e2rdo e2rdo
3049
BLOG

Źródła danych o przebiegu podejścia na lotnisko Smoleńsk Płn.

e2rdo e2rdo Rozmaitości Obserwuj notkę 18

Smartfony, tablety, palmtopy i inne mobilne urządzenia. (przypisy na dole)

Smartfony, tablety to obecnie małe komputery. Dwurdzeniowe procesory, kilkuset megabajtowa pojemność pamięci RAM, obsługa zewnętrznych kart pamięci, pamięć wewnętrzna o pojemności do 64 gigabajtów, wbudowane karty modemów pracujących w różnych standardach: GSM/DCS, UMTS, HSDPA/HSPA+, LTE, wbudowana karta WiFi, Bluetooth, GPS, akcelerometry, kompas cyfrowy – dają dużą możliwość pracy i komunikacji.

Pozyskanie danych może nastąpić w drodze analizy 3 źródeł: pamięci wewnętrznej, kart pamięci, danych wysłanych w czasie transmisji w roamingu.

Obiektami zawierającym cenne dane mogą być zdjęcia z informacją o geolokalizacji (zawartą w metadanych pliku tzw. EXIF-ie), informacje geolokalizacyjne gromadzone przez urządzenie bez wiedzy użytkownika, informacje wysyłane do operatora w ramach usług lokalizacyjnych, inne dane gromadzone przez urządzenie: dane systemowe GSM, dane o położeniu GPS itp.

- pamięć wewnętrzna

To w niej (niezależnie od rodzaju systemu operacyjnego: IOS, Android czy Symbian) wykonywane są operacje systemowe, przechowywane są dane w ramach wymiany informacji z pamięcią RAM (plik wymiany itp.) Smartfony pracujące w systemie Android pozwalają na realizowanie swapowania pamięci na karcie pamięci – wymaga to jednak przeróbek (rootowanie i podmiana oprogramowania grożą utratą gwarancji). W pamięci wewnętrznej mogą być przechowywane pliki, również te skasowane. W plikach wymiany mogą być przechowywane fragmenty informacji systemowych, zdjęć i innych plików, dane tymczasowe służące do realizowania operacji w pamięci RAM. Każda operacja wykonania np. zdjęcia powinna zostawić ślad w postaci danych tymczasowych: system musi skompresować zdjęcie, złożyć je z EXIF-em itp. Zapis może podlegać fragmentacji: system operacyjny remapuje i reallokuje pamięć. Teoretycznie im większa pamięć RAM tym mniejsze ryzyko fragmentacji danych. Niestety: Im częściej po katastrofie było włączane urządzenie tym większe ryzyko utraty i nadpisania ważnych dla śledztwa dowodów. Forma przechowywania i zapisu informacji wymaga szczegółowej analizy specyfikacji urządzenia – wydaje się jednak że np. Ipad2/3, smartfony i inne urządzenia nie powinny kompresować pamięci (mają jej dużo a czas procesora jest zbyt cenny) – zrzut danych systemowych powinien zawierać dane w postaci niekodowanej. Istnieje jednak ryzyko iż część producentów może celowo kodować część gromadzonych przez siebie informacji.

Analiza zrzutu pamięci wewnętrznej wydaje się najbardziej obiecującą metodą pozyskania informacji. Dane zapisane w urządzeniu nie są tak łatwe do modyfikacji jak zawartość innych nośników. Jest szansa że w posiadaniu polskich służb lub rodzin znalazło się zniszczone w czasie katastrofy urządzenie (np. Iphone nie obsługujący kart pamięci) który „został spisany na straty i nie podjęto próby modyfikacji zapisanych w nim danych”.

Smartfony i tablety Apple'a ze względu na to że nie obsługują zewnętrznych nośników danych przechowują w pamięci wewnętrznej całą zawartość systemu wraz z plikami użytkownika. W pamięci wewnętrznej urządzenia przechowywane są także dane systemowe GSM, logi systemowe, dane gromadzone przez producenta, pliki tymczasowe, książka adresowa, odebrane i wysłane SMS-y i inne osobiste dane.

