Mobile Forensics A.D. 2017 już nie zawsze kieszonkowy
Nowy 2017 rok trwa już w najlepsze. Zdążyliśmy się przyzwyczaić do tego, że czas płynie bardzo szybko przynosząc ze sobą nowe technologie w bardzo dynamicznym rynku mobilnym. Rynku, który dalej pozostaje i zapewne jeszcze długo pozostanie na przysłowiowym topie.
Z punktu widzenia konsumenta sytuacja jest wręcz idealna. Co krok nowe urządzenia, co raz lepsze, wydajniejsze i w końcu –bezpieczniejsze. Sytuacja ta jest jednak zgoła inna dla specjalistów informatyki śledczej.
Nowe urządzenia są niewygodne ponieważ są wyzwaniem, niejednokrotnie bardzo czasochłonnym. Lepsze systemy zabezpieczeń przed nieautoryzowanym dostępem do danych użytkownika powodują brak możliwości pozyskania z nich cennych informacji. Wygląda to tak, jakby producenci kieszonkowych urządzeń za wszelką cenę starali się utrudnić życie nam, specjalistom. W 2016 roku policjanci w USA zwrócili się z prośbą do FBI o pomoc w dostępie do ponad 6 tysięcy zatrzymanych urządzeń mobilnych. Jak pokazuje poniższy wykres, dostęp w wielu przypadkach okazał się niemożliwy.
Jak zatem poradzić sobie w takich sytuacjach? Czy powoli możemy mówić o sytuacji, w której popularne oprogramowanie na rynku Mobile Forensics za pomocą standardowych interfejsów nie będzie sobie w stanie poradzić z ominięciem zabezpieczeń, a tym samym dostępem do danych? Śmiem twierdzić, że właśnie tak będzie. Że ów trend będzie się powiększał z każdym nowym modelem urządzenia mobilnego, a nie zmniejszał. Dlatego w tym 2017 roku główny nacisk należy położyć na metody odczytu danych za pomocą interfejsów JTAG (o którym pisaliśmy już na łamach Magazynu nr 28) lub ISP.
ISP Forensics czyli In-System Programming polega najprościej tłumacząc na bezpośrednim dostępie do kości pamięci za pomocą odpowiednich linii sygnałowych.
Oczywiście widać tutaj podobieństwo do interfejsu JTAG jednak to zupełnie inny interfejs z innymi możliwościami. Dzięki ISP możliwe jest pozyskanie pliku binarnego w formie RAW bez konieczności wykonywania operacji chip-off. I znów, podobnie jak odczyt danych JTAGiem, żadne kody blokady użytkownika nie są nam straszne.
Zostając przy temacie trendów w 2017 roku należy również zauważyć, że mobilny forensic powoli wychodzi z obszaru urządzeń typowo kieszonkowych i zahacza o co raz większe kręgi. Mam tutaj na myśli np. analizę samochodów, która zaraz stanie się powszechna tak samo jak wykonywanie kopii binarnej dysku twardego. Dostęp do danych samochodowych jest trudnym zagadnieniem jednak dane znajdujące się w szeroko pojętych komputerach samochodowych mogą dostarczyć ogromne ilości cennych informacji. Już od kilku lat w samochodach możemy spotkać się z pojęciem telematyki.
W zależności od stopnia zaawansowania takiego rozwiązania, do serwisów odpowiednich firm przekazywane są informacje o lokalizacji pojazdu, informacje o zdarzeniu drogowym i jego skali, czy nawet informacje o możliwych obrażeniach pasażerów obliczane z użyciem algorytmu biorącego pod uwagę m.in. liczbę osób na pokładzie, kierunek uderzenia i skalę przeciążeń. Takie oraz inne dane pobrane z pojazdów niosą cenne informacje, niejednokrotnie uzupełniając dane pozyskane np. ze smartfona kierującego pojazdem. W tym miejscu warto napisać kilka słów o produkcie firmy Berla – iVe, który stał się partnerem znanego większości czytelników zaangażowanych w Mobile Forensics, produktu firmy Microsystemation – XRY. iVe Forensics już teraz dostarcza dane z ponad 5 tysięcy różnych modeli samochodów analizując je logicznie i fizycznie.
Rok 2017 na pewno przyniesie też sporo nowości w zakresie analizy dronów, które co raz bardziej popularne i łatwo dostępne niosą też ogromne ryzyko niebezpieczeństwa. Pozyskanie chociażby danych geolokalizacyjnych z tego typu urządzeń na chwile obecną jest sporym wyzwaniem. Technologia Internetu Rzeczy (IoT), która stoi tuż za rogiem również wniesie sporo przysłowiowego zamieszania. Czy przyjdzie nam specjalistom analizować zaraz lodówki czy kosze na śmieci, tego nie wiem. Wiem jednak, że musimy przyzwyczajać się do faktu, iż Mobile Forensic przestaje być typowo kieszonkowy.