In che modo gli analisti forensi ottengono dati cancellati dal telefono?
Se hai guardato CSI, Legge e ordine, o qualsiasi altra procedura procedurale di polizia, c'è una buona probabilità che tu abbia visto una versione su schermo di un'indagine forense mobile. Di solito comporta il clic di alcuni pulsanti e i messaggi di testo e la cronologia delle chiamate degli utenti appaiono istantaneamente sullo schermo.
La verità è un po 'diversa. Ma cosa, esattamente, può un esame forense recuperare dal telefono? Com'è fatto? Perché i dati cancellati possono essere estratti dalla memoria? Ci sono molte domande a cui rispondere, quindi abbiamo fatto qualche ricerca per trovare le risposte.
Perché avvengono indagini investigative forensi
Perché un telefono o un tablet potrebbe subire un'indagine forense? In molti casi, le informazioni estratte da un telefono possono aiutare a risolvere un crimine. Nel 2014, quando due ragazze Minnesotan scomparvero, la scientifica digitale aiutò la polizia a trovare il loro rapitore. Molti altri casi sono stati aperti da informazioni tratte dal telefono di una vittima o del perpetratore.
Anche una semplice informazione, come un singolo messaggio di testo, potrebbe aiutare gli investigatori a risolvere un caso. Altre volte, è un quadro più complicato Cosa possono dire le agenzie di sicurezza del governo dai metadati del tuo telefono? Cosa possono dire le agenzie di sicurezza del governo dai metadati del tuo telefono? Leggi di più dipinta da registri delle chiamate cancellati, data e ora, dati di geolocalizzazione e utilizzo delle app. La cronologia delle ricerche potrebbe risultare incriminante. Molti tipi di informazioni potrebbero aiutare la polizia a risolvere un crimine e molte di queste informazioni sono memorizzate nei nostri telefoni.
È importante notare che il tuo dispositivo mobile potrebbe essere esaminato anche se lo sei non sospettato di un crimine. Anche i telefoni appartenenti a vittime di reati possono fornire alla polizia dati molto preziosi, soprattutto se le vittime sono inabili o mancanti.
Tipi di acquisizione dati
Ci sono un certo numero di strategie di acquisizione che gli investigatori forensi possono usare. Il più semplice è noto come “acquisizione manuale” e implica passare attraverso l'interfaccia regolare per esaminare il contenuto del dispositivo. Questo è molto dispendioso in termini di tempo e spesso non è molto utile, perché tutto ciò che è stato cancellato non è visibile nell'interfaccia standard.
Un'acquisizione logica fornisce dati più dettagliati. Questo tipo di acquisizione comporta il trasferimento di quanti più dati possibile attraverso i canali di trasferimento standard, come quelli che verrebbero utilizzati per sincronizzare un telefono con un computer. Questo tipo di trasferimento rende facile per gli investigatori forensi lavorare con i dati sul telefono, ma è improbabile che recuperi molte informazioni cancellate.
Quando gli investigatori desiderano visualizzare i dati cancellati, è necessaria un'acquisizione del file system. Vedremo come questo tipo di acquisizione può recuperare gli elementi eliminati in un attimo. I dispositivi mobili sono fondamentalmente grandi database e un'acquisizione di file system fornisce a un investigatore l'accesso a tutti i file nel database. Ci sono anche molti strumenti forensi che sono in grado di analizzare questo tipo di dati, rendendo più facile il lavoro del ricercatore.
Infine, c'è un'acquisizione fisica. Questa è l'acquisizione più complessa e difficile, poiché comporta la lettura dei dati fisici su un chip e il trasferimento su un altro dispositivo su cui può essere lavorato. Questo spesso richiede strumenti sofisticati come programmatori di chip e talvolta persino strumenti per rimuovere il chip stesso dal telefono. È molto difficile, ma offre anche agli investigatori il maggior numero di dati con cui lavorare.
Perché è possibile recuperare i file cancellati?
Potresti chiederti come un software può trovare i file che hai eliminato. Se sai come funzionano le unità di archiviazione, conoscerai le nozioni di base. La memoria flash nei dispositivi mobili in realtà non elimina i file Come eliminare definitivamente i dati da un'unità flash Come eliminare definitivamente i dati da un'unità Flash Se si desidera cancellare la propria unità flash in modo che nulla sia recuperabile, è necessario prendere azione. Ecco alcuni semplici metodi che è possibile utilizzare che non richiedono competenze tecniche. Leggi di più fino a quando non è necessario aprire lo spazio per qualcosa di nuovo. Semplicemente “deindexes” in sostanza, dimenticando dov'è. È ancora memorizzato, ma il telefono non sa dove o cosa sia.
Quindi, se quei dati non sono stati sovrascritti, un altro software potrebbe trovarlo. Identificarlo e decodificarlo non è sempre facile, ma la comunità forense ha strumenti estremamente potenti che li aiutano in questo processo.