- karta pamięci

Karty pamięci o różnych pojemnościach (zwykle do 16 GB) i w różnych standardach (najbardziej popularny do MicroSD) zwykle nie uczestniczą w realizowaniu operacji systemowych: zawierają dane zapisane przez użytkownika takie jak pliki: zdjęcia, muzykę, notatki itp. Czasem karty pamięci mogą zawierać pliki tymczasowe bądź kopie zapasowe pamięci wewnętrznej (np. Nokia). Zawartość kart pamięci może być bez problemu odczytana – oznacza to jednak łatwą możliwość manipulacji danymi. Z karty można odzyskać skasowane dane (analiza w dalszej części) lecz jakość pozyskanych danych jest ograniczona prawdopodobieństwem nadpisywania przez użytkownika wcześniej skasowanych plików. Pamięć EEPROM jako pamięć półprzewodnikowa nie pozwala na fizyczną analizę zapisu jak np. ciągłości pola magnetycznego w dyskach twardych. Możliwość analitycznego odzysku danych jest tutaj ograniczona. Formatowanie karty pamięci nie powoduje co prawda skasowania jej zawartości a jedynie wyczyszczenie tablicy allokacji plików. Istnieje jednak duże ryzyko że potencjalni manipulanci dokonali zrzutu zawartości karty a następnie nadpisali ją w całości przypadkowymi danymi (tłem) w celu ukrycia manipulacji a dopiero potem skopiowali na kartę zmodyfikowane pliki. Tło z generowanych pseudolosowo liczb skutecznie uniemożliwi odzysk skasowanych danych. Istnieje przynajmniej możliwość analizy zawartości kart w celu potwierdzenia prób manipulacji.

Reasumując: Największą szansę na zdobycie wiarygodnych danych systemowych i osobistych dają smartfony i tablety Apple'a niekorzystające z kart pamięci. W przypadku smartfonów pracujących w systemie Android swoją szansę należy upatrywać w poszukiwaniu fragmentów danych systemowych w zrzutach pamięci wewnętrznej. Nie można oczywiście bagatelizować zawartości kart pamięci zwłaszcza w sytuacji gdy rodzinom udało się odzyskać telefony swoich bliskich bez pośrednictwa rosyjskich śledczych. Analiza zrzutów z kart pamięci napewno stanowi cenne źródło informacji o sposobach fałszowania danych i tym co mogli chcieć ukryć manipulatorzy. Jest także prawdopodobne że nie we wszystkich przypadkach udało się skutecznie nadpisać zawartość kart.

- transmisja danych

Pasażerowie tragicznego lotu to elita, ludzie majętni którzy nie musieli się liczyć z kosztami transmisji danych w roamingu. Koszt takiej usługi tanieje a wiele osób realizując funkcje państwowe dysponowało służbowymi urządzeniami i aktywną usługą transmisji danych za granicą. Proszę zauważyć że Prokuratura Wojskowa nie pisze nic o transmisji danych lub jej braku. Być może któryś z pasażerów nie wyłączył telefonu na czas podejścia – nie stanowiło to zagrożenia dla samego lotu.

Warunkiem zestawienia sesji danych jest świadome uruchomienie jej przez użytkownika bądź domyślne włączenie w smartfonie dostępności pakietu danych i zgoda na jego wykorzystanie w roamingu. W drugim przypadku włączenie telefonu automatycznie zestawia sesję danych po zalogowaniu się do sieci. Taka konfiguracja aparatów jest możliwa biorąc pod uwagę iż wielu pasażerów feralnego lotu często podróżowało służbowo za granicę korzystając zapewne z dostępu do sieci.

Wielu operatorów pozwala na realizację dostępu do Internetu w roamingu przez infrastrukturę sieci macierzystej. Dzięki sygnalizacji i korzystaniu z punktu dostępu swojego operatora (APN-u) terminale mogły otrzymać przy zestawianiu sesji danych numery IP polskich operatorów a cała transmisja danych była niejako tunelowana i realizowana przez polską sieć. Ustawa retencyjna w naszym kraju nakazuje operatorom również przechowywanie danych o pakietach otwierających połączenie IP (np. TCP SYN). Polscy operatorzy dysponują na pewno informacją o realizacji usługi dostępu do sieci Internet (dane z APN-u) – oraz co bardzo prawdopodobne przydzielonymi numerami IP oraz danymi o docelowych adresach IP sesji nawiązanych przez terminale w roamingu.

