Iscriviti alla nostra Mailing List    

Mobile forensics

Non vi è omicidio o suicidio in cui il cellulare non rivesta un ruolo decisivo per le indagini, proprio perché il cellulare è il primo sistema con il quale l’investigatore, una volta arrivato sulla scena del crimine, tende ad avere un’interazione diretta. Il terminale UMTS/LTE, che presto soppianterà tutti gli altri protocolli, è un computer a tutti gli effetti, per questo motivo si vanno definendo procedure molto simili a quelle del Forensic Computing, con strumentazioni però sostanzialmente differenti.

Premessa

La tecnologia tipica dei GSM, GPRS, UMTS, fa in modo che non è il radiotelefono a contenere i dati dell'abbonato, bensì una smartcard (carta intelligente) denominata SIM-Card (Subscriber Identity Module), da inserire nell'apparecchio che si desidera utilizzare.

L'abbonamento fa quindi riferimento alla carta e non al radiotelefono. La SIM-Card, estraibile dal terminale radiomobile, contiene un circuito integrato dotato di memorie volatili e non volatili, e si presenta strutturalmente in due possibili soluzioni opportunamente standardizzate:

  • IC-Card (formato Card) delle dimensioni di una carta di credito;
  • PLUG-IN di dimensioni particolarmente ridotte (Micro SIM e Nano SIM).

Va considerato anche che presto il concetto di SIM verrà totalmente virtualizzato (esistono già diverse applicazioni in tal senso), divenendo da oggetto fisico un puro codice d’identificazione in un particolare DB.

I dati permanenti che caratterizzano l’utente sono registrati dal gestore radiomobile in aree di memoria "read-only" della SIM, protette in modo da non essere accessibili ai normali utenti. Tali dati riguardano l’identità “IMSI” (International Mobile Subscriber Identity) dell’abbonato, la chiave di autenticazione del cliente “KI” (Key Identity), gli algoritmi di calcolo utilizzati per quest’ultima attività e anche per la cifratura della conversazione. All'utente, come noto, rimangono accessibili i campi per l’inserimento dei codici PIN e PUK.

La definizione

Il mobile forensics nasce in seguito alla necessità di sequestrare e analizzare cellulari rinvenuti su soggetti d’interesse investigativo, o direttamente sulla scena del crimine.

Le attività di polizia che tipicamente si applicano ai cellulari sono le seguenti:

Intercettazione

Non solo voce, si devono trattare sempre più spesso le immagini (videochiamate), gli SMS, le email, etc. La migrazione del sistema cellulare verso una rete Internet-like è inesorabile e tutt’altro che lenta.

Radiolocalizzazione

La posizione della cella che connette un cellulare con la sua SIM alla rete di telecomunicazioni del provider, è individuale e a carico di quest’ultimo. In un’area cittadina questo equivale a individuare spostamenti con approssimazioni di alcune centinaia di metri, mentre in un’area extraurbana ci si può portare anche ad arrotondamenti di km.

Repertamento e analisi dei cellulari: isolamento, movimento dei sistemi e clonazione

Un telefono cellulare attivo presenta diversi elementi problematici nel suo repertamento e successiva analisi. Innanzitutto, la movimentazione di un tale dispositivo collegato alla rete di telecomunicazione, significa quasi con certezza alterarne il contenuto al momento del cambio di cella. In secondo luogo il dispositivo attivo può continuare a ricevere chiamate e messaggi, che possono determinare ulteriori alterazioni (a prescindere dal fatto che investigativamente tali ricezioni possano essere utili o meno). A causa di tali fattori il primo elemento del sequestro di un cellulare è l’isolamento elettromagnetico o, se questo non è possibile, lo spegnimento. Successivamente allo spegnimento, è possibile effettuare copie separate della memoria del terminale e della SIM, per poi passare all'analisi dei dati mediante un'opportuna workstation. Prima di proseguire bisogna però restringere il campo di studi nella maniera più opportuna.

Si possono identificare diverse aree d’investigazione tecnica, legate ai sistemi mobili di comunicazione:

Wireless systems

I sistemi di comunicazione digitale, normalmente indicati come wireless, impiegano onde radio di bassa potenza (o infrarossi) per trasmettere dati punto-punto tra unità digitali. Classici esempi sono definiti dal protocollo IrDA e Wi-Fi (o Bluetooth) e sono largamente impiegati sia per lo scambio dati tra dispositivi (es. cellulare-cellulare) che per la realizzazione di vere e proprie reti locali. Esistono poi altri esempi come: i telefoni cordless che trasmettono unicamente a una propria “base station”- la quale è connessa alla linea fissa pubblica - e i sistemi privati professionali, che impiegano reti cellulari privilegiate per particolari impieghi (come il TETRA per polizie, ospedali, etc.).

Telefoni satellitari

Si connettono direttamente a dei satelliti orbitanti che forniscono specifici servizi di comunicazione digitale; ne esistono diverse architetture e sono impiegati come mezzi di trasmissione su larga e larghissima scala.

Telefoni cellulari

Cui spesso ci si riferisce con il termine “mobile telephone” (telefono mobile); essi si connettono a una rete di celle disposte sul territorio in cui operano, che è ovviamente interconnessa anche alla classica rete pubblica fissa di telefonia. Il mobile forensics si riferisce principalmente all'attività di repertamento e analisi di telefoni cellulari.

