Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Luca Cadonici Mobile Forenics intervista

Intervista a Luca Cadonici: l’informatica forense verso un approccio proattivo contro la criminalità informatica

Olivia Terragni : 11 Novembre 2024 20:06

L’informatica forense oggi non è solo un’arma per combattere il crimine ma una disciplina scientifica che oggi “non si limita più all’analisi reattiva post-incidente ma si è evoluta verso un approccio proattivo, mirato alla prevenzione e all’intelligence sulle minacce”. Nello specifico la Mobile Forensics, comunemente utilizzata per recuperare prove in relazione a un’indagine criminale, e strumento importante per le forze dell’ordine, si applica oggi a qualsiasi tipologia di reato, grazie anche al fatto che le tecnologie digitali occupano un ruolo sempre più importante nelle nostre vite. Le investigazioni della Mobile Forensics variano dai reati tradizionali “nei quali l’aspetto informatico è una prosecuzione del reato stesso” a “truffe, cyberstalking, sextortion, ma anche omicidi, traffico di droga, furti e violenza sessuale”. Tuttavia gli investigatori non si limitano ad estrarre e analizzare i dati, ma molti di loro sono costantemente impegnati ad individuare nuove vulnerabilità – stimolo per i produttori a rafforzare la sicurezza –  e a sviluppare soluzioni efficaci per acquisire i dati. Tra loro Luca Cadonici, che per le sue investigazioni ha sviluppato soluzioni specifiche per rispondere ad esigenze particolari. 

Dal suo lavoro è nato, tra le altre cose, uno script Python presentato al SANS DFIR Summit & Training 2023, progettato per recuperare informazioni su chat cancellate da WhatsApp su dispositivi iOS. 

Noi lo abbiamo intervistato e tra le tante domande abbiamo analizzato lo stato della Digital e Mobile Forensics, tra crittografia, casi studio, mobile forensics avanzata, abbiamo parlato di criptofonini, dei casi Encrochat e Cellebrite, dell’estrazione di dati Mobile da Cloud, di intelligenza artificiale e automazione, che offrono “un supporto decisivo nei casi che richiedono la gestione di enormi quantità di dati, come nelle indagini su larga scala che coinvolgono aziende o multinazionali”. Infine abbiamo chiesto a Luca come mettere in sicurezza i nostri smartphone e ci ha dato ottimi consigli.

La NIS2 è complessa da capire?
Non perdere tempo, segui l'anteprima gratuita del corso che stiamo preparando.Accedi quindi alla nostra Academy e segui l'anteprima del corso della durata di 30 minuti per comprendere i contenuti esclusivi che tratteremo nel corso.per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Luca Cadonici, Membro ONIF – Osservatorio Nazionale per l’Informatica Forense,  è  un Consulente Informatico Forense con oltre dieci anni di esperienza in supporto alle Forze dell’Ordine e all’Autorità Giudiziaria italiana a cui affianca un’intensa attività di formazione in Italia e all’estero. Docente di Mobile Forensics presso l’Università di Perugia e l’ISF Corporate College in Italia, ricopre il ruolo di Programme Leader del Master in Cyber Security, Digital Forensics e Crime Analysis presso l’European Forensic Institute (Malta).

Nel 2024, è Senior Non-Key Expert internazionale per la raccolta e gestione delle prove digitali presso lo Special Investigation Service (SIS) a Tbilisi, nell’ambito del progetto dell’Unione Europea “Support to External Security Sector Oversight in Georgia.” Collabora con il magazine L’Europeista, dove si occupa di Cyber Security e normativa di settore. 

Luca Cadonici: l’evoluzione della Mobile Forensics tra sfide e  strategie investigative sempre più avanzate 

Luca Cadonici Mobile Forenics intervista
Luca Cadonici

1 – O: Ciao Luca e grazie per il tempo che vorrai dedicare a questa intervista. Innanzitutto vorrei che tu raccontassi quale è il ruolo di un informatico forense e l’importanza di questa figura nella lotta al crimine e soprattutto perché debba poggiare su solidi metodi scientifici.

LUCA: Ciao Olivia, grazie a te per l’invito e per l’opportunità di parlare di un tema che mi sta molto a cuore. È davvero un piacere!

