Negli ultimi anni l’utilizzo di telefoni cellulari è cresciuto in maniera esplosiva, e tale tendenza sembra doversi mantenere anche negli anni a venire. Tale fatto può essere attribuito all’aumento delle loro funzionalità: la maggior parte dei telefoni moderni, infatti, oltre alla classica funzione di fare e ricevere telefonate, ha sviluppato delle funzionalità tipiche dei PDA (Personal Digital Assistant); tali dispositivi vengono quindi denominati smartphones.
Tra le funzionalità aggiunte a questi dispositivi spiccano la gestione di informazioni PIM (Personal Information Manager (quali contatti di rubrica o calendari), la navigazione Internet e l’utilizzo di materiale multimediale.
Sempre più spesso, inoltre, tali dispositivi hanno a disposizione un vero e proprio sistema operativo (come ad esempio Linux, Windows Mobile o Symbian); la differenza più interessante (almeno agli occhi dell’utente) tra questi sistemi operativi e i firmware dedicati delle precedenti generazioni di telefoni è la possibilità di installare applicazioni di terze parti.
La sempre maggiore diffusione di questi dispositivi, unita alla loro sempre maggiore capacità di contenere informazioni personali, ha significato un sempre maggiore coinvolgimento di questi in investigazioni digitali. Uno smartphone può essere coinvolto in diversi modi in un crimine: può essere uno strumento, un bersaglio o un modo per custodire informazioni legate al crimine stesso. Per questo motivo le forze dell’ordine stanno prendendo sempre più in considerazione l’importanza dei dati recuperati da questo genere di dispositivi, i quali per loro natura contengono numerose tracce dell’attività dell’utente.
Naturalmente per questo tipo di indagini è necessario utilizzare appositi strumenti per garantire l’integrità del materiale recuperato; in caso contrario questo potrebbe essere danneggiato e non più riconosciuto a fini legali.
Esistono in commercio e in letteratura numerosi strumenti (hardware e software) dedicati all’estrazione di dati da smartphones. Normalmente tutti questi prevedono l’utilizzo di un computer host per eseguire l’estrazione e conservare i dati. Inoltre normalmente di tratta di software e hardware particolarmente costoso, e poco adatto ad un’indagine sulla scena. Da qui nasce l’esigenza di studiare procedure per la conservazione e il trasporto del dispositivo tra il luogo del ritrovamento e il laboratorio in cui si procede all’analisi.
Esistono due famiglie di metodi per l’estrazione di dati da un dispositivo sotto analisi: l’estrazione fisica e l’estrazione logica.
L’estrazione logica consiste nell’utilizzo da parte degli investigatori di strumenti software messi a disposizione dalla piattaforma embedded per estrarre elementi di informazione. Rientrano in questa famiglia i sistemi di sincronizzazione (locali o remoti), i bus locali previsti dal produttore per la connessione a un computer host e le applicazioni dedicate installate sul dispositivo. Hanno il vantaggio di un costo più limitato e di una difficoltà tecnica più ridotta (l’hardware si limita al massimo a un cavo di connessione tra il dispositivo e un computer host, e tutto il resto è svolto mediante software dedicato). Spesso tale tipo di analisi può (in caso di necessità) essere svolta anche sul campo. Lo svantaggio è che i dati vengono serviti attraverso il sistema operativo e i protocolli di comunicazione ad alto livello, il che significa che non sempre è possibile garantire che non abbiano subito modifiche durante il processo di acquisizione. Inoltre il sistema operativo stesso potrebbe prevedere sistemi di sicurezza (come nel caso del Symbian) per prevenire l’accesso a dati riservati.
L’estrazione fisica invece consiste nell’utilizzo di sistemi a più basso livello per tentare di estrarre dall’hardware del dispositivo l’immagine della memoria di massa e/o della memoria volatile come dump esadecimale. Rientrano in questa categoria bus a basso livello (JTAG) e strumenti di programmazione dei singoli integrati di memoria. Questo sistema ha il vantaggio di acquisire in blocco tutto il contenuto del telefono, senza alcuna eccezione e aggirando qualunque sistema di sicurezza previsto dal sistema operativo. Il rovescio della medaglia è però l’estrema complessità di questa procedura e la necessità di strumenti di lavoro costosi e difficili da utilizzare per personale non esperto. Inoltre una volta estratta l’immagine della memoria o della flash deve essere interpretata per ricavarne i dati richiesti e renderli disponibili in un formato comprensibile: tale procedura è tutt’altro che banale o standard (ogni dispositivo ha un suo sistema di gestione dello spazio di archiviazione). Fortunatamente esistono degli strumenti software che si occupano di questo tipo di analisi, ma si tratta perlopiù di software estremamente specializzato e quindi costoso, oltre che di difficile utilizzo.
