iTunes 12.5.1 su Mac OS, lockdown folder e iOS forensics

Ieri è uscita, per Mac OS, la versione di iTunes 12.5.1 che, oltre a innovazioni grafiche e supporto per iOS 10, apporta al sistema una modifica ai permessi di accesso alla cartella di “lockdown”, che viene utilizzata dai software di mobile forensics per sincronizzare i dispositivi iOS con il computer ed eseguire l’acquisizione dei contenuti.

L'upgrade di iTunes 12.5.1 e la Mobile Forensics

Chi ha aggiornato iTunes alla versione 12.5.1 e possiede software di estrazione e recupero dati come Lantern (Katana Forensics), BlackLight e Mobilyze (BlackBag Technologies) e simili si ritrova quindi a non poterli utilizzare fino a quando non verranno aggiornati e distribuiti in versione compatibile con le modifiche intercorse.

Fino alla versione 12.5.0 infatti iTunes lasciava la cartella “/private/var/db/lockdown/” con permessi di lettura, scrittura e attraversamento folder per chiunque, non soltanto per l’utente _usbmuxd e il gruppo _usbmuxd assegnato alla directory.

Folder lockdown di iTunes fino alla versione 12.5.0

Dalla versione 152.5.1 invece iTunes rimuove i permessi di lettura, scrittura e attraversamento per “group” e “other”, lasciandoli soltanto allo “user” _usbmuxd, impedendo quindi ai software di acquisizione forensi, utilizzati per recuperare dati da iPhone e iPad, di accedere ai certificati di lockdown necessari per poter attivare il pairing con il dispositivo e accederne al contenuto.

Folder lockdown di iTunes dalla versione 12.5.1

Al momento i produttori di software di iOS forensics per l’acquisizione e il recupero dei dati da iPhone e iPad stanno prontamente inviando mail ai clienti dove consigliano di non aggiornare iTunes alla versione 12.5.1 su Mac OS, attendendo qualche giorno fino all’uscita di versioni compatibili con le nuove modifiche ai permessi.

Ovviamente, per poter scegliere cosa installare e cosa no è necessario disabilitare gli aggiornamenti automatici su Mac OS o meglio, averlo fatto prima dell’uscita di questo aggiornamento. Per disabilitare gli aggiornamenti automatici sul Mac OS X è sufficiente avviare Preferenze di sistema e App Store. Nella finestra App Store si può scegliere se togliere direttamente la spunta a “Verifica aggiornamenti automaticamente” (evitando quindi anche il controllo di nuovo software) oppure lasciare la spunta ma toglierla alle altre voci, in modo da lasciare che il sistema verifichi la presenza di aggiornamenti ma non li scarichi (“Scarica gli aggiornamenti disponibili in background”) oppure li scarichi ma non li installi (le altre voci).

Come disabilitare gli aggiornamenti automatici su Mac OS X

A questo punto, Mac OS comunicherà all’utente la presenza di aggiornamenti, eventualmente scaricandoli in background ma permettendogli di scegliere quali aggiornamenti installare e quali ignorare.

Corso di Computer Forensics e Indagini Digitali a Torino

Per chi fosse interessato alla computer forensics e digital forensics, durante i giorni di venerdì 14, 21, 28 Ottobre e venerdì 4 Novembre 2016 si terrà il corso sulle attività d’informatica forense e investigazioni digitali.

Corso di Computer Forensics a Torino

Il corso di digital forensics su informatica forense e indagini digitali che si terrà a Torino tra ottobre e novembre 2016 fornirà agli allievi le conoscenze principali dell’informatica forense, mettendo in evidenza sia gli aspetti tecnologici che quelli giuridici attinenti alla prova digitale in ambito d’informatica forense, elementi necessari per le attività di perizia informatica svolta dai consulenti informatici forensi. Durante il corso verrà  illustrato l’utilizzo dei sistemi DEFT e DART, utilizzati quotidianamente da Consulenti Tecnici Forensi e Forze dell’Ordine, per attività digital forensics e incident response su computer e dispositivi mobili.

Si partirà dalle basi della digital forensics, analizzando le metodologie di base impiegate dagli operatori per attività di recupero dati o ricostruzione delle attività svolte sul PC, fino ad arrivare ad illustrare le più sofisticate tecniche di acquisizione forense di evidenze digitali e recupero dati da cellulari, smartphone e tablet mediante sistemi di mobile forensics, oltre che acquisizione e analisi del traffico di rete tramite tecniche di network forensics. Seguiranno nozioni sulle tecniche di analisi, elaborazione, reportistica e relazione tecnica che fanno parte di un corretto processo di perizia informatica prodotta da consulenti informatici forensi specializzati in informatica forense.

