Archivi tag: ufed

Seminario su smartphone forensics per AIEA a Torino

Venerdì 10 maggio 2019 dalle ore 11:30 alle 13:00 si terrà a Torino la Sessione di Studio con approfondimento sulle attività di perizia informatica e indagine digitale su smartphone e cellulari, dal titolo “Dammi il tuo smartphone e ti dirò chi sei…”. Il seminario si terrà presso il Collegio Universitario Renato Einaudi – Sezione Crocetta – in
Corso Lione 24, a Torino.

L’amico Mattia Epifani ci parlerà della storia della mobile forensics e di come si è evoluta fino ai giorni nostri, raggiungendo livelli di complessità notevoli dovuti al sempre più presente cloud, cifratura e protezioni da parte dei produttori che rendono difficile talvolta accedere ai dati delle applicazioni. Mattia Epifani mostrerà come è facile, su alcuni dispositivi, sbloccare la protezione del pin o della password di accesso e entrare nello smartphone potendone visionare e acquisire i contenuti nella loro interezza.

Il mio intervento verterà su alcuni esempi pratici di acquisizione di smartphone Android e iPhone tramite strumentazione open source, che seppur in modo limitato permette di raggiungere un buon livello di completezza e correttezza in termini informatica forense e livello di dettaglio. Mostrerò come è possibile, ad esempio, acquisire in maniera forense chat Whatsapp cifrate e decifrarle successivamente estraendo poi i messaggi o le conversazioni d’interesse, il tutto utilizzando strumenti gratuiti e open source come la live distro Tsurugi Linux per informatica forense.

Verranno infine presentate alternative alla mobile forensics tradizionale, come chip off, jtag, strumenti di sblocco di pin e password come Grayshift e CAS della società Cellebrite con approfondimenti sulle analisi di chat, social network e cloud.

Telegram aggiunge la possibilità di esportare le singole chat

Telegram ha da poco annunciato la possibilità di esportare una singola chat (ma anche gruppo, canale o bot) dal proprio profilo, includendo messaggi di testo, messaggi vocali, messaggi video, foto, filmati, stickers, GIF animate, vcard dei contatti, location e file allegati con un limite di 1.5 GB in totale. Vediamo come fare a esportare le proprie chat con relativi vantaggi, limiti e possibilità di utilizzo.

Continua a leggere→

Critical bug fix per Cellebrite UFED

La società israeliana Cellebrite, produttrice del noto sistema di mobile forensics “UFED” utilizzato dallo Studio per le attività di acquisizione forense da smartphone e perizia su cellulari e tablet, sta informando in questi giorni i suoi clienti con diverse email di segnalazione circa un importante aggiornamento rilasciato il 28 dicembre per i prodotti UFED Physical Analyzer, UFED Cloud Analyzer e UFED InField.

L’aggiornamento – o preventative hotfix – è dovuto al fatto che Cellebrite ha rilevato un bug nel meccanismo di verifica della data del software a causa del quale i software UFED Physical Analyzer, UFED Cloud Analyzer e UFED InField non decodificheranno più i dati dei dispositivi sottoposti ad acquisizione forense a partire dal 5 gennaio 2018, segnalando la mancata decodifica solamente nei file di log.

Il baco del software UFED della società Cellebrite – che interrompe la decodifica dei dati presenti nelle copie forensi acquisite dai cellulari, smartphone e tablet – e che richiede l’installazione del preventative hotfix ha effetto sulle versioni rilasciate successivamente a febbraio 2017, in particolare:

UFED Physical Analyzer, versioni 6.1 o successive;
UFED Cloud Analyzer, versioni 6.0.1 o successive;
UFED InField, versioni 6.1 o successive.

Per poter garantire la continuità delle operazioni di mobile forensics, è necessario installare una delle seguenti alternative:

Light hotfix: versione che aggiornerà tutte le istanze dei software installati su una specifica macchina, da scegliere per chi desidera mantenere la versione esistente dei software oppure per coloro la cui licenza è scaduta a febbraio 2017 nei mesi successivi;
New version update: consiste nel solo hotfix (versione 6.4.6 per UFED Physical Analyzer e UFED InField, versione 6.3.0.549 per UFED Cloud Analyzer).

Per procedere con l’aggiornamento l’hotfix per Cellebrite UFED è sufficiente accedere alla propria area My Cellebrite con le credenziali fornite in fase di acquisto e scaricare i software indicati dalla società israeliana.

La Cassazione sul valore legale delle chat Whatsapp nel processo

La Cassazione affronta, nella Sentenza n. 49016/2017 del 25 ottobre 2017, la questione della validità legale della trascrizione di chat Whatsapp a fini giudiziari, come prova in un processo, precisando che i messaggi Whatsapp possono essere considerati prova documentale ed essere utilizzati nel processo civile o penale solamente a certe condizioni.