Istnieje bardzo duża szansa że telefony, smartfony, tablety łączyły się z dostawcami usług lokalizacyjnych (Apple, Google) wysyłając dane o swoim położeniu (min. współrzędne GPS) – o tym w dalszej części.
Część terminali mogło domyślnie odbierać pocztę, ściągać prognozę pogody dla rejonu swojej lokalizacji, wysyłać i pobierać dane AGPS (wysyłać dane lokalizacyjne GSM (LAC/CID) i odbierać dane pomocnicze w postaci konstelacji GPS dla rejonu Zach. Rosji, almanachu i efemeryd) w celu przyśpieszenia ustalenia pozycji przez GPS. Taką opcję (Assisted GPS) posiadają tablety i telefony pracujące pod systemem IOS (Apple) lub smartfony Android (Google).

Transmisja danych w czasie podejścia mogła być realizowana jedynie w technologii 3G – wynika to z ograniczeń związanych z prędkością poruszającego się terminala. Technologia UMTS to wyższa częstotliwość czyli większa ilość cykli nadawczo-odbiorczych, inna modulacja sygnału, dane naprawcze co powala na pracę przy prędkości powyżej 300km/godz itp. Realna prędkość transmisji przy prędkości 270 km/godz to ok. 200-300 kilobitów/sek.

Wszystko zależy oczywiście od indywidualnych warunków propagacji fal radiowych. Szansę na zalogowanie w czasie podejścia miały terminale osób siedzących w rzędzie przy oknie po lewej stronie. Mapy zasięgu sieci 3G (np. rosyjskiej Bee Line GSM) wskazują na dosyć dobrą dostępność sygnału od strony miasta – południe od osi podejścia.

Możliwa jest jednak sytuacja w której pasażerowie zaniepokojeni sytuacją na pokładzie zaczęli masowo włączać telefony, smartfony i inne urządzenia tuż przed wypadkiem. Te które przetrwały upadek samolotu zalogowały się po ustaniu okoliczności utrudniających logowanie czyli tuż po katastrofie. Część z urządzeń mogła domyślnie zestawić transmisję danych, inne tylko zalogowały się do sieci. Czasy logowań dostępne u polskich operatorów (zwłaszcza terminali pracujących w technologii 2G – mającej ograniczenia pracy przy prędkości powyżej 200 - 250km/godz) są ważnym elementem mogącym wskazywać na czas katastrofy.

Administratorzy serwerów BES (BlackBerry Enterprise Server) świadczących usługi dla terminali BlackBerry dysponują informacją o numerze IP klienta oraz czasie zainicjowania połączeń z serwerem. Podobną wiedzę mają też administratorzy serwerów pocztowych udostępniających możliwość odbierania poczty za pomocą usługi BES. Także administratorzy APN-u (punktu dostępowego) blackberry.net znajdującego się (zapewne) w Kanadzie - przez który to odbywa się transmisja danych w ramach usługi wykupionej u polskiego operatora muszą dysponować informacjami o czasach inicjowanych połączeń. Serwery BES napewno zapisują dane systemowe GSM. Logują one także dane o poziomie naładowania baterii i wiele innych parametrów pracy terminala.

Informacje o czasach zestawienia sesji danych i połączeniach IP odczytane z logów systemowych serwerów: pocztowych, BES, punktów dostępu polskich operatorów i APN-u firmy RiM (blackberry.net), serwerów lokalizacyjnych Apple'a i Google'a są również cennym materiałem dowodowym.

- zdjęcia (także z geolokalizacją)

Jest szansa że pod koniec feralnego podejścia wykonywano na pokładzie zdjęcia które w świetle późniejszych tragicznych wydarzeń stały się cennym materiałem dowodowym.

