Estrazione messaggi da Symbian
- Dettagli
- Categoria: Articoli
Estrazione dei messaggi da un Apparato mobile Symbian S60 v. 9.2
L'attività quotidiana di un Digital Forensics Specialist operante su apparati terminali mobili è sempre più pervasa dall'uso di strumenti forensi che permettono, in tempi rapidi, di estrarre i Dati da un Cellulare/Smartphone e di analizzarne il contenuto. C'è poco da discutere circa la loro utilità, sebbene ci si scontri con alcuni casi nei quali la pazienza e lo studio dell'apparato in esame forniscono risultati insperati.
A tal proposito voglio condividere l'esperienza, che racconterò nel prosieguo, con chi mi ha cortesemente sollecitato a realizzare questo scritto durante le occasioni divulgative che mi vedono impegnato a fornire una testimonianza diretta delle mie esperienze professionali. Nondimeno la voglia di condivisione è sollecitata dalla convinzione che ciascuno di noi è "Specialist" laddove ha avuto la voglia, ma soprattutto l'occasione, di cimentarsi e meno "Specialist" laddove le occasioni sono state restie a concedersi.
Il caso che vi presento mi è capitato nell'ambito di un caso mediaticamente noto (Sarah Scazzi), forse troppo, laddove l’uso degli strumenti più sofisticati non hanno potuto quanto lo studio teorico del caso e la “Pazienza”, questa si, da vero "Specialist".
Troverete appresso la metodica che ha portato ai risultati e il codice sorgente utilizzato per l'estrazione dei messaggi, che potrete utilizzare, liberamente secondo le regole dell'open source con la preghiera di citarne la fonte.
L'apparato terminale mobile esaminato, come nelle immagini repertato, è un Nokia 6120c, sul quale è installato il Sistema Operativo (software) Symbian 9.2 S60.
In questo caso, nel quale i messaggi sono stati di primaria importanza per sostenere il movente, l’estrazione con molti dei tools forensi (estrazione logica) ha dato il medesimo risultato e non ha consentito il recupero di messaggi cancellati, come evidenziato nella tabella comparativa di seguito riportata.
Non contento del risultato derivante dai Tools ho deciso di approfondire l'analisi usando metodi alternativi.
Per capire le modalità di memorizzazione dei Dati da parte del Sistema Operativo ci sono due approcci. Il primo è lo studio delle righe di codice del programma (Sistema Operativo), unitamente alla ricostruzione della Base Dati, approfittando del fatto che trattasi di un software open source (Consorzio Symbian), il cui codice sorgente è pubblico. La seconda si attua mediante lo studio empirico integrato con esperimenti di laboratorio. Il primo approccio è risultato temporalmente poco praticabile a causa della quantità (oltre 2.000.000 di istruzioni), della difficoltà di comprendere il Codice sorgente scritto da altri e per l'incongruenza delle fonti rintracciate, perciò si è preferita la via empirica.
È stato indispensabile procurare un dispositivo Nokia 6120c, identico al reperto, sul quale effettuare alcune prove. Queste ultime hanno confermato come una volta cancellato un messaggio non sia possibile recuperarlo poiché la memoria liberata non è raggiungibile con i tools a disposizione.
Spulciando tra i file rinvenienti dalle operazioni di backup del dispositivo è emersa la presenza di un file chiamato “index.dat”, non recuperabile, almeno al momento storico nel quale l'analisi risale, con i tradizionali tools forensi. La funzione del file succitato è quella di accelerare la ricerca dei messaggi da parte dell’utente del cellulare. Prove ripetute sul dispositivo di test, con invii di messaggi di testo, hanno permesso di rintracciare la testa e la coda dei messaggi all’interno del file “index.dat”. Nella figura di seguito è riportato il blocco del messaggio isolato come si può vedere con un Editor esadecimale, avendo sostituito il corpo del messaggio con una sequenza di "x" ed il mittente con una sequenza di "y", per ovvie ragioni di riservatezza.
Il contenuto del messaggio, seppur limitato ai primi 32 caratteri, ed il mittente/destinatario, possono essere letti direttamente poichè si presentano in chiaro. L'attenzione si è dunque concentrata sulla data e sull'ora non rilevabili a prima vista. Una sequenza di messaggi di testo identici in quanto a contenuto ed a destinatario/mittente, spediti/ricevuti in tempi conosciuti diversi dal cellulare di test ha permesso di appurare come vi siano otto caratteri, al momento con codifica non comprensibile, che variano con il variare del tempo.
Pur non conoscendo ancora l'esatta codifica è inoltre evidente come i messaggi inviati dopo variano, più precisamente crescono, nella parte sinistra della stringa di caratteri alfanumerici rintracciata. Ergo la sequenza rappresenta la data e l'ora ed è codificata invertendo la sequenza. Nel caso in esame E7 60 A8 A7 5B 70 E1 00 --> 00 E1 70 5B A7 A8 60 E7.
Trasformando la sequenza esadecimale invertita in un numero, pur non conoscendo ancora la codifica esatta, si è potuto appurare come fosse una codifica espressa in microsecondi visto che due messaggi inviati a circa 10 secondi di distanza differiscono di circa 10.000.000.
Ipotizzando, come poi si è potuto verificare, che la data e l’ora fossero in microsecondi trascorsi dall’anno zero, si è provveduto a decodificare la stringa di caratteri relativi alla data e l’ora di uno dei messaggi di prova sul dispositivo di test, trovando che differiva di poco più di un anno dalla momento reale. A questo punto è apparso chiaro che la codifica era espressa in microsecondi secondo il Calendario Giuliano, emendato da papa Gregorio XIII con la bolla papale “Inter gravissimas” del 1582 e diventato Calendario Gregoriano così come noi lo conosciamo e pratichiamo.
La soluzione del rebus relativo alla nostra data ed ora è così riassumibile:
E7 60 A8 A7 5B 70 E1 00 --> 00 E1 70 5B A7 A8 60 E7 --> da HEX a DEC --> microsec Giuliano --> sec Giuliano --> sec Gregoriano --> 15.10.2010 14:25:17
Allo scopo di automatizzare la procedura di estrazione si è predisposto un diagramma di flusso.
E la conseguente procedura software in VB.
La procedura software ha consentito il recupero di quanto già emerso con l'uso degli strumenti forensi oltre che migliaia di segmenti di messaggi aggiuntivi. Nonostante il recupero fosse limitato ai primi 32 caratteri dei messaggi, spesso sono stati sufficienti per contenere l'intera comunicazione. Appresso è riportata la tabella dei risultati integrata anche con tre MMS le cui immagini erano già state estratte.
Sebbene gli eventi di causa che portano all'esame tecnico dell'apparato cellulare non sembrano indicare problematiche relative ad una eventuale manipolazione in chiave antiforense (c.d. alibi informatico), mi sono preoccupato di "irrobustire" l'evidenza, testando l'affidabilità del Sistema Operativo Symbian. Ho inserito un falso file "index.dat", simulando un recupero da backup, con il risultato di vedere rifiutare la modifica poichè non coerente con il resto delle informazioni contenute nel dispositivo mobile. Ciò evidenzia una buona resistenza del Sistema Symbian alle manipolazioni.
A questo punto la vendetta dell’uomo sulla macchina è compiuta! Laddove gli strumenti forensi non sono riusciti è arrivata la Pazienza dell’Operatore forense.