Da Vound Software la rivoluzione forense!
W4 consente agli investigatori di esaminare rapidamente le prove digitali, individuare rapidamente gli elementi di interesse e riportare facilmente i loro risultati.
- Esegui ricerche predefinite con un clic
- Avvia l’acquisizione automatica della RAM
- Indicizza le macchine attive
- Cerca durante l’indicizzazione
- Rivedi una cronologia dettagliata degli eventi
- Prepara i casi per una revisione più dettagliata con Intella
PER CHI È QUESTO PRODOTTO?
- Tecnici CTU o Ausiliari di PG
- Investigatori di crimini informatici
- Investigatori di frodi
- Giornalisti investigativi
- Tecnici CTP per le parti private
Non scrivo usando troppi tecnicismi, perché questo blog si rivolge a tutti, esperti o meno, in special modo a chi si vuole interessare alla materia e magari è all’asciutto di alcuni aspetti tecnici.
I programmi utilizzati per l’acquisizione della prova digitale, il così detto triage, termine derivato dal francese, che significa “smistare, fare una cernita”, sono utilizzati in forense in fase iniziale, tra i più famosi troviamo Access Data Forensic ToolKit, le bellissima distribuzione Linux, per utenti avanzati CAINE, tra l’altro orgoglio Nazionale, visto che è ITALIANA, e i vari appliance, sistemi hardware, più semplici da utilizzare che permettono di acquisire sostanzialmente una memoria digitale, evitando di scriverci sopra, come Logicube FALCON NEO o il nuovissimo Tableau TX1, oggetti utili per evitare errori e anche per processare grandi volumi di acquisizioni.
La fase successiva al repertamento è quella di analisi dei dati acquisiti, quindi esistono in questo caso software che leggono il materiale acquisito e tra le altre cose, come recuperare i file cancellati, dividere il materiale in base alla tipologia, quali media, email, comunicazioni via chat, siti navigati, parole ricercate sui motori di ricerca, permettono anche con funzioni di Intelligenza Artificiale, o Analisi Avanzata, di facilitare le indagini, ad esempio raggruppando materiale pedo, ricostruendo la struttura criminale e altro. Insomma software molto costosi, come le nuove versioni mature di Magnet Axiom oppure Cellebrite Digital Collector, nato dall’acquisizione degli israeliani, di BlackBag.
Questi software sono molto costosi e i risultati, almeno per la mia esperienza personale di Magnet Axiom, veramente deludente, lo stesso che mi era stato preventivato nell’ottobre 2019, solo la parte di analisi PC (avevo già Cellebrite UFED per la parte mobile, il quale non ha rivali al mondo) circa 3.430 euro, ma poi siccome da gennaio 2020 la Magnet Forensics aveva cambiato politica e non era più possibile acquistare singoli moduli ma solamente il bundle completo Mobile + Computer + Cloud, mi è costato circa 6.991 euro, e che mi richiede il rinnovo annuale di 3.200 euro, oltre al Portable Case non riesce ad elaborare un report decente, quindi il lavoro di reportistica va fatto a mano. Tenete a mente questo passaggio, ci tornerà utile tra breve.
Bene di cosa parliamo allora in questo articolo? Parliamo del prodotto di Vound Software, W4. Che cosa è? Diciamo che è un triage avanzato, costo zero, almeno in questo momento, la Vound lo da gratuitamente a chi ne fa richiesta, il costo comunque è ridicolo, il sito riporta circa 950 dollari che al cambio fa 775 euro, io ho fatto richiesta e mi è stato dato gratuitamente.
Questo tool che oltre a fare l’acquisizione delle prove digitali, fa anche l’analisi, in modo migliore, anche di prodotti che costano 10 volte tanto, lavorando in modo snello e veloce, non richiede hardware costosissimo, essendo scritto totalmente in java.
