Forenzný zber dát z mobilných zariadení Android

Úloha vyšetrovateľa digitálnej kriminalistiky (DFI) je naplnená možnosťami neustáleho vzdelávania, najmä keď sa technológia rozširuje a šíri do všetkých kútov komunikácie, zábavy a podnikania. Ako DFI zvládame každodenný útok na nové zariadenia. Mnohé z týchto zariadení, ako sú mobilné telefóny alebo tablety, používajú bežné operačné systémy, s ktorými sa musíme dobre zoznámiť. V odvetví tabletov a mobilných telefónov je, samozrejme, dominantný operačný systém Android. Vzhľadom na prevažne operačný systém Android na trhu mobilných zariadení sa DFI stretnú so zariadeniami Android počas mnohých prieskumov. Napriek tomu, že existuje niekoľko modelov, ktoré navrhujú metódy získavania údajov zo zariadení s Androidom, tento článok predstavuje štyri životaschopné metódy, ktoré by mala služba DFI zvážiť pri zbere dôkazov zo zariadení s Androidom.

Malá história operačného systému Android

Prvé komerčné vydanie systému Android bolo v septembri 2008 s verziou 1.0. Android je otvorený zdrojový a „voľne použiteľný“ operačný systém pre mobilné zariadenia vyvinutý spoločnosťou Google. Bolo dôležité, aby spoločnosť Google a ďalšie hardvérové ​​spoločnosti založili začiatkom roku 2007 „Open Handset Alliance“ (OHA) s cieľom propagovať a podporovať rast Androidu na trhu. OHA teraz pozostáva z 84 hardvérových spoločností vrátane gigantov ako Samsung, HTC a Motorola (aby sme vymenovali aspoň niektoré). Táto aliancia bola založená s cieľom konkurovať spoločnostiam, ktoré mali svoje vlastné ponuky na trhu, ako sú konkurenčné zariadenia ponúkané spoločnosťami Apple, Microsoft (Windows Phone 10 – ktorý je teraz údajne pre trh mŕtvy) a Blackberry (ktorý prestal vyrábať hardvér). Bez ohľadu na to, či je operačný systém vypnutý alebo nie,

Linux a Android

Aktuálna iterácia operačného systému Android je založená na Linuxe. Majte na pamäti, že „založené na Linuxe“ neznamená, že bežné aplikácie pre Linux budú vždy bežať na Androide, a naopak, aplikácie pre Android, ktoré sa vám môžu páčiť (alebo ktoré poznáte), nemusia nutne bežať na vašej pracovnej ploche Linuxu. Linux však nie je Android. Aby sme objasnili bod, uvedomte si, že spoločnosť Google si vybrala jadro Linuxu, základnú súčasť operačného systému Linux, na spracovanie hardvérovej čipovej sady, aby sa vývojári spoločnosti Google nemuseli starať o podrobnosti o tom, ako sa spracovanie vykonáva na danej sade hardvéru. . To umožňuje ich vývojárom zamerať sa na širšiu vrstvu operačného systému a funkcie používateľského rozhrania OS Android.

Veľký podiel na trhu

Operačný systém Android má na trhu mobilných zariadení významný podiel na trhu, a to predovšetkým vďaka svojmu otvorenému zdrojovému kódu. V treťom štvrťroku 2016 bolo dodaných prebytočných 328 miliónov zariadení s Androidom. A podľa webu netwmarketshare.com mal operačný systém Android väčšinu inštalácií v roku 2017 – takmer 67% – v čase písania článku.

Ako DFI môžeme očakávať, že sa počas typického prieskumu stretneme s hardvérom založeným na systéme Android. Vzhľadom na otvorený zdrojový kód operačného systému Android v kombinácii s rôznymi hardvérovými platformami od spoločností Samsung, Motorola, HTC atď. Predstavuje množstvo kombinácií medzi typom hardvéru a implementáciou operačného systému ďalšiu výzvu. Majte na pamäti, že Android je momentálne k dispozícii vo verzii 7.1.1, ale každý výrobca a predajca mobilných telefónov zvyčajne upraví operačný systém pre konkrétne ponuky hardvéru a služieb, čím poskytne ďalšiu vrstvu zložitosti DFI, pretože prístup k zhromažďovaniu údajov sa môže líšiť. …

