Analiza śledcza urządzeń mobilnych jest dziedziną cyfrowej analizy śledczej ukierunkowaną na odzyskiwanie cyfrowych dowodów z urządzeń mobilnych. Mówiąc o urządzeniach mobilnych, mamy zwykle na myśli telefony komórkowe. Sformułowanie to ma jednak szerszy zasięg. Odnosi się bowiem do urządzeń cyfrowych, wyposażonych w pamięć wewnętrzną i mogących służyć do komunikacji (uwzględnia się tu także urządzenia typu PDA, GPS czy tablety).
Fakt wykorzystywania telefonów podczas planowania lub wykonywania przestępstw jest niezaprzeczalny i powszechnie znany, jednak analiza urządzeń mobilnych jest bardzo młodą dziedziną (powstałą pod koniec lat 90.). Rozwój urządzeń przenośnych na rynku konsumenckim (smartfony, tablety) wymusił konieczność opracowania nowych technik analizy urządzeń mobilnych, gdyż istniejące nie pozwalały na uzyskanie pełnych danych z urządzenia1.
Telefony komórkowe mogą być używane do zapisywania różnego rodzaju informacji, takich jak: kontakty, zdjęcia, nagrania wideo, kalendarze, notatki, SMS-y czy MMS-y. Smartfony mogą dodatkowo zawierać dane o przeglądanych stronach internetowych, lokalizacji (GPS) czy komunikaty z portali społecznościowych lub wiadomości przesyłane pocztą elektroniczną.
Istnieje wiele wyzwań na polu dowodowym i technicznym, a analiza śledcza urządzeń mobilnych zmaga się z problemami na wielu płaszczyznach2. Jedną z najpoważniejszych komplikacji jest lokalizacja telefonu komórkowego na podstawie jego użytkowania. Metody wykorzystywane do tego celu nie są metodami naukowymi. w konsekwencji możliwa jest tylko przybliżona lokalizacja urządzenia na podstawie określenia strefy komórkowej, w obrębie której połączenie zostało wykonane lub odebrane. Teren poszukiwań można jednak nieco zawęzić, próbując zlokalizować telefon komórkowy podczas trwania rozmowy. Pozwala to przypuszczać, że użytkownik telefonu mógł być na miejscu zdarzenia.
Producenci urządzeń mobilnych, aby pozostać konkurencyjnymi, zaczęli wprowadzać nowe struktury i systemy plików, usługi przechowywania danych, urządzenia peryferyjne, złącza czy kable, w rezultacie czego eksperci śledczy muszą używać zupełnie innych metod i narzędzi niż śledczy pracujący nad sprzętem komputerowym. Ponadto zwiększa się pojemność pamięci urządzeń, czego powodem jest zapotrzebowanie na coraz mocniejsze urządzenia typu „mini komputer”3. Ewoluują także typy danych oraz sposób, w jaki urządzenia mobilne są wykorzystywane.
W wyniku tych zmian powstało wiele narzędzi pozwalających na wyodrębnianie dowodów z urządzeń mobilnych. Nie ma jednej metody skutecznej wobec każdego urządzenia. w związku z tym bardzo ważne jest przeprowadzanie intensywnych szkoleń dla osób mających zostać ekspertami sądowymi w dziedzinie pozyskiwania danych cyfrowych. Szkolenia te mają na celu zapoznanie uczestników z narzędziami i sposobami obsługi urządzeń mobilnych, metodami pozyskiwania dowodów, utrzymywania standardów i spełniania wymogów prawnych.
I. Historia
Analiza urządzeń mobilnych zaczęła się rozwijać na przełomie XX i XIX wieku. Rola telefonów komórkowych w zbrodni już dawno została uznana przez organy ścigania za bardzo ważną. Wraz ze wzrostem dostępności tego typu urządzeń na rynku konsumenckim oraz szeroką gamą obsługiwanych przez nie platform komunikacyjnych, np. poczty elektronicznej czy stron WWW i oprogramowania VoIP, wzrosło też zapotrzebowanie na umiejętność analizy tych urządzeń4.
