Εγκληματολογία φορητών συσκευών: Πέρα από τα αρχεία καταγραφής κλήσεων και τα μηνύματα κειμένου

Όπως όλοι γνωρίζουμε, η αγορά κινητών συσκευών, η οποία περιλαμβάνει κινητά τηλέφωνα και smartphone, αναπτύσσεται ραγδαία. Η ανάπτυξη της αγοράς επέτρεψε στους κατασκευαστές να δημιουργήσουν χιλιάδες διαφορετικά μοντέλα τηλεφώνων που βλέπουμε να χρησιμοποιούνται σήμερα. Αυτά τα διαφορετικά μοντέλα έχουν φέρει πολλές προκλήσεις στους εξεταστές όταν επιφορτίζονται με την εξαγωγή και την ανάλυση δεδομένων από κινητές συσκευές. Η τεχνολογία που σχετίζεται με τις κινητές συσκευές προχωρά επίσης, γεγονός που επιτρέπει στους κατασκευαστές να κυκλοφορούν νέα μοντέλα τηλεφώνων κάθε χρόνο, με λεπτότερες θήκες, καλύτερα γραφικά, ταχύτερους επεξεργαστές, περισσότερο χώρο αποθήκευσης και, ναι, καλύτερα χαρακτηριστικά ασφαλείας.

Από την κυκλοφορία των πρώτων smartphone, του αρχικού iPhone της Apple (με λειτουργικό iPhone OS) και του Dream G1 της HTC (με Android 1.0), οι καταναλωτές εμπιστεύονται τη ζωή τους σε κινητές συσκευές. Σε μια έρευνα του 2015 που διεξήχθη από το Pew Research Center, το 92% των ανθρώπων στις Ηνωμένες Πολιτείες είχαν κινητό τηλέφωνο και το 68% ένα smartphone. PEW RESEARCH CTR., DEVICE OWNERSHIP (2015) . Αυτός ο μέσος όρος είναι σχεδόν μία κινητή συσκευή ανά άτομο στις Ηνωμένες Πολιτείες.

Πώς επηρεάζει αυτό την επιβολή του νόμου; Με φορητές συσκευές που επιτρέπουν στους καταναλωτές να επικοινωνούν, να κοινωνικοποιούνται, να κάνουν τραπεζικές συναλλαγές, να ψωνίζουν, να πλοηγούνται, να εκκινούν το αυτοκίνητό τους, να παρακολουθούν την υγεία τους και να παρακολουθούν τις κάμερες παρακολούθησης του σπιτιού τους, μια πληθώρα πληροφοριών περιέχεται σε αυτές τις συσκευές. Σχεδόν κάθε έγκλημα που διαπράττεται έχει τη δυνατότητα να έχει τη συμμετοχή μιας κινητής συσκευής, αλλά η ομάδα έρευνας πρέπει πρώτα να αναγνωρίσει την κινητή συσκευή ?είτε είναι ρολόι, τηλέφωνο ή tablet? και στη συνέχεια να διατηρήσει τα δεδομένα για συλλογή και ανάλυση. Ενώ γίνεται όλο και πιο δύσκολο να παρακάμψετε τις λειτουργίες ασφαλείας σε κινητές συσκευές, το Εργαστήριο Cybercrime Lab μπορεί να σας βοηθήσει να προσδιορίσετε τις επιλογές σας.

Για όλους τους ερευνητές, η αναγνώριση και η διατήρηση δεδομένων είναι ο στόχος κατά την κατάσχεση ψηφιακών αποδεικτικών στοιχείων. Αυτό μπορεί να είναι πιο δύσκολο όταν αντιμετωπίζετε κινητές συσκευές που έχουν τις δικές τους ξεχωριστές προκλήσεις διαφορετικές από τους φορητούς και επιτραπέζιους υπολογιστές. Μια πρόκληση είναι να ξέρεις τι να ψάξεις. Με μικρότερες και καινοτόμες συσκευές στην αγορά, όπως το μίνι τηλέφωνο με μπρελόκ τύπου BMW, καθιστά πιο δύσκολη την αναγνώριση των συσκευών. Μια άλλη πρόκληση είναι η συλλογή όλων των δεδομένων. Ενώ οι φορητές συσκευές αποθηκεύουν πολλά δεδομένα, η εξαγωγή δεδομένων από τη συσκευή μπορεί να λείπει σημαντικά στοιχεία.

