A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University of Science and Technology Jefferson Rodrigo Capovilla.

Apresentações semelhantes


Apresentação em tema: "Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University of Science and Technology Jefferson Rodrigo Capovilla."— Transcrição da apresentação:

1 Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University of Science and Technology Jefferson Rodrigo Capovilla

2 Lab Série de Seminários Disciplina de Análise Forense de Documentos Digitais Prof. Dr. Anderson Rocha

3 Organização

4 Seminários – Análise Forense de Documentos Digitais, Organização Introdução Motivação Aplicação na computação forense Definição do problema Técnicas aplicadas Desoldagem Circuito de teste (JTAG) Trabalhos Correlatos Conclusão Comentários Referência Bibliográfica

5 Introdução

6 Seminários – Análise Forense de Documentos Digitais, Introdução Técnicas inovadoras de análise da memória interna de telefones celulares Diferencial: Capacidade de recuperar dados apagados Analisar celulares mortos

7 Motivação

8 Seminários – Análise Forense de Documentos Digitais, Motivação Dispositivo pessoal comum Evolução na capacidade de armazenamento de informações pessoais Dificuldade em recuperar informações apagadas

9 Seminários – Análise Forense de Documentos Digitais, Motivação © Nokia 2010 Total: 4 bilhões celulares no mundo População mundial: 6.9 bilhões N o pessoas/cadastro SIM [Cell Phones World 2011]

10 Aplicação na computação forense

11 Seminários – Análise Forense de Documentos Digitais, Aplicação na computação forense Freqüentemente contém informações com valores de evidências Fotos, Vídeos, Lista de contatos,Sons,Mensagens multimídia, , Calendário Mensagens SMS

12 Definição do problema

13 Seminários – Análise Forense de Documentos Digitais, Definição do problema Extração de informações com celular ligado Extração de info por comandos AT (cabo, infravermelho ou bluetooth) Utilizam o S.O do celular Impossível acesso a informações apagadas Gerenciador de memória (sobrescrita de informações) A ligação do dispositivo pode corromper dados SIM Card Code (PIN + PUK)

14 Seminários – Análise Forense de Documentos Digitais, 2011 Técnicas aplicadas

15 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Extração de informações com celular desligado Idéia comum: Conseguir acesso direto aos pinos do chip de memória Cópia de toda a memória flash, independente do S.O. Recuperar informações apagadas Transpõe todas as medidas de segurança do celular Técnicas aplicadas Desoldagem do chip de memória Utilização do circuito de teste (JTAG)

16 Seminários – Análise Forense de Documentos Digitais, 2011 Técnicas aplicadas Desoldagem do chip de memória

17 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Desoldagem do chip de memória Tecnologia BGA (Ball Grid Array)

18 Seminários – Análise Forense de Documentos Digitais, 2011 Dificuldades do processo: Temperatura: Integridade dos dados garantida por 3 ciclos de aquecimento Soldagem 2 lados placa (2 ciclos); Desoldagem (1 ciclo); Reballing (1 ciclo) Extração do chip se em temperatura baixa pode danificar os pinos Achar adaptadores para a leitura dos chips 18 Técnicas aplicadas Desoldagem do chip de memória

19 Seminários – Análise Forense de Documentos Digitais, 2011 Passos para a extração dos dados 1. Pré-aquecimento por 24hs a 80 o C para retirar umidade (efeito pipoca) 2. Desoldagem usando ar quente com pré-aquecimento infra-vermelho. Temperatura máxima 220 o C alcançada em 5 minutos Temperatura fusão solda: 183 o C 3. Chip removido da placa por sucção a vácuo com braço robótico 4. Remoção dos resíduos de solda por ar quente 5. Raballing dos pinos do chip 6. Leitura pelos pinos de I/O através de um adaptador e o software de programação do chip 19 Técnicas aplicadas Desoldagem do chip de memória

20 Seminários – Análise Forense de Documentos Digitais, 2011 Técnicas aplicadas Utilização do circuito de teste JTAG

21 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Circuito de teste: Possibilita definir e ler valores dos pinos do chip sem acesso direto físico Possibilita testar a conectividade entre os pinos de I/O Possibilita testar as interconexões entre CIs em uma placa sem usar pontas físicas de teste Também conhecido como JTAG (Joint Test Action Group) JTAG é um nome usado no padrão IEEE [IEEE ], Standard Test Access Port and boundary-scan architecture to test access ports

22 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Circuito integrado com JTAG

23 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG TDI: Test data in TCK: Test clock TMS: Test Mode State TRST: Test Reset (opcional) TDO: Test data out Teste de conexão entre circuitos integrados

24 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Máquina de estados do TAP Operação sobre Data Register Operação sobre Instruction Register A máquina de estados de todos os TAPs são sincronizadas Cada JTAG possui 1 Instruction Register Cada JTAG pode ter 2^(IR_size) DR IR=5 -> até 32 DR

25 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Operações: Operação sobre Data Register Operação sobre Instruction Register Reset: Independente do estado, 5 pulsos de clock com TMS=1 retorna a máquina para o estado de reset. Exemplo de código: // go to reset state for(i=0; i<5; i++) JTAG_clock(TMS);

26 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Operações: Operação sobre Data Register Operação sobre Instruction Register Carregando dados em IR: Tamanho IR CPU = 5; Carregar Tamanho IR FPGA = 10 ; Carregar Exemplo de código: // Because the bits are shifted through in a chain, we must start sending the data for the device that is at the end of the chain // so we send the 10 FPGA IR bits first JTAG_clock(0); JTAG_clock(1); JTAG_clock(0); // then send the 5 CPU IR bits JTAG_clock(0); JTAG_clock(1); JTAG_clock(0); JTAG_clock(0 | TMS); // last bit needs to have TMS active (to exit shift-IR)

27 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Operações: Operação sobre Data Register Operação sobre Instruction Register Contar número de dispositivos no JTAG chain (cada dispositivo insere 1 atraso): 1.Setar IR para modo BYPASS (todos os bits 1) 2.Limpar dados em DR inserindo 0 3.Inserir 1s até receber em TDO o primeiro 1 4.O número de 1s inserido é o numero de dispositivos no JTAG Chain Código em [fpga4fun jtag]

28 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Operações: Operação sobre Data Register Operação sobre Instruction Register Ler ID dos dispositivos no JTAG chain O ID é composto por 32 bits Sempre que o jtag está no estado Test-Logic-Reset, o valor em DR é o ID Passos: 1.Colocar o JTAG em modo reset 2.Ir para modo Shift-DR 3.Fazer N requisições de 32 bits, sendo N o número de dispositivos

29 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Operações: Dump de memória através do CPU Conhecer interface de leitura da memória Conhecer ordem das Boundary Cells Colocar JTAG em modo EXTEST (funcionamento) Passos lógicos (atuando nos pinos da CPU): 1.Loop para toda posição da memória: 1.Carregar comando de leitura da memória (Mcmd) 2.Carregar endereço de leitura (Maddr) 3.Ler dados retornados Sresp = Leitura OK Sdata = Dados lidos 2.End Loop Operação sobre Data Register Operação sobre Instruction Register

30 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Conhecimento necessário para utilizar o JTAG como forma de extração de informações: Conhecer o modelo de CPU e Memória e como estão conectados ao barramento do sistema – Requer documentação específica do celular Importante para saber a combinação correta de bits a ser inserida em TDI Determinar cada porta de teste JTAG do circuito e sua localização na PCB. – Requer documentação específica do celular Conhecer o protocolo de comunicação da memória (leitura/escrita). - Normalmente disponível no site do fabricante Conhecer a tensão correta do circuito. Aplicar tensão alta pode danificar o circuito. - Pode ser medida com o circuito ligado.

31 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Utilização do circuito de teste JTAG Passos para a extração dos dados: Atender os pré-requisitos apresentados no slide anterior Soldar fios em cada uma das portas JTAG Conectar os pinos JTAG no computador: protoboard + interface JTAG – Utilizado Chameleon POD [Chameleon POD] Utilização de um pacote JTAG-tools rodando em linux e compatível com Chameleon POD Utilização do comando Discovery para identificar a estrutura JTAG e os comandos para leitura de toda a memória

32 Seminários – Análise Forense de Documentos Digitais, 2011 Técnicas aplicadas Resultados

33 Seminários – Análise Forense de Documentos Digitais, Técnicas aplicadas Resultados A análise da memória mostrou : Conseguiu fazer a cópia de toda a memória Mensagens de texto apagadas pelo S.O foram recuperadas Imagens, MMS, itens de calendário e contatos presentes na memória apesar de apagados Cópias de itens de SIM-cards antigos foram encontrados em algumas ocasiões

34 Seminários – Análise Forense de Documentos Digitais, 2011 Trabalhos Correlatos

35 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Acquisition of a Symbian Smart phones Content with an On- Phone Forensic Tool [Pontjho M Mokhonoana et al. 2007]

36 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Acquisition of a Symbian Smart phones Content with an On- Phone Forensic Tool [Pontjho M Mokhonoana et al. 2007] Extração dos dados da memória interna por programas que executem do próprio celular Dados acessados diretamente pelo S.O do celular Evita interface com equipamentos externos Facilidade: Pode ser feito fora do laboratório

37 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Acquisition of a Symbian Smart phones Content with an On- Phone Forensic Tool [Pontjho M Mokhonoana et al. 2007] Requisitos da ferramenta forense, segundo o autor: Minimizar as mudanças no dispositivo Obter o máximo de informação possível Minimizar a interação do usuário com o dispositivo Quanto mais interações, mais difícil provar a integridade das evidências

38 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Acquisition of a Symbian Smart phones Content with an On-Phone Forensic Tool [Pontjho M Mokhonoana et al. 2007] Procedimento: Execução automática da ferramenta de cópia dos dados diretamente de um cartão de memória externo A ferramenta faz cópias do sistema de arquivos Limitações: Não tem acesso a informações apagadas Não faz cópia de arquivos abertos (Lista chamadas / contatos) Dados copiados: Mensagens: SMS, MMS, Multimídia: Audio, Video, Figura Aplicativos, Cache Internet, arquivos usuário

39 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Hashing Techniques for Mobile Device Forensics [Shira Danker et al. 2009]

40 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Hashing Techniques for Mobile Device Forensics [Shira Danker et al. 2009] Foco: Verificar a consistência das informações transmitidas para o celular Experimento: Cálculo hash MD5 de um grupo de imagens (hash referência) Transmissão das imagens para 8 pares diferentes de celulares através: Universal Memory Exchanger MMS Bluetooth MicroSD Recálculo MD5 das imagens nos celulares

41 Seminários – Análise Forense de Documentos Digitais, Trabalhos Correlatos Hashing Techniques for Mobile Device Forensics [Shira Danker et al. 2009] Resultado: UME, Bluetooth e MicroSD com MD5 consistentes com a referência MMS apresentou resultado inconsistente para modelos diferentes Causa: possível implementação diferente do formato MMS MMS: Transmissão para celulares de mesmo modelo Resultado: Hash inconsistente Conclusão: No caso de imagens transmitidas por MMS, não é possível provar a fonte por esta ser modificada durante a transmissão

42 Conclusão

43 Seminários – Análise Forense de Documentos Digitais, Conclusão A tendência de analise de celular está parecida com a de computador Antes ligava-se o computador em busca de informações (procedimento destrutivo); Agora faz-se a imagem do disco antes da análise Possível recuperar informações apagadas da memória interna Abordagem pode ser extendida para qualquer dispositivo com memória interna

44 Comentários

45 Seminários – Análise Forense de Documentos Digitais, Comentários Desoldagem Técnica exige procedimento complexo Risco de danos permanentes à memória JTAG Exige alto conhecimento técnico Necessário documentação completa – Layout circuito Geral Pelo artigo relacionado, figuras podem ter HASH diferentes, dificultando a prova da origem

46 Referências

47 Seminários – Análise Forense de Documentos Digitais, Referências 1. [Cell Phones World 2011] Cell Phone Subscriptions. Dísponível em: <> Acesso em: 16/10/ [Chameleon POD] Chameleon POD, Reconfigurable JTAG-adapter, Available: 3. [fpga4fun jtag] How JTAG works. Disponível em:<> Acesso em: 16/10/2011http://www.fpga4fun.com/JTAG2.html 4. [IEEE ] IEEE , IEEE Standard Test Access Port and Boundary-scan Architecture, IEEE- ANSI, [Pontjho M Mokhonoana et al. 2007] Pontjho M Mokhonoana e Martin S Olivier (2007). Acquisition of a Symbian Smart phones Content with an On-Phone Forensic Tool. 6. [Shira Danker et al. 2009] Shira Danker, Rick Ayers e Richard P Mislan (2009). Hashing Techniques for Mobile Device Forensics. In Small Scale Digital Device Forensics Journal, VOL. 3, NO.1, JUNE 2009 ISSN#

48 Perguntas??

49 Obrigado!


Carregar ppt "Forensic analysis of mobile phone internal memory Artigo de: Svein Y Willassen Norwegian University of Science and Technology Jefferson Rodrigo Capovilla."

Apresentações semelhantes


Anúncios Google