Forenzní analýza mobilních telefonů: Není telefon jako telefon

V současné době jsou v mobilních přístrojích často umístěna nejzajímavější data o jejich uživatelích.

Forenzní analýza mobilních telefonů: Není telefon jako telefon


Podobně jako otisk prstu je mobilní telefon jakýmsi otiskem svého uživatele – vypovídají o něm fotografie, videa, zprávy, síť kontaktů, historie telefonátů, e-maily, poznámky, data ze sociálních sítí, jako jsou Facebook, Google+, Twitter, Foursquare a podobně.

S obrovským rozmachem mobilních aplikací, které ukládají uživatelova data nejen na internet, ale i lokálně v telefonu, je nyní možné zjistit mnohem více informací než dříve. Velmi oblíbené jsou aplikace Evernote pro ukládání poznámek do cloudu a Dropbox pro ukládání souborů do cloudu.

Vyšetřovatel se samozřejmě může obrátit přímo na provozovatele konkrétních služeb se soudním příkazem k poskytnutí dat, to je ale cesta velmi zdlouhavá, poskytovatelů je hodně a většinou sídlí v zahraničí. Přitom čas je ve vyšetřování klíčovým faktorem. Lokálně uložená data tak hrají ve vyšetřování zásadní roli.

Je potřeba si uvědomit, že analýza telefonů je nesmírně užitečná nejen v případě podezřelých osob, ale také pokud je nalezena oběť, kdy je telefon často jediným zdrojem okamžitých informací.

S použitím moderních nástrojů pro vyšetřování mobilních telefonů lze získat mnoho dat přímo v terénu a ihned jednat. Svým způsobem vám takto může váš mobil pomoci. Pro zločince má pak použití moderních telefonů výhody v případě využití šifrované komunikace.

Vzhledem k tomu, že jsou telefony vlastně počítače připojené k internetu, a to dokonce mobilně, je velice snadné použít k telefonování software, který šifruje pakety posílané do internetu, a odposlech je tak nemožný. Právě proto je potřeba umět z přístrojů zločinců získat co nejvíce dat, která mohou pomoci v jejich následném usvědčení.

Nástroje pro analýzu
V zásadě existují dva typy nástrojů pro forenzní analýzu telefonů: hardwarové, které pracují samostatně, a softwarové, tedy běžící na počítači. Každý přístup má své výhody.

Software poskytuje větší komfort, je levnější a uživatel si může vybrat, jak velký, přenosný nebo výkonný počítač si pořídí. Hardware je přenosnější, slouží však jen pro získávání dat. Pro jejich analýzu je pak potřeba počítač s dalším softwarem.
Jedním z nejrozšířenějších softwarových nástrojů je MOBILedit Forensic, který vznikl v České republice. Navázal na SIMedit z roku 1996 a byl prvním softwarem tohoto druhu na světě. Další významné softwarové nástroje tohoto druhu jsou MPE od americké firmy Access Data, .XRY od švédské firmy Micro Systemation nebo ruský Oxygen Forensic Suite.
Nejvýznamnějším hardwarovým nástrojem je pak UFED od izraelské firmy Cellebrite.

Získávání a analyzování klíčových dat z mobilních telefonů bylo složité vždycky, což se nijak razantně nezměnilo ani s neustálým nárůstem telefonních a obdobných zařízení. Neexistuje totiž žádný standardizovaný komunikační protokol, který by výrobci mobilů dodržovali.

Dříve se data z telefonu analyzovala manuálně. Existovali speciálně vyškolení znalci, kteří vzali telefon do ruky, procházeli menu a nalezená data fotili. S příchodem softwarových nástrojů se postupy razantně změnily.

Vyvinout ale takový nástroj je velmi náročné, jelikož je potřeba analyzovat doslova tisíce telefonů a bez jakékoliv dokumentace od výrobce, za použití zpětného inženýrství, implementovat podporu jednoho modelu telefonu za druhým.

Přitom se může lišit způsob komunikace i u stejného přístroje, pokud má různou verzi firmwaru. Často se navíc stává, že ani samotný výrobce nemá komunikační protokoly aktuálně zdokumentované.

Největší výzvu pak jednoznačně představují telefony iPhone a ty s Androidem, které jsou nejenže nejrozšířenější, ale obsahují také zdaleka nejvíce dat. Existence několika platforem na jedné straně vývoj usnadnila, co se týká komunikačních protokolů.

