Lo specialista in Forensica digitale Matt Fullerton
Matthew Fullerton
Specialista in Forensica Digitale
Grayshift

Matthew Fullerton è un Digital Forensic Specialist di Grayshift e un esperto in materia di mobile device forensics. Prima di entrare in Grayshift, Matthew ha lavorato nelle forze dell’ordine per 13,5 anni come agente di polizia e detective. Più recentemente, Matthew è andato in pensione da un dipartimento di polizia suburbano nell’area metropolitana di Denver, dove è stato detective di polizia ed esaminatore di medicina legale digitale. Matthew possiede diverse certificazioni ed è un esperto qualificato dal tribunale in materia di Digital Forensics.

In questo post, Fullerton parla della sua vita precedente come detective di polizia, della differenza che fanno gli strumenti di estrazione dei dati quando si lavora ai casi e del senso dell’umorismo che porta con sé ovunque vada.

È ovvio che sei un #poliziotto. Qual è il vostro tipo di tecnologia preferita che amate usare ogni giorno?

Con la costante evoluzione dell’Internet delle cose (IoT), mi piace trovare modi per rendere la mia vita più semplice ed efficiente. Ho molti oggetti intelligenti in tutta la casa: lampadine intelligenti, telecamere e così via. – che sono collegati al mio piccolo ecosistema. Mi piace avere la piena connettività e la possibilità di controllare le cose mentre accadono. Mi piace anche trovare il modo di rendere le attività banali prive di cervello.

Per esempio, dimenticavo sempre di spegnere le luci esterne al mattino, quindi inevitabilmente rimanevano accese per tutto il giorno. Ora ho un ecosistema di lampadine intelligenti che posso programmare, dagli orari di accensione e spegnimento ai colori diversi per le varie festività e funzioni. Ho anche un sistema di irrigazione intelligente per gli irrigatori del prato, che utilizza i dati meteorologici per pianificare e modificare i tempi e la frequenza in base alle condizioni. Questi piccoli accorgimenti assicurano che queste attività banali vengano svolte in modo più efficiente, contribuendo a far risparmiare qualche soldo sulle bollette. Naturalmente, la cosa più bella per me è che posso controllare tutto questo con il mio smartphone da qualsiasi parte del mondo.

Quando era un investigatore forense digitale, quali tipi di casi incontrava di solito?

Tutto, dai reati contro la proprietà agli omicidi. Nel corso della mia carriera, ho lavorato per due (2) diversi dipartimenti di polizia, che si trovavano in località diverse e servivano demografie diverse. Questo mi ha esposto a tutti i tipi di crimini e a diversi metodi di indagine. Con l’esperienza ho imparato che quasi tutti i crimini possono contenere prove digitali, quindi ho cercato di applicarle in ogni modo possibile. Per ogni successo c’è almeno un fallimento. Quindi, tenendo presente questo aspetto, in alcuni casi ho cercato di sfruttare le prove elettroniche e non ha funzionato, ma da buon investigatore ho imparato come e perché non ha funzionato e mi sono impegnato a farlo meglio la volta successiva.

C’è un esempio di un caso su cui avete indagato con GrayKey? Può dirci come GrayKey avrebbe potuto aiutarci?

Se qualcuno di voi ha partecipato al mio corso sullo sfruttamento del portachiavi e dell’elenco delle password, ha sentito questa storia. Prima che GrayKey fosse disponibile, ho lavorato a un caso che riguardava un’accusa di stalking. La vittima lavorava in una banca e sospettava che il comportamento fosse perpetrato da un particolare cliente, ma non ne aveva le prove. Ciononostante, il comportamento era preoccupante e sembrava iniziare a degenerare. In particolare, il sospetto avrebbe manomesso l’auto della vittima in vari modi, quindi ho pensato che identificare il colpevole fosse un buon punto di partenza. La sorveglianza a distanza ha confermato che la persona sospettata dalla vittima era probabilmente il colpevole. Arriviamo al momento in cui ho interrogato il sospettato e gli ho sequestrato il telefono; pensavo che sarebbero state le prove necessarie per dimostrare che questa persona aveva commesso tutti i comportamenti di stalking e che avrei avuto un caso solido da presentare alla Corte. Ho redatto un mandato di perquisizione per il telefono e, una volta approvato, ho utilizzato gli strumenti disponibili per ottenere l’estrazione dei dati. All’epoca, l’unica opzione disponibile era un’estrazione “logica avanzata”, in pratica un backup di iTunes. L’estrazione dei dati è andata a buon fine e ho iniziato a analizzarli in uno strumento di estrazione non appena è terminata. Una volta avviato il processo, mi è stato chiesto di inserire la “password di crittografia del backup”. Non conoscevo la password, quindi l’estrazione dei dati era di fatto inutile.

La Corte Suprema dello Stato aveva già stabilito che le forze dell’ordine non possono obbligare una persona a fornire tale password, nemmeno con un procedimento legale, quindi ho cercato diversi modi per ottenerla. Ho imparato a trovare la password su un computer tramite una PLIST, un file di testo speciale che contiene dati nel formato dell’elenco di proprietà. Quindi, essendo un detective diligente, ho ottenuto un mandato di perquisizione per il computer del sospettato. Dopo aver analizzato il computer, il PLIST che stavo cercando era sparito e irrecuperabile. Senza queste prove digitali, non potevo costruire un caso abbastanza solido per accusare il sospetto.

