20:52
18/3/2015

W poprzednich artykułach opisujących pracę informatyka śledczego opisaliśmy sprawę trzech pracownic pewnej firmy i wykonanego przez nie “przekrętu” (por. Zabawa w kotka i myszkę) oraz pokazaliśmy jak analizować zawartość pamięci RAM komputera. Z dzisiejszego odcinka dowiecie się jak służby analizują telefony komórkowe i co można wyciągnąć ze smartphona…

Autorem niniejszego artykułu są chłopaki z VS DATA, którzy na co dzień wykonują opinie z zakresu informatyki śledczej na potrzeby organów ścigania i firm, a od czasu do czasu dzielą się swoją wiedzą w ramach jednego z naszych szkoleń z Informatyki Śledczej.

Komórek więcej niż komputerów

Według International Telecomunication Union (ITU) do końca 2014 roku w użyciu było 7 miliardów telefonów komórkowych. Statystycznie wychodzi więc na to, że komórek jest tyle, co ludzi na Ziemi. Jeśli przyjrzymy się danym dla Polski, to na koniec III kwartału 2014 roku aktywnych było aż 57 mln kart SIM (dane Głównego Urzędu Statystycznego). Na jednego Polaka przypada więc ok. 1,5 telefonu przy czym aż 27 milionów mieszkańców Polski posiada smartphona. Krótko mówiac, praktycznie każdy ma telefon (albo dwa).

I właśnie z tego powodu…

…telefon to doskonały materiał dowodowy

Poza historią rozmów i SMS-ami na telefonie znajdują się także zdjęcia i filmy zawierające podobizny znajomych oraz często odwiedzane miejsca. Są na nim wiadomości e-mail, Facebook, kalendarz a niekiedy także informacje dotyczące kont bankowych lub historia lokalizacji użytkownika. Jednym zdaniem: nosimy w kieszeni wiele cennych danych!

Telefon to często narzędzie przestępstwa

Niestety, wraz ze wzrostem liczby telefonów komórkowych, smartphonów i innych urządzeń elektronicznych, rośnie także liczba przestępstw, w których są one wykorzystywane. Przykładowo, zwiększające się w bardzo szybkim tempie możliwości multimedialne i biznesowe telefonów powodują, że zgromadzone w pamięci dane mogą znacznie ułatwić naruszenie tajemnicy przedsiębiorstwa (czyt. “niepostrzeżone wyniesienie” firmowych danych).

Pechowo, kontrola tego, czy i jakie informacje wymieniają pracownicy za pomocą urządzeń mobilnych, jest dość trudna. Czasem pozostaje więc tylko analiza telefonu dopiero po wykryciu danego incydentu, kiedy “podejrzany” mógł już podjąć wielokrotne próby zacierania śladów, czyszcząc pamięć telefonu.

Badanie telefonu, a badanie komputera.

Istnieją dwa powody, dla których wykonuje się badania śledcze telefonów komórkowych. Pierwszy — na potrzeby opinii prywatnych, np. zlecanych przez przedsiębiorstwa, drugi — na potrzeby opinii sądowych zlecanych przez organy ścigania. Jednak bez względu na to, kto zleca usługę, wykonuje się ją w taki sam sposób, czyli zgodnie z przyjętymi zasadami informatyki śledczej.

Informatyka śledcza, zwana także sądową, wymaga od osoby przeprowadzającej analizę zachowania ścisłych procedur. Najważniejsze, to zastosowanie techniki, która uniemożliwi jakąkolwiek modyfikację analizowanych danych. Materiał dowodowy podczas badania nie może ulec zmianie. Dotyczy to zarówno omawianych w tym artykule telefonów komórkowych, jak i komputerów. Jednakże badanie tych dwóch rodzajów urządzeń przeprowadza się w zupełnie inny sposób.

W przypadku badania komputera, w pierwszej kolejności wyjmowane są dyski z zabezpieczonej jednostki centralnej, następnie wykonywane są ich kopie binarne z równoczesnym obliczeniem sumy kontrolnej. Na końcu przeprowadza się właściwą analizę śledczą. Dzięki temu podejściu materiał dowodowy w postaci zabezpieczonego komputera z oryginalnym dyskiem nie jest w ogóle uruchamiany.

Zupełnie inaczej postępuje się w przypadku pracy nad telefonem komórkowym. Analiza musi być przeprowadzona na “żywym” organizmie, a telefon podczas badania jest cały czas włączony! Trzeba jednak pamiętać, że kluczowe znaczenie ma tutaj izolacja urządzenia od sieci GSM/UMTS, co uniemożliwia połączenie komórki z siecią.

