Analiza śledcza urządzeń mobilnych (Mobile Forensics) z Belkasoft X

forensictools.pl 2 lat temu

Belkasoft to jedna z najpopularniejszych marek zajmujących się analizą śledczą urządzeń mobilnych, zwaną inaczej mobile forensics. Firma powstała w 2002 roku i w krótkim czasie zyskała zaufanie profesjonalistów działających w obszarze informatyki śledczej. Powód jest prosty: ich narzędzia oferują ogromne możliwości z zakresu pozyskiwania i analizy danych, dzięki czemu stanowią nieocenioną pomoc dla specjalistów zajmujących się cyberbezpieczeństwem oraz zarządzaniem incydentami. Co w takim razie może zyskać Twoja firma dzięki produktom Belkasoft?

Powstaniu Belkasoft towarzyszyła myśl stworzenia narzędzi stanowiących wsparcie w informatyce śledczej, w tym w mobile forensics. Wystarczy wspomnieć, iż to jedna z pierwszych dwóch firm na świecie, która dzięki Windowsa dokonała przejęcia systemu plików opartym na iOS-owym Checkm8 i oferowała takie usługi Klientom. Co ciekawe, większość konkurencji podobnymi możliwościami mogła pochwalić się dopiero pół roku po osiągnięciu Belkasoft. Nic więc dziwnego, iż wydarzenie to stało się przełomem w historii firmy i znacząco przyczyniło się do wzrostu popularności narzędzi marki, w kontekście pozyskiwania danych z urządzeń mobilnych.

Belkasoft Evidence Center X – Twoje narzędzie do mobile forensics

Belkasoft X (Belkasoft Evidence Center X) to flagowy program Belkasoft przeznaczona do pracy z bazami danych zebranymi z komputerów, urządzeń mobilnych oraz chmury. Pozwala pozyskać i analizować dane z szerokiego wachlarza urządzeń, umożliwia przeprowadzenie szczegółowego wyszukiwania, a to wszystko z możliwością stworzenia kompleksowych raportów.

Co więcej, Belkasoft oferuje również inne narzędzia, w tym Belkasoft R (Belkasoft Remote Acquisition) służące do zdalnego pozyskiwania danych oraz częściowych obrazów urządzeń zawierających tylko wybrane artefakty (np. na potrzeby zgodności z prawem lub przekazania dowodów elektronicznych).

Belkasoft X a analiza śledcza urządzeń mobilnych – jak to działa?

Pierwszym, dość oczywistym krokiem, jaki należy podjąć podczas korzystania z programu, jest samo zebranie danych. Belkasoft Evidence Center X oferuje narzędzia wspierające akwizycję w urządzeniach mobilnych, wliczając w to zarówno dane z telefonów, tabletów, jak i IoT.

Program został stworzony w taki sposób, aby znacznie ułatwić pozyskiwanie informacji ze sprzętów opartych na najpopularniejszych systemach operacyjnych dla urządzeń mobilnych: iOS-ie i Androidzie. Dla osób, które chcą przeanalizować dane ze telefona z microsoftowowym Windows Mobile Phone mamy dobrą wiadomość: Belkasoft X poradzi sobie również z tym zadaniem. Jednak z uwagi na to, iż urządzenia z tym systemem operacyjnym nie są już dłużej produkowane, Belkasoft nie udziela już dla nich wsparcia technicznego.

