indagini

Strumenti e nuove frontiere della mobile forensics: dalle origini al “Full File System”

Una ricognizione della disciplina della mobile forensics che fa il punto sugli strumenti di acquisizione dei dati dai dispositivi mobili utili nelle indagini giudiziarie, fino ad esaminare le nuove frontiere delle soluzioni Full File System

Pubblicato il 18 Apr 2023

Michele Vitiello

dottore in Ingegneria delle Telecomunicazioni, socio fondatore di ONIF, Perito del Giudice, CTU, Consulente della Procura della Repubblica

algoritmi big data

Per esplorare la disciplina della mobile forensics, è importante fare riferimento alle sue origini, ovvero la digital forensics.

Questa disciplina si occupa dell’identificazione, preservazione, analisi e studio delle informazioni presenti nei sistemi informatici, con il preciso scopo di individuare prove utili all’investigazione, rispettando in ogni fase la cosiddetta “catena di custodia”.

Con l’aumento del numero di dispositivi digitali utilizzati, come smartphone e tablet, questi ultimi sono diventati parte integrante della vita quotidiana e possono contenere informazioni essenziali per la risoluzione di casi giudiziari.

Indagini forensi, il futuro è mobile e cloud

Da un punto di vista tecnico, apparati come smartphone e tablet funzionano grazie al loro sistema operativo specializzato e ricco di funzionalità. Questo ha portato ad un aumento considerevole delle prove utili per le indagini, spostando l’attenzione sempre più dai computer ai dispositivi mobili e ai servizi cloud associati. Pertanto, sono stati sviluppati nel corso degli anni suite per l’acquisizione e l’analisi dei dati sempre più complete e performanti. Tuttavia, i dispositivi mobili sono anche costantemente migliorati per quanto riguarda la sicurezza e la protezione dei dati, rendendo il lavoro degli esperti di Mobile Forensics sempre più difficile, con sfide a volte insormontabili.

Strumenti di acquisizione utilizzati sino ad oggi

Gli strumenti disponibili per l’estrazione dei dati dai dispositivi mobili sono in continua evoluzione, ma comunque rimangono sempre un passo indietro rispetto agli aggiornamenti rilasciati dai produttori, necessari a garantire protezione e sicurezza agli utenti. Gli sviluppatori di queste tecnologie, impegnati nel reverse engineering, cercano costantemente di individuare vulnerabilità e, una volta estrapolati i dati, devono garantire la corretta interpretazione delle informazioni raccolte, al fine di non vanificare tutto il lavoro pregresso. Esistono diversi strumenti, sia hardware che software, che consentono di svolgere acquisizioni forensi.

Tra questi, alcuni dei più noti e utilizzati includono:

  • Cellebrite UFED 4PC – software commerciale a pagamento;
  • Oxygen forensic – software commerciale a pagamento;
  • XRY Forensics – software commerciale a pagamento;
  • Magnet Axiom – software commerciale a pagamento;
  • Mobie Edit – software commerciale a pagamento;
  • Alternative open source: per i dispositivi Android il software Autopsy e la distribuzione Linux Santoku, per i sistemi iOS è possibile utilizzare le tecniche Zdziarski e il software iPhone Backup Analyzer.

Purtroppo, ad oggi, anche avendo a disposizione tutti questi software elencati, non è possibile effettuare copie forensi complete di alcune tipologie di smartphone, soprattutto quelli più recenti, oppure estrarre informazioni da supporti protetti da codici di blocco, pattern o password di accesso.

Di seguito vengono esposte le tipologie di estrazioni forensi disponibili sino ad oggi:

  • La modalità “Fisica permette di effettuare acquisizioni bit-a-bit, comprendendo quindi lo spazio non allocato. Tale procedura ad oggi non è più applicabile sui nuovi modelli in commercio, in quanto la memoria risulta essere cifrata, quindi i dati eventualmente estrapolati risulterebbero non decodificabili. Di conseguenza, anche tutte le varie tecniche di lettura dei dati direttamente dai chip risulterebbero inutili, quindi anche l’operazione di Chip-off è andata piuttosto in disuso;
  • La modalità “File System, invece, estrae tutti i file presenti nella memoria del dispositivo, inclusi dati di sistema, dati di applicazioni integrate e spazio non assegnato all’interno dei file.
  • La modalità “Logica estrae dal dispositivo esclusivamente i file presenti e condivisi dal sistema operativo, quindi non è possibile ottenere le informazioni da applicazioni terze, come ad esempio WhatsApp o Instagram, e non esegue operazione di recupero dati cancellati.

