Hot topics:
15 minuti

Come estrarre i dati dai telefonini, scopriamo la Mobile Forensics

Quando un dispositivo diventa una prova ci sono specifiche tecniche per prendere i dati senza comprometterli.

Come estrarre i dati dai telefonini, scopriamo la Mobile Forensics

La mobile forensics è quella disciplina che regola le fasi d’acquisizione, preservazione, analisi e reporting delle evidenze digitali estraibili da un dispositivo mobile, come telefoni, navigatori, tablet.

In quest’articolo ci soffermeremo direttamente sulla parte tecnica delle fasi d’acquisizione del dispositivo e non su tutta la procedura da effettuare sulle scene del crimine, come preservare le impronte, fotografare, ecc.

Possiamo subito evidenziare alcune peculiarità della mobile forensics che differiscono dalla computer forensics:

  • I dispositivi richiedono interfacce dedicate, supporti di memorizzazione e hardware ad hoc.
  • In alcuni casi i dati dell’utente sono residenti in memoria volatile rispetto al “fisso” hard disk, quindi possono esser persi se il dispositivo non è alimentato.
  • Nel processo d’ibernazione in cui i processi sono sospesi quando il dispositivo è spento o idle ma allo stesso tempo è attivo.
  • La varietà diversificata di sistemi operativi embedded in uso.
  • La velocità di produzione di nuovi dispositivi e dei rispettivi sistemi operativi.
  • Il sempre più presente cloud che sta permettendo di nascondere i dati mobili nel web, anche se quest’ultimo punto vale pure per i computer.

Una distinzione importante tra computer forensics convenzionale e mobile forensics è la riproducibilità delle prove nel caso di analisi post mortem (dispositivo spento).
Questo perché i telefoni, a differenza computer tradizionali, rimangono attivi costantemente e il loro contenuto viene continuamente aggiornato, così l'hash code prodotto da tali dispositivi genera un valore diverso ogni volta che la funzione è eseguita sulla memoria del dispositivo.
Questo rende impossibile ottenere una copia bit a bit della memoria di uno smartphone, con lo stesso codice hash, anche se alcuni telefoni possono esser “dumpati” da spenti e con procedure particolari, quindi si può riottenere lo stesso hash.

I concetti di base della digital forensics sono riassunti nei quattro principi emanati dall’ACPO (The Association of Chief Police Officers of England, Wales and Northern Ireland):

Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o ai loro agenti dovrebbe alterare i dati memorizzati su un computer o un supporto di memorizzazione che può successivamente essere utilizzato in tribunale.

Principio 2: In circostanze eccezionali, in cui una persona si trova nella necessità di accedere ai dati originali conservati su un computer o su supporti di memorizzazione, la persona deve essere competente a farlo ed essere in grado di spiegare la rilevanza e le implicazioni delle sue azioni.

Principio 3: La metodologia o altro atto di tutti i processi applicati (audit trail) a prove elettroniche  dovrebbero essere creati e conservati. Un terzo indipendente deve essere in grado di esaminare i processi e ottenere lo stesso risultato.

Principio 4: Il responsabile delle indagini (il funzionario in carica) ha la responsabilità generale di assicurare che la legge e tali principi siano rispettati.

Queste regole di massima servono a garantire che la copia digitale sia il più fedele possibile all’originale, ma soprattutto a garantire la ripetibilità delle risultanze ottenute dai processi d’acquisizione e d’analisi, oppure a spiegare scientificamente perché si è optato per delle metodologie invasive o alteranti.

La guida ACPO inoltre ha riconosciuto che:

  • Non tutto può rientrare nei 4 principi su elencati.
  • Una prova raccolta senza seguire la guida può essere considerato una prova comunque valida.

In effetti il Principio 1 della guida ACPO non può essere rispettato quando si tratta di smartphone forensics, perché la memoria è in continuo cambiamento anche automaticamente senza interferenze da parte dell'utente.
Inoltre il metodo d’acquisizione della memoria dovrebbe essere il meno possibile invasivo ed alterante e aderire al secondo e terzo principio, che si concentrano più sulla competenza dello specialista e la generazione di un audit trail dettagliato.
Secondo il Principio 2, lo specialista deve essere qualificato abbastanza per capire la struttura interna di hardware e software del dispositivo di cui si occupa e di essere abile con gli strumenti utilizzati.

Nel mondo del “mobile”, si deve partire da un concetto di “irripetibilità” o meglio di fonti digitali soggette a mutazioni  (calo della carica della batteria, orologio, accensioni cogenti al fine dell’acquisizione, ecc.) sia per proprietà intrinseche del dispositivo sia per cause dovute alla procedura d’acquisizione dei dati.

Innanzi tutto vediamo come è strutturato un telefono cellulare, da un punto di vista logico interessante per la mobile forensics.

Continua a pagina 2
AREE TEMATICHE
Vuoi ricevere aggiornamenti su #Sicurezza?
Iscriviti alla newsletter!