Nic się nie ukryje - sekrety informacji śledczej: analiza zawartości telefonu

Nic się nie ukryje - sekrety informacji śledczej: analiza zawartości telefonu

W dzisiejszych czasach, telefony i smartfony to najbardziej uniwersalne rzeczy, z których korzystamy zarówno w celach prywatnych, jak i służbowych. Jeśli przyjrzymy się danym statystycznym dla Polski, wynika z nich, że na każdą osobę przypada od jednego do trzech urządzeń. Jedno jest pewne - każdy ma przynajmniej jedno. Poza historią rozmów i SMS-ami na telefonie znajdują się także zdjęcia i filmy zawierające podobizny znajomych oraz często odwiedzane miejsca. Są na nim wiadomości e-mail, czy z Facebooka, kalendarz a niekiedy także informacje dotyczące kont bankowych lub historia lokalizacji użytkownika. Jednym zdaniem: nosimy w kieszeni wiele cennych danych!

Niestety, wraz ze wzrostem liczby telefonów komórkowych, smartfonów i innych urządzeń elektronicznych, rośnie także liczba przestępstw, w których są one wykorzystywane. Przykładowo, zwiększające się w bardzo szybkim tempie możliwości multimedialne i biznesowe telefonów powodują, że zgromadzone w pamięci dane mogą znacznie ułatwić naruszenie tajemnicy przedsiębiorstwa (czyt. "niepostrzeżone wyniesienie" firmowych danych).

Pechowo, kontrola tego, czy i jakie informacje wymieniają pracownicy za pomocą urządzeń mobilnych, jest dość trudna. Czasem pozostaje więc tylko analiza telefonu dopiero po wykryciu danego incydentu, kiedy "podejrzany" mógł już podjąć wielokrotne próby zacierania śladów, czyszcząc pamięć telefonu.

"Hahaha. Nic nie dadzą rady wyciągnąć" - takie myślenie wcale nie pomoże, gdyż Informatyka Śledcza jest na tyle rozwinięta, że nie sposób się czegoś dowiedzieć. Poniżej przedstawiam Wam krótki przebieg badania danych znajdujących się w telefonie. Szkoda, że został opisany proces przechwytywania informacji, gdy urządzenie było zaszyfrowane, ale wydaje mi się, że to dość ciekawy artykuł jak na początek artykułów o naszym bezpieczeństwie a autorem niniejszego artykułu są chłopaki z VS DATA, którzy na co dzień wykonują opinie z zakresu informatyki śledczej na potrzeby organów ścigania i firm.

DSC_7723-2464x1632

 

Podstawowe różnice - badanie telefonu, a komputera.

 

Istnieją dwa powody, dla których wykonuje się badania śledcze telefonów komórkowych. Pierwszy â na potrzeby opinii prywatnych, np. zlecanych przez przedsiębiorstwa, drugi â na potrzeby opinii sądowych zlecanych, czyli zlecany przez organy ścigania. Jednak bez względu na to, kto zleca usługę, wykonuje się ją w taki sam sposób, czyli zgodnie z przyjętymi zasadami informatyki śledczej.

Informatyka śledcza, zwana także sądową, wymaga od osoby przeprowadzającej analizę zachowania ścisłych procedur. Najważniejsze, to zastosowanie techniki, która uniemożliwi jakąkolwiek modyfikację analizowanych danych. Materiał dowodowy podczas badania nie może ulec zmianie. Dotyczy to zarówno omawianych w tym artykule telefonów komórkowych, jak i komputerów. Jednakże badanie tych dwóch rodzajów urządzeń przeprowadza się w zupełnie inny sposób.

W przypadku badania komputera, w pierwszej kolejności wyjmowane są dyski z zabezpieczonej jednostki centralnej, następnie wykonywane są ich kopie binarne z równoczesnym obliczeniem sumy kontrolnej. Na końcu przeprowadza się właściwą analizę śledczą. Dzięki temu podejściu materiał dowodowy w postaci zabezpieczonego komputera z oryginalnym dyskiem nie jest w ogóle uruchamiany.

Zupełnie inaczej postępuje się w przypadku pracy nad telefonem komórkowym. Analiza musi być przeprowadzona na "żywym" organizmie, a telefon podczas badania jest cały czas włączony! Trzeba jednak pamiętać, że kluczowe znaczenie ma tutaj izolacja urządzenia od sieci GSM/UMTS, co uniemożliwia połączenie komórki z siecią.

