Mobile forensics, tutte le tecniche

Gli strumenti utilizzate da Polizia (e non solo) per estrarre tutte le informazioni possibili da telefoni cellulari e smartphone.



[ZEUS News - www.zeusnews.it - 23-10-2011]

imsi catcher

Dal punto di vista del perito che lo analizza, un telefono cellulare (o uno smartphone) è composto da tre elementi: il telefono vero e proprio (con la sua memoria interna), la SIM e la SD Card usata come memoria ausiliaria. Ognuno di questi elementi può contenere informazioni importanti e tutti e tre, insieme, permettono spesso di ricostruire gli ultimi mesi di vita di una persona con un livello di precisione impressionante.

Art. 360 C.P.P.

Prima di procedere oltre è necessario chiarire un punto: ogni operazione compiuta sul telefono in esame, anche la semplice azione di spegnimento, può modificare in modo irrimediabile il sistema e rendere inservibili le prove. Ad esempio, al momento dello spegnimento vengono spesso cancellati i file di cache ed altre informazioni temporanee. Inoltre, una volta spento il telefono può essere necessario il PIN per riavviarlo.

L'Articolo 360 del Codice di Procedura Penale prevede che ogni operazione potenzialmente non ripetibile, come questa, compiuta su quello che potrebbe essere un elemento di prova, debba avvenire in presenza delle parti (accusa e difesa) e dei loro consulenti tecnici.

Per questa ragione, tutte le operazioni di analisi compiute sui telefoni cellulari vengono normalmente eseguite dai periti nominati dal Pubblico Ministero in presenza degli avvocati e dei consulenti tecnici della difesa. In particolare, se il telefono è stato ritrovato acceso, deve essere mantenuto acceso fino a che non sarà possibile esaminarlo in presenza delle parti.

Conservare intatta la prova

Dato che il telefono cellulare è destinato a diventare una prova utilizzabile in sede dibattimentale (cioè in Tribunale), è necessario che venga conservato intatto fino al momento in cui i vari elementi di prova sono stati raccolti e registrati. Purtroppo, conservare intatto un telefono cellulare acceso è tutt'altro che facile perché i telefoni cellulari, per loro natura, continuano a scambiare informazioni con la rete telefonica anche quando l'utente non li sta utilizzando. Ad esempio, continuano a ricevere nuovi messaggi SMS e MMS.

Alcuni telefoni possono anche essere configurati per cancellare automaticamente i vecchi messaggi per fare posto ai nuovi e questo, ovviamente, comporta la perdita di informazioni che potrebbero essere importanti. Di conseguenza, è necessario proteggere il telefono dai contatti con la rete telefonica usando una cosiddetta "gabbia di Faraday".

Una gabbia di Faraday non è altro che un contenitore metallico chiuso che impedisce alle onde radio di raggiungere il telefono. La gabbia di Faraday deve proteggere anche il cavo di alimentazione perché, in caso contrario, il cavo potrebbe fungere da antenna. L'articolo continua qui sotto.

Sondaggio
Cosa ne pensi della richiesta di Berlusconi e del Pdl di mettere un freno alle intercettazioni?
E' sacrosanta! Voglio poter parlare liberamente al telefono! - 8.7%
Si abusa di questo strumento di indagine. Bisognerebbe limitarne l'uso e limitare i costi che ne derivano. - 14.4%
Non faccio nulla di male, per cui non me ne può fregare di meno. - 7.4%
Stanno solo cercando di coprire le loro malefatte. Le intercettazioni devono restare disponibili nella "toolbox" degli investigatori. - 25.9%
Sono dei farabutti. Dovrebbe essere tolta loro ogni copertura e dovrebbero essere costretti ad agire alla luce del sole! Altro che bavaglio e privacy! - 43.6%
  Voti totali: 6901
 
Leggi i commenti (19)
La SD Card

Una volta prese le opportune precauzioni, si può passare all'analisi vera e propria. L'elemento di un telefono più facile da analizzare è la SD Card usata come memoria ausiliaria. In genere, basta infilare la SD Card in un lettore collegato ad un computer, eseguirne (per sicurezza) una copia "immagine" (cioè bit-a-bit) e poi analizzare la copia con i normali strumenti di analisi che si usano per qualunque altro supporto magnetico.

Eventuali file rimossi o sovrascritti possono (a volte) essere recuperati con i soliti strumenti di undelete. Ne trovate un esempio qui. Se cercate "usb drive undelete" con Google ne potete trovare molti altri.

La SD Card può contenere praticamente di tutto: video, foto, documenti da ufficio, parametri di configurazione e file di dati di applicazioni, persino registrazioni audio. Una vera miniera d'oro per gli investigatori.

La SIM

Analizzare la SIM è un po' meno facile, sia perché la SIM è spesso protetta da un PIN sia perché a volte le SIM memorizzano le informazioni in formati particolari, specifici del particolare operatore telefonico.

Per fortuna esistono appositi kit hardware ed appositi programmi di analisi per esaminare quasi tutti i tipi di SIM esistenti. Ne potete vedere un esempio qui. Cercando "SIM Reader" o "SIM Manager" con Google ne potete trovare molti altri.

In genere, il PIN può essere bypassato usando il PUK. Il PUK, infatti, viene spesso conservato dall'operatore telefonico che ha venduto la SIM (per ragioni tecniche) e quindi la Polizia può chiedere che gli venga rivelato.

La SIM contiene abitualmente la rubrica telefonica dell'utente ed in molti casi contiene anche l'agenda, l'archivio degli SMS inviati e ricevuti ed altre informazioni che permettono di ricostruire la rete di contatti dell'utente.

