Impatto delle funzionalità di sicurezza sulla Digital Forensics dei dispositivi mobili moderni: sfide e soluzioni per l’acquisizione di dati crittografati
Introduzione:
La Digital Forensics è un campo in rapida evoluzione che richiede competenze specializzate per affrontare le sfide sempre più complesse dell’era digitale. Uno degli aspetti critici nella Digital Forensics è l’acquisizione di dati da dispositivi mobili moderni, che spesso implementano sofisticate misure di sicurezza per proteggere la privacy degli utenti e i dati sensibili. Tra queste misure di sicurezza, la crittografia dei dati e altre funzionalità di sicurezza giocano un ruolo fondamentale nel complicare le tradizionali tecniche di acquisizione forense dei dati.
Crittografia e funzionalità di sicurezza nei dispositivi mobili moderni:
Per proteggere la privacy degli utenti e garantire la confidenzialità dei dati, i moderni dispositivi mobili implementano tecniche di crittografia di default. In passato, le tecniche di crittografia venivano applicate a livello di singole applicazioni per proteggere i dati degli utenti. Tuttavia, con la crescente preoccupazione per la sicurezza e la privacy, la crittografia è stata implementata a livello di sistema con password univoche codificate che non sono accessibili neanche ai produttori di dispositivi. Di conseguenza, i dati del dispositivo mobile sono memorizzati in modo crittografato. I due tipi di schemi di crittografia più utilizzati sono la crittografia dell’intero disco (Full Disk Encryption, FDE) e la crittografia basata su file (File Based Encryption, FBE).
La FDE crittografa l’intera partizione dei dati dell’utente con una singola chiave di crittografia, mentre la FBE crittografa i dati per file con chiavi diverse, consentendo la decrittazione indipendente dei file. Le implementazioni di Apple utilizzano la FBE, mentre Android utilizza sia la FDE che la FBE, a seconda delle versioni del sistema operativo.
Oltre alle tecniche di crittografia, sono state implementate altre funzionalità di “sicurezza progettuale” nei dispositivi mobili moderni. Un esempio è la “Root of Trust” (RoT), che garantisce che solo componenti hardware e software autorizzati vengano eseguiti durante l’avvio del dispositivo. La “Trusted Execution Environment” (TEE) fornisce un ambiente isolato per i componenti critici per la sicurezza del sistema, separando un sistema operativo normale da un sistema operativo sicuro più piccolo, entrambi in esecuzione sull’hardware dello stesso dispositivo. Queste tecnologie contribuiscono a proteggere i dati degli utenti e le tecnologie proprietarie delle aziende produttrici dei dispositivi mobili.
Vuoi rimanere aggiornato sulle ultime tendenze e tecnologie nel campo della digital forensics e della mobile forensics?
Iscriviti alla nostra newsletter e ricevi informazioni esclusive, aggiornamenti sui nostri servizi e contenuti utili per il tuo lavoro.
Non perdere l’opportunità di essere sempre al passo con le ultime novità nel settore. Iscriviti ora e non perdere neanche una notizia!
Impatto delle funzionalità di sicurezza sulle tecniche tradizionali di acquisizione forense:
Come discusso, l’ampio utilizzo della crittografia e delle complesse misure di sicurezza nei dispositivi mobili moderni ha un impatto significativo sulla capacità delle tradizionali tecniche di acquisizione forense dei dati. Esamineremo l’efficacia del modello a cinque livelli delle tecniche di estrazione forense mobile alla luce di queste funzionalità di sicurezza.
Estrazione manuale: Per effettuare l’estrazione manuale su un dispositivo mobile moderno crittografato, l’esaminatore deve possedere le credenziali di autenticazione legittime dell’utente per sbloccare correttamente lo smartphone di destinazione. Anche in presenza delle credenziali di autenticazione corrette, l’accesso a meccanismi di sicurezza delle applicazioni può rappresentare una sfida.
Estrazione logica: Le stesse esigenze dell’estrazione manuale si applicano anche all’estrazione logica. Una volta ottenuto il controllo dei dati di destinazione con le credenziali di autenticazione corrette, l’esaminatore deve procedere alla modifica delle impostazioni di sistema per estrarre i dati logici tramite interfacce di connessione.
Dumping Hex/JTAG: Sebbene le interfacce di debug come JTAG siano ancora utilizzate, spesso sono disabilitate o bloccate prima della spedizione dei dispositivi. Pertanto, gli esaminatori potrebbero dover trovare un modo per utilizzare tali interfacce di debug per il dumping hex sul dispositivo di destinazione. Tuttavia, i dati fisici acquisiti sono in uno stato crittografato sui moderni smartphone, quindi sono necessarie procedure di decrittazione.
Chip-off: Il chip-off consente all’esaminatore di acquisire i dati fisici del dispositivo di destinazione aggirando il blocco del dispositivo. Tuttavia, i dati acquisiti sono illeggibili fino a quando non vengono decrittografati.
Micro Read: La lettura dei dati di memoria a livello di chip è possibile, ma la miniaturizzazione dei moderni processi di fabbricazione dei semiconduttori rende questa procedura impossibile. Inoltre, anche se l’esaminatore riesce ad estrarre i contenuti della memoria non volatile dal dispositivo mobile di destinazione, i dati sono crittografati.
Tecniche attualmente utilizzate per l’estrazione dei dati da dispositivi mobili crittografati:
In questa sezione, presenteremo le attuali tecniche di estrazione forense dei dati dai dispositivi mobili moderni crittografati, insieme ai loro svantaggi dovuti alle funzionalità di sicurezza dei dispositivi.
3.1. Estrazione manuale/logica: Se un esaminatore può ottenere le credenziali di autenticazione dell’utente richieste per sbloccare il dispositivo o se il dispositivo di destinazione non è bloccato, l’esaminatore può manipolare manualmente il dispositivo e procedere all’estrazione manuale o logica dei dati. Tuttavia, l’estrazione manuale può fallire se viene utilizzata una password di panico che cancella i dati o disabilita alcune funzioni del telefono. L’estrazione logica richiede anche la modifica delle impostazioni di sistema per acquisire i dati logici tramite le interfacce di connessione.
3.2. Estrazione del file system: L’estrazione del file system consente agli esaminatori di acquisire dati completi o parziali del file system attraverso metodi non distruttivi. Questa tecnica consente di acquisire dati relativi alle app, inclusi dati cancellati, accedendo a database correlati alle app e ai file di sistema.
3.3. Acquisizione dei dati cloud: I dati dei dispositivi mobili moderni vengono memorizzati non solo sul dispositivo fisico, ma anche sui server cloud forniti dai produttori o dai fornitori del sistema operativo. Se un investigatore può ottenere le informazioni necessarie per accedere al server cloud dal dispositivo di destinazione, può raccogliere le informazioni pertinenti.
3.4. Bypass del blocco del dispositivo/estrazione delle informazioni correlate al blocco: Per accedere ai dati dell’utente memorizzati nella memoria interna di un dispositivo bloccato e crittografato, spesso è necessario sbloccarlo con le credenziali di autenticazione dell’utente corrette. Tuttavia, esistono metodi per aggirare o disabilitare i meccanismi di blocco dei dispositivi moderni.
3.5. Estrazione dei dati fisici: L’acquisizione dei dati fisici del dispositivo consente agli esaminatori di aggirare il meccanismo di blocco e accedere direttamente ai dati interni. Poiché i dati acquisiti devono essere decrittografati, è necessario utilizzare metodi di reverse-engineering per identificare le procedure di decrittazione.
3.5.1. Chip-off fisico: L’analisi del chip-off prevede la rimozione fisica del chip di memoria del dispositivo di destinazione e l’estrazione dei dati interni per la successiva ricostruzione dei dati leggibili dall’uomo.
3.5.2. In-System-Programming (ISP): L’ISP consente l’estrazione fisica dei dati senza rimuovere fisicamente il chip di memoria dal circuito stampato del dispositivo. Questo metodo richiede la conoscenza delle caratteristiche elettriche del dispositivo e delle tecnologie di connessione.
3.6. Acquisizione dei dati con boot loader personalizzati: Se un esaminatore può caricare un boot loader personalizzato nel dispositivo di destinazione durante il processo di avvio, può eseguire il codice arbitrario per acquisire fisicamente i dati
Conclusioni
Conclusioni
La crittografia e le complesse misure di sicurezza implementate nei dispositivi mobili moderni rappresentano una sfida per le tradizionali tecniche di acquisizione forense dei dati. Gli esaminatori devono affrontare restrizioni di accesso ai dati crittografati, misure di sicurezza avanzate e funzionalità che impediscono il brute forcing dei dispositivi. Tuttavia, con l’uso di tecniche avanzate come l’estrazione del file system, l’acquisizione dei dati cloud e l’utilizzo di boot loader personalizzati, gli esaminatori possono superare queste sfide e acquisire con successo i dati dai dispositivi mobili crittografati.
In conclusione, nella Digital Forensics moderna, è fondamentale essere consapevoli delle complesse funzionalità di sicurezza implementate nei dispositivi mobili e utilizzare le tecniche di acquisizione forense appropriate per affrontare queste sfide in modo efficace. Solo attraverso un continuo aggiornamento delle conoscenze e l’applicazione di metodologie avanzate, gli esperti di Digital Forensics possono mantenere il passo con l’evoluzione delle tecnologie e svolgere un ruolo chiave nel garantire la sicurezza e la giustizia nella società digitale odierna.
Se hai esigenze di acquisizione forense da dispositivi, cloud o web puoi contattarci per un consulto gratuito.
Grazie.
