Parte 2. EnCase
2.8 Acquisizione da palmari
I dispositivi palmari sono ormai di sempre più frequente utilizzo nella società odierna sia per scopi personali che professionali.
Anche se tali dispositivi presentano delle limitazioni, sono estremamente utili per tenere traccia di appuntamenti, documenti di testo, controllo e invio di posta elettronica, messaggeria istantanea, e ovviamente telefonate. Lo sviluppo di tali dispositivi, inoltre, comprende la capacità di maneggiare e perfino salvare le informazioni multimediali (suoni, immagini e video). Per i dispositivi cellulari, o anche per i dispositivi GPS, esistono fonti supplementari di prova per fini investigativi, per esempio, l' insieme degli ultimi numeri composti o delle coordinate riferite ad una certa destinazione. L'esigenza di rendere il più possibile integre e inviolabili queste informazioni ha spinto il settore della sicurezza informatica a svilupparsi alla stessa velocità con la quale i dispositivi stessi si evolvono. I palmari possono accumulare grosse quantità di informazioni personali le quali forniscono una "ricchezza" di prove digitali quando vengono trovate durante un'investigazione. Benché un investigatore possa passare in rassegna il contenuto del dispositivo attraverso la relativa interfaccia utente per ottenere le prove, l'approccio è altamente poco pratico e problematico e dovrebbe essere usato soltanto come ultimo ripiego. Invece, applicare software legali è l'alternativa preferita.
Questo paragrafo prevede una descrizione degli attuali tool forensi progettati per PDAs (Personal Digital Assistants). I PDAs sono in effetti una sorta di computer desktop in miniatura. Esistono comunque tra loro differenze significative , che interessano le procedure seguite durante l'aquisizione e l'esame dei contenuti. Quando conduce una ricerca, un investigatore deve avere una buona conoscenza tecnica e seguire le procedure idonee dipendenti dalle caratteristiche del dispositivo da esaminare. Le diverse famiglie di PDAs sul mercato usano differenti Sistemi Operativi (OS), che tra le altre cose supportano differenti stili di interazioni, tipi di file system e protocolli di sincronizzazione delle informazioni con un computer desktop. Le piattaforme Windows Mobile, Palm OS and Linux comprendono la maggior parte dei dispositivi palmari attualmente disponibili e delle apparecchiature nel campo della telefonia mobile.
A differenza di ciò che avviene con computer desktop e workstation, il numero e la varietà di tool forensi per PDAs o altri dispositivi portatili è inferiore. Non solo essi sono meno specializzati, ma oltretutto il range di dispositivi sui quali è possibile operare è tipicamente ristretto solo alle più popolari famiglie di PDA, quelle basate su Pocket PC e PalmOS. I dispositivi basati su Linux possono essere acquisiti con la utility dd (Data Dumper) e solo successivamente analizzati da tool compatibili come EnCase. La seguente tabella elenca alcuni software open source e quelli disponibili in commercio per PDAs, menzionando le modalità fondamentali che essi forniscono: acquisition, examination e reporting. L'abbreviazione NA significa che il tool elencato alla sinistra della riga non è applicabile al dispositivo relativo alla colonna.[7]
Anche se principalmente usato per esaminare Pc, EnCase supporta anche dispositivi PalmOS in quanto ne consente la creazione di una completa immagine fisica . Attualmente non è disponibile il supporto per Pocket PC. Attraverso il processo, l'integrità dell'immagine bit-stream è verificata continuamente da dei valori chiamato CRC (Cyclical Redundancy Check), calcolati contemporaneamente all'acquisizione.[5]
In generale, è necessario impostare il palmare in console-mode. Inserirlo nella base, collegare il cavo e scrivere nell’area di scrittura del palmare, la “graffiti area”: l (in corsivo) seguito da due punti e poi 2.
Avviare ora EnCase per Windows e procedere con l’acquisizione del dispositivo.
Premere ADD DEVICE selezionare nella finestra che compare Local e Palm Pilot e premere NEXT
A questo punto compariranno tutti i dispositivi collegati al computer, selezionare il palmare e procedere premendo prima il tasto NEXT e poi nella finestra successiva il tasto finish
Ora è possibile proseguire con la normale procedura di acquisizione.[5]
Di seguito mostreremo una tabella che riassume i comportamenti di EnCase relativi a particolari scenari analizzati (pagine 12-13-14 del documento). Ogni scenario definisce un generico insieme di attività e provano a coprire un range di situazioni comunemente incontrate quando si esamina un dispositivo. [7]