Nieodpowiednie postępowanie w tym zakresie może bowiem spowodować modyfikację zawartości telefonu, a co za tym idzie, wyrządzić nieodwracalne zmiany. Najczarniejszym scenariuszem jest tu chociażby możliwość nadpisania usuniętych informacji poprzez otrzymanie nowych wiadomości SMS. Dodatkowo, podczas połączenia z siecią zmianie ulega parametr LAI:LAC używany do identyfikacji stacji BTS, do której po raz ostatni zalogowany był abonent. Brak tych danych może uniemożliwić odpowiedź na pytanie, czy w badanym okresie dany telefon był używany we wskazanym rejonie (obsługiwany przez konkretną stację BTS), czy też nie.

Oczywiście, w celu izolacji telefonu od sieci, najprostsze byłoby wykonanie analizy urządzenia bez karty SIM. Jednak większość aparatów wymaga takiej karty do normalnej pracy i nie pozwala na przeprowadzenie żadnych analiz. Rozwiązaniem jest tu użycie odpowiednio spreparowanej karty SIM (na podstawie parametrów ICCID oraz IMSI), która zastąpi oryginalną.

Jeden z analizowanych przez zespół VS DATA przypadków

Jeden z analizowanych przez zespół VS DATA przypadków

Etapy analizy telefonu komórkowego

Badanie telefonu komórkowego, to w rzeczywistości analiza trzech komponentów, z których składa się typowa komórka:

  • karta SIM
  • pamięć telefonu
  • karta pamięci typu FLASH

Analiza karty SIM

Zazwyczaj pierwszym krokiem analizy telefonu komórkowego jest badanie karty SIM. Jej zadaniem jest identyfikacja i autoryzacja abonenta w sieci komórkowej oraz szyfrowanie transmisji. Zapisane mogą być na niej kontakty wraz z numerami telefonów, wiadomości tekstowe (ograniczona liczba) oraz rejestr ostatnio wykonywanych połączeń, ale bez informacji o dacie i czasie trwania połączenia. W przypadku kart prepaid, posiadać one mogą również zaszytą informację o numerze telefonu abonenta. Jedną z istotniejszych kwestii jest możliwość ustalania obszaru, w którym karta SIM była używana.

Możliwości śledcze w przypadku kart SIM są w większości przypadków uzależnione od telefonu, w którym ta karta była używana. To telefon decyduje, jakie informacje będą na zapisywane na karcie SIM, a to wpływa na ilość informacji możliwych do odczytania.

Po przeprowadzeniu badań karty SIM można wykonać odpowiednio spreparowaną “kartę serwisową”. Włożona do analizowanego telefonu zapewni separację od sieci GSM/UMTS. Dopiero z tą kartą można uruchomić telefon i przystąpić do badania drugiego komponentu — pamięci telefonu.

Analiza pamięci telefonu

Pamięć telefonu to jego pamięć wewnętrzna. W dobie smartfonów ilość przechowywanych tam informacji jest uzależniona jedynie od dostępnej pamięci zainstalowanej przez konkretnego producenta. W pamięci telefonu “widoczny” jest niemal każdy ruch, jaki wykonaliśmy na telefonie. Zapisane są tam dokładne informacje o połączeniach, wiadomościach tekstowych, kontaktach, kalendarz, wszelkie notatki, zdjęcia, pliki multimedialne, historia odwiedzin stron internetowych itp.

Z badań przeprowadzonych przez firmę VS DATA wynika, że zdecydowana większość biegłych sądowych, jak i firm z branży informatyki śledczej, dokonuje jedynie akwizycji danych, czyli odczytuje dane fizycznie istniejące w telefonie. Profesjonalna analiza śledcza musi natomiast obejmować proces odzyskiwania skasowanych danych, który w przypadku telefonów jest bardzo skomplikowany.

Rodzaj i ilość odtworzonych informacji uzależniony jest od konkretnego modelu oraz systemu operacyjnego (iOS, Android, BlackBerry, Windows Mobile, Phone OS), na którym pracuje telefon. Co ciekawe, czym bardziej skomplikowany telefon, tym większe możliwości odzyskania danych zapisanych w jego pamięci. Gdy mowa o odzysku danych należy przez to rozumieć nie tylko informacje gromadzone przez sam telefon, ale także wewnętrzne dane zainstalowanych aplikacji.

Odzyskiwać można praktycznie wszystkie informacje, które telefon zapisał w swojej pamięci, tj. kontakty, wiadomości, zadania, notatki, zdjęcia, itp. Z pamięci telefonu można również odzyskać dane, które nie są widoczne dla zwykłego użytkownika. Będzie to np. historia numerów IMSI kart SIM, które były zainstalowane w telefonie. Dzięki temu można uzyskać informacje, czy użytkownik używał innych kart SIM, o których istnieniu niekoniecznie chciał mówić. Można również spróbować ustalić z jakimi sieciami Wi-Fi łączył się dany telefon, bądź też, na podstawie danych GPS, uzyskać informacje w jakich lokalizacjach przebywał użytkownik.