Più recentemente hai cancellato qualcosa, meno è probabile che sia stato sovrascritto. Se hai cancellato qualcosa qualche mese fa e usi molto il tuo telefono, ci sono buone probabilità che il file system lo abbia già sovrascritto. Se l'hai cancellato solo pochi giorni fa, le probabilità sono più alte di trovarsi ancora lì da qualche parte.
Alcuni dispositivi iOS, come i nuovi iPhone, fanno un ulteriore passo avanti. Oltre a deindicizzare i dati, li crittografano anche e non c'è alcuna chiave di decrittazione nota. Ciò si dimostrerà estremamente difficile (se non impossibile) da bypassare.
Uno dei modi in cui gli analisti forensi possono ottenere dati cancellati è in realtà saltare il telefono stesso e dirigersi verso i backup. Molti telefoni eseguono automaticamente il backup sul computer dell'utente o sul cloud. Può essere più facile estrarre i dati da quel backup rispetto al telefono. Ovviamente, l'efficacia di questa strategia dipende da quanto recentemente è stato eseguito il backup del telefono e dal servizio utilizzato per archiviare i file.
Quali tipi di file possono essere recuperati?
I tipi di file recuperabili possono dipendere dal dispositivo su cui un analista forense sta lavorando. Tuttavia, ci sono alcuni tipi di base che possono essere recuperati:
- Messaggi di testo e messaggi
- Cronologia delle chiamate
- Messaggi di posta elettronica
- Gli appunti
- Contatti
- Eventi del calendario
- Immagini e video
È anche possibile che i messaggi provenienti da servizi di messaggistica alternativi come WhatsApp o Viber possano essere recuperati. (Se questi messaggi sono crittografati, Come abilitare la crittografia di sicurezza di WhatsApp Come abilitare la crittografia di sicurezza di WhatsApp Il cosiddetto protocollo di crittografia end-to-end promette che "solo tu e la persona con cui stai comunicando puoi leggere ciò che viene inviato." Nessuno, nemmeno WhatsApp, ha accesso ai tuoi contenuti. Per saperne di più, tuttavia, gli investigatori non saranno in grado di leggerli). Se utilizzi il tuo Android per la memorizzazione dei file, questi file potrebbero essere ancora in attesa,.
Che cos'è la crittografia?
Crittografia del dispositivo mobile 7 Motivi per cui è necessario crittografare i dati dello smartphone 7 Motivi per cui è necessario crittografare i dati dello smartphone Crittografare il dispositivo? Tutti i principali sistemi operativi per smartphone offrono la crittografia del dispositivo, ma dovresti usarlo? Ecco perché la crittografia dello smartphone è utile e non influirà sul modo in cui utilizzi lo smartphone. Read More pone un grosso problema per l'analisi forense. Se è stata utilizzata la crittografia avanzata e non è possibile ottenere la chiave di crittografia, sarà difficile o impossibile ottenere dati dal telefono. iTunes chiede anche agli utenti di crittografare i backup che fanno sui loro computer.
Mentre questo rende i telefoni meno utili agli investigatori forensi, ci sono alcuni modi per superare la crittografia. Alcuni telefoni sono dotati di backdoor che consentono ai professionisti l'accesso ai file. Altri investigatori potrebbero essere in grado di indovinare o decifrare la tua password.
Se non possono, tuttavia, quei file crittografati causeranno seri problemi. Se sei preoccupato per l'esame legale del tuo telefono (ad esempio, sei un giornalista con fonti sensibili), è una buona idea usare le impostazioni di crittografia più sicure che puoi.
Qualcuna delle tue informazioni è davvero sicura?
Alla fine, non ci sono garanzie quando si tratta di indagini forensi mobili. Per entrambi i lati. Non c'è modo di proteggere completamente ogni dato sul tuo telefono da un investigatore impegnato e intelligente. E non c'è modo di accedere ai dati su tutti i telefoni.
Ma c'è una grande varietà di strumenti in continua evoluzione. Sono progettati specificamente per contrastare il panorama in continua evoluzione della protezione dei dati. E, naturalmente, c'è anche un po 'di fortuna.
Come sempre, raccomandiamo le stesse cose se vuoi mantenere i tuoi dati al sicuro. Cripta tutto. Sii intelligente su dove e come fai il backup. Usa password sicure Come generare password complesse che si abbinino alla tua personalità Come generare password complesse che si adattino alla tua personalità Senza una password sicura potresti ritrovarti rapidamente nel campo dell'accettazione di un crimine informatico. Un modo per creare una password memorabile potrebbe essere quello di abbinarlo alla tua personalità. Leggi di più . E, se possibile, non fare nulla che ti metta nel mirino di un'indagine forense.
Crittografa il tuo telefono? Sei preoccupato per le indagini forensi sui tuoi dispositivi mobili? Condividi i tuoi pensieri nei commenti qui sotto!
Scopri di più su: Smartphone Security, Surveillance.