Certamente è inutile, nel 2011, sottolineare quanto l’analisi dei telefoni cellulari e in generale dei sistemi portatili come i tablet, sia diventata parte fondamentale dell’informatica forense: l’ubiquità di tali oggetti e la loro importanta nella vita quotidiana è ovvia. Nel loro trattamento come evidenze però sono da sempre presenti delle criticità che non affliggono l’analisi di normali PC: sono sistemi tecnicamente molto meno trasparenti e standardizzati, difficilmente accessibili, e soprattutto difficilmente analizzabili in modo forense senza modificarne in nessun modo lo stato.
Gli strumenti per la loro analisi sono evoluti dai tool creati per l’utente normale con lo scopo di fare copie di sicurezza dei dati contenuti nel telefono (backup), fino alle soluzioni proprietarie attuali che in molti casi permettono anche una copia a basso livello. In generale però le soluzioni commerciali sono molto costose e lasciano l’analista a dipendere in toto dal supporto della casa produttrice relativamente alle prestazioni del prodotto e anche ai modelli supportati; il rovescio della medaglia è che l’uso di strumenti software e/o hardware “conosciuti” toglie responsabilità in merito ai risultati ottenuti ed è più facilmente accettato dai destinatari finali dell’analisi – magistrati, avvocati o clienti che siano.
Ci sono comunque degli strumenti alternativi che possono essere utilissimi per gli analisti forensi, permettono di superare talvolta le limitazioni delle soluzioni commerciali e comunque non dovrebbero mancare nell’arsenale di chiunque si occupi di digital forensics e in particolare di mobile forensics: le flasher box. Usualmente il prodotto comprende la “box” vera e propria – una scatolina – collegata al PC via USB, un set di cavi di collegamento dedicati, specifici per ogni modello di telefono e il software di gestione.
Questi dispositivi nascono ad uso dei laboratori di assistenza e dei negozi di telefonia e hanno visto la loro diffusione iniziale soprattutto in Asia e Medio Oriente, oltre che in Russia. Alcuni degli utilizzi per cui sono stati sviluppati non sono propriamente legali o sono al limite della legalità, almeno per gli standard occidentali: sbloccare le limitazioni imposte dagli operatori sui telefoni, sbloccare le limitazioni sull’uso delle (U)SIM, addirittura nei modelli che lo permettono sovrascrivere l’IMEI del terminale. Permettono però anche – sempre sovrascrivendo il firmware – di aggiungere supporti per lingue diverse o di aggiornare il firmware stesso. Ma – aspetto di interesse per l’analisi forense – danno la possibilità di accedere a basso livello alla memoria del telefono.
Alcune flasher box: è mostrato il lato da collegare al telefono (connettore RJ-45 o dedicati)
Alcune flasher box: è mostrato il lato da collegare al PC (porte USB)
Lati positivi e opportunità
L’aspetto economico e di costo non è da sottovalutare: la spesa per una soluzione basata su flasher box per l’analisi dei cellulari è di un ordine di grandezza più bassa di quella per dotarsi di una soluzione commerciale “mainstream“. A fronte del costo di 100-200 $ le soluzioni commerciali richiedono un investimento di migliaia di dollari (o euro), senza contare per molte di loro gli onerosi ed obbligatori contratti di “assistenza” o “aggiornamento” con canone annuale. L’offerta dei prodotti commerciali sembra ritagliata su misura per gli utenti governativi o comunque pubblici, per cui le considerazioni di budget in molti casi non sono un problema…
Il rapporto prestazioni/prezzo delle soluzioni alternative è infinitamente più alto, anche considerando la necessità di dotarsi di più prodotti per coprire un buon numero di telefoni presenti sul mercato. Per gli operatori privati e i consulenti indipendenti queste soluzioni sono assolutamente da considerare.
Ma al di là delle valutazini strettamente economiche, le prestazioni tecniche delle box sono notevoli. In generale permettono di leggere il contenuto della memoria flash del telefono a livello di byte e in modo completo, generando quello che viene definito hexdump. Ovviamente l’estrazione cosiddetta fisica non è possibile in tutti i casi e per tutti i modelli, come peraltro accade per tutti i tool per l’analisi dei telefoni. In alcuni casi è possibile estrarre solo un formato intermedio oppure solo i dati ad alto livello. Se l’estrazione a basso livello è possibile però, dal dump generato è possibile recuperare molto del contenuto cancellato dall’utente. L’accesso alla memoria è possibile anche se il telefono è danneggiato, senza batteria, senza SIM oppure con SIM bloccata. Non è neppure necessario che il telefono sia alimentato per procedere alla lettura della flash.
