Data recovery
Memory Card
I supporti Memory Card attualmente più utilizzate per affidabilità, compattezza e capienza, sono le Secure Digital o SD. Più diffuse attualmente sono le microSD o tf-card. Le SD, come le microSD hanno capacità di memorizzazione, attualmente di circa 2Tb in grado di memorizzare, in digitale, grandi quantità di informazioni all'interno di memorie flash. Sono composte, sostanzialmente, da un controller e da una memoria flash di tipo NAND, il tutto sigillato in un supporto in silicio. Tra le memory card riusciamo a estrarre dati anche da Compact flash, memory stick, multimedia card e XD-picture card. Tra i metodi di estrazione e recupero dati, analizziamo in primis, lo stato fisico della memoria affinché non abbia danni fisici, ad es, crepe o lesioni che potrebbero aver danneggiato la memoria. Appurato lo stato fisico della memoria si procede ad un’analisi software della memoria per determinare l’integrità del supporto. Questo controllo è fondamentale per determinare il tipo di lavorazione da affrontare.
Lettura file cancellati tramite software di recupero di dati cancellati. Si consiglia di non usare la memoria, in quanto l’uso potrebbe sovrascrivere i dati di interesse.
Ripristino file system tramite degli script e un software ideati da noi, possiamo recuperare la partizione corrotta e recuperare i dati, ove possibile.
Lettura diretta della memoria (ISP). Questo metodo è il più complesso, in termini di recupero, in quanto si effettuano delle saldature sulla memoria su dei test point che andiamo a ricavare, per poi andare a leggere i dati grezzi direttamente dal chip di memoria. Effettuata questa lettura, i file vengono analizzati, ricostruiti (ove possibile) e interpretati per consegnare al cliente il dato leggibile.
Hard Disk
Gli Hard Disk sono supporti di memorizzazione di grandi dimensioni, ma molto fragili. Sono composti principalmente da un controller che guidano una testina e dei dischi (piatti) dove vengono incisi i dati in maniera elettromagnetica tramite degli impulsi che polarizzano elettronicamente dei settori. Attualmente in commercio esistono dischi che possono arrivare a 6 Tb di memoria. Usati su larga scala su vari dispositivi quali: DVR di videosorveglianza, pc, registratori, NAS e dispositivi che hanno necessità di alte capienze di dati. Attualmente, gli hard disk, a causa della loro bassa velocità di scambio dati, sono rimpiazzati dagli SSD (dischi a stato solido). Tra i metodi di estrazione e recupero dati, come per le memory card, analizziamo in primis, lo stato fisico della memoria affinché non abbia danni fisici. Appurato il buon stato fisico della memoria si procede ad un’analisi software della memoria per determinare l’integrità del supporto. Questo controllo è fondamentale per determinare il tipo di lavorazione da affrontare.
N.B. TUTTE LE LAVORAZIONI DI RIPRISTINO DEL DISCO VENGONO EFFETTUATE IN CAMERA BIANCA
Lettura file cancellati tramite software di recupero di dati cancellati. Si consiglia di non usare la memoria, in quanto l’uso potrebbe sovrascrivere i dati di interesse.
Ripristino file system tramite un software, vengono recuperate e ripristinate le partizioni e i settori corrotti e recuperati i dati, ove possibile.
Lettura e correzione firmware del supporto. Tramite questa procedura viene ripristinato il software di gestione del controller.
Sostituzione testine. Questa procedura viene effettuata se le testine si deteriorano a causa dell’uso intenso del supporto, oppure, a guasti di tipo meccanico.
Pendrive
Le Pendrive sono supporti movibili utilizzati generalmente per portare piccole quantità di dati, attualmente si è arrivati a 256Gb. Anche questi, come le memory card sono composte da una memoria che può essere di tipo NAND oppure EMMC, il tutto racchiuse in un involucro plastico. Recentemente le pendrive, per avere un incremento di prestazioni, robustezza e dimensioni, vengono incapsulate in un involucro al silicio, come le memory card, che vengono chiamate monolite. Tra i metodi di estrazione e recupero dati, come per le memory card, analizziamo in primis, lo stato fisico della memoria affinché non abbia danni fisici. Appurato il buon stato fisico della memoria si procede ad un’analisi software della memoria per determinare l’integrità del supporto. Questo controllo è fondamentale per determinare il tipo di lavorazione da affrontare.
Lettura file cancellati tramite software di recupero di dati cancellati. Si consiglia di non usare la memoria, in quanto l’uso potrebbe sovrascrivere i dati di nostro interesse.
Ripristino file system tramite degli script e un software ideati da noi, possiamo recuperare la partizione corrotta e recuperare i dati, ove possibile.
Lettura diretta della memoria (ISP). Questo metodo è il più complesso e il più duraturo, in termini di recupero, in quanto si effettuano delle saldature sulla memoria su dei test point che andiamo a ricavare, per poi andare a leggere i dati grezzi direttamente dal chip di memoria. Effettuata questa lettura, i file vengono analizzati, ricostruiti (ove possibile) e interpretati per consegnare al cliente il dato leggibile. Questa procedura viene utilizzata prevalentemente su pendrive monolite.