Nieodpowiednie postępowanie w tym zakresie może bowiem spowodować modyfikację zawartości telefonu, a co za tym idzie, wyrządzić nieodwracalne zmiany. Najczarniejszym scenariuszem jest tu chociażby możliwość nadpisania usuniętych informacji poprzez otrzymanie nowych wiadomości SMS. Dodatkowo, podczas połączenia z siecią zmianie ulega parametr LAI:LAC używany do identyfikacji stacji BTS, do której po raz ostatni zalogowany był abonent. Brak tych danych może uniemożliwić odpowiedź na pytanie, czy w badanym okresie dany telefon był używany we wskazanym rejonie (obsługiwany przez konkretną stację BTS), czy też nie.

Oczywiście, w celu izolacji telefonu od sieci, najprostsze byłoby wykonanie analizy urządzenia bez karty SIM. Jednak większość aparatów wymaga takiej karty do normalnej pracy i nie pozwala na przeprowadzenie żadnych analiz. Rozwiązaniem jest tu użycie odpowiednio spreparowanej karty SIM (na podstawie parametrów ICCID oraz IMSI), która zastąpi oryginalną.

Analiza karty SIM

Zazwyczaj pierwszym krokiem analizy telefonu komórkowego jest badanie karty SIM. Jej zadaniem jest identyfikacja i autoryzacja abonenta w sieci komórkowej oraz szyfrowanie transmisji. Zapisane mogą być na niej kontakty wraz z numerami telefonów, wiadomości tekstowe (ograniczona liczba) oraz rejestr ostatnio wykonywanych połączeń, ale bez informacji o dacie i czasie trwania połączenia. W przypadku kart prepaid, posiadać one mogą również zaszytą informację o numerze telefonu abonenta. Jedną z istotniejszych kwestii jest możliwość ustalania obszaru, w którym karta SIM była używana.

Możliwości śledcze w przypadku kart SIM są w większości przypadków uzależnione od telefonu, w którym ta karta była używana. To telefon decyduje, jakie informacje będą na zapisywane na karcie SIM, a to wpływa na ilość informacji możliwych do odczytania.

Po przeprowadzeniu badań karty SIM można wykonać odpowiednio spreparowaną "kartę serwisową". Włożona do analizowanego telefonu zapewni separację od sieci GSM/UMTS. Dopiero z tą kartą można uruchomić telefon i przystąpić do badania drugiego komponentu â pamięci telefonu.

Analiza pamięci telefonu

Pamięć telefonu to jego pamięć wewnętrzna. W dobie smartfonów ilość przechowywanych tam informacji jest uzależniona jedynie od dostępnej pamięci zainstalowanej przez konkretnego producenta. W pamięci telefonu "widoczny" jest niemal każdy ruch, jaki wykonaliśmy na telefonie. Zapisane są tam dokładne informacje o połączeniach, wiadomościach tekstowych, kontaktach, kalendarz, wszelkie notatki, zdjęcia, pliki multimedialne, historia odwiedzin stron internetowych itp.

Z badań przeprowadzonych przez firmę VS DATA wynika, że zdecydowana większość biegłych sądowych, jak i firm z branży informatyki śledczej, dokonuje jedynie akwizycji danych, czyli odczytuje dane fizycznie istniejące w telefonie. Profesjonalna analiza śledcza musi natomiast obejmować proces odzyskiwania skasowanych danych, który w przypadku telefonów jest bardzo skomplikowany.

Rodzaj i ilość odtworzonych informacji uzależniony jest od konkretnego modelu oraz systemu operacyjnego (iOS, Android, BlackBerry, Windows Mobile, Phone OS), na którym pracuje telefon. Co ciekawe, czym bardziej skomplikowany telefon, tym większe możliwości odzyskania danych zapisanych w jego pamięci. Gdy mowa o odzysku danych należy przez to rozumieć nie tylko informacje gromadzone przez sam telefon, ale także wewnętrzne dane zainstalowanych aplikacji.

Odzyskiwać można praktycznie wszystkie informacje, które telefon zapisał w swojej pamięci, tj. kontakty, wiadomości, zadania, notatki, zdjęcia, itp. Z pamięci telefonu można również odzyskać dane, które nie są widoczne dla zwykłego użytkownika. Będzie to np.historia numerów IMSI kart SIM, które były zainstalowane w telefonie. Dzięki temu można uzyskać informacje, czy użytkownik używał innych kart SIM, o których istnieniu niekoniecznie chciał mówić. Można również spróbować ustalić z jakimi sieciami Wi-Fi łączył się dany telefon, bądź też, na podstawie danych GPS, uzyskać informacje w jakich lokalizacjach przebywał użytkownik.

