La mobile forensics è la branca dell’informatica forense specializzata sui dispositivi mobili quali principalmente telefoni cellulari, smartphone e tablet.

La mobile forensics regola le fasi di individuazione, raccolta, acquisizione, analisi e presentazione dei dati digitali recuperabili dai dispositivi mobili.

In questo articolo verrà illustrato in maniera piuttosto dettagliata come procedere con l’acquisizione dei dispositivi mobili, quali sono le problematiche e le procedure da adottare per rendere effettivamente utilizzabili i dati digitali come prove nel processo.

Come funziona un dispositivo mobile?

Prima di addentrarsi negli aspetti tecnici dell’acquisizione di un dispositivo mobile è necessario spiegare quali sono i componenti, come interagiscono tra loro e soprattutto dove sono memorizzati i dati di interesse a fini della mobile forensics.

Quali sono i componenti di un dispositivo mobile?

Ogni dispositivo mobile si compone di:

• una memoria interna che contiene il sistema operativo e, a seconda della dimensione della configurazione, i dati generati e gestiti dall’utilizzatore (messaggi SMS, rubrica, fotografie…)
• una memoria RAM nella quale sono gestiti i dati del sistema operativo e dei programmi in esecuzione, nonchè i dati da essi trattati
• un dispositivo di output video (lo schermo) e audio (le casse o il jack per gli auricolari)
• dei dispositivo di input (tastiera e/o il touch screen, il microfono)
• una scheda SIM (o le versioni ridotte microSIM e nanoSIM)
• una batteria
• un’interfaccia di comunicazione e di ricarica che talvolta possono coincidere

In aggiunta, possono esserci ulteriori componenti quali:

• scheda di memoria microSD (o altre varianti di diversa dimensione)
• interfaccia GPS per la posizione
• fotocamera (frontale e/o laterale)

Quali sono le funzionalità di un dispositivo mobile

Per rilevare le funzionalità di un device mobile, e quindi essere in grado di conoscere a priori cosa può produrre un’analisi forense in contesto di mobile forensics, bisogna innanzitutto distinguere gli smartphone dai telefoni cellulari della generazione pre-smartphone.

I telefoni cellulari dei primi tempi avevano un numero di funzionalità limitate pertanto, anche da una loro acquisizione forense e analisi, potrebbero emergere:

• lista delle chiamate (effettuate, ricevute, perse)
• messaggi SMS (ricevuti, inviati, archiviati, bozze, cancellati)
• rubrica
• alcuni dati aggiuntivi, se tali funzionalità erano implementate, quali note testuali, immagini, audio

Con l’avvento degli smartphone la quantità di funzioni è andata via via aumentando e ancora oggi continuano a crescere: è infatti sufficiente la creazione di una nuova app per far sì che nuovi dati possano essere rilevati. Si citano:

• messaggi su rete Internet, quali ad esempio Whatsapp, Telegram, Viber, Skype…
• eventi di calendario
• navigazione web
• posta elettronica
• connessioni senza fili (WiFi e Bluetooth)
• lista delle chiamate VOIP (chiamate che sfruttano la rete Internet)
• sistemi di controllo da remoto del dispositivo
• posizioni inserite in maniera statica (ad esempio all’interno di fotografie) o dinamica (utilizzando software di navigazione satellitare)
• fotografie, video e/o registrazioni audio
• caratteristiche fisiche dell’utilizzatore (pulsazioni, battiti cardiaci, velocità e luoghi di spostamento…)
• stato di lettura dei messaggi da parte dei propri interlocutori
• social network
• movimentazione di conti correnti
• giochi
• gestione di sistemi elettronici esterni (ad esempio videocamere, antifurto, termostati…)
• ogni altro dato che solo lo sviluppo tecnologico potrà portare all’attenzione degli utenti

Quali sono le peculiarità della mobile forensics rispetto alle altre aree dell’informatica forense?

Innanzitutto occorre identificare le caratteristiche della mobile forensics al fine di poter selezionare la procedura migliore:

• i dispositivi mobili comunicano con l’esterno: a differenza di un computer, di un hard disk o un qualsiasi altro reperto informatico che rientra nelle operazioni tipiche di disk forensics, il dispositivo mobile nasce per comunicare; ciò significa che il primo accorgimento da adottare è impedire al reperto informatico di comunicare con l’esterno
• i dispositivo mobili hanno interfacce di comunicazione molto diverse (se ne contano oltre cento), sebbene si stia procedendo a una standardizzazione che porta ormai alla produzione di dispositivo con un numero limitato di interfacce (un paio di cavi Apple, un altro paio Android e Microsoft)
• molti dati sono memorizzati nel web e non sul dispositivo, sul quale è mantenuta un’anteprima o una copia cache
• esistono decine di sistemi operativi diversi
• vengono prodotti nuovi modelli di dispositivi mobili e sistemi operativi con cadenza quasi giornaliera
• l’acquisizione va svolta quasi sempre a dispositivo acceso utilizzando il suo stesso sistema operativo, classificando di fatto tale operazione tra quelle di acquisizione live e non di acquisizione post-mortem
• spesso non è possibile produrre una copia forense bit a bit
• come conseguenza dei due punti precedenti, ripetendo l’acquisizione di uno stesso dispositivo si ottengono hash diversi anche utilizzando gli stessi strumenti, proprio in virtù del fatto che il telefono è acceso e si modifica in continuazione

Acquisizione di dispositivi mobili in contesto di mobile forensics: ripetibile o non ripetibile? E come procedere?

