l’analisi.

A fianco di questa memoria principale è poi presente una certa quantità di memoria “flash”, identica a quella delle SD Card, che viene usata come disco fisso a stato solido (SSD). In questa memoria vengono conservati i dati di praticamente tutte le applicazioni e le applicazioni stesse: rubrica, agenda, SMS, MMS, video, audio, etc.

Accedere a questi due tipi di memoria è possibile solo usando un programma che sia installato sul dispositivo, ragion per cui si tratta di una operazione che comporta qualche rischio e che comunque altera lo stato originario del sistema (insomma: un’operazione non più ripetibile e non reversibile).

Esistono alcuni programmi per quasi ogni tipo di telefono ma spesso sono prodotti e forniti da aziende specializzate e vendute a prezzi non esattamente popolari. UFED di Cellbrite lo abbiamo già citato per cui qui ne trovate un altro:

http://www.guidancesoftware.com/

http://www.encaseondemand.com/Neutrino/tabid/1184/txtSearch/neutrino/CategoryID/50/List/1/Level/a/ProductID/84/Default.aspx?SortField=ProductName%2CProductName

Il malware e gli strumenti di rimozione

Il malware (virus, worm, trojan horse, programmi spia e via dicendo) solitamente risiede sulla stessa memoria flash usata dal dispositivo per memorizzare le normali applicazioni, cioè il suo disco fisso allo stato solito (SSD). Esaminare quest’area di memoria è solitamente possibile solo installando sul dispositivo un apposito programma (operazione che, come ho già detto, comporta qualche rischio). Nello stesso modo, è necessario installare sul dispositivo un apposito programma per rimuovere eventuali programmi spia e cose simili.

Non sempre è disponibile un programma adatto allo scopo e non tutti i programmi esistenti funzionano come dovrebbero. Per questo motivo solitamente è meglio cambiare telefono che perdere tempo nel tentativo di ripulire un telefono che si sospetta essere infetto.

Il numero di telefono e la SIM possono essere mantenuti. Tuttavia, se la posta in gioco è elevata, è meglio prendere l’abitudine di cambiare telefono e SIM ad intervalli brevi ed irregolari in modo da spiazzare gli eventuali spioni che facciano uso di malware per perseguire i loro scopi. Il numero di telefono può essere mantenuto anche in questo caso.

L’unico caso in cui è necessario cambiare anche il numero di telefono è quando si sospetta una intercettazione sulla linea, non sul telefono. Considerando che, in pratica, solo la Polizia ed i Servizi Segreti sono in grado di eseguire una intercettazione sulla linea, questa eventualità dovrebbe essere abbastanza rara.

Il cellulare come keyhole

Come ho già detto, il telefono è in realtà una stazione radio ricevente e trasmittente e tale rimane anche durante l’analisi. Questo vuol dire che basta lasciarlo acceso per ricevere chiamate ed SMS. Queste informazioni spesso permettono di dare un’occhiata sul mondo che il proprietario del telefono frequenta. Addirittura, si può sondare la risposta dei suoi amici e dei suoi contatti lanciando degli SMS ed MMS ben congegnati dal telefono della vittima. Insomma: un telefono rubato può diventare un vero “buco della serratura” (“keyhole”) attraverso il qual studiare il mondo sociale della vittima.

Per questo un telefono rubato deve sempre essere disabilitato.

Per disabilitare un telefono rubato bisogna presentare un’apposita domanda al fornitore di connettività telefonica ed accompagnarla con il numero IMEI del dispositivo, il numero IMSI della SIM e la denuncia di furto.

Avete un programma spia sul telefono se…

In linea di principio, potete sospettare che qualcuno vi abbia installato sul telefono un programma spia se rilevate uno o più dei seguenti sintomi:

  1. La batteria dura molto meno del normale (non più del 30% del normale), segno che il telefono è sempre in funzione, anche se non sembra.
  2. La bolletta del telefono sembra esplosa (segno che pagate per telefonate o traffico di cui non avete consapevolezza)
  3. Il display si accende (si illumina) senza apparente motivo.
  4. I comandi non rispondono come dovrebbero.
  5. I vostri amici vi dicono che spesso trovano la linea occupata e voi non vi ricordate di essere stati così tanto al telefono.
  6. Il telefono non conserva correttamente gli SMS spediti (perché li cancella nel tentativo di nascondere quelli che invia allo spione).

Il fatto di ricevere telefonate misteriose, magari da numeri decisamente insoliti (come +00000000000), non è invece segno di infezione o di spionaggio. Piuttosto, è il segno che qualcuno, dall’altra parte del “filo” sta cazzeggiando con qualcosa che non sa gestire (Skype, altri sistemi VoIP, centraline telefoniche aziendali, etc.).

Conclusioni

Questo è più o meno tutto quello che c’è da sapere. Se avete domande, usate il sistema dei commenti qui sotto.

Alessandro Bottoni

L’immagine di copertina è stata gentilmente fornita dal 203° battaglione di Intelligence dell’US Army di base all’Aberdeen Proving Ground, nel Maryland.

Comments
3 Responses to “Oddio, mi hanno taroccato l’aifon!!”
  1. Luciano scrive:

    “Per questo motivo solitamente è meglio cambiare telefono che perdere tempo nel tentativo di ripulire un telefono che si sospetta essere infetto.”
    La classica formattazione *#7370# valida per i Nokia non risolve il problema all’origine di eventuali software anomali?
    Grazie

    • Si e no.

      Si perché cancella i dati utente e ripristina la situazione iniziale.

      No perché per effettuare questa operazione utilizza comunque del software che si trova sul telefono (anche se in ROM e quindi non modificabile). Chi ha scritto il programma spia potrebbe aver messo in conto questa eventualità ed aver studiato delle contromisure.

      Tieni presente che se qualcuno è riuscito ad installare un programma spia sul tuo telefono una volta, quasi certamente è in grado di farlo ancora senza grossi problemi, almeno sullo stesso telefono o su un telefono molto simile. Per questo è meglio cambiare telefono, possibilmente con uno di tipo diverso.

      Inoltre, non tutti i telefoni dispongono di funzioni (affidabili) per la formattazione per cui, in generale, non si può consigliare questa procedura.

Trackbacks
Check out what others are saying...
  1. […] qui di seguito un mio vecchio articolo, già apparso sul mio vecchio blog a questo indirizzo:https://alessandrobottoni.wordpress.com/2011/02/12/oddio-mi-hanno-taroccato-laifon/ ]A seguito dei miei precedenti articoli sull’analisi dei tabulati telefonici, sulle […]



Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: