[TestDrive] MD-RED di Hancom With (3 di 3)

Inviato da rebus il Lun, 19/04/2021 - 12:20

HancomWITHCon questo post si chiude la serie dedicata ai prodotti Hancom With. Negli articoli precedenti di TestDrive ho parlato della mia esperienza con MD-NEXT (per l'estrazione dati da dispositivi mobili) e MD-LIVE (per attività di triage e live forensics); in quest'ultimo post racconterò i test fatti con MD-RED, il software di analisi per mobile forensics di Hancom.

Analisi forense con MD-RED

Saltiamo i convenevoli e andiamo subito alla sostanza: una cosa piacevole di MD-RED è che non necessariamente costringe ad attivare tutti i parser di cui dispone e analizzare tutti i tipi di artefatti che sa riconoscere. All'apertura di un caso si hanno a disposizione i file sorgente su cui operare l'analisi (nel caso dello screenshot seguente, i dump fisici delle singole partizioni di un Samsung Galaxy S9, precedentemente acquisito con MD-NEXT) e la possibilità di scegliere quale tipo di analisi eseguire, specificando per ogni parser se la ricerca debba essere estesa anche al tentativo di recupero di dati cancellati. Attualmente sono supportate circa 2000 app, suddivise in categorie o ricercabili testualmente. Si può attivare il riconoscimento del tipo di file basato sul contenuto, operato per magic number, e il calcolo degli hash individuali di ogni file, utile per i confronti su hashset. Le funzioni di recupero dei dati multimediali possono essere rivolte sia ai file allocati (per i contenuti embedded) che alle aree deallocate delle memorie.

MD-RED - Selezione delle analisi da svolgere
MD-RED - Selezione delle analisi da svolgere

Se non avete un'acquisizione fatta con MD-NEXT poco male: MD-RED importa anche le acquisizioni nei formati di altri tool forensi e dei backup nativi, file E01 e Zip, e ovviamente i binari raw.

Come si vede nello screenshot seguente (relativo all'analisi di un dump fisico estratto da uno Xiaomi Redmi con UFED4PC, già usato in test precedenti) prima di far partire il parsing è possibile dare un ordine di priorità al motore di analisi, di modo da privilegiare la ricerca (e quindi la consultazione) dei risultati più importanti a seconda degli scopi dell'indagine.

MD-RED - Indicazione delle priorità
MD-RED - Indicazione delle priorità

Durante il parsing si è dettagliatamente aggiornati sullo stato di avanzamento di ciascun task. Purtroppo non si tratta di un vero task manager, ma soltanto di un'interfaccia di monitoraggio, che consente poca interazione con i task attivi.

MD-RED - Avanzamento analisi
MD-RED - Avanzamento analisi

I risultati dell'analisi andranno a popolare il nodo Analysis Results nell'abero di navigazione (Explorer), sotto al file browser, secondo lo schema consolidato della maggior parte dei software di analisi, da Autopsy a UFED PA. Tutti gli artefatti saranno suddivisi per categorie, che come potete notare dal prossimo screenshot sono molte e autoesplicative. Per quanto riguarda invece la consultazione per file, di base sono presenti contestualmente varie viste per ogni elemento: esadecimale, Plist, SQLite, anteprima di documenti (Office, PDF, zip...) e riproduzione video e audio.

MD-RED - Gallery
MD-RED - Gallery

Nei vari contesti sono sempre a portata di mano i filtri che consentono di restringere l'esame in base a vari parametri temporali, di applicazione, di percorso, di tipo o di attributi, mentre il pannello a destra fornisce anteprima immediata e dettaglio delle proprietà, inclusa eventuale mappa per localizzare gli elementi georeferenziati. Come ci si aspetta da un software di analisi, tutti gli elementi con delle coordinate GPS sono comunque consultabili in forma aggregata alla voce Location Information. Importante notare che si possono utilizzare sia online che offline tanto le mappe quanto i database con la localizzazione delle celle.

MD-RED - Location information (Fonte: Hancom)
MD-RED - Location information (Fonte: Hancom. Questo screenshoot è l'unico che non proviene dai miei test, per ragioni su cui non mi dilungo, ma basta a rendere l'idea della funzione)

Tra le altre funzioni analitiche troviamo una Relationship Analysis che ricostruisce i grafi delle relazioni tra gli elementi analizzati e l'immancabile Timeline, che consente di navigare tra gli eventi temporalmente referenziati, anche qui con abbondanza di filtri:

MD-RED - Timeline
MD-RED - Timeline

Le funzioni di ricerca testuale supportano varie codifiche e, soprattutto, le espressioni regolari. Infine segnalo la possibilità di estendere le funzioni dell'applicazione mediante script Python: una cosa in cui non mi sono avventurato, ma che è sicuramente appetibile.

Come in tutti i software del genere, ogni elemento utile può essere contrassegnato con un bookmark, utile per l'esportazione dei report. La reportistica è completa: accanto ai classici report HTML, Excel o PDF, che sono comunque necessari ma che divengono facilmente inefficienti, è possibile esportare il database in formato SQLite o come EDB abbinato al visualizzatore portabile MD-Explorer, analogamente a quanto fanno tutti i principali concorrenti (Magnet con Axiom Examiner, Cellebrite con Cellebrite Reader, MSAB con XAMN, Oxygen con Oxygen Forensic Viewer, Belkasoft con Evidence Viewer...), il che rendere tutto molto più fruibile dal committente (almeno quando si lavora per terze parti).

Giudizio finale

Ho constatato e confermo che si tratta di una suite di prodotti di altissimo livello, che competono tra i big del settore. Alcune feature particolarmente tecniche (soprattutto in MD-NEXT) sono addirittura uniche e vorrei tanto poterle ritrovare anche nei prodotti concorrenti. Le prestazioni sono egregie, l'interfaccia si mostra agile e reattiva. Come per Oxygen e XRY (e con un pizzico di pazienza in più anche Axiom e BelkasoftX), una volta effettuato il parsing gli esiti restano salvati in un database che è immediatamente disponibile alla riapertura del caso, e questa è una grandissima agevolazione: sembrerebbe scontato, ma ahimè non è così per tutti. Sembra insomma che Hancom abbia pensato a tutto. Purtroppo manca un modulo di acquisizione da cloud, perchè esiste un ulteriore prodotto dedicato, MD-CLOUD (con ulteriori costi di licenza...). Mi piacerebbe che MD-NEXT e MD-LIVE convergessero in un unico prodotto, ma non sembra l'orientamento dell'azienda.

Costi

Per l'acquisto diretto da Hancom, l'azienda propone il bundle MD-NEXT + MD-RED a 8.800 $, tasse escluse. Tramite i canali di distribuzione il costo sale a 8.900 €, IVA esclusa. Il solo MD-LIVE è proposto rispettivamente a 4.000 $ o 4.500 €, sempre tasse escluse. I costi di licenza coprono il primo anno di aggiornamenti e assistenza, che si rinnovano poi annualmente ad un costo pari al 18% del prezzo di acquisto. Sembra di poter concludere che i costi per l'acquisto iniziale sono allineati agli altri prodotti di pari livello sul mercato, ma che i costi di mantenimento siano considerevolmente più economici.