ANALIZZARE DISPOSITIVI SENZA INTERFACCE O DISTRUTTI: LA “CHIP-OFF” FORENSICS

di Nanni Bassetti

1- Introduzione
La tecnica d’indagine forense c.d “chip-off” rappresenta l’estremo tentativo di recuperare dati ed informazioni da un dispositivo, quasi sempre di tipo mobile (come ad es. il telefono cellulare, il tablet, la pendrive, il navigatore satellitare, l’unità GPS, la game console, il registratore digitale, ecc..), soprattutto quando non vi è modo di connettersi a causa della mancanza d’interfacce o perché il dispositivo è quasi totalmente distrutto. La tecnica del chip-off prevede, infatti, il distacco e l’estrazione del chip flash di memoria interno al dispositivo tramite la dissaldatura dello stesso.

Una tecnica meno invasiva del “chip-off” è l’acquisizione dei dati tramite porta JTAG (Joint Test Action Group), che permette ad un particolare hardware di connettersi alle porte JTAG del dispositivo, se presenti, e leggere i dati direttamente dal chip in esso contenuto. Questa tecnica richiede l’utilizzo dell’attrezzatura necessaria per aprire il dispositivo al fine di rivelare le porte JTAG, per effettuare un nuovo cablaggio, per collegare i fili appropriati dalle porte JTAG – Test Access Ports (TAPs) al software e all’hardware utilizzato per la lettura delle informazioni. Questa tecnica richiede, inoltre, personale specializzato e comporta difficoltà nell’interpretazione e decodifica dei dati come per il “chip-off” , pur essendo sicuramente preferibile poiché meno invasiva e non necessita di dissaldare alcunché, ma non è sempre applicabile.

Quando tutto sembra impossibile ed ogni altra tecnica d’indagine forense fallisce o non è applicabile, si pensa al “chip-off”. Vediamo però di seguito se la tecnica può essere considerata di facile applicazione e se fornisce ciò che si cerca.
Se prendiamo in esame il classico telefono cellulare, normalmente le informazioni contenute sono acquisite mediante software ed hardware specializzati, i quali riescono ad accedere alle memorie interne dei dispositivi ed effettuano il cosidetto “dump”, generando files binari che poi vengono interpretati (parsing) e resi leggibili da sofisticati software d’analisi.

Per far tutto questo occorre connettere il telefonino tramite porte, cavi ed interfacce al computer o al macchinario dedicato, ma non sempre questo è possibile: a volte il dispositivo è completamente distrutto o danneggiato o non ha porte esterne di comunicazione, quindi la soluzione più razionale rimane effettivamente quella di dissaldare i chip e farli leggere da macchine dedicate.
Questa tecnica può esser applicata per estrarre dati da qualsiasi dispositivo che utilizzi una memoria di tipo flash (NAND, NOR, OneNAND o eMMC). I chip più comuni sono di due tipi, i TSOP (Thin Small Outline Package) ed i BGA (Ball Grid Array), i primi (TSOP) sono più facili da dissaldare per la loro morfologia, perchè hanno i piedini di connessione esterni attorno al bordo del chip, oltre che non richiedono la procedura di ricostruzione dei connettori. I chip BGA possono avere dai 40 ai 225 piedini distanziati a meno di 1mm tra loro.

Le fasi del “chip-off” sono tre:

  1.     dissaldamento dei chip,
  2.     dump del contenuto binario,
  3.     ricostruzione dei dati ed analisi.

Fase 1 – Il dissaldamento
Il chip flash NAND (memoria) viene fisicamente rimosso dal dispositivo da una dissaldatura effettuata con attrezzature speciali che utilizzano un getto d’aria calda o una stazione a raggi infrarossi, e un strumento con effetto ventosa per rimuovere il chip.

