Nokia śp Prezydenta (i inne telefony)
część druga (nie ostatnia) poprzedniej notki.
Nokia 6310i to drugi telefon serii DCT4 wyprodukowany przez fiński koncern. Telefon posiada programowalny układ (prawdopodobnie Intela) F640W18T (8MB). Jako że jest to telefon starego typu zrzut pamięci/programowanie mogą być przeprowadzone za pomocą taniego software-owego programatora EPROM lub droższego sprzętowego BOX-a. Za pomocą programatora można nadpisać konkretny obszar pamięci lub dokonać zrzutu konkretnych zakresów pamięci takich jak MCU (główne oprogramowanie), PPM (informacje związane z interface'm użytkownika np. wersja językowa), PM (Permanent Memory) oraz CNT (content - czyli obrazki, loga, zainstalowane aplikacje itp).
MCU to główne oprogramowanie (firmware) zapisane na kości EPROM i zajmujące ok. 70% dostępnej pojemności układu.
PM to obszar zapisywany jak EEPROM czyli elektrycznie programowalny EPROM. To tutaj telefon przechowuje parametry sieci GSM (takie jak LAC i CID przekaźnika), SMS-y, kontakty przechowywane w pamięci telefonu itp.
Telefon ma również na płycie głównej chip UEM. To jednorazowo programowalny układ (OTP - One Time Programable EPROM) zawierający sekwencję startową (zapewne BOOT-strapa oraz wpisany na stałe numer IMEI). Zawartości tego układu nie można nadpisać programatorem ale można wylutować z płyty cały układ. Istnieje możliwość "podmiany" IMEI Nokii poprzez wgranie odpowiednio zmodyfikowanego oprogramowania pomijającego odczyt IMEI z UEM.
To samo dotyczy kości EPROM. Może być ona z powodzeniem usunięta z płyty głównej i zamieniona na inną.
Jak widać średnio rozgarnięty fachowiec jest w stanie odczytać/nadpisać zawartość Nokii 6310i. W przypadku uszkodzenia telefonu - istnieje możliwość wylutowania układu z płyty głównej telefonu i jego odczyt w specjalistycznym urządzeniu. Jak widzieliśmy na zdjęciach zamieszczonych przez Gazetę Polską - spalona/opalona została górna część prezydenckiej Nokii. Kość EPROMu umieszczona jest w dolnej części na płyty głównej - tak więc nie powinna zostać zniszczona.
Wnioski:
- Z prezydenckiej Nokii można odczytać dane nawet w przypadku jej spalenia. Wystarczy wylutować odpowiednią kość i zrzucić zawartość jej pamięci za pomocą programatora z podstawką.
Dane mogą zawierać LAC i CID ostatnio używanego przekaźnika, identyfikator sieci do której karta SIM zalogowała się w roamingu itp. Warto porównać te dane z tymi posiadanymi przez operatora: czy CID BTS-a pasuje to obszaru LAC obsługiwanego przez centralę MSC której numer zapisał się w HLR sieci macierzystej.
- Istnieje możliwość wykrycia czy telefon był resetowany za pomocą kodów serwisowych Nokii np. *#7370#, kodów klawiaturowych bądź programowo. Taki reset napewno nie czyści wszystkich obszarów pamięci.
- Podobną możliwość mieli manipulatorzy - można jednak odkryć ingerencję (nadpisanie części danych) poprzez analizę ciągłości zrzutów pamięci, porównanie wersji oprogramowania z książką serwisową telefonu lub danymi od operatora który sprzedał telefon.
- Rosjanie mogli dokonać zrzutu książki adresowej z pamięci telefonu bez jego włączania.
- Warto sprawdzić czy nie dokonywano w Rosji fizycznej ingerencji w telefon: na płycie głównej pownny być widoczne ślady lutowania, zmiany chipsetu itp.
- Analiza danych z EEPROM (PM) wymaga specjalistycznej wiedzy nt modelu telefonu a nawet konkretnej wersji oprogramowania. Producent napewno jest w stanie udostępnić specyfikację telefonu. Można również dokonywać analizy porównawczej poprzez przelogowywanie telefonu, dokonywanie zrzutów pamięci i sprawdzanie różnic między adresami. Ten model telefonu nie powinien wewnętrznie kompresować ani kodować danych.
Wiele osób (min. bloger Belfer 1) zwracało uwagę na ukrytą funkcjonalność karty SIM - np możliwość odzysku skasowanych SMS-ów. Karta SIM to w gruncie rzeczy mały kontrolerek z własną pamięcią, procesorem i wewnętrznym oprogramowaniem - napewno zawiera procedury nieopisane w specyfikacji ogólnej. Karta napewno zapisuje kod sieci do której ostatnio logował się telefon ale nic nie stoi na przeszkodzie aby zapisywała więcej danych (tutaj wystarczy kilka kilobajtów wewnętrznej pamięci). Warto porównać dane z karty SIM z tymi odzyskanymi z telefonu.
