martedì 14 settembre 2010

Caine 2.0 è online


Dopo mesi di lavoro finalmente Caine 2.0 è nato!
La distro presenta tante novità, ma andiamo ad elencarle:
1) Mounter GUI (grafici) per chi non ama la console.
2) Patch against: Fake Casper, modifiche del Journal, swap e automounting oltre che il mounting tramite applet avviene su dispositivo loop.
3) Nautilus scripts, una suite di scripts attivabili dal Nautilus al fine di migliorare le preview dei dispositivi ed effettuare delle operazioni "forensi".
4) Bash Scripts tools aggiornati.
5) La distro è INSTALLABILE ed essendo una LTS (Long Term Support) avrà il supporto fino al 2013.
6) altro ancora....
NBCaine 2.0 è ottimo per i NetBook ed include WinTaylor 2.1 (suite per la live forensics sui sistemi Microsoft).
Adesso non rimane che scaricarli: http://www.caine-live.net

venerdì 3 settembre 2010

Creare un SMS dal nulla!

Tempo fa sulla mailing list di CFI ho provato a lanciare l'idea di effettuare un backup degli SMS tramite Nokia PC Suite, modificarne qualcuno e poi effettuare il restore sul telefono, in modo tale da avere un SMS finto che potrebbe essere usato per varie motivazioni (minacce, stalking, alibi, ecc.).
Chiaramente l'idea è una pura speculazione intellettuale/tecnica, visto che sarebbe assurdo affidare tutto un impianto accusatorio/difensivo solo su un sms, sappiamo bene che le indagini devono essere a 360 gradi, però in determinate condizioni di ignoranza, tabulati del gestore telefonico distrutti (perchè fuori dai tempi di data retention), ecc. ecc. potrebbe essere un bel fastidio/vantaggio (a seconda dei punti di vista) .
Inoltre, i tabulati dei gestori telefonici riportano solo il mittente, il destinatario, la data e l'ora, non il contenuto dell'SMS, quindi sarebbe pure ipotizzabile una modifica dell'SMS o una ricreazione ex-novo (mantenendo le stesse coordinate, data, ora, ecc.) sul proprio cellulare, però riportando un testo diverso da quello effettivamente ricevuto.
Da qui sono scaturiti i vari esempi più o meno fantasiosi, però se questo sms fosse stato repertato in un contesto particolare, dove la persona non fosse stata completamente avulsa dai fatti, in qualche modo fosse implicata, l'sms potrebbe gettere ulteriori ombre? Questo sistema quanto influerebbe?
Quanto tempo farebbe perdere? Sarebbe mai sgamato se nessuno si ponesse il problema, che gli sms sul cellulare non sono verbo divino ma possono essere forgiati?
E' indubbio che NON basterà mai un SMS a chiudere un caso, ma è giusto divulgare, che la possibilità di falsificare quest'ultimi c'è, almeno personalmente mi sono posto la domanda e mi sono risposto con la sperimentazione, magari qualcuno più esperto di cellulari mi potrebbe dire che è una cosa
notissima....non so...quindi esempi pratici inattaccabili non me ne vengono in mente, però...il mondo è bello perchè vario, gli errori giudiziari spesso son stati commessi anche basandosi su rilievi tecnico scientifici in seguito rivelatisi errati o imprecisi....quindi...chissà...
Ma veniamo al percorso tecnico, il tutto sperimentato su Nokia 6220 Classic e Symbian 60.
Primo approccio
Ho provato a backuppare solo gli sms con Nokia PC Suite, creando il file .nbu.
1) Apro il file SMSbackup.nbu con un editor esadecimale
2) Cerco un determinato sms
3) Cambio il numero del mittente e la data ed anche una lettera nel messaggio
4) Salvo tutto
5) Faccio il RESTORE da file su telefono.
La PC Suite mi dice che il telefono si riavvierà....attendo... Guardo gli sms e....trovo il vecchio sms col numero suo, il testo non cambiato, la data giusta, ecc. ecc.
Ho provato a cancellare tutti gli sms dal telefono, lasciando solo quello, ho backuppato, ho cancellato tutto dal telefono, ho fatto la modifica con l'esadecimale, ho ripristinato sul telefono...e ...di nuovo LUI! integro...senza alcuna modifica...
Gli sms sono messi con dei campi delimitatori e sono testuali:
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-BOX:INBOX
X-NOK-DT:20081103T092558Z
BEGIN:VCARD
VERSION:2.1
TEL:+39329111111
END:VCARD
BEGIN:VENV
BEGIN:VBODY
Date:3.11.2008 11:25:58
Ciao Nanni, posso disturbarti 1 min.?
END:VBODY
END:VENV
END:VMSG

Se ci fosse un'altra copia di questo messaggio dovrei trovarla nell'NBU.... cerco usando:
strings -e l SMSBackup.nbu (UNICODE)
strings SMSBackup.nbu (ASCII)
grep -iaob "Nanni" SMSBackup.nbu

Mentre Esplorando il file NBU con NBUExplorer ed ho trovato l'sms originale in un sottocartella che poi ho scoperto far parte delle cartelle private di sistema inaccessibili da PC Suite o da File Mangers sul telefonino a meno di non usare alcuni hacks.

Da quello che ho capito, le info binarie che contengono l'effettivo sms nel file NBU sono codificate in UCS2 ed è molto difficile riuscire a modificarle manualmente, come dicono QUI

Secondo approccio
Se, invece, si fa un particolare hack sui Symbian (S60) si può, usando applicazioni come XPlore, navigare nella cartella Private e lì trovare gli sms già decodificati...magari con XPlore si può modificare...ma io l'hack non l'ho fatto!
Allora oggi ho provato ad istallare sul mio Nokia il programma ActiveFile 1.44 Basic e tra i tools disponibili c'è "Fake SMS", che mi permette di creare ex-novo un sms con i dati: nome mittente, numero di telefono, data ed ora e testo:

Come si vede dall'immagine Barack Obama (ho sbagliato nel scrivere il nome del Mr. President), mi ha scritto dal futuro (data 20/11/2010) visto che oggi siamo al 03/09/2010.
Conclusioni
Credo che sia sempre utile sperimentare ed informare di ciò che si scopre, forse e probabilmente ho scoperto l'acqua calda...ma sinceramente, quanti di voi vedendo un sms metterebbero in dubbio la sua veridicità? Quanti penserebbero ad un editing di un sms vedendolo direttamente sul display di un telefonino? Bhè se siete in tanti allora mi son posto una questione inutile, viceversa spero che questa "sciocchezza" sia utile a qualcuno.
Nanni Bassetti - http://www.nannibassetti.com