Ένας τεράστιος αριθμός ψηφιακών πολύτιμων πειστηρίων που μπορούν να αξιοποιηθούν για την εξιχνίαση εγκληματικών ενεργειών βρίσκονται στην κάρτα SIM, τη μνήμη του τηλεφώνου, αλλά και σε εξωτερικές κάρτες μνήμης, τα τεχνικά χαρακτηριστικά των οποίων παρουσιάζουν ιδιαίτερο ενδιαφέρον.
Όπως αναφέραμε στο προηγούμενο άρθρο, κατά τη λειτουργία του κινητού τηλεφώνου συσσωρεύονται στοιχεία και εν δυνάμει ψηφιακά πειστήρια. Τα στοιχεία αυτά βρίσκονται στη SIM, στη μνήμη του κινητού, στις εξωτερικές κάρτες μνήμης τις οποίες πιθανώς υποστηρίζει, στα συστήματα του δικτύου του παρόχου, αλλά ακόμα και σε κάποιον υπολογιστή με τον οποίο ενδεχομένως διασυνδέθηκε το κινητό. Στο σημερινό άρθρο θα μελετήσουμε από τεχνικής πλευράς τα διάφορα είδη μνήμης και τα στοιχεία που φιλοξενούν, ενώ τη σειρά θα κλείσει ένα τρίτο άρθρο σχετικά με τις διαδικασίες αυτές καθ΄ εαυτές που πρέπει να ακολουθεί ο ειδικός επιστήμονας εξαγωγής ψηφιακών πειστηρίων.
Η κάρτα SIM
Ένα από τα θεμελιώδη στοιχεία που απαρτίζουν το δίκτυο GSM είναι η κάρτα SIM (ή USIM στα δίκτυα 3ης γενιάς), η οποία εκτός από το βασικό ρόλο της πιστοποίησης της ταυτότητας του χρήστη παρέχει και βασική λειτουργικότητα στο κινητό. Η SIM (Subscriber Identity Module) είναι μία έξυπνη κάρτα (smart card) με ενσωματωμένο μικροεπεξεργαστή και μνήμη (non-volatile EEPROM) μεγέθους 16-128 Kbytes. Η λειτουργία των έξυπνων καρτών περιγράφεται αναλυτικά στη σειρά προτύπων ISO/IEC 7816. Σε γενικές γραμμές, ο μικροεπεξεργαστής παρέχει πρόσβαση στα δεδομένα της μνήμης και φροντίζει για την ασφάλεια, ενώ το κινητό με τη σειρά του επικοινωνεί με τη SIM, ακολουθώντας συγκεκριμένα πρότυπα όπως το GSM 11.11. Τα πρότυπα αυτά εξασφαλίζουν μια σχετική ομοιομορφία, η οποία βοηθά σημαντικά και στην εξαγωγή πειστηρίων. Βασικό επακόλουθο του σχεδιασμού αυτού είναι η έλλειψη δυνατότητας απευθείας πρόσβασης στη μνήμη, χωρίς τη μεσολάβηση του μικροεπεξεργαστή. Δηλαδή, δεν είναι δυνατή η αποτύπωση της μνήμης (Memory Dump) της κάρτας SIM. Ο ερευνητής που επιθυμεί να μελετήσει τα στοιχεία που φυλάσσονται στη SIM αποκτά πρόσβαση μέσω εντολών του μικροεπεξεργαστή της, χρησιμοποιώντας έναν αναγνώστη έξυπνων καρτών ή το ίδιο το κινητό τηλέφωνο (αν το τελευταίο επιτρέπει κάτι τέτοιο μέσω ειδικών εντολών). Σε κάθε περίπτωση το κατάλληλο λογισμικό διευκολύνει τη διαδικασία, παρέχοντας γραφική απεικόνιση και αυτοματοποιώντας πληθώρα εργασιών.