Metodo chip-off. Consiste nello staccare fisicamente il chip di memoria dalla pendrive. La lettura dei dati viene affidata ad un software che tramite dei supporti hardware preleva il contenuto della stessa. Il software simula il controller e decifra i dati contenuti nella memoria qualora non fossero cifrati. Questa metodologia viene utilizzata nel caso in cui abbiamo pendrive con chip NAND o EMMC.
Smartphone
Gli Smartphone attualmente utilizzati per la loro avanzata tecnologia per compiere qualsiasi funzione. Per questo motivo, gli smartphone tendono a stressare le memorie di cui sono dotate e può succedere che lo smartphone cessi di funzionare. Altri casi in cui è richiesto il recupero dati su smartphone possono essere rottura del display, loop causato dalla corruzione della memoria, rottura volontaria o accidentale dello smartphone, presenza di liquidi. In qualsiasi caso è buona norma staccare la batteria del terminale, ove possibile e non intervenire in alcun modo. Uno shock termico o elettrico che potrebbero compromettere il funzionamento della memoria. L’uso intensivo di questo dispositivo per fare praticamente tutto, dalla semplice foto alla gestione di un conto corrente, porta ad avere livelli di sicurezza sempre più elevati e cifrature sempre più complesse da decifrare, per garantire la sicurezza dei dati. Il nostro laboratorio, attrezzato con le migliori tecnologie in campo forense, cerca di restare al passo con i nuovi sviluppi per garantire al cliente il maggior numero di dati recuperati. Tra i metodi di estrazione e recupero dati, analizziamo in primis, lo stato fisico generale affinché non abbia danni fisici. Appurato il buon stato fisico della memoria e del terminale stesso, si procede ad un’analisi software dello smartphone per determinare l’integrità del supporto. Questo controllo è fondamentale per determinare il tipo di lavorazione da affrontare. In alcuni casi si passa alla riparazione hardware dello smartphone per facilitare e velocizzare il processo di estrazione. Per estrarre i dati da uno smartphone esistono sostanzialmente 3 metodi: backup semplice, metodo ISP e chip-off.
Backup semplice. Il più veloce e semplice in termini di dati estratti, estrae i dati visibili dal terminale, utile se si vuol conservare o copiare i dati da un terminale ad un altro, quali rubrica, sms, foto e video. Con questo metodo non vengono recuperati i dati cancellati. Di solito viene effettuato per recuperare dati da telefoni dismessi e comunque funzionanti. Questo metodo viene effettuato solo su smartphone funzionanti o con danni riparabili.
Metodo ISP. Con questo metodo vengono individuati dei punti chiave sulla piastra madre dello smartphone in modo da poter leggere il contenuto della memoria. Questo metodo non è invasivo in quanto il terminale al termine dell’estrazione potrebbe essere riutilizzato. Questa procedura viene effettuata di solito su smartphone con blocchi software quali codici di blocco non cifrati, funzionanti o con danni hardware. Questo metodo permette la lettura di file cancellati.
Chip-off. Questo metodo, il più invasivo, consiste nel rimuovere fisicamente la memoria dallo smartphone e letta successivamente su dei supporti creati ad-hoc per lo scopo. Il metodo chip-off viene effettuato sostanzialmente quando lo smartphone ha gravi danni hardware che possono impedire la lettura tramite metodo ISP.
METODO FORENSE. Con questo metodo il terminale funzionante, oppure il DUMP della memoria vengono collegati ad un software di analisi e recupero forense che consente di estrarre e certificare i dati in esso contenuti. Questo metodo permette tre tipi di estrazione logica, file system e fisica. I dati analizzati con questo metodo hanno prevalentemente valore legale in quanto al termine viene rilasciata una certificazione ed un verbale di estrazione con un codice HASH che ne certifica l’autenticità.
Estrazione logica. Permette un backup del contenuto visibile dello smartphone, questo metodo acquisisce poche informazioni (rubrica, foto, video, sms e registri chiamate). Non permette l’estrazione di dati cancellati, applicazioni di sistema o protette da cifratura (es.whatsapp, facebook, instagram).
Estrazione file system. Permette un’estrazione a livello database dei dati dello smartphone, risulta essere molto più completa dell’estrazione logica in quanto riesce a leggere i file delle app e a tenere traccia di dati cancellati dal dispositivo, riesce a scovare eventuali password o dati sensibili.
Estrazione fisica. Questa è l’estrazione più completa da poter effettuare su un dispositivo, riesce a trovare qualsiasi traccia di file nella memoria in quanto controlla bit per bit tutti i settori della memoria. Si riescono a trovare dati cancellati, ricostruire file parzialmente danneggiati, scovare password, e tutti i dati contenuti nella memoria. In alcuni casi questa procedura riesce a ritrovare file cancellati da formattazioni precedenti. Utilizzato molto spesso per la risoluzione di casi in quanto si riescono a certificare tutti i dati contenuti nella memoria.
DECRYPTING. A causa dell’uso intenso di smartphone che contengono sempre più dati sensibili, dati di conti correnti, password di bancomat, funzioni di E-PAY da cellulare, bitcoin e altri dati sensibili, molti produttori di dispositivi hanno implementato le funzioni di sicurezza rendendo molti dispositivi invalicabili. Dalla nostra esperienza, all’utilizzo di software all’avanguardia ed al nostro continuo impegno, possiamo dire che ad oggi abbiamo un ottimo margine di successo per la decrittazione di dispositivi cifrati e quindi al recupero dei dati.
