Metody pozyskiwania danych zawartych w komunikacyjnych urządzeniach mobilnych

Michał Kurzaj

Michał Kurzaj

Rafał Przybylski

Rafał Przybylski

Autorzy reprezentują firmę MKMYDATA.PL. Doświadczenie w zwalczaniu cyberprzestępczości zdobyli w instytucjach bezpieczeństwa publicznego. Posiadają uprawnienia biegłych sądowych oraz wykonują i nadzorują czynności w zakresie techniki specjalnej oraz cyberbezpieczeństwa. Eksperci w odzyskiwaniu danych.

Znacząca część komunikacji prowadzonej między pracownikami administracji publicznej na płaszczyźnie służbowej odbywa się dziś poprzez użytkowanie smartfonów, a wymiana istotnych informacji, w tym również dotyczących szeroko rozumianego bezpieczeństwa, odbywa się z wykorzystywaniem mobilnych urządzeń komunikacyjnych, również prywatnych. Dlatego niezwykle istotnym jest znajomość metod pozyskiwania danych zawartych w tych urządzeniach tak, by zabezpieczyć się przed ich utratą lub ujawnieniem.

    Dzisiejsze czasy to era globalnej cyfryzacji. Prawie każdy jest posiadaczem urządzenia mobilnego, czy to w postaci telefonu komórkowego, tabletu, czy smartwatcha. Za pomocą tych urządzeń wymieniane są informacje, począwszy od tych mało istotnych, zabawnych, osobistych, kończąc na treściach dotyczących pracy, życia zawodowego, finansów, zdrowia czy tajemnic służbowych. Telefon stał się biurem, placem zabaw, oknem na świat, a za jego pośrednictwem nadzorowane są finanse i bankowość, kontakty ze współpracownikami – zarówno werbalnie, jak również poprzez pisanie wiadomości tekstowych czy korespondencję mailową. Urządzenia mobilne towarzyszą ludziom często przez całą dobę, zabierane są wszędzie tam, gdzie się przebywa, a wraz z nimi ogrom informacji. Informacji, o gromadzeniu których przez użytkowane urządzenia, nie zawsze ludzie są świadomi.
    Mało kto zdaje sobie sprawę, że systemy operacyjne i aplikacje mieszczące się w tym sprzęcie, zbierają i przechowują mnóstwo informacji na stylu życia, upodobań czy preferencji. W wielu przypadkach zainstalowane na urządzeniu aplikacje wysyłają mnóstwo treści, również służbowych, na serwery w sieci i tak naprawdę nie wiadomo co się z nimi dzieje, kto ma do nich dostęp i jak są wykorzystywane.

Utrata fizyczna urządzenia mobilnego

    Szczególnie niebezpiecznym rodzajem wycieku danych jest fizyczna utrata urządzenia lub brak kontroli czasowej nad nim. Jest to najczęściej spotykany przypadek wycieku poufnych informacji, w wyniku którego osoby niepowołane mogą uzyskać najwięcej istotnych danych na temat życia prywatnego i zawodowego właściciela urządzenia.
    Często oprócz widocznych danych takich jak treści rozmów, poczty, czy multimediów osoby trzecie mają możliwość wykonania kopii binarnej kości pamięci, a co za tym idzie, dostają możliwość odzyskania treści skasowanych wcześniej przez użytkownika. Występujące najczęściej rodzaje utraty urządzenia czy braku kontroli nad nim to:

1) kradzież urządzenia,
2) zagubienie,
3) wyrzucenie urządzenia po wyeksploatowaniu lub urządzenia niesprawnego,
4) oddanie do serwisu,
5) pozostawienie bez nadzoru, np. w miejscu pracy.

    W takich przypadkach zastosowane zabezpieczenie lub zaszyfrowanie urządzenia nie będzie stanowiło dostatecznej blokady dostępu do danych i bez większych problemów nastąpi rozszyfrowanie lub złamanie blokady dostępu do nich. Osoby niepowołane będą dysponować dostateczną ilością czasu na to, by „popracować” z konkretnym modelem urządzenia i wydobyć z niego jak najwięcej istotnych informacji.