Trzeba jednak pamiętać, że producenci telefonów w różny sposób implementują zapis/odczyt danych w pamięci telefonu. Często zdarza się, że sposób przechowywania danych u danego producenta zmienia się zależnie od modelu. Nie ma więc ustandaryzowanych reguł zapisu. Dodatkowo, wciąż pojawiają się nowe, udoskonalone modele telefonów. Skuteczną analizę mogą więc zapewnić tylko firmy inwestujące w coraz nowocześniejsze, a co za tym idzie, droższe technologie, a profesjonalne laboratorium musi być wyposażone w zestaw kilkudziesięciu kabli z różnymi złączami umożliwiającymi podłączenie telefonu do stacji badawczej. Czasami (zwłaszcza do telefonów komórkowych starszej generacji) do odczytania zawartości pamięci telefonu wykorzystuje się kable serwisowe wpinane bezpośrednio w pola ulokowane pod baterią. Spotyka się również telefony, które wymagają wylutowania pamięci z płyty głównej telefonu komórkowego, odczytania jej zawartości w programatorze, a następnie ręczną analizę jej zawartości. Taka sytuacja ma miejsce np. przy uszkodzeniu fizycznym telefonu, gdy nie ma możliwości jego włączenia. Mniej inwazyjna metoda, która również pozwala na bezpośredni odczyt z pamięci to wykorzystanie serwisowych punktów lutowniczych zwanych JTAG (Joint Test Action Group).

Analiza karty pamięci Flash

Karta Flash pełni funkcję rozszerzenia pamięci telefonu i jest ostatnim komponentem poddawanym analizie. Najczęściej spotyka się karty typu microSD o pojemności 8-16 GB, ale coraz popularniejsze stają się również te o pojemności 32, a nawet 64 GB.

Analiza takiej karty nie różni się niczym od analizy innych nośników typu Flash. Od strony logicznej, mamy do czynienia przeważnie z jedną partycją sformatowaną w systemie plików FAT16 lub FAT32. Procedurę zaczyna się od wykonania kopii binarnej z obliczeniem sumy kontrolnej. Tak zabezpieczony materiał dowodowy, może posłużyć do wykonania listingu plików zapisanych na karcie bądź przeprowadzenia procesu odzyskiwania danych.

Karta pamięci zawiera najczęściej zdjęcia i filmy oraz muzykę w formacie MP3. Czasem zdarzają się na niej pliki w innych formatach, np. dokumenty. Odzyskując dane można zastosować dwie metody. Pierwsza sprowadza się do odtworzenia struktury danych na podstawie wpisów w tablicy alokacji plików. Druga, to odzysk w trybie surowym. Polega on na przeszukaniu zawartości binarnej pod kątem nagłówków znanych plików. W wielu przypadkach jest to metoda o wiele skuteczniejsza, sprawdzająca się w sytuacji, gdy dane na karcie były usuwane. Niezależnie od metody, odzyskać można tylko te dane, które nie zostały nadpisane. Jednokrotne zapisanie nowych plików w to samo miejsce, prowadzi do nieodwracalnego zamazania poprzednich danych.

Niezbity dowód

Profesjonalna analiza śledcza kończy się raportem. Zawiera on wszelkie informacje odnośnie badanego telefonu, karty SIM i karty pamięci (IMEI, IMSI, ICCID, numery seryjne) oraz informacje z przeprowadzonych badań i uzyskanych wyników. Wykryte/odzyskane podczas badania pliki są nagrywane na nośnik zewnętrzny (CD, pendrive) i wydawane razem z raportem klientowi lub organowi zlecającemu.

Informatyka śledcza jest jedną z najszybciej rozwijających się dziedzin nauk sądowych. Z roku na rok obejmuje coraz szerszy zakres urządzeń. Dostrzegają to zarówno prywatne firmy, jak i organy ścigania. Coraz większa świadomość powoduje, iż analizą obejmuje się nie tylko dyski twarde komputerów, ale i inne nośniki, w tym przede wszystkim telefony komórkowe. W wielu sprawach sama zawartość pamięci telefonu może mieć kluczowe znaczenie, a raport biegłego z przeprowadzonych prac, przygotowany za pomocą najnowocześniejszych narzędzi i przy przestrzeganiu odgórnych zasad informatyki śledczej, stanowić może niezbity dowód.

Chcesz dowiedzieć się więcej?