Il corso sull’informatica forense e investigazioni digitali che si terrà a Torino è articolato in 4 giornate sia teoriche sia pratico operative sulla digital forensics, con l’ultima giornata che sarà effettuata presso un vero laboratorio d’informatica forense permettendo un approccio strettamente procedurale.

Il dettaglio del programma del corso di Computer Forensics e Acquisizione/Analisi della Prova Digitale è il seguente:

Giorno 1

  • Introduzione alle problematiche di computer forensics
  • Le fasi dell’accertamento forense su dati digitali
  • Princìpi, preparazione, precauzioni e utilizzo dei sistemi live
  • Introduzione al sistema DEFT e DART
  • Utilizzo di DEFT con i principali OS e filesystem
  • Tipologie di acquisizione forense e formati
  • Attività di preview e triage sicuro con DEFT
  • Acquisizione di memorie di massa
  • Acquisizione di memoria volatile
  • Cenni su acquisizione di smartphone

Giorno 2

  • Verifica e apertura delle immagini forensi
  • Virtualizzazione delle immagini
  • Recupero dei dati cancellati
  • Analisi dei metadati
  • Ricostruzione delle attività tramite timeline e supertimeline
  • Rilevamento di compromissioni
  • Analisi delle periferiche USB utilizzate
  • Analisi dei documenti aperti e utilizzati
  • Estrazione di evidenze tramite Bulk Extractor e Autopsy

Giorno 3

  • Riepilogo su metodologie e strumenti di acquisizione
  • Acquisizione di memorie di massa via rete
  • Acquisizione di dispositivi iOS
  • Acquisizione di dispositivi Android
  • Analisi di file pList e database SQLite

Giorno 4

  • Introduzione a DART
  • Panoramica degli strumenti presenti in DART
  • Utilizzo di DART in DEFT
  • Incident response
  • Cracking di password e creazione di dizionari
  • Network forensics
  • Gestione di un incidente informatico
  • Riepilogo degli argomenti

Per informazioni sui costi, sconti di pre-iscrizione, contatti o registrazione al corso di digital forensics e informatica forense, per l’edizione in corso e quelle successive, potete contattare lo Studio agli indirizzi indicati nella pagina contatti.

Corso di Perito Fonico Trascrittore Forense

Corso perito fonico trascrittore forenseA chi si chiede come diventare perito fonico trascrittore forense, segnalo una iniziativa del Centro Studi Athena che organizza un Corso di Alta Formazione finalizzato a formare professionisti qualificati con competenze scientifiche interdisciplinari di tipo linguistico, dialettologico, pragmatico e fonetico adeguate oltre che di quelle di tipo ingegneristico-informatico, in grado di gestire le perizie foniche su intercettazioni telefoniche ed ambientali disposte dai Tribunali, dalle Procure e dagli Studi Legali.

Il corso per perito fonico trascrittore forense si terrà a Cagliari, inizierà nella seconda metà di Ottobre 2016 con una durata di 1000 ore, con Formula weekend (venerdi e sabato) e durerà 10 mesi.

Il Corso, che permetterà agli allievi di intraprendere l’attività di periti fonici trascrittori forensi ed eseguire una perizia fonica utilizzando tecniche, strumenti e metodologie consolidate in ambito forense, è articolato in 12 Moduli secondo il seguente programma.

  • Scienze Forensi a cura del Dott. Luciano Garofano – Generale di Brigata – ex Comandate della sezione R.I.S. di Parma
  • Fondamenti di analisi del segnale acustico a cura del Sig. Federico Aresu – Perito Tribunale Cagliari
  • Analisi e registrazione del suono a cura del Sig. Paolo Salis – Perito Tribunale Cagliari
  • Elementi di linguistica e fonetica forense a cura del Prof. Mirko Grimaldi e dell’Ing. Francesco Sigona Facoltà di Linguistica fonetica – Università del Salento
  • Elementi di procedura penale e civile a cura di Avvocati – Giuristi
  • Informatica forense e investigazioni digitali a cura dell’Ing. Michele Vitiello – Studio Ingegneria Informatica Forense – Brescia
  • Elementi di psicologia e comunicazione interpersonale a cura della Dott.ssa Francesca Licheri – Psicologa
  • Informatica di base – Ditta CFIP di Marco Meloni
  • Sicurezza informatica e delle informazioni a cura dell’Ing. Michele Vitiello – Studio Ingegneria Informatica Forense – Brescia
  • Le intercettazioni – Paolo Salis – Perito Tribunale Cagliari
  • Tecniche di trascrizione a cura delle Sigg.re Simona Cao e Elisabetta Zedda Stenotipiste Tribunale di Cagliari
  • Lingua ingles e Terminologie

