携帯電話がスパイスイートに感染しているかどうかを法医学的に判断するにはどうすればよいですか？

Question

電話機に変更を加えずに、スパイウェアソフトウェアが電話機にインストールされていることを法医学的に判断する最良の方法は何ですか？

私はスパイウェアソフトウェア（CellSpyNow）がインストールされている疑いがあるブラックベリーとiPhone 4の電話を持っています。元従業員が会社の所有する電話に電話を置いたままソフトウェアをインストールしたことが疑われます。

他の作業を通じて、CellSpyNow Webフロントエンドが個人によって使用されたという証拠があり、SMSが傍受されて対処されたという他の疑いがあります。

このようなソフトウェアは、SMS、通話データ、カメラの写真などを攻撃者に提供するように設計されており、通常はユーザー名/パスワードを使用して攻撃者がアクセスできる中央のWebサイトにアップロードされます。

e-sushi · Accepted Answer

私があなたの立場にいた場合、個別のモバイルデバイスの完全な画像を取得して、別の独立したシステムを使用して画像を法医学的に分析します…

関連するモバイルデバイスに何もインストールする必要はありません。好きなツール、必要なツール、必要なツールを使用して、他のシステムのデバイスイメージを分析できます。
必要に応じて（「疑わしいデータや悪意のあるデータのクリーンアップ」の意味で）画像を変更し、チェックおよびクリーンアップしたイメージを個々のモバイルデバイスにプッシュして戻すことができます。
必要に応じて、法医学的証拠および法的証拠として機能できるモバイルデバイスの画像があります。

そのようなデバイスイメージの作成方法と分析方法がわからないが、デバイスが実際に侵害されていることがほぼ確実である場合は、情報セキュリティの専門家から専門家の支援を受けるときです。この場合、最善の選択はフォレンジックアナリストです。

さらに、商業環境（職場/会社）に関係する可能性がある状況について説明しているため、デバイスのセキュリティを侵害した人物を実際に特定した場合に備えて、法的助言を求める必要もあります。

ご存知かもしれませんが、政府機関や機関（「通常の警察」を含む）は、法医学アナリストなどの専門家にアクセスできます。おそらく、それらは"securing proof"および"defending your rights"（法的意味で）に関してはあなたの最良の選択です。

上記のアプローチは、法的な影響が重要性を増し始めたときに良い立場を提供しながら、あまり影響を与えずにセキュリティ問題のループを閉じる可能性が高いです。

[〜＃〜]編集[〜＃〜]

次の情報が役立ちます。

SANS：中小企業のインシデント処理プロセス（PDF）
SANS：FORENSICS PLAN GUIDE （PDF）

何をするにしても、デジタル証拠を破壊しないでください。そのため、私は自分で調査や分析を行うのではなく、法医学アナリストに助言しています。そして正直に言いましょう。デジタルフォレンジックの訓練を受けていれば、そもそも質問をしなかったでしょう。代わりに、インシデント管理の6つのフェーズを適用します。

準備
識別
封じ込め
根絶
回復
トレーニング

…適切な手続きとツールを使用する。

[〜＃〜]編集[〜＃〜]

コメント（s）がiPhoneとiPadのイメージングについて話しているため、フォレンジックの目的でイメージングについて話すとき、私は"専門のデジタルフォレンジックソフトウェア"について話していることに注意したいと思います。アナリストの個々のニーズと目的に適合します。

これは、iPhone/iPadで（状況とニーズに応じて）使用する現在利用可能なツールのリストです。

Black Bag Technology Mobilyze
セレブライトUFED
EnCaseニュートリノ
FTS iXAM
iPhoneアナライザー
iPhoneデータ保護
〜iPhoneをイメージ化および復号化できる一連のツール。このツールは、iPhoneの4桁の数字のパスワードを総当たりすることさえできます。
iOS Forensic Research（法執行機関のみが利用可能！）
〜多くの中で、Jonathan ZdziarskiはiPhone、iPad、iPod Touchをイメージするツールをリリースしました。
カタナ法医学ランタン
libimobiledevice
〜iPhoneをバックアップするためのユーティリティを備えたライブラリ。出力形式は、従来のツールで確認できるiTunesスタイルのバックアップです。これらは、Debianテストパッケージlibimobiledeviceおよびlibimobiledevice-utilsで利用できます。
Logicube CellDEK
MacLockピック
マイクロシステム.XRY
モバイル同期ブラウザ
Nuixデスクトップとプルーフファインダー
〜iOSおよびiPhoneから多くのデータベースを検出および分析し、HFSX dd画像を直接取り込むことができるツール。
Oxygen Forensic Suite 2010
パラベンデバイスの発作
SpyPhone

Android、Blackberry、その他のモバイルデバイス用の適切なツールをリストアップしておきます。それぞれに独自のフォレンジックツールセットがあります。法医学の専門家なら誰でも知っているので、実際にはツールのリストは必要ないはずです。そうでなければ、あなたはまだデジタルフォレンジックの専門家ではありません…。

ここで、デジタルフォレンジックについてもう少し詳しく知りたい場合は、

http://www.forensicswiki.org/wiki/Main_Page

これは、フィールドで教育を受けていない人にかなり良いheads-up情報を提供します。

また、 "iPhone and iOS Forensics" のような主題に関する本もいくつか読んでください。

数十冊の本を読んで、自分のデバイスでそれを試して手が汚れた後も、デジタルフォレンジックに関心がある場合は、デジタルフォレンジックに関する適切な教育に連絡することをお勧めします。それは興味深い分野であり、私が言うときあなたは私を信頼することができます："それは決して退屈しません。"

AJ Henderson · Answer

最も簡単な方法は、セルラーモデムを無効にし、Wi-Fiに接続したままにすることです。その後、予期しないサーバーへの接続を監視します。これは、セルラートラフィックへのアクセスを試みるよりもはるかに簡単です。