Tempo fa sulla mailing list di CFI ho provato a lanciare l'idea di effettuare un backup degli SMS tramite Nokia PC Suite, modificarne qualcuno e poi effettuare il restore sul telefono, in modo tale da avere un SMS finto che potrebbe essere usato per varie motivazioni (minacce, stalking, alibi, ecc.).

Chiaramente l'idea è una pura speculazione intellettuale/tecnica, visto che sarebbe assurdo affidare tutto un impianto accusatorio/difensivo solo su un sms, sappiamo bene che le indagini devono essere a 360 gradi, però in determinate condizioni di ignoranza, tabulati del gestore telefonico distrutti (perchè fuori dai tempi di data retention), ecc. ecc. potrebbe essere un bel fastidio/vantaggio (a seconda dei punti di vista) .
Inoltre, i tabulati dei gestori telefonici riportano solo il mittente, il destinatario, la data e l'ora, non il contenuto dell'SMS, quindi sarebbe pure ipotizzabile una modifica dell'SMS o una ricreazione ex-novo (mantenendo le stesse coordinate, data, ora, ecc.) sul proprio cellulare, però riportando un testo diverso da quello effettivamente ricevuto.

Da qui sono scaturiti i vari esempi più o meno fantasiosi, però se questo sms fosse stato repertato in un contesto particolare, dove la persona non fosse stata completamente avulsa dai fatti, in qualche modo fosse implicata, l'sms potrebbe gettere ulteriori ombre? Questo sistema quanto influerebbe?
Quanto tempo farebbe perdere? Sarebbe mai sgamato se nessuno si ponesse il problema, che gli sms sul cellulare non sono verbo divino ma possono essere forgiati?
E' indubbio che NON basterà mai un SMS a chiudere un caso, ma è giusto divulgare, che la possibilità di falsificare quest'ultimi c'è, almeno personalmente mi  sono posto la domanda e mi sono risposto con la sperimentazione, magari qualcuno più esperto di cellulari mi potrebbe dire che è una cosa
notissima....non so...quindi esempi pratici inattaccabili non me ne vengono in mente, però...il mondo è bello perchè vario, gli errori giudiziari spesso son stati commessi anche basandosi su rilievi tecnico scientifici in seguito rivelatisi errati o imprecisi....quindi...chissà...

Ma veniamo al percorso tecnico, il tutto sperimentato su Nokia 6220 Classic e Symbian 60.

Primo approccio

Ho provato a backuppare solo gli sms con Nokia PC Suite, creando il file .nbu.

1) Apro il file SMSbackup.nbu con un editor esadecimale
2) Cerco un determinato sms
3) Cambio il numero del mittente e la data ed anche una lettera nel messaggio
4) Salvo tutto
5) Faccio il RESTORE da file su telefono.

La PC Suite mi dice che il telefono si riavvierà....attendo... Guardo gli sms e....trovo il vecchio sms col numero suo, il testo non cambiato, la data giusta, ecc. ecc.

Ho provato a cancellare tutti gli sms dal telefono, lasciando solo quello, ho backuppato, ho cancellato tutto dal telefono, ho fatto la modifica con l'esadecimale, ho ripristinato sul telefono...e ...di nuovo LUI! integro...senza alcuna modifica...

Gli sms sono messi con dei campi delimitatori e sono testuali:

BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-BOX:INBOX
X-NOK-DT:20081103T092558Z
BEGIN:VCARD
VERSION:2.1
TEL:+39329111111
END:VCARD
BEGIN:VENV
BEGIN:VBODY
Date:3.11.2008 11:25:58
Ciao Nanni, posso disturbarti 1 min.?
END:VBODY
END:VENV
END:VMSG

Se ci fosse un'altra copia di questo messaggio dovrei trovarla nell'NBU.... cerco usando:

strings -e l SMSBackup.nbu (UNICODE)

strings SMSBackup.nbu (ASCII)

grep -iaob "Nanni" SMSBackup.nbu

Mentre Esplorando il file NBU con NBUExplorer ed ho trovato l'sms originale in un sottocartella che poi ho scoperto far parte delle cartelle private di sistema inaccessibili da PC Suite o da File Mangers sul telefonino a meno di non usare alcuni hacks.

