I criminali a volte danneggiano i loro telefoni cellulari nel tentativo di distruggere le prove. potrebbero rompersi, sparare, immergere o cuocere i loro telefoni, ma gli esperti forensi spesso possono comunque recuperare le prove. Ora, i ricercatori del National Institute of Standards and Technology (NIST) hanno testato il funzionamento di questi metodi forensi.

Un telefono danneggiato potrebbe non accendersi, e la porta dati potrebbe non funzionare, quindi gli esperti utilizzano strumenti hardware e software per accedere direttamente ai chip di memoria del telefono. Questi includono strumenti di hacking, anche se possono essere legittimamente utilizzati nell'ambito di un'indagine penale. Poiché questi metodi producono dati che potrebbero essere presentati come prove in tribunale, è importante sapere se ci si può fidare.

"Il nostro obiettivo era testare la validità di questi metodi, " ha detto Rick Ayers, l'esperto forense digitale del NIST che ha guidato lo studio. "Producono risultati accurati in modo affidabile?"

I risultati dello studio NIST aiuteranno anche i laboratori a scegliere gli strumenti giusti per il lavoro. Alcuni metodi funzionano meglio di altri, a seconda del tipo di telefono, il tipo di dati e l'entità del danno.

Lo studio affronta i metodi che funzionano con i telefoni Android. Anche, lo studio riguardava solo le modalità di accesso ai dati, non decifrandolo. Però, possono comunque essere utili con i telefoni crittografati perché gli investigatori spesso riescono a ottenere il passcode durante le loro indagini.

Per condurre lo studio, I ricercatori del NIST hanno caricato i dati su 10 modelli di telefoni popolari. Hanno quindi estratto i dati o hanno chiesto a esperti esterni di estrarre i dati per loro. La domanda era:i dati estratti corrisponderebbero esattamente ai dati originali, senza modifiche?

Affinché lo studio sia accurato, i ricercatori non potevano semplicemente caricare un mucchio di dati sui telefoni. Dovevano aggiungere i dati come farebbe normalmente una persona. hanno fatto delle foto, ha inviato messaggi e utilizzato Facebook, LinkedIn e altre app di social media. Hanno inserito contatti con più secondi nomi e indirizzi formattati in modo strano per vedere se alcune parti sarebbero state tagliate o perse quando i dati sono stati recuperati. Hanno aggiunto i dati GPS girando per la città con tutti i telefoni sul cruscotto.

Dopo che i ricercatori hanno caricato i dati sui telefoni, hanno usato due metodi per estrarlo. Il primo metodo sfrutta il fatto che molti circuiti stampati hanno piccoli rubinetti metallici che forniscono l'accesso ai dati sui chip. I produttori usano quei rubinetti per testare i loro circuiti, ma saldando i fili su di essi, gli investigatori forensi possono estrarre i dati dai chip. Questo è chiamato il metodo JTAG, per il Joint Task Action Group, l'associazione dell'industria manifatturiera che ha codificato questa funzione di test.

I chip si collegano al circuito tramite minuscoli pin metallici, e il secondo metodo, chiamato "chip-off, " implica il collegamento diretto a quei pin. Gli esperti lo facevano staccando delicatamente i chip dalla scheda e inserendoli nei lettori di chip, ma gli spilli sono delicati. Se li danneggi, ottenere i dati può essere difficile o impossibile. Alcuni anni fa, gli esperti hanno scoperto che invece di estrarre i chip dal circuito, potevano molare il lato opposto della tavola su un tornio fino a quando i perni non erano scoperti. È come togliere l'isolamento da un filo, e consente l'accesso ai pin.

"Sembra così ovvio, " ha detto Ayers. "Ma è una di quelle cose in cui tutti hanno fatto in un modo fino a quando qualcuno ha trovato un modo più semplice."

Le estrazioni del chip-off sono state condotte dal Digital Forensics Lab del dipartimento di polizia di Fort Worth e da una società forense privata in Colorado chiamata VTO Labs, che ha inviato i dati estratti al NIST. L'informatica del NIST Jenise Reyes-Rodriguez ha eseguito le estrazioni JTAG.

Dopo che le estrazioni dei dati sono state completate, Ayers e Reyes-Rodriguez hanno utilizzato otto diversi strumenti software forensi per interpretare i dati grezzi, generare contatti, posizioni, testi, fotografie, dati sui social, e così via. Hanno quindi confrontato quelli con i dati originariamente caricati su ciascun telefono.

Il confronto ha mostrato che sia JTAG che chip-off hanno estratto i dati senza alterarli, ma che alcuni degli strumenti software erano migliori di altri nell'interpretare i dati, soprattutto per i dati delle app di social media. Queste app cambiano continuamente, rendendo difficile per gli attrezzisti tenere il passo.

I risultati sono pubblicati in una serie di rapporti online disponibili gratuitamente. Questo studio, e le relazioni che ne derivano, fanno parte del progetto Computer Forensics Tool Testing del NIST. Chiamato CFTT, questo progetto ha sottoposto una vasta gamma di strumenti forensi digitali a una valutazione rigorosa e sistematica. I laboratori forensi di tutto il paese utilizzano i rapporti CFTT per garantire la qualità del loro lavoro.

"Molti laboratori hanno un carico di lavoro schiacciante, e alcuni di questi strumenti sono molto costosi, " ha detto Ayers. "Per essere in grado di guardare un rapporto e dire, questo strumento funzionerà meglio di quello per un caso particolare, che può essere un grande vantaggio."