L'azienda coreana Hancom ha sul mercato delle interessanti soluzioni in ambito digital forensics, in particolar modo per quanto riguarda la mobile forensics. Recentemente ho avuto per 30 giorni una trial di alcuni prodotti della serie MD dedicati proprio alle più importanti fasi della mobile forensics, ovvero MD-NEXT (estrazione), MD-LIVE (triage e live forensics) e MD-RED (analisi). Per ognuno dei tre software si potrebbe scrivere una ricca recensione a sè, tante sono le feature e le possibilità messe a disposizione dell'utente, ma per amor di fruibilità cercherò di riassumere il più possibile nei tre post che dedicherò alla suite, limitandomi agli aspetti più importanti e alle peculiarità che differenziano i prodotti dalla concorrenza.

Estrazione dati con MD-NEXT

Al primo avvio MD-NEXT presenta il pannello di configurazione, per definire alcuni parametri prima di iniziare a lavorare.

MD-NEXT - Impostazioni iniziali

L'individuazione del device da acquisire può avvenire sia per ricerca testuale che selezionando dal pannello marca e modello, oppure mediante riconoscimento automatico del device collegato. Selezionando lo specifico modello verranno presentati tutti i metodi di estrazione previsti per quel device:

Tuttavia è anche possibile saltare la fase dei riconoscimento e accedere direttamente a qualsiasi metodo di estrazione di cui è dotato MD-NEXT utilizzando il menu laterale: un'opportunità molto interessante per quando è necessario "uscire dagli schemi" (o sopperire alla loro mancanza).

Quando si sceglie un metodo di acquisizione, il wizard spiega passo passo le manipolazioni da operare sul dispositivo per presentarlo correttamente a MD-NEXT:

La fase di estrazione è molto interessante, la più tecnica che abbia visto finora: durante l'acquisizione fisica di un Samsung Galaxy S9, mi è stato presentato l'elenco delle partizioni interne, con facoltà di scegliere cosa acquisire e con accesso immediato a basso livello per un'ispezione istantanea degli spazi di memoria. L'ho trovato esaltante!

Da notare, nel caso specifico di questo Samsung Galaxy, la possibilità di estrarre il contenuto del Secure Folder decrittato. Durante il dump si hanno informazioni precise e dettagliate su quello che si sta acquisendo: anche questa fase è la più esauriente vista fino a oggi.

Terminata l'acquisizione è possibile passare immediatamente il dump eseguito a MD-RED per l'analisi. Un dettagliato log delle operazioni viene salvato automaticamente e rimane disponibile, gli hash prodotti sono quelli scelti dal menu Opzioni. I file estratti hanno estensione MDF: a quanto ho potuto constatare nei miei test, non sembra si tratti di un formato particolare, ma che siano (a seconda del tipo di estrazione effettuata) dei file binari raw oppure degli archivi zip rinominati, il che li renderebbe facilmente compatibili con altri tool di analisi.

Prima di passare all'analisi  vale la pena menzionare qualche altra peculiarità di MD-NEXT. Ho trovato molto interessante il supporto per l'estrazione hardware, con un prezioso archivio dei diagrammi elettronici dei vari modelli e l'indicazione delle piedinature JTAG. Anche le feature "laterali" appaiono preziose, come ad esempio le interfacce per la gestione dei firmware o degli APK Downgrade: sappiamo quanto possa essere scomodo e macchinoso, con altri tool, riprendere una procedura di APK downgrade fallita e portarla a termine o ripristinare la condizione iniziale "manualmente": finalmente qualcuno ha pensato di agevolarci anche in questo.

Nel prossimo articolo parlerò dei test su MD-LIVE per estrazioni mirate in contesti di live forensics.