Android для дел, безопасно ли? Много букв ¶
By: Gidraone on 2015-04-07 13 ч.
Android для дел, безопасно ли? Много букв
Интересная Инфа.
Думаю,многие задумаются
Бо’льшая часть мобильных устройств, в мире, работает под управлением операционной системы Android. Неудивительно, что подобные устройства часто поступают на исследование к судебным экспертам. Однако, при исследовании мобильных устройств, работающих под управлением операционной системы Android (далее, мобильные устройства), судебные эксперты сталкиваются со следующими трудностями:
1. Не существует судебной программы, которая бы поддерживала извлечение данных из всех мобильных устройств, существующих в мире.
2. Существуют сотни тысяч программ, созданных под операционную систему Android, данные, из которых, потенциально могут представлять интерес для следователей. На сегодняшний момент, не существует судебной программы, которая бы поддерживала анализ журналов работы и данных из всех этих программ.
3. Времена, когда следователей интересовали данные только из телефонной книги, вызовы или SMS-сообщения, извлеченные из мобильного устройства судебным экспертом уже давно прошли. Сейчас, их дополнительно интересуют: история посещенных сетевых ресурсов (данные веб-браузеров), история программ обмена короткими сообщениями, удаленные данные (графические файлы, видеофайлы, SQLite базы данных и т.п.) и другая криминалистически значимая информация.
4.Зачастую преступники, пытаясь скрыть информацию о совершенном ими преступлении, удаляют данные из памяти своих мобильных устройств.
5.Высокая стоимость специализированных программных комплексов (XRY (Micro Systemation) [1], UFED (Cellebrite Forensics) [2] и т.д.) зачастую бывает препятствием в их приобретении судебными лабораториям и экспертным подразделениям.
Что же делать судебному эксперту в такой ситуации?
1.Физическое извлечение данных из мобильных устройств.
Так как следователей интересуют, в том числе, и удаленные данные, находящиеся в памяти мобильных устройств, судебному эксперту необходимо сделать физическое извлечение данных из памяти мобильного устройства. Т.е. получить полную копию памяти исследуемого им устройства. Он может сделать физический дамп памяти мобильного устройства следующими методами:
1. Извлечение данных из микросхем памяти мобильного устройства методом «Chip-off».
Это самый трудный метод извлечения данных. Но, иногда, просто нет другого способа скопировать данные из устройства.
2. Извлечение данных из памяти мобильного устройства с использованием отладочного интерфейса JTAG.
Достаточно популярный метод извлечения данных с помощью программаторов RIFF-box, Octopus и т.п. Позволяет извлекать данные из устройств, имеющих незначительные аппаратные или программные повреждения. Важно понимать, что некоторые программаторы создают дамп памяти мобильного устройства в собственном формате (отличном от RAW). Подобные дампы необходимо конвертировать в формат, который поддерживают судебные программы, имеющиеся в распоряжении судебного эксперта.
3. Извлечение данных с помощью специализированных программ (например, Oxygen Forensic Suit [3]) и программно-аппаратных комплексов (.XRY (Micro Systemation) [1], UFED (Cellebrite Forensics) [2], Secure View 3 [4]).
Подобные инструменты используют наиболее безопасный метод root-доступа [5] к мобильным устройствам. Это означает, что судебный эксперт не всегда может получить root-доступ к устройству, однако, оно будет исправно после проведения исследования. Можно попытаться получить root-доступ иными, часто, более эффективными, способами. Однако, при этом существует вероятность повредить исследуемое мобильное устройство.
4. Создание копии памяти мобильного устройства в ручном режиме [6], [16].
5. Комбинированные методы.
Например, в случае, если данные пользователя сохраняются в расширенной памяти центрального процессора мобильного устройства (такая особенность характерна для так называемых «китайских телефонов» («Chinese mobile devices», «Chinese phones»)), в которых используются ARM процессоры фирм Mediatek, Spreadtrum и Infineon, возможно применение комбинации методов: извлечение данных из микросхемы мобильного устройства «Chip-off» (когда из устройства выпаивается центральный процессор, в котором, в том числе, содержатся данные пользователя) и, в дальнейшем, извлечение пользовательских данных по интерфейсу JTAG.
Часто, при создании копии памяти мобильного устройства, вы можете получить файлы, имеющие специфичные названия, по которым уже можно сделать предположение, какие данные в них содержатся. Например, при получении копии памяти мобильного устройства Oxygen Forensic Suit [3], обычно, создаются файлы mmsblk0, mmsblk1. Где: mmsblk0 – копия памяти мобильного устройства, mmsblk1 – копия карты памяти, установленной в мобильном устройстве.
Используя UFED (Cellebrite Forensics) [2], для отдельных устройств, вы можете получить набор файлов. Например, для устройства Huawei S7 Ideos это будут файлы: blk0_mmcblk0.bin, mtd0_boot.bin, mtd1_system.bin, mtd2_recovery.bin, mtd3_splash.bin, mtd4_misc.bin, mtd5_cache.bin, mtd6_userdata.bin, mtd7_logo.bin. Где: blk0_mmcblk0.bin - копия памяти мобильного устройства; mtd0_boot.bin, mtd1_system.bin … и т.д. – копии логических разделов устройства.
2. Логическое извлечение данных.
2.1. Получение доступа к данным, содержащимся в дампе памяти мобильного устройства.
Каким бы способом судебный эксперт не получил дамп памяти мобильного устройства, в конечном итоге, он получит файл (или несколько файлов) которые надо как-то исследовать и извлечь из него нужные данные.
Если задачей судебного эксперта является извлечение только логических данных, содержащимся в дампе мобильного устройства, он может смонтировать полученный образ FTK Imager [7, 8] или UFS Explorer [9]. Дампы памяти мобильных устройств, как правило, содержат большое количество логических разделов (см.Илл.1). Данные пользователя устройства хранятся на логическом разделе, имеющем название «USERDATA». Из него можно извлечь такие данные как: базы данных (как правило, подобные базы данных имеют формат SQLite), видеофайлы, графические файлы, аудиофайлы и т.д.
Илл. 1. Вид логических разделов Samsung GT-I9300 в окне «Evidence Tree» программы FTK Imager.
Если судебный эксперт исследует файл, представляющий собой копию логического раздела мобильного устройства, имеющий файловую систему YAFFS2, он может получить доступ к логическим данным, содержащимся в нем, с использованием Encase Forensic версии 7 [10]. .
2.2. Декодирование SQLite баз данных.
Как правило, SQLite базы данных, извлеченные из дампа памяти мобильного мобильного устройства, неизменно представляют большой интерес для судебного эксперта. Прежде всего, это связано с тем, что большое количество криминалистически значимых данных, мобильные устройства хранят именно в этом формате. В SQLite базах данных хранятся следующие данные мобильного устройства: телефонная книга, вызовы, SMS-сообщения, MMS-сообщения, словари, данные веб-браузеров мобильного устройства, системные журналы мобильного устройства и многое, многое другое. Список наиболее интересных, с криминалистической точки зрения, баз данных SQLite
Судебному эксперту необходимо тщательно подойти к выбору инструмента – программы для анализа SQLite. Это связано с тем, что многие программы - просмотрщики, не умеют декодировать ряд форматов временных отметок, а также восстанавливать удаленные данные, содержащихся в подобных базах данных.
Отдельные исследователи [8] предлагают использовать две программы, для декодирования файлов баз данных SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. Однако, при использовании подобной связки программ, остается нерешенной проблема восстановления и анализа удаленных данных.
Одним из инструментов, решающих данную проблему, является Oxygen Forensic® SQLite Viewer [3]. Данная утилита специализирована на декодировании баз SQLite. Кроме того, с её помощью можно производить восстановление данных.
3. Восстановление удаленных данных и файлов.
Восстановление данных и файлов из мобильных устройств - сложный процесс. Связано это с аппаратной организацией хранения данных в микросхемах памяти мобильных устройств и с особенностями файловых систем мобильных устройств. Это необычно, но, большинство судебных программ не поддерживает файловую систему YAFFS2. Поэтому, при исследовании физических дампов мобильных устройств, судебный эксперт может оказаться в ситуации, когда его любимая программа восстановления данных окажется неспособна восстановить хоть что-нибудь из дампа памяти подобного мобильного устройства.
Как показывает наша практика, из подобных дампов достаточно сложно восстановить удаленные видеофайлы и иные файлы больших размеров.
В нашей лаборатории, в области восстановления удаленных данных из дампов памяти мобильных устройств, более чем успешно зарекомендовали себя программы: Belkasoft Evidence Center [12], UFS Explorer [9], R-Studio [13]. Однако, в отличии от UFS Explorer [9] и R-Studio [13], Belkasoft Evidence Center [12] может восстановить не только графические файлы, документы Microsoft Office и т.д., но и вызовы («Calls»), SMS-сообщения («SMS»), историю веб-браузера («Browser history»), Календарь («Calendar»), данные социальных сетей «Facebook», «Twitter», «Vkontakte» («Facebook», «Twitter», «Vkontakte»), данные программ обмена короткими сообщениями «ICQ», «Kik», «Line», «Mail.Ru Agent», «Skype», «Viber», «WhatsApp», информацию об установленных сервисных программах («Installed Applications») и т.д (см.Илл. 2). Восстановление удаленной истории обмена сообщениями с помощью программ обмена короткими сообщениями, может быть очень важно при расследовании некоторых дел.
Определенную сложность может вызывать восстановление удаленных данных, из дампов памяти мобильных устройств, содержащих файловые системы YAFFS2. Для корректного восстановления данных и файлов, из дампов памяти мобильных устройств, содержащих файловые системы YAFFS2, мы рекомендуем использовать следующие программы: Encase Forensic версии 7 [10], The Sleuth Kit [15] или Belkasoft Evidence Center [12].
4.Анализ баз миниатюр.
Как и в операционных системах семейства Microsoft Windows, в операционной системе Android имеются файлы, являющиеся базами миниатюр, содержащими миниатюры графических и видео файлов, как правило, созданные пользователем (в том числе содержащие миниатюры удаленных файлов). В отличие от операционных систем семейства Microsoft Windows, где, как мы знаем, базы миниатюр имеют имена: Thumbs.db или thumbcache_xxx.db (где xxx – размер миниатюры в базе), какого-то единого названия таких баз, в операционной системе Android, нет. Также, следует отметить, что эти базы могут располагаться как во внутренней памяти устройства, так и на карте памяти, установленной в мобильном устройстве.
Для поиска подобных баз миниатюр мы используем ThumbnailExpert Forensic [15]. Как правило, подобные файлы позволяют получить значимую для расследования дела информацию, если основными доказательствами являются графические файлы (фотографии) или видеофайлы, сделанные исследуемым мобильным устройством.
5. Примеры восстановления данных из дампов памяти мобильных устройств.
5.1. Пример 1. Дело о совершении действий сексуального характера с ребенком.
В ходе проводимого расследования, было установлено, что преступник снимал на свой мобильный телефон видео о том, как он совершал сексуальные действия с ребенком. На момент, когда мобильное устройство попало к нам в лабораторию, видео было удалено преступником. Восстановить видео из памяти устройства не представилось возможным. Однако, с помощью Belkasoft Evidence Center [12], удалось восстановить графический файл - миниатюру видеофайла, ранее присутствовавшего на исследуемом устройстве. Несмотря на то, что восстановленный графический файл был небольших размеров, восстановленное изображение изобличало преступника в совершенном им деянии. Другие программы восстановления файлов, не смогли восстановить этот графический файл.
5.2.Пример 2. Дело о сексуальном насилии над женщиной.
Преступник снимал на свой мобильный телефон видео о том, как он совершал сексуальное насилие над женщиной. Восстановить удаленные преступником видеофайлы не представилось возможным. С помощью утилиты ThumbnailExpert Forensic [15] среди файлов, извлеченных из логического раздела «USERDATA», был произведен поиск необычных баз миниатюр. Следует отметить, что ThumbExpert, является одной из лучших программ для поиска необычных баз миниатюр. В результате проведенного исследования, был найден файл «/data/com.android.gallery3d/cache/imgcache.0», который содержал миниатюры всех видеофайлов, созданных на данном устройстве. В том числе, он содержал миниатюры видеозаписей, сделанных преступником, во время совершениям им преступления.
5.3.Пример 3.Восстановление журналов работы мобильного приложения WhatsApp.
В данном случае, нашей задачей было восстановить сообщения, которыми обменивался преступник со своими подельниками с использованием мобильного приложения WhatsApp. Декодирование msgstore.db, wa.db [11], обычными инструментами, не дало нужного следователям результата. Тогда, мы произвели исследование дампа устройства с помощью Belkasoft Evidence Center [12]. При этом, было извлечено гораздо больше сообщений WhatsApp. В том числе, была восстановлена переписка между преступниками.
Заключение.
Комбинация традиционных программ для анализа мобильных устройств (таких как [1], [2], [3]) и традиционных программ, используемых при производстве компьютерно-технических (компьютерных) экспертиз (таких как [9], [12], [15] и т.д.), дает наилучшие результаты при анализе дампов мобильных устройств. При этом, судебные эксперты могут получить больше данных, в том числе удаленных, и, соответственно, имеют больше шансов изобличить преступников в совершенных ими преступлениях.
Редактировался Gidraone (2015-04-07 13 ч.)
. 