Δεν αποθηκεύονται όλα τα δεδομένα στη συσκευή, παρόλο που ο χρήστης έχει πρόσβαση στα δεδομένα. Με την ευκολία του cloud computing, εταιρείες όπως το Dropbox, το Microsoft One Drive και το Google Drive παρέχουν στον χρήστη δυνατότητες δημιουργίας, μεταφοράς, λήψης, και να διαγράψουν δεδομένα στην παλάμη του χεριού τους. Ενώ ο χρήστης μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα από την κινητή συσκευή του, ενδέχεται να μην ανακτηθεί κατά την εξαγωγή και την ανάλυση λόγω των δεδομένων που αποθηκεύονται στο cloud ή σε απομακρυσμένο χώρο αποθήκευσης.

Ως εκ τούτου, είναι επιτακτική ανάγκη για την ερευνητική ομάδα να προσδιορίσει ποιους λογαριασμούς ηλεκτρονικού ταχυδρομείου που βασίζονται στον ιστό, λογαριασμούς μέσων κοινωνικής δικτύωσης και χώρο αποθήκευσης αρχείων μπορεί να έχει ο χρήστης, ώστε οι λογαριασμοί να μπορούν να διατηρηθούν. Αυτά τα δεδομένα, μαζί με τα δεδομένα που εξήχθησαν από την κινητή συσκευή, θα μπορούσαν να δώσουν μια καλύτερη εικόνα του τι συνέβη κατά τη διάρκεια ενός χρονικού πλαισίου. λογαριασμούς μέσων κοινωνικής δικτύωσης και αποθήκευση αρχείων που μπορεί να έχει ο χρήστης, ώστε οι λογαριασμοί να μπορούν να διατηρηθούν. Αυτά τα δεδομένα, μαζί με τα δεδομένα που εξήχθησαν από την κινητή συσκευή, θα μπορούσαν να δώσουν μια καλύτερη εικόνα του τι συνέβη κατά τη διάρκεια ενός χρονικού πλαισίου. λογαριασμούς μέσων κοινωνικής δικτύωσης και αποθήκευση αρχείων που μπορεί να έχει ο χρήστης, ώστε οι λογαριασμοί να μπορούν να διατηρηθούν. Αυτά τα δεδομένα, μαζί με τα δεδομένα που εξήχθησαν από την κινητή συσκευή, θα μπορούσαν να δώσουν μια καλύτερη εικόνα του τι συνέβη κατά τη διάρκεια ενός χρονικού πλαισίου.

Μία από τις πιο συνηθισμένες ερωτήσεις που λαμβάνεται στο Εργαστήριο Cybercrime Lab είναι εάν τα δεδομένα μπορούν να εξαχθούν. Αυτή είναι μια διαρκώς μεταβαλλόμενη απάντηση, επειδή οι κλειδωμένες συσκευές που δεν μπορούν να ξεκλειδωθούν σήμερα μπορεί να ξεκλειδωθούν την επόμενη εβδομάδα. Καθώς οι προμηθευτές εργαλείων εργάζονται για την ανάπτυξη μεθόδων για τη λήψη δεδομένων από συσκευές που δεν υποστηρίζονται, κυκλοφορούν ενημερωμένες εκδόσεις ξεκλειδώνοντας και αποκωδικοποιώντας νέες συσκευές πολλές φορές το χρόνο. Αυτές οι ενημερωμένες εκδόσεις ενδέχεται να υποστηρίζουν μια συσκευή που βρίσκεται σε αποδεικτικά στοιχεία και συλλέγει σκόνη.

