Urządzenia przenośne pod lupą

Jabłuszek koszyczek

Rzućmy teraz okiem na inne urządzenie, które w ciągu ostatnich lat zrobiło oszałamiającą karierę - iPoda. Do czego może posłużyć oczywiście oprócz słuchania muzyki? W Internecie znajdziemy setki artykułów o tym, jak można zmodyfikować naszą zabawkę, tak aby z niewinnego odtwarzacza muzyki stała się "narzędziem zbrodni". Z iPoda można zabootować system operacyjny, rozbudować jego funkcjonalność za pomocą języka skryptowego AppleScript czy uruchomić dedykowany system operacyjny iPod Linux (http://www.ipodlinux.org ).

Ponieważ wcześniej wymienione ogólne zasady kryminalistyki znajdują zastosowanie także przy analizie danych z iPoda, rozpocznijmy od budowy małego Jabłuszka. Każdy iPod składa się z nośnika informacji (dysku lub pamięci flash). Nośnik ten może zostać sformatowany na dwa sposoby. Jeżeli jesteśmy wielkimi fanami Apple'a i mamy Maca w domu, to podczas inicjalizacji iPoda utworzony zostanie na nim system plików HFS+. Jeżeli jesteśmy "Windziarzami", to FAT32.

HFS+ jest o tyle niewdzięczny, że darmowe narzędzia śledcze niezbyt dobrze radzą sobie z jego analizą. Urządzenie może pracować w dwóch trybach - standardowym i nośnika danych. Różnica polega na tym, że w tym pierwszym nie będziemy w stanie załadować nic więcej poza muzyką, zdjęciami czy filmami. W drugim możemy umieszczać cokolwiek. Ważne jest też zaznaczenie, że jeżeli do transferu plików użyjemy np. Total Commandera, a nie iTunes, to te nie będą widoczne z poziomu menu urządzenia.

Patrząc na iPoda okiem śledczego okazuje się, że nie jest to taki zwykły twardy dysk lub pamięć flash. Formatowanie, wielokrotne resetowanie do ustawień fabrycznych nie usuwa wszystkich informacji i sporo danych może ujrzeć światło dzienne.

We wcześniejszych wersjach iPodów kontrolowanych przez starsze wersje iTunes przykładem takich przechowywanych informacji była nazwa użytkownika i nazwa komputera, z którego aktywowano urządzenie. Dane te zapisywane były m.in. w pliku DeviceInfo. W nowych urządzeniach pliku DeviceInfo już nie ma i nie znajdziemy tak oczywistych identyfikatorów posiadacza.

Urządzenia przenośne pod lupą

Co w iPodzie piszczy?

Ale i nowe Jabłuszka dają szansę na powiązanie urządzenia z użytkownikiem. iPod "gada" z komputerem po USB (ewentualnie FireWire), posiada też unikatowy identyfikator USB, który w momencie podłączenia do komputera zapisywany jest w rejestrze. Wystarczy odnaleźć string GUID na urządzeniu i będzie wiadomo jakiego identyfikatora szukać w pececie. Kolejny miły dla detektywa przykład to kalendarze i książka adresowa. Te dwie rzeczy bez względu na wersję iPoda przechowywane są w dobrze znanych choćby z komórek formatach, odpowiednio vCalendar i vCard. Co więcej, wszystko to w postaci niezaszyfrowanej. Mając więc obraz dysku iPoda (wykonany np. oprogramowaniem "dd"), możemy poddać go analizie w odpowiednim narzędziu, np. Access Data Forensic Toolkit (http://www.accessdata.com ), i wyłuskać owe dane poszukując ciągów znaków BEGIN:VCALENDAR i BEGIN:VCARD.

Sam proces wykonywania kopii urządzenia i poddania go dalszej obróbce może być albo bardzo prosty (np. generacja 3G lub 4G, system FAT32), albo mocno skomplikowany (najnowsza generacja 5.5G). Według badań przeprowadzonych na Uniwersytecie Purdue (USA) analiza iPoda 5.5G możliwa jest obecnie tylko w trybie tzw. live analysis, a więc pracy na żywym organizmie. Co prawda zastosowanie specjalnych write blockerów USB uniemożliwiających zapisanie informacji na iPodzie ułatwia pracę, ale zawsze wiąże się to z ryzykiem i brakiem dostępu do absolutnie wszystkich danych.

Na szczęście dla śledczych większość urządzeń na polskim rynku to na razie wersje starsze. iPod ma też kilka innych "udogodnień". Jednym z nich jest technika zapisywania plików. "Urządzonko" zapisuje dane od początku dysku do końca - trochę jak adapter. Dopiero po wypełnieniu całej przestrzeni, można powiedzieć linearnie, wraca do początku i zaczyna proces od nowa. Tak więc w porównaniu ze standardowymi napędami mamy znacznie większe szanse na to, że informacje, które mogą być istotne, nie zostały już wielokrotnie nadpisane.

A skoro jesteśmy przy nadpisywaniu, to wspomnijmy jeszcze o tym, jak iPod usuwa dane. Jeżeli korzystamy z HFS+, tworzony jest specjalny, ukryty folder ".Trash" - coś w rodzaju windowsowego kosza. Usuwając więc dane z iPoda wcale się ich nie pozbędziemy, a jedynie przeniesiemy do kosza. Wydawałoby się, że dane znikną całkowicie, kiedy z kosza zostaną usunięte wszystkie pliki, ale to też nieprawda. Nawet wtedy będzie można je odzyskać, korzystając z narzędzi kryminalistycznych np. dobrze radzącego sobie z systemem HFS+, choć drogiego, EnCase'a. Badając iPoda nie wolno zapominać o tym, że musi on być zasilany danymi pochodzącymi z jakiegoś źródła. A zatem kluczowe znaczenie w analizie może mieć powiązanie go z systemem, który owych danych dostarczył. W systemie Windows, który pośredniczył w wymianie informacji, znajdziemy kilka pomocnych wskazówek (patrz ramka "Co w iPodzie piszczy?"). Ta sama uwaga dotyczy także komórek i danych pochodzących z synchronizacji z komputerem.

Urządzenia przenośne pod lupą

Write Blocker USB - Digital Intelligence Ultrablock USB

My own, my precious...

Z listy urządzeń osobistych czas teraz na krótkie omówienie urządzenia typu PDA. Krótkie, ponieważ popularność typowych handheldów spada. Coraz rzadziej spotyka się, tak popularne jeszcze zupełnie niedawno, Palmy. Ich funkcje powoli przejmowane są przez telefony, np. Nokia serii 9x00 czy Sony Ericsson serii P9xx. Mimo wszystko jednak warto mieć ogólną orientację. PDA składają się, tak jak standardowy komputer, z procesora (np. StrongArm, XScale), pamięci ROM, RAM i czytników pamięci zewnętrznej np. MemoryStick, CF, SD.

Dwie podstawowe grupy palmtopów dostępne na rynku to te oparte na Palm OS i Microsoft Pocket PC/Windows Mobile. Pojawiają się też urządzenia bazujące na Linuksie. Wszystkie jednak oferują podobne podstawowe funkcjonalności: aplikacje PIM, przeglądanie dokumentów, zdjęć, odtwarzanie filmów, muzyki, surfowanie po Internecie. Podobnie jak komórki synchronizują się z komputerami. Czynią to za pomocą dwóch protokołów - ActiveSync (Microsoft) oraz HotSync (Palm). Podobnie też jak w przypadku iPoda i komórek, śledczy powinien zainteresować się maszyną, z którą urządzenie wymieniało dane.


TOP 200