Benvenuto in prima pagina

Written by Giuseppe Di Ieva

Saturday, 18 February 2012 14:12

La Cellular o Mobile Forensics è la scienza che si occupa di recuperare prove da dispositivi mobili, conservandone l’integrità probatoria mediante l’uso di idonee metodologie di estrazione e di analisi. In campo investigativo, le informazioni ricavate da tali dispositivi sono sempre più richieste come elementi probatori.

Per loro natura i dispositivi mobili contengono potenziali prove digitali: sms; mms; rubrica telefonica; ultimi contatti; posizioni gps; connessioni internet e a reti wifi, ecc…. L’estrazione di tali informazioni necessitano, però, di un protocollo di acquisizione e di analisi atto a preservare l’integrità probatoria di tali informazioni e la fruibilità delle stesse in aule giudiziarie.

Essenzialmente esistono due differenti tipologie di acquisizione:

Logica – copia dei dati e ricostruzione mediante software (open source o e-commerce) ed interfacce dedicate che collegano il dispositivo mobile al pc

Fisica – copia dei dati mediante estrazione fisica dei chip di memoria.

Quello di cui vorrei parlare oggi è l’estrazione logica dei dati presenti sulla famiglia dei dispositivi iPad, iPod, iPhon mediante software “open source” ed un comunissimo MacBook.

L’esigenza nasce dalla possibilità che per una volta (in realtà capita spesso causa mancanza di fodi) bisogna estrarre i dati, di un iPad, senza l’adeguato struttura hardware e software di tipo ferense. A tal fine è possible estrarre i dati importanti utilizzando un software free/open source per Mac preservando l’integrità della memoria del iPad

fig01

Il primo passo è quello di effettuare il backup della memoria interna del iPad. Tale operazione può essere eseguita mediante l’utilizzo di iTunes.

Impostiamo iTunes

Per prima cosa bisogna andare all’interno delle preferenze di iTunes ed assicurarsi che sia spuntata l’opzione: “Impedisci a iPod, iPhone e iPad di sincronizzarsi automaticamente”

fig03

Successivamente possiamo procedere con il collegamento del iPad con il nostro Mac. Il nostro iPad apparirà nella barra a sinistra.Con il pulsante destro del mouse facciamo “clic” sul nome del iPad e selezioniamo “backup”.

fig04

Una volta che il backup sarà effettuato è memorizzato nella cartella:

/Users/NOMEUTENTE/Library/Application Support/MobileSync/Backup.

fig05

Nella cartella principale troveremo una serie di files che rappresentano il nostro backup

fig06

A conclusione della nostra procedura di acquisizione dobbiamo “apporre i sigilli” su i dati acquisiti. Dobbiamo conservare l’integrità probatoria dei dati estratti e non solo da un punto di vista fisico ma anche da un punto di vista logico applicando una vera e propria firma digitale su ogni singolo files mediante un algoritmo di hash.

Per compiere quest’operazione ho preparato un piccolo script in bash

#!/bin/bash

#############################################################################

# questo script permette di applicare l’algoritmo md5 su una serie di files #

# presenti in una cartella, salvando l’informazione su un file di testo     #

# md5_script - - by GDI                                                     #

#############################################################################

for FILE in $1/*; do

md5 $FILE >> md5.txt

done

Una volta impostati gli opportuni permessi con il comando “chmod 755 md5_script”, lo script permette di salvare su un documento di testo (md5.txt) i codici md5 di ogni singolo files inserito nella cartella di backup che è stata creata da iTunes
In pratica lo script md5_script esegue un ciclo all’interno della directory impostata come variabile “$1”.

