Digital ForensicsFabio MassaI_MMXV

Mac Osx Forensics Analysis (I parte)

di Fabio Massa

In questo numero: 1. Introduzione – 2. Tecniche di acquisizione ed analisi di un computer Macintosh – a) Avvio con CD DVD – b) Avvio Single User – c) Modalità Target Disk
Nel prossimo numero: 3. Machintosh file system – 4. La Radice UNIX – a) System tree – b) Local tree – c) User tree – d) Network tree – 5. Analisi Forense – a) Safari – b) Apple Mail – c) Keychains

 


1- Introduzione

Da un recente sondaggio condotto dalla società di analisi di mercato Asymco (rif. http://www.asymco.com), la Apple inc. ha raggiunto una grossa quota di mercato a livello globale rispetto alla Microsoft in relazione alle vendite combinate di computer, tablet, smartphone, inclusi i sistemi operativi (OSX e IOS). Dal 2012 si assiste ormai ad una diminuzione delle vendite dei computer Windows, a differenza di quanto avviene con i Mac. Il declino dei computer desktop è stato in parte causato dal fenomeno aziendale “Bring Your Own Device”, in sostanza, porta al lavoro il tuo device. Questo ha provocato un cambio radicale nelle abitudini aziendali, e sempre più società si sono dovute adattare ai dispositivi dei dipendenti, soprattutto per contenere i costi: ecco, allora, che anche in ambito IT molte aziende hanno utilizzato sempre più Mac, iPhone e iPad. I dispositivi iOS sono l’altra causa del declino dei computer basati sui sistemi operativi Microsoft. Molti utenti hanno conosciuto per la prima volta i prodotti Apple grazie all’iPhone, poi appurando la bontà dei Mac.

Il continuo espandersi della tecnologia informatica, nella quale è inclusa la sempre più crescente presenza dei computer e dei dispositivi Apple, determina un consequenziale aumento degli episodi di criminalità connessi al mezzo informatico, e di conseguenza una varietà di tipologie di analisi che è costante ritrovare nell’attività di investigazione digitale. Il passaggio di architettura da PPC a Intel ha aumentato esponenzialmente il bacino di utenza della Apple, riconquistando quella fetta di mercato che era di appannaggio delle piattaforme Microsoft a causa della compilazione di software esclusivi per quelle piattaforme.
In relazione a questa esclusività, e della conseguente realtà di nicchia dei sistemi Mac OSX basati su solide fondamenta UNIX, i sistemi Apple non hanno ricevuto la giusta attenzione dal mondo forense, difatti gli studi e le pubblicazioni sull’analisi dei sistemi OSX sono molto limitate e pochissime sono in italiano. Anche per quanto riguarda le investigazioni digitali su Mac OSX i processi di produzione della prova digitale includono le classiche tecniche di acquisizione ed analisi forense idonee a preservare e garantire l’integrità dei dati acquisiti e la ripetibilità dell’accertamento tecnico nelle successive fasi investigative.

Il processo di produzione della prova deve essere chiaro, preciso, accurato e deve rispettare le linee guida internazionali della Digital Forensics. Il processo può essere riassunto in quattro passaggi: il primo è l’identificazione sulla scena del crimine del reperto digitale e la conseguente preservazione adottando tutte le tecniche di messa in sicurezza per evitare inquinamenti di qualsiasi natura, elettromagnetica o fisica. La seconda fase, tra le più importanti, include l’acquisizione dei reperti digitali, particolarmente complessa e delicata per i computer Mac, nei quali il processo di acquisizione deve essere valutato attentamente anche in considerazione del modello, dell’impossibilità di rimozione dell’hard drive interno (es. Solid State Drive) e di altre circostanze caratterizzate dalla singolarità dell’hardware Mac e dei sistemi OSX. Il passo successivo, altrettanto importante, riguarda il processo di validazione delle evidenze digitali acquisite che si basano sull’applicazione di un algoritmo di hash, che garantisce l’integrità e la genuinità dei dati acquisiti, utile per gli accertamenti successivi in ambito processuale, nonché il corretto rispetto della catena di custodia.

Ottenuti i dati si procede alla terza fase ovvero all’accurata analisi dei dati digitali ottenuti dalle copie forensi sulla base delle richieste dettate dall’indagine in corso e delle evidenze digitali utili all’accertamento della verità dei fatti. Infine, l’ultimo passaggio riguarda la compilazione di un report o relazione tecnica che riassume e dettaglia tutte le operazioni eseguite e le risultanze di tale analisi, in modo accurato ed intellegibile. Nel caso specifico, ovvero quando l’oggetto dell’indagine è un computer Mac, è necessario adottare particolari cautele specialmente durante le prime due fasi del processo di produzione della prova, vale a dire la classificazione/raccolta e l’acquisizione, in particolar modo quando si tratta di acquisizione c.d. live, ovvero a macchina in funzione, tecnica alla quale si ricorre, ad esempio, quando a seguito di perquisizione domiciliare il computer del sospettato viene rinvenuto in funzione.

 

…continua su EDICOLeA

Lawful Interception per gli Operatori di Tlc

 


Articoli pubblicati da Fabio Massa

 

Mostra di più

Articoli Correlati

Pulsante per tornare all'inizio