Mobile forensics APFS Apple
Le sfide e le opportunità che APFS presenta per la mobile forensics
In tema di digital forensics e mobile forensics, oggi vi illustreremo il file system proprietario di Apple: l’Apple File System (APFS).
Introdotta nel 2017, questa nuova tecnologia è stata progettata per migliorare l’esperienza utente e la sicurezza dei dispositivi Apple.
Come operatori di digital forensics, è fondamentale comprendere a fondo il funzionamento di APFS per essere in grado di recuperare dati da dispositivi Apple in modo efficace ed efficiente.
In questo articolo, esploreremo le caratteristiche di APFS e discuteremo le sfide e le opportunità che presenta per la mobile forensics.
Apple File System (APFS) è quindi un file system proprietario sviluppato da Apple, che è stato creato per supportare l’archiviazione Flash/SSD e funziona su tutte le piattaforme, tra cui iPhone, iPad, iPod touch, Mac, Apple TV e Apple Watch.
APFS offre numerose funzionalità, tra cui la crittografia sicura, i metadati copy-on-write, la condivisione dello spazio, la clonazione di file e directory, le istantanee, il ridimensionamento rapido delle directory, le primitive atomiche di salvataggio sicuro e le basi di file system migliorate.
Questo sistema di file system è stato progettato con un unico design copy-on-write che utilizza la coalescenza I/O per offrire le massime prestazioni e garantire al tempo stesso l’affidabilità dei dati.
Mobile forensics APFS Apple
Una delle caratteristiche principali di APFS è la condivisione dello spazio. APFS assegna spazio di archiviazione su richiesta, e quando un singolo container APFS ha più volumi, lo spazio libero di quel container viene condiviso e può essere assegnato ai vari volumi in base alle esigenze di spazio. Ogni volume utilizza solo parte dell’intero container, quindi lo spazio disponibile è rappresentato dalle dimensioni totali del container, meno lo spazio utilizzato in tutti i volumi del container.
In macOS 10.15 o versioni successive, un container APFS utilizzato per avviare il Mac deve contenere almeno cinque volumi, tra cui il volume di pre-avvio, il volume VM, il volume di recupero, il volume di sistema e il volume di dati. Il volume di sistema contiene tutti i file necessari per l’avvio del Mac, nonché tutte le app native installate da macOS.
Il volume di dati, d’altra parte, contiene tutti i dati soggetti a cambiamento, tra cui la cartella dell’utente, le app installate dall’utente, i framework e i daemon personalizzati installati dall’utente o da app di terze parti, e altre posizioni di proprietà dell’utente e scrivibili dall’utente. Per ogni volume di sistema aggiuntivo viene creato un volume di dati. I volumi di pre-avvio, VM e di recupero sono condivisi e non duplicati.
In iOS e iPadOS, l’archiviazione è divisa in almeno due volumi APFS: il volume di sistema e il volume di dati. Il volume di sistema contiene tutti i file necessari per l’avvio di iOS o iPadOS, mentre il volume di dati contiene tutti i dati dell’utente, come foto, musica, video e documenti.
Nonostante le numerose funzionalità e vantaggi offerti da APFS, il file system presenta anche alcune criticità quando si tratta di recupero forense dei dati. In particolare, la crittografia sicura di APFS può rendere difficile o impossibile il recupero dei dati senza la corretta chiave di decrittazione. Inoltre, il design copy-on-write di APFS può rendere difficile il recupero di dati cancellati, poiché i dati vengono sovrascritti solo quando necessario per mantenere la coerenza del file system.
Oltre alle caratteristiche positive del file system APFS, ci sono alcune criticità che vanno prese in considerazione, soprattutto per le attività di recupero forense.
La crittografia sicura è una funzionalità importante di APFS, che utilizza una chiave di cifratura univoca per proteggere i dati. Tuttavia, questo rende il recupero dei dati da un dispositivo compromesso molto più difficile, poiché senza la chiave di cifratura, i dati risultano illeggibili. Inoltre, la crittografia può anche rallentare notevolmente le operazioni di recupero dati.
Un’altra critica importante riguarda la funzionalità di “condivisione dello spazio”. Sebbene questa caratteristica sia utile per ottimizzare l’uso dello spazio su disco, può comportare difficoltà nel recupero dei dati in caso di danni al file system. Infatti, se uno dei volumi condivide lo spazio con altri volumi e subisce un guasto, tutti i dati presenti negli altri volumi condivideranno la stessa area di memoria danneggiata, rendendo il recupero dei dati molto complesso.
