I 7 metodi maggiormente utilizzati dagli investigatori per catturare i criminali tramite la forensics dei dispositivi mobili

Questo post è stato tradotto, previa autorizzazione, di SANS Computer forensics

I dispositivi mobili odierni sono un’arma a doppio taglio: creano nuovi rischi per la sicurezza ma allo stesso tempo forniscono preziose fonti di prova agli investigatori della digital forensics. Le capacità sempre crescenti di tali dispositivi, li rendono sempre più simili ai personal computer, che ci accompagnano durante la nostra esplorazione del mondo. Gli investigatori possono utilizzare le informazioni memorizzate per ricostruire i nostri movimenti, le comunicazioni e altri dettagli personali.

Se si ha la necessità di estrarre informazioni da telefoni cellulari, smartphone e altri dispositivi mobili, o se si è preoccupati per la sicurezza dei propri dati; in questo post sono presenti alcune informazioni importanti.

Bypassare i codici di sicurezza : gli investigatori della digital forensics sono in grado di estrarre il codice di sicurezza di alcuni dispositivi mobili protetti, utilizzando strumenti specializzati.
La schermata seguente mostra il codice di sicurezza “12345” recuperato da un Nokia 6230 utilizzando .XRY (l’identificativo dell’abbonato è stato rimosso).

Essere in grado di aggirare i meccanismi di sicurezza, consente agli investigatori di acquisire i dati tramite il software forense.

Codice di sicurezza Nokia 6230 recuperato tramite .XRY

Safe SIM Card: Inserire una carta SIM in maniera errata in un telefono cellulare, distrugge alcuni dati utili in memoria.
Per evitare simili problemi, gli investigatori sono in grado di creare Safe SIM Card, progettate per l’analisi forense.

Acquisizione Live : La rimozione della batteria prima di eseguire un’acquisizione forense, può distruggere prove preziose.
In alcuni casi, per garantire che tutte le prove disponibili siano preservate, l’investigatore lascerà il dispositivo portatile acceso fino a quando l’acquisizione forense non potrà essere effettuata; prendendo le precauzioni necessarie, atte ad impedire che i dati possano essere modificati.

Trusted Time Source: anche se il clock sul dispositivo non è impostato correttamente, alcuni time stamp possono essere corretti; visto che sono generati dal sistema sul core network. Ad esempio, il timestamp di un messaggio SMS ricevuto, è stabilito dallo Short Message Service Center, non dal telefono cellulare.

Localizzazione degli spostamenti : Alcuni dispositivi memorizzano le informazioni basate sulla posizione geografica, associate ad alcuni mezzi di comunicazione ed azioni, sul dispositivo stesso.
Gli investigatori possono recuperare tali informazioni per rilevarne la posizione in un determinato momento. Ad esempio, la seguente schermata mostra i metadati exif estratti utilizzando JPEGsnoop da una fotografia digitale scattata utilizzando un dispositivo mobile G1. Questi metadati includono la data e l’ora della foto e le coordinate GPS della località (i dettagli relativi allla località sono stati eliminati ).

JPEGsnoop utilizzato per estrarre dati Exif tramite tag GPS da una fotografia digitale

Recupero dei dati eliminati : Quando l’utente cancella il log delle chiamate, può essere recuperabile con relativa facilità. Quindi anche se i log delle chiamate non vengono visualizzati, gli investigatori potrebbero essere in grado di visualizzare i dettagli delle chiamate effettuate, ricevute e perse, utilizzando strumenti facilmente reperibili.

Getting Physical : Gli investigatori possono recuperare grandi quantità di dati cancellati da diversi dispositivi mobili, tramite l’acquisizione e l’analisi dell’intero contenuto della memoria. Questa schermata mostra l’acquisizione della memoria fisica di un Nokia 6610, tramite l’applicazione di Sarasoft, Twister flasher box.

Dump della memoria fisica di un Nokia 6610, utilizzando Twister flasher box di Sarasoft

I dati eliminati, come fotografie, log delle chiamate e le tracce delle attività dell’utente (ad esempio, la navigazione Web e la visualizzazione di file) recuperate da un dispositivo mobile possono fornire agli investigatori alcune tra le più utili ed incriminanti prove di un caso.

Per imparare queste ed altre tecniche relative alla forensics dei dispositivi mobili, iscrivetevi al SEC563 Mobile Device forensics di Baltimora, 27-31 luglio ( Iscrivetevi qui ).

Si tratta di un corso tecnico intensivo, con numerosi esercizi pratici per familiarizzare con il funzionamento interno dei vari dispositivi mobili e mostrare vantaggi e limiti dei vari approcci e strumenti. Non solo dimostreremo lo stato dell’arte per quanto riguarda gli strumenti e le tecniche della mobile forensics; ma sveleremo lentamente i vari livelli delle prove digitali per mostrare ciò che accade dietro le quinte. In questo modo, otterremo una conoscenza più approfondita delle informazioni necessarie alle indagini.

SEC563 - Mobile Device Forensics

Eoghan Casey è founding partner di cmdLabs (http://www.cmdlabs.com/), autore del libro “Digital Evidence and Computer Crime” e coautore di “Malware Forensics”.
Ha partecipato ad una vasta gamma di indagini digitali, inclusi casi di intrusioni di rete, frode, crimini violenti, furto d’identità ed attività criminali on-line. Ha testimoniato in materia civile e penale, ha presentato relazioni tecniche e documenti prodotti in giudizio, relativamente alla computer forensics ed in casi di criminalità informatica.

Fonte: Top 7 ways investigators catch criminals using Mobile Device Forensics

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.