INFORMATICA - MOBILE FORENSICS

Marzo 2013

Non vi è omicidio o suicidio in cui il cellulare non rivesta un ruolo determinante per le indagini e sfortunatamente il cellulare è il primo sistema con il quale l’investigatore arrivato sulla scena del crimine tende ad avere interazione diretta. Il terminale UMTS/LTE che presto soppianterà tutti gli altri protocolli è un computer a tutti gli effetti, ecco perché si vanno definendo procedure molto simili di principio a quelle del forensic computing con strumentazioni però sostanzialmente differenti.

Premessa

La tecnologia tipica del GSM, GPRS, UMTS, fa in modo che non è il radiotelefono a contenere i dati dell'abbonato, bensì una smartcard ("carta intelligente") denominata SIM-Card (Subscriber Identity Module), da inserire nell'apparecchio che si desidera utilizzare.

L'abbonamento fa quindi riferimento alla carta e non al radiotelefono. La SIM-Card, estraibile dal terminale radiomobile, contiene un circuito integrato dotato di memorie volatili e non volatili, e si presenta strutturalmente in due possibili soluzioni opportunamente standardizzate: (1) IC-Card (formato Card) avente le dimensioni di una carta di credito e (2) PLUG-IN di dimensioni particolarmente ridotte (Micro SIM e Nano SIM).

Va considerato anche il fatto che presto il concetto di SIM verrà totalmente virtualizzato (esistono già diverse applicazioni in tal senso) divenendo da oggetto fisico un puro codice di identificazione in un particolare DB.

I dati permanenti che caratterizzano l’utente sono registrati dal gestore radiomobile in aree di memoria "read-only" della SIM protette in modo da non essere accessibili ai normali utenti. Tali dati riguardano l’identità “IMSI” (International Mobile Subscriber Identity) dell’abbonato radiomobile, la chiave di autenticazione del cliente “KI” (Key Identity), gli algoritmi di calcolo utilizzati per quest’ultima attività ed anche per la cifratura della conversazione. All'utente, come noto, rimangono accessibili i campi per l’inserimento dei codici PIN e PUK.

La definizione

Il mobile forensics nasce a seguito della necessità di sequestrare ed analizzare cellulari rinvenuti su soggetti di interesse investigativo o direttamente sulla scena del crimine. Le attività di polizia che tipicamente si applicano ai cellulari sono le seguenti:

Iintercettazione

Non solo voce, si devono trattare sempre più spesso le immagini (videochiamate), gli SMS, le email, ecc. la migrazione del sistema cellulare verso una rete Internet-like è inesorabile e tutt’altro che lenta.

Radiolocalizzazione

La posizione della cella che connette un cellulare con la sua SIM alla rete di telecomunicazioni del provider è individuale a carico di quest’ultimo. In un’area cittadina questo equivale ad individuare spostamenti con approssimazioni di alcune centinaia di metri mentre in un’area extraurbana ci si può portare anche ad arrotondamenti di km.

Repertamento ed analisi dei cellulari: isolamento, movimento dei sistemi e clonazione

Un telefono cellulare attivo presenta diversi elementi problematici nel suo repertamento e successiva analisi. Innanzitutto la movimentazione di un tale dispositivo collegato alla rete di telecomunicazione vuole dire quasi con certezza alterarne il contenuto al momento del cambio di cella. In secondo luogo il dispositivo attivo può continuare a ricevere chiamate e messaggi che possono determinare ulteriori alterazioni (a prescindere dal fatto che investigativamente tali ricezioni possano essere utili o meno. A causa di tali fattori il primo elemento del sequestro di un cellulare è l’isolamento elettromagnetico o se questo non è possibile lo spegnimento. Successivamente allo spegnimento è possibile effettuare copie separate della memoria del terminale e della SIM per poi passare all'analisi dei dati mediante un'opportuna workstation.

Prima di proseguire bisogna però restringere il campo di studi nella maniera più opportuna in quanto si possono identificare diverse aree di investigazione tecnica legate ai sistemi mobili di comunicazione:

Wireless systems

I sistemi di comunicazione digitale normalmente indicati come wireless impiegano onde radio di bassa potenza o infrarossi per trasmettere dati spesso punto-punto tra unità digitali. Classici esempi sono definiti dal protocollo IrDA e Wi-Fi o Bluetooth largamente impiegati sia per lo scambio dati tra dispositivi (es. cellulare-cellulare) che per la realizzazione di vere e proprie reti locali. Esistono poi altri esempi come: i telefoni cordless che trasmettono unicamente ad una propria “base station” la quale è connessa alla linea fissa pubblica ed i sistemi privati professionali che impiegano reti cellulari privilegiate per particolari impieghi (come il TETRA per polizie, ospedali, ecc.).

Telefoni satellitari

Si connettono direttamente a dei satelliti orbitanti che forniscono specifici servizi di comunicazione digitale. Ne esistono diverse architetture e vengono impiegati come mezzi di trasmissione su larga e larghissima scala.

Telefoni cellulari

Cui spesso ci si riferisce con il termine “mobile telephone” (telefono mobile). Essi si connettono ad una rete di celle disposte sul territorio in cui operano che è ovviamente interconnessa anche alla classica rete pubblica fissa di telefonia.

Il mobile forensics si riferisce principalmente all'attività di repertamento ed analisi di telefoni cellulari.

