Mobilforensik

I saw a guy today at Starbucks.
He had no smartphone, tablet or laptop.
He just sat there drinking his coffee.
Like a psycopath.

Vår värld blir allt mer fokuserad kring våra mobila enheter. Sannolikheten är stor att en person inte lämnar sitt hem utan sin smartphone. Till följd blir vi allt mer beroende av våra telefoner och lagrar allt mer information på dem.
Men hur mycket av den informationen kan vi komma åt med de rätta verktygen? I denna artikel undersöker vi vad vi kan få ut ur en ordinarie mobiltelefon. Till vår hjälp har vi verktyget Cellebrite och en ordinarie Samsung Galaxy S3 som vi förväg har preparerat med bilder, surfhistorik, appar etc. Som en del av testet har vi även installerat en app med en inbyggd trojan i syfte att testa huruvida Cellebrites virusskanner kommer fånga upp den skadliga koden.

Extraktion

Innan vi påbörjar vår undersökning måste vi först ta en avbild på vår telefon. Det finns för tillfället tre olika typer av extraheringar som vi kan använda oss av. Dessa är följande

Fysisk extraktion: En fysisk extraktion tar en bit-by-bit avbild av lagringsutrymmena på telefonen. Smått och gott betyder detta att vi får full åtkomst till alla filareor, såväl som RAM, ”dold” app-data och raderade filer.
Logisk extraktion: Den logiska extraktionen kan främst liknas vid en backup av telefonen. Vi får här ut information i form av bilder, app-data, SMS och i vissa fall raderade telefonloggar.
Filsystems extraktion: Detta läge är en mix av de både ovanstående. Det data vi får ut kan mest liknas med den vi får ut vid den logiska extraktionen, men till skillnad från en vanlig logisk extraktion får vi även tillgång till telefonens RAM med en filsystems extraktion.

Så varför skulle en utredare inte välja en fysisk extraktion vid varje utredning? Problemet ligger grundat i att en fysisk extrahering är begränsad till ett visst antal telefonmodeller. Cellebrite använder sig av modellspecifika lösningar för att skjuta in den bootloader som används för att genomföra den fysiska extraktionen. Som regel är det främst äldre modeller som är kapabla till en fysisk extraktion.

För denna undersökning använder vi som tidigare nämnt en Samsung Galaxy S3 som testobjekt. I skrivande stund är denna modell rätt så gammal och är kapabel till att extraheras enligt alla 3 ovannämnda metoder. Vi använder självklart en fysisk extraktion i detta fall.

Processen för att genomföra en fysisk extraktion varierar från modell till modell. I vissa fall behöver utredaren gå igenom en mindre lista av åtgärder för att kunna genomföra en fysisk extraktion. Exempelvis behöver en Nokia Lumia 925 ha batteriet laddat mellan exakt 17-19% samt ha ett vanligt foto på telefonen för att det ska vara möjligt att genomföra en fysisk extraktion.
Lyckligtvis är processen för vårt testobjekt simpel och vi behöver här bara starta upp telefonen med hjälp av en av de medföljande pluggarna innan vi kopplar in det i Cellebrite-dosan.

Undersökning

Efter en stund har vi till slut fått ut en fysisk avbild på vår telefon. Nästa steg är att ladda in avbilden i den medföljande programvaran ”UFED Physical Analyser”. Programvaran sorterar automatiskt in all data i avbilden i motsvarande kategorier och raddar upp det fint och lättillgängligt.

Raderade SMS, bilder, videos etc. återskapas automatiskt och markeras med ett rött kryss för att indikera att det är filer som har återskapats.

Resultat

Vi kontrollerar först och främst e-post, sms och annan standarddata. Som visat på bilden ovan lyckades Cellebrite återskapa SMS från 2012. All data på telefonen har återskapats och kategoriserats som förväntat.
Eftersom vi använde oss av en fysisk extraktion har vi tillgång till databaser för appar och operativsystem som kan användas vid djupare analyser.

Medan vi fortsätter med vår analys av data så kör vi igång virusskannern i bakgrunden för att kontrollera om vi hittar den skadliga koden som vi tidigare lagt på telefonen. Virusskannern behöver enbart riktas in på de filareror som ska skannas igenom och sköter därefter resten av skanningen automatiskt.

Under tiden kollar vi igenom listan av appar. Här noterade jag att några av de applikationer jag tidigare installerat och därefter raderat inte listades som återställda och dök i själva verket inte upp över huvud taget. Anledningen till varför raderade appar inte listas medan all annat data kunnat återställas är oklart i skrivande stund.

Till slut har vår virussökning kört klart och vi observerar resultatet. Här ser vi att vår skadliga kod har fångats upp samt ytterligare en app som kategoriserats som riskware (som i slutändan bedömdes som en false-positive).

Slutsats

Cellebrite erbjuder en lätthanterlig lösning för forensiska analyser av telefoner.
Den största begränsningen ligger just nu i att enbart äldre modeller av telefoner är kapabla till fysiska extraktioner. Senare modeller är begränsade till logiska eller filsystems-extraktioner vilket delvis begränsar den data vi får ut samt inte tillåter oss att återställa raderad data.

En fysisk extraktion har även fördelen med att ge oss en bit-by-bit avbild som kan användas med andra verktyg för specifika analyser. Lyckligtvis ger gränssnittet oss åtkomst till det data som ingår i majoriteten av alla analyser vilket till stor del eliminerar problemet med att behöva använda specialinriktade verktyg för att genomföra analysen.