Wczesne formy analizy urządzeń mobilnych były zbliżone do metod analizy pierwszych komputerów. Analiza polegała zatem na sprawdzeniu zawartości telefonu przy użyciu klawiatury i wyświetlacza oraz przy jednoczesnym fotografowaniu ważnych dla śledztwa treści5. Metoda ta była jednak bardzo czasochłonna, szczególnie, gdy liczba urządzeń poddawanych analizie zaczynała wzrastać. Śledczy domagali się skuteczniejszych sposobów na pozyskiwanie dowodów. Niekiedy korzystali z telefonów komórkowych lub urządzeń w stylu PDA, synchronizując oprogramowanie i dane, lub sprawdzali komputer podejrzanego pod kątem istnienia danych z urządzenia mobilnego. Jednak to oprogramowanie może tylko odczytywać i zapisywać dane z telefonu, bez możliwości odzyskiwania skasowanych danych6.
Niektórzy eksperci sądowi twierdzili, że mogą odzyskać usunięte dane nawet za pomocą urządzeń określanych jako flasher lub twister. Urządzenia te służą do testowania i aktualizacji pamięci telefonów, majac jednak charakter inwazyjny, mogą naruszać dane. Ponadto są skomplikowane w obsłudze, gdyż zostały zaprojektowane do zupełnie innych celów niż narzędzia śledcze7. Dla fizycznej analizy konieczne było znalezienie innych narzędzi.
Próby sprostania tym wymaganiom doprowadziły do stworzenia komercyjnych narzędzi, które pozwoliły śledczym odzyskiwać dane z pamięci telefonu przy minimalnych stratach i analizować je poza urządzeniem bazowym8. Wraz z rozwojem technik analitycznych odzyskiwanie danych stało się możliwe dzięki specjalistycznym narzędziom, które dodatkowo automatyzowały wiele procesów ekstrakcji danych, czyniąc ich odzyskiwanie procesem stosunkowo łatwym.
II. Rodzaje dowodów
Wraz z rozwojem technologii urządzeń mobilnych coraz więcej typów danych zaczęło się pojawiać w pamięciach tychże urządzeń. Ilość potencjalnych danych odzyskanych z telefonu komórkowego również drastycznie wzrosła. Dane pozyskiwano z pamięci telefonu, kart SIM czy rozszerzeń pamięci telefonu w postaci kart pamięci SD/MMC.
Tradycyjne techniki analizy telefonów komórkowych powstały w oparciu o pozyskiwanie wiadomości SMS czy MMS oraz list połączeń, kontaktów i numerów IMEI/ESN telefonu. Nowsze generacje telefonów – smartfony zawierają inne potencjalnie ważne dane:
- historię przeglądanych stron;
- ustawienia sieci bezprzewodowych;
- informacje geolokacyjne (włączając w to geotagi dodawane do zdjęć wykonanych aparatem);
- wiadomości przesyłane pocztą elektroniczną;
- wiadomości i kontakty z portali społecznościowych;
- inne dane przekazywane za pomocą sieci czy „zapamiętane” w aplikacjach.
Pamięć wewnętrzna
Obecnie najczęstszymi technologiami wykorzystywanymi do wykonania pamięci flash dla telefonów komórkowych są technologie NAND lub NOR. Dokładny ogląd na analizę pamięci NAND sporządził Salvatore Fiorillo w roku 20099.
Pamięć zewnętrzna
Zewnętrznymi nośnikami pamięci są karty SIM, karty SD/MMC/CF (stosowane w urządzeniach nawigacji satelitarnej GPS i w telefonach) czy pamięć USB.
Logi usługodawcy
Jednym z elementów analizy śledczej urządzeń mobilnych są informacje dotyczące połączeń czy wiadomości tekstowych, uzyskane od operatora. Dane te mogą służyć jako swoista „kopia zapasowa” rejestru połączeń i wiadomości, jeśli te zostaną usunięte z pamięci telefonu lub gdy usługi oparte na lokalizacji są wyłączone. Rekordy dotyczące połączeń oraz użytych nadajników mogą posłużyć do ustalenia przybliżonej lokalizacji telefonu w danym czasie oraz tego, czy jego użytkownik się przemieszczał10. Nośnik danych oraz dane zebrane razem mogą być wykorzystane do potwierdzenia informacji z innych źródeł (np. z nagrań monitoringu) lub do uzyskania przybliżonej lokalizacji wykonania zdjęć bez geotagów.
