iRecovery Forensics e i Servizi di Mobile Forensics

Cos’è la mobile Forensics?

“La Mobile Forensics è la scienza che si occupa di recuperare prove digitali da un dispositivo mobile, usando dei metodi che non compromettano il loro stato probatorio”

La Mobile Forensics è una scienza digitale sempre più utilizzata in campo civilistico e penalistico. Al giorno d’oggi tutti possiedono un telefono, un notebook o un apparato mobile come per esempio un Tablet. Tutte queste tecnologie sono alla portata di tutti e sono grandi contenitori di informazioni non solo per l’utente che le utilizza ma anche per chi ne deve ricavare prove certe e concrete a fini legali.

 

datos-smartphone-irec

 

iRecovery è in grado di fornire servizi di Mobile Forensics a 360° su tutti i dispositivi primi tra tutti Smartphone e Tablet.

In questo breve articolo vogliamo illustrarvi alcuni dei principali servizi che iRecovery Forensics è in grado di offrire nel mercato.

Acquisizione Logica : la metodologia dell’acquisizione logica consiste appunto nell’ effettuare una copia identica all’originale ed identificazione univoca mediante calcolo Hash (Md5 o SHA256) di tutti i files VISIBILI contenuti all’interno di un telefono cellulare ( memoria interna e scheda di memoria aggiuntiva ). In questo modo è possibile catalogare ed aggiungere come Evidenza le prove contenute all’interno del dispositivo. Con questa modalità di acquisizione forense non è possibile recuperare i dati cancellati dal dispositivo mobile ( immagini, sms, etc etc).

Acquisizione del Sistema operativo del Dispositivo : ( File System Dump) con questo particolare tipo di acquisizione siamo in grado di poter catalogare e recuperare , oltre tutte le informazioni VISIBILI, contenute nel telefono ,anche tutte le informazioni contenute all’interno del sistema operativo non ancora rimosse o sovrascritte; in pratica il sistema operativo del dispositivo mobile viene recuperato completamente ed assieme ad esso anche tutte le informazioni in esso contenute ; con questa modalità di acquisizione non è possibile acquisire i dati cancellati dal dispositivo ; tuttavia è possibile recuperare tutte le informazioni non cancellate che non vengono più mostrate all’utente da parte del dispositivo mobile.

 

irecovery smartphone

Acquisizione fisica dell’intera memoria del dispositivo(Physical dump of the memory). Questa modalità di acquisizione consiste nell’effettuare una copia BIT A BIT dell’intera memoria del dispositivo mobile.

Grazie a questa particolare tecnica di acquisizione è possibile recuperare , oltre tutte le informazioni visibili contenute nel telefono, anche tutte le informazioni CANCELLATE ( quali immagini, sms, rubrica, chiamate) ancora presenti in memoria e non ancora sovrascritti. Il Physical dump della memoria è sicuramente la metodologia di acquisizione più completa e più accurata in quanto vengono repertate tutte le informazioni contenute all’interno della memoria del dispositivo.

Grazie poi all’utilizzo di ulteriori tecnologie HW e SW è possibile effettuare una ricostruzione delle informazione denominata Carving ed attualmente utilizzata con successo in ambito di Digital Forensics; tramite l’utilizzo di questa tecnologia è infatti possibile ricostruire interi files partendo dai frammenti ” apparentemente ” inutili presenti nelle memorie di massa; le memorie di massa infatti molto spesso contengono moltissimi frammenti dei files precedentemente archiviati su di esse.

Acquisizione forense SIM CARD : con questa procedura è possibile acquisire le sim/USIM(Micro SIM/USIM card e le principali informazioni relative ad esse ( IMSI/ICCID..etc etc ). E’ possibile anche recuperare i contenuti quali Rubrica , sms, e lista delle chiamate.

In alcuni casi è anche possibile recuperare informazioni cancellate dalla Sim quali chiamate oppure SMS.

 

Recupero Dati Sim Card

Replicazione Forense della SIM/USIM/Micro SIM/USIM Card) : con questa modalità è possibile replicare il contenuto non protetto della card (IMSI/ICCID) su una card differente; la card potrà essere poi utilizzata per poter accendere in modalità sicura i dispositivi che richiedono appunto la SIM card per poter essere operativi e quindi acquisiti e consente all’operatore di poter acquisire le informazioni relative alla scheda SIM originale contenute nel telefono come ad esempio la lista chiamate; infatti se venisse utilizzata una scheda sim “normale ” differente dall’originale (Evidenza) comporterebbe la perdita delle informazioni contenute nel telefono legate alla sim originale;

N.B: la replicazione forense della scheda non prevede l’acquisizione dell’area protetta della scheda SIM/USIM (Rubrica/SMS/Contatti). I sistemi utilizzati NON consentono di poter recuperare il codice di blocco PIN delle SIM/USIM cards.

ANALISI DEI TABULATI : Qualora sia poi interesse della Procura , siamo in grado di mettere a disposizione della P.G. un potente strumento per l’analisi e le ricerche dei dati all’interno dei Tabulati telefonici garantendo un’accuratezza dei risultati elevatissima, indipendentemente dal gestore telefonico; siamo in grado di poter effettuare un’accurata Lynk analysis grazie agli strumenti hw e sw di cui disponiamo.

Le attività sopra descritte vengono effettuate mediante l’utilizzo di personale altamente qualificato e mediante l’utilizzo degli strumenti Hw e Sw ritenuti più validi dalle organizzazioni internazionali specializzate in ambito di digital Forensics (quali ad esempio il NIST americano che di continuo testa e fa recensioni sui prodotti tecnologici ritenuti più validi dalla comunità scientifica).

I prodotti utilizzati per le attività di Mobile Forensics sono:

U.F.E.D. Prodotto dalla Cellebrite, azienda istraeliana leader mondiale in ambito di prodotti relativi a Mobile Forensics. Attualmente UFED è il prodotto che garantisce la maggior compatibilità con i dispositivi tipo mobile.

Celldek prodotto da Logicube, azienda americana leader mondiale in ambito Digital Forensics.

Device SEIZURE prodotto dalla Paraben , azienda americana molto apprezzata per essere stata tra le prime aziende in ambito Mobile XRY/XACT di Microsystemation, azienda svedese molto apprezzata in Europa per essere stata la prima ad aver implementato il physical dump dei cellulari.

iRecovery Forensics

Vi informiamo che la ns. Struttura è partner esclusiva di Cellebrite per quanto riguarda l’Italia e che siamo l’unica struttura riconosciuta da Cellebrite in grado di poter istruire il personale addetto all’utilizzo di Ufed sul territorio Italiano. (Cellebrite certified examiners and cellebrite certified trainers). Siamo anche impegnati nel continuo sviluppo del prodotto Ufed e possiamo garantire il supporto del produttore in caso di necessità ( ad esempio per l’implementazione e lo sviluppo di cavi o sw. Specifici non ancora supportati..vedasi ad esempio il caso di Garlasco per il quale è stato prodotto apposito cavo e compilato apposito sw. In meno di quindici giorni.

www.irecoverydata.com