Il Codice di Procedura Penale italiano consente già da tempo la possibilità di nominare ausiliari esperti nei vari campi del sapere per soddisfare le esigenze della giustizia, ben prima che l’informatica assumesse il ruolo centrale che ha oggi. Negli ultimi anni, abbiamo assistito sia a un incremento del crimine informatico, mano a mano che il business si trasferiva dal fisico al virtuale, sia a un aumento nell’uso dei mezzi digitali, al punto che ormai ogni individuo ha diversi dispositivi associati, non solo un computer, ma anche uno smartphone o più dispositivi mobili.

Questa diffusione pervasiva ha generato una maggiore domanda di consulenti esperti che, nel rispetto delle normative, siano in grado di acquisire e preservare le prove digitali. Qui si inserisce la figura del Consulente Informatico Forense, ovvero un esperto che opera secondo le disposizioni del Codice di Procedura Penale e che assiste la Polizia e l’Autorità Giudiziaria, soprattutto nella delicata fase delle indagini preliminari.

L’importanza di questa figura è in continua crescita, così come le competenze richieste, motivo per cui oggi assistiamo a una specializzazione sempre più raffinata, con suddivisioni interne come Digital Forensics, Multimedia Forensics, Network Forensics, Computer Forensics e Mobile Forensics. Quest’ultima disciplina, in particolare, è una delle più richieste in ambito giudiziario in Italia, dato il ruolo privilegiato dello smartphone nella vita personale e comunicativa di ogni individuo.

Parallelamente, anche la criminalità organizzata si è evoluta, spesso a una velocità maggiore rispetto allo Stato, iniziando, ad esempio, a utilizzare VoIP per le comunicazioni meno intercettabili mentre si discuteva ancora di eliminare il fax. Negli ultimi anni, per fortuna, si è cercato di colmare questo divario, investendo nella formazione e nell’equipaggiamento tecnologico delle Forze dell’Ordine, ma il lavoro è ancora in corso.

Un libro che descrive molto bene questa dicotomia è Il grifone del Procuratore Antimafia Nicola Gratteri e di Nicola Nicaso. Il grifone, figura mitologica con la doppia natura di animale antico e maestoso, rappresenta bene la natura delle associazioni mafiose: antiche nei riti e moderne nella tecnologia. È una lettura che consiglio vivamente a chiunque sia interessato al tema.

2 – O: Ripetibilità e irripetibilità: ci può illustrare diversi scenari in cui è possibile raccogliere prove digitali da dispositivi mobili, mantenendo intatto il loro valore legale?

LUCA: Sulla ripetibilità e irripetibilità degli accertamenti sui dispositivi mobili – regolati rispettivamente dagli articoli 359 e 360 del Codice di Procedura Penale – si discute ancora molto in Italia. Osservo una carenza di linee guida univoche e definitive su questa questione, motivo per cui, a mio avviso, sarebbe auspicabile l’intervento di una commissione di giuristi supportati da tecnici per tracciare una linea chiara su cosa si intenda per irripetibilità nell’accesso ai dispositivi mobili. A differenza dei più tradizionali PC, infatti, questi dispositivi subiscono inevitabilmente delle modifiche, anche minime, durante l’analisi, dovute alla necessità di accenderli per procedere all’acquisizione forense.

Aspetti giuridici a parte, è importante considerare che i dispositivi mobili sono generalmente dotati di misure di sicurezza avanzate e risultano particolarmente sensibili a livello di protezione. Sono progettati con sistemi come la cifratura completa dei dati, l’isolamento delle applicazioni e controlli sulle app in esecuzione, includendo spesso meccanismi che limitano o impediscono l’accesso diretto ai dati, una caratteristica meno comune nei computer tradizionali.

Non sono progettati per essere acquisiti, anzi, attraverso cifratura e controlli sulle app in esecuzione, fanno di tutto per impedire agli strumenti forensi di ottenere privilegi di sistema e acquisire una copia dei dati. Il rischio di brick (blocco totale del dispositivo) o di malfunzionamenti è sempre presente e deve essere valutato con attenzione. È quindi essenziale adottare procedure e strumenti forensi che riducano al minimo tale rischio.