Il metodo di lavoro per i professionisti nel mondo della Mobile Forensics è quindi piuttosto complesso, ricco di insidie e limitazioni. Ad esempio, dovendo effettuare la copia forense di uno smartphone Apple iPhone 13 sbloccato e aggiornato all’ultima versione, alcuni dei dati presenti e facilmente accessibili dal proprietario non sono estraibili automaticamente utilizzando gli appositi software, come i contenuti delle e-mail o alcune tipologie di applicazioni di messaggistica istantanea.

Investigazioni digitali nel processo: tutti gli aspetti tecnico-giuridici

Nuove frontiere nel campo della Mobile Forensics

Fortunatamente, da qualche mese a questa parte, per la gioia di tutti gli addetti del settore, sono state commercializzate due nuove soluzioni che permettono di effettuare copie forensi più complete di dispositivi mobili di ultima generazione, permettendo anche l’accesso ai dati presenti in dispositivi bloccati, di cui non si conoscono le credenziali.

È stata inoltre introdotta una nuova tipologia di estrazione dati, ovvero la “Full File System. A differenza della “File System” tradizionale, questa nuova opzione permette di estrarre una maggiore quantità di digital evidence, in quanto vengono concessi al software forense i privilegi di amministratore direttamente attivando l’apposita funzionalità nelle impostazioni, oppure ottenuti sfruttando vulnerabilità individuate dopo una attenta fase di studio.

Cellebrite Premium e Grayshift Graykey sono soluzioni avanzate che permettono un accesso semplice ai contenuti di una vastissima gamma di dispositivi Apple e Android, anche di ultimissima generazione, permettendo di sbloccare, decifrare ed estrapolare dati importanti, compresi quelli non acquisibili con le vecchie modalità precedentemente descritte.

“Per quanto riguarda Apple, è possibile effettuare accesso ai contenuti di smartphone e tablet bloccati negli stati “AFU” o “BFU”:

  • AFU”, acronimo di After First Unlock, è la condizione in cui il dispositivo, dopo essere stato acceso, è stato sbloccato almeno una volta e successivamente ri-bloccato;
  • BFU”, acronimo di Before First Unlock, è la condizione in cui il dispositivo, dopo essere stato acceso, non è mai stato sbloccato dall’utente.”

Una volta verificata la condizione del supporto oggetto di analisi, i software sfrutteranno le vulnerabilità ed inizieranno l’attacco a forza bruta, bombardandolo al fine di individuare il codice di sblocco, senza il pericolo che quest’ultimo possa essere disabilitato.

Anche per i supporti Android c’è la possibilità di effettuare attacchi a forza bruta da numerosissimi modelli di smartphone in stato “AFU” o “BFU”, come ad esempio Samsung, Huawei, LG, Motorola, Oppo, Xiaomi e molti altri, permettendo sempre di estrapolare una mole di dati maggiore rispetto alle acquisizioni precedenti.

Ad esempio, sia per Apple che Android, emergono log relativi al tempo di utilizzo dei vari servizi e software, informazioni più dettagliate relative alla salute (passi percorsi, calorie bruciate, battito cardiaco, ecc.), oltre ovviamente all’estrazione più completa dalle restanti applicazioni di sistema e terze parti, recuperando ove possibile anche dati cancellati.

Di seguito vengono proposte immagini scattate durante operazioni di attacco a forza bruta effettuati su smartphone Apple e Motorola:

Immagine che contiene testo Descrizione generata automaticamente

Ovviamente, per gli utilizzatori finali non è possibile conoscere modalità e tecniche utilizzate per sviluppare questi prodotti, in quanto le software house mantengono al sicuro le loro tecniche, frutto di ricerche molto avanzate e complesse. Presso lo studio dello scrivente sono in fase di test entrambe le tecnologie, ogni giorno vengono effettuate svariate copie forensi per casi giudiziari e privati, dalle quali è possibile iniziare a comprendere i punti di forza delle due soluzioni utilizzate, le quali sono in continuo aggiornamento per offrire soluzioni sempre più efficienti e performanti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2