Ważne
Częstymi przypadkami nieautoryzowanego uzyskania danych przez osoby trzecie są kontakty w serwisach telefonów komórkowych. To tam nierzadko osoby niepowołane uzyskują dostęp do informacji przechowywanych na urządzeniu.

    Wyrzucenie do śmieci urządzenia, które dla przeciętnego użytkownika nie stanowi wartości, bo jest zepsute, martwe i bezużyteczne, a jego utrata nie stanowi już zagrożenia często okazuje się bardzo złudne, gdyż dla osób, których celem jest pozyskać poufne informacje może to być jedna z najlepszych okazji, aby uzyskać dostęp do prywatnych lub służbowych danych. Osoby mające zlecenie na „profilowanie” danej osoby, mogą szukać okazji na dostęp do jej sprzętu. A w wielu przypadkach śmietnik może być doskonałym miejscem na pozyskanie danych. Warto pamiętać, że jeżeli zamierza się wyrzucić wyeksploatowane urządzenie to uprzednio należy je zniszczyć mechanicznie, w taki sposób, by zniszczyć zawarty w nim chip pamięci. Oczywiście nie każdy dysponuje wiedzą techniczną i umiejętnościami manualnymi pozwalającymi na permanentne zniszczenie takiego urządzenia, dlatego czasem warto skorzystać z usług zaufanych profesjonalistów.

Po co komu dane urzędnika?

    To niezwykle istotne pytanie, dzięki któremu łatwiej zrozumieć powagę sytuacji, w jakiej można się znaleźć, gdy ktoś przejmie treści zawarte na służbowych i prywatnych urządzeniach mobilnych. Użytkownicy urządzeń mobilnych często w swoich aparatach przechowują mnóstwo służbowych i prywatnych informacji. Są to m.in. kontakty, wiadomości, smsy i mms wymieniane ze znajomymi, współpracownikami czy przyjaciółmi. To również korespondencja z komunikatorów na tematy prywatne i służbowe, zdjęcia, notatki i wpisy w kalendarzu, wszelkiego rodzaju informacje w formie multimedialnej, korespondencja pocztowa itp. Wszystkie te informacje mogą posłużyć osobom trzecim i być przez nie bardzo skutecznie wykorzystane. Prywatne treści mogą posłużyć do szantażowania urzędnika, do wywarcia na nim presji lub przymuszenia do zmiany powziętych wcześniej decyzji w wielu różnych dziedzinach. Informacje dotyczące haseł, adresów portfeli, kont bankowych mogą w prosty sposób przyczynić się do uszczuplenia zasobu finansowego, wyczyszczenia portfela elektronicznego lub konta bankowego. Często zdjęcia prywatnych czy służbowych dokumentów oraz skany przechowywane są w sposób niezabezpieczony w pamięci urządzenia, po prostu w galerii wraz z innymi zdjęciami. Taka niefrasobliwość może skutkować pobraniem pożyczki czy kredytu z wykorzystaniem prywatnych danych osobowych.

Ważne
Obecnie nie jest problemem założenie przez internet konta bankowego z wykorzystaniem danych skradzionych z urządzenia i pobranie np. „chwilówki”.