Detto ciò, va tenuto presente che, diversamente dai PC o dai supporti di memoria esterni, la quantità di dati acquisibili dai dispositivi mobili varia in funzione di numerosi fattori, tra cui la capacità di sblocco dello strumento di acquisizione, le patch di sicurezza presenti sul dispositivo, la versione del sistema operativo, la marca e il modello, oltre alla data di produzione del dispositivo.

3- O: Crittografia: da un lato si evidenzia come venga usata per diffondere materiale pedopornografico (CSAM), per le operazioni criminali, dall’altro invece come protegga le comunicazioni private, le operazioni finanziarie o la raccolta delle informazioni e la protezione delle fonti dei giornalisti. Per bypassare il problema in Europa si è pensato ad operazioni pre-crimine (‘upload-moderation’ o ‘scansione lato client’): tuttavia in una lettera aperta il CEO di Signal Meredith Whittaker, ha evidenziato come la scansione lato client sarebbe pericolosa e ha minacciato di ritirare la sua app dal Regno Unito se l’Online Safety Act avesse vietato la crittografia.

L’uso diffuso della crittografia su dispositivi mobili ha creato sfide significative per le indagini forensi: ci puoi parlare delle attuali sfide alla luce soprattutto della cifratura della messaggistica dei social network e dove si rende necessaria la disponibilità di questi dati per le forze dell’ordine? 

LUCA: L’uso diffuso della crittografia su dispositivi mobili ha posto sfide significative alle indagini forensi, soprattutto con la crescente adozione della crittografia end-to-end nei servizi di messaggistica dei social network. Si tratta di una questione delicata, che richiede un equilibrio tra il diritto alla privacy individuale e la necessità di accesso ai dati per le forze dell’ordine a fini investigativi. Questo equilibrio dovrebbe essere affrontato a livello politico, con una collaborazione continua tra i fornitori di servizi, le forze dell’ordine e gli esperti forensi.

Nell’ultimo anno ci sono stati alcuni eventi emblematici in tal senso: alla fine del 2023, Meta ha reso obbligatoria la crittografia end-to-end per tutte le chat di Messenger, seguendo il modello di WhatsApp. Ad aprile 2024, Europol e i capi delle forze di polizia delle nazioni dell’Unione Europea hanno lanciato una “call-to-action” rivolta all’Unione Europea per sollecitare un intervento su queste problematiche. A ciò si è aggiunto il caso di Pavel Durov, CEO di Telegram, arrestato e poi costretto a cedere sui dati da fornire in caso di richiesta da parte delle Autorità Giudiziarie nazionali.

Ritengo che l’adozione della crittografia end-to-end continuerà a diffondersi, non solo per questioni di sicurezza, ma anche per sollevare i fornitori come Meta dall’onere di rispondere alle richieste di accesso alle comunicazioni da parte delle autorità giudiziarie di tutto il mondo. A Durov è infatti stato contestato di non aver fornito alle autorità i dati dei gruppi e dei canali Telegram che, al pari delle chat ordinarie (cloud chat) del dispositivo, utilizzano il protocollo di cifratura MTProto (non end-to-end e sviluppato appositamente da Telegram) mentre la cifrature end-to-end è supportata solo per le “chat segrete.”

Due questioni principali emergono: la crittografia delle memorie fisiche dei dispositivi e la crittografia end-to-end delle comunicazioni. Il primo tema è stato oggetto di discussione accesa nel caso Apple vs FBI dopo la strage di San Bernardino, quando Apple rifiutò di sbloccare un iPhone 5c e di inserire una backdoor nei suoi dispositivi. Il secondo riguarda la crittografia end-to-end, che impedisce, ufficialmente, ai fornitori di accedere ai contenuti poiché non possiedono le chiavi private, che risiedono esclusivamente sui dispositivi stessi.

Questa sfida, complessa e articolata, per chi opera nel campo della Digital Forensics deve essere vista come uno stimolo verso un continuo miglioramento. Misure di sicurezza avanzate non proteggono solo i criminali, ma sono essenziali per tutelare i cittadini da attività criminali, difendendo i dati personali da possibili abusi.

C’è poi una questione politica importante: viviamo in una parte del mondo democratica e siamo fortunati. In altri contesti, la crittografia delle comunicazioni e dei dispositivi, così come l’uso delle VPN, rappresenta uno strumento essenziale di protezione per chi non gode delle nostre stesse libertà. È fondamentale, quindi, che queste misure di sicurezza siano garantite.

4 – O: Sempre social network: una ricerca ha evidenziato come una notevole quantità di dati proveniente da app di social network (tra cui Instagram) è stata estratta con successo dalla memoria interna dello smartphone esaminato nel rispetto degli standard NIST con strumenti come Magnet AXIOM, XRY e Autopsy. Estrarre ed identificare informazioni utili può essere però complesso per identificare informazioni rilevanti e concentrarsi su ciò che conta davvero.

Puoi spiegare quali sono gli elementi rilevanti ai fini di un’indagine?

LUCA: Dipende molto dal tipo di indagine. Le analisi su PC o server sono spesso orientate a crimini informatici veri e propri, come esfiltrazione di dati, ransomware, o compromissione dei sistemi. In questi casi, la conoscenza approfondita dei meccanismi del sistema operativo, come ShellBags, il Registro di Windows, le proprietà del file system NTFS, e gli equivalenti per altri sistemi come Linux e macOS, è fondamentale.

Nel caso dei dispositivi mobili, invece, le indagini riguardano perlopiù reati tradizionali, nei quali il dispositivo può aver avuto un ruolo o contenere tracce utili. Le conversazioni su app di messaggistica, come WhatsApp, e i file multimediali, in particolare quelli presenti nella galleria del dispositivo, sono tra i dati più richiesti. Per reati legati, ad esempio, al traffico di droga, spesso le applicazioni di messaggistica ritenute “più sicure,” come Signal, Session, WickrMe o Telegram, rivestono un ruolo centrale.

Ci sono, tuttavia, casi particolari in cui è necessario stabilire l’utilizzo del dispositivo in un momento preciso, come in indagini per omicidio, suicidio, morte per overdose o omicidio stradale. In altri casi, potrebbe essere fondamentale verificare l’attivazione della fotocamera in un determinato momento, è indispensabile un’analisi approfondita e dettagliata, che comporta l’interrogazione manuale di file di log e database interni, utilizzando termini di ricerca specifici e query mirate.

5 – O: In un’indagine quale scenario occupano immagini, video e registrazioni vocali, quali relazioni si possono ottenere ai fini di un’indagine – ovvero la collezione di prove da un network di individui –  e come viene determinata la loro autenticità e integrità in ambito forense? 

LUCA: La determinazione dell’autenticità e dell’integrità di immagini, video e registrazioni vocali è una delle sfide più delicate in ambito forense. L’autenticità dipende in primo luogo dalle modalità con cui i dati sono acquisiti. È fondamentale che l’acquisizione venga eseguita da uno specialista in forense digitale, utilizzando strumenti e procedure che garantiscano la raccolta dei dati in modo immodificato, senza alterazioni o contaminazioni. La validazione dell’integrità dei dati acquisiti si effettua tramite il calcolo di valori di hash (come MD5, SHA1, SHA256), che permettono di “cristallizzare” i dati nella loro forma originale e di confrontarli in seguito per verificarne eventuali modifiche.

Tuttavia, con l’emergere di tecnologie come i Deep Fake, che permettono la manipolazione di immagini, video e audio in modo estremamente convincente, l’autenticità di questi materiali è diventata ancora più difficile da garantire. La comunità forense e quella degli sviluppatori stanno lavorando per sviluppare soluzioni in grado di rilevare e verificare la genuinità di foto, video e registrazioni, identificando eventuali manipolazioni. Nonostante queste difficoltà, l’acquisizione forense di un dispositivo, che include anche i metadati associati, fornisce un contesto che aiuta a stabilire la veridicità del dato e a correlare i contenuti con il momento e il luogo in cui sono stati creati, dando così un contributo importante per fare chiarezza in fase investigativa.

6 – O: A quali casi – e settori –  si applica la mobile forensics e se vuoi ci potresti raccontare un caso studio che ti ha portato alla scoperta di altri metodi da applicare nelle tue indagini?