Jeśli tematyka artykułu Cię zainteresowała, polecamy udział w naszych warsztatach z informatyki śledczej, w ramach których prezentujemy wiele technik pozyskiwania i analizowania danych z komputerów na których mogła mieć miejsce podejrzana aktywność; czy to w wyniku świadomych działań “złośliwego” pracownika, czy w wyniku przypadkowej infekcji złośliwym oprogramowaniem.

Nasze szkolenie, wbrew innym tego typu, kierujemy nie tylko do biegłych sądowych, ale przede wszystkim do administratorów firmowych sieci LAN — bo tę wiedzę powinien posiadać każdy z nich. Oczywiście informacje przekazywana na naszym szkoleniu przydadzą się także audytorom i pentesterom (zwłaszcza te dotyczące sztuczek związanych z odzyskiwaniem danych i korelacją informacji pobranych z systemów).

W ramach dwudniowych warsztatów pokazujemy m.in. jak:

  • W odpowiedni sposób zabezpieczyć ślady incydentu, aby można je było wykorzystać w trakcie ewentualnej rozprawy sądowej
  • Uczymy obsługi kilkunastu specjalistycznych narzędzi pozwalających zebrać “materiał dowodowy” i poszerzyć wiedzę na temat tego “co właściwie się stało” oraz “jak do tego doszło”.
  • Pokazujemy jak analizować dane zebrane z systemów Windows, przeglądarek internetowych oraz komunikatorów.

Z pełną agendą zapoznacie się na stronie dedykowanej naszemu szkoleniu z informatyki śledczej. Szkolenie prowadzą doświadczeni trenerzy z z firmy VS DATA, którzy od kilku lat posiadają status biegłych sądowych, a na co dzień zajmują się zabezpieczaniem elektronicznych materiałów dowodowych, odzyskiwaniem danych i tworzeniem ekspertyz zarówno dla organów ścigania i wymiaru sprawiedliwości jak i zwykłych firm.

Zachęcamy do rejestracji na kolejny już termin szkolenia: 30-31 marca w Warszawie — a najlepszą rekomendacją niech będą opinię uczestników poprzednich terminów szkoleń:

Świetne szkolenie. Dużo wiedzy praktycznej.
— Zbigniew, Agora S.A.

Szkolenie prowadzone w bardzo przystępny sposób. Prowadzący posiada ogromną wiedzę, którą potrafi skutecznie przekazać, a to nie zawsze jest oczywiste. Część praktyczna na wysokim poziomie. Szkolenie pokazało różne sposoby osiągnięcia celu. Zdecydowanie warte polecenia.
— Michał, DB Schenker Rail Polska

Osoby prowadzące łączą w sobie cechy idealnych trenerów: posiadają ogromne doświadczenie oraz wiedzę, którą co najważniejsze potrafią rewelacyjnie przekazać uczestnikom.
— Jarosław, ZTM

Dużo konkretnej i opartej na praktyce wiedzy, kontakt z ludźmi którzy są specjalistami w swojej dziedzinie. Możliwość przedyskutowania z prowadzącymi konkretnych problemów, które nas samych spotkały. Warto było wziąć udział w tym szkoleniu.
— Marek, BZK Group

Fajnie skonstruowane i przyjazne szkolenie dla każdego, kto chce pogłębić wiedzę z zakresu Computer Forensics. Duża ilość przykładów i ćwiczeń praktycznych dodaje sprawności i pomaga lepiej zapamiętać omawiane zagadnienia. Polecam
— Łukasz, Izba Celna

Przeczytaj także:

56 komentarzy

Dodaj komentarz
  1. Jak na androidzie (przykładowo modyfikacja cyanogenmod) zmusić system by ustrzec się przed w/w podatnościami? Wiem że można zaszyfrować telefon bez późniejszej możliwości włączenia bez podania odpowiedniego kodu. Ale co z zapisem danych na SIM itp?

    • Na sim kontakty zapisuj jako szyfr ROT 13, a numery w ROT 5. Nie do złamania. Dla pewności zaszyfruj podwójnie.=]

  2. Bardzo fajnie i ciekawie napisany artykuł. Ciekawe czy użycie spreparowanej karty nie spowoduje utraty połączeń i wiadomości, które przyszły przed ostatnim wyłączeniem telefonu, a które mogły zostać zarejestrowane na oryginalnej karcie sim?
    Zastanowiło mnie jeszcze czy w trakcie takiej analizy możliwe jest przełamanie, odczytanie gestury lub blokady telefonu zabezpieczonej hasłem wprowadzonym przez użytkownika? Może takie hasło, gestura znajduje się gdzieś w jakimś pliku sys i moja blokada jest zbędna :D ? Faktycznie bez telefonu w dzisiejszych czasach ciężko cokolwiek załatwić…. pzodr

    • Też mnie to z blokadą zainteresowało, może ktoś odpowie ? zazwyczaj jak się pójdzie do serwisu z zablokowanym telefonem, to usłyszysz tylko całkowity rest co się równa z utratą wszystkich danych, a nie odzyskiem…

    • Jeśli telefon ma włączone debugowanie USB i (prawdopodobnie) dostęp do ROOT to można usunąć plik z kodem blokady.

