Estrazione messaggi da Symbian

Estrazione dei messaggi da un Apparato mobile Symbian S60 v. 9.2

L'attività quotidiana di un Digital Forensics Specialist operante su apparati terminali mobili è sempre più pervasa dall'uso di strumenti forensi che permettono, in tempi rapidi, di estrarre i Dati da un Cellulare/Smartphone e di analizzarne il contenuto. C'è poco da discutere circa la loro utilità, sebbene ci si scontri con alcuni casi nei quali la pazienza e lo studio dell'apparato in esame forniscono risultati insperati.

A tal proposito voglio condividere l'esperienza, che racconterò nel prosieguo, con chi mi ha cortesemente sollecitato a realizzare questo scritto durante le occasioni divulgative che mi vedono impegnato a fornire una testimonianza diretta delle mie esperienze professionali. Nondimeno la voglia di condivisione è sollecitata dalla convinzione che ciascuno di noi è "Specialist" laddove ha avuto la voglia, ma soprattutto l'occasione, di cimentarsi e meno "Specialist" laddove le occasioni sono state restie a concedersi.

Il caso che vi presento mi è capitato nell'ambito di un caso mediaticamente noto (Sarah Scazzi), forse troppo, laddove l’uso degli strumenti più sofisticati non hanno potuto quanto lo studio teorico del caso e la “Pazienza”, questa si, da vero "Specialist".

Troverete appresso la metodica che ha portato ai risultati e il codice sorgente utilizzato per l'estrazione dei messaggi, che potrete utilizzare, liberamente secondo le regole dell'open source con la preghiera di citarne la fonte.

L'apparato terminale mobile esaminato, come nelle immagini repertato, è un Nokia 6120c, sul quale è installato il Sistema Operativo (software) Symbian 9.2 S60.

In questo caso, nel quale i messaggi sono stati di primaria importanza per sostenere il movente, l’estrazione con molti dei tools forensi (estrazione logica) ha dato il medesimo risultato e non ha consentito il recupero di messaggi cancellati, come evidenziato nella tabella comparativa di seguito riportata.

Non contento del risultato derivante dai Tools ho deciso di approfondire l'analisi usando metodi alternativi.

Per capire le modalità di memorizzazione dei Dati da parte del Sistema Operativo ci sono due approcci. Il primo è lo studio delle righe di codice del programma (Sistema Operativo), unitamente alla ricostruzione della Base Dati, approfittando del fatto che trattasi di un software open source (Consorzio Symbian), il cui codice sorgente è pubblico. La seconda si attua mediante lo studio empirico integrato con esperimenti di laboratorio. Il primo approccio è risultato temporalmente poco praticabile a causa della quantità (oltre 2.000.000 di istruzioni), della difficoltà di comprendere il Codice sorgente scritto da altri e per l'incongruenza delle fonti rintracciate, perciò si è preferita la via empirica.

È stato indispensabile procurare un dispositivo Nokia 6120c, identico al reperto, sul quale effettuare alcune prove. Queste ultime hanno confermato come una volta cancellato un messaggio non sia possibile recuperarlo poiché la memoria liberata non è raggiungibile con i tools a disposizione.

Spulciando tra i file rinvenienti dalle operazioni di backup del dispositivo è emersa la presenza di un file chiamato “index.dat”, non recuperabile, almeno al momento storico nel quale l'analisi risale, con i tradizionali tools forensi. La funzione del file succitato è quella di accelerare la ricerca dei messaggi da parte dell’utente del cellulare. Prove ripetute sul dispositivo di test, con invii di messaggi di testo, hanno permesso di rintracciare la testa e la coda dei messaggi all’interno del file “index.dat”. Nella figura di seguito è riportato il blocco del messaggio isolato come si può vedere con un Editor esadecimale, avendo sostituito il corpo del messaggio con una sequenza di "x" ed il mittente con una sequenza di "y", per ovvie ragioni di riservatezza.

Il contenuto del messaggio, seppur limitato ai primi 32 caratteri, ed il mittente/destinatario, possono essere letti direttamente poichè si presentano in chiaro. L'attenzione si è dunque concentrata sulla data e sull'ora non rilevabili a prima vista. Una sequenza di messaggi di testo identici in quanto a contenuto ed a destinatario/mittente, spediti/ricevuti in tempi conosciuti diversi dal cellulare di test ha permesso di appurare come vi siano otto caratteri, al momento con codifica non comprensibile, che variano con il variare del tempo.

 

Pur non conoscendo ancora l'esatta codifica è inoltre evidente come i messaggi inviati dopo variano, più precisamente crescono, nella parte sinistra della stringa di caratteri alfanumerici rintracciata. Ergo la sequenza rappresenta la data e l'ora ed è codificata invertendo la sequenza. Nel caso in esame E7 60 A8 A7 5B 70 E1 00 --> 00 E1 70 5B A7 A8 60 E7.