Analiza urządzeń mobilnych (mobile forensic) w oparciu o informatykę śledczą

forensictools.pl 1 dekada temu

W dzisiejszym cyfrowym i przede wszystkim mobilnym świecie nie sposób sobie wyobrazić sytuację, w której wychodząc z domu nie trafimy na ludzi użytkujących telefon komórkowy. Jedni przez nie rozmawiają, inni robią właśnie jakieś zdjęcie, a jeszcze inni przeglądają Internet. Liczba abonentów telefonii komórkowej wyniosła na koniec 2013 r. blisko 55 mln – podał Główny Urząd Statystyczny. To dwa razy więcej niż osiem lat temu. Dziś na każdego Polaka – dorosłego i dziecko, noworodka i starca – przypada 1,5 komórki. Na jedno gospodarstwo domowe – około czterech.

Skalę danych zawartych we wszystkich telefonach komórkowych ciężko oszacować, zwłaszcza w dobie gdzie telefony komórkowe posiadają spore magazyny pamięci jednak słowo ‘ogrom’ będzie na pewno adekwatne. Książki kontaktów, wiadomości SMS czy rejestry połączeń to tylko mała część tych informacji. Mając na uwadze jakże popularne w Polsce telefony, tak naprawdę w pamięci urządzenia może znajdować się wszystko. Począwszy od zdjęć, plików muzycznych czy też wideo, dokumentów, poczty elektronicznej, a skończywszy na danych geolokalizacyjnych, nie wspominając już o plikach tymczasowych z przeglądania Internetu. W związku z powyższym możemy zadać sobie pytanie – Mobile Forensic – jak to wygląda w praktyce? Czy zabezpieczenie tego typu urządzeń jest proste czy może jednak okazać się swoistym dla nas koszmarem? Niestety, odpowiedź nie jest jednoznaczna i mogę tutaj użyć mojego ulubionego, aczkolwiek nie pożądanego słowa – to zależy.

Proces zabezpieczenia danych z telefonów komórkowych zależy przede wszystkim od urządzenia.

Nawet na naszym rodzimym rynku odnajdziemy modele telefonów te najbardziej popularne, jak i te które dotarły do nas z odległych zakątków świata. W związku z tym nie należy przyjmować zabezpieczenia danych z urządzenia mobilnego jako procedurę standardową stosowaną dla wszystkich urządzenia. Każdy telefon komórkowy powinien być dla nas nową sprawą i należy ją potraktować indywidualnie, mimo iż zabezpieczając tego rodzaju sprzęt możemy trafić po raz kolejny na takie same urządzenie. Dlaczego? Posłużę się tutaj przykładem z naszego laboratorium. Sprawa, o której piszę wydawała się z pozoru prosta. Dostałem trzy takie same modele telefonów komórkowych firmy Sony Ericsson, które różniły się na pierwszy rzut oka tylko kolorem obudowy. Po szczegółowej analizie okazało się jednak, iż na każdym z tych urządzeń zainstalowano inną wersję systemu operacyjnego. W związku z tym, mimo iż telefony zostały wyprodukowane przez tego samego producenta, mimo iż wyglądały tak samo i ich obsługa była taka sama należało każde z tych urządzeń odczytać w inny sposób. Wracając do kwestii zabezpieczenia danych z telefonów komórkowych powinniśmy rozumieć skalę wykorzystania tego rodzaju urządzeń w przestępstwach. Według danych udostępnionych przez Policję, na koniec 2012 roku odnotowano ok. 46 tys. przestępstw, gdzie telefon komórkowy był głównym przedmiotem przestępstwa. Dodatkowo warto odnotować informacje odnośnie możliwości połączenia telefonu z Internetem i pobieraniu/wysyłaniu danych w sieci. W tej chwili średnia pobieranych danych przez telefon komórkowy na rynku światowym to 300-500 MB miesięcznie na użytkownika. Ale do 2020 r. wielkość ta powinna się znacząco zwiększyć i osiągnąć 1 GB dziennie na użytkownika. Powyższe informacje dają jasny obraz tego z czym informatyk śledczy ma do czynienia. Jak zatem można poradzić sobie z tym wszystkim w miarę prosty sposób, który również zaoszczędzi nam sporą ilość czasu w ręcznym sprawdzaniu danych z telefonów komórkowych? Moją odpowiedzią na przedstawione pytanie jest oprogramowanie XRY.