Standard metadanych kodujących dodatkowe informacje w zdjęciach JPG lub TIFF został opracowany już w latach 90-tych. EXIF 2.2 to wersja obowiązująca dla kilkuletnich urządzeń użytkowanych w kwietniu 2010. Standard ten pozwala na zapisanie nie tylko danych o modelu aparatu, czasie wykonania zdjęcia, wartości przesłony, czasie ekspozycji ale także danych lokalizacyjnych. O ile produkty firmy Apple i Nokii generalnie spełniają specyfikację EXIF o tyle smartfony np. Samsunga pracujące pod systemem Android kodują współrzędne GPS niezgodnie ze standardem.

Przykładowe dane geolokalizacyjne wyciągnięte przeze mnie z EXIF-a zdjęcia zrobionego Ipadem3 (wszystkie wartości po weryfikacji okazały się poprawne):

GPSLatitudeRef (północ/południe)
GPSLatitude (szerokość geograficzna – współrzędne: stopnie, minuty, sekundy)
GPSLongitudeRef (wschód/zachód)
GPSLongitude (długość geograficzna – współrzędne: stopnie, minuty, sekundy)
GPSAltitudeRef (wysokość GPS – nad poziom morza lub geoidy WGS84)
GPSAltitude (wartość wys. npm w metrach z uwzględnieniem modelu grawimetrycznego)
GPSTimeStamp (czas uniwersalny GPS – pozwala na skorelowanie danych z TAWS, FMS oraz na określenie przesunięcia czasu względem wewnętrznego zegara telefonu)
GPSImgDirectionRef (kierunek rzeczywisty/magnetyczny)
GPSImgDirection (wartość kierunku rzeczywistego w stopniach odczytana zapewne z kompasu cyfrowego, system uwzględnił wartość deklinacji magnetycznej)

Jak widać dane o współrzędnych GPS odczytane ze zdjęć pozwalają nie tylko potwierdzić dane FMS/TAWS ale także wyznaczyć kurs rzeczywisty (z kompasu) oraz wyliczony na podstawie zmiany pozycji GPS oraz wraz z czasem GPS, prędkość nad powierzchnią ziemi (Ground Speed). Wysokość GPS jest daną orientacyjną – określającą z dokładnością (plus/minus 30m) wysokość nad poziom morza.

Warto uzyskać od producenta dane nt. wartości deklinacji, siatki modelu grawimetrycznego – użytych do obliczenia wartości kierunku i wysokości npm.

Zakres danych zapisywanych w EXIF-ie jest różny i zależy od typu terminala, modelu itp. Niektóre smartfony Samsunga zapisują współrzędne GPS niezgodnie ze standardem EXIF, umieszczają za to dodatkowe dane współczynniku dokładności wyznaczenia pozycji GPS (GPSDOP), trybie wyznaczania pozycji (w 2 lub 3 wymiarach - GPSMeasureMode).

Dostępność sygnału GPS na pokładzie samolotu

Aluminiowe poszycie samolotu potrafi wytłumić sygnał GPS. To dlatego GPSy współpracujące z FMS-em mają zewnętrzne anteny a samo urządzenie jest włączane kilkanaście minut przed startem samolotu w celu ustalenia prawidłowej pozycji na podstawie jak największej konstelacji satelitów. Szansa na określenie dokładnej pozycji GPS przez smartfon włączony dopiero na pokładzie samolotu poruszającego się z prędkością kilkuset kilometrów na godzinę jest niewielka. 

Z pomocą przychodzi jednak standard AGPS obsługiwany przez wszystkie nowoczesne smartfony.  Zasada działania AGPS (programowego wspomagania GPS) jest prosta: system wysyła za pomocą Internetu dane lokalizacyjne GSM: np. identyfikator stacji bazowej oraz identyfikator obszaru przywoławczego a serwer AGPS na podstawie tych danych lokalizuje posiadacza smartfona i odsyła dane o czasie astronomicznym, konstelacji satelitów dla danego rejonu, ich położeniu (almanach i efemerydy) - znacznie ułatwiając ustalenie współrzędnych geograficznych. Dane AGPS mogły zostać uzyskane w czasie podejścia na lotnisko Smoleńsk Północny.

Obecnie stosowane kontrolery GPS takie jak nowa wersja chińskiego MTK, Sirf STAR IV, Broadcom np. BCM4750 – montowany w iPhone’ach mają o wiele większą czułość i mniejsze zużycie energii niż poprzednicy (wg specyfikacji BCM4750 średni pobór mocy wynosi tylko kilkanaście mW).

