Con l’avanzamento delle tecnologie informatiche, diventa sempre più importante l’incremento della criminalità organizzata che opera sfruttando la tecnologia, il web e i social-network. Per poter reprimere questo genere di crimini corre in aiuto l’Informatica Forense, che costituisce l’insieme di tutte quelle azioni che consentono a tecnici formati di prevenire e reprimere i cybercriminali.

L’Informatica Forense è una branca dell’Informatica che si occupa della raccolta di prove concernenti crimini informatici o non. Attraverso l’uso di strumentazioni software e hardware, l’informatico forense ha la possibilità di fornire aiuto alle Forze dell’Ordine nella fase di ricerca delle prove e documentazione di queste ultime: per poter fare questo il tecnico si avvale di potenti software in grado di estrarre dai dispositivi mobili (o direttamente da quelli di memorizzazione), una serie di prove che si possono utilizzare in Tribunale davanti al Giudice per poter accusare o difendere.

Ad esempio se si dovessero cercare delle prove per incriminare una persona, indagata per associazione a delinquere, si potrebbe cominciare a cercare prove dal suo smartphone o computer come chat di whatsapp, messaggi SMS o MMS, email scambiate anche con un suo eventuale complice ecc…

In questo caso il tecnico forense come prima cosa deve mettere il dispositivo offline, disattivando la connessione “Wi-fi” e l’eventuale “connessione dati”, ossia i dati mobili per la navigazione in rete e successivamente spegnerlo; al termine di tali attività deve rimuovere la SIM. Tutte queste semplici operazioni consentiranno al tecnico di prevenire ed evitare eventuali operazioni di ripristino del dispositivo “sottoposto a sequestro” da remoto: esistono potenti software, o anche semplicissime applicazioni scaricabili in pochi secondi su un altro dispositivo (una tra queste è “trova il mio telefono” di Google), che inserendo semplicemente lo stesso account Google del dispositivo “sequestrato” ne consente un ripristino ai dati di fabbrica; ciò comporterebbe la definitiva perdita di ogni singolo bit di dato memorizzato e di conseguenza l’impossibilità per qualunque tecnico di accedere alla memoria del dispositivo.

A questo punto si può procedere con la vera e propria “estrazione” dei dati: tale passaggio avviene tramite un software (ne esistono molti, io ne cito solo uno) che ad esempio può essere “UFED Cellebrite”, il quale consente di effettuare le copie forensi dei dispositivi mobili (Android, IOS, Windows Phone), dei navigatori, dei droni, delle SIM-Card, schede di archiviazione e supporti di archiviazione USB.

Questi strumenti sono utilizzati per estrapolare in modalità Fisica, File System o Logica la memoria interna del dispositivo, garantendone l’autenticità e calcolandone i codici HASH di controllo. È indubbio che l’acquisizione presenti delle criticità notevoli ma, come si è evidenziato, utilizzando adeguata tecnologia e seguendo le procedure indicate dalle migliori pratiche forensi, risulta possibile effettuare una copia in termini di assoluta ripetibilità. La ripetibilità non è altro che la possibilità di effettuare una copia successiva sul dispositivo, e i risultati dei codici HASH devono corrispondere. Gli algoritmi di HASH, in particolare MD5 e SHA256, sono largamente utilizzati nell'ambito dell'informatica forense per validare e in qualche modo "firmare" digitalmente i dati acquisiti, tipicamente le copie o singoli file. La recente legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali modifiche successive all'acquisizione.

Tramite i codici HASH è possibile in ogni momento verificare che quanto reportato sia rimasto immutato nel tempo. Se i codici HASH corrispondono, entrambe le parti in un procedimento giudiziario hanno la certezza di poter lavorare sulla stessa versione dei reperti, garantendo quindi un’uniformità di analisi e in genere di risultati.

Le varie tipologie di estrazioni fattibili su un dispositivo possiamo immaginarle come tre strati che costituiscono la memoria (dallo strato più superficiale costituito da dati utente, a quello più “profondo” che contiene dati anche non visibili all’utente). Di seguito un esempio di suddivisione degli strati di memoria del dispositivo:

1. 1.     

   Acquisizione Logica Avanzata

La modalità di acquisizione Logica Avanzata estrae dal dispositivo solamente i file presenti e visibili al sistema operativo, senza eseguire alcuna operazione di recupero dei dati cancellati dalla memoria stessa. Anche per le SIM Card dei vari operatori, questo tipo di estrazione acquisisce e recupera le informazioni come: contatti, registri delle chiamate, SMS, ICCID, IMSI.

1. 2.      

   Modalita File System

La modalità di acquisizione file system permette la copia dei file integrati nella memoria di un dispositivo. Il file system può contenere file di sistema nascosti non visibili con un’estrazione logica. Ottiene l’accesso a tutti i file presenti nello spazio allocato, inclusi immagini, video, file di database, file di sistema e registri; la maggior parte dei dati delle applicazioni integrate e dell’utente vengono memorizzate nei file database, che vengono estratti insieme alle parti cancellate presenti negli stessi. Un esempio possono essere le chat cancellate che risultano ancora presenti nei database, e quindi recuperate.

1. 3.      

   Modalità fisica

La modalità di acquisizione fisica permette la copia bit-a-bit di tutte le zone e le partizioni dell’intera memoria, incluso lo spazio non assegnato, questa è sicuramente la modalità più avanzata, efficace e valida in ambito giudiziario. Per quanto riguarda smartphone e tablet con Android, solitamente si svolge con il dispositivo in modalità “Download” o “Fastboot”, proprio per questo motivo, per svariati modelli è anche possibile bypassare il codice di sblocco se dovesse essere presente. Quello che si ottiene eseguendo l’acquisizione in questa modalità è un dump della memoria che andrà poi analizzato con i classici strumenti di analisi della Mobile Forensics.