Unia Europejska wymaga od krajów członkowskich przechowywania przez pewien czas danych telekomunikacyjnych stosowanych w dochodzeniach. Dane te zawierają informacje na temat odbieranych i nawiązywanych połączeń telefonicznych. Na ich podstawie możliwa jest przybliżona lokalizacja telefonu komórkowego. w Stanach Zjednoczonych nie ma takich wymogów. Prawo nie reguluje tam tego, jak długo usługodawcy powinni zachować dane ani co mają one zawierać. Przykładowo: wiadomości tekstowe mogą być przechowywane przez dzień lub dwa, natomiast dzienniki połączeń przez kilka tygodni lub miesięcy. Funkcjonariusze, chcąc zmniejszyć ryzyko, że dane zostaną utracone, muszą przedstawić oficjalnie swoje zamiary usługodawcy, aby ten sporządził kopię danych, która zostanie przekazana policji po uzyskaniu przez nią nakazu11.
III. Proces analizy
Proces analizy urządzeń mobilnych graniczy i pokrywa się z wieloma dziedzinami informatyki śledczej, jednak niektóre metody nie są stosowane nigdzie indziej. Można w nim wyodrębnić trzy etapy:
- przejęcie urządzenia mobilnego;
- pozyskanie materiałów z urządzenia;
- badanie i analiza pozyskanych materiałów.
Inne aspekty komputerowej analizy sądowej, takie jak sporządzenie dokumentacji, walidacja czy archiwizacja, nadal obowiązują12.
Przejęcie urządzenia mobilnego
Przejęcie urządzeń mobilnych objęte jest takimi samymi przepisami jak przejmowanie innych nośników cyfrowych. Telefony komórkowe często przejmowane są w stanie włączonym, ich transport do analizy powinien być przeprowadzony w tym samym stanie co przejęcie, aby nie doprowadzić do zamknięcia aplikacji, które mogą zmienić część plików, a tym samym pozbawić śledczych dowodów13. Jednakże pozostawienie włączonego telefonu niesie ryzyko, że połączenia będą nadal przychodzić i dane dowodowe mogą zostać zastąpione nowymi. w celu niedopuszczenia do tego typu incydentów, urządzenia mobilne powinny być transportowane i badane wewnątrz klatki Faradaya. Takie rozwiązanie ma jednak dwie wady:
- pomimo tego, że urządzenie nadaje się żytku, nie można się posługiwać jego ekranem dotykowym lub klawiaturą;
- urządzenie, szukając połączenia do sieci, przełączy się na maksymalną moc nadawczą, co spowoduje szybsze wyczerpanie baterii.
Urządzenia i ich baterie można ładować ponownie, lecz istnieje ryzyko włączenia blokady telefonu. w związku z tym zaleca się izolowanie urządzenia przez wejście w tryb samolotowy i klonowanie karty SIM14.
Pozyskanie materiałów z urządzenia
Drugim etapem procesu jest pozyskanie materiałów z urządzenia porównywane do wykonania kopii bitowej urządzenia w informatyce śledczej15. Ze względu na właściwości telefonów komórkowych pozyskanie jakichkolwiek danych z wyłączonego urządzenia często nie jest możliwe; większość danych pozyskuje się „na żywo”. w pracy ze smartfonami, które wykorzystują zaawansowane zarządzanie zasobami, podłączenie ich do ładowarki i włożenie do klatki Faradaya nie jest najlepszym rozwiązaniem. Urządzenie może bowiem rozpoznać odłączenie od sieci i zmienić przez to status managera pamięci, który będzie nadpisywał dane nowymi informacjami16.
Większość rozwiązań służących do pozyskiwania danych ma charakter komercyjny i składa się z oprogramowania i sprzętu, które często są ze sobą połączone i zautomatyzowanych.