LUCA: La Mobile Forensics si applica trasversalmente a qualsiasi tipologia di reato, poiché oggi qualsiasi settore criminale può includere l’uso di dispositivi mobili. Tuttavia, nella maggior parte dei casi, si tratta di reati “tradizionali,” nei quali l’aspetto informatico è una prosecuzione del reato stesso: truffe, cyberstalking, sextortion, ma anche omicidi, traffico di droga, furti e violenza sessuale.

In alcune indagini, ho sviluppato soluzioni specifiche per rispondere a esigenze particolari. Ad esempio, in un caso di presunta violenza sessuale, si doveva dimostrare che un video era stato registrato con la fotocamera a un orario specifico della notte e poi cancellato. Ho creato una query SQLite personalizzata per analizzare un database specifico di iOS che evidenziava l’attivazione della fotocamera nel periodo di interesse, fornendo una prova concreta della possibile creazione di un video nel periodo di interesse.

In un altro caso legato al traffico di droga, ho esplorato i database iOS e scoperto dove iCloud registra tracce di messaggi WhatsApp contenenti file multimediali destinati alla cancellazione. Da questa scoperta è nato uno script Python che ho poi presentato al SANS DFIR Summit & Training 2023, progettato per recuperare informazioni su chat cancellate da WhatsApp su dispositivi iOS.

7 – O: Torniamo alla crittografia e nello specifico al caso Encrochat, società che forniva telefoni cellulari modificati e criptati che venivano spesso utilizzati dai criminali e ritenuti inattaccabili: tuttavia o una talpa o la polizia francese che sarebbe stata in grado di installare un software Trojan sui dispositivi terminali tramite un aggiornamento simulato e hanno reso possibile leggere i messaggi di chat di migliaia di utenti in tempo reale. In alcuni casi questi criptofonini – protetti dagli attacchi Man In The Middle – avrebbero come caratteristica essenziale una funzione wiping e un’infrastruttura server collocata in paesi “offshore”, come ad esempio la Costarica.

I criptofonini possono essere “violati”? E quali informazioni utili si riescono ad ottenere nel caso?

LUCA: I criptofonini possono essere violati solo con estrema difficoltà, e solitamente non nei tempi utili per le indagini, a meno che non si riesca ad ottenere la password di accesso. Per esperienza personale, questi dispositivi, che possono essere basati su Android, iOS o sistemi più sicuri come GrapheneOS, sono piuttosto comuni nell’ambito dei corrieri della droga. GrapheneOS, in particolare, è un sistema operativo open-source basato su Android, progettato specificamente per garantire elevati livelli di sicurezza e privacy. Offre funzioni avanzate di protezione e controllo, che rendono il dispositivo estremamente resistente a tentativi di accesso non autorizzati.

È sempre più comune trovare tra i corrieri, ovvero persone che non sono criminali professionisti ma vengono pagate per trasportare droga, un doppio set di smartphone: quello personale e un secondo dispositivo con misure di sicurezza avanzate, detto criptofonino, che può avere sia protezioni software che hardware.

Questi dispositivi sono particolarmente difficili da sbloccare, anche con l’uso degli strumenti più avanzati disponibili. Se, tuttavia, si riesce ad ottenere la password, è  fondamentale mettere subito il dispositivo in modalità offline, isolandolo dalle connessioni cellulare e Internet, e filmare il più rapidamente possibile i contenuti. Questa procedura è indispensabile, poiché spesso ci si trova di fronte a dispositivi modificati per cancellare automaticamente i dati in caso di tentativi di connessione USB non autorizzati o dopo un determinato intervallo di tempo. Lo stesso vale per i messaggi contenuti, che, a seconda dell’applicazione utilizzata, possono essere programmati per l’eliminazione automatica dopo un periodo prestabilito.

8 – O: Mobile e Cloud: quali sono le opportunità di estrarre informazioni utili, di tracciare gli eventi – e la loro cronologia –  e preservare quindi le prove contro i crimini attraverso cloud? Ci sono difficoltà a rintracciare dove si trovano fisicamente i dati utili e quale è l’impatto sul carico di lavoro?

