Magia plastiku

Na pierwszy ogień idzie karta SIM. Jest ona niczym innym, jak tylko specyficzną kartą smart, składającą się z mikroprocesora, pamięci RAM i ROM i komunikującą się z telefonem przez złącze szeregowe. Najważniejsze z interesujących informacji, które na niej znajdziemy, to: IMSI, który w powiązaniu z wybranym językiem pozwoli zidentyfikować choćby narodowość użytkownika, ICCID, wysłane wiadomości SMS, ostatnio wybierane numery, informacje o lokalizacji (LOCI - karta SIM przechowuje informacje o ostatniej lokalizacji, w której użytkownik zarejestrowany był w systemie), nazwę operatora, informacje o aktywnych usługach. Dodatkowo, w zależności od narzędzi, możliwe jest: odtworzenie usuniętych SMS-ów, MMS-ów, odzyskanie kodu PIN. Widać więc, że ten mały kawałek plastiku wart jest uwagi.

Jeżeli do analizy otrzymaliśmy już wyłączony telefon, to w żadnym wypadku nie można go włączać przed zbadaniem karty SIM. Lepiej to zrobić za pomocą zewnętrznego czytnika zgodnego ze standardem PS/SC, który można kupić za kilkadziesiąt złotych. Zewnętrzny czytnik jest bardziej praktyczny, gdyż telefon tuż po włączeniu od razu przystąpi do poszukiwań nadajnika. Jeżeli go znajdzie, nadpisze pole EFLOCI (zawierające ostatnią lokalizację abonenta - nawet za granicą) i zniszczy często bardzo ważny ślad. Co więcej, nawet jeżeli odetniemy telefon od jakichkolwiek fal radiowych, wartość pola EFLOCI również się zmieni, a konkretnie wyzeruje. Rezultat ten sam - utrata danych. Oprócz czytnika potrzebne będzie także odpowiednie oprogramowanie (w tym również darmowe), za pomocą którego będziemy w stanie przejrzeć lub skopiować zawartość karty czy też wykonać jej klon.

Najwięcej uwagi należy poświęcić narzędziom, którymi będziemy "wydłubywać" informacje. Mają one o tyle znaczenie, że ilość możliwych do uzyskania za ich pomocą danych jest zróżnicowana. Jako że karta SIM jest specyficznym rodzajem karty smart, to posiada swoje zabezpieczenia chroniące przed modyfikacjami ze strony użytkownika. Co więcej, próby przełamywania tych zabezpieczeń najczęściej doprowadzają do całkowitej blokady karty, która staje się tylko bezużytecznym plastikiem. Dlatego też dostępne na rynku narzędzia skupiają się na wydobywaniu informacji w taki sposób, aby nie naruszać zabezpieczeń. Powoduje to również, że w zasadzie nie jest możliwe zrobienie dokładnej kopii - "jeden-do-jednego" - danych na karcie. Niemniej jednak uzyskujemy i tak dostęp do tych, które dla zwykłego użytkownika nie są osiągalne.

Informacje na karcie składowane są w postaci zawierających tylko nagłówki katalogów (tzw. Dedicated Files) oraz plików (tzw. Elementary Files). Każdy plik na karcie posiada własny identyfikator, który musi być unikalny (dwa pliki na karcie nie mogą mieć takiego samego ID). Wykonanie jakiejkolwiek operacji wymaga aktywności ze strony np. telefonu lub innego rodzaju czytnika. Karta SIM sama z siebie nie inicjuje żadnej komunikacji. Wszelkie zlecenia wydawane są za pomocą kilku komend wraz z parametrami. Z punktu widzenia przydatności dla śledczego najczęściej wykorzystywane są dwie: SELECT oraz GET RESPONSE. Dzięki nim żadne dane na karcie SIM nie są zmieniane.

