Informatyczny przybornik śledczego
- Patryk Królikowski,
- 08.07.2013
Kolejnym wyzwaniem jest analiza danych przechowywanych w urządzeniach mobilnych - w szczególności w smartfonach i tabletach. Śledczemu rzucane są rozmaite kłody pod nogi. Fundamentalną trudnością jest różnorodność platform. W desktopach/laptopach w 80% przypadków spotkamy systemy z rodziny Windows, w pozostałych Linux. W urządzeniach mobilnych systemów jest znacznie więcej. Mamy systemy Apple’a, Google’a, Microsoftu, BlackBerry, Nokii i inne, nieco bardziej egzotyczne (np. BADA). Co prawda, z badań prowadzonych przez firmę Icrossing ("Mobile Operating System Market Share - 2013) wynika, że w Europie dominujący w poprzednich latach iOS traci na rzecz Androida, a w środowiskach korporacyjnych w dalszym ciągu widoczne jest BlackBerry, ale w Polsce do analiz trafiają wszelkie odmiany Symbiana, rzecz jasna iOS, coraz bardziej popularny Windows Phone/8 i niezliczone mody Androida.
Internet Evidence Finder – wybór typów artefaktów do wyszukani
Z drugiej jednak strony współczesny smartfon to jednak "pecet". Pozostańmy na chwilę przy Androidzie. To przecież nic innego jak Linux z jądrem 2.6, aplikacje w Javie osadzone w maszynach wirtualnych, dane przechowywane w bazie danych (SQLite), nośnik danych - karta SD/FAT32. Jak zatem możemy wykonać obraz urządzenia? W przypadku kart SD sprawa jest prosta - wystarczy zwykły write blocker np. FTK Imager i postępowanie jak z nośnikiem zewnętrznym. W przypadku pamięci FLASH (NAND) możemy wykorzystać tryb recovery, aktywować tryb debugu USB i za pomocą pakietu Android SDB, a konkretnie narzędzia ADB (Android Debug Bridge), wykonać polecenia na podłączonym systemie.
Wytrwali mogą również skorzystać z interfejsu JTAG i odpowiedniej przystawki - JTAG występuje na przykład w popularnych telefonach serii Samsung Galaxy S.
Rozkład udziału mobilnych systemów operacyjnych w rynku (2012–2013)
Po pobraniu danych przychodzi czas na clue programu, czyli analitykę. I tutaj możemy stosować zarówno stare, sprawdzone narzędzia, takie jak chociażby pakiet SleuthKit, który pomoże w analizie systemów plików YAFFS czy HFS. W procesie carvingu możemy również wesprzeć się dobrze znanym ze świata pecetów narzędziem Scalpel. Ciągle użyteczny pozostaje pakiet Autopsy, który może stanowić darmową alternatywę dla komercyjnych platform śledczych.
Jeżeli platformami mobilnymi interesujemy się na poważnie i wolimy trochę bardziej kompletne i zautomatyzowane narzędzia, możemy skierować uwagę na kombajny. Z pewnością jednym z najbardziej popularnych wśród śledczych są narzędzia Cellebrite serii UFED. Znajdziemy wśród nich zarówno narzędzia służące do akwizycji (w tym tzw. chińszczyzny - opartej na chipsetach MTK, Spreadtrum), jak i do analizy. Zatrzymajmy się na analityce. Dość często, zwłaszcza w bardziej rozbudowanych sprawach, pojawia się konieczność budowania mapy powiązań pomiędzy elementami układanki. Tę funkcjonalność (w odniesieniu do komórek) ma zapewniać Link Analysis. Możliwości narzędzia są interesujące. Dzięki niemu jesteśmy w stanie wykonać wiele działań względem posiadanego materiału, np.: