Analisi Forense sul sistema operativo Macintosh OS X (1^ Parte)

di Cristian Ceroni

Introduzione

Nell’attuale società il continuo espandersi della realtà informatica determina un consequenziale aumento degli episodi di criminalità legati al mezzo informatico, e di conseguenza una varietà di tipologie di analisi, che possiamo ritrovare come costante nell’attività di acquisizione ed analisi dei reperti. Con il passaggio di architettura (da PPC ad Intel), il sistema operativo di casa Apple potrebbe verosimilmente espandere il suo bacino di utenza in maniera esponenziale, soprattutto in vista delle ricompilazioni di programmi in un primo tempo di esclusivo utilizzo su piattaforme windows.

E' da sottolineare, comunque, che proprio in ragione di questa precedente realtà di nicchia, OS X non ha ricevuto la degna attenzione da parte del mondo forense, e pochi sono gli studi e le pubblicazioni su indagini forensi condotte su questo os (nessuna in italiano).

Nel corso della pubblicazione di questi articoli, si andranno ad analizzare le diverse tipologie di approccio, come la creazione di un'immagine, lo studio e le analisi dei log e il file recovery su questa piattaforma.


Tecnica forense di base

Steve Jobs e Steven Wosniac crearono il primo computer Apple nel 1976.
Ma fu nel 1986, con l’introduzione dell’Apple IIgs che Apple incluse il primo hard drive nelle loro macchine.

Uno dei problemi riscontrati con i primi sistemi Macintosh era l’accesso al drive e, in alcuni casi, occorreva utilizzare speciali tools per aprire il box.
In queste occasioni, per procedere all’analisi occorreva effettuare il boot del sistema con uno Zip drive SCSI contenente il sistema operativo e i tools forensi, inserito lo SCSI Zip e premuta la combinazione dei tasti Command+Option+Shift+Delete mentre il sistema era in power up.

Questa procedura faceva sì che il sistema operativo Macintosh operasse il check della catena SCSI in ordine inverso (partendo da ID 7 e lavorando verso ID 0, invece che da 0 a 7), fino a che trovasse un system folder bootabile.

Dal momento che lo Zip drive era settato a SCSI ID 6, determinava che questo sarebbe stato il drive di boot (ID 7 è infatti riservato alla CPU).
Il drive sospetto sarebbe stato montato, e in conseguenza applicato un software writelock per minimizzare le alterazioni dei files.

Ovviamente questo sistema non è l’ideale, ma è utile quando si hanno poche chances di entrare nell’hard drive.

Fortunatamente i più moderni Mac rendono estremamente più semplice l’accesso ai componenti interni (il G3 fu il introdotto nel 1997 e permetteva di accedere facilmente nell’hard drive).

Il sistema operativo Macintosh è diviso in due tipologie: Classic OS e OS X.
OS X è l’ultimo sistema prodotto da Macintosh (ora alla versione 10.4, code name Tiger), e funziona solo nei sistemi G3, G4 e G5 (vale a dire l’architettura della PPC).

Quindi, se il sistema da analizzare è provvisto di una versione antecedente alla G3, non è possibile effettuare un boot (sebbene si possa comunque montare) in una macchina G4.

È essenziale quindi sapere quale modello Macintosh si andrà ad analizzare e quale versione del sistema operativo sia installato.

Affinché le prove siano ammissibili in sede dibattimentale, è fondamentale che queste non subiscano alcun tipo di modifica. Le computer evidences sono soggette a modifiche in quanto è molto semplice modificarle e/o alterarle.

Sui sistemi Microsoft Windows, ad esempio, quando si procede al boot del sistema, l’access dates e l’access times si modificano, e i recycle bins saranno aggiunti al nuovo device.

Similarmente, il sistema operativo Macintosh prova a montare tutti i devices nel boot-up, i quali modificano gli ultimi access dates e times di alcuni files. Il modo più sicuro per prevenire le modifiche dei dati è creare una mirror image dell’hard disk da esaminare per poi effettuare l’analisi sulla copia.