    Kolejnym istotnym aspektem jest wykorzystanie danych z urządzenia mobilnego do przeprowadzenia ataku na strukturę teleinformacyjną firmy lub placówki, w której dana osoba pracuje lub piastuje ważną lub nawet pośrednią funkcję. W telefonach i tabletach wiele osób przechowuje bezwiednie mnóstwo informacji, które mogą stworzyć olbrzymie możliwości cyberprzestępcy. Zdarza się, że w telefonach zapisywane są hasła do sieci WiFi firmy lub placówki, w której osoba pracuje. Przechowywane są maile służbowe i informacje służbowe, które mogą pomóc przestępcy w zbudowaniu fałszywych adresów internetowych, stron WWW, które mogą posłużyć do ataku socjotechnicznego na pracowników urzędu/firmy i umożliwią przełamanie jej zabezpieczeń teleinformatycznych. Informacje z urządzenia mobilnego mogą pomóc przestępcy poznać strukturę działania danego urzędu lub firmy, ustalić panującą w niej hierarchię oraz rozkład dnia pracowników itp. Wszystkie te informacje mogą przyczynić się bezpośrednio do udanego ataku na placówkę, a co za tym idzie umożliwić pozyskanie dostępu do jej poufnych informacji biznesowych objętych tajemnicą, również tajemnicą państwową, a także dać możliwość wyrządzenia szkód na tle finansowym, wizerunkowym lub ekonomicznym.
    Pozyskanie dostępu do korespondencji, która znajduje się w darmowych komunikatorach zainstalowanych w urządzeniu mobilnym, również nie stanowi dużego problemu dla cyberprzestępcy. To właśnie w tego rodzaju korespondencji ludzie pozwalają sobie na wiele więcej swobody niż przy korzystaniu z poczty elektronicznej czy sms-ów. Korzystając z popularnych i darmowych komunikatorów ma się bowiem często poczucie wysokiego bezpieczeństwa.

Dane przechowywane na urządzeniach mobilnych

    Najbardziej popularne informacje magazynowane przez smartfony i tablety oraz inne urządzenia mobilne to:

1) kontakty,
2) historia połączeń i aktywności użytkownika,
3) notatki,
4) zdjęcia,
5) wiadomości sms i mms,
6) korespondencje z komunikatorów,
7) poczta elektroniczna,
8) pozycje GPS, stacje BTS,
9) hasła,
10) sieci WiFi,
11) dokumenty, publikacje, prezentacje,
12) nagrania głosowe czy obrazowe,
13) wszelkie zdefiniowane aplikacje z dostępem do danych w sieci czy np. monitoringu domu, czy firmy.

    Warto zaznaczyć, że wymieniono tu tylko te najbardziej popularne i istotne informacje, jakie potencjalny cyberprzestępca może pozyskać z urządzenia mobilnego. Całość tych danych odpowiednio przeanalizowana i usystematyzowana może dać ogromną wiedzę osobom, które przejęły taki sprzęt. Wiedza ta może być wykorzystana w celu popełnienia wielu przestępstw i nadużyć, jak również posłużyć do ośmieszenia lub zdyskredytowania właściciela urządzenia w oczach znajomych, współpracowników, wspólników lub społeczeństwa.