Alla luce delle caratteristiche proprie dalla mobile forensics, e in modo particolare dell’impossibilità di ottenere due hash identici ripetendo l’operazione di acquisizione, è evidente che da un punto di vista tecnico l’acquisizione di un dispositivo mobile è un’operazione tecnicamente non ripetibile in senso stretto.

Ripetendo più volte l’acquisizione di uno smartphone piuttosto che di un tablet, i dati “rilevanti” (ad esempio SMS, immagini, elenco chiamate, pagine web visitate…) restano ovviamente inalterati.

Ciò che cambia sono i cosiddetti artefatti di sistema quali ad esempio l’orologio di sistema (che evidenzia l’ora di esecuzione dell’operazione), i log di ultime accensione e spegnimento, lo stato di carica della batteria. Per alcuni modelli di device mobili e tecniche di acquisizione potrebbe essere necessario installare un piccolo software denominato agent che potrebbe sovrascrivere alcuni dati cancellati che saranno così non più recuperabili.

Il trattamento del dispositivo dipende fondamentalmente dallo stato di ritrovamento, ovvero se acceso o spento.

Il primo trattamento del dispositivo accesso

Quando il dispositivo è rinvenuto acceso la prima bisogna evitare di spegnerlo in attesa di conoscere alcune informazioni fondamentali che potrebbero altrimenti impedire il futuro accesso.

Il maggiore ostacolo che si possa infatti incontrare è la presenza di un codice di blocco che impedirebbe l’accesso ai dati, soprattutto se il dispositivo dovesse essere spento. Ma possono esistere anche dispositivi configurati in modo da cancellare lo spazio cancellato all’atto dello spegnimento o altre operazioni imprevedibili.

Tuttavia, in attesa di conoscere queste informazioni occorre isolare il dispositivo per impedirgli ogni forma di comunicazione con l’esterno: le linee guida in tema di mobile forensics suggeriscono di estrarre la scheda SIM (se tale operazione non richiede la rimozione della batteria), inserire il dispositivo mobile all’interno di una gabbia di Faraday o abilitare la modalità aereo.
Ci sarebbe anche la possibilità di utilizzare dei jammer, cioò degli strumenti che disturbano il segnale impedendo di instaurare una comunicazione, tuttavia tali strumenti vanno utilizzati con attenzione perchè il loro impiego in ambiente pubblico comporta l’interruzione del servizio anche per i propri vicini. Ecco quindi che un’alternativa potrebbe essere portare il dispositivo in cantina dove il segnale non arriva.

Impedendo la comunicazione con l’esterno si ottiene un doppio beneficio: il primo è evitare l’alterazione dei dati (ad esempio, nuovi messaggi in arrivo); il secondo è evitare azioni di cancellazione da remoto da parte della parte interessata alla distruzione dei dati.

L’interruzione della comunicazione deve essere accompagnato dalla messa in stato di carica elettrica del dispositivo per evitare che lo spegnimento giunga a causa del consumo della batteria.

Il primo trattamento del dispositivo spento

Il dispositivo spento va mantenuto in questo stato sino a quando non sarà il momento di procedere effettivamente all’acquisizione.

Prima di procedere al trattamento del reperto secondo le prescrizioni della mobile forensics occorre innanzitutto mettere in carica il dispositivo, tranne in alcuni casi particolari dove è possibile procedere con l’acquisizione forense solo con uno stato di carica compreso tra il 17 e il 19% (si tratta di modelli specifici di smartphone Microsoft).

L’acquisizione forense in ambito mobile forensics

Finalmente è giunta l’ora di procedere con l’acquisizione forense del dispositivo.

In presenza di una eventuale scheda di memoria aggiuntiva è opportuno in prima battuta procedere con l’acquisizione forense bit a bit della sola scheda, utilizzando un blocco in scrittura e un software o hardware adeguato. Per tale procedura si rimanda alle tecniche di acquisizione in ambito disk forensics.

Quindi si reinserisce la scheda nel dispositivo e si effettua un’acquisizione dell’intero dispositivo. Tale operazioni può essere eseguita con uno dei vari software di mobile forensics disponibili quali ad esempio Cellebrite UFED, Oxygen Forensics o MobilEdit!

L’acquisizione del dispositivo può richiedere l’accensione standard oppure secondo una specifica modalità che permette di modificare il sistema operativo di avvio in maniera analoga a quando si esegue il boot di una distribuzione forense linux su un PC.

