18/09/2020

L’Evoluzione della Mobile Forensics: Dal “Chip-Off” alla Fortezza Crittografica




I dispositivi mobili sono diventati estensioni indispensabili della nostra vita quotidiana e, di conseguenza, testimoni silenziosi delle nostre azioni. Che si tratti di un semplice telefono cellulare o di uno smartphone di ultima generazione, questi dispositivi sono “piccoli gioiellini in grado di far invidia a dei personal computer” e rappresentano oggi la principale fonte di prova nelle indagini giudiziarie.

 

 

Tuttavia, la disciplina della Mobile Forensics è cambiata radicalmente. Dieci anni fa, l’approccio era prevalentemente hardware: se avevi il chip di memoria, avevi i dati. Oggi, con l’avvento della crittografia avanzata, le regole del gioco sono state stravolte.

In questo articolo analizzeremo come siamo passati dalla lettura fisica delle memorie alla sfida contro le “fortezze digitali” di Apple e Google.

 

1. La Memoria Digitale: Come vive (e muore) un dato

 

Per capire come recuperare un’informazione, bisogna prima comprendere come è memorizzata. La memoria informatica è costituita da celle (indirizzi) dove vengono scritti i valori 0 o 1 (bit).

Queste memorie si dividono in:

  •  

    Volatili (RAM, Cache): Perdono i dati se manca l’energia.

     

     

  •  

    Non Volatili (Hard Disk, SSD, Flash): Conservano i dati anche a dispositivo spento.

     

     

 

Il mito della cancellazione

 

Un concetto fondamentale per ogni indagine è che “l’operazione di cancellazione del dato, essenzialmente non esiste”.

 

 

  • Cancellazione Standard: Il sistema rimuove solo l’indirizzo di allocazione dalla “mappa”. Il dato resta lì finché non viene sovrascritto da nuove informazioni.

     

     

  •  

    Cancellazione Totale (Wiping): Avviene solo tramite formattazione a basso livello o sovrascrittura completa (bit a zero).

     

     

Finché il dato non è sovrascritto, è recuperabile. La vera domanda è: siamo in grado di leggerlo?

 

2. L’Era dell’Hardware: Chip-Off e ISP (2010-2016)

 

Fino a qualche anno fa, quando la crittografia era assente o debole (come su Android < 4.0 ), se un dispositivo era danneggiato o bloccato, il perito agiva direttamente sull’hardware.

 

 

 

A. Tecnica ISP (In-System Programming)

 

Questa tecnica prevede di saldare dei micro-fili direttamente sulla scheda madre (Mainboard) per collegarsi al controller della memoria e leggere i dati grezzi.

 
 

 

  •  

    Vantaggio: È poco invasiva e permette spesso di riparare il dispositivo al termine dell’operazione.

     

     

 

B. Tecnica Chip-Off (“L’ultima spiaggia”)

 

Utilizzata quando la scheda madre è distrutta. Consiste nel dissaldare fisicamente il chip di memoria con stazioni ad aria calda e inserirlo in un lettore specifico.

 
 

 

  •  

    Rischi: È una procedura distruttiva e rischiosa per via dello shock termico.

     

     

  • Perché sta scomparendo: Su un iPhone moderno o un Android recente, leggere il chip di memoria grezzo restituisce solo dati criptati illeggibili. Senza la chiave di decifratura (che non è più nel chip di memoria), il dump è inutile.

 

C. Lo Swap (Il Trapianto)

 

Per aggirare i primi sistemi di sicurezza hardware, si ricorreva allo “Swap”: spostare CPU, memoria e chip di sicurezza da una scheda madre rotta a una “donatrice” funzionante13. Una tecnica complessa, precursore delle sfide odierne.

 

 

 

3. La Rivoluzione della Sicurezza: FDE vs FBE

 

Il grande spartiacque nella forense moderna è l’evoluzione della crittografia.

 

Il passato: Full Disk Encryption (FDE)

 

Tipica di Android fino alla versione 614. Era una “cassaforte unica”: una sola chiave apriva tutta la partizione utente (/userdata)15. Una volta avviato il sistema, tutto era accessibile.

 
 

 

 

Il presente: File Based Encryption (FBE)

 

Introdotta massicciamente da Android 7 in poi e standard su iOS16, questa tecnologia cifra ogni singolo file con una chiave diversa.