    • Jeśli dane nie są domyślnie szyfrowane (AFAIK w większości “zwykłych” telefonów nie są), to blokada daje ci mniej więcej tyle, co ustawienie hasła w Windows. Ktoś z fizycznym dostępem do urządzenia odczyta dane bez problemu.

  3. A gdy bandyta wsadzi smartfona do mikrofalówki na moment to co się zniszczy? Idzie dane odzyskać z telefonu i karty micro sd?

    • Po co do mikrofalówki?
      W przypadku androida istnieje wbudowana funkcja wymazywania danych (reset do ustawień fabrycznych), która 99% informacji wymazuje w sposób praktycznie nieodwracalny.

    • w mikrofalówce upieczesz flasha :)

      A to ciekawe bo kiedyś testowałem pamięć po formacie (ustawienia fabryczne) i jak się okazało odzyskałem połowę zdjęć więc nie zupełnie wymazuje.

      Najlepszym sposobem jest wydłubanie pamięci bo złamanie pcb nic nie da można przecież flasha przelutować. A najbezpieczniejszym rozwiązaniem jest używać Nokię 3330 i niżej :)

    • @anonim641
      W praktyce konieczność wymazania danych pojawia się zazwyczaj “nagle” (rajd na chatę, przypadkowa wpadka na ulicy) i wtedy wszelkie czasochłonne procesy (a pełne, software’owe wymazanie danych do takich należy) są o kant d… rozbić.
      Mikrofalówka to zdecydowanie szybszy patent ;). Choć nie wiem, czy skuteczny…

      Można też na szybko wyciągnąć kartę SD i dokonać konsumpcji (trudniej się zadławić niż woreczkiem ;). A najlepiej po prostu nie trzymać żadnych “materiałów dowodowych” w telefonie :P.
      Osobiście przewiduję masowe migracje osób ze środowisk (z różnych względów) chroniących swoją prywatność na stare aparaty, gromadzące i wysyłające minimalne ilości danych…

  4. “aż 27 milionów mieszkańców Polski (47% populacji naszego kraju) posiada smartphona” – ostatnio musieliśmy mieć niezły przyrost naturalny…
    38,53 * 0,47 * 1,5 = ~27… więc gdzieś tu się ten przelicznik 1,5 zgubił.

  5. Telefon słuzy do dzwonienia – jak ktos używa go do facebooka maili i innych pierdół to sam prosi sie o klopoty – albo mu sie apka jakas zainstaluje albo ktos kamere przejmie albo 1000 innych klopotów o których czytalismy tu nie raz – a ja mam Samsung solid – zapraszam mozna próbowac wyciagnac dane – tylko jakie???? hehe nie mam na nim zadnej usługi poza kalendarzem. Na facebooku konta tez nie mam bo po co ? jak chce pogadac ze znajomymi to ich zaprosze do chaty na piwko. Pokazywanie kiedy jem pije i sr…m na instagramie tez mnie nie podnieca. Cytując klasyka: Stara szkoła – dobra szkoła synku. Teraz wszystkim zalezy zeby ludzie używali gmaila, facebooka, smartfonów …itd itp. Władza absolutna. Służby lubią znaki szczególne np tatuaż – łatwo ludzi namierzyć, tyle że teraz każdy na własne życzenie ujawnia co lubi z kim lubi gdzie bywa … a potem płacz bo ochate okradli, dziecku iphona bucheli w szkole, ktoś z kogoś barana na demotywatorach zrobił itd…

    • Ale używasz komputera do pisania pseudomądrych komentarzy już przecież mogą cię namierzyć. Najlepiej to wrócić to epoki kamienia łupanego. Siedziałeś sobie w jaskini z ziomkami nie mógł cię nikt namierzyć ale zachciało się ludziom rozwijać technologicznie.

    • śmieszą mnie teksty typu telefon służy do dzwonienia. jakby wszyscy myśleli jak ty, to komputer nadal służyłby do liczenia, a nie do pisania postów, a postęp technologiczny zatrzymałby się. rozumiem że smsów też nie wysyłasz, bo telefon służy do dzwonienia. no i mam nadzieję że kabla ci wszędzie starczy.

    • do Tytaneks: a słyszałeś chłopaku o Torze ???