Da quello che ho capito, le info binarie che contengono l'effettivo sms nel file NBU sono codificate in UCS2 ed è molto difficile riuscire a modificarle manualmente, come dicono QUI
 
Secondo approccio

Se, invece, si fa un particolare hack sui Symbian (S60) si può, usando applicazioni come XPlore, navigare nella cartella Private e lì trovare gli sms già decodificati...magari con XPlore si può modificare...ma io l'hack non l'ho fatto!

Allora oggi ho provato ad istallare sul mio Nokia il programma ActiveFile 1.44 Basic  e tra i tools disponibili c'è "Fake SMS", che mi permette di creare ex-novo un sms con i dati: nome mittente, numero di telefono, data ed ora e testo:

 Come si vede dall'immagine Barack Obama (ho sbagliato nel scrivere il nome del Mr. President), mi ha scritto dal futuro (data 20/11/2010) visto che oggi siamo al 03/09/2010. 

Conclusioni

Credo che sia sempre utile sperimentare ed informare di ciò che si scopre, forse e probabilmente ho scoperto l'acqua calda...ma sinceramente, quanti di voi vedendo un sms metterebbero in dubbio la sua veridicità? Quanti penserebbero ad un editing di un sms vedendolo direttamente sul display di un telefonino? Bhè se siete in tanti allora mi son posto una questione inutile, viceversa spero che questa "sciocchezza" sia utile a qualcuno.

Nanni Bassetti - http://www.nannibassetti.com

Molti relatori importanti come: Brian Carrier (creatore dello Sleuthkit e di Autopsy) e Simpson Garfinkel (AFFlib), l'italiano Dario Forte, Harlan Carvey  ed altri.

Tra le slides di Carrier ne ho estratto un paio che mi riempiono di soddisfazione:

Bè che dire? è un onore grandissimo...almeno per me ;)

AGENDA dell'evento: http://www.basistech.com/conference/2010/digital-forensics-agenda.html

http://sfdumper.sourceforge.net/

Nel mentre stiamo lavorando a Caine 2.0....spero che erediterà tutto il successo della release 1.5

Come al solito il pubblico era variopinto, agenti di polizia, consulenti, appassionati, informatici, neofiti e persone che già operano da tempo nel settore...

Il seminario è stato interattivo, come tutti i miei seminari , ho fatto vedere degli screenshots di Caine 2.0 e abbiamo lanciato Wintaylor 2.0, oltre che aver mostrato un'acquisizione con Air 2.0.0 usando DC3DD col doppio hash e iflag=direct.

Ho permesso di fare un piccolo intervento all'amico Silverio Greco per parlare della costituzione di un possibile listino "prezzi" da sottoporre alle procure al fine di sostituire il meccanismo delle vacazioni (i famigerati 4 euro e rotti all'ora ossia 8 e rotti a vacazione).

Molti contatti, molte strette di mano e molto entusiamo, con idee e pianificazione di altri eventi al SUD e anche al NORD (c'era qualcuno di Pisa e qualcuno di Como). Per ora sono sempre più orgoglioso di aver finalmente portato un pò di questa disseminazione culturale sotto il parallelo di Roma:

http://www.cfitaly.net/italiacfi

Ringrazio Studiodelta, World Wide Crime e gli ordini degli ingegneri che stanno sostenendo l'idea e l'organizzazione di eventi simili nel ns. meridione....è stata dura ma forse abbiamo smosso qualcosa...ricordo ancora che fino ad un paio d'anni fa non c'era molto (per usare un eufemismo) ed ora le cose stanno cambiando...avanti così!