Le attività del "Mobile Forensics" ed i vincoli

Il repertamento sulla scena del crimine dei telefoni cellulari, assieme alla loro successiva analisi forense in laboratorio, costituisce un settore di studi emerso alcuni anni fa come appendice del forensic computing ed ora prepotentemente in auge come area a se stante date le discrepanze con la materia madre che si sono presentate a seguito dei seguenti fattori:

la portatilità dei dispositivi oggetto di analisi che determina dimensioni compatte, l’impiego di particolari interfacce, di batterie (spesso più di una) e di hardware estraneo a computer e server;

- il concetto di memoria di massa come magazzino semipermanente di dati, su base ottica e/o magnetica, che viene ad essere inficiato dall’impiego massivo di memorie volatili in perenne alimentazione e/o memorie flash;

- la presenza pressocchè costante di automatici stati di “idle” o ibernazione, contro lo spreco della comunque limitata energia contenuta nelle batterie – tali stati determinano cambiamenti anche indesiderati dei dati delle memorie e talvola simulano situazioni di spegnimento dei dispositivi che assolutamente non sono tali (es. monitor nero, insensibilità ai tasti, ecc.);

- l’assenza di uno standard costruttivo universale, che sfortunatamente determina l’esistenza di famiglie di dispositivi in grado di fornire all’incirca gli stessi servizi digitali basandosi su hardware sostanzialmente diversi ed il cui approccio durante l’analisi forense, quindi, deve essere differente;

- la continua produzione di nuovi cellulari e smart phone [25], ciò per gestire un mercato saturo in cui creare nuovi look o particolari servizi è l’unico modo che hanno le ditte costruttrici per sopravvivere.

I principi del forensic computing, quali l'immodificabilità dei dati del reperto, limitare l'accesso diretto sulla scena del crimine, il logging delle attività di indagine, devono comunque essere seguiti anche nel repertamento ed analisi dei cellulari.

Il repertamento sulla scena del crimine

Lo spegnimento del dispositivo, seppur in molti casi impiegato con ottime garanzie per tutti (si ricordi che spegnere e sigillare il dispositivo equivale anche ad impedire che chiunque vi acceda fisicamente compiendo eventualmente danni), non è l’approccio migliore in assoluto e sicuramente non è quello che fornisce i risultati delle analisi nel più breve tempo possibile. Questo in quanto:

il sistema spento potrebbe chiedere, in fase di riattivazione, un PIN;

la batteria tenderà a scaricarsi lentamente fino ad esaurirsi da cui la necessità di procedere all’acquisizione del relativo alimentatore;

le batterie possono essere più di una ed alcune di esse, se rimosse o esaurite possono determinare perdite definitive di dati.

Nell’ottica di trovare un’alternativa l’accesso nell’immediato di un tecnico specializzato al dispositivo non disattivato sarebbe ottimale, a patto che il tutto avvenga in una camera schermata. 

A questo proposito sono stati realizzati diversi dispositivi negli ultimi anni di grande utilità per l’analisi real-time ed il trasporto. Ad esempio le Jamming device [26], tende di Faraday [27] e contenitori schermati [28].

L'Analisi del contenuto

I metodi per l’analisi delle SIM e degli smart phone sono in continuo aggiornamento e sono implementati mediante sia strumenti hardware che software. Diviene importante ai fini dell’analisi capire di che tipologia di telefono mobile si ha a disposizione ed impiegare metodi e strumenti adeguati al fine di rilevare velocemente le informazioni più opportune. A questo proposito si dividono i dispositivi mobili fondamentalmente in 3 categorie:

Basic phone: implementa i servizi di SMS e chiamata vocale;

Advanced phone: implementa i servizi del basic più gli EMS , una forma di chat basata su SMS, un collegamento ad un email server per la gestione di una particolare casella e la navigazione su WAP;

High End phone: allarga i servizi degli advanced al più ampio spettro del full instant messaging (IM) supportando uno specifico applicativo come client software, del multimedia messaging con gli MMS, della posta elettronica supportando i protocolli POP /IMAP ed SMTP nonché la possibilità di navigazione reale su Internet mediante HTTP.

Per ognuna di queste categorie di telefono si deve procedere ad una tipologia di analisi differente perché molto diverse sono le informazioni evidenti e nascoste rilevabili. Gli smart phone sono ovviamente high end phone per cui richiedono l’analisi più avanzata.

I removable media

Le media card eventualmente presenti nella maggioranza dei casi supportano un file system di tipo FAT, tipico dei primi sistemi MS-DOS e Windows, per cui sufficientemente arcaico e conosciuto da poter essere affrontato efficacemente con i consolidati prodotti del forensic computing.

Le SIM/USIM

Al contrario delle media card le SIM sono unità altamente standardizzate, con un contenuto uniforme e protocolli di interfacciamento ben noti. Per questo motivo sono nati dei tool software che operano attraverso lettori di smart card i quali sono in grado di copiare i dati di basso livello della SIM per poi interpretarli fornendo informazioni utili all’investigatore tecnico.

L'hardware del telefono (terminale radiomobile)

L’analisi dell’hardware del cellulare o smart phone, escludendo SIM e media card, rimane l’attività più complessa ma anche quella che produce mediamente una notevole mole di risultati investigativi.

L'analisi può essere condotta su tre livelli possibili e precisamente:

(1) non invasiva: copia dei dati e ricostruzione mediante interfaccia specializzata che collega il terminale radiomobile ad un PC il quale, con un software speciale prende il comando del sistema embedded - è un'ottima modalità per rilevare dati cancellati (es. SMS, MMS, ecc.);

(2) semi-invasiva: in camera schermata impiegando l’interfaccia del sistema mobile che opera sulla SIM/USIM inserita ed operativa - metodo sicuro e veloce ma limitato riguardo la varietà dei dati estraibili;

(3) invasiva: copia dei dati mediante estrazione fisica dei chip di memoria - ottima e completa, soprattutto in presenza di sistemi danneggiati, ma difficilmente di natura ripetibile.