Notiziario 03 / 2019
2 6 | N o t i z i a r i o O r d i n e d e g l i I n g e g n e r i d i V e r o n a e P r o v i n c i a estrae tutti i file presenti nella memoria del dispositivo inclusi dati di sistema, dati di applicazioni integrate e spazio non assegnato all’interno di file. Permette comunque il recupero di buona parte dei file eliminati e talvolta l’acquisizione coincide con la modalità fisica a livello di dati estrapolati. La modalità di acquisizione “Logica” estrae dal dispositivo solamente i file presenti e condivisi dal sistema operativo, quindi non è possibile ottenere le informazioni da applicazioni terze come può essere Whatsapp, ad esempio, e non esegue nessuna operazione di carving sulla memoria. La modalità di acquisizione “Chip-Off” è la più invasiva tra tutte quelle finora presentate, perché effettua il dump binario dell’intera memoria e per utilizzare questa tecnica il dispositivo viene, in un certo senso sacrificato, in quanto prevede la dissaldatura del chip dalla scheda elettronica per leggerla “manualmente” utilizzando speciali adattatori e software. Se ad esempio il dispositivo non dovesse essere funzionante o presentasse un codice di sblocco che non si riesce a raggirare, si può ricorrere a questa modalità per ottenere l’immagine della memoria, sempre che quest’ultima non sia cifrata a priori. JTAG è una procedura di acquisizione avanzata che utilizza le porte test di accesso standardizzate dall’associazione omonima, le quali permettono di accedere ai dati grezzi memorizzati nel dispositivo connesso. Questa tecnica sfrutta i punti di saldatura esistenti sulla scheda elettronica e tramite attrezzature specializzate è possibile recuperare il contenuto della memoria flash, includendo quindi anche lo spazio non allocato. Corrette modalità di produzione in giudizio Al fine di certificare dati contenuti all’interno di dispositivi mobili è innanzitutto necessario effettuare la copia forense del dispositivo utilizzando una delle modalità precedentemente descritte e certificarla mediante calcolo del valore HASH. Una volta conclusa è possibile estrapolare i dati di interesse mediante software di mobile forensics, generare i relativi report ed allegare tutti i dati all’interno di supporti di memoria assieme alla relazione tecnica redatta. I report generati devono essere, per quanto possibile, semplici e di facile consultazione, in quanto molto spesso questi ultimi devono essere visionati da persone non del settore, come Avvocati, Pubblici Ministeri, addetti delle Forze dell’Ordine e cittadini comuni. All’interno della Relazione Tecnica è necessario esporre le operazioni svolte, descrivendo tutti i passaggi effettuati e i software utilizzati, permettendo a terzi di replicare le analisi, riprodurre i test ed ottenere quindi le medesime conclusioni. ■
Made with FlippingBook
RkJQdWJsaXNoZXIy MTUzNjY=