Wyzwania w pozyskiwaniu i analizie danych z urządzeń mobilnych - Oxygen Forensic Detective

W dzisiejszych czasach ludzie częściej używają urządzeń mobilnych niż komputerów – czatują przez komunikatory, udostępniają wydarzania życiowe w sieciach społecznościowych, korzystają z mobilnych przeglądarek internetowych, planują wycieczki i spotkania za pośrednictwem aplikacji itp. To dlatego pozyskiwanie danych z urządzeń mobilnych jest tak istotne dla specjalistów informatyki śledczej. W artykule chciałabym opisać wyzwania w analizach mobile forensics i rozwiązanie danych problemów w postaci Oxygen Forensic Detective.

Urządzenia chronione hasłem

Z ostatnich badań wynika, że aż 2/3 wszystkich użytkowników w USA stosuje na swoich urządzeniach mobilnych blokadę w postaci hasła. Istnieje kilka chińskich rozwiązań łamiących blokady ekranu, takie jak IP Box i MFC Dongle, ale nie obsługują one najnowszej wersji iOS i mają słabe wsparcie dla urządzeń opartych na systemie Android. W naszym oprogramowaniu, Oxygen Forensic Detective, proponujemy metodę omijania blokady ekranu iOS z wykorzystaniem pliku z komputera użytkownika lockdown.plist. Ponadto wiemy, jak w skuteczny sposób ominąć blokadę ekranu z urządzeń Android OS. Jeśli to nie pomoże zawsze można próbować JTAG lub metody Chip-off. Obrazy utworzone za pomocą tych metod mogą być analizowane w Oxygen Forensic Detective.

Zaszyfrowane kopie zapasowe

Użytkownik może ustawić hasło, nie tylko na ekranie urządzenia, ale również do tworzenia kopii zapasowych urządzeń lub obrazu. Na przykład może zaszyfrować kopię zapasową iTunes. Nie ma sposobu, aby ją ominąć, trzeba poznać hasło inaczej żadne dane nie zostaną wyodrębnione. W Oxygen Forensic Detective wbudowane jest narzędzie autorstwa Passware, które rozpoznaje hasła za pomocą różnych ataków, w tym brute-force.

Zdobądź tyle danych ile to możliwe

Wyobraźmy sobie, że nie masz urządzenia lub jest ono doszczętnie zniszczone. W tym przypadku trzeba poszukać innych źródeł akwizycji danych. Można poszukać pliku kopii zapasowej urządzenia na komputerze użytkownika, zwrócić się do providera po CDR (Call Data Records) celem analizy komunikacji lub zdobyć dane z chmury. W Oxygen Forensic Detective wszystkie te metody są obsługiwane i wszystkie ekstrakcje danych mogą być połączone w jedną celem kompleksowej analizy.

Odzyskiwanie usuniętych danych

Nie wystarczy wyodrębnić istniejących rekordów, informatycy śledczy potrzebują również dostępu do usuniętych danych. Prawie wszystkie dane użytkownika przechowywane są w bazie danych SQLite i nie ważne jakie jest to urządzenie – iOS, Android, BlackBerry 10, Windows Phone 8. Usunięte dane takie jak kontakty, czaty, rozmowy mogą być pozyskane z bazy danych SQLite przez prawie wszystkie oprogramowania do analiz mobile forensic.

Analiza danych

Wyobraźmy sobie, że udało się przezwyciężyć wszystkie dotychczasowe wyzwania, więc masz gigabajty zdjęć, tysiące wiadomości i połączeń, setki kontaktów. Ręczna analiza tych danych zajmie dużo czasu. Istnieje kilka narzędzi analitycznych, takich jak „i2” ale należy pamiętać, że nie wszystkie formaty są ze sobą kompatybilne. W każdym przypadku lepiej mieć oprogramowanie śledcze z wbudowaną opcją analityczną. W Oxygen Forensic Detective można analizować wszystkie eventy w porządku chronologicznym, znaleźć właściciela urządzenia, wskazać najbliższy krąg komunikacji, sprawdzić wspólne kontakty i wspólną lokalizację różnych urządzeń, a poprzez słowa kluczowe znaleźć interesujące nas dane w kilka sekund. Osoby chcące wypróbować nasze rozwiązanie zapraszam do przesłania prośby o wersję trailową za pośrednictwem naszej oficjalnej strony www.oxygen-forensic.com