Όπως όλοι γνωρίζουμε, η πρόσβαση στην κάρτα SIM – και κατ’ επέκταση στη χρήση του εκάστοτε τηλεφώνου προστατεύεται από τον αντίστοιχο κωδικό PIN (4-8 αριθμητικά ψηφία). Σε δεύτερο επίπεδο υπάρχει και ο κωδικός PIN2 για τη διαχείριση ορισμένων χαρακτηριστικών του τηλεφώνου (π.χ. ρυθμίσεις δικτύου, φραγές, δυνατότητα κλήσης ορισμένων μόνο αριθμών κ.ο.κ.). Παραθέτουμε στο σημείο αυτό ότι ο σωστός όρος όπως αναφέρεται στα πρότυπα είναι CHV (Card Holder Verification) και όχι PIN όπως έχει επικρατήσει να λέγεται. Το PIN ορίζεται από τον κατασκευαστή ή τον πάροχο, αλλά μπορεί να αλλάξει από το συνδρομητή. Αυτό γίνεται είτε από τις επιλογές του τηλεφώνου είτε χρησιμοποιώντας κωδικούς δικτύου (**04*παλαιό PIN*νέο PIN*νέο PIN# για το PIN1 και **042*παλαιό PIN*νέο PIN*νέο PIN# για το PIN2).
Ορισμένοι μπορεί να έχουν διαπιστώσει εξ ιδίων ότι στις 3 λανθασμένες προσπάθειες η κάρτα κλειδώνει και δεν δέχεται πλέον κανένα PIN. Αυτό συμβαίνει προκειμένου να υπερκεράσει επιθέσεις τύπου brute force, όπου κάποιος θα δοκίμαζε (με τη βοήθεια λογισμικού) και τους 10.000 πιθανούς συνδυασμούς. Ευτυχώς υπάρχει τρόπος να ξεκλειδωθεί η κάρτα με χρήση του Pin Unblocking Key (PUK) (ή Unblock CHV πιο επίσημα). Για ξεκλείδωμα του PIN1 υπάρχει το PUK1 και για το ξεκλείδωμα του PIN2 το PUK2. Αποτελούνται από 8 ψηφία και ορίζονται και αυτά από τον κατασκευαστή ή τον πάροχο (μπορεί να αλλάξει με τον κωδικό δικτύου **05*παλαιό PUK*νέο PUK*νέο PUK# για το PUK1 και **052*παλαιό PUK*νέο PUK*νέο PUK# για το PUK2). Για όσους είναι αποφασισμένοι να καταστρέψουν την κάρτα, στις 10 ανεπιτυχείς προσπάθειες εισαγωγής κωδικού PUK η κάρτα αχρηστεύεται και θα πρέπει να επισκεφτούν τον πάροχο προκειμένου να εκδοθεί νέα κάρτα. Τη σειρά κωδικών συμπληρώνει ο κωδικός ADM, τον οποίο γνωρίζει μόνο ο πάροχος για την κάθε κάρτα. Ο κωδικός αυτός παρέχει τη δυνατότητα πλήρους πρόσβασης στα περιεχόμενα της κάρτας, καθώς επίσης και την προσθήκη/ τροποποίηση ή διαγραφή τους, έστω και απομακρυσμένα.
Αρχεία στην κάρτα SIM
Προχωρώντας στην ανάλυσή μας, το πρότυπο GSM 11.11 ορίζει – εκτός των άλλων – την ύπαρξη μιας δομής καταλόγων και συγκεκριμένων αρχείων στη SIM. Χωρίς να μπούμε σε περισσότερες λεπτομέρειες, αρκεί να συγκρατήσουμε στο σημείο αυτό ότι μέσα στους συγκεκριμένους καταλόγους βρίσκονται αρχεία-θέσεις μνήμης, όπου φυλάσσονται διάφορες πληροφορίες. Στην Εικόνα 3 απεικονίζεται η δομή αυτή, όπου το MF (Master File) αποτελεί τη ρίζα του καταλόγου (root directory), DF (Dedicated File) είναι οι υποκατάλογοι και τέλος EF (Elementary File) είναι τα αρχεία τα οποία αυτά καθ’ εαυτά περιέχουν τα δεδομένα. Για τα αρχεία αυτά υπάρχουν διαφορετικά επίπεδα πρόσβασης, εγγραφής, τροποποίησης ή διαγραφής. Ορισμένα μπορούν να αναγνωσθούν χωρίς καν να έχει πληκτρολογηθεί το PIN, άλλα απαιτούν την πιστοποίηση του PIN, ενώ στα πιο σημαντικά έχει πρόσβαση μόνον ο πάροχος μέσω του κατάλληλου κωδικού ADM, όπως αναφέρθηκε παραπάνω.