Badania i analizy
Coraz więcej urządzeń mobilnych wykorzystuje systemy plików wyższego poziomu, podobne do tych znanych z komputerów. Metody i narzędzia służące do analizy mogą być te same (niektóre po drobnych zmianach) co w przypadku kryminalistyki dysków twardych17.
System plików FAT jest powszechnie stosowany przy wykorzystaniu pamięci typu NAND18. Różnicą jest rozmiar użytego bloku, który w przypadku dysków twardych jest większy niż 512 bajtów. w zależności od zastosowanego rodzaju pamięci, rozmiar bloku wynosi 64, 128 lub 256 kb dla pamięci typu NOR oraz 16, 128, 256 lub 512 kb dla pamięci typu NAND.
Do pozyskiwania danych z obrazu pamięci mogą służyć różne narzędzia programowe. Można do tego celu użyć zautomatyzowanych specjalistycznych programów do analizy śledczej lub zwykłych edytorów i przeglądarek plików w formacie szesnastkowym, przeszukując pliki pod kątem konkretnych, charakterystycznych nagłówków. Zaletą edytorów heksadecymalnych jest głębszy wgląd w zarządzenie pamięcią, lecz praca z nim wymaga wielu zabiegów wykonywanych ręcznie oraz sporej wiedzy o budowie nagłówków plików. W przeciwieństwie do tego zautomatyzowane oprogramowanie śledcze upraszcza wyszukiwanie i ekstrakcję danych, lecz może się zdarzyć, że oprogramowanie pominie jakiś plik. Przykładowymi programami do ekstrakcji danych z obrazu pamięci mogą być AccessData, Sleuthkit czy EnCase19. Ponieważ nie ma obecnie oprogramowania, które wyodrębni wszystkie możliwe dane, zaleca się, aby przeprowadzić analizę kilkoma różnymi programami po sobie20.
IV. Typy przejęcia danych
Wyodrębnianie danych z telefonów komórkowych może być sklasyfikowane według zasady mówiącej, że kolejne metody będą coraz bardziej techniczne, narzędzia coraz droższe, analizy będą trwały więcej czasu, a śledczy będą musieli odbywać więcej szkoleń, niektóre metody staną się natomiast bardziej inwazyjne21.
Pozyskanie ręczne
Śledczy wykorzystuje interfejs użytkownika, aby zbadać zawartość pamięci telefonu, dlatego urządzenie używane jest normalnie, a śledczy filmuje lub fotografuje jego zawartość. Metoda ta ma tę zaletę, że system operacyjny sprawia, iż nie potrzeba żadnych specjalistycznych narzędzi lub sprzętu, aby przekształcić surowe dane na takie, które mogą być zrozumiałe dla człowieka. w praktyce metoda ta jest stosowana dla telefonów komórkowych, PDA czy nawigacji GPS22. Jej wadą jest to, że tylko dane widoczne w systemie operacyjnym urządzenia mogą być odzyskane. Dane pozyskane za pomocą tej metody mają formę zdjęć lub filmu, a sama metoda jest bardzo czasochłonna.
Pozyskanie logiczne
Pozyskanie logiczne oznacza wykonanie kopii logicznej (bit za bitem) obiektów (np. plików czy katalogów) znajdujących się w przestrzeni logicznej urządzenia (np. na partycji systemowej).
Pozyskanie logiczne ma tę zaletę, że struktury danych są łatwiejsze do przeglądania i wyodrębniania danych przez różnego rodzaju programy. Wyodrębnianie logiczne polega na wykorzystaniu narzędzi dostarczonych przez producenta sprzętu do synchronizacji danych między urządzeniem mobilnym a komputerem osobistym. Pozyskiwanie logiczne jest stosunkowo łatwe, lecz specjalista śledczy, jest w stanie pozyskać więcej informacji podczas ekstrakcji fizycznej (ręcznej).
Przejęcie systemu plików
Ekstrakcja logiczna zazwyczaj nie pozwala na wyodrębnienie jakichkolwiek danych, które zostały usunięte przez system telefonu. Jednak w niektórych przypadkach, szczególnie w systemach opartych na SQLite, czyli iOS oraz Android, telefon może zachować pliki baz danych i oznaczyć je jako usunięte do późniejszego nadpisania. w przypadku dostępu tylko z poziomu oprogramowania do synchronizacji uzyskanie tego typu danych nie jest możliwe. Przejęcie systemu plików jest przydatne do ustalenia i zrozumienia struktury katalogów i plików, umożliwia przejrzenie historii przeglądanych stron internetowych czy używanych aplikacji. Pozwala również śledczym na analizę w bardziej tradycyjny sposób, znany z informatyki śledczej23.
Przejęcie fizyczne
Przejęcie fizyczne oznacza dokładną (bit za bitem) kopię całego fizycznego nośnika danych, np. pamięci flash. Metoda ta jest najbardziej podobna do badania komputerów osobistych. Przejęcie fizyczne ma tę zaletę, że można zbadać pozostałości usuniętych danych czy plików. Podczas wyodrębniania fizycznego uzyskiwane informacje pochodzą bezpośrednio z pamięci urządzenia.
Jest to wymagające i trudne rozwiązanie, gdyż producenci sprzętu zwykle zabezpieczają go przed bezpośrednim dostępem do pamięci, dlatego też urządzenie może być zablokowane, a dostęp do niego możliwy tylko dla konkretnego operatora. w celu obejścia tego rozwiązania narzędzia służące do analizy urządzeń mobilnych zawierają swój własny boot loader (program rozruchowy), dający narzędziu dostęp do pamięci, często poprzez obejście hasła użytkownika czy jego wzoru-klucza24.
Na przejęcie fizyczne składają się dwie fazy: faza zrzutu, gdzie klonowana (zrzucana) jest zawartość pamięci urządzenia oraz faza faktycznego dekodowania danych.
V. Narzędzia
Wczesne śledztwa bazowały na ręcznej analizie działających urządzeń mobilnych, podczas której śledczy fotografowali lub opisywali przydatne materiały dowodowe. Pomijając fotografię, rozwiązania takie jak Fernico ZRT, eDEC Eclipse czy Project-a-Phone posiadały niezaprzeczalną wadę: istniało wysokie ryzyko modyfikacji zawartości urządzenia, a dodatkowo narzędzia te pozostawiały części własnego systemu operacyjnego w pamięci urządzenia.
W ostatnich latach pojawiło się wiele oprogramowań czy sprzętów, dzięki którym można dokonać przejęcia logicznego czy fizycznego z urządzeń mobilnych. Wiele z tych narzędzi to zarówno oprogramowanie, jak i sprzęt, włączając w to odpowiednie kable połączeniowe do telefonów różnych producentów. Oprogramowania tych narzędzi mogą wyodrębnić, zewidencjonować i często przeanalizować odzyskane dane.
Narzędzia analizy śledczej urządzeń przenośnych w ostatnich latach dobrze się rozwijają. Ma to związek m.in. z zapotrzebowaniem jednostek antyterrorystycznych i wojskowych na polu szybkiego rozpoznawania jednostek terrorystycznych, zbierania danych w miejscach przestępstw, wyszukiwania powiązań czy podczas natychmiastowego przeszukania. Narzędzia takie muszą być też użyteczne podczas pracy w trudnych warunkach, np. na polu bitwy, a ich konstrukcja powinna być wzmocniona (wodoodporne, odporne na uderzenia, itd.)25.
Ogólnie rzecz biorąc, z powodu niemożliwości stworzenia przez obecną technikę jednego narzędzia zdolnego analizować wszystkie typy urządzeń przenośnych zaleca się, aby specjaliści śledczy mieli opracowane zestawy składające się z narzędzi komercyjnych, Open Source, o szerokim i wąskim spektrum kompatybilnych urządzeń oraz akcesoriów takich jak baterie czy ładowarki, torby Faradaya lub innych środków tłumiących sygnał itp.26.
Narzędzia komercyjne
Do narzędzi komercyjnych należą między innymi:
- AccessData's MPE+,
- Logicube CellXtract,
- Cellebrite UFED,
- Micro Systemation XRY,
- MOBILedit! Forensic,
- FINALDATA FINALMobile Forensics,
- Radio Tactics' Athena,
- Oxygen Forensic Suite,
- Paraben Device Seizure,
- Susteen SecureView
- produkty Aceso.
Niektóre narzędzia zostały wyprodukowane specjalnie po to, aby umożliwić analizę urządzeń produkowanych w Chinach, czyli tak zwanych „chińskich podróbek”. Urządzenia takie oparte są o chipsety Mediatek (MTK), Mstar i Spreadtrum. Narzędzia te mają wbudowane rozwiązania Cellebrite's CHINEX oraz eDEC's Tarantula, podczas gdy inne mają po prostu dodaną do oprogramowania obsługę kilku chińskich telefonów.
Narzędzia Open Source
Większość Open Source’owych narzędzi analizy śledczej urządzeń mobilnych jest zorientowana na analizę konkretnej platformy smartfonów. Przykładowymi aplikacjami są:
- iPhone Analyzer;
- Katana Forensics' Lantern Lite imager;
- viaForensics' Open Source Android Forensics;
- the Mobile Internal Acquisition Tool;
- TULP2G.
Aplikacja BitPim, choć nie została zaprojektowana jako narzędzie śledcze, jest szeroko stosowana z telefonami CDMA, LG VX440, LG VX6000 oraz wieloma telefonami Sanyo Sprint27.
Narzędzia fizyczne
Wylutowanie
Technika powszechnie znana jako Chip-Off jest ostatnią i najbardziej inwazyjną metodą dostępu do obrazu pamięci urządzenia. Metoda ta polega na wylutowaniu kości nieulotnej pamięci i podłączeniu jej do czytnika. Użycie tej metody niesie ze sobą potencjalne ryzyko całkowitej utraty danych, gdyż możliwe jest zniszczenie całej kości pamięci w związku z ciepłem potrzebnym podczas procesu wylutowywania.
Wylutowanie kości jest procesem powolnym i wymagającym uwagi, aby nie zniszczyć pamięci i danych. Przed przystąpieniem do wylutowania płytka drukowana jest wygrzewana, aby odparować z niej ewentualne drobiny wilgoci. Zapobiega to tzw. efektowi popcornu, polegającemu na tym, że woda lub wilgoć mogą uszkodzić kość podczas wylutowywania.
Wyróżnia się trzy podstawowe metody topienia cyny:
- za pomocą gorącego powietrza;
- za pomocą światła podczerwonego;
- za pomocą pary.
Technologia podczerwona działa na zasadzie skupionego światła podczerwonego skierowanego na konkretny podzespół i jest stosowana do małych kości. Metody parowa i gorącego powietrza nie mogą być skupione na konkretnej kości tak, jak w przypadku metody podczerwonej.
Ponowne wlutowanie
Po wylutowaniu kości proces ponownego wlutowania rozpoczyna się od czyszczenia jej oraz dodania nowych kulek cyny na styki. Ponowne wlutowanie można przeprowadzić na różne sposoby.
Pierwszym sposobem jest użycie wzornika. Wzornik jest zależny od kości i musi do niej idealnie pasować. Następnie nakładana jest na niego cienka warstwa pasty lutowniczej. Po wystudzeniu wzornik jest usuwany i w razie potrzeby następuje ponowny proces czyszczenia.
Drugą metodą jest laserowe wlutowanie28. Tutaj wzornik jest zaprogramowany w jednostce lutującej. Głowica lutująca automatycznie ładuje kulkę cyny z pojemnika, następnie kulka ta jest ogrzewana laserowo do momentu przejścia w stan ciekły i spływa na oczyszczony układ. Natychmiast po stopieniu kulki laser wyłącza się, a nowa kulka cyny wpada do głowicy lutującej. Podczas przeładowania głowicy zmienia ona jednocześnie pozycję, przenosząc się nad inny pin do przylutowania.
