Image
22.5.2018 0 Comments

Aktuálna tema: Ako kriminalisti a súdni znalci skúmajú zabavené mobily a počítače

Informácie uložené v mobilných telefónoch, počítačoch a tabletoch sa stávajú čoraz dôležitejším dôkazným materiálom, bez ohľadu na to či bol kriminálny čin spáchaný prostredníctvom informačných technológií, alebo rôzne zariadenia a úložné priestory obsahujú relevantné dôkazy o príslušnom čine.

Možnosti skúmania zabavených mobilov

1 Digitálna forenzná analýza
Digitálna forenzná analýza využíva Lockhardov princíp akcie a reakcie, pretože každá akcia vyvolá reakciu, v tomto prípade zanechá digitálnu stopu. Digitálna stopa je akákoľvek informáciou s vypovedacou hodnotou v digitálnej podobe. Kľúčovým faktorom pre celý reťazec zainteresovaný na zbere a analýze dôkazov je zachovanie integrity digitálnej stopy. Typická počítačová kriminalita zahŕňa hackerské prieniky, šírenie malvéru, poškodenie sieťových služieb firmy, či organizácie, finančné podvody a krádeže intelektuálneho majetku. Nakoľko prakticky každý človek má pri sebe stále mobil, vznikajú digitálne dôkazy nielen pri počítačovej kriminalite, ale de facto pri akomkoľvek kriminálnom čine.

Digitálna forenzná analýza

2 Špecifiká mobilných telefónov
Obzvlášť veľkú pozornosť sa musí venovať zaisteniu mobilných telefónov a tabletov so SIM kartou. Po vypnutí sa telefón zamkne, preto sa  tieto zariadenia spravidla zaisťujú v zapnutom stave. V takom prípade je ale vďaka internetovému pripojeniu možné na diaľku vymazať údaje. V minulosti sa na túto možnosť prichádzajúcu do úvahy aj v prípade straty, či krádeže majiteľ telefónu musel vopred pripraviť. V súčasnosti je už táto funkcia u moderných mobilných operačných systémov štandardná, stačí byť prihlásený k príslušnej cloudovej službe.  Preto je potrebné riešiť dve protichodné požiadavky: udržať zariadenie zapnuté a napájané, aby sa nevybila batéria a zároveň zamedziť vzdialenému prístupu k zariadeniu. Jediným riešením je vypnúť, alebo rušiť GSM signál, alebo odtieniť zariadenie. Vypnutie GSM signálu kvôli zaisťovaniu dôkazov je prakticky nemožné, nehovoriac o počte operátorov a národnému roamingu. Rušenie signálu pripúšťa legislatíva len v špecifických prípadoch a vyšetrovanie účtovného podvodu a podobné delikty medzi ne rozhodne nepatrí. Riešením je preto takzvaný Faraday Bag, čo je ako z názvu vyplýva vrecko s Faradayovou klietkou tieniacou rádiový signál do ktorej sa zapnutý telefón vloží, aby sa zabránilo jeho komunikácii z okolím. Faraday Bag je realizovaný ako textilné vrecúško s kovovou sieťkou vo vnútri.  Faradayova klietka sa používa aj na pracovisku znalca, minimálne dovtedy kým sa do telefónu nevloží iná karta, ktorá je klonom originálnej aby telefón nepoznal, že došlo k výmene karty. Klonovaná karta sa však nedokáže pripojiť k mobilnej sieti, takže nikto nemôže na diaľku vymazať v telefóne údaje

Príklad konštrukcie vrecka s Faradayovou klietkou tieniacou rádiový signál

Problémom sú mobilné platformy bez prístupu k súborového systému, riešením je pripojenie sa k hardvérovým obvodom telefónu buď pomocou JTAGu, cez piny, ktoré slúžia na zavedenie firmvéru a testovanie, alebo vyspájkovaním čipu a jeho vloženie do špeciálnych prípravkov. Veľa telefónov je konštruovaných tak, že sa dá rozobrať len pomocou špeciálnych nástrojov. Ak sú zalepené treba ich zahriať na definovanú teplotu a pomocou prísaviek odlepiť zadnú stenu.

Kapitolou samou o sebe sú zašifrované informácie, sú viditeľné ale bez rozšifrovania neposkytujú informačný obsah. V prípade mobilných operačných systémov, napríklad iOS je dešifrovanie za rozumných ekonomických a časových podmienok prakticky nemožné. Od verzie Androidu 6 je k dispozícii výkonné šifrovanie a od verzie 7.0 Nougat je šifrovanie implicitne aktivované, no na rozdiel od iOS sa dá vypnúť.

Zariadenie na digitálnu forenznú analýzu umožňuje analyzovať disky aj sieťovú prevádzku

3 Zber dôkazov
Spravidla sa pri zaisťovaní digitálnych stôp aplikuje súslednosť krokov. Dôležité je monitorovanie sieťovej komunikácie, či už sa jedná o WiFi, alebo mobilné údaje a zachytenie aktuálnych, takzvaných živých údajov, ako je obraz pamätí RAM, komunikáciu cez porty a podobne. Kritériom na určenie poradia je trvácnosť údajov na jednotlivých pamäťových médiách. Postupuje sa od operačnej pamäti RAM, čo je napäťovo závislý úložný priestor. Treba zachovať počítač v chode, aby sa nedostal k slovu screensaver, ktorý počítač zamkne.

