Pratica ormai diventata uno standard nella cosiddetta mobile forensics, l’acquisizione forense di smartphone, cellulari, telefonini e tablet con il fine di ottenere prove digitali a valore legale è uno dei servizi storicamente offerti dallo Studio. Che si tratti di processo civile o penale oppure di attività stragiudiziale, è strategico poter disporre di una copia forense dell’intero contenuto dello smartphone a fini probatori e investigativi. Tale copia viene chiamata anche copia forense o copia conforme o ancora copia bitstream.
L’acquisizione forense degli Smartphone in qualità di prova digitale viene realizzata tramite strumentazione certificata e aderendo alle pratiche e standard approvati dalla comunità scientifica forense. I software utilizzati dallo Studio vanno da Cellebrite UFED o Micro Systemation XRY a Lantern, Oxygen Forensics o MobilEdit.
Il prodotto dell’acquisizione forense di un cellulare è il suo intero contenuto estratto in modo certificato per utilizzo in Tribunale e a fini legali, eventualmente con perizia che ne attesti le fasi di copia conforme, i procedimenti e gli strumenti utilizzati accompagnati dalla catena di conservazione delle evidenze digitali e dei reperti.
La maggior parte degli smartphone possono essere acquisiti utilizzando almeno una delle tre modalità note per eseguire acquisizioni e copie forensi di telefonini:
- fisica: l’acquisizione in modalità “physical” prevede la clonazione integrale dell’intero contenuto della memoria flash del dispositivo, incluse le aree non allocate dove possono essere ancora presenti dati cancellati ma non ancora rimossi o sovrascritti;
- filesystem: l’acquisizione in modalità “filesystem” permette di copiare in maniera certificata i file presenti sulla memoria del telefonino ma non le aree libere, quelle cioè dove potrebbero trovarsi dei file cancellati ma ancora recuperabili;
- logica: l’acquisizione in modalità “logical” è la più blanda e l’estrazione dei soli dati applicativi (elenco chiamate, SMS, chat, foto, video, etc…) senza acquisire né database (sqlite) né file di configurazione (plist, bplist, xml, etc…).
Tramite opportune metodologie e strumenti è possibile ottenere una duplicazione forense certificata a valore legale anche di dispositi rotti, che non si accendono o difettosi. Chip-Off, Flasher Box e JTAG permettono infatti di bypassare il Sistema Operativo dei telefonini arrivando ad accedere alla memoria flash anche in caso di malfunzionamento hardware.
Il prodotto finale dell’acquisizione forense di smartphone, cellulari, tablet o iPad che viene consegnato al cliente consiste nei seguenti elementi:
- la copia forense a uso legale per utilizzo in Tribunale o in cause civili, penali o stragiudiziali, certificata temporalmente tramite apposizione di marca temporale e data certa, realizzata tramite metodologie d’informatica forense e strumentazione valida per garantire che la prova digitale sia il più completa possibile (es. UFED Cellebrite, Oxygen Forensics Detective, Magnet Axiom, etc…);
- il verbale di acquisizione forense contenente i valori hash relativi all’immagine forense del dispositivo acquisito in copia, che circostanzia il dispositivo duplicato in maniera forense e descrive il procedimento utilizzato e la strumentazione impiegata, firmato dall’operatore che ha eseguito la copia conforme dello smartphone;
- un ambiente di analisi completo e funzionale per eventuali ulteriori attività investigative, esplorative o di reportistica, in sostanza un software che il cliente può utilizzare per “aprire” la copia forense eseguita, sfogliarne il contenuto, ricercare tra messaggi, email, immagini, video o dati presenti sul dispositivo ma anche eventualmente quelli cancellati, al fine di analizzarli ulteriormente, filtrarli, organizzarli, esportarli su file o stamparli su carta o PDF per produrre memorie, ulteriori relazioni o analisi investigative di parte.