Studija slučajaDF istraga Android smart telefona

Prof. dr Gojko Grubor

UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE

-Master studije-

Scenario

• Android Smart telefone koristi firma “XY”• Ni jedan telefon nema AV zaštitu• Ne postoji politika zaštite mobilnih uređaja • Zbog odliva informacija firma oštećena na tržištu• Zbog sumnje na interni napad glavni menadžer angažovao

digitalnog forenzičara

Zahtev za forenzičku analizu

• Prvi zadatak: – utvrditi prirodu napada (spolja, iznutra)– otkriti tip napada (direktan, malver)– otkriti kako je zaražen poslovni IS

• Ispitivanje IS nije pokazalo tragove napada• Preduzeta forenzička istraga smart telefona• Ispitivanju podvrgnuti svi telefoni menadžera• Za analizu su korišćeni verzije otvorenog koda:

– Adroit Photo Forensics 2013 – za analizu smart telefona – Belkasoft - za kloniranje diskova i analizu RAMa– Softverski USB Write Blocker – za blokiranje upisivanja u

fazi kloniranja

USB write blocker-Android tel. se priključuje na USB forenzičkog računara preko USB blokatora upisivanja

Adroit Photo Forensics 2013 -priprema

1

23

4 (folder sa slikama sa interneta)

5

Adroit Photo Forensics 2013 -analiza

Adroit Photo Forensics 2013 –kraj analize

21

Adroit Photo Forensics 2013 –otkrivena slika (1)

Adroit Photo Forensics 2013 –izveštaj(2)

Izveštaj očitan u Google Hrome pretraživaču

Adroit Photo Forensics 2013 - dokumentovana analiza

Verifikacija procesa analize-Alat Belkasoft za kloniranje diska-

Belkasoft Evidence Center Ultimate - analiza

New Case

Belkasoft Evidence Center Ultimate – izbor analize

Dodavanje putanje klona koji se analizira

Belkasoft Evidence Center Ultimate – izbor analize

Odabir delova klona koji se analiziraju

Skenirani: pozivi, SMS poruke, instalirane aplikacije sa malverom, Voice over IP, Viber i WhatsUp

Belkasoft Evidence Center Ultimate –analiza u toku

Belkasoft Evidence Center Ultimate – verifikacija heša

Belkasoft Evidence Center Ultimate – izvoz rezultata

Belkasoft Evidence Reader NetPregled rezultata

Rezultati forenzičke analize Android smart telefona

• Rezultate analize forenzičar je predao glavnom menadžeru firme• Rekonstrukcija slučaja:

– Android tel. menadžera firme zaražen sa TextTracker (Trojanac keylogger)

– Trojanac je slao poverljive informacije napadaču bez znanja korisnika• Glavni menadžer je obavestio zaposlene da:

– nije bilo internog napada i da je – u pitanju korupcija mobilnog telefona

• Zbog nedostatka politike zaštite mobilnih telefona u firmi: – neoprezni menadžer nije mogao biti sankcionisan – čak ni disciplinskom merom, bez obzira na učinjenu štetu

• Menadžer je zbog učinjene štete odobrio:– izradu Politike zaštite mobilnih uređaja– nabavku antivirusnih programa i – obaveznu zaštitu svih smart telefona u firmi.