Urządzenia przenośne pod lupą

Co i jak można "wyciągnąć" z telefonu komórkowego, PDA czy iPoda? Jak bronić swoje gadżety przed wścibskimi? Postarajmy się spojrzeć na nasze ulubione zabawki okiem śledczego, którego zadaniem jest zebranie możliwie dużej liczby informacji o ich posiadaczu, np. o jego kontaktach i życiu codziennym.

Co i jak można "wyciągnąć" z telefonu komórkowego, PDA czy iPoda? Jak bronić swoje gadżety przed wścibskimi? Postarajmy się spojrzeć na nasze ulubione zabawki okiem śledczego, którego zadaniem jest zebranie możliwie dużej liczby informacji o ich posiadaczu, np. o jego kontaktach i życiu codziennym.

W ciągu ostatnich lat liczba elektronicznych urządzeń mobilnych wzrosła tak bardzo, że śmiało możemy nazwać je masowymi. Chodzi tutaj o wszelkiego rodzaju telefony komórkowe, odtwarzacze muzyczne czy PDA. Powszechność ich użycia potwierdziły np. badania przeprowadzone ostatnio w Wlk. Brytanii. Sprawdzono, ilu studentów na kilku wybranych uniwersytetach ma przy sobie urządzenia elektroniczne. Ponad 80% przyznało się do telefonu komórkowego, 70% do odtwarzacza mp3, a 35% do PDA. Obliczono też, że pośród przebadanych studentów na każdego przypadał średnio 1 GB danych.

Wiadomo także, że dzisiejsze możliwości posiadanych przez użytkowników gadżetów dawno już przerosły pierwotne funkcje przewidziane przez konstruktorów. Dziś są one magazynami informacji, których obecności nawet sami użytkownicy nie zawsze są świadomi, a które mówią o posiadaczu więcej, niż mu się wydaje.

Zagadnienie informatyki śledczej (computer forensics) urządzeń przenośnych wcale nie jest abstrakcyjne, a dowodzą tego wydarzenia kilku ostatnich miesięcy. Wystarczy wspomnieć o odzyskanym przez śledczych filmiku nagranym komórką przez uczniów oskarżonych o molestowanie koleżanki z klasy, co miało doprowadzić do jej późniejszego samobójstwa, czy też aresztowanie brytyjskich nastolatków za pobicie, które sfilmowane komórką umieszczono później na YouTube, albo udział karty SIM w aresztowaniach związanych z zabójstwem gen. Papały. Gdyby te same dane umieszczono na zwykłych twardych dyskach, ich odzyskanie nie stanowiłoby większego problemu. Gorzej jest z zabezpieczaniem i analizą danych, które umieszczone są na nietradycyjnych systemach komputerowych, jak np. komórki.

Weźmy więc "na warsztat" standardowy telefon komórkowy, iPoda i komputerek typu PDA oparty na Palm OS.

Przeszukujemy szare komórki

Urządzenia przenośne pod lupą

Torebka na komórkę - Wireless Stronghold Bag firmy Paraben - odcinająca aparat od sygnałów radiowych, może uchronić telefon przed zgubnym dla wyników naszej analizy wpływem otoczenia.

Zacznijmy od komórki. Przeciętny telefon komórkowy przechowuje informacje, takie jak: książka adresowa, kalendarz, notatki, listę zadań, listę wykonanych oraz otrzymanych połączeń, SMS-y, zdjęcia, nagrania audio czy krótkie filmy wideo. Często znajdziemy tam również gry czy aplikacje.

W telefonach komórkowych są trzy obszary, które mogą posłużyć jako źródła danych: pamięć samego urządzenia - ROM i RAM, karta SIM (Subscriber Identity Module) oraz dodatkowe karty pamięci. Na karcie SIM (choć ta nie zawsze jest elementem telefonu, np. w technologii CDMA - stosowanej głównie w USA, a w Polsce na usługach Sferii) mogą być przechowywane następujące informacje: numer IMSI (International Mobile Subscriber Identity), dane operatora komórkowego, aktualna lub ostatnia lokalizacja telefonu, książka telefoniczna, wysłane oraz otrzymane SMS-y, wybierane numery itp. W pamięci telefonu z kolei mogą być przechowywane: ustawienia telefonu, kalendarze, SMS-y i MMS-y, poczta e-mail, dzwonki, logi (wysłanych SMS-ów, zrealizowanych połączeń, odwiedzonych stron), aplikacje do obsługi dodatkowych funkcji telefonu (np. audio, wideo). Bardzo często znajdziemy wśród tych informacji numery PIN do kart kredytowych, numery samych kont, hasła do systemów czy poczty.

Możliwości "składowania" są znacznie większe, jeżeli nasza komórka obsługuje OBEX (Object Exchange). Z reguły wykorzystuje się zarówno pamięć ROM, jak i RAM, o czym należy pamiętać podczas późniejszej analizy telefonu.