Predtým, ako sa ponoríme hlbšie do ďalších atribútov systému Android OS, ktoré komplikujú prístup k zhromažďovaniu údajov, pozrime sa na koncept verzie ROM, ktorá bude použitá v zariadení s Androidom. Program ROM (Read Only Memory) je programovanie na nízkej úrovni, ktoré sa blíži základnej úrovni, a jedinečný program ROM sa často nazýva firmvér. Ak uvažujete o tablete na rozdiel od mobilného telefónu, tablet bude mať odlišné programovanie ROM na rozdiel od mobilného telefónu, pretože hardvérové ​​funkcie medzi tabletom a mobilným telefónom budú odlišné, aj keď sú obe hardvérové ​​zariadenia od rovnakého výrobcu hardvéru. Skomplikovať potrebu ďalších podrobností v aplikácii ROM, pridať špecifické požiadavky pre mobilných operátorov (Verizon, AT&T atď.).

Aj keď existujú bežné veci na získavanie údajov z mobilného telefónu, nie všetky zariadenia s Androidom sú rovnaké, najmä vzhľadom na skutočnosť, že na trhu je štrnásť hlavných edícií systému Android (od verzie 1.0 do 7.1.1), niekoľko modelov s ROM špecifickými pre model a nespočetnými ďalšími vlastnými edíciami doplnenými používateľmi (ROM zákazníkov). „Edície zostavené zákazníkom“ sú tiež ROM špecifické pre model. Aktualizácie na úrovni ROM aplikované na každé bezdrôtové zariadenie budú vo všeobecnosti zahŕňať operačné a systémové aplikácie, ktoré fungujú pre konkrétne hardvérové ​​zariadenie, pre daného dodávateľa (napríklad váš Samsung Young S7 od spoločnosti Verizon) a pre konkrétnu implementáciu.

Aj keď neexistuje riešenie „striebornej guľky“ na skúmanie zariadenia s Androidom, forenzné skúmanie zariadenia s Androidom by malo postupovať podľa rovnakého všeobecného postupu zhromažďovania dôkazov, ktorý vyžaduje štruktúrovaný proces a metódu, ktorá sa zameriava na vyšetrovanie, zaistenie, izoláciu, získanie, vyšetrovanie a analýza a podávanie správ o akýchkoľvek digitálnych dôkazoch. Keď je doručená žiadosť o kontrolu jednotky, DFI začne plánovať a pripravovať zahrnutie metódy potrebnej na získanie jednotiek, potrebnú dokumentáciu na podporu a dokumentáciu reťazca úschovy, vypracovanie vyhlásenia o účele prieskumu, podrobný model jednotky (a ďalšie špecifické atribúty získaného hardvéru) a zoznam alebo popis informácií, ktoré chce žiadateľ získať.

Unikátne akvizičné výzvy

Mobilné zariadenia, vrátane mobilných telefónov, tabletov atď., Čelia jedinečným výzvam v dôsledku zaistenia dôkazov. Pretože výdrž batérie je na mobilných zariadeniach obmedzená a bežne sa neodporúča vkladať do zariadenia nabíjačku, môže byť fáza izolácie zhromažďovania dôkazov kritickou podmienkou získania zariadenia. Do zamerania vyšetrovateľa počas akvizície by malo byť zahrnuté aj mätúco správne získavanie, mobilné dáta, WiFi pripojenie a Bluetooth pripojenie. Android má v telefóne zabudovaných mnoho funkcií zabezpečenia. Funkciu uzamknutej obrazovky je možné nastaviť ako PIN kód, heslo, vzor kresby, rozpoznávanie tváre, rozpoznávanie polohy, rozpoznávanie dôveryhodného zariadenia a biometriu ako odtlačok prsta. Odhaduje sa, že 70% používateľov používa vo svojom telefóne nejakú formu bezpečnostnej ochrany. Kriticky je k dispozícii softvér, ktorý si používateľ mohol stiahnuť,