    • do Shadow: Każdy wynalazek można zastosowac w dobrym i złym celu, np. proch – można robić bomby albo używać w kamieniołomach. Dlatego to że mamy na świecie internet i można go wykozystac do konkretnych celów wcale nie znaczy że masz ufać bezgranicznie we wszystkie technologie które są z nim związane . Albo wygodnie albo bezpieczne. Uzywasz face’a, smartphonu – musisz brac pod uwagę problemy z bezpieczeństwem. Jesli liczysz na to że firmy trzecie będa o to dbać za Ciebie to jesteś naiwny.

    • jak sie pracuje na budowie to moze i rzeczywiscie telefon potrzebny tylko do dzwonienia hehe

    • A słyszałeś o kamerach? Przecież jak idziesz w swoich old schoolowym stylu to one cie podglądają i wiedzą o tobie wszystko! Na szczęście większość ludzi nie myśli tak idiotycznie jak ty i dzięki Bogu nie zatrzymaliśmy się na wolnych od inwigilacji jaskiniach

    • Nie śmiejcie się z “przedsmartfonowych telefonów tylko do dzwonienia”. Popatrzcie na to w taki sposób: różni ludzie mają różną potrzebę zachowania w tajemnicy swoich kontaktów, działań itp. Niektórym zależy na tajemnicy tak bardzo, że do pewnych celów nie używają smartfonów, albo rezygnują z nich całkowicie. Mało tego, pewnych informacji nie przekazują przez Internet, tylko w sposób bardzo “analogowy”: podczas osobistych spotkań, czasami po przeleceniu kilku tysięcy kilometrów samolotem tylko po to, żeby uciąć sobie godzinną pogawędkę w dobrze sprawdzonym miejscu.
      Abstrakcja? Dla “statystycznego” użytkownika technologicznych nowinek owszem. Ale obok “statystycznych” istnieje dziwny świat równoległy, w którym hierarchia wartości jest zupełnie inna. W tym świecie utrzymać w tajemnicy znaczy tyle, co “zarobić pierdyliard USD/GBP/EUR” albo zwyczajnie “przeżyć”.
      Ci ludzie nie są jaskiniowcami. Oni szacują ryzyko i podejmują racjonalne decyzje. Powstrzymują się od pewnych zachowań, rezygnują z wygody i ułatwień doskonale wiedząc dlaczego to robią.

  6. Bardzo interesuje mnie cały w/w proces odzyskiwania danych na terminalu BlacBerry ze standardowym szyfrowaniem PGP….. o kant d**py obic te metody sledcze.

    • Podpinam się pod to pytanie. Dodatkowo jak radzą sobie z kartami pamięci zaszyfrowanymi przez w/w terminale? Ogólnie jakoś nie wspomniano o analizie zaszyfrowanych mondrych telefonów, przecież nie tylko BB oferuje taką opcję. Czy w takim wypadku raport firmy VS DATA zawiera tylko jedno znanie “telefon zaszyfrowany”?

  7. Nawet nie trzeba odzyskiwać, bo BB przechowuje wszystko na serwerach i udostępnia informacje odpowiednim służbom.

    • Bredzisz! jakie dane są na serwerze ? (pomijam połączenia/sms) Mówię tu o danych na terminalu np moje zdjęcia/moje notatki/dokumenty itp.

    • LOL. Doczytaj deczko :D

  8. W istniejących jeszcze do niedawna *autoryzowanych serwisach fińskich telefonów, by nie tracić czasu na kontakt z roztargnionym klientem w celu odblokowania telefonu, korzystało się z kart sim, które zdejmowały zabezpieczenia, łączyły telefon z serwisowym bts-em i umożliwiały wykonanie połączenia na kilku częstotliwościach-co służyło sprawdzeniu toru radiowego oraz działania głośnika/mikrofonu.

    • Co nijak ma się do uzyskania dostępu do danych na terminalu? :/
      Interesuje mnie sposób w jakim “śledczy” dostaje się w posiadanie danych z terminalu BB. Przy standardowym szyfrowaniu karta pamięci oraz sam telefon jest całkowicie niedostępny. Teorie spiskowe, NSA, wiedźmy i duchy odstawmy na bok…..

    • @tencourwallebhydrze :
      Ameryki nie odkryję, ale jak zwykle w praktyce wszystko zależy od implementacji szyfrowania przez BB. Nie siejąc teorii spiskowych o backdoorach przygotowanych specjalnie dla służb, tudzież będących w ich posiadaniu “zero-dayach”, to pewnie standardowo w ruch idzie słownik/BF, a szansa złamania jest funkcją czasu (pochodna determinacji, z jaką chcą dobrać się delikwentowi do d…) od stopnia złożoności hasła ;).

  9. Jestem old school, mój telefon nie byłby żadnym kąskiem dla służb, bo nie trzymam w nim wrażliwych danych, nie mam FB, nie przeprowadzam transakcji bankowych, nie korzystam z niego jak z małego komputera tylko jak z telefonu. I mam w dupie, że ktoś mi go hacknie lub skroi.