SirfSTAR IV potrafi określać pozycję przy prędkości do 500m/s oraz do wysokości 18000m, chipset Brodcoma pracuje do minimum 41000 stóp i prędkości kilkuset węzłów na sekundę. Jeżeli któryś z nowoczesnych odbiorników został włączony w Warszawie – to po ustaleniu swojej pozycji na pewno „nie zgubił” jej w czasie lotu.

Nowe chipsety  są w stanie zrekompensować gorszą jakość dostępnego sygnału: funkcjonalnością AGPS, większą czułością, większą ilością kanałów (od 24 do nawet 48). Tablety ze względu na duży rozmiar mogą mieć o wiele większy zysk anteny odbiorczej, zwykle pętli wokół matrycy LCD.

Jeżeli GPS nie ustali współrzędnych geograficznych to może przynajmniej zapisać w EXIF-ie czas astronomiczny. To ważne biorąc pod uwagę fakt że wewnętrzne zegary smartfonów mogą mieć przesunięty czas. Część smartfonów może jednak korzystać z serwerów NTP (synchronizacja czasu z serwerem wzorcowanym czasem zegara atomowego) – wymaga to jednak podłączenia do sieci Internet.

Zdjęcia same w sobie są ważnym materiałem dowodowym. Być może któryś z pasażerów tragicznego lotu utrwalił sytuację awaryjną: dym na pokładzie, ogień, snop iskier buchający z silnika.

Standard EXIF przewiduje również kodowanie w zdjęciach tzw thumbnail pictures. To miniaturki zdjęć które służą np. do podglądu zawartości zdjęć bez ich otwierania. Miniaturowe zdjęcia (panoramy) mają praktyczną rozdzielczość 320x240 lub 160x120 – nie jest to dużo ale pozwala na szczegółowy podgląd zawartości zdjęcia.

Kod  thumbnails’a jest umieszczony w pliku zaraz po metadanych zdjęcia. Nie trzeba zatem odzyskać całego zdjęcia (tylko jego fragment z nagłówkiem) aby zobaczyć podgląd i odczytać dane z EXIF-u (informacja w dalszej części)

Jest niemal pewne że w zdjęciach (poza EXIF-em) są kodowane także inne informacje takie jak nr IMEI, dane systemowe GSM, sumy kontrolne EXIF. Wiedza ta jest zastrzeżona dla producenta i zapewne służb.

- informacje gromadzone bez wiedzy użytkownika

Afera CarrierIQ

Ostatnio głośno było o tym że część brandowanych smartfonów pracujących pod systemem Android (z firmowym oprogramowaniem operatorów) posiadała ukrytą funkcję szpiegowską. Zainstalowany w systemie keylogger analizował operacje i teksty wpisywane z klawiatury łącząc się z serwerem CIQ. Część operatorów (zwłaszcza w USA) przyznała się do korzystania z tego typu praktyk.

Pamięć podręczna danych lokalizacyjnych

Smartfony i tablety pracujące pod systemem IOS i Android przechowują (bez zgody klienta na użytkowanie usługi) dane lokalizacyjne w pamięci wewnętrznej systemu (plikach pamięci podręcznej). IOS przechowuje dane w pliku consolidated.db który można pozyskać za pomocą synchronizacji aplikacją Itunes. Android przechowuje dane w niedostępnych dla użytkownika plikach (cache.cell, cache.wifi). Ich zawartość można odczytać poprzez dostęp do pamięci smartfona na uprawnieniach administratora systemu. Wymaga to tzw rootowania telefonu (czyli nabycia uprawnień poprzez wykonanie kilku operacji w trybie serwisowym).

Pliki są dosyć łatwo dostępne co zwiększa ryzyko manipulacji ich treścią. Jeżeli jednak udało pozyskać się telefon bez pośrednictwa rosyjskich śledczych lub jego stan wskazywał na zniszczenie i niemożność odzysku danych zawartość plików będzie bezcennym materiałem dowodowym.