Συνιστάται τα αποθηκευμένα αποδεικτικά στοιχεία να επανεκτιμώνται κάθε λίγους μήνες για να διαπιστώνεται εάν καλύπτονται από μια ενημέρωση που κυκλοφόρησε. Εάν η συσκευή δεν υποστηρίζεται με εργαλεία του εμπορίου, μπορείτε να επικοινωνήσετε με το Cybercrime Lab (cybercrimelab@usdoj.gov) για βοήθεια σχετικά με τον προσδιορισμό των διαθέσιμων επιλογών. Το εργαστήριο θα σας ζητήσει να δώσετε τη μάρκα και τον αριθμό μοντέλου από τη συσκευή,

Υπάρχουν διαφορετικά επίπεδα εξαγωγής δεδομένων από κινητές συσκευές, όπως και με τους υπολογιστές. Κάποια επιτρέπουν περαιτέρω, βαθύτερη ανάλυση, και άλλα όχι. Το να γνωρίζετε ποιος τύπος εξαγωγής ολοκληρώθηκε είναι σημαντικό και μπορεί να προκύψει από την αναφορά. Οι τρεις κοινές εξαγωγές είναι η Λογική, το Σύστημα Αρχείων και η Φυσική.

Η λογική εξαγωγή είναι η πιο γρήγορη από τις εξαγωγές και εξάγει τα δεδομένα μέσω εντολών API (Διεπαφή Προγραμματισμού Εφαρμογών). Οι εντολές επιτρέπουν στη συσκευή να επιστρέψει τις ζητούμενες πληροφορίες από τη συσκευή, όπως τα περιεχόμενα SMS, αρχεία καταγραφής κλήσεων και πολυμέσων, αλλά όχι συνήθως δεδομένα από εφαρμογές τρίτων. Συνήθως, η εξαγωγή του συστήματος αρχείων θα περιλαμβάνει τη δομή αρχείων της συσκευής, τη συλλογή των φακέλων, των υποφακέλων και των δεδομένων τους. Αυτό δημιουργεί περισσότερα δεδομένα από τη Λογική εξαγωγή και μπορεί να χρησιμοποιηθεί για περαιτέρω εξέταση ? τη βαθιά κατάδυση. Η φυσική εξαγωγή είναι η πιο ολοκληρωμένη από τις εξαγωγές. Αυτό θα παρέχει ένα αντίγραφο bit-for-bit της μνήμης flash της συσκευής. Με αυτό, θα έχετε ολόκληρη τη μνήμη,

Με κλειδωμένες συσκευές, το Cybercrime Lab χρησιμοποιεί διάφορες τεχνικές και εργαλεία για την απόκτηση των δεδομένων. Εάν η συσκευή σας αναφέρεται ως μη υποστηριζόμενη, επικοινωνήστε με το Cybercrime Lab στη διεύθυνση Cybercrimelab@usdoj.gov για βοήθεια.

Ένα βασικό πλεονέκτημα για την απόκτηση συστήματος αρχείων ή φυσικής εξαγωγής είναι η δυνατότητα εκτέλεσης προηγμένης ανάλυσης των δεδομένων της συσκευής. Αυτό περιλαμβάνει τα δεδομένα που περιέχονται μέσα στις εφαρμογές, που συνήθως ονομάζονται εφαρμογές, που είναι εγκατεστημένες στη συσκευή. Οι εφαρμογές είναι αυτοτελή προγράμματα λογισμικού είτε προεγκατεστημένα είτε εγκατεστημένα από τον χρήστη στη συσκευή για την εκτέλεση προγραμμάτων όπως ανταλλαγή μηνυμάτων, GPS, μέσα κοινωνικής δικτύωσης και προγράμματα περιήγησης ιστού. Τα δεδομένα σε αυτές τις εφαρμογές συνήθως αποθηκεύονται σε βάσεις δεδομένων SQLite και συχνά περιέχουν πολύτιμες πληροφορίες.

