Introduzione alla Mobile Forensics

Michele Vitiello - Ingegneria delle Telecomunicazioni, esperto in Computer Forensics e Investigazioni Digitali 19/02/2018 2089
Sicurezza dei dispositivi, Anti-Forensics e principali software commercializzati

INTRODUZIONE ALLA MOBILE FORENSICS

Prima di trattare la disciplina della Mobile Forensics è bene introdurre le sue origini: la Digital Forensics. 
Si può definire la Digital Forensics come la disciplina che si occupa dell’identificazione, della preservazione, dello studio e analisi delle informazioni contenute in sistemi informativi rispettando rigorosamente la catena di custodia al fine di evidenziare l’esistenza di prove utili allo svolgimento dell’attività investigativa.
Il numero di dispositivi digitali che le persone utilizzano nella vita di tutti i giorni è incrementato notevolmente, dai navigatori GPS alle moderne macchine fotografiche, senza escludere e-book reader, notebook, tablet e smartphone.
Smartphone e tablet sono estremamente diffusi, praticamente chiunque ne è entrato in contatto almeno una volta, sono diventati parte integrante della vita di tutti i giorni e contengono informazioni spesso estremamente sensibili.
Da un punto di vista tecnico, questi dispositivi non sono altro che piccoli computer che eseguono il proprio sistema operativo più o meno specializzato e ricco di funzioni. 
I moderni device utilizzano strutture dati complesse per riuscire a salvare quanti più dati eterogenei quali file multimediali, documenti che fino a qualche tempo fa erano solamente consultabili dal PC, posizioni GPS e gli ormai comuni database SQLite che contengono la maggior parte delle informazioni delle applicazioni installate sui dispositivi.
Questo ha portato sempre più lo spostamento delle prove utili durante un’investigazione dal vecchio computer al moderno smartphone e ai servizi Cloud ad esso collegato, è stato quindi necessario traslare anche le attività investigative su questi nuovi dispositivi, rendendo quindi necessari nuovi strumenti di acquisizione e analisi.
I dispositivi mobili tuttavia migliorano costantemente anche la sicurezza e la protezione dei dati che contengono, questo rende sempre più il lavoro del Mobile Forensics Expert difficile e complesso.
 

SICUREZZA DEI DISPOSITIVI E ANTI-FORENSICS

Con l’incremento delle prestazioni e delle funzionalità ci si è resi conto del problema legato alla privacy, sempre molti più dispositivi mobili vengono utilizzati come strumenti di lavoro che contengono documenti riservati o più semplicemente l’utente sente il bisogno di proteggere le proprie comunicazioni e le proprie attività.
Il metodo in assoluto più efficace per impedire il recupero dei dati è tramite la procedura di ripristino a condizioni di fabbrica, opzione presente ormai su tutti i device, che consente di effettuare il wipe della memoria eliminando definitivamente tutti i dati utente. 
Se invece si desidera mantenere le informazioni senza renderle disponibili è possibile impostare i più comuni metodi si sicurezza come attivazione del PIN, password o pattern, anche se per molti modelli, con le giuste tecnologie, è possibile aggirare l’ostacolo acquisendo l’intero contenuto della memoria riuscendo anche ad ottenere l’informazione segreta impostata dall’utente.
Esistono dei tool che consentono lo sblocco del dispositivo tramite una tecnica brute-force sul PIN per lo sblocco dello schermo. Questa tecnica non è molto efficace, dal momento che i produttori dei sistemi operativi hanno introdotto alcune contromisure che rendono questa operazione complessa o troppo lunga da completare in un tempo ragionevole. 
Alcune di queste contromisure sono ad esempio PIN di lunghezza maggiore come 6 o 8 cifre, password o pattern al posto del PIN, attesa dopo alcuni tentativi errati e wiping del dispositivo dopo troppi tentativi errati.
Sfortunatamente però, se dovesse essere necessario, utilizzando la tecnica del Chip-Off si avrebbe libero accesso ai dati del dispositivo anche se un codice di sblocco fosse presente.
Per proteggere quindi i propri contenuti l’unica soluzione ad oggi conosciuta è quella di cifrare l’intera memoria o una sua parte, proprio come quando si attiva la funzionalità Knox dei dispositivi Samsung, la quale cifra i dati utilizzando l’algoritmo AES a 256 bit. 

STRUMENTI DI ACQUISIZIONE E ANALISI DI DISPOSITIVI MOBILI

L’analisi forense dei dispositivi mobili è in costante evoluzione, gli strumenti utili all’estrazione dei dati sono sempre un passo indietro rispetto alla commercializzazione sul mercato dei dispositivi mobili, che diventano sempre più complessi e ricchi di protezioni e difficoltà per gli ingegneri che studiano in reverse engineering come accedere alle loro memorie e come interpretare correttamente i dati.
Il problema nello sviluppo di tecniche di analisi forense efficienti ed affidabili sta nel fatto che i vari produttori mantengono il segreto industriale, nella presenza di nuovi file system, nuovi sistemi operativi, nella scarsa conoscenza da parte degli investigatori informatici e per componentistica diversa, insomma una vera giungla.
Esistono diversi strumenti sia hardware che software che permettono di svolgere acquisizioni forensi, quelli esposti di seguito sono i più conosciuti ed utilizzati.
 
CONTINUA LA LETTURA  NEL PDF

Dott. Ing. Michele Vitiello

Dottore in Ingegneria delle Telecomunicazioni, Perfezionato post Laurea presso l’Università di Milano in Computer Forensics e Investigazioni Digitali, Commissione per l’Ingegneria Forense dell’ Ordine degli Ingegneri della provincia di Brescia, Albo dei Periti del Giudice n° 110 Trib. Brescia, Albo dei CTU n° 844 Trib. Brescia, Consulente della Procura della Repubblica, Ausiliario di Polizia Giudiziaria.