Zaletą wylutowania jest to, że urządzenie nie musi być sprawne, a mimo to można wykonać kopię bez wprowadzania zmian w danych. Wadą natomiast jest to, że ponowne wlutowanie jest drogie, przez co proces ten jest kosztowny i niesie ze sobą ryzyko całkowitej utraty danych. Wylutowanie podczas dochodzenia powinno być wykonane jedynie w laboratoriach posiadających doświadczenie w przeprowadzaniu tego procesu29.
JTAG (Joint Test Action Group)
Istniejące ustandaryzowane interfejsy odczytu danych są zbudowane dla pojedynczych typów urządzeń, np. do odczytania pozycji z lokalizatorów GPS czy do pobrania informacji z jednostki sterującej poduszkami powietrznymi30.
Nie wszystkie urządzenia mobilne zapewniają taki ustandaryzowany interfejs, nie istnieje też standardowy interfejs dla wszystkich urządzeń mobilnych. Producenci mają jednak jeden wspólny problem – miniaturyzację. Otwartą kwestią jest to, jak automatycznie testować funkcjonalność i jakość lutowanych elementów. z tego powodu grupa JTAG (Joint Test Action Group) opracowała technologię testową zwaną skanowaniem granic (boundary scan).
Pomimo normalizacji przed interfejsem JTAG są stawiane cztery zadania. Technologia ta może być użyta do odzyskania pamięci. Aby znaleźć poprawne bity podczas skanowania granic rejestru, należy wiedzieć, które układy procesora i pamięci są stosowane oraz jak są podłączone do magistrali systemowej. Jeżeli nie są dostępne z zewnątrz, należy znaleźć punkty testowe JTAG na płytce drukowanej oraz określić, którego testu można użyć dla konkretnego sygnału. Porty dostępowe JTAG nie zawsze są wlutowane razem ze stykami, czasem konieczne jest otwarcie urządzenia i ich przelutowanie31. Protokół odczytu pamięci musi być znany, a ostateczne poprawne napięcie musi być wymuszone, aby zapobiec uszkodzeniu urządzenia32.
Skanowanie granic daje kompletny obraz pamięci ulotnej i nieulotnej. Ryzyko zmiany danych jest zminimalizowane, a kość pamięci nie musi być wylutowana. Generowanie obrazu może być procesem czasochłonnym, ponadto nie wszystkie urządzenia mobilne posiadają aktywny JTAG, a co za tym idzie, znalezienie portu dostępowego może być trudne33.
Narzędzia linii komend
Komendy systemowe
Urządzenia mobilne nie wspierają możliwości uruchamiania bądź rozruchu z dysku CD, podłączonego udziału sieciowego bądź innego urządzenia. z tego powodu polecenia systemowe mogą być jedyną drogą do zapisu trwałej pamięci urządzenia. Ryzyko zmodyfikowania pamięci przez wykonanie poleceń systemowych musi być określone, jeśli dane pamięci ulotnej są istotne. Podobny problem pojawia się, gdy żadna sieć nie jest podpięta i nie ma możliwości podpięcia dodatkowej pamięci do urządzenia, gdyż pamięć ulotna musi być od razu zapisana w wewnętrznej pamięci nieulotnej, w której przechowywane są również dane użytkownika i najprawdopodobniej ważne usunięte dane zostaną nadpisane oraz utracone. Polecenia systemowe to najtańsza metoda, lecz może oznaczać pewne ryzyko utraty danych. Każde użyte polecenie musi zostać udokumentowane wraz z wykorzystanymi opcjami.
Komendy AT
Polecenia AT są używane w starych modemach. Przykładowo: zestaw poleceń Hayes oraz polecenia telefonów AT Motorola mogą być wykorzystywane tylko na urządzeniach modemowych. Przy pomocy tych poleceń można uzyskać informacje tylko o systemie operacyjnym, żadne usunięte dane nie mogą zostać odzyskane34.
