Cos’è la mobile forensics e cosa serve

Smartphone ed iPhone fanno ormai parte della vita quotidiana della stragrande maggioranza delle persone. Dispositivi sempre più sofisticati ed all’avanguardia consentono di avere a portata di mano una quantità sempre crescente di dati e di informazioni, oltre ad avere la possibilità di utilizzare una vasta gamma di funzionalità per l’intrattenimento e non solo. L’alta concentrazione di dati ed informazioni potenzialmente sensibili all’interno di un dispositivo mobile rende quest’ultimo particolarmente importante per la privacy e la riservatezza del suo titolare: per questo, esistono tecniche specifiche per garantire la totale sicurezza dei dati immagazzinati all’interno di uno smartphone o di un iphone come la Mobile Forensics.
Cos’è la mobile forensics
La ‘Mobile forensics’ è una branca della ‘Digital forensics’; quest’ultima è, a sua volta, un ramo dell’informatica forense, la scienza che si occupa di raccogliere le cosiddette ‘prove digitali’, ovvero qualsiasi dato o informazione digitale in grado di assumere valore probatorio. Per tanto, la mobile forensics è quella scienza che acquisisce ed analizza tutte i dati e le informazioni presenti all’interno di un dispositivo mobile (telefoni cellulari, tablet e altro): la finalità di questo processo è quello individuare elementi che possano assumere valore di prova all’interno di un procedimento giudiziario.
Uno smartphone, infatti, può contenere conversazioni e comunicazioni di vario genere, avvenute tramite e-mail, social network o applicazioni di messaggistica istantanea, il cui contenuto può risultare rilevante ai fini dello svolgimento di un processo. Parimenti, materiale audio, video e fotografico conservato all’interno del dispositivo può assolvere la medesima funzione.
A cosa serve la mobile forensics
La funzione della mobile forensics, in quanto scienza forense, è quella di ottenere elementi con valore di prova acquisendoli da dispositivi mobili. Ovviamente, dato il contesto, si tratterà di una prova digitale (digital evidence) che, secondo una definizione elaborata dalla International Organization on Computer Evidence, “è un’informazione generata, conservata o trasmessa utilizzando dispositivi elettronici sulla quale si può fare affidamento in tribunale”. Secondo la definizione del Scientific Working Group on Digital Evidence, una prova digitale è costituita da “qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale”.
Come si svolge l’attività di mobile forensics
Le indagini di mobile forensics vengono in genere affidate ad agenzie di investigazione private in grado di affidare tutte le operazioni necessarie a personale specializzato e qualificato. I tecnici incaricati di svolgere le indagini operano anzitutto in considerazione delle peculiarità che caratterizzano i dispositivi mobili, ed in particolare quelli di telefonia, rispetto ad altri device.
Smartphone ed iphone, infatti, sono concepiti soprattutto per una funzione: comunicare con un soggetto esterno. La comunicazione può avvenire in diversi modi (telefonate, messaggi o altro) e le ‘tracce’ di tali comunicazioni possono essere salvate sia all’interno del dispositivo sia nella rete utilizzata come canale di comunicazione. Questa caratteristica deve essere tenuta in debita considerazione durante lo svolgimento delle operazioni di indagine; di seguito, vediamo come si sviluppa l’analisi di un dispositivo mobile nell’ambito della mobile forensics passo per passo:
- Il primo step consiste nell’isolamento del dispositivo. A questo punto bisogna anzitutto delineare i due possibili scenari: uno prevede che il dispositivo sia acceso, l’altro – invece – che sia spento. Se l’oggetto da analizzare è stato reperito o rinvenuto, è necessario – affinché l’intera procedura possa essere messa in atto con profitto – che il device venga isolato. Tale necessità è già soddisfatta se il dispositivo è spento; se è acceso, invece, non va utilizzato in alcun modo ma solo neutralizzato, estraendo la SIM card. Qualora presenti un codice d’accesso o altre impostazioni protettive, va protetto da possibili attacchi esterni, utilizzando una ‘gabbia di Faraday’ o dei jammer: lo scopo di queste misure precauzionali è quello di conservare inalterati tutti i dati che si trovano immagazzinati all’interno del dispositivo, evitando così che un soggetto esterno possa accedervi da remoto per manipolarli o cancellarli; contestualmente, il dispositivo va messo sotto carica, affinché il consumo della batteria non ne provochi lo spegnimento;
- La seconda fase è quella dell’acquisizione dei dati. Una volta completata l’acquisizione forense dell’eventuale memoria esterna, i tecnici possono procedere all’ottenimento dei dati e delle informazioni immagazzinate all’interno del dispositivo mobile: l’operazione viene effettuata per mezzo di appositi software, come ad esempio MobilEdit, Cellebrite UFED oOxygenForensics.
L’acquisizione forense può svilupparsi in diversi modi, a seconda di quali dati vengono acquisiti (o possono essere copiati dal dispositivo). A tal proposito, le tecniche sono diverse:
- L’acquisizione forense bit a bit si svolge in maniera analoga a quella che viene effettuata su un hard disk od un device fisso, utilizzando uno spazio di memoria di dimensioni analoghe a quelle del dispositivo mobile;
- L’acquisizione tramite file system: i dati vengono estrapolati mantenendo la stessa struttura che ne caratterizza la distribuzione all’interno del device (cartelle e file); di solito, questa procedura non permette di recupera i file cancellati;
- L’acquisizione foto-visiva è quella meno invasiva: nel caso in cui non sia possibile accedere al dispositivo ed ai file salvati al suo interno, l’acquisizione può essere fatta per mezzo di foto e riprese video delle varie schermate; ovviamente, in casi del genere non è possibile recuperare in alcun modo i file che sono stati cancellati;
- Il back-up è l’operazione che consente di acquisire tutti i file che il sistema operativo consente di salvare.
Esistono poi altre due metodologie di recupero dei dati, più dirette ed ‘invasive’; in entrambi i casi è necessario avere a disposizione una strumentazione sofistica ed adatta allo scopo. La prima è possibile solo se il dispositivo è dotato di ingressi JTAG: in tal modo è possibile effettuare la lettura dei dati direttamente dal chip; in alternativa, si può smontare il dispositivo, dissaldare il chip ed eseguire una copia forense integrale (questa tecnica prende il nome di ‘chip off’). Entrambe le modalità presentano però alcune controindicazioni: nel primo caso, infatti, l’acquisizione può essere effettuata solo in presenza degli ingressi necessari; nel secondo caso, invece, i dati ottenuti potrebbero presentarsi in un formato difficile da decifrare.
Ad ogni modo, l’analisi forense di un dispositivo mobile è un’operazione laboriosa che va affidata solo a personale qualificato; essa prescinde dall’esito finale (che molto dipende anche dal tipo di dispositivo e dall’utilizzo che ne è stato fatto nel corso del tempo). Specie se finalizzata all’ottenimento di possibile materiale probatorio, l’acquisizione deve essere quanto più approfondita possibile, effettuata per mezzo di tecniche che consentano di ottenere la maggior quantità possibile di materiale. La mobile forensics, nel suo stadio ultimo, prevede anche la produzione di riscontri tangibili, come ad esempio una relazione finale comprensiva di tutti il lavoro svolto dai tecnici (e dei relativi risultati ottenuti) così come della materializzazione di alcuni dati, come ad esempio la stampa di messaggi, conversazioni ed e-mail.
Cyber forensics e indagini digitali