Sicurezza e Giustizia

MAC OSX FORENSIC ANALYSIS (I PARTE)

Facebooktwittergoogle_plusredditpinterestlinkedinmail

di Fabio Massa

In questo numero: 1. Introduzione – 2. Tecniche di acquisizione ed analisi di un computer Macintosh – a) Avvio con CD DVD – b) Avvio Single User – c) Modalità Target Disk
Nel prossimo numero: 3. Machintosh file system – 4. La Radice UNIX – a) System tree – b) Local tree – c) User tree – d) Network tree – 5. Analisi Forense – a) Safari – b) Apple Mail – c) Keychains

 


1- Introduzione
Da un recente sondaggio condotto dalla società di analisi di mercato Asymco (rif. http://www.asymco.com), la Apple inc. ha raggiunto una grossa quota di mercato a livello globale rispetto alla Microsoft in relazione alle vendite combinate di computer, tablet, smartphone, inclusi i sistemi operativi (OSX e IOS). Dal 2012 si assiste ormai ad una diminuzione delle vendite dei computer Windows, a differenza di quanto avviene con i Mac. Il declino dei computer desktop è stato in parte causato dal fenomeno aziendale “Bring Your Own Device”, in sostanza, porta al lavoro il tuo device. Questo ha provocato un cambio radicale nelle abitudini aziendali, e sempre più società si sono dovute adattare ai dispositivi dei dipendenti, soprattutto per contenere i costi: ecco, allora, che anche in ambito IT molte aziende hanno utilizzato sempre più Mac, iPhone e iPad. I dispositivi iOS sono l’altra causa del declino dei computer basati sui sistemi operativi Microsoft. Molti utenti hanno conosciuto per la prima volta i prodotti Apple grazie all’iPhone, poi appurando la bontà dei Mac.

Il continuo espandersi della tecnologia informatica, nella quale è inclusa la sempre più crescente presenza dei computer e dei dispositivi Apple, determina un consequenziale aumento degli episodi di criminalità connessi al mezzo informatico, e di conseguenza una varietà di tipologie di analisi che è costante ritrovare nell’attività di investigazione digitale. Il passaggio di architettura da PPC a Intel ha aumentato esponenzialmente il bacino di utenza della Apple, riconquistando quella fetta di mercato che era di appannaggio delle piattaforme Microsoft a causa della compilazione di software esclusivi per quelle piattaforme.
In relazione a questa esclusività, e della conseguente realtà di nicchia dei sistemi Mac OSX basati su solide fondamenta UNIX, i sistemi Apple non hanno ricevuto la giusta attenzione dal mondo forense, difatti gli studi e le pubblicazioni sull’analisi dei sistemi OSX sono molto limitate e pochissime sono in italiano. Anche per quanto riguarda le investigazioni digitali su Mac OSX i processi di produzione della prova digitale includono le classiche tecniche di acquisizione ed analisi forense idonee a preservare e garantire l’integrità dei dati acquisiti e la ripetibilità dell’accertamento tecnico nelle successive fasi investigative.

Il processo di produzione della prova deve essere chiaro, preciso, accurato e deve rispettare le linee guida internazionali della Digital Forensics. Il processo può essere riassunto in quattro passaggi: il primo è l’identificazione sulla scena del crimine del reperto digitale e la conseguente preservazione adottando tutte le tecniche di messa in sicurezza per evitare inquinamenti di qualsiasi natura, elettromagnetica o fisica. La seconda fase, tra le più importanti, include l’acquisizione dei reperti digitali, particolarmente complessa e delicata per i computer Mac, nei quali il processo di acquisizione deve essere valutato attentamente anche in considerazione del modello, dell’impossibilità di rimozione dell’hard drive interno (es. Solid State Drive) e di altre circostanze caratterizzate dalla singolarità dell’hardware Mac e dei sistemi OSX. Il passo successivo, altrettanto importante, riguarda il processo di validazione delle evidenze digitali acquisite che si basano sull’applicazione di un algoritmo di hash, che garantisce l’integrità e la genuinità dei dati acquisiti, utile per gli accertamenti successivi in ambito processuale, nonché il corretto rispetto della catena di custodia.

Ottenuti i dati si procede alla terza fase ovvero all’accurata analisi dei dati digitali ottenuti dalle copie forensi sulla base delle richieste dettate dall’indagine in corso e delle evidenze digitali utili all’accertamento della verità dei fatti. Infine, l’ultimo passaggio riguarda la compilazione di un report o relazione tecnica che riassume e dettaglia tutte le operazioni eseguite e le risultanze di tale analisi, in modo accurato ed intellegibile. Nel caso specifico, ovvero quando l’oggetto dell’indagine è un computer Mac, è necessario adottare particolari cautele specialmente durante le prime due fasi del processo di produzione della prova, vale a dire la classificazione/raccolta e l’acquisizione, in particolar modo quando si tratta di acquisizione c.d. live, ovvero a macchina in funzione, tecnica alla quale si ricorre, ad esempio, quando a seguito di perquisizione domiciliare il computer del sospettato viene rinvenuto in funzione.