Je nepravdepodobné, že by sa počas odomknutia mobilného zariadenia odomkla obrazovka. Ak zariadenie nie je zamknuté, vyšetrenie DFI bude jednoduchšie, pretože DFI dokáže rýchlo zmeniť nastavenia v telefóne. Ak je povolený prístup k mobilnému telefónu, deaktivujte uzamknutú obrazovku a zmeňte časový limit obrazovky na maximálnu hodnotu (ktorá môže byť u niektorých zariadení až 30 minút). Majte na pamäti, že je dôležité izolovať telefón od všetkých internetových pripojení, aby ste zabránili vzdialenému čisteniu zariadenia. Umiestnite telefón do režimu v lietadle. Pripojte externý zdroj napájania k telefónu potom, čo bol vložený do bezstatického obalu navrhnutého na blokovanie rádiofrekvenčných signálov. Akonáhle bude zabezpečený, malo by byť možné neskôr povoliť ladenie USB a povoliť Android Debug Bridge (ADB), ktorý môže poskytnúť dobré zachytenie údajov.

Získajte údaje systému Android

Forenzné kopírovanie pevného disku zo stolného alebo prenosného počítača je triviálne v porovnaní s metódami extrakcie údajov potrebnými na zber údajov z mobilných zariadení. DFI majú vo všeobecnosti priamy fyzický prístup k neobmedzenému pevnému disku, čo umožňuje vytvorenie kópie hardvéru alebo bitového toku softvéru. Mobilné zariadenia majú svoje dáta uložené v telefóne na ťažko dostupných miestach. Extrakcia údajov cez port USB môže byť výzvou, ale na zariadeniach Android sa dá vykonať opatrne a so šťastím.

Keď sa zariadenie Android chytí a bude v bezpečí, je načase telefón preskúmať. Pre Android je k dispozícii niekoľko spôsobov zberu údajov, ktoré sa výrazne líšia. Tento článok predstavuje a diskutuje o štyroch základných spôsoboch prístupu k zhromažďovaniu údajov. Týchto päť metód je uvedených a zhrnutých nižšie:

  1. Odošlite zariadenie výrobcovi:

Zariadenie môžete odoslať výrobcovi na dolovanie údajov, čo bude stáť ďalší čas a peniaze, ale môže to byť nevyhnutné, ak nemáte konkrétne znalosti pre konkrétne zariadenie alebo čas na učenie sa. Ako už bolo uvedené vyššie, Android má predovšetkým množstvo verzií operačných systémov založených na výrobcovi a verzii ROM, čo zvyšuje zložitosť akvizície. Služby výrobcu spravidla poskytujú túto službu orgánom a orgánom činným v trestnom konaní pre väčšinu domácich spotrebičov, takže ak ste nezávislým dodávateľom, musíte sa obrátiť na výrobcu alebo získať podporu od organizácie, s ktorou spolupracujete. Možnosti výskumu výrobcu nemusia byť k dispozícii pre niekoľko medzinárodných modelov (napríklad pre mnoho nemenovaných čínskych telefónov, ktoré šíria trh – myslite na „jednorazový telefón“).

  1. Priame fyzické získavanie údajov.

Jedným z pravidiel vyšetrovania DFI je nikdy nemeniť údaje. Fyzické získavanie údajov z mobilného telefónu musí brať do úvahy rovnaké prísne postupy na overovanie a dokumentovanie, že použitá fyzická metóda nezmení údaje v zariadení. Akonáhle je zariadenie pripojené, je tiež potrebné spustiť súčty hash. Fyzické získavanie umožňuje DFI získať úplný obraz o zariadení pomocou kábla USB a forenzného softvéru (v tomto mieste by ste mali zvážiť podložky na písanie, aby ste predišli zmenám údajov). Pripojenie k mobilnému telefónu a fotografovanie nie je také čisté a jasné ako načítanie údajov z pevného disku na stolnom počítači. Problém je v tom, že v závislosti od vami zvoleného forenzného akvizičného nástroja, špeciálnej značky a modelu telefónu, operátora, verzie systému Android, nastavenia používateľa v telefóne, koreňový stav zariadenia, stav zámku, ak je známy kód PIN a ak je v zariadení povolená možnosť ladenia USB, je možné, že nebudete môcť načítať údaje z vyšetrovaného zariadenia . Zjednodušene povedané, fyzické získavanie končí v oblasti „len vyskúšania“ toho, čo získate, a môže sa na súde (alebo na opačnej strane) javiť ako neštruktúrovaný spôsob zberu údajov, ktorý môže zber údajov ohroziť.

