Urządzenia mobilne

W świecie telefonów komórkowych wszystko wygląda inaczej. Każdy model telefonu może byc i jest inny. Nie ma standardów które by umożliwiły zabezpieczanie w ujednolicony sposób. Inne są płyty główne, inne procesory, inna pamięć, inne oprogramowanie. Każdy model telefonu musi być oceniany indywidualnie. Ponadto tradycyjna zasada informatyki śledczej, że dowód należy pobrać bez jakiejkolwiek jego modyfikacji oraz co do ostatniego bitu nie ma tutaj zastosowania. Będziemy starali się zabezpieczyć najwięcej jak tylko można w jak najmniej inwazyjny sposób, ale zwykle pewne zmiany w pamięci telefonu będą nieuniknione.

Na szczęście dla informatyków śledczych rynek telefonów się konsoliduje. W praktyce spotkamy się z następującymi telefonami:

  • Telefony Apple’a oparte na iOS,
  • Telefony oparte na Androidzie.
  • Telefony oparte na Windowsie.
  • Blackberry.
  • Dumbfony, czyli wszystko to co nie jest smartfonem.

Co należy zabezpieczyć a przynajmniej spróbować:

  • Pamięć wewnętrzną – pamiętajmy że czasem telefon będzie zawierał kilka modułów pamięci. Na przykład NAND i NOR, lub pamięć wewnętrzną i wirtualną kartę SD
  • Kartę pamięci.
  • Kartę SIM.
  • Oraz nowość – dane z chmury (cloud storage).

Zacznijmy od końca.

Dane z chmury to wszystkie dane przechowywane przez mobilne systemy operacyjne i różnorodne aplikacje na serwerach zewnętrznych. Jak wiadomo jest tego sporo, a temat wymaga osobnego opracowania.

Kartę SIM kopiujemy używając specjalnego czytnika zwykle dostarczanego wraz z oprogramowaniem opisanym poniżej.

Kartę pamięci możemy skopiować po jej wymontowaniu z telefonu, używając metodologii do dysków zewnętrznych.

Trudniej jest z pamięcią telefonu. Jedną z udanych prób usystematyzowania metod jej zabezpieczenia jest piramida opracowana przez Sama Brothers’a:

sam

Techniki na górze piramidy są bardziej zaawansowane technologicznie, wymagają więcej czasu i umiejętności oraz są bardzie inwazyjne. Poruszając się w dół wymagania te się zmniejszają.

MicroRead – moduł pamięci z urządzenia zostaje wymontowany, niezwykle precyzyjnie rozebrany na części pierwsze i przeanalizowany pod gigantycznym mikroskopem. Taka technologia będzie dostępna jedynie w niezwykle zaawansowanych laboratoriach i mogłaby być użyta tylko w niezwykle ważkich sprawach. Prawdopodobnie jej użycie będzie tylko możliwe do mniej upakowanych pamięci starszej generacji. Wydaje się mało prawdopodobne żeby ktoś, nawet NSA, był w stanie pokroić 128 GB kartę Micro SD i używając mikroskopów był w stanie odczytać jej całą zawartość.

Chip-off – ta metoda dostępna jest już do zastosowań komercyjnych. Wymaga zegarmistrzowskich umiejętności i specjalistycznego sprzętu. Moduł pamięci należy wymontować, co zwykle będzie polegało na poprzecinaniu styków. Moduł następnie podłączany jest do urządzenia, które potrafi bezpośrednio komunikować się z modułem za pomocą tych samych styków. Urządzenie wyda komendy i zapisze otrzymane od modułu dane. Zadanie to jest ułatwione, gdyż pomimo ogromnej ilości urządzeń na rynku, moduły pamięci są często produkowane przez tych samych chińskich podwykonawców. Uzyskany obraz będzie zwykle odmianą obrazu DD – binarnym odwzorowaniem pamięci.