 

…continua su EDICOLeA e sull’APP gratuita (iOSAndroid)

 


Altri articoli di Fabio Massa

  • IL CASO SAN BERNARDINO: APPLE vs FBI
    di Fabio Massa (N. III_MMXVII)
    Il recente caso investigativo americano ha suscitato numerose discussioni di carattere tecnico, giuridico etico e sociale in merito alla disputa tra la Apple inc., la Federal Bureau of Investigation e la DOJ (U.S. Department of Justice), generata dalla richiesta di sblocco di un Iphone 5C utilizzato da uno dei killer della strage di San Bernardino in California del dicembre 2015, dove sono rimaste uccise 14 persone e ferite gravemente 22. il telefono dell’attentore è stato recuperato intatto, ma risultava bloccato da un codice di blocco a 4 cifre e impostato per il wiping dei dati dopo 10 tentativi falliti nell’inserimento del codice di blocco, opzione presente nei dispositivi iPhone. La Apple inc. adducendo diverse motivazioni, tecniche e giuridiche, ha rifiutato la disponibilità nella creazione di un software che avrebbe consentito di bypassare i sistemi di sicurezza dei loro dispositivi, nodo cardine delle politiche commerciali dell’azienda.
  • LE TECNICHE DI ANTI FORENSICS
    di Fabio Massa (N. I_MMXVII)
    L’Anti-Forensics è l’insieme di strumenti, metodi e processi che ostacolano l’applicazione della Digital Forensics. Sebbene il termine non sia nuovo, non esiste una chiara definizione di queste tecniche, tuttavia lo scopo finale rimane quello di influire negativamente sulla esistenza, quantità e/o qualità delle prove nella scena del crimine digitale, con la conseguenza di rendere impossibile o complesso condurre le indagini. Conoscere l’Anti-Forensics, o non far finta che non esista, consente di affrontare le nuove sfide offerte dalla tecnologia per sviluppare opportune metodologie di identificazione e di analisi digitale adeguate a tutte le situazioni.
  • GPS FORENSICS
    di Fabio Massa (N. IV_MMXVI)
    Il 15 dicembre 2016 è entrata in funzione la rete GALILEO (in inglese GNSS - Global Navigation Satellite System) grazie ai primi 16 dei suoi complessivi 30 satelliti che saranno dispiegati entro la fine del 2019. La rete GALILEO è stata sviluppata in Europa come alternativa al Global Positioning System (NAVSTAR GPS), controllato dal Dipartimento della Difesa degli Stati Uniti. L’uso del Sistema di navigazione satellitare è estremamente diffuso nella società odierna in molteplici applicazioni: civili, militari e industriali. Le potenziali fonti di prova che può fornire questo Sistema sono i dati storici di localizzazione.
  • ANATOMIA DI UN ATTACCO RANSOMWARE
    di Fabio Massa (N. II_MMXVI)
    Come previsto in passato da numerosi esperti di sicurezza, oggi per la prima volta nel genere umano, un numero impressionante di persone sono sottoposte quotidianamente ad estorsioni digitali che prendono in ostaggio i dati, tramite ransomware e crittografia. L’uso dei personal computer e dei dispositivi digitali connessi alla rete, presenti oramai in tutte le attività quotidiane degli utenti, ha prodotto indirettamente un numero esponenziale di potenziali vittime di crimini informatici, amplificata dalle numerose campagne quotidiane di infezione. Ormai la già vasta gamma di ransomware è ulteriormente in crescita. La stragrande maggioranza di questi malware vengono generati per estorcere direttamente o indirettamente denaro alle vittime, a tal punto da essere considerati oggi una grave minaccia a livello globale.
  • MALWARE FORENSICS
    di Fabio Massa (N. I_MMXVI)
    L’analisi forense in casistiche da infezione da malware (malicious software) è estremamente frequente nell’ambito delle investigazioni digitali, in particolar modo per fornire risposte ed elementi probatori ad attacchi e/o incidenti informatici, accessi abusivi, spionaggio, furto di identità e ricatto. I malicious software costituiscono una grave minaccia per la sicurezza dei sistemi informatici. Spesso, nelle casistiche relative alle investigazioni digitali di sistemi infettati da malware è necessario ricorrere ad una attenta analisi per fornire risposte mirate su cosa è accaduto e quali elementi probatori della sua esistenza possono essere reperiti nel sistema, riferiti anche agli attacker e ai metodi di diffusione ed infezione.
  • L’ANALISI FORENSE DELLE EMAIL
    di Fabio Massa (N. IV_MMXV)
    Una email è composta da un header, un corpo messaggio, e in alcuni casi da un allegato, che generalmente contengono informazioni quali: mittente, destinatario, data e ora di invio e di ricezione, indirizzi IP del server di invio e di ricezione, e un ID messaggio univoco. In ambito forense queste informazioni hanno un valore probatorio molto importante, e possono essere recuperate tramite molteplici tecniche forensi da due categorie di applicazione di gestione della posta elettronica.
