Nelle settimane precedenti alla scrittura del presente articolo, ho condotto alcune ricerche su come poter effettuare, nel più semplice e veloce dei modi, la copia forense da remoto di dispositivi informatici, in particolar modo mobile (Android ed iPhone/iPad in primis).
Per quanto la copia forense da remoto sia un’attività “manualmente” possibile (ad esempio, mediante il comando “dd“), rapidamente ci si scontra con le difficoltà relative al trasferimento dei dati acquisiti (fase in cui sarà necessario garantire l’integrità dei dati) ed, ancor prima, nelle difficoltà relative all’acquisizione dei dispositivi mobile.

È infatti noto che, per acquisire i dati presenti nella stragrande maggioranza dei dispositivi mobile, sia necessario utilizzate software forensi specifici in grado di acquisire la memoria sfruttando exploit o procedure difficilmente replicabili manualmente ed ancor più difficili da riprodurre da remoto. Inutile negare che la scena della Mobile Forensics faccia riferimento sempre ai “soliti noti” software di acquisizione (ed analisi) e che da lì poco si possa fuggire. Acquisizioni “manuali” di dispositivi mobile sono sicuramente possibili, ma con una serie di problematiche e limitazioni, che ancor più diventano evidenti per acquisizioni da remoto.

Durante le ricerche effettuate la fine di trovare una soluzione efficace per seguire copie forensi da remoto, mi sono imbattuto in Belkasoft R (Remote Acquisition), facente parte della suite dei prodotti forensi prodotti dall’omonima azienda. Gli strumenti Belkasoft non sono sicuramente tra i più diffusi sul mercato, ma ho trovato interessante il rapporto qualità/prezzo della soluzione relativa all’acquisizione remota (che niente ha a che vedere con il loro software di acquisizione locale, Belkasoft X).

Il presente articolo NON è in alcun modo sponsorizzato da Belkasoft.

Dopo aver compilato il modulo di contatto per richiedere maggiori informazioni, ho ricevuto una quotazione per l’acquisto di una licenza Belkasoft R composta da 10 agenti, ovvero da 10 client che possono essere controllati mediante un C&C (Command and Control) presente o nella rete locale, oppure da remoto. Al fine di non rivelare la quotazione proposta, mi limito a comunicarvi che il costo di tale licenza è compreso tra 1.400 e 2.000 Euro.

Lo screenshot qui sopra riportato rappresenta il pannello di controllo di Belkasoft R relativo ai client collegati. Dalla stessa finestra, è possibile generare un nuovo agente, sia per piattaforma Windows che macOS (bottone “Deploy” presente nella parte destra del software).
Nell’immagine, è presente un solo client, ovvero il notebook di test utilizzato, dal quale è possibile far partire l’acquisizione facendo click sulla funzione “Acquire”, che vedremo più avanti.

Tipologie di acquisizione

Nonostante le mie richieste di approfondimento in merito alle tipologie di acquisizione, il reparto vendite è stato molto vago, limitandosi ad affermare che: “Please note that the number of acquisition techniques for smartphones are limited in Remote Acquisition, comparing to available in Belkasoft X for local acquisition.“, ovvero “Tieni presente che il numero di tecniche di acquisizione per smartphone è limitato nell’acquisizione remota, rispetto a quelle disponibili in Belkasoft X per l’acquisizione locale“.
In compenso, mi hanno messo a disposizione una versione trial di 10 giorni per poter testare il prodotto Belkasoft R ed una versione trial di 30 giorni per la soluzione Belkasoft X.

Acquisire nella pratica

Poiché ho avuto la possibilità di testare Belkasoft R, ho colto l’occasione per catturare alcuni screenshot e comprendere la logica di funzionamento del processo di acquisizione da remoto.
Come già anticipato, il primo step è quello di generare l’agente che andrà avviato sulla macchina per eseguire la copia forense remota. Il passaggio è abbastanza semplice ed un PDF tecnico viene messo a disposizione. Sarà sufficiente indicare l’indirizzo IP del C&C ed attivare la crittografia SSL (con certificato auto-firmato). A questo punto, verrà generato un file eseguibile per sistemi operativi Windows o macOS, da avviare sulla macchina remota alla quale sarà necessario collegare il dispositivo da acquisire (interponendo eventualmente un write-blocker).

Una volta lanciato l’agente, questo apparirà nell’elenco del C&C, come da screenshot riportato nei paragrafi precedenti. A questo punto, sarà possibile determinare il tipo di acquisizione, come da immagine qui sopra riportata.
In particolar modo, è possibile procedere per la copia forense di:

• Dischi/dispositivi USB
• Artefatti
• Dispositivi mobile
• Memoria RAM

Per quanto la scelta sia sicuramente ampia, in merito alla copia forense di dispositivi mobile ci si scontra subito con la più grande limitazione di questo strumento: le tipologie di acquisizione disponibili.
Per quanto concerne la copia forense di dispositivi Android, abbiamo a disposizione le soluzioni presenti all’interno dello screenshot:

Per quanto concerne le modalità di acquisizione per i dispositivi Apple, anche qui lascio direttamente lo screenshot dell’applicazione:

I più esperti avranno sicuramente notato come le procedure di acquisizione siano scarne rispetto a quanto possibile a mezzo di software che lavorano in locale.

Test di acquisizione

Per concludere, ho proceduto ad effettuare un’acquisizione di test di una chiavetta USB, al fine di comprendere quali fossero gli step successivi.
Dopo aver generato il client (o “agente”, che dir si voglia), ho avviato lo stesso all’interno di un notebook Windows collegato alla rete LAN in cui era presente il C&C. A questo punto, procedendo con la selezione della tipologia di dispositivo da acquisire (“Disk Drive”, nel nostro caso), ho selezionato il dispositivo di interesse, come da screenshot qui di seguito:

Fatto ciò, mi sono ritrovato davanti ad una delle impostazioni più interessanti di tutto il sistema appena mostrato, ovvero alla modalità in cui i dati debbano essere acquisiti ed inviati al C&C.
Infatti, Belkasoft R, permette di stabilire se la copia forense del dispositivo debba avvenire in locale, per poi essere trasferita al server remoto, oppure se debba avvenire direttamente al C&C.

A mio avviso, la soluzione ideale potrebbe essere quella di archiviare sulla macchina locale la copia forense, per poi trasferirla, in un secondo momento, al server. Questo eviterebbe, dal mio punto di vista, eventuali errori dovuti al collegamento Internet, nonché ad una maggiore velocità nell’estrazione dei dati ed alla possibilità di procedere ad una compressione prima del trasferimento.