Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

PROCEDURE INVESTIGATIVE

La mobile forensics, ricerca di prove informatiche nei dispositivi mobili: metodologie e problematiche

La mobile forensics è l’ambito della digital forensics che rappresenta oggigiorno la fetta più ampia di attività. Si tratta di una quota circa proporzionale alla diffusione dei dispositivi mobili sul mercato. Ecco quali sono le metodologie e le problematiche di questo settore

21 Gen 2020
F
Michele Ferrazzano

Consulente informatica forense presso BIT4LAW, Professore a contratto di computer forensics all'Università di Milano


La mobile forensics è la branca della digital forensics che si occupa del trattamento di dati digitali da dispositivi mobili come smartphone e tablet al fine di utilizzare le prove informatiche all’interno di un processo.

Diffusione dei dispositivi mobili e le prove informatiche

Gli smartphone moderni sono ormai paragonabili a dei computer per potenza di calcolo e capacità di archiviazione, motivo per il quale al loro interno è possibile trovare di tutto e in grossa quantità.

Infatti, oltre ai dati tipici di un dispositivo mobile (password, SMS, chiamate, conversazioni di chat, e-mail ecc.) si rilevano spesso altri dati come fotografie, video, audio, navigazione internet e molto altro in funzione delle app installate.

Si pensi alla rilevanza ad esempio di coordinate GPS all’interno di una fotografia trovata all’interno di uno smartphone inviata da un contatto: questo elemento consente di sapere esattamente dove si trovava il mittente quando ha scattato quella foto. Orbene, tale dato assume estrema rilevanza se il mittente è un ricercato di cui non si avrebbe altrimenti modo di conoscere il rifugio.

La mobile forensics rappresenta dunque non solo un mero contenitore di dati strettamente correlati alle abitudini di comunicazione, ma se usata con competenza ed esperienza permette di risolvere indagini di qualunque tipologia.

Queste considerazioni sono poi ancora più rilevanti quando si opera in ambito aziendale, nel quale il mobile working spinge sempre più nella direzione di fornire al personale di aziende dispositivi mobili in luogo del classico computer, con la conseguenza che gli illeciti tipicamente connessi all’ambito professionale (si pensi al furto di dati) lascia tracce all’interno di essi.

Metodologie e strumenti in ambito di mobile forensics

La mobile forensics si occupa di acquisire, rilevare ed analizzare i dati contenuti all’interno dei dispositivi mobili seguendo il classico paradigma dell’informatica forense: identificazione, acquisizione, analisi, valutazione e presentazione.

A differenza di altre aree della digital forensics, per eseguire una perizia informatica[1] nella mobile forensics è indispensabile disporre di strumenti commerciali evoluti e costantemente aggiornati: sistemi operativi e app sono costantemente oggetto di aggiornamento, spesso con modifica dei database sottostanti che archiviano i dati, pertanto è impensabile poter esaminare i dati con strumenti vetusti o ancora peggio scrivere ogni volta un software in grado di “decifrare” (non in senso crittografico, ma di comprensione) i dati ivi memorizzati.

Tra i più noti tool si citano Cellebrite UFED, MSAB XRY, Oxygen Forensics, MobilEdit!, SalvationData SmartPhone Forensic System.

L’operazione più critica è quella di acquisizione che può essere svolta in varie modalità, come suggerisce il NIST nella pubblicazione 800-101 Revision 1.

Acquisizione fisica

WEBINAR
Home Working come attrezzarsi sul piano tecnologico con una soluzione VDI
Cloud
Virtualizzazione

L’acquisizione fisica, cioè la copia bit per bit dei dati, è l’operazione prediletta in ambito digital forensics poiché scevra di valutazione ed esattamente rappresentativa dei contenuti, siano essi in chiaro o cancellati.

Problema dell’acquisizione fisica è che in un dispositivo cifrato si rischia di avere dati illeggibili, sempre posto il caso che si riesca ad eseguirla. Infatti, spesso per eseguire la copia fisica sono necessari permessi di root che però, se non disponibili in via preliminare, richiedono un’alterazione dei dati del dispositivo.

In alternativa, l’acquisizione fisica può avvenire tramite lettura fisica del chip (c.d. chipoff) che però richiede manualità, competenze anche di natura elettronica e si pone il rischio di ricostruire il dispositivo.

Acquisizione logica dei dati

A fronte di una copia integrale fisica, è possibile acquisire solo alcuni gruppi di dati mediante interazione con il sistema operativo.

Tecnicamente è un’operazione molto più semplice e paragonabile all’esecuzione di un backup (molto spesso è proprio un backup), con la conseguenza che non è possibile recuperare i dati cancellati (tranne alcune eccezioni).

Le eccezioni dipendono dal fatto che poiché i dati degli smartphone sono memorizzati in database è possibile che nel file associato alla singola app siano ancora presente righe di dati considerati eliminati.

