Sistema alternativo agli strumenti classici della Mobile Forensics.
di Raffaele Colaianni e Nanni Bassetti
PREMESSA: Questa soluzione/esperimento è stata pensata per un caso specifico, in cui non si riuscivano a recuperare le chat in altro modo, anche guardando nella cartella /Whatsapp/.shared non vi erano tutte le chat.
Ipotizziamo di avere la necessità di estrarre copia di alcune chat di WhatsApp quando i classici strumenti per la mobile forensics falliscono.
Come possiamo raggiungere il nostro obbiettivo?
Partiamo da ciò che si deve fare:
1) Realizzare una copia forense del telefono con gli strumenti classici. Questa copia anche se parziale, perché priva delle chat di Whatsapp, è comunque necessaria..
2) Portare a casa il risultato, ovvero ottenere copia delle chat.
Passiamo a ciò che NON si deve o NON si può fare, siamo in ambito forense, quindi:
Non possiamo collegare il telefono ad Internet, perché il proprietario del telefono - o chi per lui - potrebbe aver inviato da remoto un comando di reset e per tanti altri motivi noti ai digital forensics expert.
Non possiamo “rootare” il telefono per diversi motivi tecnici o procedurali, non ultimo il rischio di “brickare” il dispositivo e renderlo definitivamente inaccessibile.
A questo punto sembra esserci a disposizione solo la scelta del caro vecchio servizio fotografico al display del telefono, con la conseguente scomodità di lettura in fase di analisi, oltre al fatto che questa modalità di raccolta del dato in alcuni casi potrebbe portar via settimane di tempo.
Ma il bello della mente umana è che riesce sempre a trovare una soluzione creativa ed è quello che abbiamo ideato in questa procedura.
L’idea è semplice, quasi banale: sfruttare la funzione interna di Whatsapp “invia chat via mail”, che genererà una mail con la chat memorizzata in un file .txt allegato.
Si deve però prestare attenzione perché, in assenza di una connessione attiva, l’allegato potrebbe risultare illeggibile o non presente nella cartella /sdcard/whatsapp/.shared e quindi non è possibile aprirlo né salvarlo sulla memoria del dispositivo.
Come possiamo procedere se non ci è permesso connettere il dispositivo in rete? Inganniamolo!
Si procede attivando un hot-spot NON collegato ad internet, in seguito si dovrà collegare via Wi-Fi il telefono cellulare all’hot-spot, e quindi inviare la chat via e-mail utilizzando l’app di GMail o quella generica di posta elettronica.
Se siamo in un ambiente in cui possiamo scollegare il router wi-fi dalla rete internet, possiamo anche utilizzare lo stesso router come hot-spot, altrimenti dovremo trasformare un nostro computer in hot-spot.
Dopo la connessione, salviamo la bozza della mail appena creata.
Giunti a questo punto, sempre col cellulare collegato all’hot-spot che non naviga su internet, apriamo la bozza dall’app di GMail oppure da ‘Posta in Uscita’ dell’app generica di posta elettronica del sistema Android. Troveremo il file .txt allegato contenente la chat. Possiamo aprirlo con qualsiasi app del telefono che legge gli HTML (es. un browser o il PolarOffice o simili) e poi salvarla su di una memory card esterna o su di una pendrive collegata al sistema via micro-usb, o in una directory accessibile successivamente collegando il telefono al computer tramite cavetto. Ovviamente è altamente consigliato non utilizzare la SD originale installata nel telefono, si tratta di un reperto e - se possibile - lo si deve lasciare nello stato in cui ci è stato consegnato.
Così facendo abbiamo ottenuto la chat desiderata in formato elettronico, da questo punto in poi ci si potrà consultarla ed organizzarla come meglio ci aggrada, in modo semplice e comodo.
Sistema per creare l’hot-spot in Windows
previo controllo che la vostra scheda Wi-Fi supporti questa modalità:
aprire il prompt dei comandi con permessi di amministratore.
netsh wlan set hostednetwork mode=allow ssid=MyHotSpot key=paperino
netsh wlan start hostednetwork
Connettere il computer alla MyHotSpot tramite connessione Wireless.
Per Linux e Mac si possono trovare online delle guide simili su come creare l’hot-spot.