La mobile forensics è la scienza che si occupa della raccolta, elaborazione e analisi di dati digitali memorizzati all’interno di dispositivi mobili quali smartphone, tablet, telefoni cellulari e simili.
Se dal punto di vista della funzionalità smartphone e PC vanno verso la convergenza, dal punto di vista tecnico gli smartphone sono quasi sempre dotati di memoria flash mentre i PC attualmente sono in prevalenza dotati di Hard Disk che memorizzano i dati in virtù di proprietà magnetiche. Tale differenza li distanzia in modo netto dal punto di vista delle possibilità di acquisizione e ne rende più complessa l’acquisizione.
Gli elementi di seguito riportati rendono l’acquisizione di un comune Hard Disk diversa dall’acquisizione di una memoria flash di un dispositivo cellulare/tablet:
Rispetto ai tradizionali supporti di memorizzazione presenti nei computer, i dispositivi mobili presentano una maggiore complessità e articolazione hardware-software rispetto all’obiettivo di individuare in modo completo i dati utili da utilizzare come fonti di prova.
In un dispositivo mobile i dati di interesse si potrebbero ritrovare nei seguenti spazi fisici o virtuali:
Per ognuna di queste fonti di dati esistono software o hardware dedicati in grado di acquisire nel modo più efficace e completo le informazioni, siano esse tuttora presenti o cancellate.
Gli smartphone e i tablet presentano un’ampia varietà di funzionalità che si traducono nella presenza di una moltitudine di dati diversificati e rilevanti ai fini investigativi, quali ad esempio, la lista di chiamate, i messaggi e la rubrica, nonché sempre più spesso informazioni relative all’utilizzatore come le pulsazioni cardiache e la geolocalizzazione.
La vasta gamma di dati a disposizione richiede un approccio metodologico preciso e accurato per la loro estrazione, analisi e interpretazione.
Per i dispositivi mobili è necessario prestare particolare attenzione sin dalla fase di acquisizione del dato digitale poiché:
Per effettuare l’acquisizione di un sistema mobile sono presenti diverse modalità il cui grado di completezza varia.
Il Team Digital Forensics di PwC utilizza software e strumentazioni riconosciute all’interno della comunità scientifica e adotta procedure conformi alle best practice di Mobile Forensics, i quali offrono diverse modalità d’acquisizione in base alle necessità operative.
È bene ricordare che, nell’eventualità in cui il dispositivo mobile sia dotato di una scheda di memoria esterna, prima di procedere con l’acquisizione dell’intero dispositivo può essere necessario effettuare una copia forense della singola scheda andando a seguire le classiche procedure di Computer Forensics e solo in seguito inserirla nuovamente nel dispositivo e procedere con l’acquisizione del dispositivo stesso.
Le modalità a disposizione generalmente sono le seguenti:
Inoltre si hanno a disposizioni ulteriori tecniche in cui è richiesto uno specifico know-how. Tra le varie tecniche a disposizione si ha:
Anche i software forensi più avanzati tipicamente non riescono a calcolare il valore di hash del file acquisito sul cellulare/tablet, ma solo una volta che è stato trasferito sul computer dal quale si esegue il software. Infatti nelle acquisizioni “file system” e “logiche” il valore di hash è calcolato sulla totalità dei dati acquisiti ovvero sull’archivio zip o tar generato dal software. Non viene effettuata una verifica dell’hash denominata “readback” ovvero rileggendo la sorgente come può avvenire invece sugli hard disk.
In caso di dispositivi sul quale sono attivi processi di Wear levelling, Garbage Collector o Trim, quali ad esempio SSD e memorie flash di smartphone e tablet, il calcolo dell’hash produce un risultato diverso, quindi effettuare un secondo calcolo dell’hash va semplicemente a confermare che sono avvenute delle modifiche.
Nel caso in cui fosse necessario procedere con l’acquisizione di un dispositivo mobile al fine di preservare l’integrità dei dati presenti al suo interno, può essere opportuno seguire le seguenti indicazioni:
É sempre preferibile , in attesa del processo di acquisizione, che il dispositivo non sia utilizzato,resti acceso o connesso con l’esterno al fine di mantenere integro il suo contenuto.
Non è possibile stabilire un costo fisso per l’attività in quanto quest’ultimo influenzato da diversi fattori come:
Al fine di ottenere una quotazione dettagliata sulla base dei requisiti specifici del caso è possibile contattare direttamente il Team Digital Forensic di PwC.
Ha svolto per oltre 14 anni attività di tutela del patrimonio aziendale in supporto alle funzioni HR, Security e Legal. Specializzato nel trattamento del dato e nella conduzione di investigazioni civili e penali in conformità alla normativa privacy.
È attualmente un Senior manager di PwC, possiede un solido bagaglio di competenze che include Computer Forensics, Software License Compliance, Data Forensics, Forensic Analysis, Digital Forensics e altro, contribuendo con preziose intuizioni al settore.