Oczywiście wzięto pod uwagę to, iż zarówno iOS, jak i Android mają swoją specyfikę, która wpływa bezpośrednio na kwestie akwizycji danych w ramach mobile forensics. O czym mowa? Zacznijmy od tego, iż istnieje standardowy mechanizm tworzenia kopii zapasowych dla obu systemów: iTunes dla iOS i ADB dla Androida – ponadto, protokoły AFC i MTP/PTP umożliwiają wyodrębnianie plików multimedialnych z tych urządzeń. Przeszkoda tkwi natomiast w tym, iż zarówno iTunes, jak i ADB dają dostęp do ograniczonej ilości informacji. Znaczną część z nich można jednak uzyskać dzięki metod, których wykorzystywanie nie jest popieranie przez producentów urządzeń: mowa tu o rootowaniu, jailbreakingu czy wykorzystywaniu exploitów. Dlatego tak ważne jest posiadanie narzędzi do pozyskiwania danych, działających na różne sposoby. Mając to na uwadze, najbezpieczniejsze jest rozpoczęcie procesu akwizycji od mniej inwazyjnych metod. I tu ujawnia się jedna z największych zalet Belkasoft X: program rozpoczyna pozyskiwanie od tych najprostszych sposobów, aż po wykonywanie operacji dużo bardziej kompleksowych, choć jednocześnie bardziej ryzykownych.

Analiza śledcza telefonów z iOS

Dla systemu iOS, Belkasoft X obsługuje pozyskiwanie kopii zapasowych iTunes, w tym funkcję korzystania z plików blokady, aby uniknąć odblokowania urządzenia w przypadku, gdy kod dostępu jest nieznany. Pliki multimedialne można pozyskiwać dzięki protokołu Apple File Conduit (AFC).

Co więcej, pełny system plików, a choćby keychain może być pozyskany przy pomocy bardziej wyrafinowanych metod, takich jak jailbreak, Checkm8, a także przy wykorzystaniu dedykowanego agenta. Warto jednak pamiętać, iż w wielu krajach wykonanie pierwszej z tych operacji w celu pozyskiwania dowodów jest niemożliwe ze względów prawnych. Dlatego też na wszelki wypadek lepiej mieć w zanadrzu inne możliwości.

Kolejną zaletą rozwiązania Belkasoft X, chwaloną szczególnie przez Klientów, jest akwizycja danych z wykorzystaniem dedykowanego agenta. Na rynku kilka narzędzi oferuje bowiem podobne możliwości. Co więcej, to doskonały sposób na uzupełnienie metody Checkm8 (Checkm8 ogranicza się urządzeń działających na iOS z chipsetami A5-A11). Dedykowany agent działa bezproblemowo na najnowszych iPhone’ach i wspierany jest od wersji 10 systemu operacyjnego dla urządzeń mobilnych Apple.

Należy zwrócić także uwagę na możliwość uzyskania crash loga. Choć zawarte w nim dane są ograniczone, z pliku można wyodrębnić wiele przydatnych informacji, np. adresy IP związane z dochodzeniem.

Warto wiedzieć, że Belkasoft X pozwala na włączenie tzw. trybu ograniczonego dostępu USB. Umożliwia on wyłączenie przesyłania danych dzięki kabla Lightning w godzinę po ostatnim odblokowaniu telefonu.

Więcej tematów dotyczących akwizycji danych na iOS znajdziesz na webinarach Belkasoft dostępnych pod tym linkiem . Aby dostać się do wcześniejszych webinarów, obejmujących tematykę pozyskania danych z zablokowanego iPhone’a lub trybu ograniczonego dostępu USB, należy kliknąć na „PREVIOUS WEBINARS”.

Analiza śledcza telefonów z Androidem

Dla Androida Belkasoft X wspiera standard tworzenia kopii zapasowych ADB oraz wiele typów pozyskiwania na nim opartych. Jedną z ciekawszych metod jest pozyskanie danych przy pomocy downgrade’u APK, który zastępuje oryginalny plik aplikacji starszą wersją. Wersja ta może być wykorzystana przy tworzeniu kopii zapasowej ADB i zawierać znacznie więcej danych. Oczywiście po zakończeniu całego procesu pozyskiwania danych na telefonie, przywracana jest oryginalna wersja aplikacji.

Kolejną metodą pozyskiwania danych z Androida, bazującą na wykorzystywaniu kopii zapasowej w standardzie ABD, jest automatyczne robienie zrzutów ekranu. To prawdopodobnie najbezpieczniejszy sposób na uzyskanie danych z urządzenia, dlatego też zalecane jest rozpoczęcie każdej sprawy właśnie od niego.

