Recupero dati da dispositivi danneggiati, la tecnica del chip-off: cos’è e come funziona

Volta: 05/May Di: kenglenn 940 Visualizzazioni

I NOSTRI SERVIZISERVIZISeguiciAREA PREMIUMWhitepaperEventiWebinarCANALICybersecurity nazionaleMalware e attacchiNorme e adeguamentiSoluzioni aziendaliCultura cyberL'esperto rispondeNews analysisChi siamoLA GUIDA PRATICAHomeSoluzioni aziendaliCondividi questo articolo

Tra le tecniche di recupero dati, quella del chip-off viene tipicamente utilizzata durante le analisi forensi e nei casi in cui il dispositivo è completamente distrutto oppure non esiste alcuna interfaccia di collegamento per l’estrazione. Ecco come metterla in pratica, i rischi e le problematiche più comuni

17 Nov 2021VMichele VitielloConsulente informatico forense

La tecnica del chip-off rappresenta un metodo di recupero dati che viene utilizzata in casi estremi, quando il dispositivo è completamente distrutto oppure non esiste alcuna interfaccia di collegamento per l’estrazione.

Indice degli argomenti

Recupero dati: come e quando usare il chip-off

Il chip-off viene solitamente scelto come ultima soluzione, dopo aver tentato tutte le tecniche di data recovery meno complesse e invasive, come ad esempio l’utilizzo di software forensi (Cellebrite UFED o Oxygen Forensic Detective), la riparazione del dispositivo e l’estrazione mediante JTAG (Joint Test Action Group).

WHITEPAPERTecnologie di storage per modernizzare l'infrastruttura IT: scopri i vantaggi per gli Operatori IT!StorageBackupScarica il Whitepaper

Il chip-off prevede lo smontaggio dell’apparato e l’individuazione della memoria e, proprio come suggerisce il nome, la rimozione del relativo chip che contiene tutte le informazioni di interesse.

Il chip-off può essere eseguito, oltre che sulle pendrive USB, anche sui cellulari e su alcune tipologie di smartphone e tablet, lettori musicali, registratori audio e qualsiasi altro dispositivo dotato di memoria.

Questa tecnica è utilizzata per il recupero da memorie di tipo flash (eMMC, NAND, OneNAND e NOR) e i chip possono essere di due tipi: i BGA (Ball Grid Array) e i TSOP (Thin Small Outline Package).

Due immagini di chip BGA e TSOP.

Recupero dati da dispositivi danneggiati, la tecnica del chip-off: cos’è e come funziona

I chip BGA sono molto più difficili da dissaldare, in quanto sono dotati dai 40 ai 255 PIN di contatto posizionati nella parte inferiore del chip, mentre i TSOP hanno una serie di piedini esterni collocati ai lati.

Ovviamente, in base alla tecnologia di sviluppo, varia il tipo di dissaldatore da utilizzare, per i BGA è consigliabile utilizzare quello ad infrarossi, in quanto è in grado di scaldare e dissaldare da entrambi i lati grazie alla piastra posta alla base, facilitando quindi la rimozione, mentre per i TSOP basta semplicemente quello ad aria calda, in quanto bisogna scaldare semplicemente i lati e procedere alla dissaldatura.

Recupero dati: le fasi della tecnica del chip-off

Di seguito vengono proposte le varie fasi da seguire necessarie per portare a termine la tecnica del chip-off:

  1. smontaggio dell’apparato danneggiato ed individuazione del chip di memoria;
  2. dissaldatura del chip utilizzando la strumentazione adatta;
  3. pulizia del chip con prodotti chimici adatti e verifica dello stato conseguente alla dissaldatura;
  4. collegamento del chip a lettori e strumentazione specialistica, al fine di estrapolare le informazioni allo stato grezzo (DUMP della memoria);
  5. conversione dei dati per renderli leggibili all’utente.

Concetti generali e struttura dei chip Flash

I dispositivi che montano memorie flash possono avere diverse interfacce di collegamento: USB, SATA, SD, microSD, MS, XD e via dicendo.

I dati per essere salvati all’interno del dispositivo transitano in primis dall’interfaccia di collegamento, successivamente il controller li processa seguendo specifiche regole e scrive il risultato all’interno dei chip di memoria, nel momento in cui i dati mutano, il controller corregge tutte le informazioni e sostituisce quanto variato.

Per quanto riguarda la procedura inversa, il controller legge i dati di interesse dal chip, effettua le dovute manipolazioni per renderli accessibili all’utente e li trasmette all’interfaccia di collegamento.

Tutte le fasi di lettura, acquisizione, conversione e salvataggio dei dati vengono effettuate mediante l’ausilio di specifiche suite di data recovery, una tra le più utilizzate è AceLaboratory PC3000 Flash.

Rischi e problematiche del chip-off

La tecnica del chip-off è un’operazione molto complessa, perché essendo composta da diverse fasi delicate è molto alta la possibilità di commettere errori: bisogna infatti essere molto bravi sia dal punto di vista manuale che nell’utilizzo di specifici software.

Se il procedimento di rimozione del chip non viene eseguito da esperti del settore, si possono arrecare gravi danni, molto spesso permanenti, portando infine alla perdita di tutti i dati in esso contenuti.

La fase più difficile e delicata è sicuramente la dissaldatura del chip: bisogna essere in grado di dosare con maestria la temperatura e avere molta manualità e pazienza, oltre che un adeguato kit di strumentazione.

Recupero dati: chip off e informatica forense

Durante lo svolgimento di indagini giudiziarie non è affatto raro imbattersi in soggetti che hanno tentato di eliminare le prove del reato utilizzando metodi fantasiosi, cimentandosi in imprese quali lanciare il tablet dalla finestra, buttare lo smartphone nel WC oppure tritare le pendrive USB nel frullatore.

Non essendo a conoscenza della tecnologia che sta alla base del funzionamento, hanno erroneamente pensato di distruggere l’apparecchio in svariati modi, rimanendo comunque incastrati in quanto è stato possibile recuperare i dati, dato che i chip di memoria erano rimasti intatti. E aiutando, di fatto, le indagini ammettendo involontariamente la presenza di dati rilevanti sul dispositivo che si è tentato di distruggere.

Durante le fasi di copia forense è sempre necessario certificare il metodo di acquisizione, nel caso dei chip-off, dato che si tratta di un accertamento irripetibile. È consigliabile riprendere tutte le fasi che portano all’estrapolazione dei dati, al fine di dimostrare a soggetti terzi le operazioni effettuate.

Come per qualsiasi altro metodo di estrazione dati, anche nel caso del chip-off è possibile recuperare tutti i dati presenti e cancellati non ancora sovrascritti salvati in memoria.

@RIPRODUZIONE RISERVATAPersonaggiMMichele VitielloArgomentiBBackupCCloudDdata recoveryIinformatica forenseCanaliSoluzioni aziendaliSoluzioni aziendaliLA GUIDA COMPLETA

Honeypot: a cosa servono, come funzionano e il ruolo nelle strutture di difesa cibernetica

15 Apr 2021di Ricardo NardiniCondividi il postCondividi Soluzioni aziendaliSOLUZIONI TECNOLOGICHE

Backup dati: strategie operative e responsabilità legali di chi deve occuparsene

29 Apr 2021di Mirko Cazzolla, Monia DonateoCondividi il postCondividi Soluzioni aziendaliLA GUIDA PRATICA

Backup dei dati: cos’è, a cosa serve e le soluzioni per farlo, anche sul cloud

07 Mag 2021di Fabio Ferraro, Daniele Marino