Oprócz tego co zostanie wydobyte, ważne jest także zapewnienie integralności pobranych informacji. Tylko niektóre narzędzia umożliwiają wykonanie sumy kontrolnej zgromadzonych śladów - większość z nich haszuje całość pobranego materiału, a nie pojedyncze rekordy. Dobrym przykładem jest narzędzie open source TULP2G (http://tulp2g.sourceforge.net ) czy SIMCON (http://www.simcon.no ). Bardzo ciekawym projektem open source jest również SimBrush (http://asterix.ing.unibs.it:8080/site001/projects ), który gorąco polecamy zainteresowanym.

Komóreczko powiedz przecie...

A co z samym telefonem? Jak już mówiliśmy, tam też składowana jest cała masa danych. Spójrzmy więc na sposoby dobrania się do komórki. Sprawa jest dość złożona i nie ma złotego środka. Właściwie istnieją trzy możliwości.

Pierwsza to rozebranie telefonu i bezpośrednie podłączenie się do jego pamięci lub wylutowanie układu i analiza w czytniku. To podejście wymaga niestety specjalistycznego sprzętu i choć daje możliwość wykonania kopii binarnej pamięci, to nie jest zbyt często wykorzystywane.

Druga metoda polega na wykorzystaniu interfejsu JTAG (Joint Test Action Group), który teoretycznie również pozwala na zrzut pamięci 1 do 1. Problem w tym, że żaden z producentów nie dzieli się szczegółami implementacji JTAG, a tych może być wiele. Dodatkowo konieczne jest posiadanie odpowiedniej kolekcji kabli, gdyż rozkład złączy różni się nie tylko pomiędzy producentami, ale też poszczególnymi modelami. Trudno też o oprogramowanie, które pośredniczyłoby w komunikacji przez JTAG.

Wreszcie trzecią, najbardziej popularną i najszybszą metodą jest skorzystanie ze standardowych złączy telefonu. Warto przy okazji wspomnieć o tym, że nie ma jednolitego standardu komunikacji, który wykorzystywałyby wszystkie komórki. Stąd też wymiana danych pomiędzy telefonem a komputerem w zależności od producenta realizowana jest za pośrednictwem różnych protokołów. Na przykład do nawiązania sesji OBEX Sony Ericsson używa szeroko stosowanych komend AT, a Nokia własnego protokołu FBUS. Ten drugi budzi znacznie więcej emocji, ponieważ w różnych seriach telefonów FBUS jest zaimplementowany w sposób niejednorodny. Ponadto aplikacje, które go wykorzystują, nie zawsze potrafią to robić w sposób prawidłowy. Badania prowadzone w Australii pod koniec 2005 roku pokazały, że jedną z takich "wadliwych" aplikacji był w owym czasie Oxygen Phone Manager Forensic Edition.

Pozyskując informacje z telefonu najprościej jest więc wykorzystać złącze szeregowe. Zakładamy przy tym, że telefon nie jest dodatkowo zabezpieczony (to wymagałoby znacznie obszerniejszego omówienia). Konieczne będą także aplikacje dedykowane do analizy kryminalistycznej. Przykładem może być wspomniany już wcześniej TULP2G lub inne, niestety komercyjne narzędzia, takie jak: MobilEdit, GSM XRY czy Paraben Device Seizure. Nie wolno używać standardowego oprogramowania do synchronizacji, np. Nokia PC Suite. Nie zabezpiecza ono bowiem przed wprowadzeniem zmian do badanego telefonu.

Potem pozostaje już tylko wybrać rodzaj i model podłączonego telefonu, typ informacji, których wydobycie szczególnie nas interesuje i ewentualnie protokół komunikacyjny. Po "wyrwaniu" danych z komórki należy sporządzić ich funkcję skrótu (czasami ręcznie), a następnie wygenerować raport (co większość narzędzi potrafi). Jeżeli będziemy mieli szczęście, uzyskamy dostęp do informacji, których późniejsze skorelowanie może opowiedzieć nam fascynującą historię życia użytkownika telefonu. W kwestii komórek to na razie tyle. Dotknęliśmy zaledwie wierzchołka góry lodowej, ale apetyt czytelnika na pewno wzrośnie w miarę jedzenia.