Blog

Se l'esame forense di un pc può fornire molte informazioni, l'esame di un cellulare rischia di darcene molte di più.

Mediante indagini di tipo Mobile Forensics è possibile infatti  conoscere e documentare:

- Le telefonate in ingresso e uscita,la loro durata, le chiamate non risposte o gli squlli tipici degli stalker (gli operatori telefonici non registrano le telfontae non risposte o i semplici squlli tipici dello stalker)

- Tabulati degli sms e mms
- Contenuto degli sms e mms anche cancellati (gli operatori non hanno il contenuto degli sms/mms)
- Cronologia della navigazione web
- Malware che hanno agito sul telefono
- Registrazioni di conversazioni telefoniche
- Foto e video, e quando il telefono rispone di un sistma gps anche le coordinate del luogo dove è stata scattata la foto e i riferimenti temporali
- Percorsi seguiti con navigatori satellitari installati in un celluare,  con relativi riferimenti temporali

 

 Non è forse il vostro telefono il più affidabile testimone di ciò che avete fatto? sicuramente ricorda avvenimenti che voi non ricordavate

Molti di noi utilizzano il token otp per generare il codice di accesso per il proprio homebanking, pochi immaginano la presenza di menù e infomazioni varie. Proviamo a dare uno sguardo più approfondito al nostro token, per praticità utilizzerò quello che mi fornisce la mia banca, un modello Vasco Digipass and Go, brandizzato dalla banca.
Premendo il pulsante presente sul token si genera il codice di accesso per l'homebanking, se teniamo premuto il pulsante dopo qualche secondo compare un menù con 3 voci
SECONDS
BATTERY
ID


In corrispondenza di ognuna di queste  si pussono vedere i seguenti dati:

SECONDS->SEC FT xxxxxxxxxx (numero di 10 cifre che cambia nella sola parte finale)

BATTERY-> xx (numero di due cifre; fra una prova e l’altra rimane costante)
ID ->dp xxxxxxxxxx (numero di 10 cifre che rimane costante)

Presumibilmente i dati sono riconducibili ai seguenti

SECONDS->SEC FT xxxxxxxxxx Potrebbe trattarsi del clock del dispositivo , la sigla fa pensare a Seconds Floating Time
BATTERY-> xx  questa è certamente il livello di carica della batteria incorporata
ID ->dp xxxxxxxxxx questa è l’ID della chiave di tratta di un modello nel caso in esame, digipass, identificato dalla sigla dp, e il numero di 10 cifre è il seriale.

Ora indipendentemente dal modello di otp time o event based  quello che desta la mia attenzione e, da esperto di sicurezza, la mia preoccupazione è il fatto che questi dati (sec ft xxxxxxxxxx e dp xxxxxxxxxx )a cui tutti possono avere accesso, siano utilizzati per la generazione della sequenza token. Se questi dati rappresentassero un input per la generazione della sequenza otp si potrebbe interpolando un gran numero di rilevazioni approssimare l’algoritmo di generazione dei token e "indovinare" le password generabili da un token.

Un'altro aspetto estremamente interessante è nascosto nella parte posteriore del token dove sotto l'etichetta sono presenti 6 fori di cui non comprendo l’utilità. Infatti se fossero per evitare l'accumuolo di umidità sul circuito non dovrebbero essere tappati dall'etichetta; mi viene quindi da pensare che  possano essere una porta di accesso al circuito stampato della chiave.
Non provate ad aprire il vostro token perchè si autodistruggerà e non potrete più usarlo per l'accesso all'homebanking tantomeno per fare le vostre indagini. Non so se i token sono protetti come le smartcard da scansioni a raggi x che ne rilevino la struttura; magari in una prossima puntata trovando un'apparecchiatura adeguata faccio questa verifica.

 

Gli OTP ovvero i token one time password  hanno sostituito da qualche anno la classica username e password nell'accesso all'home banking. Questi strumentio sono sempre stati definiti estremamente sicuri, o ancora peggio strumenti di strong authentication.  Purtroppo non sono così sicuri e il processo di autenticazione non è così strong come dicono. Infatti quado tutti i dati di una chiave forte di autenticazione vengon passati attraverso lo stesso canale, il web, è facile studiare soluzioni per catturare quell'informazione e usarla al posto del reale proprietario. E' quello che è stato fatto da malware come Zeus e le sue varianti.

circa un mese fa c'è stato poi un attacco a RSA che "sembra" abbia permesso ad ignoti di entrare in possesso degli algoritmi utilizzati per i token SecureID (http://blog.ironkey.com/?p=1165, http://blogs.gartner.com/avivah-litan/2011/03/19/rsa-securid-incident-should-serve-as-a-wake-up-call-on-strong-otp-user-authentication/). Naturalmente RSA ha tenuto il massimo riserbo sull'accaduto.  A distanza di un mese non sono stato chiarito cosa realmente è stato rubato e le le circaostanze che hanno portato a questa compromissione. Tutto questo con buona pace dei mezzi di informazione  delle centinai di banche che si affindano a questi token. Nel frattempo decine di milioni di utenti ingari dell'accaduto continuano ad usare i propri token SecureID, certi di avere lo strumento più sicuro. E' questione di aspettare dai 3 ai 6 mesi per vedere i primi veri attacchi basati sui dati rubati.