Metody bezinwazyjne pozyskania danych

    Ingerencję w urządzenia mobilne podzielić można na dwa sposoby: ingerencję inwazyjną i ingerencję bezinwazyjną.
    Z bezinwazyjną metodą ekstrakcji pamięci urządzenia ma się do czynienia wówczas, gdy nie rozkłada i nie rozbiera oraz nie modyfikuje się urządzenia od strony jego elektroniki, a jedyne czynności wykonywane z urządzeniem to podłączenie go do komputera z oprogramowaniem lub dedykowanego urządzenia przenośnego za pomocą specjalnych kabli serwisowych oraz adapterów pośredniczących. W ten sposób dokonuje się zrzutu pamięci urządzenia. W kolejnym etapie ma miejsce analiza zrzutu pamięci i ekstraktowanie z niej pożądanych informacji, danych i treści. Metoda ta nie zostawia żadnych śladów jej przeprowadzania na „badanym” urządzeniu mobilnym.
    Czas takiej ekstrakcji jest różny i zależny od rodzaju urządzenia, jego modelu, marki, wersji systemu operacyjnego, a także rodzaju zabezpieczenia tego urządzenia. Nie wszystkie modele telefonów czy tabletów są podatne na tę metodę uzyskania dostępu do danych. Producenci dosyć szybko reagują na zmiany w rynku urządzeń mobilnych i cały czas aktualizują swoje urządzenia, aby nadążyły za nowo dystrybuowanymi na rynek sprzętu mobilnego urządzeniami. Metoda bezinwazyjna znakomicie nadaje się do zrzucenia pamięci urządzenia, niekiedy w czasie nieprzekraczającym godziny. Właśnie z tego powodu ważne jest dla bezpieczeństwa poufnych informacji zwracanie uwagi na sprzęt, w którym są przechowywane i w miarę możliwości nietracenie nad nim fizycznej kontroli. Często pozostawienie telefonu, np. w szatni podczas treningu albo wizyty na basenie w zupełności wystarczy do wykonania jego kopii. Wykreowanie sytuacji, które cyberprzestępcy mogą wykorzystać często zależne jest od trybu życia posiadacza urządzenia mobilnego.
    Omawiając wykonanie zrzutów pamięci urządzeń mobilnych należy wspomnieć o rodzajach ekstrakcji danych i krótko je scharakteryzować. Wszystkie rozwiązania bazują na dwóch podstawowych rodzajach zrzutu zawartości pamięci, tj. logicznym i fizycznym. Logicznym zrzutem pamięci jest kopia danych logicznych, czyli odzwierciedlenie istniejących struktur katalogów i plików systemu operacyjnego urządzenia. Wszystkie pliki i katalogi będą skopiowane w takiej formie, w jakiej aktualnie znajdują się w pamięci urządzenia, np. telefonu. Pozyskanie logiczne oznacza wykonanie kopii logicznej obiektów (np. plików czy katalogów) znajdujących się w przestrzeni logicznej urządzenia (np. na partycji systemowej). Przy zastosowaniu ekstrakcji logicznej o wiele łatwiej jest analizować dane, jak również je przeglądać. Wyodrębnienie logiczne struktury pamięci oraz jej synchronizację i interpretację wykonuje się przy użyciu specjalistycznego oprogramowania. Pozyskanie logiczne jest dość prostą metodą i również najszybszą do wykonania.
    Fizycznym zrzutem pamięci jest dokładna (sektor po sektorze) kopia całego fizycznego nośnika danych. Metoda ta jest analogiczna jak w przypadku badania tradycyjnych komputerów. Na kopii fizycznej można zbadać pozostałości usuniętych danych czy plików. Uzyskanie kopii fizycznej pamięci urządzenia jest dużo trudniejsze i wymaga wielu zabiegów oraz doświadczenia, gdyż producenci sprzętu zwykle zabezpieczają go przed bezpośrednim dostępem do pamięci. Dlatego też urządzenie może być zablokowane, a dostęp do niego możliwy tylko dla konkretnego producenta. W tym celu urządzenia służące do ekstrakcji danych mają cały wachlarz komend serwisowych i innych metod, m.in. swój własny bootloader, czyli program służący do rozruchu, dający urządzeniu do pozyskiwania danych dostęp do pamięci urządzenia mobilnego. Tworzenie kopii fizycznej można podzielić w przypadku urządzeń mobilnych na dwie fazy:

1) fazę tworzenia zrzutu pamięci oraz
2) fazę dekodowania i wyodrębniania danych.

Metody inwazyjne pozyskania danych

    Metody inwazyjne stosuje się w przypadku uszkodzenia lub częściowego zniszczenia badanego urządzenia, jak również w sytuacji, gdy metody bezinwazyjne nie dają pożądanego efektu. Wiele osób jest błędnie przekonanych, że skoro ich urządzenie uległo zniszczeniu, jest połamane lub po prostu nie działa, to nie istnieją już możliwości odzyskania z niego danych. Dodatkowo fakt, że było zabezpieczone pinem lub wzorkiem jeszcze bardziej utwierdza użytkownika takiego urządzenia w przekonaniu, że może spokojnie się go pozbyć, bo i tak nic z niego nie da się odzyskać. Niekiedy użytkownicy nie mają świadomości i nawet nie biorą pod uwagę faktu, że ich dane narażone są na nieautoryzowany dostęp. Niestety, nic bardziej mylnego. W wielu przypadkach udaje się odzyskać dane w całości lub w części. Wszystko zależy od tego, jakiego rodzaju dane są poszukiwane i czy przystąpiono do procesu odzyskiwania w sposób profesjonalny. Nieumiejętne postępowanie z pamięcią urządzenia mobilnego może skutkować jej uszkodzeniem i spowodować całkowitą utratę możliwości pozyskania danych.
    Metody inwazyjne można podzielić na dwa następujące sposoby:
1) Jtag,
2) ChipOFF.

    W obu przypadkach następuje odczyt fizyczny urządzenia polegający na zgraniu pełnej kopii pamięci wewnętrznej urządzenia sektor po sektorze. Stosując tę metodę omija się wymagany w metodzie bezinwazyjnej dostęp do chronionych obszarów systemu, dzięki czemu nie jest się zależnym od producenta urządzenia i wersji systemu operacyjnego. Ponadto dostęp do danych często jest utrudniony poprzez zastosowane zabezpieczenia, takie jak PIN, hasło bądź symbol, które najpierw należy złamać. W metodzie Jtag oraz Chipoff pomija się te aspekty.
    Najskuteczniejszą, choć najbardziej zaawansowaną metodą odczytu zawartości urządzeń mobilnych (skasowanej i nieskasowanej) jest podłączenie bezpośrednio do płyty głównej urządzenia za pomocą interfejsu JTAG i zaimportowanie danych do specjalistycznego programu, a następnie przeprowadzenie ekstrakcji zawartości rekordów, baz danych, obrazów, treści itp. Stosuje się wiele programów do interpretacji i analizy zawartości zrzutu ze względu na zróżnicowaną skuteczność do odzyskiwania usuniętej zawartości.
    Obie metody wymagają ingerencji do wnętrza urządzenia. W przypadku podłączenia się do płyty głównej urządzenie (metoda Jtag) pozostanie ono sprawne, natomiast w przypadku zastosowania metody Chip Off istnieje ryzyko, że urządzenie nie wystartuje. W takiej sytuacji można ponownie wlutować pamięć poprzez technikę zwaną rebalingiem. Ponadto proces ten jest długi i czasochłonny, wymaga też użycia specjalistycznego sprzętu. Metodę Jtag stosuje się często w urządzeniach, które po wykonaniu odczytu danych mają być ponownie złożone i funkcjonalne.

Karty rozszerzenia pamięci

    Omawiając urządzenia mobilne należy wspomnieć również o pamięci dodatkowej, którą można powiększyć w formie karty microsd. Na tego rodzaju nośnikach najczęściej magazynuje się filmy, fotografie czy muzykę. Często taki nośnik służy również jako pamięć przenośna, na którą migrują nasze dane między komputerem a urządzeniami mobilnymi. Na tej pamięci często robione są backup-y danych z telefonu, tabletu itp., a co za tym idzie archiwizacja czatów, smsów, mmsów, maili itp. Dostęp do nośników pamięci dodatkowej nie powoduję większych problemów technicznych. W wielu przypadkach takie karty mogą się stać łatwym celem dla osób niepowołanych, którym może zależeć na pozyskaniu danych. Panuje też błędnie przekonanie, że uszkodzona karta, do której nie ma się z jakiegoś powodu dostępu, nie stanowi zagrożenia, a zapisywane i gromadzone tam informację nie są do pozyskania. 

Ważne
Nawet z mechanicznie (fizycznie) uszkodzonej karty rozszerzonej pamięci często udaje się odzyskać dane. Wszystko zależy od tego, w jakim stopniu jest uszkodzona i czy np. podczas jej nadłamania czy nawet złamania lub ukruszenia, nie uszkodziła się tzw. pamięć NAND znajdująca się w monolicie.

