Home Digital Forensics Mobile Forensics “fruttuosa”

Mobile Forensics “fruttuosa”

lucaPosted on Pubblicato in Digital Forensics

La Cellular o Mobile Forensics è la scienza che si occupa di recuperare prove da dispositivi mobili, conservandone l’integrità probatoria mediante l’uso di idonee metodologie di estrazione e di analisi. In campo investigativo, le informazioni ricavate da tali dispositivi sono sempre più richieste come elementi probatori.

Per loro natura i dispositivi mobili contengono potenziali prove digitali: sms; mms; rubrica telefonica; ultimi contatti; posizioni gps; connessioni internet e a reti wifi, ecc…. L’estrazione di tali informazioni necessitano, però, di un protocollo di acquisizione e di analisi atto a preservare l’integrità probatoria di tali informazioni e la fruibilità delle stesse in aule giudiziarie.

Essenzialmente esistono due differenti tipologie di acquisizione:

  •  Logica – copia dei dati e ricostruzione mediante software (open source o e-commerce) ed interfacce dedicate che collegano il dispositivo mobile al pc
  • Fisica – copia dei dati mediante estrazione fisica dei chip di memoria.

Quello di cui vorrei parlare oggi è l’estrazione logica dei dati presenti sulla famiglia dei dispositivi iPad, iPod, iPhon mediante software “open source” ed un comunissimo MacBook.

    L’esigenza nasce dalla possibilità che per una volta (in realtà capita spesso causa mancanza di fodi) bisogna estrarre i dati, di un iPad, senza l’adeguato struttura hardware e software di tipo ferense. A tal fine è possible estrarre i dati importanti utilizzando un software free/open source per Mac preservando l’integrità della memoria del iPad  

Il primo passo è quello di effettuare il backup della memoria interna del iPad. Tale operazione può essere eseguita mediante l’utilizzo di iTunes.

fig02

Impostiamo iTunes

Per prima cosa bisogna andare all’interno delle preferenze di iTunes ed assicurarsi che sia spuntata l’opzione: “Impedisci a iPod, iPhone e iPad di sincronizzarsi automaticamente

fig03

Successivamente possiamo procedere con il collegamento del iPad con il nostro Mac. Il nostro iPad  apparirà nella barra a sinistra.Con il pulsante destro del mouse facciamo “clic” sul nome del iPad e selezioniamo  “backup”.

fig04

Una volta che il backup sarà effettuato è memorizzato nella cartella:

/Users/NOMEUTENTE/Library/Application Support/MobileSync/Backup.

fig05

Nella cartella principale troveremo una serie di files che rappresentano il nostro backup

fig06

A conclusione della nostra procedura di acquisizione dobbiamo “apporre i sigilli” su i dati acquisiti. Dobbiamo conservare l’integrità probatoria dei dati estratti e non solo da un punto di vista fisico ma anche da un punto di vista logico applicando una vera e propria firma digitale su ogni singolo files mediante un algoritmo di hash.

Per compiere quest’operazione ho preparato un piccolo script in bash

#!/bin/bash
#############################################################################
# questo script permette di applicare l’algoritmo md5 su una serie di files #
# presenti in una cartella, salvando l’informazione su un file di testo     #
# md5_script - - by GDI                                                     #
#############################################################################
for FILE in $1/*; do
md5 $FILE >> md5.txt
done

Una volta impostati gli opportuni permessi con il comando “chmod 755 md5_script”, lo script permette di salvare su un documento di testo (md5.txt) i codici md5 di ogni singolo files inserito nella cartella di backup che è stata creata da iTunes
In pratica lo script md5_script esegue un ciclo all’interno della directory impostata come variabile “$1”.

./md5_script /Users/NOMEUTENTE/Library/ApplicationSupport/MobileSync/Backup/NOMEBACKUP


Siamo alla fine dell’opera. Abbiamo il nostro backup, abbiamo il nostro file di testo con le firme digitali eseguite su ogni singolo files di backup, 
ma non abbiamo un’informazione intellegibile, non abbiamo la c.d. copia Polizia Giudiziaria. 
La copia Polizia Giudiziaria è una copia utile per eseguire i lavori di analisi sulle informazioni contenute all’interno del nostro backup.
Vi è un ottimo software gratuito per MacOSX e Windows che consente di estrarre singoli files presenti nel backup fatto da iTunes: 
JuicePhone (http://www.addpod.de/juicephone.)Una volta installato, basta scegliere il nome del dispositivo che si desidera aprire il backup, scegliere la posizione in cui si desideraestrarre i file ed eseguire una completa estrazione.I file sono estratti nella directory di nostra scelta, secondo la logica AppleLe applicazioni installate sul nostro iPad possono essere analizzate dalla cartella Application Data e le informazioni su i vari programmi e utility (rubrica, maps, calendario, ecc….) del iPad nelle Librerie presenti nella directory Home/Library/eccPer quanto riguarda i dati testuali (rubrica, note, messaggi di testo, e calendario), questi sono memorizzati all’interno di databasein formato SQLite ed è necessario utilizzare un software speciale per accedervi, ma questo è argomento per un prossimo articolo.