Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

Android in the hands of a forensic scientist

Демитрий

Private access level
Katılım
12 Ara 2017
Mesajlar
422
Tepkime puanı
451
Puanları
193
Konum
г.Ейск, ул.Коммунистическая, 12/1, офис 308
Android in the hands of a forensic scientist.

Imagine for a moment that your Android smartphone got into the laboratory of a forensic scientist. What will he do with it? What is he able to learn about you and how to protect his private data?

I do not think that it will be a discovery for you if I say that the smartphone of an ordinary person stores too much information about its owner. Starting from the circle of friends and ending with the most personal details about his life. Finding such a device is a real treasure for the attacker. I call the forensic scientist an “attacker” for two reasons. First, purely formally, in the IB language it is precisely what attacks the device that came to it for analysis. And secondly, in addition to an honest criminalist, the exact same analysis could well be carried out by anyone who got your phone illegally.

<Data mining>
It all starts with photographing. If we are talking specifically about the work of the forensic scientist, then the phone discovered at the crime scene will be photographed first. This is done for the nuances of conducting investigative measures that are unimportant for us, but in addition to bureaucratic procedures, a screen photograph in the future can be very informative. For example, if the last to enter the code to unlock the smartphone, following the fingerprints, you can try to reduce the number of combinations for its selection. Of interest may also be information that was directly on the screen at the time of the discovery of the phone, if it was not blocked.

Then the phone is immediately connected to charging. They charge the phone so that it does not turn off - you can remove much more valuable data from a live phone than from a disconnected one. If the equipment allows, the telephone is placed in an insulating container, through which no signals pass. This is done so that no one can send a self-destruction signal to the phone. If such a signal is received, the phone will simply delete all the valuable information before it is brought to the laboratory for analysis. We draw a conclusion and install such an application for ourselves: o) For example, "Lost Android". However, keep in mind that this application poses a new risk: now someone else, posing as you, will be able to gain remote access to your phone. Therefore, such an application is safer to use only temporarily, when the risk of losing the phone is increased.

Upon arrival at the laboratory, if the phone is still alive - that is, not disconnected and not formatted - they can try to get information about the current state from it: a list of running applications, as well as what happened in them. For example, which sites were opened in the browser or with whom exactly at the moment correspondence was conducted. This is not always done, because not everywhere laws allow it to be arranged. The court may not accept as material evidence the telephone that was used after its seizure. In any case, such restrictions exist in theory, but in practice there are many ways to climb on the phone without violating the procedure. Therefore, it is better to keep the phone locked and, of course, do not give out a code to unlock.

After examining the active state, the forensic investigator proceeds to the most critical part of his business: removing the memory dump. The dump is removed from the phone’s internal memory, as well as from all cards connected to it. It is for this, and not just because of natural anger, that during a search they often seize not only the phone, but also any peripherals accompanying it - memory cards, chargers, data cable. Sometimes they are needed for analysis.

Dumping takes place in two stages. First, the forensic scientist takes a hash from the entire contents of the memory, and then transfers its contents. The hash allows you to make sure that the data has been moved entirely, and will also serve as evidence that the phone itself has not been subjected to any manipulation. If the forensic investigator were allowed to carry out actions on the telephone itself, in an obvious way, he could fine-tune absolutely any “evidence”. Therefore, documenting the original hash is an absolutely necessary step when removing a dump.

The process itself usually occurs when connected to the memory through a special cord, making it impossible to record anything. It allows you to only read information. An alternative is to activate this mode of operation on the memory card itself, but due to technical nuances it is easier and more convenient to use a special cord. The memory is removed through the usual linux-command "dd". It allows you to create an absolutely exact copy of the memory. Regular copying only transfers existing files and folders, and dd takes everything, including traces that could remain in the "empty" space on the map. For example, fragments of some previously deleted files are uniquely stored there. Sometimes you can restore the entire file from them, sometimes only partially - but this is useful in any case. In addition, sometimes cryptocontainers hide in the "free" space.

It is easy to remove a dump from a regular memory card, but when removing a dump from the phone’s memory, you have to tinker with it. There are two options: either open the phone’s case, remove the memory and connect it to its special equipment, or charge Android. Such difficulties arise because of the need to access the system folder "/ data / data", hidden in normal access mode. And it is there that the most interesting is stored. Technically, it’s easier to steer, but this means making changes to the initial state of the device. That, I remind you, can reject evidence for the court. To prevent this from happening, the forensic scientist may try to obtain permission from the court. Without going into legal details, in most situations he will be given such permission.