  10. Czyli jak zawsze najlepszą i jedyną metodą zabezpieczenia się przed analizą jest fizyczne zniszczenie nośnika (w tym wypadku telefonu). Wrzucić do kwasu po wyniesieniu lewych danych i sprawdzeniu czy hajsik się zgadza (oczywiście razem z simem) i poczekać aż się rozpuści. Potem wylać do ścieków. Telefon zgubiliśmy/ukradli nam go i nie mają czego zbadać. Chcecie sprawdzać nowy fon razem z nowym simem? Proszę bardzo, ale nic nie znajdziecie.

    • nie wiem kurna jakiego kwasu bys chcial uzyc, to juz lepiej standardowo:
      – mikrofala
      – zdrapac naklejke imei
      – zakopac na zadupiu albo nakarmic wisłę

  11. Pod androidem obrazy raw partycji wykonuje się przy pomocy fastboot’a. Ciekawe jak radzą sobie ze smartfonami z orange… w których blokada fastboot’a jest ponoć nie do zdjęcia.
    Pozostaje wylut pamięci?

    • Chyba nie trzeba aż tak drastycznych środków – JTAG’iem powinieneś łyknąć wszystko.

  12. Ciekawe czy nasi jak KGB jak idziesz do nich – kiedy zostawiasz tel w skrytce – dają Ci kluczki do skrytki żebyś był pewny że nikt z niego nie skorzysta .. następnie cały tył szafki jest otwierany i instalują Ci apkę na phone’a … a TY myślisz że wszystko OK. bo procedura zostawiania tel jest w PL… info jakby z pierwszej ręki – jedynie nie od PL służb, a z Białoruskich. Pracuje w branży zabezpieczeń, stąd dużo ludzi w tej branży pracowało dawniej tu i tam .. więc i wiedzą to i owo .. oczywiście nie z pierwszej ręki .. zaklejanie nakleją kamer w tel czy notebookach jest tam na porządku dziennym… i wielkie zdziwienie że ja tego nei robię BYŁO.

  13. Niestety artykul bardzo ogólnikowy.
    Przykład: jak podejść do zaszyfrowanwgo iPhonea z aktywnym kasowaniem zawartości po 10 próbach podania kodu blokady ?
    Przykład 2: Jak podejść do zaszyfrowanego Androida ? Też służby nie znają hasła.

    Dostęp i analiza niezaszyfrowanego telefonu jest relatywnie prosta dla każdego kto ma narzędzia. Zawsze można urządzenia wyłączyć i zgrać flash i potem bawić się w analiza offline.
    Co z trudniejszymi przypadkami ?
    Pozdr.

    • Myślę, że nie będą mieli problemu. Zawsze znajdzie się jakiś backdoor. 1,2,3, hop.. już masz info z telefonu tylko teraz pytanie jakie?

  14. Ciekawe jest to ze nadpisanie danych na karcie sd nie musi powodować ich utraty. Nadal można je próbować odczytywać jezeli ma sie dostęp do specyfikacji kodów rozszerzonych. To co widzimy jako obraz binarny przestrzeni dyskowej w żaden sposób nie przekłada sie na obraz binarny wewnętrznej pamięci (NAND)

  15. Trochę przydługi artykuł i nie mam czasu na przeczytanie całego. Skończyłem przed analizą karty SIM. Do tego czasu było, żeby odizolować telefon od sieci, trzeba użyć specjalnej karty sim. A nie wystarczy wejść do piwnicy, gdzie nie ma zasięgu?

  16. wszystkich zainteresowanych najbardziej ciekawi tematyka zaszyfrowanych/zablokowanych telefonow, ale takimi informacjami nikt sie nie podzieli.
    i wciaz nalezy pamietac, ze mase inf, ktora sie dubluje z zawartoscia tel, maja operatorzy.

  17. A co z kontem iCloud w iPhone? Znalezli przy mnie 0.13 g marihuany (lol) i siedzialem na dolku, kazali mi podac kod do iPhonea (nie umieli go obejsc lol2) i cos tam grzebali. Nic nie znalezli bo do sprawy nic z mojego telefonu nie bylo uzyte. Oczywiscie zaraz po porocie do domu pozmienialem hasla do iCloud i wszystkich innych serwisow. Ale wciaz pozostaje niepewnosc czy mimo to ktos moze miec dostep do mojego konta? W koncu to policja chociaz wydaje sie ze nie ogarniaja

  18. Wszystko ok ale nie uda Wam się dostać do karty SIM bez PINu lub PUKu

    • PUK jest chyba jakoś wbity fizycznie. Policja może go pewnie bez problemu uzyskać od operatora/producenta karty.