Questo ha introdotto il concetto di Hardware Root of Trust (Secure Enclave su Apple, Titan M su Android): le chiavi non sono più accessibili via software o leggendo la memoria, ma sono custodite in un processore separato inviolabile.

 

4. Il Nuovo Vocabolario del Perito: BFU e AFU

 

Oggi non chiediamo più se il telefono è “acceso”, ma in quale stato crittografico si trova.

 

BFU (Before First Unlock) – “Il Muro”

 

Il dispositivo è acceso, ma non è stato ancora inserito il PIN dopo il riavvio.

  •  

    Cosa succede: I file dell’utente sono protetti dalla classe Credential Encrypted17.

     

     

  • Risultato forense: È possibile estrarre pochissimo (info generiche, qualche log di sistema). Nessuna chat, nessuna foto.

 

AFU (After First Unlock) – “La Finestra”

 

L’utente ha inserito il PIN almeno una volta dopo l’accensione.

  •  

    Cosa succede: Le chiavi di decifratura sono state caricate nella RAM per permettere alle app di funzionare in background18.

     

     

  • Risultato forense: Sfruttando vulnerabilità software o tool avanzati (come Cellebrite Premium o GrayKey), è spesso possibile estrarre un Full File System anche senza conoscere il PIN, purché il telefono non si spenga.

Nota sulla Biometria: Impronte digitali e riconoscimento facciale sono “comodità”, non chiavi crittografiche. Dopo un periodo di inattività, il processore sicuro le disabilita e richiede obbligatoriamente il PIN per decifrare i dati.

 
 

 

 

5. Protocollo Operativo e Best Practices

 

Alla luce di questi cambiamenti, ecco come deve operare oggi un consulente tecnico per garantire l’integrità della prova e massimizzare le possibilità di recupero.

 

1. La Regola d’Oro: “Stay Alive”

 

Mai spegnere un dispositivo rinvenuto acceso. Spegnerlo significa portarlo dallo stato AFU (vulnerabile) allo stato BFU (blindato). Utilizzare sempre power bank durante il trasporto.

 

2. Isolamento (Faraday)

 

I comandi di cancellazione remota (“Wipe”) sono istantanei. Il dispositivo va posto immediatamente in Modalità Aereo o in una Faraday Bag per schermarlo dalla rete.

 

3. Scegliere l’Estrazione Giusta

 

Le vecchie estrazioni logiche (backup semplici) 20 sono insufficienti. L’obiettivo oggi è l’estrazione Full File System (FFS), l’unica che permette di accedere ai database Write Ahead Log (WAL) e recuperare le chat cancellate di WhatsApp o Telegram, che non apparirebbero in un’estrazione standard.

 

 

 

📋 Checklist Operativa: Valutazione Forense Moderna

 

Da allegare alla relazione tecnica per certificare la metodologia utilizzata.

Fase Verifica Tecnica Azione Consigliata (Best Practice 2025)
1. Primo Contatto Stato Dispositivo (AFU/BFU) Se AFU (acceso e sbloccato 1 volta), mantenere alimentato a tutti i costi. Non riavviare.
2. Integrità Schermatura Rete Isolare in Faraday Bag per prevenire Wipe remoto o alterazione dati cloud.
3. Diagnosi Hardware Chip-Off Possibile? NO su dispositivi moderni (Dati cifrati). solo su feature phone o dispositivi molto datati/non criptati.
4. Tipo Estrazione Logica vs Fisica/FFS

Puntare sempre alla Full File System. L’estrazione logica 21 perde i dati cancellati e i log di sistema.

 

 
5. Analisi Cloud Token nel Keystore Verificare se nel “portachiavi” estratto ci sono token di accesso per scaricare backup da cloud (spesso più facile che forzare il PIN).
6. Output Hash di Verifica

Calcolare sempre l’Hash dei file estratti per garantirne l’integrità legale in tribunale22.

 

 

 

Conclusioni

 

La Mobile Forensics si è evoluta da un lavoro di “saldatore e stagno” a una disciplina di intelligence e crittoanalisi. Le leggi fondamentali della memoria restano le stesse23, ma le barriere per accedervi sono diventate formidabili. Oggi il successo di un’indagine non dipende dalla forza bruta sull’hardware, ma dalla capacità di gestire lo stato del dispositivo e aggirare i suoi guardiani digitali.

FABRIZIO

Articoli recenti