Ενδεικτικά στη SIM περιλαμβάνονται αρχεία τα οποία περιέχουν τις δυνατότητες του κινητού, το σειριακό αριθμό της κάρτας, κατάλογο παρόχων και ονομάτων τους, το προτιμώμενο δίκτυο, τις προτιμώμενες γλώσσες, τον κατάλογο επαφών, τα εισερχόμενα και εξερχόμενα μηνύματα, τις ρυθμίσεις για την αποστολή μηνυμάτων, τον κατάλογο τελευταίων εξερχόμενων κλήσεων. Επίσης υπάρχουν αρχεία για τη μόνιμη και προσωρινή ταυτότητα συνδρομητή δικτύου (IMSI-TMSI), για τη θέση του συνδρομητή (LAI), για τα κανάλια ελέγχου (BCCH), για το τρέχον κλειδί κρυπτογράφησης (Kc) και δεκάδες επιπλέον αρχεία (περίπου 100 στο σύνολό τους). Ιδιαίτερα ενδιαφέρον στοιχείο είναι ότι εκτός των προτυποποιημένων αυτών αρχείων, ο κάθε πάροχος συνήθως χρησιμοποιεί και δικά του αρχεία, οπότε με μια διαδικασία brute force ανάγνωσης των περιοχών μνήμης (ή με συνεργασία του παρόχου, στην περίπτωση που αυτή εξασφαλισθεί) μπορεί να εμφανισθούν ακόμα περισσότερα στοιχεία πέραν των προτυποποιημένων. Πολλά από τα δεδομένα που βρίσκονται στα αρχεία αυτά (και κυρίως τα στοιχεία που αφορούν στη χρήση του δικτύου) έχουν αξία ως πειστήρια, ενώ μεγάλη σημασία έχει το γεγονός ότι αποτελούν στοιχεία που συνήθως δεν βλέπει άμεσα ο κάτοχος του κινητού. Έτσι, κάποιος εγκληματίας μη γνωρίζοντας τις λεπτομέρειες αυτές δεν θα καταφέρει να διαγράψει τα στοιχεία αυτά, αφήνοντας πολύτιμα πειστήρια. Εξ άλλου, αν υπάρχει υπόνοια παραποίησης ορισμένων εκ των στοιχείων αυτών, η εγκυρότητά τους μπορεί να επαληθευθεί με σύγκριση με τα αντίστοιχα τα οποία διατηρεί ο πάροχος. Στη συνέχεια του άρθρου θα εξετάσουμε κάποια από αυτά τα αρχεία:
Αρχείο IMSI (International Mobile Subscriber Identity)
Για κάθε SIM, παγκοσμίως, αποδίδεται ένας μοναδικός 15ψήφιος αριθμός που ονομάζεται IMSI (International Mobile Subscriber Identity). Μέσω του αριθμού IMSI μπορεί να ταυτοποιηθεί ο αριθμός τηλεφώνου, ακόμα και αν η κάρτα έχει λήξει και δεν είναι δυνατή πλέον η χρήση της στο δίκτυο. H δομή του IMSI είναι η ακόλουθη:
MCC+MNC+MSIN όπου:
MCC (Mobile Country Code) είναι ο τριψήφιος κωδικός χώρας και ΜΝC (Mobile Network Code) είναι ο διψήφιος κωδικός (τριψήφιος σε ΗΠΑ και Καναδά) δικτύου κινητής τηλεφωνίας. Ακολουθεί ο MSIN (Mobile Subscriber Identity Number) ο οποίος είναι ο σειριακός αριθμός χρήστη κινητής τηλεφωνίας και αποτελείται από 10 ψηφία (9 ψηφία σε ΗΠΑ και Καναδά).
Οι αριθμοί MCC περιγράφονται στο πρότυπο ITU E.212. Η Ελλάδα κατέχει τον αριθμό MCC 202. Εσωτερικά σε κάθε χώρα καταχωρίζονται και οι αριθμοί MNC για τους διαφορετικούς παρόχους. Έτσι, για την Ελλάδα με MCC 202 όπως είδαμε, υπάρχουν τα MNC 01 για την Cosmote, 05 για τη Vodafone και 10 για τη Wind, (παλαιότερα υπήρχε και το 09 για την Q-telecom, που πλέον έχει συγχωνευθεί στο MNC 10).
