Recentemente ho voluto provare uno strumento alternativo ai più consueti e noti per la mobile forensics, mettendo sul banco di prova per una settimana SPF Pro: SmartPhone Forensic System Professional, prodotto da Salvationdata Technology. Purtroppo non è stata una mia scelta limitare il periodo di prova a soli 7 giorni, ma una scadenza decisa da Salvationdata. Sarebbe un tempo sufficiente se io mi dedicassi solo a questo, ma visto che ho un lavoro e i test li faccio nel mio poco tempo libero, in 7 giorni solari si fatica a trovare il tempo per dei test esaustivi... e infatti i miei non sono esaustivi, ma una panoramica posso comunque darla.

Come sostenevo alla fine del precedente TestDrive, tutti i maggiori strumenti di analisi forense disponibili sul mercato sono utili, ma nessuno di loro è perfetto, completo e infallibile, per cui è necessario massimizzare le capacità di intervento selezionando più strumenti possibile... a patto ovviamente che portino effettivamente un valore aggiunto all'arsenale digitale dell'analista.

Vediamo dunque se SPF può arricchire significativamente la strumentazione di laboratorio e valere l'investimento per l'acquisto e l'addestramento all'impiego.

Pensato evidentemente per usi condivisi, all'avvio il programma richiede l'autenticazione dell'utente: ottima impostazione di default, se si intende compartimentare l'attività di laboratorio.

Dopo il login ci sono i consueti convenevoli comuni a tutti i software (Apri il caso/Crea il nuovo caso; compila i dati del caso ecc. ecc.), su cui è inutile dilungarsi. Veniamo quindi all'acquisizione: ci sono tre modalità per aggiungere un dispositivo al caso, che poi di fatto sono una sola, basata sul riconoscimento automatico dei dispositivi fisici collegati. Le due alternative infatti sono l'importazione di un'immagine già creata precedentemente, magari con altri strumenti, o analogamente l'importazione di una cartella contenente un backup già prodotto o rinvenuto su altro dispositivo. Quindi, di fatto, o si ha un'acquisizione già fatta o si può procedere solamente col riconoscimento automatico: questa cosa mi piace poco, perché per quanto comoda (soprattutto con device in condizioni che li rendono difficili da identificare compiutamente) costringe ad aver già individuato a monte, senza ausilio del software, la modalità di presentazione migliore per il dispositivo (sarà un MTK collegabile da spento? Sarà uno di quei Samsung da mettere in Odin Mode? Sarà uno di quegli iPhone che ha senso porre in DFU? O devo proprio accenderlo, sbloccarlo e fare tutto il balletto per attivare USB Debug? Devo scoprirlo da solo. Grazie, dopo anni di mestiere so come fare, ma un aiuto sarebbe sempre gradito...)

Da non sottovalutare comunque il fatto che SPF consenta di acquisire fino a 8 device in parallelo (per fare un confronto, con XRY se ne fanno fino a 3, con UFED4PC uno solo alla volta).

Lascio dunque che SPF riconosca, correttamente, il mio dispositivo Android da acquisire e mi proponga il set di estrazioni possibili su quel modello. Scelgo Automatic Logical Extraction (noto che c'è anche il supporto per APK Downgrade, ma NON ho verificato quante e quali app siano supportate) e mi viene proposto un lungo elenco di informazioni che posso selettivamente decidere di acquisire. Ovviamente seleziono tutto, ma mi piace poter scegliere in modo così granulare cosa mi interessa prendere e cosa no, perché non sempre si ha la necessità di dumpare tutto il mondo per poi fare il report di una singola chat...

Durante l'acquisizione una simpatica dashboard consente di monitorare quantità e qualità dei dati raccolti, mentre sono da subito disponibili le funzioni Data Triage per visualizzare, categorizzati, tutti gli artefatti via via riconosciuti, e File Explorer per navigare all'interno dei filesystem, analogamente a quel che fanno altri software come Autopsy o UFED PA.