  • OSINT E CYBER INTELLIGENCE: TECNICHE DI INVESTIGAZIONE NELLA RETE
    di Fabio Massa (N. III_MMXV)
    OSINT, acronimo di Open Source Intelligence, è un processo di analisi di Intelligence delle Fonti Aperte. L’Open Source Intelligence è una disciplina strettamente collegata al mondo della Cyber Intelligence, e rappresenta la raccolta di notizie che devono essere trasformate in “conoscenza”, attraverso fasi di validazione, di conferma e di attribuibilità certa della cosiddetta fonte di diffusione. Vediamo una panoramica dei più diffusi tools gratuiti a disposizione sul web che possono essere utilizzati per l’OSINT.
  • MAC OSX FORENSIC ANALYSIS (II PARTE)
    di Fabio Massa (n.II_MMXV)
    Nel precedente numero: 1. Introduzione - 2. Tecniche di acquisizione ed analisi di un computer Macintosh - a) Avvio con CD DVD - b) Avvio Single User - c) Modalità Target Disk. In questo numero: 3. Machintosh file system - 4. La Radice UNIX - a) System tree - b) Local tree - c) User tree - d) Network tree - 5. Analisi Forense - a) Safari - b) Apple Mail - c) ichat - ) Keychains
  • DEEP WEB: INVESTIGAZIONI DIGITALI NEL LATO OSCURO DELLA RETE
    di Fabio Massa
    La peculiarità del deep web è l’elevato livello di anonimato favorito dall’utilizzo di particolari tecnologie, come Tor. Da una parte Tor garantisce un livello di anonimato che consente di trasferire in alta sicurezza i dati oppure di superare condizioni di censura presenti in alcuni paesi, dall’altra parte rappresenta il mezzo ideale per attività criminali. L’analisi forense dei client nei quali è stato installato “Tor Browser Bundle”, può aprire scenari investigativi interessanti, che smentiscono alcune certezze di anonimato garantite dai manutentori dello stesso progetto.
  • MICROSOFT WINDOWS 8 FORENSICS
    di Fabio Massa
    Windows 8 ha introdotto molte novità che riguardano particolarmente la connessione costante alla rete Internet. Ora che possiamo considerarlo ampiamente diffuso, anche se è già in procinto di essere presentata la nuova versione 9, descriviamo le principali novità introdotte da Windows 8 ai fini delle indagini forensi.
  • BITCOINS FORENSICS
    di Fabio Massa ( n. II_MMXIV )
    Bitcoin è una moneta elettronica creata nel 2009 da un anonimo conosciuto. La struttura peer-to-peer della rete Bitcoin e la mancanza di un ente centrale rende impossibile per qualunque autorità, governativa o meno, di bloccare la rete, sequestrare bitcoins ai legittimi possessori o di svalutarla creando nuova moneta. Al fenomeno è stato addirittura dedicato un evento alla Camera dei Deputati l’11 giugno 2014 dal titolo “Bitcoin in Italia: quali opportunità per le “monete matematiche” nel nostro paese?” nel quale si si sono messi in luce i rischi macroeconomici connessi ad una moneta a tendenza deflattiva. È stato poi annunciato il primo Bancomat Bitcoin italiano da oggi sul mercato, chiamato “Bit-Wallet”.
  • ANALISI FORENSE DI UNA SCHEDA SIM
    di Fabio Massa ( n.IV_MMXI )
    Una delle casistiche più frequenti in una analisi forense, in particolar modo nel caso di un telefono cellulare, è la possibilità di ricavare da una SIM (Subscriber Identity Module) informazioni che risultano essenziali in moltissime circostanze, ad es. per ricostruire un evento criminoso, in molte situazioni anche di tipo omicidiario.
  • FACEBOOK FORENSICS
    di Fabio Massa ( n.IV_MMXIII )
    Il social network Facebook®, con oltre un miliardo di utenti in tutto il mondo, ha acquisito il primato in qualità di mezzo di comunicazione digitale più famoso a livello globale. Una quantità impressionante di importanti informazioni personali e commerciali viene scambiata tra gli utenti quotidianamente, a tal punto da divenire anche un ottimo mezzo di acquisizione di fonti probatorie nel caso di indagini investigative criminali.
  • ANALISI FORENSE DEL PEER-TO-PEER: L’ESEMPIO DI EMULE
    di Fabio Massa ( n.III_MMXIII )
    L’analisi forense di eMule, e di software dedicati alla stessa tipologia di attività su network P2P, può generare numerosi elementi probatori fondamentali ed inequivocabili in sede di giudizio.
  • LA DIGITAL FORENSICS NEL CLOUD COMPUTING
    di Fabio Massa ( n.II_MMXIII )
    La digital forensics nel Cloud Computing è una nuova disciplina che studia il relativo crescente utilizzo di reti, computer e dispositivi di memorizzazione digitale impiegati in infrastrutture cloud, sfruttati per attività criminali hi tech e tradizionali.