Per procedere al recupero dati da telefoni cellulari danneggiati è possibile applicare alcuni metodi di indagine forense (e in particolare di mobile forensics) così come esplicitati nelle nuove linee guida del NIST (National Institute of Standards and Technology) pubblicate lo scorso 28 gennaio.
In molti casi penali, infatti, le autorità possono ottenere informazioni preziose esaminando smartphone e tablet, oltre che computer, appartenenti alle persone coinvolte.
Spesso, però, i criminali danneggiano i loro smartphone proprio nel tentativo di distruggere prove o informazioni incriminati. In situazioni simili gli esperti di informatica forense sono chiamati in aiuto per recuperare più dati possibili dal device posto sotto sequestro attraverso strumenti hardware e software.
Ora, i ricercatori del NIST in collaborazione con il Cyber Forensics Project del Department of Homeland Security hanno testato e reso disponibili indicazioni tecniche e procedure di utilizzo per alcuni di questi strumenti forensi.
Indice degli argomenti
Strumenti per l’investigazione forense digitale
Il recupero dei dati dai dispositivi digitali è diventato una parte importante di molte indagini penali. Le informazioni trovate su un telefono possono infatti rivelarsi utili nel fornire indizi sull’esatta posizione e sulle attività degli indagati.
Questi dati vengono spesso utilizzati durante le prove e dovrebbero essere quanto più precisi possibile poiché un verdetto legale potrebbe essere determinato sulla base di ciò che si trova sul computer, sul cellulare o sul tablet dell’indagato.
Anche i migliori investigatori forensi ammettono che l’estrazione dei dati dai dispositivi mobili può essere particolarmente complessa e lunga. Ciò è dovuto alle molte differenze nei tipi di dati e formati utilizzati tra un dispositivo all’altro.
I test possono essere eseguiti da chiunque nella comunità delle forze dell’ordine, ma è necessario utilizzare software, procedure e test ufficiali e riconosciuti per non correre il rischio di alterare le prove.
Per anni, le forze dell’ordine e gli esperti forensi hanno usato i dati trovati su telefoni cellulari e computer nel corso delle loro indagini. Poiché questa scienza è andata avanti e si è evoluta, è diventato necessario creare linee guida per nuovi dispositivi mobili presenti nel mercato.
Ciò elimina gran parte delle congetture e aiuta un team forense a essere coerente con le loro procedure di test.
Questo, a sua volta, aiuta a garantire risultati più affidabili. Coerenza e affidabilità sono aspetti chiave del tipo di dati che possono essere utilizzati durante una sperimentazione legale.
Contenuto della ricerca NIS
La ricerca è parte del progetto NIST Computer Forensics Tool Testing e mira ad aiutare le forze dell’ordine a identificare i metodi più utili, aggiornati e affidabili per accedere ai dati di computer, telefoni cellulari e GPS dei criminali.
Questo studio, in particolare, ha visto i ricercatori tentare di ripristinare i dati non crittografati dai chip di memoria di molti smartphone. Tuttavia, le procedure utilizzate possono ancora essere utili con i telefoni crittografati perché gli investigatori spesso riescono a ottenere il passcode durante il lavoro indagine.
Nel dettaglio, i ricercatori del National Institute of Standards and Technology hanno utilizzato oltre 50 device e telefoni Android e iOS popolati di diversi dati e sui quali hanno applicato due metodi di estrazione dati, procedendo poi ad analizzare performance e risultati.
Il primo metodo si chiama JTAG e si avvale di porte di accesso che di solito vengono utilizzati dai produttori per testare i loro circuiti.
Più precisamente, è un metodo che consiste nel collegare i TAP (“rubinetti” o porte di accesso) standardizzati dal Joint Test Action Group (JTAG) a un emulatore JTAG per accedere ai dati grezzi memorizzati nel dispositivo collegato.
In sintesi, l’acquisizione di JTAG produce un’immagine completa della memoria del dispositivo completa di spazio non allocato.
Il secondo metodo utilizzato dai ricercatori del NIST si chiama chip-off e prevede il distacco e l’estrazione del chip di memoria flash interno al dispositivo tramite la dissaldatura dello stesso.
La principale differenza tra i metodi chip-off e JTAG è che la tecnica del chip-off è “distruttiva”: una volta che un chip di memoria viene rimosso da un dispositivo mobile, infatti, non può più essere reinstallato sul dispositivo. Ne consegue, ovviamente, che una volta rimosso un chip di memoria da un dispositivo mobile, il dispositivo stesso non può più essere riportato al normale funzionamento o esaminato utilizzando uno strumento commerciale.
Quando un dispositivo viene danneggiato irreparabilmente, ma il chip di memoria è intatto, la tecnica di chip-off è probabilmente l’unica opportunità per ottenere dati dal dispositivo.
Sebbene queste tecniche offrano la possibilità di ottenere un’immagine completa del dispositivo, entrambe non sono esenti da rischi e difficoltà, per non parlare del fatto che entrambe richiedono tempo e cura per funzionare correttamente.
In particolare, la rimozione del chip da un dispositivo consiste nel dissaldare il chip di memoria dal circuito e richiede un set di strumenti e tecniche precise per garantire che il chip stesso venga rimosso correttamente dal dispositivo. Il rischio di danneggiarlo, e quindi di perdere i dati, è molto alto e reale senza la cura e la gestione adeguate.
Mentre l’uso di chip-off e JTAG può essere molto utile per il recupero dei dati, è imperativo che gli esaminatori informatici forensi comprendano i rischi connessi e acquisiscano una conoscenza adeguata prima di fare tentativi sui dispositivi oggetto di indagine giudiziaria.
Conclusioni
Mentre gli strumenti commerciali di oggi continuano a fornire innovazioni a un ritmo impressionante e offrono supporto telefonico esteso e in espansione con capacità di recupero dei dati crescenti, la sfortunata realtà è che esiste un numero apparentemente infinito di dispositivi che continuano a sfidare gli esaminatori, creando il requisito per alternative nei mezzi di recupero dei dati.
A tale scopo e per affrontare dispositivi rotti, distrutti o altrimenti inaccessibili, il NIST ha fornito questa serie di linee guida online disponibili gratuitamente.
Fondamentali per ogni l’analisi forense per dispositivi mobili e fornire le basi per coloro che desiderano saperne di più.