Hex Dump – to obraz dysku uzyskany bez wymontowania pamięci, czyli przy użyciu oryginalnej płyty, a raczej płytki głównej. Na tym poziomie zaczynają rządzić pakiety komercyjne opisane poniżej. Użyją one agentów lub bootloaderów w celu skopiowania pamięci do standardowego obrazu DD. Inną, bardziej zaawansowaną metodą Hex Dunmp-u, którą warto znać, jest tak zwany JTAG. JTAG to protokół testowania połączeń na płytkach drukowanych. Płytka będzie posiadała styki JTAG. Używając specjalistycznego sprzętu, który tym razem nie jest już aż taki drogi, możemy się podczepić do tych styków i „przetestować” pamięć poprzez jej całkowite odczytanie. Różnica pomiędzy tą metodą a Chip-Offem polega na tym, że w Hex Dumpie komunikujemy się z płytką drukowaną a w przypadku Chip-Offu bezpośrednio z pamięcią,

Logical Analysis (Analiza logiczna) – w tym przypadku podłączmy telefon za pomocą dostępnego portu do naszego sprzętu i używamy wbudowanej funkcjonalności telefonu do pobrania danych. Podstawowa różnica pomiędzy Hex Dumpem a analizą logiczną polega na tym, że w Hex Dumpie kopiujemy to co my chcemy skopiować, czyli całą pamięć, natomiast w przypadku analizy logicznej możemy skopiować tylko to co telefon nam udostępni. Zwykle producenci wbudowują w telefon komendy związane z backupem, archiwizacją lub serwisowaniem telefonu. To właśnie one będą użyte przez oprogramowanie do mobilnej informatyki śledczej do pobrania danych takich jak SMS-y, kontakty, historia połączeń. Jeżeli nam się poszczęści telefon udostępni cały system plików – będziemy mogli wtedy skopiować wszystkie pliki i foldery, jednak be wolnej przestrzeni (w której zawarte mogłyby być być usunięte dane).

Manual Extraction (Ręczne kopiowanie) – jest to z jednej strony ostatnia deska ratunku. Jeżeli wszystkie metody zawiodą, można włączyć telefon i używając jego funkcji przeglądnąć i udokumentować zawartość. Dostępne są urządzenia, które umożliwiają zamontowanie telefonu w uchwycie i fotografowanie lub filmowanie wszystkich przeprowadzonych akcji. Metoda ta jest również powszechnie stosowana w celu przejrzenia dowodu przez niewykwalifikowane osoby. Jest to być może dopuszczalne w drobnych sprawach, kiedy koszt prawidłowego zabezpieczenia przerasta wartość sprawy, jednak w sprawach ważnych powinna to być rzeczywiście ostatnia deska ratunku. Metody stosowane w informatyce śledczej powinny mieć pierwszeństwo.

Czego użyć do zabezpieczenia telefonu? Możliwe jest użycie ręcznych technik, jednak w praktyce będziemy potrzebowali specjalistycznego sprzętu. Najważniejsi gracze to:

  • XRY.
  • MPE+.
  • Cellebrite.
  • Oxygen Forensics.
  • Paraben Forensics.

Wszystkie prześcigają się w tysiącach telefonów, które obsługują. W przypadku informatyki śledczej jednak jakość a nie ilość jest najważniejsza. Co z tego, że aplikacja obsługuje 10.000 dumbfonów Nokii, skoro tak naprawdę zależy nam na 50 najbardziej popularnych modelach.

Części aplikacji powyżej na przykład Oxygen Forensics lub Paraben Forensics obsługuje wyłącznie logiczne zabezpieczenie danych (choć może to się zmieni z czasem). Inne na przykład XRY lub Cellebrite obsługują również fizyczną metodę. Porównując je do piramidy Brothers’a będą one operowały tylko na poziomie Hex Dump’u i Analizy Logicznej.

Jak obraz fizyczny jest wykonany? Zwykle przy pomocy boot loaderów lub agentów.

W przypadku bootloadera aplikacja startuje telefon ze zmodyfikowanej wersji firmware’u umożliwiającego dostęp do pamięci telefonu i transfer danych z powrotem do aplikacji. Idea jest zbliżona do startu komputera z live cd.