Le modalità di acquisizione via software sono, partendo dalla più completa a scendere:

• acquisizione fisica: è la modalità di acquisizione forense bit a bit analoga a quella che si realizza quando si acquisisce un hard disk, generando un file della stessa dimensione della memoria del dispositivo con possibilità di accesso allo spazio non allocato e ricorso a tecniche di data carving
• acquisizione file system: vengono copiati tutti i dati di un file system con relativa alberatura (cartelle e file), tipicamente senza file cancellati; tuttavia, all’interno dei database potrebbero esserci dei record cancellati come nel caso dei messaggi
• acquisizione logica: vengono copiati i dati che il sistema operativo del dispositivo permette di salvare e corrisponde solitamente al backup
• acquisizione di file e cartelle: collegando il dispositivo alla porta USB di un computer, si copiano solo alcuni dati quando non c’è modo di effettuare un’acquisizione forense più completa
• acquisizione mediante foto e video dello schermo: nel caso estremo che non è possibile acquisire i dati dal dispositivo, si procede alla consultazione delle varie schermata effettuando delle riprese video e/o scattando delle fotografie dello schermo, non avendo ovviamente la possibilità di recuperare alcun dato cancellato

In aggiunta o in alternativa, esistono due ulteriori tecniche di acquisizione in ambito mobile forensics:

• JTAG (Joint Test Action Group), una tecnica che permette di collegarsi alle porte JTAG del dispositivo (se presenti) per leggere i dati direttamente dai chip; tale tecnica richiede apposita strumentazione hardware per smontare il dispositivo e collegarsi alle porte; naturalmente occorre conoscere le porte alle quali collegarsi e dotarsi anche di idoneo software
• Chip-off, una tecnica che richiede di dissaldare i chip di memoria dal dispositivo per leggere tutti i singoli bit, eseguendo spesso una copia forense integrale; è una tecnica che, come nel caso precedente, richiede idoneo know-how e attrezzatura e non sempre permette di analizzare i dati che sono sì acquisiti integralmente, ma non necessariamente si è in grado di interpretare

Per esperienza, quando un software di mobile forensics offre più modalità di acquisizione è sempre consigliabile eseguirle tutte, partendo dalla più completa e scendendo man mano verso quella parziale.
Può infatti capitare che un dato sia più facile da consultare da un’acquisizione parziale sebbene sia presente anche nell’acquisizione integrale.

Cosa devo fare se ho bisogno di produrre delle prove informatiche presenti nel mio smartphone o tablet?

Arrivato a questo punto dell’articolo è evidente che chi ha bisogno di una perizia informatica su uno smartphone deve necessariamente avvalersi di tecniche di mobile forensics per acquisire e produrre delle prove informatiche.

La prima operazione da fare è smettere di utilizzare lo smartphone o il tablet, metterlo in modalità aereo (se il sistema prevede tale possibilità), spegnerlo, ricordarsi di segnare l’eventuale codice di sblocco.

Perchè questa sequenza di operazioni?

• la modalità aereo impedisce al dispositivo di comunicare con l’esterno
• lo spegnimento del dispositivo impedisce al dispositivo di comunicare con l’esterno e blocca ogni tipo di modifica dei dati, che restano così “congelati”
• prendere nota del codice di sblocco è importante perchè alcuni telefoni sono, almeno al momento, sicuri al punto di impedire la lettura dei dati se protetti, pertanto senza codice non è possibile acquisire i dati

Non è necessaria la scheda SIM in quanto al suo interno sono memorizzati, nel migliore dei casi, dati di rubrica e messaggi SMS; tuttavia i moderni smartphone tendono a registrare tutto nella memoria del dispositivo mobile e non all’interno della scheda SIM.

Per produrre un dato informatico – fosse anche un solo bit – presente all’interno di un dispositivo mobile occorre procedere con la migliore acquisizione forense possibile. Non è sufficiente la sola fotografia dello schermo o la stampa di un’email perché potrebbe essere contestata dalla controparte.

Infine è opportuno precisare che l’acquisizione e analisi forense di smartphone e tablet è un’operazione piuttosto costosa a causa dell’elevato costo dei software di acquisizione.

A seconda del tipo di dispositivo il costo di acquisizione ed estrazione di un report da analizzare a cura del committente va dai 600,00 euro più IVA in sù, a seconda del tipo di modello di dispositivo e del tipo di analisi richiesta.

Inoltre, la possibilità di recuperare dati cancellati non dipende solo dal laboratorio forense che tratta il reperto ma anche dall’uso che è stato fatto del dispositivo: in ogni caso l’operazione tecnica da eseguire è la medesima e i costi sono indipendenti dall’esito.

Se hai bisogno di recuperare dati da uno smartphone o tablet o devi produrre delle prove informatiche presenti all’interno del tuo dispositivo mobile contattaci.