Niestety – taką samą wartość przedstawiają one dla Rosjan – są bardzo cennym źródłem danych wywiadowczych (o miejscu przebywania posiadacza terminala).

Tablety i smartfony Apple’a zbierają dane o wszystkich identyfikatorach stacji bazowych oraz obszarów przywoławczych (CID i LAC) w zasięgu których znalazł się posiadacz zalogowanego telefonu. Zawierają one także informacje o BSSID punktów dostępowych Wifi – czyli unikalnych adresach sprzętowych rozgłaszanych przez punkty dostępowe sieci bezprzewodowej.

Android gromadzi podobne dane z tymże przechowuje 50 ostatnich wpisów o CID-ach i LAC-ach oraz 200 ostatnio znalezionych przez kartę bezprzewodową BSSID-ów.

Dane te służą do tworzenia darmowych baz lokalizacyjnych dla operatorów oraz do pozyskiwania danych AGPS nawet w sytuacji gdy telefon z aktywnym modułem GPS nie jest zalogowany do sieci GSM.

Na podstawie danych zgromadzonych w plikach pamięci podręcznej można wyznaczyć trasę przemieszczania się urządzenia. Wg ekspertów większe możliwości w tej materii oferują produkty Apple’a gdyż logują wszystkie wartości CID, LAC, BSSID bez względu na ich powtarzalność w wewnętrznej bazie smartfona.

- połączenia danych i wysyłanie informacji lokalizacyjnych

Jak już pisałem wcześniej połączenie danych może być zestawione przez użytkownika bądź po uruchomieniu smartfona. W tym drugim przypadku domyślne włączenie dostępności pakietu danych i zgody na jego wykorzystanie w roamingu, spowoduje próbę podłączenia się do sieci Internet natychmiast po zalogowaniu się urządzenia do sieci GSM.

Automatycznie zestawiane połączenia IP to: synchronizacja czasu z serwerem NTP Apple’a lub Google’a (Network Time Protocol), ściąganie danych AGPS, ściąganie lub „wypychanie” poczty przez terminal BlackBerry (korzystający z APN blackberry.net).

W przypadku Androida podstawową usługą systemu jest prezentacja prognozy i aktualnej pogody dla miejsca przebywania – wyświetlana na ekranie w formie tzw. widgetu.

Serwis pogodowy Google’a po włączeniu telefonu i zestawieniu połączenia z siecią pobiera dostępne dane o współrzędnych geograficznych, CID, LAC, BSSID i wysyła informację o zachmurzeniu, temperaturze powietrza dla danej lokalizacji. Nietrudno się domyślić że powyższe informacje służą do tworzenia przez operatorów baz danych lokalizacyjnych (przypisywania dla danej pozycji GPS danych GSM i Wifi). Dane te nieprzypadkowo są  przechowywane w plikach pamięci podręcznej (o których pisałem wcześniej) - mogą także służyć do wyznaczania miejsc przebywania abonenta.

Podobne dane gromadzone także przez serwery Apple’a powinny zostać pozyskane przez polskich śledczych. Porównanie danych wysłanych do serwisów Google’a i Apple’a z tymi uzyskanymi z plików cache.wifi, cache.cell, consolidated.db może także pozwolić na ocenę stopnia manipulacji zawartością urządzeń.

Ze względu na to że adres sieciowy (sprzętowy) urządzenia bezprzewodowego (BSSID) jest unikalny i zawiera informację o producencie urządzenia – stanowi on dla operatorów cenną informację o dystrybucji urządzeń sieciowych konkretnych producentów. Dla śledztwa dane te mogą być cenne w sytuacji stwierdzenia obecności na pokładzie aktywnego urządzenia sieci bezprzewodowej pracującego w trybie Wifi Ad-Hoc (np. telefonu Nokii). Wątpliwe jest aby na pokładzie TU154M był aktywny punkt sieci bezprzewodowej.

Dane GPS, GSM, WiFi są także wysyłane do operatorów w czasie korzystania przez użytkownika smartfona z nawigacji GPS. Podstawowe, darmowe aplikacje systemu nie zawierają map – smartfon wysyła swoją pozycję do operatora a ten lokalizując abonenta prezentuje mapę danego rejonu. Nawigacja online wymaga jednak transmisji dużej ilości danych i szybkiego, stabilnego łącza.