Z kolei karty pamięci flash (najczęściej MiniSD i MicroSD) służą najczęściej do przechowywania wszelkich plików multimedialnych, czy dodatkowych aplikacji. Jakby jednak na to nie patrzeć, jest to typowy, wymienny nośnik pamięci, który może przechowywać dowolne dane i do jego analizy podchodzi się w sposób podobny jak do każdej innej pamięci masowej. Nie będziemy więc poświęcać mu więcej uwagi. Skupimy się na karcie SIM oraz na samym aparacie telefonicznym. Zanim dobierzemy się do "bebechów", spójrzmy na zagadnienie od strony metodologicznej.

Urządzenia przenośne pod lupą

Jeżeli podczas analizy zależy nam na pozostawieniu telefonu w stanie włączonym, warto zaopatrzyć się w zewnętrzne źródło zasilania.

Zasady analizy telefonu komórkowego nie są nigdzie sformalizowane. Jest też kilka szkół, które w zależności od tez postawionych przez autorów sprawdzają się w różnych sytuacjach. Rzecz rozbija się przede wszystkim o kolejność poszczególnych działań. Jedna ze szkół mówi, że w pierwszej kolejności należy wyłączyć telefon, następnie poddać analizie kartę SIM, kartę pamięci, a na końcu pamięć samego aparatu. Inna, że najpierw trzeba przebadać telefon, a dopiero potem kartę SIM i inne nośniki.

Przed przystąpieniem do wdrożenia jakiejkolwiek procedury trzeba się zastanowić i rozważyć skutki swoich działań. Na przykład: wyłączenie telefonu może powodować wprowadzenie zmian w jego pamięci i utratę danych z pamięci ulotnej. Po drugie, żeby zanalizować kartę SIM, należy ją najpierw wyjąć, a ta operacja w 99% telefonów wymaga wyjęcia baterii, zatem wyłączenia telefonu. Z drugiej jednak strony pozostawienie go włączonego powoduje, że mogą pojawić się dodatkowe dane powodujące zmianę zawartości pamięci (np. dodatkowe połączenie, SMS, zmiana BTS-a - Base Transceiver Station). Na szczęście istnieje cudowna metoda na uchronienie aparatu przed zgubnym wpływem otoczenia - specjalne torebki, które odgradzają aparat od sygnałów radiowych.

Należy jednak mieć na uwadze, że jeżeli odgrodzimy telefon od sygnałów radiowych, to dość drastycznie skrócimy czas pracy na bateriach. Dlatego do woreczka należałoby zapakować także przenośne źródło zasilania. Wyłączenie telefonu powoduje jeszcze jedną komplikację. Jeżeli nie znamy kodu PIN, to może być problem z dostępem do aparatu. To oczywiście również można obejść - przecież operator dysponuje kodem PUK, który odczytywany jest na podstawie numeru IMSI. Jeżeli jednak jesteśmy w zupełności pewni, że włączony telefon do niczego nam się nie przyda, możemy go wyłączyć i dopiero wówczas przystąpić do kolejnych czynności, takich jak: bezpieczne przeniesienie telefonu do laboratorium, pobranie materiału z telefonu i poddanie go analizie, co nie jest zadaniem trywialnym. Ale o tym za chwilę.

Zasady kryminalistyki informatycznej nakazują postępować tak, aby:

  1. Prowadzić porządną dokumentację wszystkich czynności.
  2. Ograniczać oddziaływanie na badany materiał do minimum.
  3. Zachować odpowiednią kolejność działań (np. pamięć ulotna pobierana w pierwszej kolejności).
  4. Wykonywać kopie bitowe nośników pamięci, o ile tylko dają taką możliwość.
  5. Nigdy nie pracować na oryginale.

I tu mała dygresja do punktu czwartego. Kopie bitowe możemy wykonywać na dwa sposoby - albo odwzorowując całość przestrzeni nośnika, albo tylko jego obszar logiczny. Pierwszy z nich jest najcenniejszy z punktu widzenia śledczego. Daje możliwość uchwycenia całości lub fragmentów informacji, które zostały usunięte, lub które nie są dostępne dla użytkownika. Kolejną sprawą jest wybór medium komunikacji z telefonem. Najlepszym jest stary i sprawdzony kabel. Formy komunikacji, takie jak Bluetooth czy IRDA, wywołują szereg akcji w telefonie, a to z kolei musi modyfikować jego zawartość (chociażby pamięci), czego chcemy przecież uniknąć. Metodologicznie bardzo pomocny będzie dokument stworzony przez NIST (National Institute of Standards and Technology) - "Guidelines on Cell Phone Forensics", do którego każdy adept komórkowego śledztwa powinien zajrzeć. Przejdźmy teraz do sedna sprawy - pobrania materiału.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200