  19. a jaki to plik i gdzie on sie znajduje?

  20. A czy ktoś jest w stanie wypowiedzieć się na temat mitycznego podsłuchiwania rozmów, BEZ uprzedniego zainstalowania na nich złośliwego dodatku? Ba! Nawet bez ich włączania (wystarczy ponoć włożona bateria).

    Od jakiegoś czasu krążą takie opinie i co poniektórzy wyciągają w panice telefony z kieszeni, gdy mają zamiar rozmawiać o prywatnych sprawach.
    Ktoś z obecnych dotarł do tego etapu paranoi? ;)

  21. Nie wiem skąd wzięliście te 1,5 telefonu na mieszkańca. Trzeba policzyć:
    a) ile tych kart SIM jest w użyciu (nie aktywnych, leżących w szafie/zgubionych)
    b) ile osób ma telefon dualSIM (czyli dwie karty, ale dane dla policji tylko “jedne”, bo jeden telefon)
    c) ile z tego to SIM w modemach 3G
    d) ile jest montowanych np. w alarmach* czy urządzeniach inteligentnego domu (a wbrew pozorom to teraz standard)

    * fajna, psychologiczna sprawa. Wchodzi złodziej, robi się błysk z flasha. Złodziej się obraca w kierunku lampy błyskowej i wtedy robi się prawdziwe zdjęcie wysyłane MMS-em :)

  22. Troche ciekawych informacji o kartach smart Card można znaleźć pod adresem:
    http://www.forensicswiki.org/wiki/SIM_Explorer

  23. Czy policja może zmusić do odblokowania telefonu za pomocą odcisku palca?

  24. Nie chcę się czepiać, ale bardzo irytuje mnie powszechne i nieprawidłowe używanie wyrazu “akwizycja”: “…dokonuje jedynie akwizycji danych, czyli odczytuje dane fizycznie istniejące w telefonie.” Nie, nie dokonuje akwizycji. Proponuję doczytać w słowniku co to jest akwizycja.

    • Co innego akwizycja, a co innego akwizycja danych. Radzę poczytać w słowniku ;)

      PS. Jakie powszechne używanie?

  25. Widać śledczy nie wiedzą co to jest klatka Faradaya. Instalują inną kartę, która może zakłócić log zainstalowanych kart IMSI zamiast po prostu przeprowadzić badanie w klatce Faradaya.

    • No nie wiem czy klatka Faradaya to dobry pomysł. To znaczy pewnie dobry tylko kłopotliwy. Telefony korzystają przecież z fal elektromagnetycznych o dużych częstotliwościach. Co to oznacza? A no mniej więcej to, że taki samochód osobowy, który jest taką mniej lub bardziej idealną klatką Faradaya nie sprawia przecież, że nie możesz odbierać w nim telefonów. Dzieje się tak dlatego, że okna będące przerwami pomiędzy przewodnikiem pozostawiają zbyt duże przestrzenie, aby przechwycić fale “komórkowe”. Taki pomysł ma sens tylko wtedy gdy wyliczysz sobie jakie powinny być odległości pomiędzy przewodnikiem aby tą falę “pochłonąć”. Jest to niepraktyczne. Nie łatwiej owinąć telefon folią aluminiową? Także usuwa ona jedną ze składowych fali elektromagnetycznej i jest dostępna praktycznie zawsze no powiedzmy… sreberko od czekolady się nada. Nie trzeba łazić z żadną klatką ;D

  26. Panowie… Android to łatwiutka sprawa, szczególnie od 4.x wzwyż. Fastboot, adb, a propos zablokowanego bootloadera w orange, albo sony… Walimy sobie $adb oem unlock i mamy full acess :D. Czasami klucze drm trzeba skombinować. A jeśli chcemy permanentnie usunąć…
    (mount /system)
    (wipe /system)
    (unount /system)
    i tak dalej z /data, /cache, /boot, /efs (i po IMEI, radio, kernel wszystko w siną dal). I czysciutki, na poziomie zero, null. Tylko custom recovery jakieś wgrać. Byle jakie, a to na górze w updater-scripta. Nie jest dobrze napisane, nie mam żadnego pod ręką chwilowo :D
    No i prosze, ktoś dostaje zhardbrickowanego andka. Powodzenia ;)

    • *edit
      format(“ext4”, “EMMC”, “/dev/block/mmcblk0p9”, “0”, “/system”);
      I dajemy numerki od 0 do 32 zamiast ‘9’.
      Gwarantuje, telefon czyściutki

  27. Czy w razie uszkodzonego telefonu (bez uszkodzeń płyty głównej) można zainstalować płytę w działającym telefonie (tym samym modelu) i w ten sposób odczytać dane?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: