Exterro, dietro front per FTK Imager

Nell’articolo pubblicato il 28 ottobre scorso sul nostro sito, avevamo segnalato un importante aggiornamento dell’applicazione FTK Imager, uno degli strumenti più utilizzati del panorama informatico forense.
La novità determinante introdotta con la nuova versione 4.7.3.61 (hash MD5 “fb98287965d4e3b9a7e9de50a781dca4”) dell’applicazione era la possibilità di gestire la crittografia BitLocker che nel tool si mostrava pienamente supportata nei processi di mounting dell’immagine cifrata (senza necessità di montare il volume logico), anche nel caso di presenza di “clear key” e generazione di copia forense già decifrata.

Nei giorni immediatamente successivi la società ha rimosso il link dalla pagina di download, generando non poco stupore (e anche un pizzico di preoccupazione visto che nel changelog erano presenti fix di vulnerabilità) tra gli utenti:

Successivamente, il 3 novembre, Exterro ha rilasciato su X, dal suo profilo, un comunicato dove spiegava che il rilascio della versione che gestisce BitLocker non è stato sostanzialmente intenzionale, non precisando se la successiva versione dello strumento che sarebbe stata rilasciata il 5 novembre avrebbe incluso ancora tale funzionalità:

Tra il 5 e il 6 novembre Exterro ha annunciato sul suo portale, nella sezione relativa al download di FTK Imager (sbagliando nella sua precisazione ad indicare il numero di versione sostituita, riportando “4.7.3.21” anziché “4.7.3.61”) la pubblicazione della versione 4.7.3.81 (hash MD5 “3815b9c2a6aa8898ecbe55353aaf4b79”) che non include la funzionalità di gestione della crittografia:

Mentre questo “passo indietro” ha oggettivamente scosso la comunità di tecnici che ogni giorno utilizzano lo strumento e si sentivano arricchiti dall’introduzione di una feature così vantaggiosa, ci si chiede se mai si vedrà una nuova pubblicazione dello strumento con inclusa questa funzionalità. È sempre più facile, infatti, imbattersi in dischi che sono crittografati con Bitlocker e possedere un tool che supporti la decifratura/mounting delle immagini cifrate è strategico sia nella fase di produzione di copia forense che di processing e analisi dei dati.
Nel frattempo, si tornerà all’utilizzo di soluzioni alternative come ad esempio Arsenal Image Mounter che già nella versione gratuita include la possibilità di montare immagini forensi di volumi crittografati con BitLocker che utilizzano la “clear key” e agevola il processo di generazione di copia decifrata.
Non è chiaro quale sia il motivo esatto del “dietro front” di Exterro, anche se è facile immaginare che la società possa voler includere tale funzione in una versione più esclusiva (magari a pagamento) dell’applicazione o all’interno della suite di analisi FTK (Forensic Toolkit). Resta anche l’ipotesi che la società voglia mantenere le feature della versione 4.7.3.61 in una “internal build” che non verrà rilasciata al pubblico.