Search

Mobile Forensics e Acquisizione di dispositivi mobili

La mobile forensics è la scienza che si occupa della raccolta, elaborazione e analisi di dati digitali memorizzati  all’interno di dispositivi mobili quali smartphone, tablet, telefoni cellulari e simili.

Se dal punto di vista della funzionalità smartphone e PC vanno verso la convergenza, dal punto di vista tecnico gli smartphone sono quasi sempre dotati di memoria flash mentre i PC attualmente sono in prevalenza dotati di Hard Disk che memorizzano i dati in virtù di proprietà magnetiche. Tale differenza li distanzia in modo netto dal punto di vista delle possibilità di acquisizione e ne rende più complessa l’acquisizione.

Gli elementi di seguito riportati rendono l’acquisizione di un comune Hard Disk diversa dall’acquisizione di una memoria flash di un dispositivo cellulare/tablet:

  • Impossibilità di porre i dispositivi mobile in modalità “read only” tramite un writeblocker;

  • Crittografia e blocchi dei produttori che impediscono di accedere fisicamente ai dati con l’unica alternativa di acquisire i dati in modalità “file system” o “logica”;

  • Processi quali “wear leveling” e “garbage collector” che modificano i blocchi di memoria autonomamente.

Cosa si ha all’interno di un dispositivo mobile?

Rispetto ai tradizionali supporti di memorizzazione presenti nei computer, i dispositivi mobili presentano una maggiore complessità e articolazione hardware-software rispetto all’obiettivo di individuare in modo completo i dati utili da utilizzare come fonti di prova.

In un dispositivo mobile i dati di interesse si potrebbero ritrovare nei seguenti spazi fisici o virtuali:

  • Memoria interna;

  • Memoria RAM;

  • Scheda SIM;

  • Scheda di memoria esterna;

  • Servizi Cloud collegati;

Per ognuna di queste fonti di dati esistono software o hardware dedicati in grado di acquisire nel modo più efficace e completo le informazioni, siano esse tuttora presenti o cancellate.

Gli smartphone e i tablet presentano un’ampia varietà di funzionalità che si traducono nella presenza di una moltitudine di dati diversificati e rilevanti ai fini investigativi, quali ad esempio, la lista di chiamate, i messaggi e la rubrica, nonché sempre più spesso informazioni relative all’utilizzatore come le pulsazioni cardiache e la geolocalizzazione. 

La vasta gamma di dati a disposizione richiede un approccio metodologico preciso e accurato per la loro estrazione, analisi e interpretazione.

Differenze con altri ambiti della Digital Forensics?

Per i dispositivi mobili è necessario prestare particolare attenzione sin dalla fase di acquisizione del dato digitale poiché:

  • L’informazione spesso è presente in modo completo nel cloud, mentre nel device è presente solo in formato parziale;

  • Il device per natura può comunicare con l’esterno con molteplici modalità e presenta routine automatizzate che vengono eseguite con scadenze temporali prefissate (cancellazione del cestino dopo un determinato tempo in primis);

  • Hanno diverse interfacce di comunicazioni esterne, alle volte proprietarie;

  • Per ogni sistema operativo e versione dello stesso potrebbe essere possibile, o non possibile, acquisire determinati dati.

Le modalità di acquisizione

Per effettuare l’acquisizione di un sistema mobile sono presenti diverse modalità il cui grado di completezza varia.

Il Team Digital Forensics di PwC utilizza software e strumentazioni riconosciute all’interno della comunità scientifica e adotta procedure conformi alle best practice di Mobile Forensics, i quali offrono diverse modalità d’acquisizione in base alle necessità operative.

È bene ricordare che, nell’eventualità in cui il  dispositivo mobile sia dotato di una scheda di memoria esterna, prima di procedere con l’acquisizione dell’intero dispositivo può essere necessario effettuare una copia forense della singola scheda andando a seguire le classiche procedure di Computer Forensics e solo in seguito inserirla nuovamente nel dispositivo e procedere con l’acquisizione del dispositivo stesso.

Le modalità a disposizione generalmente sono le seguenti:

  • Acquisizione fisica: risulta l’acquisizione più completa, è un’acquisizione bit a bit dell’intero dispositivo ed è l’unica che consente l’accesso ai dati cancellati;

  • Acquisizione File System: acquisizione con cui si copiano tutti i dati del file system mantenendo la loro organizzazione gerarchica interna. Questa modalità viene utilizzata principalmente per la trattazione di telefonini;

  • Acquisizione Logica: acquisizione in cui vengono acquisiti i dati a cui il sistema operativo permette di accedere. Generalmente corrisponde a un backup del dispositivo mobile;

  • Acquisizione di file e cartelle: acquisizione in cui vengono copiati semplicemente cartelle e file d’interesse;

  • Acquisizione manuale: acquisizione fotografica e per mezzo di video delle schermate d’interesse.