Αρχείο ICCID (Integrated Circuit Card Identifier)
Πριν καν συνδέσει την κάρτα με τον κατάλληλο αναγνώστη, ο εξεταστής παρατηρώντας το σειριακό αριθμό που είναι τυπωμένος στο πλαστικό περίβλημα της κάρτας μπορεί να αναγνωρίσει από ποια χώρα και από ποιο δίκτυο κινητής τηλεφωνίας προέρχεται. Ο ίδιος αριθμός βρίσκεται προγραμματισμένος και στο αντίστοιχο αρχείο στην κάρτα. Πρόκειται για μοναδικό σειριακό αριθμό (ICCID-Integrated Circuit Card Identifier), ο οποίος αντιστοιχεί στο τυπωμένο κύκλωμα της κάρτας και βάσει της σύστασης ITU-T E.118 έχει την ακόλουθη μορφή:
89 (αφορά τηλεπικοινωνίες) + Κωδικός χώρας (κατά τη σύσταση ITU-T E164) + MNC (όπως αναλύθηκε στην προηγούμενη ενότητα) + Σειριακός αριθμός.
Οι κωδικοί κλήσης χωρών κατά τη σύσταση Ε164 είναι οι γνωστοί κωδικοί που χρησιμοποιούμε όταν καλούμε στο εξωτερικό. Η Ελλάδα π.χ. κατέχει τον αριθμό 30, η Γερμανία το 49, η Γαλλία το 33, η Ιταλία το 39 κ.ο.κ. Έτσι, για μια ελληνική κάρτα SIM που ανήκει για παράδειγμα στο δίκτυο της Vodafone, o αριθμός ICCID ξεκινά από 893005.
Αρχείο Location Information και αρχείο Broadcast Control Channel
Εκτός από τη χώρα προέλευσης της κάρτας είναι δυνατή και η εύρεση της τοποθεσίας στην οποία χρησιμοποιήθηκε τελευταία φορά η κάρτα (εάν π.χ. φτάσει στα χέρια του εξεταστή μέσα σε κάποιο σβηστό κινητό ή χωρίς να είναι καν τοποθετημένη σε κινητό). Στο αρχείο πληροφοριών περιοχής (Location Information) βρίσκεται η προσωρινή ταυτότητα (TMSI) του κινητού και o αριθμός περιοχής (LAI). Το TMSI αποτελεί μια προσωρινή ταυτότητα, παραλλαγή του IMSI, η οποία χρησιμοποιείται για λόγους ασφάλειας προκειμένου να μην εκπέμπεται στο δίκτυο η μόνιμη ταυτότητα του χρήστη (οπότε θα κινδύνευε να υποκλαπεί αλλά και να συσχετισθεί με κάποιο συγκεκριμένο χρήστη-στόχο). Στην τοποθεσία αναφέρεται ο κωδικός LAI (Location Area Identification) ο οποίος έχει τη μορφή:
MCC+MNC+LAC
Οι κωδικοί MCC και MNC αφορούν στη χώρα και στο δίκτυο, όπως είδαμε πριν. Ο αριθμός LAC (Location Area Code) προσδιορίζει μια ευρύτερη περιοχή, η οποία περιλαμβάνει δεκάδες ή ακόμα και εκατοντάδες κυψέλες. Δυστυχώς δηλαδή, για τον εξεταστή πειστηρίων ο αριθμός περιοχής LAC δεν αναφέρεται στην κυψέλη (η οποία σε μια κατοικημένη περιοχή θα προσδιόριζε την τοποθεσία σε μία ακτίνα λίγων εκατοντάδων μέτρων ή και λιγότερο στις πυκνοκατοικημένες περιοχές).
Ευτυχώς, με συνδυασμό των στοιχείων LAΙ και BCCH (Broadcast Control Channel) μπορεί να εξαχθεί με μεγαλύτερη ακρίβεια η τελευταία περιοχή στην οποία λειτουργούσε (έστω και σε αναμονή, όχι απαραίτητα σε επικοινωνία) το κινητό. Στο αρχείο πληροφοριών καναλιών ελέγχου εκπομπής (ΒCCH) αποθηκεύεται η ταυτότητα του τρέχοντος καναλιού ελέγχου επικοινωνίας, αλλά και των 6 γειτονικών καναλιών. Όλα αυτά τα δεδομένα παραμένουν εγγεγραμμένα στη SIM και μετά την απενεργοποίηση της συσκευής και ανανεώνονται καθώς αυτή αλλάζει περιοχές.
