Film e serie televisive ci hanno insegnato che è possibile recuperare dati da strumenti mobili (non parliamo quindi solo di smartphone e tablet, ci sono anche i droni, i GPS, gli smartwatch, e via dicendo), ma non sempre crediamo a queste fonti, oppure pensiamo che se danneggiati non sia assolutamente possibile risalire al loro contenuto: eppure ci sbagliamo, è davvero fattibile!
Quindi, se crediamo che la nostra strumentazione caduta in acqua, o danneggiata apparentemente da qualche liquido, o ancora con lo schermo rotto, oppure che è stato bruciato, o ancora rotto da una pallottola, abbia perso completamente tutti i dati al suo interno, beh, ci sbagliamo di grosso!
Sicuramente il recupero delle informazioni al loro interno necessiterà di tempistiche dilatate e di particolari tecniche (pazienza, buona vista e manine d’oro), ma ciò non significa che ciò non sia possibile. Generalmente, per fare ciò lo smartphone, o qualsiasi altra strumentazione mobile che abbiamo nominato inizialmente, viene smontato con attenzione di modo da accedere al chip della memoria. Questi dovrà essere rimosso, dalla scheda, con delicatezza di modo da non rovinarlo irreparabilmente e montato, in un secondo momento, in un lettore per chip che supporti ovviamente il suo specifico modello.
Ma, cerchiamo di andare più nel dettaglio, e prendiamo ad esempio lo smartphone. Le ultime generazioni di questa strumentazione contiene due tipi di memoria la RAM e la NAND (nel tempo la NOR è stata esclusa), la seconda generazione invece conteneva tutte e tre le memorie, mentre la prima solamente la NOR e la RAM; in specifico la RAM è una memoria di natura volatile, utilizzata per eseguire i programmi e che solo con le tecniche di ultima generazione oggi è possibile recuperarla, la NAND è una memoria flash che contiene grafici, audio, video ed altri tipi di files, compresi logs e archivi di vario genere; la NOR includeva il kernel, i drivers, le librerie di sistema e collezionava dati.
Ma, caliamoci nello specifico, e diamo un’occhiata ai metodi utilizzati per recuperare i dati che ogni giorno vengono migliorati e studiati:
- Estrazione manuale, alla fine è qualcosa che possiamo fare anche noi tutti i giorni perché coincide con il visionare i contenuti dei dati all’interno dell’archivio della strumentazione. Possiamo farlo utilizzando lo schermo LCD del sistema ed accedere, ad una ad una, alle varie cartelle e files. Durante l’estrazione manuale è possibile anche recuperare dati che sono stati cancellati dal proprietario del sistema questo perché, in realtà, quando cancelliamo i dati vengono modificati solamente i registri della memoria e nient’altro, pertanto a meno ché la memoria non sia stata completamente riempita e, quindi, sia andata a sovrascrivere sulle tracce lasciate dai dati cancellati; tali dati saranno ancora lì “dormienti” e recuperabili. Ovviamente, se lo schermo o la tastiera sono rotti, oppure se il linguaggio utilizzato sullo strumento è sconosciuto al tecnico che lo sta visionando, sarà più difficile utilizzare questo tipo di estrazione.
- Estrazione logica, possiamo utilizzare anche noi facilmente questo metodo poiché consiste nel collegare lo sctrumento ad un computer tramite cavetto USB, per esempio, o utilizzando il Wi-Fi o ancora il Bluetooth. Logicamente, a seconda del metodo utilizzato per il collegamento si potrebbero presentare diverse problematiche che potenzialmente potrebbero andare a modificare dei fati.
- Hex Dumping e JTAG (Joint Test Action Group), permettono, tramite un collegamento USB o Wi-Fi, di avere accesso ai dati raw archiviati nella memoria flash; ciò significa che i dati devono essere decodificati dalla strumentazione utilizzata che non sempre è in grado di estrarre tutte le sezioni di memoria.
- In specifico la tecnica dell’Hex Dumping si focalizza nel caricamento del boot loader in un’altra area di memoria protetta (per esempio la RAM) sullo strumento in analisi tramite la connessione di una delle porte ad un flasher box (inizialmente progettate per riparare o aggiornare i dispositivi oggi vengono anche utilizzate per facilitare l’estrazione dei dati) e di quest’ultimo ad un computer, o workstation. Attraverso dei comandi si imposta lo strumento in modo che entri in modalità diagnostica cosicché la flasher box catturi tutte le sezioni della memoria flash ed invii dali dati alla workstation.
- La tecnica del JTAG che viene ampiamente utilizzata nel recupero dati raw, ovvero grezzi, è relativa ad un test dell’interfaccia per il processore, la memoria ed altri chips semiconduttori supportata dalla maggiorparte di costruttori. Attraverso dei dispositivi specifici ci si può connettere ai JTAG per sondare i vari punti del test. Rispetto all’Hex Dumping è un metodo maggiormente invasivo perché, tendenzialmente, richiede di smantellare parte del dispositivo in analisi per stabilire le connessioni di cablaggio.
- Chip-off, in questo caso ci riferiamo all’attenta rimozione ed estrazione manuale della memoria flash che permette la creazione di un’immagine binaria del suo contenuto. Generalmente, dove possibile si predilige la tecnica JTAG che è stata dimostrata dare risultati finali molto simili al chip-off senza però richiedere il livello di delicatezza e preparazioni che questi necessita.
- Lettura Micro, significa registrare ed osservare fisicamente le porte del chip NANS o NOR attraverso l’uso di un microscopio elettronico; è la tecnica meno utilizzata e che viene messa in atto solo in caso tutti gli altri tentativi siano falliti. Questa tecnica è particolarmente costosa sia in termini di strumentazione richiesta, che di preparazione del personale adetto all’acquisizione di dati e proprio per questo viene utilizzata solamente in casi limite come, per esempio, in sistuazioni che coinvolgano la sicurezza nazionale.
Quindi, sì, i dati del nostro smartphone caduto in acqua sono recuperabili (comunque, se ripescato quasi subito, consigliamo il tentativo del pacco di riso, ovvero quello di lasciarvelo per alcuni giorni al suo interno cosicché si asciughi e, poi, tentare di riavviarlo: di solito funziona), la domanda che dobbiamo farci è solo questa: quando tempo o denaro vogliamo spendere per riprenderci quei dati?