Non sono coinvolto nel corso né ho contatti con l’organizzazione, non posso garantire su svolgimento, contenuti e struttura organizzativa ma conosco e stimo alcuni dei docenti, riporto quindi volentieri l’iniziativa che mira a rendere il perito fonico forense edotto circa le perizie foniche forensi per Procure e Tribunali in ambito giudiziario penale e civile, invitando chi fosse interessato a contattare l’ente di formazione Athena per informazioni o iscrizioni.

Controllo del lavoratore, cyber espionage e tutela del segreto industriale

Controllo del Lavoratore, Cyber Espionage e Tutela del Segreto IndustrialeIl 13 settembre alle ore 14:30 si terrà a Torino il seminario gratuito intitolato “Controllo del lavoratore, cyber espionage e tutela del segreto industriale”, organizzato dall’Università degli Studi di Torino in collaborazione con il Tech and Law Center e la SSM, Scuola Superiore di Magistratura.

Il seminario sul controllo dei lavoratori e la tutela del segreto industriale si terrà presso il Campus Einaudi, Università degli Studi di Torino, Lungo Dora Siena, 100 A, Torino Aula B3 (piano terra, adiacente alla Main Hall).

L’evento di formazione gratuita sul controllo dei lavoratori è gratuito ed è stato accreditato dall’Ordine degli Avvocati di Torino con il riconoscimento di 3 crediti formativi, per confermare la partecipazione si prega di accedere alla piattaforma Riconosco  (per Avvocati) o attraverso la piattaforma Eventbrite (per i non iscritti all’Ordine degli Avvocati di Torino). Per richiedere maggiori informazioni si può scrivere a [email protected].

Il programma del seminario sul Controllo del lavoratore e la Tutela del Segreto Industriale è il seguente:

Ore 14.30 -15.00: Francesco Pizzetti – Università degli Studi di Torino
Jobs Act e dati informatici del dipendente. Il potere di controllo e tutela della dignità e riservatezza del lavoratore

Ore 15.00 -16.00: Vito Sandro Destito e Ciro Santoriello – Procura della Repubblica di Torino
L’utilizzabilità nel processo penale dei dati informatici aziendali acquisiti senza il consenso del lavoratore

Ore 16.00 – 16.30 – Coffee Break

I profili tecnici – Moderatore: Giuseppe Dezzani – Studio Ass. DiFob

Ore 16.30 – 17.00 – Stefano Fratepietro – Tesla Consulting S.r.l.
Il controllo pro-attivo degli asset che governano il patrimonio digitale aziendale

Ore 17.00 – 17.30 – Paolo Dal Checco – Studio Ass. DiFob
La “cristallizzazione” delle prove presenti su computer, cellulari, server, email nel rispetto della privacy del dipendente

I profili di compliance – Moderatore: Giuseppe Vaciago – Tech and Law Center

Ore 17.30 – 18.00 – Jacopo Giunta – Studio Legale Ambrosio & Commodo
Le policy aziendali a tutela dei lavoratori e il regolamento sulle risorse informatiche aziendali

Ore 18.00 – 18.30 – Francesco Meloni – Studio Legale Ambrosio & Commodo
L’impatto in Italia della Direttiva “Trade Secret” e la protezione del know aziendale

 

Sblocco PIN su Apple iOS 9.x 32bit e Samsung Galaxy S6 e S7

Sblocco PIN di iPhone e Android tramite CellebriteDue importanti novità nel campo della mobile forensics: la società israeliana Cellebrite ha recentemente aggiornato il suo servizio CAIS con la funzione di sblocco PIN e acquisizione fisica dei dispositivi Apple con processore a 32 bit senza secure enclave e iOS 9.x, fino a pochi giorni fa impossibili da sbloccare poiché il servizio era disponibile soltanto per gli iPhone/iPad/iPod con versione Apple iOS 8.x.

Ccellebrite CAIS Unlocking ServicesLa funzionalità di sblocco PIN di iPhone e Samsung Android non è stata inserita nei prodotti Cellebrite come UFED ma viene fornita dalla casa produttrice tramite contatto diretto mediante il loro modulo per Cellebrite CAIS Unlocking Services e a pagamento.

I dettagli e le modalità di esecuzione del servizio CAIS vengono forniti su richiesta, sappiamo però che in passato Cellebrite ha fornito assistenza anche all’Autorità Giudiziaria italiana a seguito di consegna a mano dell’iPhone presso la loro sede in Germania poiché il dispositivo da sbloccare possedeva processore A6 a 32 bit senza il sistema secure enclave.

La modalità di acquisizione fisica di un dispositivo mobile indica la possibilità di estrarre l’intero contenuto della memoria flash, tramite una “copia forense” bit-to-bit di tutte le aree, allocate e non, incluse quelle precluse al Sistema Operativo o quelle in cui sono presenti dati cancellati ma non ancora sovrascritti. Ciò permette, in alcuni casi, di eseguire il recupero dati cancellati da smartphone o accedere ad aree di memoria ove sono presenti dati rilevanti per le indagini che l’acquisizione logical o filesystem non riescono a raggiungere. Nell’ambito delle perizie informatiche su cellulare e smartphone, è certamente un elemento strategico poter disporre di una copia fisica del dispositivo e di dati fino a oggi inaccessibili se non tramite rooting o jailbreaking.

Cellebrite dichiara nel suo comunicato online [WBM], sulla brochure del servizio CAIS del 15 luglio [WBM] (dove dichiara “Galaxy S7“) e in quella del 20 luglio [WBM] (dove ha precisa “some Galaxy S7 devices“) di essere la prima società a fornire una “estrazione fisica con decifratura” di alcuni dispositivi iPhone (iOS) e Samsung (Android):

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2);
  • Samsung Galaxy S6, Galaxy Note 5 e alcuni dispositivi Galaxy S7 con qualunque versione di Android fino alla Marshmallow 6.0.1 inclusa.

Sembra quindi che sia ancora impossibile lo sblocco di PIN e la physical acquisition di smartphone con processore a 64 bit come l’iPhone 5s, iPhone 6, iPhone 6 plus, iPhone 6s, iPhone 6s plus oppure iPad Air, ipad Air 2, iPad Mini 2, iPad Mini 3, iPad Mini 4.

In particolare, il servizio permette di sbloccare dispositivi iPhone o Samsung protetti da PIN e acquisire in maniera forense il contenuto senza la necessità di eseguire rooting o jailbreak al fine di accedere al’intero filesystem per recuperare email scaricate, dati di applicazioni di terze parti, dati di geolocalizzazione o log di sistema.

Ciò che viene estratto dalla copia fisica dell’iPhone può poi integrare quanto già fino a oggi estraibile tramite il Cellebrite UFED Physical Analyzer, cioè:

  • Dati decodificati: Elenco chiamate, voicemail, contatti, localizzazioni geografiche (WiFi, celle e fix GPS), immagini, video, messaggi di testo SMS, MMS, email, note, applicazioni installate e loro utilizzo, dizionario utente, calendario/agenda, storia dei pairing con dispositivi bluetooth, cache delle mappe;
  • Applicazioni: Skype, Whatsapp, Viber, Fring, MotionX, AIM, TigerText, Facebook Messenger, Twitterrific, Textfree, Google+, Facebook, Foursquare, Garmin, TomTom, Waze, TextNow, Dropbox, Yahoo Messenger, Ping Chat, Twitter, Touch (new ping chat), Find My iPhone, LinkedIn, iCQ, Kik Messenger, Google Maps, Kakaotalk, QIP, Evernote, Vkontakte, Mail.ru
  • Dati di navigazione web: Safari, Opera Mini – bookmark, history e cookies

La tabella di supporto per il recupero dati e lo sblocco del PIN di dispositivi Apple con Sistema Operativo iOS come iPhone, iPad e iPod del software UFED Physical Analyzer è la seguente:

Supporto iPhone iOS di Cellebrite UFED Physical Analyzer

Ricordiamo infine che la società israeliana Cellebrite era tra quelle che si riteneva potessero avere contribuito allo sblocco dell’iPhone di Farook durante le indagini per la strage di San Bernardino e i telefoni per i quali è disponibile il servizio CAIS comprendono anche il modello utilizzato dall’autore della strage Farook, un iPhone 5C con processore a 32 bit e iOS 9.x.

Per approfondimenti sul sistema di protezione dati di Apple iOS, il secure enclave, il boot process e tutto ciò che concerne la sicurezza dei dispositivi iOS consigliamo la lettura della iOS Security Guide ufficiale di Apple [WBM] mentre per una schematizzazione dei dispositivi Apple organizzata per processore, versione iOS e caratteristiche hardware e software consigliamo la pagina Wikipedia sui dispositivi iOS [WBM].