19/10/2020

Crittografia e Sicurezza Mobile: Dalla “Scatola Aperta” alla Fortezza Digitale (e come entrarci)




Se vent’anni fa analizzare un telefono cellulare significava leggere una memoria quasi in chiaro, oggi fare Mobile Forensics significa affrontare una delle sfide crittografiche più complesse al mondo.

La sicurezza degli smartphone non è nata dal nulla. È il risultato di una continua evoluzione tecnologica che ha trasformato semplici dispositivi di comunicazione in “caveau per dati”1. Per il consulente tecnico forense, comprendere come i dati vengono scritti, cancellati e protetti non è accademia: è l’unico modo per scegliere la tecnica di estrazione vincente, che sia via software o intervenendo direttamente sull’hardware.

 

1. La Natura del Dato: Scrittura e (Finta) Cancellazione

 

Per capire come recuperare un dato, bisogna prima capire come vive nella memoria. Immaginiamo la memoria come una tabella di celle dove scriviamo 0 o 12.

Un concetto fondamentale che ogni perito deve spiegare al cliente è che l’operazione di cancellazione, essenzialmente, non esiste33.

  • Cancellazione Parziale (Standard): Quando un utente elimina un file, il sistema rimuove solo l’indirizzo di allocazione dalla “mappa” della memoria. Il dato resta lì finché non viene sovrascritto4444.

     

  • Cancellazione Totale (Wiping): Avviene solo con una formattazione a basso livello o sovrascrittura completa (bit a zero), rendendo il recupero impossibile5.

     

Se il dispositivo non è stato sovrascritto, il dato è ancora lì. La sfida è superare le barriere che lo proteggono.

2. L’Evoluzione della Sicurezza: FDE vs FBE

 

La barriera principale oggi è la crittografia. Non basta più accedere al chip di memoria; bisogna possedere la chiave per decifrarne il contenuto. Ecco come si sono evoluti i sistemi6:

 

A. Full Disk Encryption (FDE) – La “Cassaforte Unica”

 

Utilizzata fino ad Android 6, questa tecnica cripta l’intera partizione /userdata con un’unica chiave7.

 

  • Funzionamento: Utilizza algoritmi come AES a 128 bit. La chiave è generata dal dispositivo a ogni formattazione8888.

     

  • Il Limite: È un sistema “tutto o niente”. Una volta avviato il sistema, la partizione è accessibile.

B. File Based Encryption (FBE) – La “Sicurezza Granulare”

 

Introdotta con Android 7 e standard su iOS da anni, cifra ogni singolo file con una chiave diversa9999.

 

  • Direct Boot: Permette al telefono di avviare servizi essenziali (sveglie, chiamate) in una modalità limitata prima ancora che l’utente inserisca il PIN, mantenendo però i dati utente (Credential Encrypted) completamente bloccati10.

     

  • Secure Enclave/TrustZone: Le chiavi non sono nel sistema operativo, ma custodite in coprocessori hardware dedicati, rendendo gli attacchi brute-force estremamente difficili11111111.

     

3. Il Protocollo Operativo: Le Tecniche di Estrazione del Perito

 

Come interveniamo su questi dispositivi? Non esiste un solo metodo. Il perito esperto scala la gerarchia delle tecniche in base al danno del dispositivo e al livello di sicurezza.

Livello 1: Estrazioni Software (Non Invasive)

 

  • Estrazione Logica: La più semplice. Si interroga il sistema operativo tramite API per ottenere contatti, SMS e registro chiamate. Non permette il “carving” (recupero dati cancellati)12.

     

  • Estrazione File System: Copia i file e le cartelle visibili. Anche qui, niente recupero profondo dei dati cancellati se non presenti nei database esistenti (es. SQLite)13.

     

Livello 2: Estrazione Fisica e Tecniche Hardware (Le “Armi Pesanti”)

 

Quando il software non basta, o il dispositivo è danneggiato, entra in gioco il laboratorio hardware. L’obiettivo è ottenere un Physical Dump (copia bit-a-bit) per bypassare i blocchi e tentare il carving14.

 

A. Tecnica ISP (In-System Programming)

 

È una procedura chirurgica per dispositivi che non si avviano ma hanno la scheda madre integra.

  • Come funziona: Si saldano dei micro-fili su punti specifici della scheda madre (Test Point) per collegarsi direttamente al controller della memoria eMMC/UFS151515.

     

  • Vantaggio: È poco invasiva. Il telefono può essere riparato e tornare a funzionare dopo l’estrazione16.

     

B. Tecnica Chip-Off

 

È l’ultima spiaggia per schede madri gravemente danneggiate (es. spezzate o corrose).

  • Come funziona: Si dissalda fisicamente il chip di memoria dalla scheda madre utilizzando stazioni ad aria calda e lo si inserisce in un lettore specifico17.

     

  • Rischio: È distruttiva e rischiosa (shock termico al chip), ma spesso è l’unico modo per leggere i dati “grezzi”18.

     

C. Tecnica dello Swap (Trapianto)

 

Con le moderne crittografie hardware, leggere solo il chip di memoria spesso non serve (i dati resterebbero criptati).

  • La Soluzione: Si esegue un trapianto completo. Si spostano CPU, Memoria e Chip di Sicurezza dalla scheda madre distrutta a una scheda “donatrice” funzionante. Se il trapianto riesce, il dispositivo si accende e i dati vengono decriptati dall’hardware originale19191919.

     

Checklist Operativa: Valutazione del Caso Forense

 

Da utilizzare per determinare la strategia di recupero più efficace.

Fase Verifica Azione Tecnica Consigliata
1. Diagnosi Iniziale Il dispositivo si accende?

SÌ: Procedere con acquisizione Software (Logica/Fisica tramite exploit).


NO: Valutare danno hardware (ISP o Chip-off)20.

 
2. Tipo di Danno Danno Logico o Fisico?

Logico: (es. cancellazione, bootloop) Tentare recupero software o carving su dump fisico21.

 


Fisico: (es. rottura) Recupero possibile tranne se il chip di memoria è spezzato22222222.

 
3. Crittografia Android < 6 o > 7?

< 6 (FDE): Possibile tentare il brute force offline se si ha il dump fisico.


> 7 (FBE/Secure Boot): Necessario mantenere vivo l’hardware originale (Swap) per decriptare23232323.

 
4. Scelta Tecnica ISP vs Chip-off

Usare ISP se la mainboard è viva (non distruttivo)24. Usare Chip-off solo se la board è morta ma il chip è integro25.

 
5. Integrità Boot dm-verity fallito?

Se il dispositivo mostra errori di “dm-verity”, il sistema è stato modificato (root/manomissione). L’avvio viene bloccato per sicurezza26262626.

 

Conclusione

 

Il recupero dati forense non è magia: è scienza applicata. Che si tratti di interpretare un database SQLite o di saldare fili sottili come capelli su una scheda madre27, l’obiettivo resta uno solo: trasformare frammenti di bit in prove leggibili.

In un mondo dove i produttori blindano i dispositivi con Secure Enclave e crittografia biometrica, la competenza hardware del perito è diventata importante quanto quella informatica.

FABRIZIO

Articoli recenti