Reasumując: dane z plików pamięci podręcznej smartfonów oraz te wysłane do operatorów są bardzo cennym materiałem dowodowym. Dostawcy usług zapewniają że gromadzą dane jedynie w celu poprawy jakości świadczonych usług a pozyskiwane dane są anonymizowane (nie są przypisywane dla konkretnego użytkownika a jedynie opisywane unikalnym identyfikatorem). Niezależnie od wiary w powyższe zapewnienia, polskim śledczym nie są potrzebne informacje o użytkowniku lecz współrzędne GPS lub dane o triangulacji CID i LAC które pozwolą na lokalizację TU154M z dokładnością do kilkudziesięciu metrów w danym czasie. Jest mało prawdopodobne aby w sobotni poranek w okolicy lotniska Smoleńsk Północny biegała grupa kilku/kilkunastu ? "rosyjskich" posiadaczy smartfonów i tabletów podłączonych do Internetu.

Jeśli jednak rosyjscy śledczy stwierdzą że tak mogło być - zawsze jest szansa na sprawdzenie np. innych dostępnych danych i potwierdzenie czy "rosyjscy joggerzy” nie przebywali godzinę wcześniej na ... lotnisku Warszawa Okęcie.

- odzysk danych


Zrzut danych z karty pamięci (sektor po sektorze, blok po bloku) jest prosty – realizuje się go za pomocą standardowego czytnika dla danego typu nośnika. Wszelkie operacje odzysku danych przeprowadza się na obrazie będącym kopią karty pamięci.

Zrzut pamięci wewnętrznej może odbywać się za pomocą programatora bądź programatora BGA po wylutowaniu (odkulkowaniu) kości EEPROM z płyty głównej.

Ta druga operacja wymaga specjalistycznej wiedzy (o wielkości napięć, rozpisaniu sygnałów, wyprowadzeniach używanych do transmisji danych) dostępnej w szczegółowej specyfikacji urządzenia.

Zrzuty pamięci mogą zawierać osobiste pliki: np. zdjęcia (również te skasowane), sms-y, logi systemowe, fragmenty plików pozostałych po realizacji operacji przez system. Dane zwłaszcza z pliku wymiany mogą podlegać fragmentacji.

Ważne są logi systemowe które w przypadku Apple’a zawierają czasy operacji: np. zestawienia transmisji danych, synchronizacji czasu z serwerem itp. Być może logi zawierają także część danych lokalizacyjnych.

Sam proces odzysku danych jest podobny do operacji wykonywanych na sformatowanych bądź uszkodzonych dyskach twardych, nośnikach z uszkodzonym systemem plików itp

Wszystko przy założeniu że dane nie są kompresowane ani szyfrowane. Jest bardzo mało prawdopodobne aby pamięć wewnętrzna podlegała operacjom zajmującym czas procesora i zużywającym bardzo dużo cennej energii.

Zrzut pamięci nie zawierający tablicy allokacji plików wymaga analizy „blok po bloku” w poszukiwaniu nagłówków charakterystycznych dla każdego rodzaju pliku. Za pomocą specjalistycznego oprogramowania lub ręcznie poszukuje się kilku specyficznych bajtów (dla pliku JPG to „FF D8 FF”) i dokonuje analizy ciągłości danych oraz ich zrzutu. W ten sposób nie znając nazwy ani miejsca zapisu pliku można odzyskiwać fragmenty bądź całe pliki. Im bardziej fragmentowany zapis tym mniejsza szansa na skuteczny odzysk danych. Często spotyka się całe fragmenty losowych danych (bez nagłówków) które nie wiadomo co mogą kodować. Za pomocą edytora można przeglądać zrzut danych w poszukiwaniu czytelnych znaków ASCII – treści logów systemowych i innych danych tekstowych.