Belkasoft X wspiera również wyspecjalizowane metody pozyskiwania danych w zależności od dostawcy procesora dla danego urządzenia mobilnego z Androidem. Pośród tych wspieranych przez program znajdziemy te skierowane do urządzeń z procesorami Spreadtrum, MediaTek (MTK) oraz Qualcomm.

Dla produktów z układami MTK rozwiązanie oferuje aż trzy różne sposoby pozyskania danych – w tym dwa rodzaje ekstrakcji opartej na dedykowanym agencie. Urządzenia Qualcomm są natomiast obsługiwane w trybie EDL (pobierania awaryjnego).

Produkt może również pozyskiwać dane ze zrootowanych urządzeń, a także wyekstrahować je z TWRP. Obsługuje też analizę obrazów JTAG i zrzutów chip-off. Co więcej, daje możliwość pracy na obrazach uzyskanych dzięki innym narzędziom informatyki śledczej – dotyczy to również analizowania kopii zapasowych HiSuite, a także obrazów urządzeń Xiaomi.

Więcej informacji dotyczących akwizycji danych na urządzeniach z Androidem znajdziesz na webinarach Belkasoft dostępnych pod tym linkiem. Aby dostać się do wcześniejszych webinarów, obejmujących m.in. tematytkę ekstrakcji danych z telefonów z Androidem i ich analizę, należy kliknąć na „PREVIOUS WEBINARS”.

Mobile Forensic a pozyskiwanie danych z chmury

Chociaż pozyskiwanie danych z chmury różni się od akwizycji urządzeń mobilnych, przeprowadzanie obu tych procesów może wzajemnie się dopełniać i stanowić potwierdzenie pewnych podejrzeń.

Przydatne funkcje Belkasoft X, które mogą odegrać rolę w śledztwach z wykorzystaniem urządzeń mobilnych to:

  • Pobieranie danych z aplikacji WhatsApp (z kodem QR lub bez) – ekstrakcja WhatsApp to trudne zadanie, więc każda dodatkowa dostępna metoda akwizycji jest bezcenna.
  • Pobieranie danych z iClouda – w przypadku braku możliwości pozyskania danych bezpośrednio z iPhone’a, iCloud może okazać się podstawowym ich źródłem. Szczególnie iż kopia zapasowa plików z urządzenia jest przechowywana na dysku w chmurze hostowanym przez Apple.

Jak uzyskać dostęp do tych możliwości? Z Belkasoft X to bardzo proste – wystarczy dodać źródła chmurowe do sprawy.

Analiza śledcza urządzeń mobilnych – aplikacje

Po pomyślnym wykonaniu obrazu urządzenia pozostaje przeanalizowane zdobytych informacji. Jednak jakakolwiek analiza śledcza urządzeń mobilnych nie może się odbyć bez automatyzacji procesów z prostego względu: każdego dnia powstają tysiące nowych aplikacji, przez co tych w sklepach są już miliony. Na szczęście Belkasoft wspiera natywnie ponad 1500 typów i wersji najpopularniejszych komunikatorów, między innymi WhatsApp, Signal, Telegram, Instagram, TikTok, Viber, Tinder czy Pinterest.

Większość z tych aplikacji przechowuje informacje w bazie danych SQLite. Jednak ich odczytanie i wyodrębnienie jest o wiele bardziej skomplikowane. Po pierwsze, standardowe darmowe narzędzia, takie jak DB Browser for SQLite (a choćby większość narzędzi informatyki śledczej) nie odzyskują usuniętych danych znajdujących się na wolnych listach lub danych z WAL (Write Ahead Logs) oraz plików dziennika, a także nieprzydzielonego SQLite. Po drugie, wiele aplikacji używa skomplikowanych metod szyfrowania, które uniemożliwiają otwarcie bazy danych bez wykorzystania klucza deszyfrującego.

Jeżeli mowa o samych przykładach: Belkasoft X może odszyfrowywać i dekodować różne wersje aplikacji WhatsApp. Co ważne, do przeprowadzenia tego procesu nie trzeba uciekać się do rootowania telefonu. Można użyć wspomnianego wcześniej downgrade’u aplikacji, aby bez specjalnego wysiłku otrzymać klucz deszyfrujący. Program radzi sobie również z komunikatorem Signal w wersji na iOS , który z uwagi na swój system zabezpieczeń postrzegany jest jako trudny do złamania. Jednak dzięki Belkasoft będziesz w stanie wykonać pełną ekstrakcję systemu plików i przechwycić keychaina.

Przeglądanie pobranych z urządzenia mobilnego danych geolokalizacyjnych
z wykorzystaniem wbudowanych map w Belkasoft X

Belkasoft X – łatwa obsługa choćby przy najtrudniejszych sprawach

Interface Belkasoft X został skonstruowany w taki sposób, aby użytkownik otrzymał pełen wgląd do pozyskanych danych: w tym do plików audio, czatów, dokumentów, zdjęć i filmów, danych geolokalizacyjnych, portfeli i transakcji kryptowalutowych, a także danych z aplikacji fitness dotyczących snu czy tętna.

W przeciwieństwie do konkurencyjnych rozwiązań, które często pozwalają na podpięcie wyłącznie jednego urządzenia do sprawy, w Belkasoft X można dodać dowolną ich liczbę. Dzięki temu program umożliwia wgląd w wykres połączeń, który pomaga uzyskać pełny obraz danej sprawy, np. zobaczyć, jak różne osoby czy urządzenia komunikowały się wzajemnie ze sobą. Niezależnie od tego, czy mowa tu o czatach, SMS-ach, poczcie głosowej, połączeniach, czy wiadomościach e-mail.

Szczególnym wyróżnikiem Belkasoft X jest możliwość tworzenia powiązań między dodawanymi do sprawy zestawami danych niezależnie od typu urządzenia. Ponadto automatyzacja, jaką umożliwia program, pozwala uniknąć czasochłonnej pracy, która wymuszałaby manualne skorelowanie danych z urządzenia mobilnego jednego użytkownika z laptopem innego użytkownika, co niejednokrotnie oznaczałoby również pracę w dwóch różnych, niekoniecznie kompatybilnych ze sobą środowiskach.

Belkasoft X – zalety rozwiązania w mobile forensic

Istnieje wiele powodów, dzięki którym Belkasoft X jest narzędziem wykorzystywanym w pracy przez coraz większą liczbę ekspertów informatyki śledczej, w tym mobile forensic, i osób zajmujących się zarządzaniem incydentami. Wśród najważniejszych należy wymienić:

  • Wsparcie dla analizy śledczej urządzeń mobilnych z wykorzystaniem zaawansowanych metod, takich jak Checkm8 czy dedykowany agent Belkasoft.
  • Szeroka gama obsługiwanych urządzeń.
  • Możliwość uzyskania zdalnego dostępu do urządzeń.
  • Ogromna liczba natywnie obsługiwanych aplikacji mobilnych i artefaktów .
  • A wszystko to w przystępnej cenie (dodaj Belkasoft Evidence Center X do wyceny)

Chcesz przetestować Belkasoft X? Sprawdź wersję próbną!

Zainteresował Cię program Belkasoft X? Przed zakupem możesz sprawdzić jego wersję próbną, dostępną pod tym linkiem.

Znajdziesz w niej:

  • Przykładowe obrazy danych pozyskanymi z komputera oraz urządzeń mobilnych.
  • Przykładowe śledztwo (sprawa handlarza narkotyków) z wykorzystaniem danych z Androida
  • Serię krótkich filmików, w których przedstawiciele Belkasoft odpowiadają na pytania społeczności skupionej wokół narzędzi

Jesteś przekonany/a do zakupu? Dodaj Belkasoft X do wyceny, a nasi specjaliści skontaktują się z Tobą!

Artykuł jest tłumaczeniem tekstu ze strony producenta Belkasoft Evidence Center X, który dostępny jest pod tym linkiem

Idź do oryginalnego materiału