LUCA: Considero il cloud un’estensione naturale della Mobile Forensics, poiché il cloud – in particolare per iOS – rappresenta un ecosistema in cui il dispositivo mobile è strettamente integrato insieme agli account e ai dati associati. Quando il dispositivo è sbloccato, è relativamente semplice ottenere i dati cloud correlati, utilizzando le giuste soluzioni software.

La collaborazione dei vari provider, tuttavia, varia notevolmente. Dipende sia dalle politiche del provider – con esempi come Telegram, che fino al 2024 ha mantenuto una linea di rigida riservatezza – sia dal tipo di cifratura implementato. Se viene utilizzata la crittografia end-to-end, il provider non è tecnicamente in grado di fornire i dati, poiché, almeno ufficialmente, non dispone delle chiavi di decrittazione.

Ogni fornitore di servizi dispone comunque di un portale dedicato a cui le forze dell’ordine possono accedere per richiedere informazioni, insieme a una lista di dati “comunicabili” che variano a seconda del provider. Un aspetto interessante è la possibilità, introdotta dal GDPR, di richiedere un backup dei propri dati personali, che può essere utilizzato in ambito forense senza dover accedere al portale delle forze dell’ordine. Un esempio è Google Takeout, che consente di ottenere informazioni sulle connessioni o sulla propria geolocalizzazione in un dato momento.

L’accesso al cloud offre quindi l’opportunità di estrarre informazioni utili e ricostruire cronologie di eventi con maggiore precisione, ma presenta anche delle difficoltà. La localizzazione fisica dei dati non è sempre chiara, poiché i server possono essere distribuiti in diverse giurisdizioni, il che complica i tempi e le modalità di accesso. Inoltre, il processo può aumentare significativamente il carico di lavoro, richiedendo verifiche incrociate e analisi approfondite per garantire che i dati raccolti siano utilizzabili e validi ai fini dell’indagine.

9 – O: Il leak Cellebrite (2023) e del suo concorrente svedese MSAB, sembra abbia evidenziato che l’accesso a diversi tipi di smartphone bloccati – nello specifico  alcuni modelli di iPhone sul mercato dall’aprile del 2024 – fosse ancora ‘In Research”. Tuttavia l’accesso alle informazioni di qualsiasi dispositivo è solo questione di tempo, perché se i criminali sfruttano l’ubiquità dei dispositivi mobile, dall’altra gli investigatori forensi ricercano, identificano e sviluppano nuove opportunità per tecnologie sempre più efficienti. 

Quali sono le possibilità di acquisizione di dati dai dispositivi bloccati e come lavora la Mobile Forensics in materia di ricerca e sviluppo?

LUCA: Le possibilità di acquisire dati da dispositivi bloccati dipendono da numerosi fattori, come la marca, il modello, le patch di sicurezza, la versione del sistema operativo e i componenti hardware. In particolare, per Android, il tipo di chipset può influenzare drasticamente le opzioni di sblocco, poiché diversi chip richiedono approcci specifici.

Le aziende che operano nella Mobile Forensics, non solo quelle da citate ma anche Compelson per restare in Europa, si avvalgono di robusti team di ricerca e sviluppo formati da esperti e sviluppatori. Questi team sono costantemente impegnati a individuare nuove vulnerabilità nei dispositivi mobili e a sviluppare soluzioni efficaci per l’acquisizione dei dati. Questa continua ricerca di soluzioni per lo sblocco, da un lato, apre nuove possibilità di acquisizione in ambito forense e, dall’altro, rappresenta uno stimolo per i produttori a rafforzare continuamente le misure di sicurezza. In questo modo, l’evoluzione della Mobile Forensics contribuisce anche a migliorare complessivamente il livello di protezione dei dispositivi mobili, elevando gli standard di sicurezza a vantaggio di tutti gli utenti.

10 – O: Mobile Forensics avanzata: per affrontare le varie sfide in campo – tecniche, legali e etiche –  sono necessarie sempre più capacità e risorse tecniche avanzate, per rilevare, decodificare, decifrare e interpretare correttamente le prove recuperate dai dispositivi mobili.