Il caso sul quale si è espresso la Cassazione riguarda una denuncia per stalking, a seguito della quale la difesa dell’imputato avrebbe voluto depositare la trascrizione di messaggi provenienti da chat Whatsapp per dimostrare l’inattendibilità della persona offesa, ma la Corte Territoriale si è rifiutata di inserire tali elementi addotti dalla parte nel fascicolo.

Secondo la Cassazione, è corretto che la Corte Territoriale non abbia accettato il deposito della trascrizioni perché le chat Whatsapp hanno valore come prova informatica nel processo solamente se viene acquisito anche il supporto – telematico o figurativo – contenente la registrazione, essendo la trascrizione una semplice riproduzione del contenuto della principale prova documentale.

Il motivo della necessità di depositare il supporto è – stando alla Sentenza n. 49016/2017 del 25 ottobre 2017 della Cassazione – che questo permette di “controllare l’affidabilità della prova medesima mediante l’esame diretto del supporto onde verificare con certezza sia la paternità dell registrazioni sia l’attendibilità di quanto da esse documentato“.

Poiché non è sempre possibile depositare il dispositivo originale (per motivi legati alla privacy dei contenuti, indisponibilità dell’hardware, danneggiamento, perdita, etc…) e dato che ormai in ambito digitale non esiste più il concetto di “originale” dato che la copia forense di un dispositivo ha la stessa valenza probatoria del dispositivo, è possibile valutare il deposito della copia forense del dispositivo di registrazione (registratore digitale, smartphone, telecamera, etc…) così da conferire il valore legale di prova informatica e documentale al suo contenuto (registrazioni, filmati, messaggi SMS o Whatsapp, etc…).

Per completezza, oltre al deposito dell’acquisizione forense del contenuto del dispositivo dal quale si vorranno estrarre le prove informatiche, riteniamo sia essenziale depositare anche una relazione tecnica forense che attesti la metodologia e strumentazione utilizzata per la copia forense, l’assenza di tracce di alterazione o manipolazione ai dati che dovranno essere utilizzati in Giudizio e i criteri con i quali sono stati estratti gli elementi probatori d’interesse come ad esempio i messaggi SMS o Whatsapp, registrazioni audio, filmati, etc…

La Cassazione non specifica come acquisire i messaggi Whatsapp come prova in un Processo, a fini legati e utilizzo in Tribunale, ma lascia intendere che se il deposito viene fatto in modo “integrale” (quindi con il dispositivo originale o il suo equivalente tramite acquisizione forense certificata) i dati possono essere accettati e utilizzati in Giudizio.

Per creare una copia conforme dei messaggi Whatsapp a uso legale (inclusi anche SMS, messaggi, chat o gruppi Telegram, Viber, iMessage, Facebook Messenger, Skype o qualunque altro sistema di Instant Messaging) è quindi necessario avvalersi delle tecniche di acquisizione forense da cellulare, smartphone o tablet, basate sui principi di inalterabilità della prova e conformità con l’originale espressi dalla Legge 48 del 2008 che cita, ad esempio, come le copie forensi debbano esse eseguite “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione“, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.”.

Lo Studio si avvale della migliore strumentazione hardware e software per copia conforme dei contenuti e acquisizione forense certificata delle prove da smartphone e tablet per utilizzo in Tribunale, utilizzati da personale tecnico qualificato e con esperienza in ambito d’indagini digitali. Gli strumenti principali di cui ci avvaliamo sono l’israeliano Cellebrite UFED, Micro Systemation XRY, Oxygen Forensics, Paraben Device Seizure, Katana Forensics Lantern e altri software di mobile forensics che utilizziamo nell’ambito delle perizie informatiche di acquisizione forense da dispositivi mobili.

Per conferire maggiore autorevolezza alla perizia di acquisizione delle chat Whatsapp, talvolta può essere strategico produrre perizia informatica asseverata e giurata in Tribunale, in particolare in ambito di cause e processi civili. L’asseverazione e giuramento della perizia informatica viene fatta dal Perito davanti al Cancelliere del Tribunale al fine di assumersi la responsabilità giuridica e legale del proprio operato, garantendo di aver “bene e fedelmente proceduto alle operazioni e di non aver avuto altro scopo che quello di far conoscere la verità“.

Sarahah forensics, analisi forense dell’App per messaggi anonimi

In questi giorni sta impazzando sui social il servizio “Sarahah”, disponibile sia via web sia tramite App per Android e iOS, che permette a chiunque iscriversi e ricevere messaggi anonimi. In questo articolo analizzeremo alcune potenzialità della “sarahah forensics”, cioè dell’analisi tecnica forense dell’App Sarahah su iPhone e Android e del sito web da cui inviare messaggi o su cui leggere i messaggi anonimi ricevuti dagli sconosciuti.