Le flasher box supportano un numero elevato di modelli di telefoni, di tutte le marche, ed anche per esempio modelli diffusi al di fuori dell’Europa come le miriadi di cellulari “Cinesi”. Anche se le soluzioni commerciali nel corso del tempo stanno migliorando sensibilmente il loro supporto, il gap non è stato ancora chiuso.
Cautele
Le flasher box sono strumenti che in mano ad un analista esperto sono utilissimi: la parola chiave è esperto. Non sono strumenti “point and click” e in mano a personale non instruito nelle procedure possono portare facilmente all’alterazione od anche alla distruzione definitiva dell’evidenza.
Come abbiamo visto non sono tool creati per l’analisi forense quindi per lo più non hanno capacità avanzate di logging e non hanno capacità integrate di hashing: deve essere cura dell’analista documentare le procedure seguite e validare i risultati. Inoltre, non essendo pensati per questo scopo, non c’è una garanzia assoluta che il software legga solamente dalla memoria, senza scrivere nulla: per questo software e hardware vanno verificate e validate dall’analista prima di utilizzarli su evidenze reali.
Esempio di telefono collegato alla box con cavo dedicato per l’analisi.
Molti dei software di gestione delle box si serve di connessioni crittate sulla porta USB e questo può essere un problema per l’utilizzo dei risultati: una possibile – complessa – soluzione è l’uso di monitorare a basso livello il traffico USB durante l’acquisizione.
Esistono numerose flasher box sul mercato, con denominazioni che a volte si sovrappongono, a marchio e senza marchio, con software aggiornato molto spesso, con supporto per differenti insiemi di modelli e marche. Orientarsi all’inizio può essere complicato, così come la gestione del materiale in laboratorio.
L’analisi dei dump a basso livello può essere complicata e necessitare del tempo; questo però è un tratto comune alla mobile forensics in generale. Inoltre è possibile usare i tool proprietari (FTK, EnCase eventualmente con EnScripts) per l’analisi dei dump acquisiti dalla box, oltre che vari strumenti liberi.
La maggior parte dei software hanno bisogno di essere connessi a Internet per “chiamare casa”, in ogni caso per gli upgrade e molto spesso anche durante la normale attività. Dove possibile è consigliabile separare la postazione di analisi – non connessa – da quella usata per l’upgrade del software.
Avvertenze e modalità d’uso
Vanno osservate le linee guida consolidate per le acquisizioni e le analisi forensi in generale e per la mobile forensics in particolare. L’intera attività va documentata il più dettagliatamente possibile.
Viste le particolari caratteristiche di questi strumenti, la box e il relativo software va sperimentato e validato prima di utilizzarlo su evidenze reali, verificandone il comportamento e i risultati.
Le flash box vanno utilizzate in parallelo ad altri strumenti convenzionali: questa cautela vale in generale per tutti gli strumenti per l’analisi dei cellulari.
Visto che, come esposto prima, questi non sono strumenti creati per l’utilizzo forense, vanno incorporate nelle procedure per il loro uso alcune cautele: l’uso di tool forensi per validare i dati estratti dalla box (hashing) prima di analizzare o anche solo di aprire il file creato; la conservazione e validazione dei log dell’attività del software se vengono creati; la documentazione anche fotografica delle opzioni e dei comandi usati.
Conclusioni
Flasher boxes have many positive sides and are a tool that, when used carefully and in the context of detailed guidelines and procedures, can bring surprising results in a very cost-effective way.
There is a lot more to be said on this topic, in the future we’ll delve more in the technicald details, proposed procedures and case histories.
Bibliografia
Michael Harrington – Hex dumping primer, parte I e parte II Marwan Al-Zarouni – Introduction to mobile phone flasher devices and considerations for their use in mobile phone forensics – Australian Digital Forensics 2007
