Nell'articolo precedente abbiamo visto un assaggio delle funzioni di MD-NEXT per l' estrazione dati da dispositivi mobili. Hancom mette però a dsiposizione un secondo prodotto di acquisizione orientato a scenari di triage e live forensics, che si chiama infatti MD-LIVE.

Esame dei dispositivi mobili con MD-LIVE

Com'è logico che sia, il menù iniziale di MD-LIVE si aspetta che connettiamo un device. Nel frattempo ci chiede di compilare alcune informazioni preliminari sul caso, ci ricorda le istruzioni generali per stabilire una connessione ottimale col dispositivo e ci consente eventualmente di restringere l'attività al range temporale di nostro interesse:

Se infatti nelle attività di copia forense si cerca di ottenere la totalità dei dati presenti, aspirando sopra ogni altra cosa a un dump fisico o almeno a una full filesystem, nei contesti di triage si cerca di isolare immediatamente i dati di interesse, scremandoli il più rapidamente possibile dalla mole di informazioni comunemente presenti in qualsiasi smartphone moderno.

Ecco dunque che, dopo aver riconosciuto il dispositivo e aver stabilito la connessione, MD-LIVE ci presenta l'elenco delle app da cui è possibile acquisire dati (sempre circoscritti all'intervallo temporale di interesse). Da notare il supporto opzionale per APK Downgrade: le applicazioni che necessitano della procedura vengono evidenziate con un puntino rosso. Trattandosi di triage, è possibile anche fornire a MD-LIVE indicazioni sulla priorità dei dati da acquisire.

Partono quindi in successione le fasi di estrazione dei dati...

...e di analisi di quanto estratto:

Così da poter arrivare in pochi minuti alla consultazione degli esiti; ad esempio la cronologia di Chrome...

...o le chat di WhatsApp:

Da notare la quantità di utili "scorciatoie" che l'interfaccia propone per filtrare rapidamente i dati: per tempo, numero di partecipanti, presenza di allegati, direzione del messaggio, e ovviamente per contenuto. Ogni elemento di rilievo può essere marcato con una spunta al fine di essere incluso nel report finale, che descriverà dettagliatamente l'attività svolta e le evidenze individuate:

Infine, soprattutto nel caso in cui non ci fosse la possibilità di estrarre dal dispositivo le informazioni di interesse investigativo, MD-LIVE può assistere l'operatore nella documentazione videofotografica di quanto riscontrabile a display mediante interazione con l'interfaccia utente del device:

Nel prossimo articolo vedremo come MD-RED possa essere un valido strumento per l'analisi dei dati estratti con MD-NEXT o con altri tool.