<Analysis of the extracted data>
All the interesting data is immediately extracted from the dump, but only what can answer the questions posed to the forensic scientist is subjected to analysis. For example, if the phone of a missing person got into the analysis, they will be primarily interested in data on his recent contacts and location, rather than photographs five years ago. Most of the data in the usual case remains unanalyzed, but just in case they will be stored.

In order to access the contents of the dump, special software is used. One of the most popular programs for this is Winhex. It allows you to read the captured dump and make changes to it, and also contains tools for recovering deleted data. Here are a couple of programs that allow you to access remote files: FTK and EnCase.

With this software, the forensic scientist takes a list of contacts, records of calls, a database of social networks and instant messengers, the browser’s cache, its bookmarks, the history of visits, the contents of SMS and email, as well as information about movements if it was stored somewhere. After the extraction of ordinary data, the deleted data is restored and something interesting is searched among them. The search is not done manually, but automatically, by signature. For example, among hundreds of deleted photos and browser-cached pictures by signatures, it is easy to find a file with passwords.

Of particular value are data from SQLite databases. They are used by various instant messengers and applications of social networks, and therefore it is often possible to extract the history of correspondence, additional contact lists and other useful things from there. By the way, end-to-end encrypted correspondence also becomes open during such an analysis. Including, this concerns the secret chats of Telegram.

And all this becomes useless if the phone gets to the forensic table encrypted and turned off. However, with reservations: we are talking only about properly encrypted phones. For devices running Android 4.4 and below, decrypting the memory will not be a problem, because the key to decrypt them is stored in memory insecurely. The exception is Samsung phones on Android versions 4.0 through 4.4. Samsung has improved encryption for these devices and, starting with version 5.0, Google has adopted this technology. Starting with this version, all smartphones with encrypted memory will pose a serious difficulty for the forensic scientist.

An encrypted memory can still be attacked by sorting codes to unlock. Therefore, in addition to encrypting the memory, you need to put as complex code as possible. It’s best to replace your finger movements with a password of letters and numbers, and make it as complex as possible. For some devices, disk encryption is already enabled by default; for others, you will need to enable it yourself. Here is the official guide on how to do this: Full-Disk Encryption | Android Open Source Project In short, a couple of clicks in the system menu will be enough for you and a couple of hours to wait, all this time keeping the phone connected to charging.

<To summarize>
Phones store too much private data to continue to ignore the issue of their protection. Once in the hands of your ill-wisher, the phone will tell you everything, even if you protect your screen with an unlock code. But correctly encrypted memory blocked by a strong password is not decrypted by anyone now. Therefore, I recommend not to postpone and encrypt your data as soon as possible. And, if a dangerous situation suddenly arises, it will be enough for you to simply turn off the phone.

In the article, I talked about phones all the time, but, of course, the same thing applies to any Anrdoid devices.
***
Source:
Android in the hands of a forensic scientist
 
Original message
Android в руках криминалиста.

Представим на минуту, что твой смартфон на Android'е попал в лабораторию к криминалисту. Что он будет с ним делать? Что он сумееи о тебе узнать и как защитить свои приватные данные?

Не думаю, что для тебя станет открытием, если я скажу, что смартфон обычного человека хранит слишком много информации о своём обладателе. Начиная от круга общения и заканчивая самыми личными подробностями о его жизни. Обнаружение такого устройства -- настоящий клад для атакующего. Я называю криминалиста "атакующим" по двум причинам. Во-первых, сугубо формально, на языке ИБ он именно что атакует устройство, попавшее к нему на анализ. А во-вторых, помимо честного криминалиста, точно такой же анализ вполне может быть проведён кем угодно, заполучившим твой телефон незаконно.

< Добыча данных >
Всё начинается с фотографирования. Если мы говорим именно о работе криминалиста, то обнаруженный на месте преступления телефон будет вначале сфотографирован. Это делается для неважных для нас нюансов ведения следственных мероприятий, но и помимо бюрократических процедур фотография экрана в будущем может быть очень информативна. Например, если последним в смартфон вводили код для разблокировки, по следам от пальцев можно попробовать сократить число комбинаций для его подбора. Интерес также может представлять информация, находившаяся прямо на экране в момент обнаружения телефона, если он не был заблокирован.