W przypadku zrzutów z kart pamięci odzysk danych może być przeprowadzony poprzez (typowe undelete) odkasowywanie plików oznaczonych w tablicy allokacji plików jako usunięte. Można i trzeba również przeprowadzić analizę typu „blok po bloku”. W przypadku kart pamięci: pseudolosowe tło, brak fragmentacji plików oraz brak plików oznaczonych jako skasowane to mocne dowody na manipulację danymi (wcześniejsze nadpisywanie karty w celu uniemożliwienia odzysku danych).

Przeprowadziłem kilka eksperymentów korzystając z hexedytora (edytora danych binarnych) Ze zdjęć Nokii i Ipada zawierających geotagi wycinałem fragmenty danych chcąc ocenić możliwość odzysku informacji z EXIF-u. W przypadku zdjęć Ipada wystarczy odzyskanie pierwszych 800 bajtów plików zdjęcia by odczytać wszystkie dane geolokalizacyjne. Nokia nieco głębiej „upycha” swój EXIF – tutaj potrzeba ok. 3 pierwszych kilobajtów danych. Odzyskanie pierwszych 9 do 20 kilobajtów (zależne od rozdzielczości zdjęcia) pozwala na odzyskanie miniaturki zdjęcia. W przypadku nieznalezienia nagłówka zdjęcia można ręcznie poszukiwać sam fragment zawierający geotagi. Bajty „02 02 00 00 00” otwierają sekwencję zawierającą dane geolokalizacyjne w przypadku gdy GPSVersionID = 2.2.0. Można także szukać charakterystycznej sekwencji zawierającej znaki ASCII: tag GPSLongitudeRef będzie zawsze równy "E" i GPSLatitudeRef będzie zawsze równy "N". Smoleńsk leży na półkuli północnej i na wschód od południka 0.

W świetle powyższej notki warto zapytać:

- Czy w czasie podejścia lub "bezpośrednio po katastrofie" realizowano z terminali należących do pasażerów tragicznego lotu transmisję danych bądź inne formy komunikacji z siecią Internet ?

- Jakimi metodami odzyskiwano dane z urządzeń i jakie nośniki danych przebadano (pamięć wewnętrzna, karty pamięci, inne) ?

- Czy analizując zawartość pamięci smartfonów zwrócono szczególną uwagę na dane geolokalizacyjne ?

- Czy zwrócono się do operatorów serwisów lokalizacyjnych, administratorów serwerów: pocztowych, BES, NTP, AGPS, operatorów zarządzającymi punktami dostępu w Polsce i zagranicą o udostępnienie szczegółowych informacji ?

Bardzo dobry zasięg 3G rosyjskiej sieci Bee Line GSM w okolicy lotniska XUBS. Zasięg zaczyna się przed dalszą NDB - była conajmniej minuta lotu na zalogowanie się do sieci UMTS, zestawienie połączenia IP. Zasięg na wys. 100-400 może być lepszy z powodu braku przeszkód terenowych.
Mapa ze strony: mobile.beeline.ru

Bibliografia:

CarrierIQ:

http://www.chip.pl/news/bezpieczenstwo/monitorowanie-i-szyfrowanie-danych/2011/12/afery-o-carrier-iq-ciag-dalszy-czy-iphone-i-windows-phone-tez-szpieguja-uzytkownikow
http://betanews.com/2011/11/30/researcher-uncovers-keylogging-rootkit-in-android-phones/

http://www.thespacelab.tv/spaceLAB/2012/02February/MusicNews-134-Android-Phones-Bug.htm
http://www.redmondpie.com/new-security-bug-in-android-is-capable-of-sending-unauthorized-sms-eavesdrop-on-phone-calls-and-more/
http://phys.org/news/2011-05-android-devices-susceptible-eavesdropping.html

Dane geolokalizacyjne przechowywane w pamięci wewnętrznej telefonów:

http://arstechnica.com/gadgets/2011/04/android-phones-keep-location-cache-too-but-its-harder-to-access/

http://www.macobserver.com/tmo/article/what_time_is_it_your_ipad_ios_5_finally_knows/

notka będzie uzupełniana o materiały i bibliografię

e2rdo
O mnie e2rdo

▐▄▄▄▄▌Polak, optymista▐▄▄▄▄▌ Si Deus nobiscum, quis contra nos ?

Nowości od blogera

Komentarze

Inne tematy w dziale Rozmaitości