W świetle powyższej notki powinniśmy domagać się od polskich służb pełnej informacji nt.:
- stanu telefonów wszystkich ofiar katastrofy
- procedur i czynności dowodowych jakie przeprowadzono (zrzut danych za pomocą BOX-a, wylutowanie kości pamięci i odczyt za pomocą programatora, inne czynności poza prostym sczytaniem zawartości kart pamięci np. MicroSD itp)
- danych jakie udało się z ich pomocą odzyskać z telefonów i kart SIM (min. lokalizacyjnych)
- czy wykryto ślady ingerencji, nadpisywania danych, niszczenia bądź uszkadzania układów na płycie głównej
Dolna, część płyty głównej Nokii 6310i (przed demontażem osłonięta baterią oraz metalową płytą). Na zdjęciu widać układ EPROM F640W18T obok niego - większa kość to zapewne UEM lub UPP. Zdjęcie z http://forum.pasjagsm.pl/.
Ta sama Nokia po wymianie EPROM-u. Zdjęcie z http://forum.pasjagsm.pl/
Spalona (opalona z góry) Nokia śp Prezydenta. Telefon niemożliwy do użytkowania (spalony przycisk i górna część anteny, głośnik). Nie można oprzeć się wrażeniu że przycisk włączania telefonu opalono celowo aby nieudolnie ukryć fakt jego uruchamiania. Płyta główna (układy pamięci znajdują się z tyłu w dolnej i środkowej części telefonu) musiała zachować się w stanie pozwalającym na odzysk danych. Zdjęcie z potralu: niezależna.pl
Płyta główna Nokii 6310i. Zdjęcie z publikacji: Sveina Y. Willassena
Wylutowany poprzez "odklejenie" i usunięcie cynowych kulek (Ball Grid Array) programowalny układ E/EPROM. Zdjęcie z publikacji: Sveina Y. Willassena
--- ciąg dalszy notki
Fenomenalny tekst Sveina Y. Willassena który zawodowo zajmuje się analizą śledczą danych pozyskanych z telefonów i innych urządzeń:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.101.6742&rep=rep1&type=pdf
lub
http://www.docstoc.com/docs/68897311/Forensic-analysis-of-mobile-phone-internal-memory
Metody pozyskania danych z Nokii 6310i przez autora artykułu:
- za pomocą systemowego programatora podłączonego do telefonu i specjalnego oprogramowania
- za pomocą "odkulkowania" kości EPROMU (Ball Grid Array) przy pomocy specjalnej suszarki która nagrzewa luty pozwalając na "odlepienie" kości od płyty głównej. Zrzut pamięci przeprowadzono (w przypadku Nokii 6310i) za pomocą specjalnego (przerobionego) czytnika - odbył się on bez kontroli poprawności odczytu.
Wnioski autora (dotyczące min Noki 6310i - autor podaje inny chipset: Intel 28F320B3TA (4MB)):
- Telefon przechowuje w swojej pamięci dane w postaci niezakodowanej (w tym dużo nieczytelnych dla autora danych systemowych) - zapewne czytelnych dla producenta telefonu.
- Telefon generalnie "ignoruje" kartę SIM zapisując SMS-y i kopiujac kontakty z karty SIM do swojej pamięci.
- Skasowane w Nokii SMS-y można odzyskać ze zrzutu pamięci.
- Telefon przechowuje w swojej pamięci również skasowane wpisy w kalendarzu i kontakty z książki adresowej
- Telefon dokonuje remapowania pamięci które utrudnia odzysk danych z powodu nadpisywania przez system kolejnych obszarów. Im mniejsza pamięć tym system częściej ją reallokuje. Telefon z którego odzyskiwane są dane powinien zostać wyłączony natychmiast po jego pozyskaniu przez służby.
Autor nie prowadził analizy danych systemowych GSM.
Ważne pytania i kwestie:
- Kiedy strona polska przekazała Rosjanom dane o logowaniach telefonów komórkowych i jak szczegółowe one były ? Jak ma się termin przekazania tych danych do harmonogramu zwrotu telefonów ? Czy zbyt wczesne przekazanie informacji o logowaniach (np. numerów kart SIM - IMSI) nie pozwoliło na wytypowanie przez Rosjan telefonów do dalszej "obróbki" ?
- Czy biegli przyjrzeli się staranniej telefonom które były zalogowane a przez to napewno włączone ? Mam nadzieję że nie ograniczyli się tylko do włączenia telefonów i zapoznania się ze spisem połączeń. Jeżeli nie dokonano analiz zrzutów pamięci wewnętrznej (nie mylić z kartami pamięci) możemy mówić o niepełnym badaniu.
Bibliografia:
http://niezalezna.pl/27955-jakim-cudem-dzwoniono-ze-spalonego-telefonu
http://forum.pasjagsm.pl/tematy99/cos-niewiarygodnego-nokia-6310i-z-kolorowym-lcd-o-vt12306,375.htm
http://www.elektroda.pl/rtvforum/topic1615750.html
http://forum.gsmhosting.com/vbb/archive/t-175807.html
http://ucables.com/ref/DCT4DIRECT
http://nokiahacking.pl/rozgryzanie-mcu-dyskusje-ogolne-o-kodzie-wykonywalnym-vt1664.htm
http://www.elektroda.pl/rtvforum/topic1615750.html
http://www.elektroda.pl/rtvforum/topic1078796.html
Instrukcja demontażu płyty głównej:
http://www.ifixit.com/pdf/ifixit/guide_3995_en.pdf
Pełna specyfikacja 28F320B3TA:
http://www.digchip.com/datasheets/download_datasheet.php?id=38571&part-number=28F320B3TA-100
temat wciąż rozwijany (wkrótce notki o danych z logowań oraz danych możliwych do odzyskania ze smartfonów)