Inoltre, il design copy-on-write unico di APFS, che offre prestazioni elevate e garantisce l’affidabilità dei dati, può causare problemi durante il recupero forense. Questo perché i dati vengono scritti solo in aree vuote del disco e le informazioni precedenti rimangono nel loro stato originale. Ciò può comportare la perdita di dati importanti se il file system subisce un guasto.
Infine, la presenza di più volumi APFS all’interno di un unico container può complicare le attività di recupero dati. Ad esempio, se uno dei volumi viene danneggiato, il ripristino potrebbe richiedere molto tempo e risorse per la ricerca e l’individuazione dei dati necessari all’interno degli altri volumi. Inoltre, il fatto che alcuni volumi siano nascosti all’utente può rendere difficile il recupero di alcuni dati importanti, come ad esempio i file di avvio e di ripristino.
In conclusione, sebbene APFS offra molte funzionalità utili e vantaggi prestazionali, la sua complessità può comportare alcune criticità per le attività di recupero forense. Tuttavia, esistono diverse tecniche e strumenti disponibili per gestire queste problematiche e recuperare con successo i dati da dispositivi mobili e Mac che utilizzano APFS come file system.
Vuoi rimanere aggiornato sulle ultime tendenze e tecnologie nel campo della digital forensics e della mobile forensics?
Iscriviti alla nostra newsletter e ricevi informazioni esclusive, aggiornamenti sui nostri servizi e contenuti utili per il tuo lavoro.
Non perdere l’opportunità di essere sempre al passo con le ultime novità nel settore. Iscriviti ora e non perdere neanche una notizia!
Mobile forensics APFS Apple – Cosa si intende per Design Copy-on-write?
Il design copy-on-write unico di APFS è una tecnologia di gestione dei dati che migliora le prestazioni e la sicurezza del file system. In sostanza, il design copy-on-write implica che le operazioni di scrittura sui dati non sovrascrivono i dati esistenti, ma creano una copia dei dati originali e scrivono i nuovi dati nella copia. Questo approccio impedisce che i dati originali vengano modificati accidentalmente o persi in caso di guasto hardware o di un’interruzione del processo di scrittura.
Il design copy-on-write è uno dei punti di forza di APFS, ma può rappresentare anche una criticità nella fase di recupero dei dati cancellati da un iPhone o tablet. In particolare, l’uso del design copy-on-write significa che i dati cancellati dal file system APFS non vengono immediatamente eliminati dal dispositivo, ma vengono segnati come “spazio libero”. Questo spazio libero può poi essere riutilizzato dal file system per salvare nuovi dati.
Il problema è che il file system APFS non garantisce che lo spazio libero venga riutilizzato in modo sequenziale. In altre parole, i nuovi dati possono essere scritti in qualsiasi punto dello spazio libero, incluso lo spazio in cui erano stati salvati i dati cancellati. Se questo accade, i dati cancellati diventano sovrascritti e non sono più recuperabili.
Inoltre, APFS utilizza una tecnologia chiamata TRIM, che cancella in modo sicuro i dati su una memoria flash SSD per migliorare le prestazioni e la durata del dispositivo. TRIM funziona eliminando fisicamente i blocchi di memoria che contengono i dati cancellati, rendendoli irrecuperabili. Di conseguenza, anche se i dati cancellati non vengono sovrascritti, potrebbero comunque essere stati eliminati definitivamente da TRIM.
In sintesi, il design copy-on-write unico di APFS può rendere difficile il recupero dei dati cancellati da un iPhone o tablet perché i dati cancellati non vengono immediatamente eliminati dal dispositivo e lo spazio libero viene riutilizzato in modo non sequenziale. Inoltre, la tecnologia TRIM può eliminare definitivamente i dati cancellati, anche se non sono stati sovrascritti. Per questo motivo, è importante agire tempestivamente e rivolgersi a professionisti esperti in recupero dati se si è cancellato accidentalmente qualcosa di importante dal proprio dispositivo.
CONTATTACI
Hai domande o dubbi su come possiamo aiutarti? Vuoi saperne di più sui nostri servizi di digital forensics e mobile forensics?
Compila il modulo di contatto qui di seguito e saremo felici di rispondere a tutte le tue domande. Il nostro team di esperti è sempre pronto ad aiutare e a trovare la soluzione giusta per te. Non esitare a contattarci e scoprire come possiamo supportare le tue esigenze di analisi forense e di recupero dati.
Foto di zhang kaiyv su Unsplash