Trzeba jednak pamiętać, że producenci telefonów w różny sposób implementują zapis/odczyt danych w pamięci telefonu. Często zdarza się, że sposób przechowywania danych u danego producenta zmienia się zależnie od modelu. Nie ma więc u standaryzowanych reguł zapisu. Dodatkowo, wciąż pojawiają się nowe, udoskonalone modele telefonów. Skuteczną analizę mogą więc zapewnić tylko firmy inwestujące w coraz nowocześniejsze, a co za tym idzie, droższe technologie, a profesjonalne laboratorium musi być wyposażone w zestaw kilkudziesięciu kabli z różnymi złączami umożliwiającymi podłączenie telefonu do stacji badawczej. Czasami (zwłaszcza do telefonów komórkowych starszej generacji) do odczytania zawartości pamięci telefonu wykorzystuje się kable serwisowe wpinane bezpośrednio w pola ulokowane pod baterią. Spotyka się również telefony, które wymagają wylutowania pamięci z płyty głównej telefonu komórkowego, odczytania jej zawartości w programatorze, a następnie ręczną analizę jej zawartości. Taka sytuacja ma miejsce np. przy uszkodzeniu fizycznym telefonu, gdy nie ma możliwości jego włączenia. Mniej inwazyjna metoda, która również pozwala na bezpośredni odczyt z pamięci to wykorzystanie serwisowych punktów lutowniczych zwanych JTAG (Joint Test Action Group).

binary-823336_1280

Analiza karty pamięci Flash

Karta Flash pełni funkcję rozszerzenia pamięci telefonu i jest ostatnim komponentem poddawanym analizie. Najczęściej spotyka się karty typu microSD o pojemności 8-16 GB, ale coraz popularniejsze stają się również te o pojemności 32, a nawet 64 GB.

Analiza takiej karty nie różni się niczym od analizy innych nośników typu Flash. Od strony logicznej, mamy do czynienia przeważnie z jedną partycją sformatowaną w systemie plików FAT16 lub FAT32. Procedurę zaczyna się od wykonania kopii binarnej z obliczeniem sumy kontrolnej. Tak zabezpieczony materiał dowodowy, może posłużyć do wykonania listingu plików zapisanych na karcie bądź przeprowadzenia procesu odzyskiwania danych.

Karta pamięci zawiera najczęściej zdjęcia i filmy oraz muzykę w formacie MP3. Czasem zdarzają się na niej pliki w innych formatach, np. dokumenty. Odzyskując dane można zastosować dwie metody. Pierwsza sprowadza się do odtworzenia struktury danych na podstawie wpisów w tablicy alokacji plików. Druga, to odzysk w trybie surowym. Polega on na przeszukaniu zawartości binarnej pod kątem nagłówków znanych plików. W wielu przypadkach jest to metoda o wiele skuteczniejsza, sprawdzająca się w sytuacji, gdy dane na karcie były usuwane. Niezależnie od metody, odzyskać można tylko te dane, które nie zostały nadpisane. Jednokrotne zapisanie nowych plików w to samo miejsce, prowadzi do nieodwracalnego zamazania poprzednich danych.

Niezbity dowód

Profesjonalna analiza śledcza kończy się raportem. Zawiera on wszelkie informacje odnośnie badanego telefonu, karty SIM i karty pamięci (IMEI, IMSI, ICCID, numery seryjne) oraz informacje z przeprowadzonych badań i uzyskanych wyników. Wykryte/odzyskane podczas badania pliki są nagrywane na nośnik zewnętrzny (CD, pendrive) i wydawane razem z raportem klientowi lub organowi zlecającemu.

Informatyka śledcza jest jedną z najszybciej rozwijających się dziedzin nauk sądowych. Z roku na rok obejmuje coraz szerszy zakres urządzeń. Dostrzegają to zarówno prywatne firmy, jak i organy ścigania. Coraz większa świadomość powoduje, iż analizą obejmuje się nie tylko dyski twarde komputerów, ale i inne nośniki, w tym przede wszystkim telefony komórkowe. W wielu sprawach sama zawartość pamięci telefonu może mieć kluczowe znaczenie, a raport biegłego z przeprowadzonych prac, przygotowany za pomocą najnowocześniejszych narzędzi i przy przestrzeganiu odgórnych zasad informatyki śledczej, stanowić może niezbity dowód.

źródła: Niebezpiecznik, VS DATA
BBNews
Czytaj także
Polecane galerie