E’ finalmente uscito il libro degli amici Mattia Epifani e Pasquale Stirparo, “Learning iOS Forensics“, edito da PACKT Publishing, del quale avevo già visto i contenuti in anteprima avendo dato un piccolo contributo alla fase di review. Rispetto ai manuali su iOS Forensics già disponibili sul mercato, tutti zelantemente citati nella bibliografia del libro, quello di Mattia e Pasquale ritengo abbia il vantaggio di essere il primo a trattare la materia con l’ottica di chi la mobile forensics la deve utilizzare quotidianamente per lavoro. La teoria, necessaria per comprendere ciò che si sta facendo, è quindi ampiamente corredata da esempi pratici, indicazioni su strumenti gratuiti e a pagamento oltre a piccoli consigli di inestimabile valore.
Il libro “Learning iOS Forensics” si apre con un primo capitolo di introduzione alla mobile forensics e i concetti chiave, necessari per capire quello che poi in seguito verrà descritto in dettaglio con esempi applicabili tramite software Open Source e gratuito oltre che con ottimi software commerciali. Chi sa già cosa siano i tipi di acquisizione fisica, filesystem e logica, le fasi di identificazione, raccolta, preservazione e presentazione delle evidenze digitali, o i componenti di cui è composto uno smartphone può saltare questo capitolo.
Importantissimo il secondo capitolo, dedicato al Sistema Operativo iOS, alle caratteristiche peculiari e alla sua evoluzione dal primo iPhone all’attuale iPhone 6 Plus. Per quanto sembri banale, è importante sapere esattamente con quale dispositivo e con quale versione di iOS si ha a che fare, perché da questo dipende poi la modalità con la quale si accede al sistema e si estraggono i dati, oppure si sblocca o aggira la protezione da codice PIN. Vengono presentate le tecniche per capire il tipo e versione di iOS e illustrate le caratteristiche e proprietà di HFS+, il filesystem utilizzato dai dispositivi iOS. Il capitolo si chiude con la spiegazione delle partizioni in uso negli iPhone e dei file utilizzati per mantenere impostazioni e dati, cioé i famosi PLIST e database SQLITE.
Si giunge quindi con il terzo capitolo alla vera e propria fase di acquisizione forense dei dispositivi iOS quali ad esempio iPhone e iPad, aprendo il discorso con una spiegazione sulle modalità di avvio dei dispositivi iOS (normal, recovery e DFU) e dei sistemi di protezione dei dispositivi Apple, gli identificativi UUID e i file di lockdown, che sono poi il “segreto” per poter aggirare la protezione degli iPhone protetti da PIN sconosciuto e acquisire comunque una parte del contenuto dei dispositivi. Vengono illustrate le possibilità offerte da software come Micro Systemation XRY, Cellebrite UFED, Oxygen Forensics, Paraben Device Seizure o Lantern ma anche metodi alternativi e più economici come l’acquisizione diretta tramite strumenti come iFunBox, iMazing, iExplorer o l’acquisizione tramite iTunes backup. Preziosissimo, in questo ultimo caso, il consiglio di disattivare, nella configurazione di iTunes, la sincronizzazione automatica dei dispositivi. Chi arriva a questo punto scoprirà che oltre alle modalità di acquisizione Physical, Filesystem e Logical ce n’è una terza, molto importante per gli iPhone, chiamata “Advanced Logical”, spesso ignorata anche dagli operatori del settore, o utilizzata soltanto perché alcuni software la eseguono senza chiarire minimamente i principi su cui si basa. Tutti sanno che l’acquisizione fisica degli iPhone superiori al 4 è impossibile ma, se consideriamo la possibilità di fare jailbreaking, si apre uno scenario che ci permette di esportare l’intero contenuto della flash, a mano tramite accesso di rete al dispositivo oppure grazie al software Elcomsoft iOS Forensic Toolkit, del quale viene mostrato un esempio pratico.
Una volta acquisito il contenuto dell’iPhone si rende necessario analizzare i contenuti di iOS, come illustrato nel quarto capitolo. Ci si ritroverà davanti a file e cartelle di cui Pasquale e Mattia spiegano in dettaglio il significato e il contenuto, ponendo l’attenzione sul fatto che i timestamp non sono codificati nel tradizionale Unix Epoch Time bensì tramite MAC Absolute Time, spiegando anche come eseguire la conversione. Vengono qui illustrati i vari file di configurazione del Sistema Operativo iOS e i file come registrazioni, calendario, email, immagini, mappe, clipboard, note e navigazione web o le applicazioni di terze parti come Skype, WhatsApp, Facebook, Dropbox, Google Drive. Un piccolo trucco permette persino di ricavare le parole memorizzate in automatico dall’iPhone quando vengono aggiunte al dizionario e memorizzate nel file “dynamic-text.dat“. Viene anche affrontata la questione del recupero dati cancellati da iPhone, piuttosto controversa perché parzialmente realizzabile ma soltanto sotto alcune condizioni. Il file carving, ad esempio, tipicamente molto utile nella computer forensics, con iOS diventa quasi inutile a causa del meccanismo di data protection che protegge con chiavi diverse ogni file inserendo nei metadati tale chiave. Per i file di database SQL cancellati è possibile un carving dei record rimossi, tramite uno script illustrato nel capitolo.
Il quinto capitolo introduce la possibilità di eseguire estrazioni dati degli iPhone dai backup di iTunes, invece che direttamente dai dispositivi mobili. Un iPhone che è stato sincronizzato con iTunes e un PC può quindi essere esaminato a partire dal suo backup. Anche in questo caso, Mattia e Pasquale ci mostrano alcuni strumenti Open Source e gratuiti per estrarre i dati da un backup iTunes, a patto che questo non sia criptato. In questo caso, tramite il software Elcomsoft Phone Password Breaker, è comunque possibile tentare di forzare il backup e trovare la password con cui è stato criptato. Gli autori ci mostrano un esempio pratico di brute forcing di iTunes backup mediante il quale riescono ad acquisire dati da un backup iTunes criptato e protetto da password. E se lo smartphone è impostato in modo da non criptare il backup? Sembrerà paradossale, ma come illustrato a pagina 121, possiamo decidere di impostare noi una password ed eseguire un backup cifrato. Sfrutteremo poi il fatto che la keychain – il contenitore delle password di iOS – verrà criptata con la stessa password da noi scelta, cosa che ci permetterà di decifrarlo e accedere alle password memorizzate sull’iPhone.
Se non abbiamo a disposizione l’iPhone da cui estrarre i dati, possiamo sempre tentare di farlo da remoto tramite download dei dati di backup dall’account iCloud. Nel sesto capitolo Mattia e Pasquale spiegano come e quando viene eseguito il backup dei dati dell’iPhone su iCloud e come si può acquisire questo backup, persino in maniera selettiva (soltanto elenco chiamate, messaggi, allegati, contatti, dati di navigazione Safari, agenda, note o fotografie). Il download e l’analisi dei backup iCloud viene definito icloud forensics ed è una sorta di estensione della iTunes backup forensics. Ovviamente potete scaricare il backup di un iPhone da iCloud se avete le credenziali iCloud del proprietario dell’iPhone, utilizzando il software commerciale EPPB (Elcomsoft Phone Password Breaker) ma anche tramite il software open source e gratuito iLoot. E se non le avete? Il capitolo ci mostra come entrare negli account iCloud senza avere user o password ma utilizzando il token che viene memorizzato sul PC dove lo smartphone è stato connesso e dove è installato il Pannello di Controllo iCloud.
Il capitolo settimo ci mostra un aspetto della forensics che spesso viene ignorato ma su cui chi si pone la domanda “il mio iPhone è sotto controllo?” ha già preso in considerazione. Come rilevare la presenza di malware su dispositivi iOS e analizzare l’integrità delle applicazioni? L’esperienza di Mattia e Pasquale nella malware forensics si nota già da come illustrano in modo dettagliato come costruire un ambiente di analisi da utilizzare per rilevare e studiare malware per iPhone. In questo capitolo imparerete come scaricare la keychain contenente le password ed estrarre le classi delle applicazioni, così da poterle studiare. Scoprirete come analizzare le applicazioni e i loro dati, non soltanto gli archivi o i dati in uso, ma anche quelli in transito nella rete, tramite tecniche di sniffing e man in the middle, per esaminare il contenuto dei pacchetti con Burp e Wireshark. Se poi vi interessa conoscere il codice delle applicazioni, Mattia e Pasquale vi illustrano come eseguire reverse engineering di App per iOS per studiarne il comportamento ed eventuali danni che queste causano al sistema.
Il libro si chiude con un capitolo sulle referenze e i link che ha un valore immenso perché non si tratta di link copiati e incollati in mezzo ad altri centinaia (come tutti noi abbiamo da qualche parte) ma di referenze verificate, attive e davvero utili. Vi sono collegamenti a pubblicazioni, strumenti, manuali, presentazioni, specifiche tecniche della protezione dati Apple, articoli e report che consiglio di leggere.
Il libro iOS Forensics è disponibile in forma cartacea e digitale sul sito di PACKT Publishing o sui tradizionali shop online come Amazon o O’ Reilly. Se siete come San Tommaso e prima di acquistare volete farvi un’idea della qualità del lavoro, potete visionare il secondo capitolo – quello sull’identificazione dei dispositivi iOS – pubblicato da PACKT Publishing sulla piattaforma Scribd a questo link.
