Che cos’è la mobile forensics?

Negli ultimi anni l’informatica forense si è arricchita di una nuova branca: si tratta della mobile forensics, che si occupa dei dispositivi mobili (e cioè dei tablet, degli smartphone e di tutti gli altri telefoni cellulari). Il suo scopo è quello di regolare non solo la raccolta dei dati digitali, ma anche la loro individuazione, la loro acquisizione, la loro presentazione e la loro analisi: il riferimento è a quei dati che possono essere recuperati dai dispositivi mobili.

Come funziona la mobile forensics

Per conoscere nel dettaglio le caratteristiche della mobile forensics è importante capire il funzionamento dei dispositivi mobili: essi sono apparecchi che sono concepiti e realizzati con lo scopo principale di comunicare (e in ciò si distinguono dagli hard disk, dai computer e da tutti gli altri reperti informatici a cui fanno riferimento le operazioni di disk forensics). Per questo motivo, la prima precauzione che deve essere adottata consiste nell’evitare che il reperto informatico possa comunicare con l’esterno. Le interfacce di comunicazione di questi device sono molto diverse tra loro: in tutto, sono più di un centinaio. Va detto, comunque, che negli ultimi tempi ci si sta orientando in direzione di una certa standardizzazione, finalizzata ad arrivare a un numero di interfacce molto più limitato.

Da un punto di vista tecnico, è bene sapere che l’acquisizione di un dispositivo mobile non può essere considerata un’operazione ripetibile, dal momento che non è possibile arrivare a due hash uguali attraverso una ripetizione dell’operazione di acquisizione. Se è vero che ripetendo l’acquisizione di un tablet o di uno smartphone i dati come le pagine web visitate, i registri delle chiamate, le foto e i messaggi non cambiano, è altrettanto vero che a mutare sono quelli che vengono definiti come artefatti di sistema: per esempio, lo stato della carica della batteria, ma anche il log dell’ultimo spegnimento o l’orologio di sistema. Per specifici dispositivi può risultare indispensabile l’installazione di un agent, vale a dire un software che consente la sovrascrittura di dati cancellati, così che essi non potranno più essere recuperati.

Come vengono trattati i dispositivi mobili nella computer forensics

Se un dispositivo mobile è acceso nel momento in cui viene ritrovato, occorre evitare di spegnerlo: prima di tutto, infatti, ci si deve preoccupare di ottenere alcune informazioni da cui potrebbero dipendere gli accessi futuri. Ci si potrebbe imbattere, per esempio, in un codice di blocco che potrebbe ostacolare l’accesso ai dati con il device spento. Inoltre, è bene tenere in considerazione l’esistenza di device che sono configurati in maniera tale da eliminare lo spazio che viene cancellato quando vengono spenti.

I dispositivi, inoltre, devono essere isolati in maniera che non possano comunicare con l’esterno; secondo quanto previsto dalle linee guida in materia di mobile forensics, è necessario rimuovere la scheda SIM, ma questa operazione può essere eseguita unicamente nel caso in cui non sia obbligatorio estrarre la batteria. Dopodiché si deve abilitare la mobilità aereo; in alternativa il dispositivo deve essere introdotto in una gabbia di Faraday. Il ricorso ai jammer, che impediscono le comunicazioni disturbando i segnali, deve essere valutato con la massima attenzione, specialmente se ci si trova in un luogo pubblico, dal momento che il loro utilizzo potrebbe interrompere altri servizi nei paraggi.

Nel momento in cui la comunicazione con l’esterno viene impedita, si è certi di prevenire l’alterazione dei dati e di evitare azioni di cancellazione che potrebbero essere compiute da remoto. Dopo che le comunicazioni sono state interrotte, il dispositivo deve essere posto in stato di carica elettrica, per impedire che il consumo della batteria lo faccia spegnere. A questo punto si può procedere: è giunto il momento dell’acquisizione forense del device. Essa può essere di tipo fisico o di tipo file system, ma sono possibili anche le acquisizioni tramite foto e video, le acquisizioni di cartelle e file e le acquisizioni logiche.

Leave a Comment