…continua su EDICOLeA


Altri articoli di Nanni Bassetti

Intelligenza artificiale prospettive per la sicurezza e la digital forensics -
di Nanni Bassetti (N. II_MMXXI)
Si sente molto parlare di intelligenza artificiale (AI o IA), machine learning e deep learning negli ultimi tempi, in realtà è un argomento che affonda le sue radici a parecchi decenni fa, infatti l’IA fu teorizzata e poi sviluppata con modelli matematici sin dal 1956 ad opera di nomi eccelsi come John McCarthy, Marvin Minsky, Claude Shannon e Nathaniel Rochester, fino a giungere ai giorni nostri che la stanno valorizzando molto dal punto di vista di sviluppo, grazie all’evoluzione dell’hardware più potente e di molte librerie software gratuite ed open source, sviluppate dai numerosi ricercatori sul web.
Le procedure ed i metodi della digital forensics sono così importanti? -
di Nanni Bassetti (n.I_MMXVIII)
Che impatto avrebbe il non effettuare una copia bit a bit e non calcolare i codici hash sull’attendibilità dei dati che saranno analizzati? Accendere un computer per ispezionarlo prima di acquisire la copia dei dischi, cosa comporta? Spesso sembra che adottare delle procedure sia solo un esercizio di stile, a avolte sembre importante solo trovare le evidenze.
Un esempio pratico di memory forensics con l’open source -
di Nanni Bassetti (n.IV_MMXVI)
La memory forensics, ossia le indagini sul contenuto della memoria RAM di un dispositivo digitale come un computer, rappresentano una materia abbastanza complessa, infatti occorre conoscere molto bene come funzionano i processi ed il sistema operativo, al fine di comprendere cosa è in esecuzione e quali file sono coinvolti. In quest’articolo si tratterà un piccolo esempio di “malware hunting” (caccia al malware) per illustrare come con degli strumenti open source ed online, si può trovare il software maligno che infesta un computer, chiaramente è un percorso semplice per fini descrittivi e didattici, dato che scovare i malware e le loro varie declinazioni spesso è molto più complicato.
COME AFFRONTARE I “BIG DATA” NELLA DIGITAL FORENSICS -
di Nanni Bassetti (n.II_MMXV)
L’aumento incontrollato di dati è diventato un ostacolo per gli investigatori informatici, che devono affrontare una corsa agli armamenti informatici per far fronte a questo tsunami digitale. Analisi di alcuni sistemi organizzativi che potrebbero aiutare a vincere questa battaglia.
I dati telefonici per finalità giudiziarie nelle applicazioni reali -
di Nanni Bassetti e Paolo Reale (n.III_MMXIV)
Overview dei dati che gli operatori telefonici possono fornire al fine di tracciare l’attività e la localizzazione dell’utente, ed un commento alle leggende “high tech” create nel tempo su essi.
ANALIZZARE DISPOSITIVI SENZA INTERFACCE O DISTRUTTI: LA “CHIP-OFF” FORENSICS -
di Nanni Bassetti (n.I_MMXIV)
La tecnica d’indagine forense c.d “chip-off” rappresenta l’estremo tentativo di recuperare dati ed informazioni da un dispositivo, quasi sempre di tipo mobile (come ad es. il telefono cellulare, il tablet, la pendrive, il navigatore satellitare, l’unità GPS, la game console, il registratore digitale, ecc..), soprattutto quando non vi è modo di connettersi a causa della mancanza d’interfacce o perché il dispositivo è quasi totalmente distrutto.
IL FUTURO DELLA DIGITAL FORENSICS -
di Nanni Bassetti (n.IV_MMXIII)
Nel futuro della Digital Forensics si cominciano a intravedere scure nubi, formate da ostacoli di non piccolo cabotaggio. Durante le vostre ricerche potrete imbattervi in alcuni di questi baubau della Digital Forensics, vere e proprie innovazioni tecnologiche e culturali, che potrebbero spazzar via tutto quello che finora si è cercato di consolidare.
Giustizia ed informatica forense: particolarità ed eccezioni -
di Nanni Bassetti e Paolo Reale (n.III_MMXIII)
Il Consulente Tecnico esperto in Digital Forensics si imbatte in situazioni di natura paradossale durante le operazioni eseguite su disposizione dell’autorita’ giudiziaria in materia civile e penale. Vediamone alcuni aspetti, come la mancanza dei requisiti richiesti a ricoprire tale ruolo e le tariffe relative alla sua remunerazione.
Exit mobile version