Κατά την ανάλυση των δεδομένων, οι βάσεις δεδομένων SQLite στη συσκευή προσδιορίζονται από την κεφαλίδα του αρχείου τους, 0x53514C69746520666F726D6174203300. Οι γνωστές βάσεις δεδομένων αναγνωρίζονται, αποκωδικοποιούνται και παρουσιάζονται στον εξεταστή σε ευανάγνωστη, οργανωμένη μορφή. Στα εμπορικά εργαλεία, τα δεδομένα διαβάζονται από τις βάσεις δεδομένων SQLite και χωρίζονται σε μοναδικές ενότητες?όπως SMS, Αρχείο κλήσεων και Επαφές?για τον τελικό χρήστη. Γνωστές βάσεις δεδομένων είναι εκείνες για τις οποίες το εργαλείο έχει προγραμματιστεί να αναγνωρίζει και να κατανοεί πώς αποθηκεύονται τα δεδομένα. Τα εμπορικά εργαλεία υποστηρίζουν και αποκωδικοποιούν χιλιάδες διαφορετικές εφαρμογές, συμπεριλαμβανομένων των δημοφιλών μέσων κοινωνικής δικτύωσης, της επικοινωνίας, της αποθήκευσης αρχείων και των εφαρμογών χαρτογράφησης, αλλά οι βάσεις δεδομένων μπορεί να χρειαστεί να εξαχθούν για περαιτέρω ανάλυση.

Τι γίνεται αν η καταχώρηση ή τα δεδομένα διαγράφηκαν; Ανάλογα με τη διαμόρφωση της βάσης δεδομένων και των συσχετισμένων αρχείων, τα δεδομένα ενδέχεται να είναι ανακτήσιμα. Ορισμένες βάσεις δεδομένων SQLite έχουν συσχετίσει αρχεία WAL ή WriteAhead Log για να βοηθήσουν στην εγγραφή δεδομένων στη βάση δεδομένων. Καθώς οι καταχωρήσεις γράφονται από τον χρήστη, όπως μια καταχώρηση επαφής ή ένα μήνυμα SMS, εγγράφονται πρώτα στο αρχείο WAL. Η βάση δεδομένων θα ελέγξει για τα πιο πρόσφατα δεδομένα, τα οποία είτε βρίσκονται στη βάση δεδομένων είτε στο αρχείο WAL. Στη συνέχεια, τα δεδομένα μετακινούνται από το αρχείο WAL στη βάση δεδομένων μόλις η βάση δεδομένων ολοκληρώσει έναν κανονικό τερματισμό λειτουργίας. Αλλά εξακολουθούν να υπάρχουν τα δεδομένα στο αρχείο WAL; Ναι, θα μπορούσε να είναι. Τα εγκληματολογικά εργαλεία SQLite, όπως το Sandersons SQLite Forensic Suite, επιτρέπουν στους εξεταστές να αναζητήσουν τη βάση δεδομένων και το αρχείο WAL για διαγραμμένες καταχωρήσεις που δεν είναι πλέον ορατές στον χρήστη και ορισμένα εμπορικά εργαλεία.

Για να το εξηγήσουμε αυτό, ακολουθεί ένα παράδειγμα: εάν υπήρχαν πέντε επαφές στο Contacts_2.db (το .db υποδηλώνει μια βάση δεδομένων) και έσβηνα μία, η ίδια η βάση δεδομένων θα έβλεπε μόνο τις τέσσερις υπόλοιπες καταχωρήσεις. Εάν προσθέσω μια νέα καταχώριση επαφής αλλά η βάση δεδομένων δεν έκλεισε σωστά, θα εξακολουθούσα να έχω μόνο τέσσερις καταχωρήσεις.

Η νέα καταχώρηση θα βρισκόταν στο αρχείο WAL και εάν τα εργαλεία απέτυχαν να επεξεργαστούν το αρχείο WAL, τα δεδομένα θα μπορούσαν να είχαν χαθεί. Ωστόσο, εάν επιτρέψω την προσθήκη της νέας καταχώρησης στη βάση δεδομένων, αυτό θα μπορούσε να αντικαταστήσει τα παλιά δεδομένα που υπήρχαν και να ρυθμιστεί να ενημερωθούν με τη νέα καταχώρηση. Εάν υπάρχει ερώτηση σχετικά με δεδομένα ή λείπουν δεδομένα από μια βάση δεδομένων και υπάρχει ένα συνοδευτικό αρχείο WAL, η καλύτερη πρακτική είναι να χρησιμοποιήσετε εργαλεία που έχουν σχεδιαστεί για ανάλυση SQLite. Μια βαθύτερη κατάδυση στη βάση δεδομένων μπορεί να ανακτήσει παλιές εγγραφές που δεν φαίνονται πλέον από τη βάση δεδομένων, καθώς και πιθανώς να υποδείξει πότε υπήρχε η καταχώρηση.