Na druhé straně vznikla úplně nová oblast, a to získávání dat z mobilních aplikací. Je důležité si uvědomit, že soudobý forenzní nástroj musí umět analyzovat nejen moderní telefony, ale i nejstarší telefon, který kdy byl na trhu, protože tyto přístroje jsou stále lidmi používány a je potřeba umět zjistit také jejich obsah.

Jak vypadá forenzní audit mobilu?
Jak tedy probíhá v praxi vyšetřování mobilního telefonu? Vyšetřovatel předá mobilní telefon znalci, který je vybaven potřebnými nástroji. Od tohoto okamžiku je nežádoucí, aby přístroj přijímal další zprávy nebo hovory.

Dříve se proto telefon odstínil od sítě použitím řešení označovaného jako Faraday bag, to ale bylo nespolehlivé a se zařízením se špatně pracovalo. Dnes se vyjme původní SIM karta a naklonuje se pomocí speciálního softwaru se čtečkou čipových karet, případně hardwarovým nástrojem.

Vytvořený klon má takové vlastnosti, že se nepřihlásí do sítě operátora, ale zároveň telefon nerozpozná, že do něj byla vložena jiná SIM karta. Některé přístroje totiž v případě vložení jiné SIM mažou nebo jinak upravují data v telefonu, a to je pro vyšetřovatele nepřípustné.

Zároveň se tím řeší i to, že není potřeba znát PIN k SIM kartě, který samozřejmě může vyšetřovatel zjistit od operátora. Do hry zde však opět vstupuje faktor času.

Nyní se telefon připojí pomocí kabelu k počítači, spustí se software pro forenzní analýzu, který načte všechna data z telefonu a paměťové karty. Pokud je na kartě dat více, je rychlejší ji vyjmout a analyzovat ve čtečce zvlášť.

Data z telefonu je možné načíst na logické nebo fyzické úrovni (logical/physical acquisition). Logická úroveň je srozumitelná reprezentace dat ve strukturách. Fyzická úroveň poskytne výpis obsahu vnitřní paměti telefonu (memory dump) a může obsahovat i smazaná data, jejichž analýza je však poměrně složitá a výsledek není zaručen.

Takto získaná data se předávají dále a provádí se jejich analýza pomocí dalších programů jako je I2 analyst nebo Tovek Tools.

Často je vyšetřována skupina jedinců s větším počtem telefonů a analytické nástroje dokážou v přístrojích vyhledat taková data a souvislosti, jaké by člověk nikdy nenašel. Výsledek může být zobrazen ve 3D síti propojení a vazeb. Nakonec je vše v rukou soudce, jelikož na něm záleží, jakou váhu zjištěným datům přisoudí.

Vzhledem k tomu, že získávání dat z mobilu je technicky velmi komplikované, rozličné nástroje dokážou poskytnout různé výsledky, co se týká podporovaných telefonů nebo množství dat. Některé nástroje podporují lépe evropské přístroje, jiné zase americké nebo asijské.

Vyšetřovatel většinou vlastní nástrojů více i proto, aby mohl potvrdit analýzu jednoho nástroje jiným. Jde přece jen o vinu nebo nevinu vyšetřovaného.

Situace v Česku
V České republice používají soudní znalci moderní nástroje pro analýzu telefonů již řadu let, a jsou tak z celosvětového hlediska na vrcholu. Soudy se učí tyto důkazy využívat postupně, podobně jako tomu bylo a je u počítačů. Celý proces jejich osvojování by však měl být mnohem rychlejší a progresivnější, jelikož vývoj technologií získává stále větší náskok.

I proto je velmi důležité, aby se jak představitelé soudnictví, tak odborníci setkávali na konferencích, na kterých se šíří nejen osvěta a zkušenosti, ale i síť kontaktů pro další spolupráci.

U nás bohužel žádná fóra ani pravidelné akce doposud tuto oblast témat neotevřela, k tomu se zájemce musel vydávat na drahé konference do světa. Potěšující informací však je, že se tato situace brzy změní.

Dne 12. listopadu se bude konat první významná konference v Praze – LawTech Europe Congress 2012, na níž se setká řada významných světových i českých odborníků a autorit, kteří budou řešit otázku elektronických důkazů, forenzního vyšetřování počítačů a mobilních telefonů, ochrany osobních údajů v EU, technologií pro právníky a další témata, a to úplně poprvé v regionu střední a východní Evropy.

Více informací o této konferenci lze získat na stránkách www.lawtecheuropecongress.com.

Autor pracuje ve společnosti Compelson.

Úvodní foto: © Calado - Fotolia.com



Vyšlo v Computerworldu 16/2012
Celé vydání k dispozici i elektronicky








Komentáře