Le attività del "mobile forensics" e i vincoli

Il repertamento sulla scena del crimine dei telefoni cellulari, insieme alla loro successiva analisi forense in laboratorio, costituisce un settore di studi emerso alcuni anni fa come appendice del Forensic Computing, ora prepotentemente in auge come area a sé stante, date le discrepanze con la materia madre che si sono presentate in seguito ad alcuni fattori:

  • la portabilità dei dispositivi oggetto di analisi che determina dimensioni compatte, l’impiego di particolari interfacce, di batterie (spesso più di una) e di hardware estranei a computer e server;
  • il concetto di memoria di massa come magazzino semipermanente di dati, su base ottica e/o magnetica, che viene a essere inficiato dall’impiego massiccio di memorie volatili in perenne alimentazione e/o memorie flash;
  • la presenza quasi costante di automatici stati di “idle” o ibernazione, contro lo spreco della comunque limitata energia contenuta nelle batterie – tali stati determinano cambiamenti anche indesiderati dei dati delle memorie e talvolta simulano situazioni di spegnimento dei dispositivi che assolutamente non sono tali (es. monitor nero, insensibilità ai tasti, etc.);
  • l’assenza di uno standard costruttivo universale, che sfortunatamente determina l’esistenza di famiglie di dispositivi in grado di fornire all’incirca gli stessi servizi digitali, basandosi su hardware sostanzialmente diversi e il cui approccio durante l’analisi forense deve, quindi, essere differente;
  • la continua produzione di nuovi cellulari e smartphone - per gestire un mercato saturo in cui creare nuovi look o particolari servizi, è l’unico modo che hanno le ditte costruttrici per sopravvivere.

I principi del forensic computing quali: l'immodificabilità dei dati del reperto, limitare l'accesso diretto sulla scena del crimine e il logging delle attività d’indagine, devono comunque essere seguiti anche nel repertamento e analisi dei cellulari.

Il repertamento sulla scena del crimine

Lo spegnimento del dispositivo, seppur in molti casi impiegato con ottime garanzie per tutti (si ricordi che spegnere e sigillare il dispositivo equivale anche a impedire che chiunque vi acceda fisicamente compiendo eventualmente danni), non è l’approccio migliore in assoluto e sicuramente non è quello che fornisce i risultati delle analisi nel più breve tempo possibile.

Questo avviene in quanto:

  • il sistema spento potrebbe chiedere, in fase di riattivazione, un PIN;
  • la batteria tenderà a scaricarsi lentamente fino ad esaurirsi - da cui la necessità di procedere all’acquisizione del relativo alimentatore;
  • le batterie possono essere più di una e alcune di esse, se rimosse o esaurite, possono determinare perdite definitive di dati.

Nell’ottica di trovare un’alternativa, l’accesso immediato di un tecnico specializzato al dispositivo non disattivato sarebbe ottimale, a patto che il tutto avvenga in una camera schermata. A tal proposito, negli ultimi anni sono stati realizzati diversi dispositivi di grande utilità per l’analisi real-time e il trasporto, come ad esempio le Jamming device, le tende di Farada e i contenitori schermati.

L'Analisi del contenuto

I metodi per l’analisi delle SIM e degli smartphone sono in continuo aggiornamento e  vengono implementati sia mediante strumenti hardware sia software. Diviene importante, ai fini dell’analisi, capire che tipologia di telefono mobile si ha a disposizione e impiegare metodi e strumenti adeguati, al fine di rilevare velocemente le informazioni più opportune.

A questo proposito i dispositivi mobili si dividono fondamentalmente in tre categorie:

1. Basic phone: implementa i servizi di SMS e chiamata vocale;

2. Advanced phone: implementa i servizi del basic più gli EMS, una forma di chat basata su SMS, un collegamento a un e-mail server per la gestione di una particolare casella e la navigazione su WAP;

3. High End phone: amplia i servizi degli advanced al più ampio spettro del full instant messaging (IM), supportando uno specifico applicativo come client software, del multimedia messaging con gli MMS, della posta elettronica supportando i protocolli POP/IMAP e SMTP nonché la possibilità di navigazione reale su Internet mediante HTTP.

Per ognuna di queste categorie di telefono si deve procedere a una tipologia di analisi differente proprio perché le informazioni evidenti e nascoste rilevabili sono diverse. Gli smart phone sono ovviamente high end phone, per cui richiedono l’analisi più avanzata.

I removable media

Le media card eventualmente presenti nella maggioranza dei casi supportano un file system di tipo FAT, tipico dei primi sistemi MS-DOS e Windows, per cui sufficientemente arcaico e conosciuto da poter essere affrontato efficacemente con i consolidati prodotti del forensic computing.

Le SIM/USIM

Al contrario delle media card, le SIM sono unità altamente standardizzate e possegono un contenuto uniforme e protocolli d’interfacciamento ben noti. Per questo motivo sono nati dei tool software che operano attraverso lettori di smart card, i quali sono in grado di copiare i dati di basso livello della SIM per poi interpretarli, fornendo informazioni utili all’investigatore tecnico.

L'hardware del telefono (terminale radiomobile)

L’analisi dell’hardware del cellulare o smart phone, escludendo SIM e media card, rimane l’attività più complessa ma anche quella che produce mediamente una notevole mole di risultati investigativi.

L'analisi può essere condotta su tre livelli possibili e precisamente:

1. Non invasiva: copia dei dati e ricostruzione mediante interfaccia specializzata che collega il terminale radiomobile a un PC il quale, con un software speciale, assume il comando del sistema embedded - è un'ottima modalità per rilevare dati cancellati (es. SMS, MMS, etc.);

2. Semi-invasiva: in camera schermata impiegando l’interfaccia del sistema mobile che opera sulla SIM/USIM inserita e operativa - metodo sicuro e veloce ma limitato riguardo alla varietà dei dati estraibili;

3. Invasiva: copia dei dati mediante estrazione fisica dei chip di memoria - ottima e completa, soprattutto in presenza di sistemi danneggiati, ma difficilmente di natura ripetibile.

800 722 042
Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb Plants: image 1 0f 4 thumb