Se abbiamo il telefono spento, possiamo estrarre l’eventuale memory card ed effettuare una copia forense come normalmente si fa con i dischi e le pendrive, quindi copia raw o EWF e verifica con codice hash, chiaramente utilizzando un write blocker alla quale collegare la schedina di memoria.
Finita la copia bit a bit della schedina, la reinseriamo nel telefono, poi passiamo a “clonare” la SIM card su una SIM neutra, per far questo si utilizzeranno gli strumenti per mobile forensics che abbiamo in uso, personalmente ho esperienza con Cellebrite UFED e questa macchina ha lo slot per la clonazione dell’ICCID ( Integrated Circuit Card ID, un numero seriale stampato sulla scheda stessa che la identifica univocamente) ed IMSI ( International Mobile Subscriber Identity numero univoco che viene associato a tutti gli utenti di telefonia mobile di reti GSM o UMTS) della SIM card originale su una SIM card neutra, ossia che non si collega a nessun gestore telefonico. Il processo di clonazione in realtà copia solo i due suddetti codici e nient’altro.
La clonazione della SIM card serve a sostituire l’originale col clone al fine di “ingannare” il telefono, che crederà di avere la stessa SIM, poiché in alcuni casi alla SIM può esser legata la visualizzazione del registro chiamate o addirittura dei blocchi del telefono se non trova la SIM originale, inoltre può servire qualora sia necessario accendere il telefono per estrarne i dati e la SIM originale sia protetta da PIN.
Chiaramente laddove fossimo in un ambiente isolato, potremmo anche evitare la clonazione della SIM card e lasciare l’originale, dato che la SIM entra in gioco qualora per acquisire il contenuto del telefono siamo costretti ad accenderlo.
Visto che abbiamo estratto la SIM, possiamo anche estrarre i dati da essa, generando un report, sempre che la SIM non sia protetta da PIN e qualora la fosse noi ne fossimo in possesso o quantomeno fossimo in possesso del codice PUK, al fine di bypassare il PIN.
A questo punto abbiamo la copia della memory card, l’estrazione dei dati della SIM, la SIM clonata, riassembliamo il tutto nel telefono e chiediamo al programma d’acquisizione che procedura ci impone per effettuare il dump (scarico) dei dati.
La procedura può comportare l’accensione del dispositivo oppure può acquisire tutto da telefono spento, tramite speciali cavi che permettono la lettura diretta, in altri casi il programma potrebbe caricare un bootloader speciale che non altera i dati ma permette al software di accedere alla totalità delle memorie del telefono ed in altri casi potrebbe richiedere di accendere il telefono e scaricare su di esso un “agent”, un programmino che farà da interfaccia tra la macchina d’acquisizione ed il telefono, quest’ultima procedura è tra le più invasive, anche se in definitiva non andremmo a perder dei dati causati dalla sovrascrittura effettuata dall’agent, poiché spesso quest’ultimo ci permette solo un dump logico o di file system e quindi i dati presenti nello spazio non allocato non sarebbero comunque stati presi.