Για να γίνει πιο κατανοητό το παραπάνω, ας δούμε ένα παράδειγμα. Ας υποθέσουμε ότι κατά την έρευνα αποσκευών ενός υπόπτου βρίσκεται μία κάρτα SIM. Με ανάγνωση των στοιχείων που αναφέρθηκαν πριν, μπορεί να εντοπισθεί η περιοχή στην οποία χρησιμοποιήθηκε η κάρτα αυτή τελευταία φορά. Αυτή η πληροφορία θα μπορούσε πιθανώς να συνδέσει τον ύποπτο με την περιοχή διάπραξης του εγκλήματος για το οποίο θεωρείται ύποπτος. Εξίσου εντυπωσιακό είναι το παράδειγμα όπου βρίσκεται μία τηλεφωνική συσκευή στη θάλασσα. Η SIM λόγω της κατασκευής της είναι αδιάβροχη – και έτσι, ενώ το τηλέφωνο μπορεί να έχει προ πολλού καταστραφεί, η SIM μπορεί να αποκαλύψει από ποιο μέρος προέρχεται!
Αρχείο αποθήκευσης SMS
Στη SIM πολύ πιθανό να βρεθούν και αποθηκευμένα μηνύματα. Οι σύγχρονες SIM διαθέτουν 35 θέσεις αποθήκευσης μηνυμάτων, αλλά σαφώς τα μηνύματα αποθηκεύονται και στη μνήμη του κινητού όταν η κάρτα συμπληρώσει όλον το διαθέσιμο χώρο ή αν ο κατασκευαστής του κινητού έχει προεπιλέξει τη μνήμη του κινητού ως πρωτεύουσα μνήμη αποθήκευσης. Η πληροφορία που μας ενδιαφέρει στην περίπτωση που το μήνυμα έχει αποθηκευθεί στην κάρτα SIM, βρίσκεται στο πρώτο byte κάθε θέσης φύλαξης SMS. Το byte αυτό αποτελεί ενδεικτικό της κατάστασης του μηνύματος και μπορεί να λάβει τις παρακάτω τιμές:
00000000 Αχρησιμοποίητο
00000001 Αναγνωσμένο εισερχόμενο μήνυμα
00000011 Μη αναγνωσμένο εισερχόμενο μήνυμα
00000101 Εξερχόμενο και ήδη απεσταλμένο μήνυμα
00000111 Εξερχόμενο μήνυμα που δεν έχει αποσταλεί ακόμα
Όταν ο χρήστης διαγράφει ένα γραπτό μήνυμα, τότε αλλάζει τιμή μόνο στο πρώτο αυτό byte, ενώ τα υπόλοιπα περιεχόμενα στη θέση που υπήρχε το μήνυμα παραμένουν ανέπαφα. Έστω λοιπόν ένα μήνυμα που έχει ήδη αναγνωσθεί: το αντίστοιχο byte του είχε την τιμή (00000001). Εάν το μήνυμα διαγραφεί, τότε το byte αυτό θα λάβει την τιμή (00000000), αλλά το μήνυμα αυτό καθ’ εαυτό θα συνεχίσει να βρίσκεται αποθηκευμένο στην ίδια θέση μνήμης, μέχρι να «καλυφθεί» από κάποιο άλλο μήνυμα (αφού πλέον η θέση αυτή μνήμης έχει σημανθεί ως ελεύθερη). Με απευθείας ανάγνωση της περιοχής αυτής μνήμης, ο επιστήμονας εξαγωγής στοιχείων μπορεί να διαβάσει διαγραμμένα μηνύματα. Στην πράξη, ορισμένα κινητά κατά τη διαγραφή ενός μηνύματος προχωρούν σε ένα παραπάνω βήμα, γεμίζοντας την περιοχή που καταλάμβανε με δυαδικά ‘1’ οπότε προφανώς η ανάκτηση είναι αδύνατη.
Παράλληλα με το αρχείο αποθήκευσης SMS, υπάρχει άλλο αρχείο στο οποίο διατηρούνται οι παράμετροι αποστολής SMS, όπως π.χ. το κέντρο μηνυμάτων, η εξ’ ορισμού διάρκεια ισχύος (validity period) κ.λπ.
Αρχείο Abbreviated Dialing Numbers (Κατάλογος Επαφών)
Μαζί με τα αποθηκευμένα μηνύματα ο κατάλογος επαφών είναι ίσως ένα από τα σημαντικότερα πειστήρια. Για το αρχείο όπου φυλάσσεται ο κατάλογος, οι παλαιότερες SIMs προσέφεραν 100 θέσεις αποθήκευσης, ενώ οι νεότερες 250 θέσεις. Όταν ζητάμε τη διαγραφή μιας επαφής από τον κατάλογο, σχεδόν πάντα γίνεται επανεγγραφή των περιεχομένων της αντίστοιχης θέσης με δυαδικά ‘1’. Άρα, σε αντίθεση με τη διαγραφή μηνυμάτων, προγενέστερα δεδομένα επαφών δεν μπορούν να ανακτηθούν. Από την άλλη πλευρά, οι θέσεις μνήμης στο αρχείο αυτό καταλαμβάνονται με τη σειρά, οπότε μπορεί να εξαχθεί πληροφορία για το αν έχει διαγραφεί κάποιος αριθμός-επαφή. Αν π.χ. βρεθεί κενή θέση ανάμεσα στη θέση 34 και στη θέση 36, τότε συνάγεται το συμπέρασμα ότι στη θέση 35 ήταν αποθηκευμένος κάποιος αριθμός ο οποίος διαγράφηκε.
Αρχείο Last Numbers Dialed (Εξερχόμενες κλήσεις)
Όπως είναι φυσικό, ο κάτοχος του κινητού μπορεί να έχει πραγματοποιήσει κλήσεις από τον κατάλογο επαφών. Οι δέκα τελευταίες εξερχόμενες κλήσεις μπορούν να αποθηκευθούν στο σχετικό αρχείο, αν και οι περισσότεροι κατασκευαστές δεν το χρησιμοποιούν αφού προτιμούν να χρησιμοποιούν τη μνήμη του κινητού τους και όχι τη SIM. Αξίζει να αναφερθεί ότι βάσει των προτύπων, η SIM δεν αποθηκεύει τα στοιχεία εισερχόμενων κλήσεων, τα οποία βρίσκονται μόνο στη μνήμη του κινητού όπως θα δούμε παρακάτω.
Δεδομένα συσκευής
Παρά τις εντυπωσιακές δυνατότητες της κάρτας SIM, ορισμένα δεδομένα είναι απαραίτητο να αποθηκεύονται στη μνήμη του κινητού ούτως η άλλως. Για το σκοπό αυτό χρησιμοποιούνται δύο είδη μνήμης, η NAND-Flash και η NOR-Flash. Τα στοιχεία που διατηρούνται στην εσωτερική Flash μνήμη εξαρτώνται από το μοντέλο/ κατασκευαστή, αλλά συνήθως περιλαμβάνουν το IMEI, τις ρυθμίσεις ώρας, ήχων, έντασης, μηνύματα SMS, ημερολόγιο-ξυπνητήρι, τις αναπάντητες και απαντημένες κλήσεις, εκτεταμένο κατάλογο με πολλαπλά πεδία, εκτελέσιμα αρχεία και εφαρμογές ή παιχνίδια και, φυσικά, πολυμεσικά δεδομένα όπως εικόνες, video, ηχογραφήσεις. Προσθέτοντας τη δυνατότητα περιήγησης στο διαδίκτυο, τα στοιχεία που αποθηκεύονται στο κινητό επεκτείνονται και περιλαμβάνουν διευθύνσεις που επισκέφθηκε ο χρήστης, αγαπημένες ιστοσελίδες, ονόματα από Wi-Fi access spots κ.λπ.
Πέρα από τα τρέχοντα δεδομένα, στα «βάθη της μνήμης» του κινητού μπορούν να βρεθούν και παλαιότερα σβησμένα στοιχεία. Μηνύματα κειμένου, εικόνες, MMS, σημειώσεις απλές και ημερολογίου, επαφές κ.ο.κ. είναι υπό συνθήκες δυνατό να ανακτηθούν (μερικώς ή ολικώς) μετά από διαγραφή. Ακόμα και αντίγραφα δεδομένων από άλλες SIM μπορεί να έχουν παραμείνει στη μνήμη (π.χ. IMSI προηγούμενης κάρτας που χρησιμοποιήθηκε στο ίδιο κινητό).
Ο εξεταστής καλείται να εξαγάγει τα δεδομένα αυτά χωρίς να τα αλλοιώσει. Για το σκοπό αυτό μπορεί να καταφύγει στην αποτύπωση της μνήμης (Memory Dump) byte προς byte για μνήμες NOR (ή page προς page για μνήμες τύπου NAND). Αυτό επιτυγχάνεται με ειδικά εργαλεία λογισμικού και υλισμικού, που «κλωνοποιούν» τα περιεχόμενα της μνήμης. Με τον τρόπο αυτό μπορεί να ληφθεί μια πλήρης εικόνα των δεδομένων σε φυσικό επίπεδο. Η όλη διαδικασία από τεχνικής άποψης είναι ιδιαίτερα πολύπλοκη, καθώς τα δεδομένα είναι αδόμητα και πρέπει να μεταφρασθούν στο συγκεκριμένο file system.
Τα εργαλεία αυτά είναι διαθέσιμα για διάφορες οικογένειες κινητών με βασική εργασία τη φόρτωση νέων εκδόσεων firmware, την αναβάθμιση, επιδιόρθωση και αποσφαλμάτωση και κυκλοφορούν τόσο επίσημα από τους κατασκευαστές, όσο και ανεπίσημα από τρίτες εταιρείες και ιδιώτες. Η ανεπίσημη κυκλοφορία τους σχετίζεται συνήθως με διάφορες παράνομες δραστηριότητες, όπως το ξεκλείδωμα και η αλλαγή των σειριακών αριθμών. Για τη σύνδεση των εργαλείων αυτών δεν υπάρχει κοινή διεπαφή (κάθε κατασκευαστής χρησιμοποιεί διαφορετική, ακόμα και ανάμεσα στα δικά του μοντέλα) ενώ συχνά απαιτούν πρόσβαση σε ειδικές εσωτερικές διεπαφές (όπως π.χ. η JTAG).
Η πολύτιμη συμβολή τους στην εξαγωγή ψηφιακών πειστηρίων έγκειται στο γεγονός ότι μπορούν να λειτουργήσουν ακόμα και αν το κινητό είναι σβηστό, κλειδωμένο, σε εμπλοκή, χαλασμένο κ.ο.κ. Φυσικά, τόσο ισχυρά εργαλεία ενέχουν και κινδύνους. Μπορεί να αλλοιώσουν τα δεδομένα με απρόσεκτες επιλογές από το χρήστη (εγγραφή, προσθήκη/αλλαγή λειτουργιών), καταστρέφοντας έτσι τα όποια πειστήρια υπήρχαν.
Εκτός από τη χρήση υλισμικού, με χρήση λογισμικού μόνο, υπάρχουν διάφορες συλλογές προγραμμάτων (Data suites) οι οποίες επιτρέπουν πρόσβαση υψηλού επιπέδου (μέσω του λειτουργικού συστήματος του κινητού δηλαδή) στη μνήμη.
Παρά τα πλεονεκτήματα της μεθόδου αποτύπωσης της μνήμης, υπάρχουν και ορισμένα προβλήματα. Το βασικότερο είναι ότι δεν υπάρχει τρόπος να ανιχνευθεί αν έχει γίνει οποιαδήποτε (εξωτερική) αλλαγή στη Flash (οπότε τα δεδομένα μπορεί να έχουν τροποποιηθεί). Παράλληλα, τα κινητά χρησιμοποιούν διαχειριστές μνήμης (memory managers) οι οποίοι κατανέμουν δυναμικά και αναδιαμορφώνουν τα δεδομένα στη μνήμη. Αυτό γίνεται για να επιτευχθεί η βέλτιστη δυνατή αξιοποίηση της μνήμης και η ελάχιστη δυνατή φθορά της (wear leveling). Πρακτικά, αυτό σημαίνει ότι η ακριβής θέση των δεδομένων στις αποτυπώσεις μνήμης αλλάζει κάθε φορά που λαμβάνεται ένα αντίγραφό της! Έτσι κάθε περίπτωση πρέπει να εξετάζεται από την αρχή, ενώ βέβαια η αναζήτηση για ωφέλιμες πληροφορίες μέσα στην αποτύπωση μνήμης μεγέθους κάποιων Gigabytes είναι μια πραγματικά κοπιαστική και χρονοβόρα εργασία. Τέλος, πρέπει να σημειωθεί ότι ορισμένα κινητά τηλέφωνα σβήνουν στοιχεία από τη μνήμη τους, εάν για οποιονδήποτε λόγο εισαχθεί μια διαφορετική SIM από την τελευταία που χρησιμοποιούσαν.
