Czym jest
akwizycja logiczna?
Najszybszą i najczęściej wykonywaną metodą akwizycji
urządzeń mobilnych, ale także najbardziej ograniczoną, jest wyodrębnianie
logiczne. W ekstrakcji logicznej narzędzia kryminalistyczne komunikują się z
systemem operacyjnym urządzenia mobilnego. Proces pozwala na pobieranie większości widocznych danych. Urządzenie do badania musi
zostać uruchomione (następuje nieuniknione ale udokumentowane naruszenie
integralności danych).
Co najważniejsze urządzenie nie może posiadać szyfrowania z nieznanymi blokadami ekranu.
Typowe dane dostępne za pomocą ekstrakcji
logicznej to dzienniki połączeń, SMS, MMS, obrazy, filmy, pliki audio ,
kontakty, kalendarze i pewne dane aplikacji. Możliwe jest określenie
konkretnych kategorii do zbierania, takich jak tylko wiadomości SMS i MMS, ale
nie można określić określonych pozycji w tej kategorii, aby tylko eksportować. Wszystkie
dane wyeksportowane w tych kategoriach będą danymi aktualnymi i nie
będą zawierać żadnych usuniętych danych.
Podsumowując - jest to sposób badania wykorzystywany przez 98% oprogramowań do Informatyki Śledczej który równa się manualnym oględzinom istniejących danych i skopiowania ich z wykorzystaniem polecenia:
CTRL+C / CTRL-V...
Reasumując odzyskanie danych usuniętych jest niemożliwe.
Czym jest akwizycja
na poziomie
systemu plików?
Jest następnym krokiem jakościowym
w zakresie
możliwości ekstrakcji. Podstawową
różnicą między wyodrębnianiem logicznym
a wyodrębnianiem systemu plików jest
możliwość bezpośredniego dostępu narzędzi śledczych do plików w pamięci
wewnętrznej urządzenia mobilnego, zamiast konieczności komunikowania się przez
interfejsy API dla każdego typu danych. Ten bezpośredni dostęp umożliwia
narzędziom kryminalistycznym wyodrębnienie wszystkich plików obecnych w pamięci
wewnętrznej, w tym plików baz danych, plików systemowych
i dzienników.
Wyodrębnianie systemu plików jest przydatne do badania struktury plików,
historii przeglądania sieci i historii użytkowania aplikacji na urządzeniu
mobilnym.
Metoda ta częściowo pokonuje szyfrowania z nieznanymi blokadami ekranu.
Najważniejszą częścią wyodrębniania systemu plików
jest pełny dostęp do plików bazy danych na urządzeniu mobilnym. Liczne
aplikacje, takie jak iMessage, SMS, MMS, Kalendarz i inne, przechowują swoje
informacje w plikach baz danych. Gdy użytkownik usuwa dane, które są częścią
bazy danych, takie jak SMS, wpis w tej bazie danych jest oznaczany jako
usunięty i nie jest już widoczny dla użytkownika. Te usunięte dane pozostają
nienaruszone w bazie danych i można je odzyskać, dopóki baza danych nie
przeprowadzi rutynowej konserwacji i nie zostanie wyczyszczona. Po zakończeniu
tego procesu danych nie można już odzyskać. Zaletą jest możliwość odzyskania
części danych. Problemem fakt że bazy danych takich komunikatorów jak WhatsApp,
Facebook Messenger, SnapChat – są szyfrowane. W tej sytuacji Biegły dokonuje
podmiany specyficznych plików w sposób nie naruszający danych użytkownika i przeprowadza
odczyt istniejącej oraz usuniętej korespondencji. Następnie fragmenty pamięci
przywracane są do stanu poprzedniego – a zadaniem Biegłego jest udokumentowanie
sposobu przeprowadzenia całej operacji i wyliczenie sum kontrolnych
świadczących o zachowaniu ciągłości dowodowej.
Czym jest akwizycja fizyczna?
Najbardziej rozbudowaną, ale najrzadziej
wykorzystywaną metodą ekstrakcji jest akwizycja fizyczna. Fizyczne
wyodrębnianie danych jest wykonywane najrzadziej ponieważ uzyskanie pełnego
dostępu do pamięci wewnętrznej urządzenia mobilnego jest całkowicie zależne od
systemu operacyjnego i środków bezpieczeństwa zastosowanych przez producentów,
takich jak Apple Huawei, Samsung Xiaomi i innych. Fizyczna ekstrakcja z urządzenia
mobilnego opiera się na tej samej podstawowej koncepcji, co fizyczne
obrazowanie kryminalistyczne dysku twardego komputera (kopia binarna). Fizyczne
akwizycja polega na wykonywaniu kopii bit po bicie całej zawartości pamięci
flash urządzenia mobilnego. Ta ekstrakcja umożliwia gromadzenie wszystkich
danych istniejących, a także danych, które zostały usunięte lub są ukryte przez
użytkownika.
Akwizycja fizyczna pozwala w dalszym etapie na faktyczne
odzyskanie danych usuniętych w postaci plików użytkownika. Oznacza to, że uzyskuje
się dane znajdujące się poza istniejącymi danymi użytkownika i plikami bazy
danych, takie jak: obrazy, filmy, zainstalowane aplikacje, informacje o
lokalizacji, wiadomości e-mail i inne. Dane te można odzyskać i zinterpretować.
Rozwiązanie to
w dostępnych modelach pozwala na odczyt niezależnie od znajomości kodów PIN,
haseł, blokad typu pattern lock i innych form zabezpieczeń. Niestety stosowane przez
producentów urządzeń rozwiązania technologiczne i zabezpieczające powodują że
nieliczne stare urządzenia można odczytywać samodzielnie z dużym stopniem
ryzyka uszkodzenia danych. Obecnie stosowane Chipsety wymagają nowoczesnych
rozwiązań Informatyki Śledczej.