Agent to typowa smatfonowa aplikacja, tymczasowo instalowana na telefonie, która będzie działać jako serwer transferujący dane z telefonu.

Czasem system operacyjny telefonu, zwłaszcza po zrutowaniu lub jailbreaku umożliwi wykonanie obrazu dd. Pamiętać należy, że  Androidy oparte są na Linuksie a iOSy na Uniksie. Czy można zrutować telefon w celu jego zabezpieczenia to już zupełnie inne pytanie nurtujące.   Moim zdaniem można, jeżeli jest to jedyna opcja dostępu do danych, ale zdania informatyków śledczych są podzielone.

Czas spojrzeć na praktyczne rozwiązania. Cellebrite udostępni nam następujące opcje:

  • Obraz fizyczny pamięci – pamięć zostanie skopiowana co do jednego bitu – powstanie obraz DD.
  • Kopia systemu plików – jeżeli telefon udostępni całą strukturę folderów, może ona być skopiowana. Nie będzie to pełny obraz DD gdyż nie będzie zawierał wolnej przestrzeni ani niskopoziomowych struktur systemu plików.
  • Zabezpieczenie logiczne – z telefonu pobrane będą te dane, których udostępnienie (eksport) telefon obsługuje. Na przykład w starszych telefonach używa się komend AT do pobrania SMS-ów, kontaktów, listy połączeń itp. W nowszych telefonach używana jest często funkcja backupu.

Informatyka śledcza najeżona jest pułapkami. Oto te związane z zabezpieczeniem telefonu:

  • Łączność – telefony to urządzenia, które łącza się automatycznie z operatorami sieci. Zabezpieczając dowód takiego połączenia chcemy uniknąć. Jeżeli to jest możliwe, telefon przełączamy w tryb lotu samolotem lub wyłączamy radio. Należy także używać toreb Faradaya (faraday’s bags) lub innych rozwiązań blokujących sygnał telefonu.
  • Wyłączyć, czy nie wyłączyć? Wyłączenie telefonu spowoduje zamknięcie wszystkich aplikacji i często utratę danych ulotnych. Należy to rozważyć przed wyłączeniem.
  • Piny i hasła – w niektórych urządzeniach PIN może być złamany lub ominięty przez jeden z programów wymienionych powyżej. W wielu przypadkach nie jest to jednak możliwe. Brak pinu lub hasła często całkowicie uniemożliwi nam dostęp do telefonu.
  • Automatyczne wyczyszczenie urządzenia po wielokrotnych próbach wprowadzenia pinu. Należy uważać ze zgadywaniem, może się zdarzyć, że telefon nie ostrzeże nas przed resetem.
  • Szyfrowanie pamięci – pamięć wielu telefonów jest w pełni zaszyfrowana. Jeżeli nawet uda nam się skopiować pamięć fizyczną do obrazu dysku, w takim wypadku będzie to bezużyteczny ciąg zaszyfrowanych danych. Ratunku należy szukać w analizie logicznej.
  • Zdalne wyczyszczenie urządzenia – wiele urządzeń umożliwia obecnie zdalne wyczyszczenie pamięci telefonu w przypadku jego utraty i kradzieży. Zwykle trwa to tylko ułamek sekundy, gdyż jedynie klucz kryptograficzny zostanie wymazany. Aby uniknąć tego typu niespodzianek, używajmy technologii blokujących sygnał, tak jak opisano powyżej.
  • Brak wsparcia. Najnowsze telefony często nie są wspierano przez główne aplikacje. Producenci muszą mięć czas na opracowanie metody zabezpieczenia takich urządzeń. W chwili obecnej na przykład bardzo ograniczone wsparcie mają Windows Phone. Wiele telefonów ma też limitowane wsparcie. iOS jest zabezpieczany jedynie logicznie poprzez protokół backupu.
  • Bateria – pamiętajmy, że bateria w torbie Faradaya wyczerpuje się bardzo szybko – telefon szuka zasięgu. Należy telefon ładować w terenie przyda się power bank.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *