Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University...

Forensic analysis of mobile phone internal memory

Artigo de: Svein Y WillassenNorwegian University of Science and Technology

Jefferson Rodrigo Capovilla

Série de Seminários

Disciplina de Análise Forense deDocumentos Digitais

Prof. Dr. Anderson [email protected]

http://www.ic.unicamp.br/~rocha

Organização

Seminários – Análise Forense de Documentos Digitais, 2011 4

Organização‣ Introdução

‣ Motivação

‣ Aplicação na computação forense

‣ Definição do problema

‣ Técnicas aplicadas

• Desoldagem

• Circuito de teste (JTAG)

‣ Trabalhos Correlatos

‣ Conclusão

‣ Comentários

‣ Referência Bibliográfica

Introdução


Introdução

‣ Técnicas inovadoras de análise da memória interna de telefones celulares

‣Diferencial:

• Capacidade de recuperar dados apagados

• Analisar celulares “mortos”

Motivação


Motivação

‣Dispositivo pessoal comum

‣ Evolução na capacidade de armazenamento de informações pessoais

‣Dificuldade em recuperar informações apagadas


Motivação

© Nokia 2010

Total: 4 bilhões celulares no mundo População mundial: 6.9 bilhões

No pessoas/cadastro SIM

[Cell Phones World 2011]

Aplicação na computação

forense


Aplicação na computação forense

‣ Freqüentemente contém informações com valores de evidências

• Fotos, Vídeos, Lista de contatos ,Sons ,Mensagens multimídia ,e-mail, Calendário

• Mensagens SMS

Definição do problema


Definição do problema

‣ Extração de informações com celular ligado

• Extração de info por comandos AT (cabo, infravermelho ou bluetooth)

• Utilizam o S.O do celular

‣ Impossível acesso a informações apagadas

‣ Gerenciador de memória (sobrescrita de informações)

• A ligação do dispositivo pode corromper dados

• SIM Card Code (PIN + PUK)

Seminários – Análise Forense de Documentos Digitais, 2011

Técnicas aplicadas


Técnicas aplicadas

‣ Extração de informações com celular desligado

‣ Idéia comum: Conseguir acesso direto aos pinos do chip de memória

• Cópia de toda a memória flash, independente do S.O.

• Recuperar informações apagadas

• Transpõe todas as medidas de segurança do celular

‣ Técnicas aplicadas

• Desoldagem do chip de memória

• Utilização do circuito de teste (JTAG)


Técnicas aplicadas

Desoldagem do chip de memória


Técnicas aplicadasDesoldagem do chip de memória

Tecnologia BGA (Ball Grid Array)


‣ Dificuldades do processo:

• Temperatura:

‣ Integridade dos dados garantida por 3 ciclos de aquecimento

• Soldagem 2 lados placa (2 ciclos); Desoldagem (1 ciclo); Reballing (1 ciclo)

‣ Extração do chip se em temperatura baixa pode danificar os pinos

• Achar adaptadores para a leitura dos chips

18



‣ Passos para a extração dos dados

1. Pré-aquecimento por 24hs a 80oC para retirar umidade (efeito pipoca)

2. Desoldagem usando ar quente com pré-aquecimento infra-vermelho.

‣ Temperatura máxima 220oC alcançada em 5 minutos

‣ Temperatura fusão solda: 183oC

3. Chip removido da placa por sucção a vácuo com braço robótico

4. Remoção dos resíduos de solda por ar quente

5. Raballing dos pinos do chip

6. Leitura pelos pinos de I/O através de um adaptador e o software de programação do chip

19



Técnicas aplicadas

Utilização do circuito de teste JTAG


Técnicas aplicadas Utilização do circuito de teste JTAG

‣ Circuito de teste:

• Possibilita definir e ler valores dos pinos do chip sem acesso direto físico

• Possibilita testar a conectividade entre os pinos de I/O

• Possibilita testar as interconexões entre CI’s em uma placa sem usar pontas físicas de teste

• Também conhecido como JTAG (Joint Test Action Group)

• JTAG é um nome usado no padrão IEEE 1149.1 [IEEE 1149.1], Standard Test Access Port and boundary-scan architecture to test access ports



Circuito integrado com JTAG



•TDI: Test data in•TCK: Test clock•TMS: Test Mode State•TRST: Test Reset (opcional)•TDO: Test data out

Teste de conexão entre circuitos integrados



Máquina de estados do TAPOperação sobre Data Register

Operação sobre Instruction Register

•A máquina de estados de todos os TAPssão sincronizadas •Cada JTAG possui 1 Instruction Register•Cada JTAG pode ter 2^(IR_size) DR

•IR=5 -> até 32 DR



Operações:

Operação sobre Data Register


•Reset: •Independente do estado, 5 pulsosde clock com TMS=1 retorna a máquinapara o estado de reset.

Exemplo de código:

// go to reset state for(i=0; i<5; i++) JTAG_clock(TMS);



Operações:



•Carregando dados em IR:•Tamanho IR CPU = 5; Carregar 00100•Tamanho IR FPGA = 10 ; Carregar 0000000010

Exemplo de código:// Because the bits are shifted through in a chain, we must start sending the data for the device that is at the end of the chain // so we send the 10 FPGA IR bits first JTAG_clock(0); JTAG_clock(1); JTAG_clock(0); JTAG_clock(0); JTAG_clock(0); JTAG_clock(0); JTAG_clock(0); JTAG_clock(0); JTAG_clock(0); JTAG_clock(0);

// then send the 5 CPU IR bits JTAG_clock(0); JTAG_clock(0); JTAG_clock(1); JTAG_clock(0); JTAG_clock(0 | TMS); // last bit needs to have TMS active (to exit shift-IR)



Operações:



•Contar número de dispositivos no JTAG chain (cada dispositivo insere 1 atraso):

1.Setar IR para modo BYPASS (todos os bits ‘1’)2.Limpar dados em DR inserindo ‘0’3.Inserir ‘1’s até receber em TDO o primeiro ‘1’4.O número de ‘1’s inserido é o numero de dispositivosno JTAG Chain

Código em [fpga4fun jtag]



Operações:



•Ler ID dos dispositivos no JTAG chain•O ID é composto por 32 bits•Sempre que o jtag está no estado “Test-Logic-Reset”,o valor em DR é o ID

Passos:1.Colocar o JTAG em modo reset2.Ir para modo Shift-DR3.Fazer N requisições de 32 bits, sendo N o número de dispositivos


Técnicas aplicadas Utilização do circuito de teste JTAGOperações:

•Dump de memória através do CPU•Conhecer interface de leitura da memória•Conhecer ordem das Boundary Cells•Colocar JTAG em modo EXTEST (funcionamento)

Passos lógicos (atuando nos pinos da CPU):1.Loop para toda posição da memória:

1.Carregar comando de leitura da memória (Mcmd)2.Carregar endereço de leitura (Maddr)3.Ler dados retornados• Sresp = Leitura OK• Sdata = Dados lidos

2.End Loop





‣ Conhecimento necessário para utilizar o JTAG como forma de extração de informações:

• Conhecer o modelo de CPU e Memória e como estão conectados ao barramento do sistema – Requer documentação específica do celular

‣ Importante para saber a combinação correta de bits a ser inserida em TDI

• Determinar cada porta de teste JTAG do circuito e sua localização na PCB. – Requer documentação específica do celular

• Conhecer o protocolo de comunicação da memória (leitura/escrita). - Normalmente disponível no site do fabricante

• Conhecer a tensão correta do circuito. Aplicar tensão alta pode danificar o circuito. - Pode ser medida com o circuito ligado.



‣ Passos para a extração dos dados:

• Atender os pré-requisitos apresentados no slide anterior

• Soldar fios em cada uma das portas JTAG

• Conectar os pinos JTAG no computador: protoboard + interface JTAG – Utilizado Chameleon POD [Chameleon POD]

• Utilização de um pacote JTAG-tools rodando em linux e compatível com Chameleon POD

• Utilização do comando “Discovery” para identificar a estrutura JTAG e os comandos para leitura de toda a memória


Técnicas aplicadas

Resultados


Técnicas aplicadasResultados

‣ A análise da memória mostrou :

• Conseguiu fazer a cópia de toda a memória

• Mensagens de texto apagadas pelo S.O foram recuperadas

• Imagens, MMS, itens de calendário e contatos presentes na memória apesar de apagados

• Cópias de itens de SIM-cards antigos foram encontrados em algumas ocasiões


Trabalhos Correlatos



‣ Acquisition of a Symbian Smart phone’s Content with an On-Phone Forensic Tool [Pontjho M Mokhonoana et al. 2007]




• Extração dos dados da memória interna por programas que executem do próprio celular

• Dados acessados diretamente pelo S.O do celular

‣ Evita interface com equipamentos externos

‣ Facilidade: Pode ser feito fora do laboratório




• Requisitos da ferramenta forense, segundo o autor:

‣ Minimizar as mudanças no dispositivo

‣ Obter o máximo de informação possível

‣ Minimizar a interação do usuário com o dispositivo

• Quanto mais interações, mais difícil provar a integridade das evidências


Trabalhos Correlatos‣ Acquisition of a Symbian Smart phone’s Content with an On-Phone Forensic Tool

[Pontjho M Mokhonoana et al. 2007]

• Procedimento: Execução automática da ferramenta de cópia dos dados diretamente de um cartão de memória externo

‣ A ferramenta faz cópias do sistema de arquivos

• Limitações:

‣ Não tem acesso a informações apagadas

‣ Não faz cópia de arquivos abertos (Lista chamadas / contatos)

• Dados copiados:

• Mensagens: SMS, MMS, e-mail

• Multimídia: Audio, Video, Figura

• Aplicativos, Cache Internet, arquivos usuário



‣Hashing Techniques for Mobile Device Forensics [Shira Danker et al. 2009]


Trabalhos Correlatos‣ Hashing Techniques for Mobile Device Forensics [Shira Danker et al. 2009]

‣ Foco: Verificar a consistência das informações transmitidas para o celular

‣ Experimento:

• Cálculo hash MD5 de um grupo de imagens (hash referência)

• Transmissão das imagens para 8 pares diferentes de celulares através:

‣ Universal Memory Exchanger

‣ MMS

‣ Bluetooth

‣ MicroSD

• Recálculo MD5 das imagens nos celulares


Trabalhos Correlatos‣ Hashing Techniques for Mobile Device Forensics [Shira Danker et al. 2009]

‣ Resultado:

• UME, Bluetooth e MicroSD com MD5 consistentes com a referência

• MMS apresentou resultado inconsistente para modelos diferentes

‣ Causa: possível implementação diferente do formato MMS

• MMS: Transmissão para celulares de mesmo modelo

‣ Resultado: Hash inconsistente

‣ Conclusão:

• No caso de imagens transmitidas por MMS, não é possível provar a fonte por esta ser modificada durante a transmissão

Conclusão


Conclusão

‣ A tendência de analise de celular está parecida com a de computador

• Antes ligava-se o computador em busca de informações (procedimento destrutivo); Agora faz-se a imagem do disco antes da análise

• Possível recuperar informações apagadas da memória interna

‣ Abordagem pode ser extendida para qualquer dispositivo com memória interna

Comentários


Comentários‣ Desoldagem

• Técnica exige procedimento complexo

• Risco de danos permanentes à memória

‣ JTAG

• Exige alto conhecimento técnico

• Necessário documentação completa – Layout circuito

‣ Geral

• Pelo artigo relacionado, figuras podem ter HASH diferentes, dificultando a prova da origem

Referências


Referências

1.[Cell Phones World 2011] Cell Phone Subscriptions . Dísponível em: <> http://show.mappingworlds.com/world/?subject=TELEPHONECELLSUBS Acesso em: 16/10/2011

2.[Chameleon POD] Chameleon POD, Reconfigurable JTAG-adapter, Available: http://www.amontec.com

3.[fpga4fun jtag] How JTAG works. Disponível em:<> http://www.fpga4fun.com/JTAG2.html Acesso em: 16/10/2011

4.[IEEE 1149.1] IEEE 1149.1, IEEE Standard Test Access Port and Boundary-scan Architecture, IEEE-ANSI, 2001

5.[Pontjho M Mokhonoana et al. 2007] Pontjho M Mokhonoana e Martin S Olivier (2007). Acquisition of a Symbian Smart phone’s Content with an On-Phone Forensic Tool.

6.[Shira Danker et al. 2009] Shira Danker, Rick Ayers e Richard P Mislan (2009). Hashing Techniques for Mobile Device Forensics. In Small Scale Digital Device Forensics Journal, VOL. 3, NO.1, JUNE 2009 ISSN# 1941-6164

Perguntas??

Obrigado!

Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University...

Documents

Transcript of Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University...