La memoria interna del telefono

L'elemento forse più difficile da esaminare è la memoria interna del telefono perché è la parte di memoria in cui vengono memorizzati i dati temporanei (cache) e quindi ogni operazione compiuta sul telefono ne altera inevitabilmente il contenuto.

Per fortuna, esistono appositi strumenti che permettono di analizzare la maggior parte dei telefoni cellulari senza fare danni. I più famosi sono i seguenti: Cellbrite, Encase, Micro Systemation XRY/XACT (azienda apparentemente non più operativa).

In tutti i casi, tuttavia, si tratta di strumenti molto costosi (dai 5.000 ai 30.000 euro) e destinati a un pubblico di utenti molto preparati. Analisi di quest'ultimo tipo sono quindi accessibili solo alle Forze di Polizia e ai loro tecnici.

Conclusioni

Come ho detto, analizzando un telefono cellulare si possono ricostruire con precisione tutti i contatti (e spesso anche i movimenti) del suo proprietario nelle ultime settimane o persino negli ultimi mesi. Di conseguenza, un telefono cellulare è una vera miniera di informazioni per gli investigatori. Se si tiene presente che gran parte di queste analisi sono alla portata di molti tecnici di medio livello, dovrebbe essere piuttosto chiaro il motivo per cui un telefono cellulare non va mai lasciato incustodito.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Alessandro Bottoni - www.alessandrobottoni.it

Commenti all'articolo (ultimi 5 di 7)


Stx
D'accordo ma chi ti ha preceduto ha parlato di codice PIN, non di codice PUK. Inoltre resettare il PIN col PUK e' una operazione invasiva, non altrettanto inserire il PIN.
3-2-2012 14:50
davide.dagostino
giusto. Normalmente, però, la P.G. (ma anche consulenti tecnici del PM o periti del Giudice su autorizzazione dcell'A.G.) chiedono, oltre al codice PIN, il PUK. con il codice PUK si può resettare qualsiasi PIN.
2-2-2012 21:42

Stx
Se il PIN e' stato cambiato come fa l'operatore a saperlo? E' una informazione locale alla SIM.. Leggi tutto
24-10-2011 17:24
argaar
letto l'articolo e sono parzialmente d'accordo. se è pur vero che molte volte funziona così, è altrettanto vero che determinate "categorie" di cellulari esulano da questo tipo di comportamento. ad esempio il mio cellulare si riavvia da solo e sempre in automatico provvede a cancellare file temporanei ogni tot, quindi il solo... Leggi tutto
24-10-2011 10:08
peppespe
Alcune considerazioni. Dal punto di vista della strumentazione consigliata non ho nulla da eccepire, anche se sarebbe stato opportuno specificare le varie tipologie e modalità di acquisizione, onde evitare che aspiranti tecnici forensi dell'ultimo minuto possano commettere gravi errori tecnico-procedurali. Non oltre dal punto di vista... Leggi tutto
23-10-2011 17:48
Leggi gli altri 2 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La tecnologia attuale rende già possibile avere dei ''superpoteri'' che un tempo sembravano appannaggio solo dei personaggi di fantasia. Quale non vedi l'ora di avere?
La capacità di respingere i proiettili, come Superman.
La resistenza alla fatica e alle ferite, come Batman.
Il "senso di ragno" di Spider-Man.
L'armatura di Iron Man.
L'invisibilità, come la Donna Invisibile.
Il "senso radar" di Daredevil.
La telecinesi, come Jean Grey degli X-Men.
Il governo dell'elettricità, come Fulmine Nero.
La vista di Robocop.

Mostra i risultati (2307 voti)
Aprile 2024
n. 3801 del 18-04-2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
n. 3800 del 12-04-2024
Hype e Banca Sella, disservizi a profusione
n. 3799 del 11-04-2024
Falla nei NAS D-Link, ma la patch non arriverà mai
n. 3798 del 09-04-2024
La navigazione in incognito non è in incognito
n. 3797 del 05-04-2024
Le tre stimmate della posta elettronica
n. 3796 del 03-04-2024
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
n. 3795 del 30-03-2024
Buone azioni e serrature ridicole
n. 3794 del 26-03-2024
Il piano Merlyn, ovvero la liquidazione di Tim
n. 3793 del 23-03-2024
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
n. 3792 del 21-03-2024
L'antenato di ChatGPT in un foglio Excel
n. 3791 del 19-03-2024
La valle inquietante
n. 3790 del 15-03-2024
La crisi di Tim e la divisione sindacale
n. 3789 del 12-03-2024
La fine del mondo, virtuale
n. 3788 del 08-03-2024
WhatsApp e Messenger aprono agli altri servizi di chat
n. 3787 del 06-03-2024
Permainformatica
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 19 aprile
2023
Windows 11 in versione live
2022
La console a manovella è realtà
2021
Windows 10, la Timeline perde la sua funzione più utile
2020
Il software per impersonare gli altri su Zoom e Skype
2019
Galaxy Fold, lo schermo pieghevole si rompe quasi subito
2018
Scoperto per caso l'enzima che divora la plastica in un lampo
2017
Se il MacBook Pro fa ''pop''
2016
L'asciugamani ad aria è un ricettacolo di virus
2015
Uber gratis se hai bevuto troppo
2014
Google rinuncia all'ascensore spaziale e all'hoverboard
2013
Marchionne: produrre auto elettriche è masochismo
2012
La Internet Key ricaricabile di Tiscali
2011
Apple fa causa a Samsung: "Ha copiato iPad e iPhone"
2010
Brunetta: "Casella PEC per tutti"
2009
Cinquant'anni di Cobol
2008
YouFig?
2007
Zio Bill il caritatevole
2005
Il Copyriot Day
2004
Internet e democrazia
Olimpo Informatico


 
web metrics