Na zabezpečenie zaisteného počítača, aby nebol uvedený do režimu spánku a neuzamkol sa využívajú špecialisti rôzne nástroje, napríklad CRU Wiebetech Mouse Jiggler MJ-3. Po zasunutí ho operačný systém identifikuje ako zariadenie s HID (Human Interface Device) rozhraním, čiže rovnakým ako má myš a aktivitami na tomto rozhraní zabráni tomu, aby sa počítač uspal. Jednoduchšie zariadenia podobného typu raz na niekoľko sekúnd pohnú kurzorom myši o jeden, alebo niekoľko málo pixelov. U niektorých operačných systémov, napríklad Mac OS to nestačí a takýto pohyb vyhodnotia ako nestabilitu myši. MJ-3 sa dá naprogramovať aby robil dlhšie, či sofistikovanejšie pohyby.

Ani v prípade, ak znalec nedokáže počítač odomknúť, nie je pri čítaní na napájaní závislých pamätí úplne bezmocný. Napríklad špeciálnymi prípravkami zaisťujúcimi napájanie, alebo dokonca podchladením RAM pamäti sa môžu údaje v pamäti zachovať po veľmi krátku dobu, kým bude premiestnená do iného zariadenia. Tento proces je teoreticky aj prakticky možný, avšak značne nespoľahlivý. Paralelne sa vykonáva zaistenie prístupu a zabezpečenie sieťových a cloudových úložných priestorov, ku ktorým sa môže niekto pripojiť odinakiaľ a znehodnotiť údaje. Ako posledné sa zaisťujú lokálne interné a externé disky, pretože na týchto médiách ak sú správne podchytené nehrozí vymazanie, či modifikovanie údajov. Niektoré digitálne stopy sú latentné, čiže nie sú viditeľné pri bežnom použití IT zariadení. Typickým príkladom sú skryty súbory, či nealokovaný priestor.

4 Analýza
Základným princípom naprieč celým procesom vrátane analýzy je integrita, čiže získané dáta, ktoré sa budú analyzovať nesmú byť oproti originálu pozmenené. Preto  sa na pripájanie zaistených diskov k počítaču znalca využívajú zariadenia write blocker, ktoré zaručia, že sa z analyzovaného disku bude len čítať.

Príklad konštrukcie write blockeru

Na spustenie počítačov sa používajú bootovateľné CD so špeciálnou linuxovou inštaláciou, ktorá uloží na externé médiá obrazy zabudovaných diskov. Cieľ analýzy spočíva v odfiltrovaní informačného balastu a zistení relevantných informácií. Zložitým až neriešiteľným problémom pre znalcov je šifrovanie disku. Dlho platila dogma, že je neprípustné kýmkoľvek spôsobom zmeniť dáta. Avšak v prípade zašifrovaných médií by to znamenalo, že sa znalec k údajom nikdy nedostane

Forensic ComboDock od firmy Viebetech

Okrem samotných informácii sú nevyhnutne potrebné aj súvislosti medzi nimi. Je potrebné napr. informácie z viacerých zdrojov chronologicky zoradiť, pričom však treba zohľadniť aj možné časové posuny jednotlivých záznamových zariadení a pod. Informácia o tom, že používateľ sa prihlásil na svoj počítač môže byť nezaujímavá, ale súvislosť s informáciou, že pred prihlásením opustil budovu firmy vnáša do prípadu nové informácie a otázky. Pri vzniku digitálnej stopy je vo väčšine prípadov vytvorená časová značka, avšak vždy je potrebné overiť jej spoľahlivosť. Typickým prípadom je zapnutie kamery bez nastavenia času, takže časový údaj je síce súsledný, avšak oproti reálnemu času konštantne posunutý

Analýza musí byť dôsledná a hodnoverná. Ťažko sa dokazuje preniknutie do počítačov konkurenčnej firmy, napríklad za účelom priemyselnej špionáže. Znalec nájde v počítači žalovanej firmy softvér na preniknutie do iného počítača, aj dáta z počítača žalujúcej firmy. Zdanlivo jasný prípad. Avšak, čo ak sa všetko odohralo opačne. Žalujúca firma sa nabúrala do počítača firmy, ktorú hodlala žalovať a takýmto spôsobom poškodiť a podstrčila tam údaje a softvérové nástroje, ktoré potom poslúžia ako dôkaz.

 

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Technológie 2

Microsoft končí s podporou komunity okolo Windows 7, 8.1, Office 2010 a Office 2013

15.06.2018 00:20

Microsoft oznámil zákazníkom, že od budúceho mesiaca sa jeho pracovníci prestanú zúčastňovať na online komunitných fórach podpory venovaných riešeniu problémov používateľov systému Windows 7 a mnohých ...

Technológie 2

ASUS má robustné, no veľmi užitočné smart hodinky. Dokážu zmerať aj krvný tlak

15.06.2018 00:15

Podľa štatistiky Svetovej zdravotníckej organizácie jeden z piatich ľudí dnes trpí vysokým krvným tlakom. Komplikácie vyplývajúce z neho spôsobujú vo  svete ročne až 9,4 milióna úmrtí. Tieto údaje si ...

Technológie

Synology počas veľtrhu CeBIT predstavila nové produkty

15.06.2018 00:00

Spoločnosť Synology zorganizovala počas CeBITu podujatiea Solution Exhibition 2018, na ktorom predstavila nový sortiment produktov, softvéru a systémových aktualizácií. Súčasťou podujatia bola celoden ...

q

Žiadne komentáre

Vyhľadávanie

Najnovšie videá



PC forum button