[TestDrive] MD-RED di Hancom With (3 di 3)
Con questo post si chiude la serie dedicata ai prodotti Hancom With.
- Per saperne di più su [TestDrive] MD-RED di Hancom With (3 di 3)
- Accedi per poter commentare
Recensioni, test e impressioni su strumenti di digital forensics. Non mi pagano per farlo, il massimo della corruzione che è stata tentata finora è consistita nell'offrirmi degli stickers da mettere sul notebook, capiamoci... Quindi niente post marchettari, solo oziose considerazioni su esperimenti fatti nel tempo libero. Se ho parlato male del vostro prodotto, fatemi cambiare idea :) Prima di querelarmi sappiate che sono un poveraccio, al massimo potete farmi pignorare gli stickers.
Con questo post si chiude la serie dedicata ai prodotti Hancom With.
Nell'articolo precedente abbiamo visto un assaggio delle funzioni di MD-NEXT per l' estrazione dati da dispositivi mobili. Hancom mette però a dsiposizione un secondo prodotto di acquisizione orientato a scenari di triage e live forensics, che si chiama infatti MD-LIVE.
Com'è logico che sia, il menù iniziale di MD-LIVE si aspetta che connettiamo un device. Nel frattempo ci chiede di compilare alcune informazioni preliminari sul caso, ci ricorda le istruzioni generali per stabilire una connessione ottimale col dispositivo e ci consente eventualmente di restringere l'attività al range temporale di nostro interesse:
L'azienda coreana Hancom ha sul mercato delle interessanti soluzioni in ambito digital forensics, in particolar modo per quanto riguarda la mobile forensics. Recentemente ho avuto per 30 giorni una trial di alcuni prodotti della serie MD dedicati proprio alle più importanti fasi della mobile forensics, ovvero MD-NEXT (estrazione), MD-LIVE (triage e live forensics) e MD-RED (analisi). Per ognuno dei tre software si potrebbe scrivere una ricca recensione a sè, tante sono le feature e le possibilità messe a disposizione dell'utente, ma per amor di fruibilità cercherò di riassumere il più possibile nei tre post che dedicherò alla suite, limitandomi agli aspetti più importanti e alle peculiarità che differenziano i prodotti dalla concorrenza.
Al primo avvio MD-NEXT presenta il pannello di configurazione, per definire alcuni parametri prima di iniziare a lavorare.
Recentemente ho voluto provare uno strumento alternativo ai più consueti e noti per la mobile forensics, mettendo sul banco di prova per una settimana SPF Pro: SmartPhone Forensic System Professional, prodotto da Salvationdata Technology. Purtroppo non è stata una mia scelta limitare il periodo di prova a soli 7 giorni, ma una scadenza decisa da Salvationdata. Sarebbe un tempo sufficiente se io mi dedicassi solo a questo, ma visto che ho un lavoro e i test li faccio nel mio poco tempo libero, in 7 giorni solari si fatica a trovare il tempo per dei test esaustivi... e infatti i miei non sono esaustivi, ma una panoramica posso comunque darla.
Come sostenevo alla fine del precedente TestDrive, tutti i maggiori strumenti di analisi forense disponibili sul mercato sono utili, ma nessuno di loro è perfetto, completo e infallibile, per cui è necessario massimizzare le capacità di intervento selezionando più strumenti possibile... a patto ovviamente che portino effettivamente un valore aggiunto all'arsenale digitale dell'analista.
Vediamo dunque se SPF può arricchire significativamente la strumentazione di laboratorio e valere l'investimento per l'acquisto e l'addestramento all'impiego.
Come molti altri tecnici del settore, recentemente ho avuto occasione di testare Belkasoft X, la rinnovata versione di Belkasoft Evidence Center.
I propositi del prodotto di punta di Belkasoft sono molto ambiziosi: un’unica soluzione per l’acquisizione, l’analisi e la presentazione delle evidence digitali, che possa assistere l’operatore nell’estrazione dati da memorie, dispositivi mobili e servizi cloud, e che possa analizzare il contenuto di immagini fisiche, filesystem, aree deallocate, archivi logici ecc. individuando e interpretando gli artefatti prodotti dal funzionamento dei sistemi operativi e dall’uso dei software applicativi di maggior diffusione.
In sintesi: la mitica soluzione all-in-one inseguita con alterne fortune da tanti produttori negli ultimi vent’anni.
Per il test ho utilizzato l’immagine forense di un PC Windows (prodotta dal fidato FTK Imager in formato EWF), l’estrazione fisica di uno smartphone Android Xiaomi operata da UFED4PC e le credenziali di un account Instragram. Successivamente ho incluso anche l’immagine binaria di un Samsung Galaxy.
Andiamo quindi al test drive...