Blog

article-mediaID-forensictools-BTS

System MediaID Interception Detector

Coraz częściej dochodzi do ataków i nieuprawnionych manipulacji infrastruktury sieci telefonii komórkowej m.in. połączeń telefonicznych, SMS, treści czatów czy też wiadomości poczty elektronicznej oraz całego ruchu internetowego, który przechodzi przez urządzenia końcowe (telefon, laptop, modem) użytkownika. Dzieje się tak, gdyż narzędzia typu IMSI Catcher nie są już zarezerwowane tylko i wyłącznie dla Podmiotów Uprawnionych (LI).

czytaj więcej
APFS-forensictools-mediarecovery-blacklight

Analiza APFS. Na co się przygotować?

Choć od premiery High Sierra czyli macOS 10.13 minęło już kilka miesięcy, analizy śledcze nowego systemu plików APFS (Apple File System) mogą przysparzać trochę problemów. W tym krótkim tekście będziemy starali się podpowiedzieć co nieco na ten temat.

Na początek przyjrzyjmy się różnicom pomiędzy szyfrowaniem z wykorzystaniem Filevault 2 i HFS+.

APFS i HFS+ różnice w sposobie szyfrowania

HFS+ nie posiada natywnego wsparcia dla szyfrowania. Do zabezpieczania danych w wolumenach HFS+ wykorzystywana jest dodatkowa warstwa zwana CoreStorage. CoreStorage to logiczny system zarządzania wolumenami obecny w macOS, szyfrujący dane na poziomie bloków. Jeśli będziesz chciał je odblokować, CoreStorage stworzy nowe urządzenie logiczne zawierające cały, nieszyfrowany system plików HFS+, w tym niezalokowaną przestrzeń, jako jeden ciągły blok. W momencie obrazowania odczytywane są wszystkie bloki woluminu HFS+ w stanie odszyfrowanym.

APFS nie wymaga dodatkowej warstwy zabezpieczeń, czyli wykorzystania CoreStorage. Aktywowanie FileVault po prostu włącza wbudowaną w APFS obsługę szyfrowania i szyfruje dane na poziomie systemu plików. W związku z tym „odblokowanie” woluminów APFS nie powoduje utworzenia nowego urządzenia logicznego, które należy odczytać celem pozyskania odszyfrowanych danych. Dobrze radzi sobie z tym BlackLight.

Zarówno CoreStorage jak i APFS wykorzystują szyfrowanie XTS-AES-128. Jednakże APFS używa losowo generowanych drugorzędnych kluczy szyfrujących, podczas gdy CoreStorage wykorzystuje identyfikator UUID. W związku z tym, że UUID w CoreStorage nie jest losowy, można go zidentyfikować. Co za tym idzie APFS można uznać za odporniejszy na ataki kryptograficzne.

Mam hasło do FileVault 2 i nie mogę odszyfrować plików

Do odszyfrowania plików w APFS wymagane są następujące informacje:

  • 128 bitowy klucz szyfrowania wolumenu
  • 128 bitowy drugorzędny klucz szyfrowania
  • Oryginalny „numer bloku” danego pliku
  • Każdy wolumen w kontenerze APFS wykorzystuje unikatowe klucze szyfrujące wolumenu oraz drugorzędne. Gdy plik zostaje usunięty przez użytkownika, powiązane z nim bloki danych zostają zwolnione. Prowadzi to do sytuacji, w której nie jest możliwe przypisanie niezaalokowanego bloku danych z powrotem do jego oryginalnego wolumenu. Dlatego na tę chwilę ustalenie kluczy szyfrujących, które mogłyby zostać użyte przez informatyka śledczego do poprawnego odszyfrowania danych, jest niemożliwe. Całość staje się jeszcze bardziej skomplikowana w przypadku przeniesienia zaszyfrowanych bloków danych w inne miejsce. W takim przypadku dane nie są szyfrowane na nowo, a oryginalny numer bloku musi być znany jeśli chcielibyśmy je odszyfrować.

    Ponieważ nieprzydzielone bloki pozostają zaszyfrowane wewnątrz puli logicznego konteneru, carving danych będzie nieskuteczny bo nie będzie możliwe rozpoznanie sygnatur plików znajdujących się w ich nagłówkach. Jeśli rozpoczniemy carving danych, wynik z dużym prawdopodobieństwem będzie fałszywie dodatni bądź będzie to fragment pliku, który został utworzony przed zaszyfrowaniem woluminu.

    A gdyby tak wyłączyć FileVault 2?

    W APFS wyłączenie FileVault 2 odszyfrowuje metadane systemu plików i zaalokowane bloki w wolumenie. Nieprzydzielone bloki, które zostały już zwolnione do puli konteneru, nie zostaną odszyfrowane. Dzieje się to dlatego, że bloki nie są już w tym momencie powiązane z woluminem, który je zaszyfrował. W CoreStorage wolumeny HFS+ są szyfrowane na poziomie bloku, a nie na poziomie systemu plików. Zatem wyłączenie FileVault pozwoli na odszyfrowanie wszystkich danych, również przestrzeni niezaalokowanej.

    Warto zwrócić uwagę, że pliku usunięte już po wyłączeniu FileVault z wolumenów APFS, mogą zostać odzyskane ponieważ dane te nigdy szyfrowane nie były. Jak widzicie High Sierra niesie ze sobą sporo problemów. Zastanawia nas, jakie są Wasze doświadczenia. Mieliście już do czynienia z „makami” w wersji 10.13? Dajcie znać w komentarzach na Facebooku Lab Mediarecovery.

    Analiza powiązań – Opowieść ze świata dowodów cyfrowych

    W informatyce śledczej prezentacja wyników analizy – przenalizowanych artefaktów systemu operacyjnego, które mogą udowodnić, że podejrzany wiedział o dokumentach lub plikach znajdujących się na badanym urządzeniu – jest jednym z kluczowych elementów realizowanej sprawy. Najważniejszym jej elementem jest pokazanie „opowieści dowodowej” – jak dany plik znalazł się na komputerze podejrzanego – przez kogo został wysłany i jakie były jego kolejne losy.

    czytaj więcej

    Logiczna ekstrakcja danych z urządzeń iOS: zapobieganie szyfrowaniu kopii zapasowych.

    Akwizycja logiczna jest najczęstszym sposobem wyodrębniania informacji z najnowszych urządzeń iPhone i iPad. W przeciwieństwie do innych metod zabezpieczania danych, które mogą być trudne pod względem prawnym i technicznym, ekstrakcja logiczna jest najbardziej zgodnym z najlepszymi praktykami informatyki śledczej sposobem pozyskania danych użytkownika bez wprowadzania niepożądanych modyfikacji urządzenia lub uzyskiwania dostępu do zewnętrznych usług w chmurze. Jednak ta metoda nie jest pozbawiona wyzwań, z których jednym z najważniejszych jest hasło kopii zapasowej.

    czytaj więcej

    Car&Drone forensics w praktyce

    Czy samochód osobowy lub dron może być dowodem elektronicznym? Okazuje się, że tak! Często bardzo szczegółowym i wartościowym.Kiedy w 1968 roku marka Volkswagen wprowadziła pierwszy na świecie komputer zarządzający elektronicznym wtryskiem paliwa, prawdopodobnie nikt nie przypuszczał ile dodatkowych funkcji znajdzie się w module ECU (ang. Electronic Controll Unit) po ponad 50 latach rozwoju idei zarządzania funkcjami pojazdu.

    czytaj więcej

    IoT forensics na przykładzie analizy SmartTV

    Internet rzeczy (IoT) ma ogromne możliwości, a także poważne problemy z bezpieczeństwem i prywatnością. Chociaż od dawna przeprowadza się badania dowodów cyfrowych wszelakich urządzeń elektronicznych, badania kryminalistyczne w zakresie IoT są stosunkowo nowe i nie zostały jeszcze dokładnie zgłębione.

    czytaj więcej

    Techno Mode – najszybsza droga dostępu do materiału dowodowego z uszkodzonych SSD

    Pojawiające się ostatnio statystyki pokazują, że dyski półprzewodnikowe mają znaczny udział w rynku pamięci masowych. Zakłada się, że popularność dysków SSD wzrośnie, co spowoduje, iż pojawi się więcej mało znanych producentów – w rezultacie na rynek z łatwością trafią znaczne ilości produktów o niskiej jakości.

    czytaj więcej

    Współdzielenie czynności analitycznych z wykorzystaniem platformy Magnet AXIOM

    Rosnąca stale, niemalże zgodnie z prawem Moore’a pojemność dysków twardych, malejące każdego roku ceny za gigabajt ich pojemności, zwiększająca się różnorodność nośników danych i urządzeń elektronicznych – te kwestie z pewnością mniej lub bardziej frasują każdego specjalistę informatyki śledczej. Żaby usprawnić pracę specjaliści poszukują rozwiązań, które pzowolą im współdzielić czynności analityczne. Czy Magnet AXIOM jest właśnie takim rozwiązaniem?

    czytaj więcej

    Aplikacje mobilne nie zawsze bezpieczne ale zawsze pożądane

    Dzisiejsze urządzenia mobilne posiadają magazyny pamięci, na których zainstalowane są m.in. systemy operacyjne pozwalające użytkownikowi na łatwą pracę wśród bogatych zbiorów aplikacji mobilnych. Aplikacje mobilne pisane są przy użyciu różnych platform i języków programowania. Kiedyś aplikacje dla starszych urządzeń były pisane głównie w technologii Java ME.

    Obecnie używa się tzw. pełnej wersji Java oraz C++ na platformie Android, Objective-C na iOS oraz C# na platformę Windows Phone (Windows Mobile). czytaj więcej

    Informatyczna nowelizacja prawa cywilnego. Prawo cywilne a informatyka śledcza.

    Jesienią zeszłego roku, dnia 8 września 2016 r., po rocznym vacatio legis, w życie weszła większa część ustawy z dnia 10 lipca 2015 r. o zmianie ustawy – Kodeks cywilny, ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw, nazywanej przez niektórych „nowelizacją informatyczną”.

    Co się zmieniło na gruncie KC i KPC? Jaki wpływ na pracę informatyków śledczych mają te zmiany? czytaj więcej