Затем телефон сразу же подключают к зарядке. Заряжают телефон для того чтобы он не выключился -- с живого телефона можно снять гораздо больше ценных данных, чем с отключившегося. Если оборудование позволяет, телефон помещается в изоляционный контейнер, через стенки которого не проходят никакие сигналы. Делается это для того чтобы никто не сумел послать на телефон сигнал самоуничтожения. Если такой сигнал будет получен, телефон попросту удалит все ценные сведения ещё до того, как его привезут в лабораторию на анализ. Делаем вывод и устанавливаем такое приложение себе :о) Например, "Lost Android". Впрочем, имей в виду, что это приложение открывает новый риск: теперь кто-нибудь другой, представившись тобой, сможет получить удалённый доступ к твоему телефону. Поэтому такое приложение безопаснее использовать только временно, когда риск утраты телефона повышен.

По приезду в лабораторию, если телефон ещё жив -- то есть, не отключён и не отформатирован -- из него могут попробовать взять информацию про актуальное состояние: список запущенных приложений, а также что в них происходило. Например, какие сайты были открыты в браузере или с кем именно в данный момент велась переписка. Так делают не всегда, потому что не везде законы позволяют это устроить. Суд может не принять в качестве вещественного доказательства телефон, которым пользовались уже после его изъятия. Во всяком случае, такие ограничения существуют в теории, а на практике есть немало способов полазить в телефоне без нарушения процедуры. Поэтому телефон лучше держать заблокированным и, разумеется, не выдавать код для разблокировки.

После исследования активного состояния, криминалист приступает к наиболее ответственной части своего дела: снятию дампа памяти. Дамп снимается со встроенной памяти телефона, а также со всех подключённых к нему карт. Именно для этого, а не просто из-за природной злости, при обыске часто изымают не только телефон, но и всякую сопутствующую ему периферию -- карты памяти, зарядные устройства, кабель для передачи данных. Иногда они нужны для проведения анализа.

Снятие дампа происходит в два этапа. Сначала криминалист берёт хеш от всего содержимого памяти, а затем переносит её содержимое. Хеш позволяет убедиться, что данные переехали целиком, а также послужит в качестве доказательства, что сам телефон не подвергался никаким манипуляциям. Если бы криминалисту разрешалось выполнять действия над самим телефоном, очевидным образом, он бы мог подстроить совершенно любые "доказательства". Поэтому документирование оригинального хеша -- это абсолютно необходимый шаг при снятии дампа.

Сам процесс обычно происходит при подключении к памяти через специальный шнур, делающий невозможным ничего записывать. Он позволяет только читать информацию. Альтернативный вариант -- активировать такой режим работы на самой карте памяти, но из-за технических нюансов проще и удобнее воспользоваться специальным шнуром. Память снимается через обычную linux-команду "dd". Она позволяет создать абсолютно точную копию памяти. Обычное копирование переносит только существующие файлы и папки, а dd возьмёт всё, включая следы, которые могли остаться в "пустом" пространстве на карте. Например, там однозначно хранятся фрагменты некоторых ранее удалённых файлов. Иногда по ним можно восстановить файл целиком, иногда только частично -- но это в любом случае бывает полезно. Кроме того, иногда в "свободном" пространстве прячут криптоконтейнеры.

Дамп с обычной карты памяти снять легко, а вот при снятии дампа с памяти телефона приходится повозиться. Существует два варианта: либо раскрыть корпус телефона, извлечь память и подключить к её специальному оборудованию, либо порутать Android. Такие сложности возникают из-за необходимости получить доступ к системной папке "/data/data", скрытой в обычном режиме доступа. А именно там хранится самое интересное. Технически проще порутать, но это означает внесение изменений в исходное состояние устройства. Что, напомню, может забраковать улику для суда. Для того чтобы так не произошло, криминалист может попытаться получить у суда разрешение. Не вдаваясь в юридические подробности, в большинстве ситуаций ему такое разрешение будет дано.

< Анализ извлечённых данных >
Из полученного дампа сразу же извлекают все мало-мальски интересные данные, но анализу подвергают только то, что может дать ответ на вопросы, поставленные перед криминалистом. К примеру, если на анализ попал телефон пропавшего без вести человека, в первую очередь будут интересовать данные о его последних контактах и местонахождении, а не фотографии пятилетней давности. Большинство данных в обычном случае остаются непроанализированными, но на всякий случай будут храниться.

Для того чтобы получить доступ к содержимому дампа, используется специальный софт. Одна из самых популярных программ для этого -- Winhex. Она позволяет читать снятый дамп и вносить в него изменения, а также содержит инструменты для восстановления удалённых данных. Вот ещё пара программ, которые позволяют получить доступ к удалённым файлам: FTK и EnCase.

При помощи этого софта криминалист забирает список контактов, записи о звонках, базы данных социальных сетей и мессенджеров, кеш браузера, его закладки, историю посещений, содержимое SMS и email, а также информацию о передвижениях, если она где-нибудь сохранялась. После извлечения обычных данных происходит восстановление удалённых данных и поиск среди них чего-нибудь интересного. Поиск производится не вручную, а автоматически, по сигнатурам. К примеру, среди сотен удалённых фотографий и закешированных браузером картинок по сигнатурам легко удастся найти файл с паролями.

Особенную ценность представляют данные из баз данных SQLite. Их используют различные мессенджеры и приложения социальных сетей, и поэтому оттуда зачастую удаётся извлечь историю переписок, дополнительные списки контактов и другие полезные вещи. Кстати, зашифрованные по принципу end-to-end переписки также становятся открытыми при проведении такого анализа. В том числе, это касается секретных чатов Telegram'а.

И всё это становится бесполезным, если на стол к криминалисту телефон попадает зашифрованным и выключенным. Впрочем, с оговорками: речь идёт только о правильно зашифрованных телефонах. Для устройств под управлением Android 4.4 и ниже дешифровка памяти не составит особых проблем, потому что ключ для их расшифровки хранится в памяти ненадёжно. Исключение составляют телефоны от Samsung на версиях Android'а с 4.0 по 4.4. Для этих устройств Samsung улучшили шифрование и, начиная с версии 5.0, Google перенял эту технологию. Начиная с этой версии все смартфоны с зашифрованной памятью составят серьёзную трудность для криминалиста.

На зашифрованную память всё равно можно провести атаку методом перебора кодов для разблокировки. Поэтому помимо зашифровки памяти нужно поставить как можно более сложный код. Лучше всего заменить движения пальцами на ввод пароля из букв и цифр, и сделать его как можно более сложным. У некоторых устройств шифрование диска уже включено по умолчанию, у других его понадобится включить самостоятельно. Вот официальный гайд, рассказывающий, как это сделать: Full-Disk Encryption | Android Open Source Project Если вкратце, тебе будет достаточно пары кликов в системном меню и пару часов подождать, всё это время держа телефон подключённым к зарядке.

< Подытожим >
Телефоны хранят слишком много приватных данных, чтобы продолжать игнорировать вопрос их защиты. Попав в руки к твоему недоброжелателю, телефон о тебе всё расскажет, даже если ты защитишь свой экран кодом разблокировки. А вот правильным образом зашифрованную память, заблокированную надёжным паролем, не расшифрует сейчас никто. Поэтому я рекомендую не откладывать и зашифровать свои данные поскорее. И, если вдруг сложится опасная ситуация, тебе будет достаточно просто выключить телефон.

В статье я всё время говорил о телефонах, но, разумеется, всё то же самое применимо для любых устройств на Anrdoid'е.
***
Источник:
Android в руках криминалиста

Детективное агентство Москва

Private access level
Full members of NP "MOD"
Katılım
1 Kas 2009
Mesajlar
751
Tepkime puanı
15
Puanları
18
Yaş
54
Konum
Россия, г. Москва, ул. Кржижановского, д. 15, корп
Web sitesi
www.dossier-agency.ru
Thank you, instructive!
 
Original message
Спасибо, поучительно !

Симферополь

Private access level
Full members of NP "MOD"
Katılım
29 Ara 2011
Mesajlar
1,291
Tepkime puanı
65
Puanları
48
Yaş
46
Konum
Россия, Крым. Симферополь. +38 099 627 71 18 9976
Web sitesi
detektiv.crimea.ua
It does not hurt to know. Thanks for the informative article.
 
Original message
Не помешает знать. Спасибо за познавательную статью.