Sono arrivato a scoprire questo tool, veramente fantastico, cercando di sopperire alle mancanze di Magnet Axiom che come dicevo non fa report oppure per dirla tutta, era meglio che non ce li mettevano i report, perché sono semplicemente ridicoli. Si salva solo per l’estrazione del Portable Case, che spesso poi, per chi deve aprirlo e consultarlo, è un problema, per le tante risorse che richiede e immaginate con i mezzi che hanno le nostre Forze dell’Ordine, bene saranno più le volte che dovrete andare li con il vostro PC per poter consultare i risultati dell’analisi fatta con Magnet Axiom e mi fermo qui perché se no ci sarebbe da parlarne un sacco e una sporta, abbiamo persone competenti e in gamba tra gli investigatori, ma non riescono a lavorare perché hanno a disposizione sistemi e mezzi che ricordano i VIC20 (senza nulla togliere a questo bellissimo home computer).
Dopo aver perso diversi lavori di analisi, perché ad esempio se il cliente mi chiedeva un report che riportasse le email, di solito ce ne sono migliaia, con l’header, l’oggetto, la preview del testo e degli eventuali allegati, con Axiom è praticamente impossibile avere un report specifico che poi è semplice, ad esempio la Cellebrite, fa dei report bellissimi, completi e ben organizzati, e sarà che sono abituato male, ma non sono solo io che mi lamento… quindi.
Tutti i ticket aperti con l’assistenza di Magnet Forensics, a causa della reportistica, rispondono più o meno così: “abbiamo girato la richiesta agli sviluppatori, aspetta e spera nelle prossime versioni”, io mi auguro che per quello che uno paga a breve sistemino questo grave GAP della reportistica perché è un sistema che da quando è nato ha fatto passi da gigante!
Tornando al discorso, mi trovavo da Luca Losio di 4n6, che è tra l’altro il nostro rivenditore di fiducia dei prodotti di forense, la sigla sta per “Four N Six”, semplicemente geniale. Ero li a Crema per una forense difensiva, ero stato nominato da una parte e lui era il CTU di fiducia del Giudice, quindi parlando, mentre estraeva i dati in modo impeccabile (è veramente bello e piacevole vedere una persona tecnicamente brava e appassionata del suo lavoro), gli chiesi come potevo risolvere i problemi dei report di Magnet Axiom e lui mi fece vedere INTELLA che sostanzialmente prende tutti i dati disorganizzati, file, email, immagini, testi ecc. (in questo caso avrei dovuto estrarre da Axiom tutti i file del caso in una cartella), Intella li organizza e ne permette una lettura facilitata, una volta indicizzato il tutto è di una velocità incredibile, sembra una magia, ma funziona e la cosa bella è che riesce a fare tutti i report come li volete voi e ovviamente il cliente. Un altro pianeta (e qui mi fermo).
Rientrato nel mio LAB, andandomi a vedere il prodotto Intella, sul sito del produttore Vound Software, mi si para questo W4 e io mi chiedo “cosa sarà mai questo software?”, non ne avevo mai sentito parlare, il costo è basso e addirittura se facevo richiesta mi veniva dato gratuitamente, udite udite senza nessuna limitazione, così intanto faccio immediatamente richiesta, dopo alcuni minuti, mi viene subito inviato il link via email, per scaricarlo e decido di provarlo e… WOW! Interfaccia gradevole, semplicissimo da utilizzare, tutto super intuitivo, ma vediamo per gradi come si usa e cosa è in grado di fare.
Innanzitutto esistono due versioni, una di installazione e una portatile, che gira su una chiavetta USB o semplicemente su una cartella. Questo perché se vi serve di acquisire dei reperti digitali, non potete di certo installare il prodotto sul device.
Una volta eseguito il software si presenta con questa schermata:
da dove è possibile creare un nuovo caso, o aprirne uno già iniziato.
Uno degli aspetti che mi è piaciuto molto di questo software è quello che in caso di interruzione accidentale, durante l’analisi dei dati, vuoi perché avete inciampato nella spina del PC, oppure perché è andata via la corrente per 3 ore e anche con il sistema UPS di 2 ore e 59 minuti non ha retto, bene anche nel malaugurato caso, riavviando il software, automaticamente riprende l’analisi da dove era arrivato e chi lo sa, se vi è successo con Axiom dopo 3 giorni di analisi, avrà dovuto cominciare tutto da capo e questa caratteristica non è da sottovalutare per niente, anzi!