Puoi raccontarci da tecnico lo stato attuale della mobile forensics, quali sono le sfide più complesse e significative, le tecniche avanzate per affrontarle e puoi anticipare anche qualcosa sul futuro e le direzioni fondamentali della ricerca?

LUCA: Le problematiche principali riguardano tre aree chiave: la possibilità di sbloccare i dispositivi, l’acquisizione completa dei contenuti (cosiddetta acquisizione fisica o Full File System), e la capacità di analizzare il numero crescente di applicazioni. La qualità della reportistica è un’altra area di grande interesse, poiché rappresenta il modo in cui i dati raccolti vengono interpretati e presentati per essere utilizzati in ambito investigativo.

L’introduzione dell’Intelligenza Artificiale è una delle direzioni più interessanti. Nell’ambito della Mobile Forensics, l’IA è già utilizzata per l’analisi e il riconoscimento automatico di foto e video associati a contenuti CSAM, armi e violenza. Recentemente, è stato introdotto anche il riconoscimento vocale per la trascrizione di file audio, una funzione che consente di risparmiare tempo prezioso e di rendere le indagini più efficienti.

Inoltre, si prevede che gli sviluppatori si concentreranno sempre più sulle possibilità di acquisizione da cloud, che rappresenta ormai un’estensione fondamentale della Mobile Forensics, e sui dispositivi meno comuni rispetto ai classici smartphone e tablet, come gli smartwatch. Gli smartwatch, in particolare, stanno già dimostrando la loro utilità, poiché permettono di acquisire parametri vitali e di ricostruire dettagli essenziali, come l’ora del decesso o segni di un malessere improvviso. Con il diffondersi di dispositivi connessi, dai dispositivi IoT agli indossabili, questa tendenza continuerà a crescere, espandendo le aree di analisi forense digitale.

11 – O:  Gli strumenti di intelligenza artificiale che analizzano enormi set di dati e l’automazione possono aiutare gli analisti forensi ad accelerare le indagini e migliorare la qualità dei dati prodotti?

LUCA: Assolutamente sì. L’uso dell’intelligenza artificiale e dell’automazione offre un supporto decisivo agli analisti forensi, soprattutto nei casi che richiedono la gestione di enormi quantità di dati, come nelle indagini su larga scala che coinvolgono aziende o multinazionali.

Nella Mobile Forensics, l’IA è da anni impiegata per il riconoscimento di elementi specifici all’interno di file multimediali. Tra le sue applicazioni principali troviamo il riconoscimento facciale, che consente di filtrare rapidamente grandi quantità di immagini per identificare soggetti con caratteristiche specifiche (come sesso, presenza di occhiali, etnia, e altre caratteristiche distintive). Questa tecnologia facilita enormemente l’analisi, permettendo agli investigatori di focalizzarsi sugli elementi più rilevanti per l’indagine e riducendo il tempo necessario per esaminare manualmente il materiale visivo.

12 – O: La disciplina della scienza forense digitale è diventata più dinamica diventando predittiva, ovvero passando dall’analisi reattiva post-incidente alla prevenzione proattiva dei crimini e all’intelligence strategica sulle minacce. Come commenti questa dichiarazione?

LUCA: Qui si sconfina un po’ dalla Mobile e si entra nella Cyber Threat Intelligence. La dichiarazione è assolutamente corretta e riflette una tendenza fondamentale nella scienza forense digitale, che non si limita più all’analisi reattiva post-incidente ma si è evoluta verso un approccio proattivo, mirato alla prevenzione e all’intelligence sulle minacce. Questo cambiamento rappresenta una naturale evoluzione della disciplina, soprattutto in relazione alla Cyber Threat Intelligence, che è una delle aree più avanzate e dinamiche nella sicurezza informatica.

13 – O: Te lo devo chiedere: come hai sviluppato interesse per l’informatica forense, quando è nato esattamente e per quale motivo e quanti dispositivi hai aperto e studiato per migliorare le tue capacità? 

LUCA: Mi è sempre piaciuta l’idea di mettere le mie competenze e qualità al servizio della comunità, in particolare a supporto delle forze dell’ordine. Dopo l’università, ho seguito un corso europeo in sicurezza delle reti, e da lì è iniziato il mio percorso in questo settore.