Inoltre si hanno a disposizioni ulteriori tecniche in cui è richiesto uno specifico know-how. Tra le varie tecniche a disposizione si ha:

  • Chip off: tecnica in cui viene rimosso il chip di memoria e si effettua una copia forense bit a bit del chip. Spesso i dati ottenuti non sono interpretabili nonostante l’acquisizione sia completa e integra poichè sempre più spesso i device mobili sono dotati di sistemi crittografici della memoria;

  • JTAG: se sono presenti le porte JTAG viene effettuata la connessione e successivamente  avviata la lettura dei dati direttamente dal chip.

Anche i software forensi più avanzati tipicamente non riescono a calcolare il valore di hash del file acquisito sul cellulare/tablet, ma solo una volta che è stato trasferito sul computer dal quale si esegue il software. Infatti nelle acquisizioni “file system” e “logiche” il valore di hash è calcolato sulla totalità dei dati acquisiti ovvero sull’archivio zip o tar generato dal software. Non viene effettuata una verifica dell’hash denominata “readback” ovvero rileggendo la sorgente come può avvenire invece sugli hard disk.

In caso di dispositivi sul quale sono attivi processi di Wear levelling, Garbage Collector o Trim, quali ad esempio SSD e memorie flash di smartphone e tablet, il calcolo dell’hash produce un risultato diverso, quindi effettuare un secondo calcolo dell’hash va semplicemente a confermare che sono avvenute delle modifiche.

Consigli Utili

Nel caso in cui fosse necessario procedere con l’acquisizione di un dispositivo mobile al fine di preservare l’integrità dei dati presenti al suo interno, può essere opportuno seguire le seguenti indicazioni:

  • Nel caso il dispositivo sia aziendale è bene accompagnare la consegna/restituzione del bene con un verbale di consegna/ritiro in modo da dare avvio a quello che viene chiamato documento di Catena di Custodia;

  • Non appena ricevuto un bene digitale, prima di firmare il verbale verificare che sia integro, funzionante, accessibile e non formattato. In caso contrario verbalizzare;

  • Impostare la modalità aereo: si suggerisce di attivare la modalità aereo per impedire qualsiasi tipo di comunicazione esterna, evitando potenziali trasferimenti o modifiche involontarie dei dati durante la custodia o l’acquisizione;

  • Spegnere il dispositivo: può essere opportuno spegnere il dispositivo, garantendo così che non vi siano ulteriori comunicazioni in entrata o in uscita e preservando i dati presenti all’interno del sistema;

  • Memorizzare il codice di sblocco: è importante annotare e conservare con cura il codice di sblocco del dispositivo, in quanto potrebbe essere richiesto durante la fase di acquisizione per accedere ai dati crittografati o protetti.

É sempre preferibile , in attesa del processo di acquisizione, che il dispositivo non sia utilizzato,resti acceso o connesso con l’esterno  al fine di mantenere integro il suo contenuto.

Costo di una copia forense

Non è possibile stabilire un costo fisso per l’attività in quanto quest’ultimo influenzato da diversi fattori come:

  • Numero e tipologia di dispositivi;

  • Attività da fare presso cliente o presso ns. laboratorio;

  • Necessità di redigere una relazione di consulenza tecnica producibile in giudizio;

  • Tipologia e complessità del quesito

Al fine di ottenere una quotazione dettagliata sulla base dei requisiti specifici del caso è possibile contattare direttamente il Team Digital Forensic di PwC.

Autori:

Share:

Autori:

Michele Cogo

Michele Cogo

Director | Head of Digital Forensics & eDiscovery | PwC Italia |  + posts

Ha svolto per oltre 14 anni attività di tutela del patrimonio aziendale in supporto alle funzioni HR, Security e Legal. Specializzato nel trattamento del dato e nella conduzione di investigazioni civili e penali in conformità alla normativa privacy.

Stefano Castagna

Senior Manager | PwC Italia |  + posts

È attualmente un Senior manager di PwC, possiede un solido bagaglio di competenze che include Computer Forensics, Software License Compliance, Data Forensics, Forensic Analysis, Digital Forensics e altro, contribuendo con preziose intuizioni al settore.