  1. Kriminalistika JTAG (variácia fyzického získavania uvedená vyššie).

Ako je definícia, súdne lekárstvo JTAG (Joint Test Action Group) je pokročilejší spôsob zberu údajov. Je to v zásade fyzická metóda, ktorá zahŕňa káble a pripojenie k testovacím prístupovým portom (TAP) na zariadení a pomocou pokynov na spracovanie vyvoláva prenos nespracovaných údajov uložených v pamäti. Surové údaje sa získavajú priamo z pripojeného zariadenia špeciálnym káblom JTAG. Toto sa považuje za zber údajov na nízkej úrovni, pretože nedochádza k žiadnej konverzii ani interpretácii a je podobné bitovej kópii vytvorenej pri získavaní dôkazov z pevného disku stolného alebo prenosného počítača. Akvizície JTAG je možné často vykonávať pre zamknuté, poškodené a neprístupné (uzamknuté) zariadenia. Pretože ide o kópiu nízkej úrovne, ak bolo zariadenie šifrované (používateľom alebo konkrétnym výrobcom, napríklad Samsung a niektoré zariadenia Nexus),

  1. Chip-off akvizícia.

Táto akvizičná technológia vyžaduje, aby boli zo zariadenia odstránené pamäťové obvody. Produkuje surové binárne skládky. Opäť sa to považuje za pokročilú akvizíciu na nízkej úrovni a bude to vyžadovať spájkovanie pamäťových čipov pomocou vysoko špecializovaných nástrojov na odstránenie čipov a ďalších špecializovaných zariadení na čítanie čipov. Rovnako ako vyššie uvedená forenzná technológia JTAG, DFI riskuje šifrovanie obsahu čipu. Ak však informácie nie sú šifrované, je možné niektorú kópiu extrahovať ako nespracovaný obrázok. DFI bude musieť zápasiť so zmenou adresy bloku, fragmentáciou a prípadne so šifrovaním. Niekoľko výrobcov zariadení s Androidom, ako napríklad Samsung, taktiež používa šifrovanie, ktoré sa nedá obísť počas alebo po dokončení získavania čipu, aj keď je známe správne heslo.

  1. Bezdrôtový zber údajov.

Všetci si uvedomujeme, že spoločnosť Google zvládla zber údajov. Google je známy tým, že si uchováva obrovské množstvo mobilných telefónov, tabletov, prenosných počítačov, počítačov a ďalších zariadení z rôznych typov operačných systémov. Ak má používateľ účet Google, DFI môže s príslušným povolením spoločnosti Google pristupovať k všetkým informáciám o uvedenom používateľovi, sťahovať ich a analyzovať ich v rámci svojho používateľského účtu Google. Ide o sťahovanie informácií z účtu Google používateľa. V súčasnosti nie sú pre používateľov systému Android k dispozícii úplné zálohy v cloude. Medzi údaje, ktoré je možné skúmať, patria Gmail, kontaktné informácie, údaje z Disku Google (ktoré môžu byť veľmi odhaľujúce), synchronizované karty Chromu, záložky prehliadača, heslá, zoznam registrovaných zariadení s Androidom (kde je možné kontrolovať históriu polohy pre každé zariadenie),

Päť vyššie uvedených metód nie je úplný zoznam. Často sa opakuje poznámka o zbere údajov – pri práci na mobilnom zariadení je správna a presná dokumentácia zásadná. Okrem toho dokumentácia použitých procesov a postupov, ako aj dodržiavanie procesov väzby, ktoré ste stanovili, zabezpečí, že zhromaždené dôkazy budú „forenzné“.

Záver

Ako je uvedené v tomto článku, kriminalistika pre mobilné zariadenia, a najmä Android OS, sa líši od tradičných digitálnych forenzných procesov používaných pre prenosné počítače a stolné počítače. Aj keď je osobný počítač ľahko zabezpečiteľný, úložisko je možné ľahko kopírovať a zariadenie je možné ukladať, bezpečné získavanie mobilných zariadení a údajov môže byť a je často problematické. Je potrebná štruktúrovaná metóda získavania mobilného zariadenia a plánovaná metóda zberu údajov.

Leave a Reply

Your email address will not be published. Required fields are marked *