Rozwiązanie XRY

Poprzez narzędzie XRY informatyk śledczy dostaje kompleksowe narzędzie do zabezpieczeń danych z telefonów komórkowych, kart SIM czy kart pamięci. dzięki systemu XRY możemy sklonować kartę SIM czy przeprowadzić fizyczną akwizycję pamięci w celu podjęcia próby odzyskiwania skasowanych danych. Dysponowanie jednak samym oprogramowaniem to oczywiście nie wszystko. Niestety telefon komórkowy jako dowód elektroniczny jest niewdzięcznym urządzeniem, gdyż choćby najmniejsza nieznajomość procedur i brak odpowiedniej wiedzy na temat tego co może naruszyć integralność pamięci, może wykluczyć telefon komórkowy jako dowód. Każdy popełniony błąd może być zaprzepaszczoną szansą na poprawną ekstrakcję danych. Dlatego spróbuję w kilku punktach opisać najlepsze praktyki informatyki śledczej w zabezpieczeniu tego rodzaju urządzeń, wykorzystując przy tym narzędzie XRY. 1. Zabezpieczony telefon komórkowy czy inne urządzenie mobilne powinno zostać dokładnie opisane.

    • Każde urządzenie posiada numer IMEI, który sprawdzić możemy poprzez wybranie na włączonym urządzeniu klawiszy *#06# lub jeżeli urządzenie jest wyłączone staramy się zlokalizować numer IMEI na naklejce producenta.
    • Każda karta SIM posiada numer ICC, który najczęściej jest nadrukowany na kartę SIM i zaczyna się od numeru 89.

2. Staramy się pozyskać wszelkie możliwe kody zabezpieczające kartę SIM bądź samo urządzenie. O ile z niektórych zabezpieczonych urządzeń możemy dzięki narzędzia XRY dostać się do pamięci telefonu, tak w przypadku kart SIM nie jest to w żaden sposób możliwe. 3. Nie mając przy sobie sprzętu do zabezpieczenia danych urządzenie najlepiej wyłączyć by nie dopuścić do sytuacji, iż telefon pobiera nowe dane bądź też jest zdalnie zarządzany. 4. Najlepszą praktyką jest oddzielić telefon komórkowy od karty SIM by na wypadek przypadkowego włączenia urządzenie nie zalogowało się do sieci GSM. 5. dzięki systemu XRY i dołączonego do niego Device Manual należy sprawdzić czy na zabezpieczonym telefonie komórkowym możemy wykonać akwizycję logiczną/fizyczną, jaki wybrać sposób komunikacji pomiędzy telefonem, a komputerem czy też jakim kablem należy się posłużyć. Możemy się także dowiedzieć czy telefon możemy odczytać bez karty SIM czy z nią. 6. jeżeli telefon komórkowy musimy odczytać z kartą SIM to NIGDY nie używamy do tego oryginalnej karty SIM. Oryginalną kartę SIM należy uprzednio sklonować i tylko na takiej karcie SIM wykonywać odczyt – sklonowana karta SIM to gwarancja, iż telefon nie zaloguje się do sieci GSM. 7. Po pomyślnym odczycie pamięci telefonu/karty SIM pracujemy tylko i wyłącznie na plikach z odczytu. 8. Analiza urządzeń mobilnych w oparciu o informatykę śledczą posiada swoją odrębną specyfikę wynikającą z typów i rodzajów analizowanych telefonów, telefonów czy tabletów, a jej rozwój jest wprost proporcjonalny do ilości urządzeń mobilnych na rynku. Należy jednak pamiętać, iż za rozwojem tej dyscypliny stoją rozwiązania i najlepsze praktyki, mające swój początek w informatyce śledczej.

Idź do oryginalnego materiału