28. studija slučaja
DESCRIPTION
Studija slucaja - DFTRANSCRIPT
Studija slučajaDF istraga Android smart telefona
Prof. dr Gojko Grubor
UNIVERZITET SINERGIJASAVREMENE INFORMACIONE TEHNOLOGIJE
-Master studije-
Scenario
• Android Smart telefone koristi firma “XY”• Ni jedan telefon nema AV zaštitu• Ne postoji politika zaštite mobilnih uređaja • Zbog odliva informacija firma oštećena na tržištu• Zbog sumnje na interni napad glavni menadžer angažovao
digitalnog forenzičara
Zahtev za forenzičku analizu
• Prvi zadatak: – utvrditi prirodu napada (spolja, iznutra)– otkriti tip napada (direktan, malver)– otkriti kako je zaražen poslovni IS
• Ispitivanje IS nije pokazalo tragove napada• Preduzeta forenzička istraga smart telefona• Ispitivanju podvrgnuti svi telefoni menadžera• Za analizu su korišćeni verzije otvorenog koda:
– Adroit Photo Forensics 2013 – za analizu smart telefona – Belkasoft - za kloniranje diskova i analizu RAMa– Softverski USB Write Blocker – za blokiranje upisivanja u
fazi kloniranja
USB write blocker-Android tel. se priključuje na USB forenzičkog računara preko USB blokatora upisivanja
Adroit Photo Forensics 2013 -priprema
1
23
4 (folder sa slikama sa interneta)
5
Adroit Photo Forensics 2013 -analiza
Adroit Photo Forensics 2013 –kraj analize
21
Adroit Photo Forensics 2013 –otkrivena slika (1)
Adroit Photo Forensics 2013 –izveštaj(2)
Izveštaj očitan u Google Hrome pretraživaču
Adroit Photo Forensics 2013 - dokumentovana analiza
Verifikacija procesa analize-Alat Belkasoft za kloniranje diska-
Belkasoft Evidence Center Ultimate - analiza
New Case
Belkasoft Evidence Center Ultimate – izbor analize
Dodavanje putanje klona koji se analizira
Belkasoft Evidence Center Ultimate – izbor analize
Odabir delova klona koji se analiziraju
Skenirani: pozivi, SMS poruke, instalirane aplikacije sa malverom, Voice over IP, Viber i WhatsUp
Belkasoft Evidence Center Ultimate –analiza u toku
Belkasoft Evidence Center Ultimate – verifikacija heša
Belkasoft Evidence Center Ultimate – izvoz rezultata
Belkasoft Evidence Reader NetPregled rezultata
Rezultati forenzičke analize Android smart telefona
• Rezultate analize forenzičar je predao glavnom menadžeru firme• Rekonstrukcija slučaja:
– Android tel. menadžera firme zaražen sa TextTracker (Trojanac keylogger)
– Trojanac je slao poverljive informacije napadaču bez znanja korisnika• Glavni menadžer je obavestio zaposlene da:
– nije bilo internog napada i da je – u pitanju korupcija mobilnog telefona
• Zbog nedostatka politike zaštite mobilnih telefona u firmi: – neoprezni menadžer nije mogao biti sankcionisan – čak ni disciplinskom merom, bez obzira na učinjenu štetu
• Menadžer je zbog učinjene štete odobrio:– izradu Politike zaštite mobilnih uređaja– nabavku antivirusnih programa i – obaveznu zaštitu svih smart telefona u firmi.