Recentemente ho iniziato a interessarmi al tema dell’acquisizione forense dei computer prodotti da Apple. Per i PC di altri produttori (solitamente con Windows o Linux) esistono vari programmi per fare una copia forense, ma con i Mac la scelta è piuttosto limitata e i pochi prodotti esistenti sono per di più costosi.
Per questo motivo ho deciso di creare un nuovo progetto. Fuji è un software per l’acquisizione forense per i Mac vecchi e nuovi, inclusi gli ultimissimi modelli con Apple Silicon. Permette di ottenere una cosiddetta estrazione Full File System, adoperando una semplice interfaccia grafica e senza righe di comando.
Fuji è un progetto completamente gratuito e open source, disponibile per il download su GitHub. Dopo averlo annunciato a maggio con un post su LinkedIn, ha avuto un riscontro piuttosto positivo dalla comunità.
Ad agosto sono stato intervistato dalla rivista di settore Forensic Focus, che mi ha fatto alcune domande sul mio lavoro, su questo progetto e sul perché l’ho iniziato:
Ho creato Fuji perché ci sono pochi programmi in grado di eseguire l’acquisizione forense dei Mac moderni. Molti sono costosi e nessuno è gratuito o open source.
C’è stata anche l’opportunità di parlare più in generale di quanto il software open source sia importante nel settore dell’informatica forense:
L’open source facilita la verificabilità di ciò che viene fatto. Immagina se, durante un processo in cui la prova del DNA gioca un ruolo cruciale, il biologo ti dicesse: “Non posso dire come ho estratto il DNA del sospetto dalla scena perché è un segreto commerciale, però fidati.”
Potete leggere l’intervista integrale in inglese cliccando qui, oppure la traduzione automatica in italiano. Tuttavia quest’ultima potrebbe contenere degli errori.
Inoltre, ho il piacere di comunicarvi che il 29 settembre 2024 a Praga (Repubblica Ceca) si svolgerà l’annuale edizione del SANS DFIR Europe Summit, uno dei più importanti eventi a livello europeo nel settore dell’informatica forense.
Il programma è davvero folto, e tra le 11 presentazioni ben cinque saranno tenute da professionisti italiani! Sarò presente con un intervento intitolato “Fuji: A New Open Source Tool For Full File System Acquisition of Mac Computers”, proprio per presentare il mio progetto:
The advent of Apple Silicon introduced new challenges for forensic acquisition on macOS devices, as traditional imaging tools like dd or Disk Utility cannot be used due to hardware-level encryption. This issue inspired the creation of Fuji, a free and open-source tool designed for the forensic acquisition of Mac computers.
Fuji leverages native Apple utilities such as ASR and Rsync to perform a Full File System (FFS) live acquisition, thus working even on encrypted drives. It generates DMG files compatible with tools like FTK Imager and Autopsy.
We will explore what Fuji is capable of, the differences between its acquisition modes, and how it was developed using Python.
Maggiori informazioni sul programma e le modalità di iscrizione sono disponibili direttamente sul sito web di SANS:
Colgo l’occasione per ringraziare ONIF (Osservatorio Nazionale Informatica Forense) per il sostegno che mi ha dato nella partecipazione al convegno, nonché in quella degli altri colleghi e soci che presenteranno i loro progetti durante la stessa giornata.