DD
Dla pamięci zewnętrznych i urządzeń USB typu Flash odpowiednie oprogramowanie, np. polecenie „dd” występujące w powłoce systemów Unix/Linux, może wykonać kopię na poziomie bitów. Ponadto kości USB z ochroną pamięci nie wymagają dodatkowego sprzętu i mogą być podpięte do dowolnego komputera. Wiele dysków USB i kart pamięci posiada blokadę zapisu w formie fizycznego przełącznika na obudowie. Przełącznik ten może zostać użyty jako zabezpieczenie przed zmianami w pamięci podczas wykonywania kopii. Jeżeli dysk USB nie posiada przełącznika zabezpieczającego, można użyć trybu montowania dysku tylko do odczytu lub – w wyjątkowych przypadkach – kość pamięci może zostać wylutowana. Karty SIM i karty pamięci wymagają użycia specjalnego czytnika do wykonania kopii. Karty SIM są gruntownie analizowane – możliwe jest wykonanie kopii (odzyskanie) usuniętych kontaktów czy wiadomości tekstowych35.
Komercyjne narzędzia niespecjalistyczne
Narzędzie Flasher
Flasher jest programistycznym narzędziem, które może zostać użyte do oprogramowania pamięci, np. EEPROM lub pamięci Flash. Narzędzia te pochodzą głównie od producentów, centrów diagnostycznych lub serwisowych. Mogą one zastąpić pamięć nieulotną, a niektóre – zależnie od producenta lub urządzenia – odczytać pamięć czy wykonać jej kopię. Pamięć może być zabezpieczona przed odczytem, np. za pomocą oprogramowania bądź przez zniszczenie bezpieczników w obwodzie odczytu36.
Warto zwrócić uwagę na fakt, że nie uniemożliwia to zapisywania w pamięci lub używania pamięci wewnętrznej przez CPU. Narzędzia Flasher są proste w podłączeniu i użyciu, jednak niektóre mogą zmieniać dane, zawierać niebezpieczne opcje lub nie wykonywać kompletnej kopii37.
VI. Podsumowanie
Nie istnieje ogólny standard wspierający wszystkie urządzenia. w związku z tym komponenty różnych producentów są inaczej obsługiwane, co znacznie utrudnia porównywanie ich z listą wspieranych urządzeń. Przykładowo: urządzenie, w którym logiczna ekstrakcja umożliwia wyodrębnienie wykonanych połączeń, może być wymienione jako wspierane, podczas gdy inne urządzenie, również znajdujące się na liście, dostarczy znacznie mniej informacji.
Ponadto różne produkty mogą wyodrębniać różne ilości informacji z różnych urządzeń, co powoduje złożoność prób ich pozyskania. Zazwyczaj prowadzi to do sytuacji, w której testowanie produktu przed zakupem jest zdecydowanie obszerniejsze i nie sprowadza się do testów jednego urządzenia lub oprogramowania, lecz do dwóch lub więcej, które wzajemnie się uzupełniają.
Przeciwdziałanie śledczym jest dość trudne ze względu na małe rozmiary urządzeń oraz ograniczenia użytkownika38. Niemniej jednak istnieją sposoby zabezpieczenia sprzętowego pamięci oraz zabezpieczenie obwodów CPU i kości pamięci nawet do tego stopnia, że kość nie będzie działać po wylutowaniu39.
-
E. Casey, Digital Evidence and Computer Crime, Waltham 2004.
-
C. Murphy, Cellular Phone…, dz. cyt.
-
C. Murphy, Cellular Phone…, dz. cyt.
-
R. Ayers, W. Jansen, Guidelines…, dz. cyt.
-
E. Casey, Handbook of computer crime investigation – forensic tools and technology, Waltham 2003.
-
R. van der Knijff, 10 Good Reasons…, dz. cyt.
-
R. van der Knij, 10 Good Reasons…, dz. cyt.
-
S.Y. Willassen, Forensic analysis…, dz. cyt.
-
M. Breeuwsma, M. de Jongh, C. Klaver, R. van der Knijff, M. Roelos, dz. cyt.
Warning: count(): Parameter must be an array or an object that implements Countable in /home/users/kylu007/public_html/krzysztofmomot/public_html/kryminalistyka.org.pl/wp-includes/class-wp-comment-query.php on line 399