14 – O: Che cosa significa per te la parola hacker? 

LUCA: “Pioniere” nel suo significato originario. Dal mondo hacker è nato tutto quello che oggi definiamo Sicurezza Informatica. Anche se i primi hacker che ho conosciuto sono, per chi se li ricorda, quelli del mitico X-Files.

15 – O: Quanto è importante per comprendere  tendenze e minacce emergenti nello spazio mobile, aver conoscenza delle parti hardware e software dei dispositivi? 

LUCA: Nella Mobile Forensics, l’aggiornamento costante è essenziale: basta un aggiornamento del sistema operativo, una modifica a un’app, l’introduzione di una patch di sicurezza o un aggiornamento dei software di acquisizione per modificare radicalmente le  possibilità di acquisizione e analisi. Per questo è fondamentale rimanere informati tramite un proprio network di colleghi, seguendo blog specializzati, LinkedIn, newsletter e partecipando a webinar dei produttori.

16 – O: Una domanda che si fanno tutti – ma proprio anche i tecnici più esperti – è:” il mio cellulare è spiato o hackerato?” Pui dare alcune risposte per aiutare ad indentificare il problema o consigli per proteggere i dati sui dispositivi? 

LUCA: Il problema esiste, ma nella mia esperienza personale, nella maggior parte dei casi si tratta di suggestione. A meno che non si sia un target di alto profilo (come un politico o un dirigente aziendale), è molto raro che qualcuno sia disposto a investire in un software di spionaggio remoto, data la complessità e il costo di tali operazioni. È più probabile, invece, che un convivente o qualcuno con accesso fisico al dispositivo possa disattivare le opzioni di sicurezza e installare app spia sul telefono.

In caso di sospetti, è consigliabile confrontarsi con un esperto, il quale potrebbe suggerire un’analisi approfondita del dispositivo. Tuttavia, questa procedura può essere costosa e talvolta più dispendiosa del valore del telefono stesso; in questi casi, potrebbe convenire semplicemente formattare il dispositivo. Un’altra considerazione importante è distinguere tra il rischio di spionaggio attraverso il dispositivo stesso, che è in genere ben protetto, e quello tramite i propri account. Gli account come iCloud, Google o Facebook possono fornire molte informazioni a un attaccante se compromessi. Anche l’analisi dei social media (commenti, post, foto e storie) può rivelare molti più dettagli sensibili di quanto si possa normalmente immaginare. Attraverso queste informazioni, un potenziale attaccante può tracciare abitudini, contatti, luoghi frequentati e persino momenti privati, creando un profilo dettagliato della persona.

I consigli pratici per proteggere i propri dati sono essenzialmente comuni a tutta la sicurezza informatica e includono:

  • Usare un gestore di password per generare e memorizzare password uniche e complesse per ogni account.
  • Attivare, ove possibile, l’autenticazione a due fattori (2FA) per aggiungere un ulteriore livello di sicurezza.
  • Evitare il segno di sblocco sullo smartphone e preferire PIN complessi o password, prestando attenzione al shoulder surfing, ovvero il rischio che qualcuno possa osservare le credenziali di sblocco.
  • Evitare di scrivere le password su supporti non sicuri e mantenerle lontane da luoghi facilmente accessibili.
  • Controllare regolarmente le impostazioni di privacy sui social media e limitare le informazioni personali visibili pubblicamente.
  • Aggiornare costantemente software e applicazioni per beneficiare delle ultime patch di sicurezza e correzioni di vulnerabilità.

Adottare queste pratiche riduce il rischio di accessi non autorizzati e protegge efficacemente i propri dati sia su dispositivi mobili che su account online.

Olivia Terragni
Autore, ex giornalista, laureata in Lettere e Filosofia con indirizzo storico-economico e poi in Architettura, ha poi approfondito i suoi studi in Network Economy e in Informations Economics, conclusi con un Master in Cyber Security e Digital Forensics e un Master in Filosofia e Governance del Digitale. Appassionata di innovazione tecnologica e sistemi complessi e della loro gestione nell’ambito della sicurezza e della loro sostenibilità in contesti internazionali. Criminalista. Velista ottimista.