./md5_script /Users/NOMEUTENTE/Library/ApplicationSupport/MobileSync/Backup/NOMEBACKUP


Siamo alla fine dell’opera. Abbiamo il nostro backup, abbiamo il nostro file di testo con le firme digitali eseguite su ogni singolo files di backup, 
ma non abbiamo un’informazione intellegibile, non abbiamo la c.d. copia Polizia Giudiziaria. 
La copia Polizia Giudiziaria è una copia utile per eseguire i lavori di analisi sulle informazioni contenute all’interno del nostro backup.
Vi è un ottimo software gratuito per MacOSX e Windows che consente di estrarre singoli files presenti nel backup fatto da iTunes: 
JuicePhone (http://www.addpod.de/juicephone.)Una volta installato, basta scegliere il nome del dispositivo che si desidera aprire il backup, scegliere la posizione in cui si desidera
estrarre i file ed eseguire una completa estrazione.
I file sono estratti nella directory di nostra scelta, secondo la logica Apple
Le applicazioni installate sul nostro iPad possono essere analizzate dalla cartella Application Data e le informazioni su i vari programmi 
e utility (rubrica, maps, calendario, ecc….) del iPad nelle Librerie presenti nella directory Home/Library/ecc
Per quanto riguarda i dati testuali (rubrica, note, messaggi di testo, e calendario), questi sono memorizzati all’interno di database
in formato SQLite ed è necessario utilizzare un software speciale per accedervi, ma questo è argomento per un prossimo articolo.

Last Updated on Tuesday, 06 March 2012 08:58

ForLEx Live Acquisition Launcher

Written by Administrator
Sunday, 08 May 2011 19:01
Starting with this version, I inserted a new tool. This is usefull for doing a Live Acquisition of a running system (e.g. its RAM contents). As you know ForLEx is composed by two parts: 1) a bootable Linux Live O.S. with a lot of tools; 2) an auto-runnable tool, named “ForLEx Live Acquisition Launcher” I made this tool because I wanted to give the opportunity, during a live data forensics activity, dumping the RAM and then acquiring physical memory, but also acquiring system target information and capturing screenshots or check the processes running on the system. Of course these operations changes something on the target machine but there is no way to avoid making these changes. In order to conduct a live examination and then to capture data, it is necessary to execute tools on a running system, he execution of each tool will make changes to the running system. When ForLex Live Acquisition Launcher starts up, it shows an important message about target computer’s data protection. Pressing “ACCEPT” the user has redirected to a useful menu where can choose the right utility. In this menu there are three different area : Acquisition : delimits the tools usefull for acquisition of ram or storage "Winen32", a Guidance Software tool for RAM acquisition on 32bit systems "Winen64", a Guidance Software tool for RAM acquisition on 64bit systems "FTK Imager", an Access DATA tool for memory acquisition "RAM By Net", a tool for RAM acquisition in conjuction with NetCat "WINDD", a tool for RAM memory acquisition "MDD", a tool for RAM memory acquisition Inspecting : delimits the tools usefull for acquisition of information “AviScreen”, a freeware screen recorder; “CurrPorts”, allows to have a list of active processes, Process ID, protocol, local port involved, process path and other several information; “WinAudit”: it is the well known tool that allows a complete auditing for windows based computers “Hover Snap”: a freeware snapshot capturer; “PC On/Off time”: a useful tool which gives the possibility to see the timeline of the on/off target machine events. Utility : delimits system utilities "Shell", a system shell "Putty", an ssh client for remote shell "NetCat", an utility usefull to connects by network to another computer We can do PHYSICAL/HARD DRIVE acquisitions in different ways. ForLex provides Winen32 , Winen64, FTK Imager, RAM by Net, WinDD and MDD. All of them, for the execution use right shell residents on the distribution cd-rom. They doesn’t use system’s shell, so if that is corrupted (damaged/poisioned) we will be sure that our operations will not be altered. By the choose of a tool, on the screen will appear the follow message. It means that we can have a shell DOS with the command prompt lighting at the end of path (OPEN DIR) or instead, executing directly (EXECUTE) the tool. If we use RAM by NET (a good method for a minimum impact on the target system), we can choose the IP and Port destination, and the tool will show the command (in red). Clicking ACQUISITION, and before the tool starts the acquisition, the user receives a warning useful to correctly configure the destination. On the destination system we can choose where we want to store the stream capture. Before the user starts the acquisition, he receives a warning useful to control if we are on the right computer. I hope this new tool can be usefull for you forensic experience.
Last Updated on Monday, 09 May 2011 11:56

Menu Principale

Login Form