Per fare un esempio, l’insieme dei messaggi sono contenuti in un unico database che funge da elenco; l’eliminazione del messaggio SMS consiste nel marcare una riga nel file come cancellata ma in realtà il file continua ad esistere.

Viceversa, le fotografie sono memorizzate come singoli file a sé pertanto la cancellazione comporta l’eliminazione del file che non sarà considerato dal sistema operativo.

Acquisizione fotografica dei dati

Terza via quando non sono possibili acquisizioni “informatiche” prevede che l’operatore interagisca con il dispositivo scattando delle fotografie o creando dei video.

Tale soluzione è talmente considerata praticabile, sebbene come caso residuale, che alcuni produttori di software di mobile forensics integrano alla loro offerta la fornitura di una fotocamera.

Criticità in ambito mobile forensics

A differenza delle altre aree della digital forensics, esistono alcune peculiarità tipiche della mobile forensics che rendono più “complicato” operare in questi contesti. Si citano ad esempio:

  1. varietà di hardware e sistemi operativi: in passato, prima dell’avvento degli smartphone che conosciamo oggi, ogni dispositivo aveva un proprio connettore e un proprio sistema operativo che rendeva il dispositivo completamente diverso dagli altri; oggi questa problematica si accusa meno eccetto per i cosiddetti “cinefonini”, tuttavia ancora oggi pur a parità di sistema operativo esistono difficoltà ad operare su un device piuttosto che su un altro, con esiti che possono differire in maniera significativa;
  2. crittografia e password: in un mondo nel quale gli utenti umani difficilmente impostano di propria iniziativa misure di sicurezza, sono i produttori a imporre agli utilizzatori l’adozione di alcuni meccanismi che creano una barriera per l’informatico forense che devo operare su di essi;
  3. alterazione dei dati: una delle regole fondamentali della digital forensics prevede il mantenimento dell’integrità dei dispositivi, ragione per la quale si cerca di operare “post-mortem”, cioè a dispositivo spento; non solo ciò nella mobile forensics non è spesso possibile poiché occorre operare da dispositivo acceso, ma è frequente il caso in cui occorre essere piuttosto invasivi eseguendo delle operazioni di modifica preliminari alla copia;
  4. interoperabilità tra dati di app e versioni di tool forensi: altra questione annosa verte sull’analisi post acquisizione poiché al variare di una versione di un app un software di analisi rischia di diventare inadeguato, con la necessità di operare dei “downgrade” di app per consentire di tornare a leggere i dati memorizzati;
  5. disponibilità di dati in cloud: altro tema caldo è che molto spesso i dati presenti negli smartphone sono memorizzati anche altrove (si pensi ai WhatsApp accessibili via WhatsApp Web, o alla posta elettronica su Gmail, o al backup di iCloud ecc.), con la conseguenza che molto spesso a fronte di un accertamento su un dispositivo sequestra si derivi illegittimamente nella ricerca di questi dati all’interno di sistemi di terzi online.

Questioni giuridiche sugli accertamenti di mobile forensics

Per quanto è stato fin qui rappresentato è interessante osservare che l’accertamento in contesto di mobile forensics comporta di frequente l’alterazione di alcuni dati.

Sorge dunque l’esigenza di qualificare tale accertamento da un punto di vista giuridico. Non si ha notizia (per quanto noto all’autore alla data di redazione del presente articolo) di espressioni della Cassazione in questo tema, però è interessante notare che gli stessi operatori tecnici sono ben a conoscenza del fatto che quasi la totalità di acquisizioni di smartphone non permette l’esecuzione di copia forense fisica e, anche ove fosse possibile, due acquisizioni successive non produrrebbero lo stesso hash.

Nonostante ciò è ancora molto frequente il caso di affidamento di incarichi da parte di Pubblici Ministeri in regime di 359 c.p.p..

L’argomento affrontato da molti è che tali modifiche sono ineliminabili e comunque residuali rispetto ai dati: per intenderci, se un messaggio esiste verrà proposto con il suo contenuto.

Tuttavia, in alcuni contesti – applicabili in tutti i casi – questo aspetto è fortemente rilevante: si pensi ad esempio a un accertamento finalizzato a comprendere se a seguito di un sequestro un dispositivo mobile è stato correttamente custodito oppure se è stato acceso e consultato dalla Polizia Giudiziaria o comunque da un soggetto formalmente non autorizzato.

Altro tema di forte interesse è legato alla difficoltà di acquisire dati in alcuni contesti, con operatori tecnici che preferiscono (per comodità o perché reputano essere l’unica alternativa) acquisire dati da fonti terze in rete.

Questa casistica è particolarmente interessante perché di regola l’accertamento viene disposto su dispositivi sequestrati e l’incarico verte proprio su di essi. Acquisire dati correlati a uno smartphone ma fisicamente memorizzati altrove è legittimo? È legittimo acquisire dati memorizzati in cloud usando credenziali rilevate sullo smartphone?

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

NOTE

  1. La perizia informatica, BIT4LAW
@RIPRODUZIONE RISERVATA

Articolo 1 di 5