La mobile forensics è la branca dell’informatica forense specializzata sui dispositivi mobili quali principalmente telefoni cellulari, smartphone e tablet.
La mobile forensics regola le fasi di individuazione, raccolta, acquisizione, analisi e presentazione dei dati digitali recuperabili dai dispositivi mobili.
In questo articolo verrà illustrato in maniera piuttosto dettagliata come procedere con l’acquisizione dei dispositivi mobili, quali sono le problematiche e le procedure da adottare per rendere effettivamente utilizzabili i dati digitali come prove nel processo.
Indice degli argomenti
Prima di addentrarsi negli aspetti tecnici dell’acquisizione di un dispositivo mobile è necessario spiegare quali sono i componenti, come interagiscono tra loro e soprattutto dove sono memorizzati i dati di interesse a fini della mobile forensics.
Ogni dispositivo mobile si compone di:
In aggiunta, possono esserci ulteriori componenti quali:
Per rilevare le funzionalità di un device mobile, e quindi essere in grado di conoscere a priori cosa può produrre un’analisi forense in contesto di mobile forensics, bisogna innanzitutto distinguere gli smartphone dai telefoni cellulari della generazione pre-smartphone.
I telefoni cellulari dei primi tempi avevano un numero di funzionalità limitate pertanto, anche da una loro acquisizione forense e analisi, potrebbero emergere:
Con l’avvento degli smartphone la quantità di funzioni è andata via via aumentando e ancora oggi continuano a crescere: è infatti sufficiente la creazione di una nuova app per far sì che nuovi dati possano essere rilevati. Si citano:
Innanzitutto occorre identificare le caratteristiche della mobile forensics al fine di poter selezionare la procedura migliore:
Alla luce delle caratteristiche proprie dalla mobile forensics, e in modo particolare dell’impossibilità di ottenere due hash identici ripetendo l’operazione di acquisizione, è evidente che da un punto di vista tecnico l’acquisizione di un dispositivo mobile è un’operazione tecnicamente non ripetibile in senso stretto.
Ripetendo più volte l’acquisizione di uno smartphone piuttosto che di un tablet, i dati “rilevanti” (ad esempio SMS, immagini, elenco chiamate, pagine web visitate…) restano ovviamente inalterati.
Ciò che cambia sono i cosiddetti artefatti di sistema quali ad esempio l’orologio di sistema (che evidenzia l’ora di esecuzione dell’operazione), i log di ultime accensione e spegnimento, lo stato di carica della batteria. Per alcuni modelli di device mobili e tecniche di acquisizione potrebbe essere necessario installare un piccolo software denominato agent che potrebbe sovrascrivere alcuni dati cancellati che saranno così non più recuperabili.
Il trattamento del dispositivo dipende fondamentalmente dallo stato di ritrovamento, ovvero se acceso o spento.
Quando il dispositivo è rinvenuto acceso la prima bisogna evitare di spegnerlo in attesa di conoscere alcune informazioni fondamentali che potrebbero altrimenti impedire il futuro accesso.
Il maggiore ostacolo che si possa infatti incontrare è la presenza di un codice di blocco che impedirebbe l’accesso ai dati, soprattutto se il dispositivo dovesse essere spento. Ma possono esistere anche dispositivi configurati in modo da cancellare lo spazio cancellato all’atto dello spegnimento o altre operazioni imprevedibili.
Tuttavia, in attesa di conoscere queste informazioni occorre isolare il dispositivo per impedirgli ogni forma di comunicazione con l’esterno: le linee guida in tema di mobile forensics suggeriscono di estrarre la scheda SIM (se tale operazione non richiede la rimozione della batteria), inserire il dispositivo mobile all’interno di una gabbia di Faraday o abilitare la modalità aereo.
Ci sarebbe anche la possibilità di utilizzare dei jammer, cioò degli strumenti che disturbano il segnale impedendo di instaurare una comunicazione, tuttavia tali strumenti vanno utilizzati con attenzione perchè il loro impiego in ambiente pubblico comporta l’interruzione del servizio anche per i propri vicini. Ecco quindi che un’alternativa potrebbe essere portare il dispositivo in cantina dove il segnale non arriva.