La sezione Data Triage fornisce quindi l'interfaccia per navigare tra gli artefatti e applicare filtri (anche di natura temporale), ordinamenti, ricerche per parole chiave. Tutto l'essenziale insomma, ma niente di più. Anche il file browser è minimale, insufficiente come strumento di analisi, ma rapido e quindi efficiente per quelle situazioni da sniper forensics in cui si sa esattamente cosa andare a cercare.

Purtroppo non c'è molto altre da vedere: SPF non dispone di strumenti analitici di alto livello, e anche quelli a basso livello sono scarni ed essenziali. Al di là di quanto contenuto nel pannello dei Tool (vedi più avanti), non ci sono altri strumenti di analisi degni di questo nome, il che lascia SPF molto al di sotto di concorrenti come Oxygen, XAMN o UFED PA, per citare i più importanti. Il sedicente "Intelligent alarm" si risolve in un sistema di alert che notifica all'utente determinate occorrenze preprogrammate: parole chiave dei testi, hash inclusi in hashset precaricati, numeri di telefono o indirizzi IP ecc.  (similmente a quanto viene fatto da Autopsy, AXIOM, BelkasoftX...), il che è senz'altro utile, ma poco, troppo poco.

Tornando un passo indietro, dicevamo che oltre al riconoscimento automatico del device fisico collegato, SPF consente di importare immagini e backup già esistenti. In questo il supporto ai vari formati è ampio e soddisfacente:

La parte però più interessante di tutto SPF, quasi paradossalmente, è quella degli accessori: il menu Tools offre infatti un ricco assortimento di utility, inclusi strumenti non convenzionali per exploiting e rooting. A fianco di utility di analisi comuni e universalmente preziose come i parser per plist e database SQLite, il decryptor per WhatsApp o il geolocalizzatore delle fotografie, troviamo gli estrattori fisici dedicati ai chipset MTK e Qualcomm e ai dispositivi Samsung, Huawei, Oppo e Tizen, oltre a uno strumento dedicato ai feature phone (ma sospetto che questo richieda dell'hardware aggiuntivo); alcuni unlocker e i noti strumenti di rooting Kingoroot, RootGenius e Wondershare. Un approccio, quest'ultimo, decisamente più aggressivo rispetto alla media dei concorrenti. Personalmente evito di ricorrere a rooting o jailbreak dei dispositivi fintantoché non mi viene esplicitamente richiesto di tentarlo, ma ne riconosco l'importanza e trovo interessante l'integrazione di questi strumenti, solitamente ritenuti non convenzionali, all'interno di una suite di mobile forensics.

Durante l'esame degli artefatti o dei file, è possibile segnare con dei bookmark gli elementi rilevanti da includere infine nel report. Il formato HTML è sufficientemente dinamico per consentire un minimo di ispezione ragionata, ma vorrei vederlo alla prova con una di quelle estrazioni da 1 milione di foto e 2 milioni di messaggi per capire come fa schiantare bene il browser... ;-)

Giudizio finale

In generale ho trovato lo strumento interessante ma non ancora all'altezza per un confronto tra pari con la concorrenza (va detto però che anche il costo è più contenuto, come dirò tra poco, il che rende più bilanciato il confronto). L'acquisizione soffre delle limitazioni di cui ho detto, ma ha una lodevole granularità nella selezione delle informazioni di interesse da estrarre. Il punto di forza migliore invece è nell'approccio aggressivo, con l'integrazione di tool di hacking di terze parti, che sembra non andare troppo per il sottile pur di consentire di arrivare al risultato. Una menzione finale anche per l'interfaccia, che ti fa sentire un pochino in un episodio di Agent of SHIELD anche se sei a casa tua in ciabatte ;-) Facezie a parte, è gradevole e intuitiva, casomai troppo semplice.

Il costo come accennavo è più contenuto dei diretti rivali: la richiesta è stata di 3000$ per una licenza perpetua con un anno di aggiornamenti e supporto, oppure 6000$ per supporto triennale; con 500$ si può avere anche la valigetta con cavi, lettore SIM card, fake-SIM. Un prezzo relativamente basso quindi, proporzionato a ciò che si acquista.