Άλλες προκλήσεις με τις κινητές συσκευές είναι ο αριθμός των διαφορετικών εφαρμογών και η διασφάλιση ότι αυτές οι εφαρμογές υποστηρίζονται στην αναφορά. Συζητήσαμε παραπάνω για «γνωστές» βάσεις δεδομένων, αλλά τι γίνεται με άγνωστες βάσεις δεδομένων, εκείνες που δεν υποστηρίζονται για αποκωδικοποίηση. Ένα παράδειγμα μη αποκωδικοποίησης δεδομένων προέκυψε κατά την ανάλυση μιας φυσικής εξαγωγής από μια συσκευή Samsung.

Η ανάλυση για το Blackberry Messenger αποκάλυψε μια βάση δεδομένων Blackberry Messenger σε αυτήν τη διαδρομή αρχείου: /Root/data/com.bbm/files/bbmcore /master.enc. Η βάση δεδομένων δεν αποκωδικοποιήθηκε λόγω της κρυπτογράφησης της βάσης δεδομένων, όπως φαίνεται από το αρχείο master.enc και των δεδομένων που δεν είναι αναγνώσιμα (δεκαεξαδικό, 0xF6F7CBD9CC1E1D8933392F, που μεταφράζεται σε «..30/»). Η φυσική εξαγωγή επέτρεψε την ανάκτηση των κλειδιών για την αποκρυπτογράφηση της βάσης δεδομένων και μόλις αποκρυπτογραφήθηκε,

Οι φορητές συσκευές περιέχουν περισσότερα από απλά αρχεία καταγραφής κλήσεων και μηνύματα κειμένου. περιέχουν μια πληθώρα πληροφοριών, άλλες στη συσκευή και άλλες στο cloud. Η συνεργασία με την ερευνητική ομάδα για τον εντοπισμό και τη διατήρηση του cloud και των λογαριασμών που βασίζονται στον ιστό θα συμβάλει στην παροχή μιας καλύτερης εικόνας της ζωής του ατόμου.

Με τις κλειδωμένες συσκευές σας, να θυμάστε ότι εάν δεν υποστηρίζεται σήμερα, ελέγξτε ξανά ή επικοινωνήστε με το CCIPS Cybercrime Lab για ενημερώσεις και πιθανές λύσεις. Με αυτόν τον διαρκώς μεταβαλλόμενο χρόνο, οι συσκευές που δεν υποστηρίζονταν την προηγούμενη εβδομάδα θα μπορούσαν να υποστηριχθούν την επόμενη εβδομάδα.

Οι περισσότερες ιατροδικαστικές αναφορές κινητών συσκευών συνοδεύονται από μια λίστα βάσεων δεδομένων SQLite εφαρμογών που προσδιορίζονται στο τηλέφωνο. Αυτή η λίστα πρέπει να αναθεωρηθεί για να διαπιστωθεί εάν η βάση δεδομένων έχει αποκωδικοποιηθεί. Αν και δεν είναι σύνηθες φαινόμενο τα εμπορικά εργαλεία να χάνουν τις υποστηριζόμενες βάσεις δεδομένων, μια ενημέρωση από το εργαλείο δημιουργίας εφαρμογών θα μπορούσε να επηρεάσει τη σωστή λειτουργία του εργαλείου. Τα εργαλεία τρίτων μπορούν να βοηθήσουν στην αναζήτηση βαθύτερης ανάλυσης στις βάσεις δεδομένων, εάν παραστεί ανάγκη. Εάν χρειάζεστε βοήθεια με την κινητή συσκευή σας, επικοινωνήστε με το CCIPS Cybercrime Lab για βοήθεια στο CybercrimeLab@usdoj.gov.