Impedendo la comunicazione con l’esterno si ottiene un doppio beneficio: il primo è evitare l’alterazione dei dati (ad esempio, nuovi messaggi in arrivo); il secondo è evitare azioni di cancellazione da remoto da parte della parte interessata alla distruzione dei dati.
L’interruzione della comunicazione deve essere accompagnato dalla messa in stato di carica elettrica del dispositivo per evitare che lo spegnimento giunga a causa del consumo della batteria.
Il dispositivo spento va mantenuto in questo stato sino a quando non sarà il momento di procedere effettivamente all’acquisizione.
Prima di procedere al trattamento del reperto secondo le prescrizioni della mobile forensics occorre innanzitutto mettere in carica il dispositivo, tranne in alcuni casi particolari dove è possibile procedere con l’acquisizione forense solo con uno stato di carica compreso tra il 17 e il 19% (si tratta di modelli specifici di smartphone Microsoft).
Finalmente è giunta l’ora di procedere con l’acquisizione forense del dispositivo.
In presenza di una eventuale scheda di memoria aggiuntiva è opportuno in prima battuta procedere con l’acquisizione forense bit a bit della sola scheda, utilizzando un blocco in scrittura e un software o hardware adeguato. Per tale procedura si rimanda alle tecniche di acquisizione in ambito disk forensics.
Quindi si reinserisce la scheda nel dispositivo e si effettua un’acquisizione dell’intero dispositivo. Tale operazioni può essere eseguita con uno dei vari software di mobile forensics disponibili quali ad esempio Cellebrite UFED, Oxygen Forensics o MobilEdit!
L’acquisizione del dispositivo può richiedere l’accensione standard oppure secondo una specifica modalità che permette di modificare il sistema operativo di avvio in maniera analoga a quando si esegue il boot di una distribuzione forense linux su un PC.
Le modalità di acquisizione via software sono, partendo dalla più completa a scendere:
In aggiunta o in alternativa, esistono due ulteriori tecniche di acquisizione in ambito mobile forensics:
Per esperienza, quando un software di mobile forensics offre più modalità di acquisizione è sempre consigliabile eseguirle tutte, partendo dalla più completa e scendendo man mano verso quella parziale.
Può infatti capitare che un dato sia più facile da consultare da un’acquisizione parziale sebbene sia presente anche nell’acquisizione integrale.
Arrivato a questo punto dell’articolo è evidente che chi ha bisogno di una perizia informatica su uno smartphone deve necessariamente avvalersi di tecniche di mobile forensics per acquisire e produrre delle prove informatiche.
La prima operazione da fare è smettere di utilizzare lo smartphone o il tablet, metterlo in modalità aereo (se il sistema prevede tale possibilità), spegnerlo, ricordarsi di segnare l’eventuale codice di sblocco.
Perchè questa sequenza di operazioni?
Non è necessaria la scheda SIM in quanto al suo interno sono memorizzati, nel migliore dei casi, dati di rubrica e messaggi SMS; tuttavia i moderni smartphone tendono a registrare tutto nella memoria del dispositivo mobile e non all’interno della scheda SIM.
Per produrre un dato informatico – fosse anche un solo bit – presente all’interno di un dispositivo mobile occorre procedere con la migliore acquisizione forense possibile. Non è sufficiente la sola fotografia dello schermo o la stampa di un’email perché potrebbe essere contestata dalla controparte.
Infine è opportuno precisare che l’acquisizione e analisi forense di smartphone e tablet è un’operazione piuttosto costosa a causa dell’elevato costo dei software di acquisizione.
A seconda del tipo di dispositivo il costo di acquisizione ed estrazione di un report da analizzare a cura del committente va dai 600,00 euro più IVA in sù, a seconda del tipo di modello di dispositivo e del tipo di analisi richiesta.
Inoltre, la possibilità di recuperare dati cancellati non dipende solo dal laboratorio forense che tratta il reperto ma anche dall’uso che è stato fatto del dispositivo: in ogni caso l’operazione tecnica da eseguire è la medesima e i costi sono indipendenti dall’esito.
Se hai bisogno di recuperare dati da uno smartphone o tablet o devi produrre delle prove informatiche presenti all’interno del tuo dispositivo mobile contattaci.