Sapendo quello che so ora, vorrei disperatamente avere Chiave grigia e questo caso non si sarebbe raffreddato se avessi potuto usare GrayKey. Purtroppo i termini di prescrizione sono scaduti da tempo, quindi questa conoscenza non mi serve a nulla. Inoltre, non sono più un poliziotto!

Nota dell’editore: i videocorsi di Fullerton sono disponibili nell’Angolo degli investigatori (per accedere ai video sono necessarie le credenziali di accesso).

Qual è una cosa che vorrebbe che la gente capisse di questo lavoro?

È noioso e richiede tempo. L’effetto CSI era reale, soprattutto all’inizio della Digital Forensics. Le persone avrebbero aspettative irrealistiche sui tipi di dati che possiamo trovare e sulla velocità con cui li troviamo. Questo vale per tutti gli aspetti delle prove elettroniche. Per esempio, una volta ho lavorato a un furto in una gioielleria di alto valore, durante il quale abbiamo ottenuto diversi tipi di videosorveglianza. Alcuni erano di buona qualità, altri sarebbero stati meglio come nastro VHS.

Nonostante ciò, sono riuscito a localizzare un veicolo sospetto, ma non siamo riusciti a vederne gli elementi identificativi, tanto meno la targa. Uno dei miei superiori disse qualcosa del tipo: “Beh, allora fai quella roba da nerd! Valorizzala! Ci serve un piatto”. In risposta, ho dato loro una risposta tutt’altro che soddisfacente, che non era quella che volevano sentire. Poi ho capito che dovevo definire le aspettative: identificare e spiegare quali capacità erano disponibili e quali no. In questo modo è stato molto più facile andare avanti perché le persone avevano aspettative e comprensione più chiare.

Qual è stato il crimine più impegnativo che ha risolto con GrayKey?
Non avevo una GrayKey quando ero un detective in servizio attivo.

Quali sfide ha affrontato regolarmente come esaminatore forense mobile?
Si vedano le risposte alle domande tre e quattro.

Quali consigli darebbe ai nuovi specialisti di digital forensic per aiutarli a superare sfide simili?

Non abbiate paura di sbagliare. La maggior parte delle persone impara meglio facendo. Trovate un vecchio dispositivo – acquistatene uno economico online, se necessario – e provate alcune cose! Tentate diversi metodi per estrarre i dati, smontatelo e vedete come funziona; cercate di romperlo per imparare come non rompere un dispositivo di prova. Quando sono uscite le lampadine intelligenti, ho sentito dire che potevano raccogliere passivamente l’IMEI dei dispositivi nel loro raggio d’azione, ma per raccogliere i dati bisognava smontare la lampadina, rendendola inutilizzabile. Ho pensato che potesse essere utile in un caso di furto con scasso o altro. Così, naturalmente, ho comprato una confezione da sei di lampadine intelligenti e le ho disseminate in tutta la casa. Dopo alcuni mesi di “test”, ho cercato di ottenere dati da loro. Ho esaurito quattro lampadine prima di capire esattamente come smontarle per ottenere il piccolo chip all’interno. Poi ho dovuto capire come ottenere i dati. Alla fine ho ottenuto solo dati parziali da uno dei chip, ma ha funzionato! Tutto questo per dire che non bisogna avere paura di fallire, perché potrebbe sempre portare al successo.

Che cosa sa ora che avrebbe voluto sapere quando ha iniziato?

Tante cose! A livello tecnico, vorrei saper sfruttare alcuni dati come faccio ora. Sento che nel corso degli anni mi sono sfuggite alcune cose che avrebbero potuto fare la differenza.

Qual è il segreto di uno dei vostri compagni di squadra che la maggior parte delle persone non conosce ma che dovrebbe conoscere?

Se avete visto il film Una notte da leoni, conoscete la scena del giuramento di sangue. Ho partecipato a una cerimonia simile nel quartier generale di Grayshift, quindi ho giurato di mantenere il segreto. Suggerimento: il nome del capobanda fa rima con Schmosh Schmarder.

Quale superpotere apporta a Grayshift?

Non prendo la vita troppo sul serio, cerco di divertirmi, sono umile e sono sempre pronta a imparare qualcosa di nuovo. Chi di voi mi ha conosciuto di persona sa che sono incredibilmente alta e incredibilmente divertente. Anche se non sono poi così alto, una volta all’università un giornale mi ha definito un “gigante locale”, e questo è un dato di fatto.

La conoscenza della scienza forense digitale e la personalità di Fullerton brillano ovunque egli vada. Se siete interessati a saperne di più sulle capacità tecniche di GrayKey, nell’Investigators Corner (IC) sono disponibili numerosi video e webinar on-demand. Potete cliccare qui per accedere al CI utilizzando le vostre credenziali di accesso o contattandoci per richiedere l’accesso.

Altri post che potrebbero interessarvi:


© 2023. Grayshift, LLC. Tutti i diritti riservati. Riservato e confidenziale.