    Do odzyskiwania danych z kart rozszerzonej pamięci można skorzystać z istniejących na rynku specjalistycznych rozwiązań takich jak czytniki i programatory pamięci NAND.

Znaczenie bezpieczeństwa przepływu informacji

    Bezpieczeństwo jest wartością bezcenną, pożądaną przez wszystkich, bez wyjątku. Informacja jest narzędziem, które to poczucie bezpieczeństwa może zburzyć, a nawet zupełnie zniweczyć. Dlatego też potrzeba zabezpieczenia anonimowości przepływu informacji staje się w dzisiejszych czasach priorytetowa. Tekst, wiadomość głosowa, multimedia, prywatne dane, informacje dotyczące bliskich, kont bankowych, czy tajemnic służbowych, w tym również tych najbardziej wrażliwych, poufnych i tajnych to dane, których powinno się utracić w niekontrolowany sposób. Dlatego należy wprowadzić zabezpieczenia tych urządzeń. Minimalnym zabezpieczeniem, niestety łatwym do przełamania, są hasła i blokady ekranu. Zawsze jednak jakikolwiek stopień zabezpieczenia stwarza już problemy dla osób, które w nieuprawniony sposób chcą wejść w posiadanie danych. Najskuteczniejszą metodą zabezpieczenia urządzenia mobilnego dla większości osób jest szyfrowanie telefonu. Zabieg taki pozwala osiągnąć bardzo wysoki poziom bezpieczeństwa. Jednak należy pamiętać, że gdy osoby trzecie wejdą w posiadanie klucza szyfrującego lub hasła do telefonu nie będą mieć problemu ze zrobieniem kopii urządzenia. Dobrym nawykiem jest więc co jakiś czas zmieniać hasła lub wzorki zabezpieczające. To tak niewiele, a w wielu przypadkach może uchronić przed pozyskaniem z urządzenia mobilnego ważnych informacji.
    Natomiast nie powinno szyfrować się kart rozszerzenia pamięci, bo istnieje ryzyko, że stracą właściwość nośnika zewnętrznego służącego do migracji danych między komputerem, a np. telefonem. Zdecydowanie korzystniej zakładać szyfrowane „kontenery” lub eksportować kopie i ważne dane. Nie należy też robić tzw. pamięci wewnętrznej z kart microsd, bo dość często ulegają awarii, co skutkuje problemem z odzyskiem zawartych na nich danych. Warto również korzystać z wachlarza obecnych na rynku aplikacji, nie tylko bezpłatnych, służących do zabezpieczenia danych na urządzeniach mobilnych. Zawsze przed dokonaniem wyboru należy przeanalizować potencjalne zyski i straty, które mogą towarzyszyć utracie danych.
    Niezmiennie i w każdej sytuacji wskazane jest zachowanie kontroli nad użytkowanym sprzętem oraz rozsądne przekazywanie treści, ze świadomością ich wagi i wartości, jaką stanowią. Ważne też, by beztrosko nie wyrzucać wyeksploatowanego sprzętu, bez uprzedniego profesjonalnego zniszczenia jego zawartości.
    Istotnym jest zgłębianie własnej wiedzy na ten temat, ale również przeprowadzanie tematycznych szkoleń wśród współpracowników czy podległych pracowników. Pozyskane informacje, a co za tym idzie wprowadzenie stosownych rozwiązań, będą skutkować podniesieniem standardów bezpieczeństwa przesyłanych danych w organizacji. Zdecydowanie lepiej bowiem zapobiegać, niż ponosić skutki korzystania z niezabezpieczonych urządzeń mobilnych.

Materiał powstał na podstawie raportu „Zagrożenia wynikające z użytkowania niezabezpieczonych mobilnych urządzeń komunikacyjnych” przygotowanego przez MKMYDATA.PL na zlecenia firmy UseCrypt. Raport został przekazany m.in. Kancelarii Prezesa Rady Ministrów.