La Cellular o Mobile Forensics \u00e8 la scienza che si occupa di recuperare prove da dispositivi mobili, conservandone l\u2019integrit\u00e0 probatoria mediante l\u2019uso di idonee metodologie di estrazione e di analisi. In campo investigativo, le informazioni ricavate da tali dispositivi sono sempre pi\u00f9 richieste come elementi probatori.<\/p>\n\n\n\n
Per loro natura i dispositivi mobili contengono potenziali prove digitali: sms; mms; rubrica telefonica; ultimi contatti; posizioni gps; connessioni internet e a reti wifi, ecc\u2026. L\u2019estrazione di tali informazioni necessitano, per\u00f2, di un protocollo di acquisizione e di analisi atto a preservare l\u2019integrit\u00e0 probatoria di tali informazioni e la fruibilit\u00e0 delle stesse in aule giudiziarie.<\/p>\n\n\n\n
Essenzialmente esistono due differenti tipologie di acquisizione:<\/p>\n\n\n\n
Logica \u2013 copia dei dati e ricostruzione mediante software (open source o e-commerce) ed interfacce dedicate che collegano il dispositivo mobile al pc <\/li>
Fisica \u2013 copia dei dati mediante estrazione fisica dei chip di memoria.<\/li><\/ul>\n\n\n\n
Quello di cui vorrei parlare oggi \u00e8 l\u2019estrazione logica dei dati presenti sulla famiglia dei dispositivi iPad, iPod, iPhon mediante software \u201copen source\u201d ed un comunissimo MacBook.<\/p>\n\n\n\n
\n \n \nL\u2019esigenza nasce dalla possibilit\u00e0 che per una volta (in realt\u00e0 capita spesso causa mancanza di fodi) bisogna estrarre i dati, di un iPad, senza l\u2019adeguato struttura hardware e software di tipo ferense. A tal fine \u00e8 possible estrarre i dati importanti utilizzando un software free\/open source per Mac preservando l\u2019integrit\u00e0 della memoria del iPad\n<\/td>
\n \n<\/td><\/tr><\/tbody><\/table>\n\n\n\n
Il primo passo \u00e8 quello di effettuare il backup della memoria interna del iPad. Tale operazione pu\u00f2 essere eseguita mediante l\u2019utilizzo di iTunes.<\/p>\n\n\n\n<\/figure>\n\n\n\n
Impostiamo iTunes<\/strong><\/p>\n\n\n\n
Per prima cosa bisogna andare all\u2019interno delle preferenze di iTunes ed assicurarsi che sia spuntata l\u2019opzione: \u201cImpedisci a iPod, iPhone e iPad di sincronizzarsi automaticamente<\/em>\u201d<\/p>\n\n\n\n<\/figure>\n\n\n\n
Successivamente possiamo procedere con il collegamento del iPad con il nostro Mac. Il nostro iPad apparir\u00e0 nella barra a sinistra.Con il pulsante destro del mouse facciamo \u201cclic<\/em>\u201d sul nome del iPad e selezioniamo \u201cbackup<\/em>\u201d.<\/p>\n\n\n\n<\/figure>\n\n\n\n
Una volta che il backup sar\u00e0 effettuato \u00e8 memorizzato nella cartella:<\/p>\n\n\n\n
Nella cartella principale troveremo una serie di files che rappresentano il nostro backup<\/p>\n\n\n\n<\/figure>\n\n\n\n
A conclusione della nostra procedura di acquisizione dobbiamo \u201capporre i sigilli\u201d su i dati acquisiti. Dobbiamo conservare l\u2019integrit\u00e0 probatoria dei dati estratti e non solo da un punto di vista fisico ma anche da un punto di vista logico applicando una vera e propria firma digitale su ogni singolo files mediante un algoritmo di hash.<\/p>\n\n\n\n
Per compiere quest\u2019operazione ho preparato un piccolo script in bash<\/p>\n\n\n\n
Una volta impostati gli opportuni permessi con il comando \u201cchmod 755 md5_script<\/strong>\u201d, lo script permette di salvare su un documento di testo (md5.txt) i codici md5 di ogni singolo files inserito nella cartella di backup che \u00e8 stata creata da iTunes\nIn pratica lo script md5_script esegue un ciclo all\u2019interno della directory impostata come variabile \u201c$1\u201d.
![\"fig02\"\/](\"images\/stories\/apple_forensic\/fig02.png\")
<\/figure>\n\n\n\n![\"fig03\"\/](\"images\/stories\/apple_forensic\/fig03.png\")
<\/figure>\n\n\n\n![\"fig04\"\/](\"images\/stories\/apple_forensic\/fig04.png\")
<\/figure>\n\n\n\n![\"fig05\"\/](\"images\/stories\/apple_forensic\/fig05.png\")
<\/figure>\n\n\n\n![\"fig06\"\/](\"images\/stories\/apple_forensic\/fig06.png\")
<\/figure>\n\n\n\n