Εξωτερική ανάγνωση μνήμης
Εάν καμία άλλη μέθοδος δεν μπορεί να χρησιμοποιηθεί (π.χ. επειδή το κινητό είναι μερικώς ή ολικώς κατεστραμμένο) είναι δυνατή η αποκόλληση των ολοκληρωμένων κυκλωμάτων μνήμης με ειδικούς σταθμούς κόλλησης/ αποκόλλησης επιφανειακών SMD. Κατόπιν λαμβάνει χώρα η εξωτερική ανάγνωσή τους με αντίστοιχο εξοπλισμό διασύνδεσης. Η διαδικασία αυτή εγγυάται ότι δεν υπάρχει «μόλυνση» των δεδομένων, αφού το σύστημα παραμένει εκτός λειτουργίας, αλλά ενέχει το σοβαρό κίνδυνο της καταστροφής του ολοκληρωμένου λόγω της υψηλής θερμοκρασίας κατά την αποκόλληση. Εξάλλου το κινητό θα πρέπει να αποσυναρμολογηθεί προκειμένου να γίνει η εξαγωγή του ολοκληρωμένου κυκλώματος της μνήμης. Λόγω της δυσκολίας της, η μέθοδος αυτή αποτελεί το έσχατο στάδιο στο οποίο μπορεί να καταφύγει ο αναλυτής όταν η σοβαρότητα της υπόθεσης το απαιτεί.
Εξωτερικές κάρτες μνήμης και Υπολογιστές
Ακόμα και η εσωτερική μνήμη αποδεικνύεται ανεπαρκής για τα σύγχρονα κινητά με το πλήθος των δυνατοτήτων τους. Για το λόγο αυτό, οι εξωτερικές κάρτες μνήμης έχουν γίνει ιδιαίτερα διαδεδομένες. Παρέχουν τη δυνατότητα αποθήκευσης μεγάλου όγκου δεδομένων από videos, φωτογραφίες, μουσική και άλλα είδη αρχείων. Ταυτόχρονα μπορούν να αναγνωσθούν από υπολογιστές αλλά και άλλες συσκευές όπως PDA, MP3 players, φωτογραφικές μηχανές και κάμερες, αποτελώντας έτσι ένα ιδιαίτερα εύχρηστο μέσο. Για τη διασύνδεσή τους υπάρχουν πλήθος από διαφορετικές διεπαφές και πρότυπα, όμως σε καμία περίπτωση δεν φτάνουν την πολυπλοκότητα που συναντάμε στα κινητά. Πράγματι, είναι σχετικά εύκολο να λάβει χώρα η ανάγνωσή τους, αφού διατίθενται δεκάδες προϊόντα τόσο για αρχάριους όσο και για προχωρημένους. Και πάλι, ισχύουν όσα αναφέρθηκαν για την ανάλυση μνήμης στην προηγούμενη ενότητα.
Κλείνοντας την ανάλυσή μας, αξίζει να παρατηρήσουμε ότι οι κάρτες αυτές μπορεί να μεταφέρονται και στον υπολογιστή – ή αντίστοιχα ο υπολογιστής μπορεί να συνδέεται με το κινητό (π.χ. για λήψη αντιγράφων ασφαλείας). Επομένως, όχι μόνο το κινητό αλλά και ο σκληρός δίσκος και η μνήμη του υπολογιστή μπορεί να περιέχουν στοιχεία από πιθανή διασύνδεση του τελευταίου με το κινητό. Αυτομάτως, το έργο του εξεταστή δεν περιορίζεται στο κινητό, αλλά μεταφέρεται και στον υπολογιστή. Δεν θα επεκταθούμε περαιτέρω όμως, καθώς η εξαγωγή ψηφιακών πειστηρίων από υπολογιστές αποτελεί διαφορετικό αντικείμενο.
Επίλογος
Κατά τη συγγραφή του παρόντος άρθρου, ανακοινώθηκε η πειραματική διάθεση καρτών SIM με ενσωματωμένο πομποδέκτη Wi-Fi καθώς επίσης και καρτών SIM με ενσωματωμένο δέκτη GPS . Πολύ σύντομα λοιπόν, τα στοιχεία από τη χρήση των κινητών μας θα πολλαπλασιασθούν. Μέχρι να συμβεί αυτό, στο επόμενο άρθρο θα αναλύσουμε με πρακτικά βήματα τη διαδικασία που θα πρέπει να ακολουθεί όποιος επιθυμεί να ασχοληθεί για οποιονδήποτε λόγο με την εξαγωγή των στοιχείων αυτών.
ΙΩΣΗΦ Ι. ΑΝΔΡΟΥΛΙΔΑΚΗΣ, MSc
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων
sandro@noc.uoi.gr