Ora se dovete iniziare e fare l’acquisizione, cliccate su NEW, inserite i dati del caso:
Parte così il software che si apre con questo splash screen:
E successivamente la schermata iniziale che attende i nostri comandi:
Dove ora se dovete acquisire dei reperti dovete spostarvi all’ultimo tab “Acquisition” verso destra:
Da dove poi è possibile selezionare l’acquisizione della memoria, di un disco, cartelle o file di sistema. Ricordatevi di anteporre per sicurezza tra il PC e la prova, un WriteBlocker USB, ne esistono di molto economici, contattate sempre Luca Losio che li rivende e vi può fornire assistenza.
Prima di effettuare l’acquisizione, ricordatevi di eseguire il software con privilegi di amministratore, inserire tutti i dati ed eseguire la copia:
Andiamo alla fase successiva, cioè quella dell’analisi, la prima cosa da fare è fornire la cristallizzazione o il dump della memoria, le opzioni sono veramente ricche e complete:
Come vedete apre tutti i formati, molti ma molti di più di software blasonati e costosi, apre anche i dump di Cellebrite UFED, le macchine virtuali, insomma che cosa volere di più? Dalla stessa maschera è possibile impostare gli HASH dei file da ricercare oppure le keyword:
Una volta selezionato, ad esempio una immagine .EX01, formato DD compresso di un disco acquisito precedentemente con il mio FALCON, una volta indicata la sorgente e i dati identificativi, ad esempio nome esaminatore, sorgente ecc.
cliccando sul tasto in basso a sinistra “Index all sources” si da inizio al lavoro, il sistema inizia ad indicizzare il materiale fornito, è possibile per uno stesso caso aggiungere più materiale, il sistema terrà sempre traccia della diversa fonte.
Mentre il sistema lavora si possono iniziare anche a fare le ricerche, anche se è meglio terminare il lavoro, dal TAB “Search” è possibile vedere live il popolamento dei vari oggetti trovati e raggruppati:
In basso troviamo la linea temporale che può essere selezionata anche con il mouse, se ad esempio ci interessa un particolare periodo da vedere, il sistema filtra solo i risultati di quell’arco temporale.
L’uso del sistema è veramente semplice, ma una delle cose più interessanti è quella di avere delle ricette, “Recipes”, vedi terzo TAB, dove è possibile in tempo reale raggruppare le prove in base a contesti già pronti ad essere cucinati:
Ora è vero che sono in inglese e già comunque sono funzionanti anche per noi, ma il bello è che possiamo crearne di nostre di ricette!
Ad esempio ho creato un nuovo recipe, chiamato “Pedo”, dove ho inserito solo le fonti e gli artefatti di mio interesse:
Una volta salvato è possibile utilizzarlo, restringendo il focus su quello che ci interessa:
Anche le ricerche sono velocissime, sembra magico, inoltre avete la possibilità di aggiungere dei cartellini, se trovate materiale che è da evidenziare potete aggiungere note, tag, vedere i collegamenti di un oggetto, risalire al padre, aprire in un’altra applicazione e salvare l’item:
Capire ad esempio se un documento è geolocalizzato:
Oltre tutto ha una parte di reportistica veramente ben fatta e customizzabile:
qui ho costruito un report in PDF, ma lo fa anche in WORD .DOC, delle email, cambiando logo, e valori di intestazione e fine pagina e questo è il risultato:
Per motivi di privacy ho dovuto oscurare alcune parti, questo per far capire che in pochi secondi mi sono creato un report dove vedo tutte le email, poi cliccando sul soggetto, mi apre il file originale che ho fatto esportare con il report. Questo con altri prodotti non è al momento possibile.
Spero che questa breve introduzione sia stata utile, scaricatelo e usatelo. Sul sito del produttore trovate un corso di certificazione, anche quello gratuito e tanto altro materiale, compresa una comunità di utenti riservata al prodotto.
grazmo (Massimo Graziani – massimo.graziani@gmail.com)