فرایند جمع آوری اطلاعات تحت موبایل
(صحنه جرم) گردآوری :ش .برزگ نیا جرم شناسی مرداد 1395
فهرست مطالب
مقدمه
مراحل تحقیقات جرم یابی موبایل
تقسیم بندی گوشی های موبایل
فرایندهای مرحله Preservation
محدودیت ها
فرایندها
چالش اول :On-Off state
چالش دوم : Isolation
چالش سوم : Identification of the phone
چالش چهارم : یافتن گوشی در یک مایع
Packaging, Transporting, and Storing Evidence
Documenting the Scene
Securing and Evaluating the Scene
فرایند های مراحل Acquisition
Device Identification
2
مقدمه :
در راستای جرم یابی موبایل همانند دیگر جرم یابی های
دیجیتال فرایند ها و پردازش های مختلفی وجود دارد
که به صورت سریال و به دنبال یکدیگرانجام شده
و پروسه جرم یابی راکامل می نمایند.این فرایند ها
شامل موارد مختلفی می باشند که در شکل زیر
به آنها اشاره شده است.
3
مراحل تحقیقات جرم یابی موبایل
صحنه جرم :
Preservation
Acquisition
آزمایشگاه :
Acquisition
Examination
Analysis
Reporting
4
تقسیم بندی گوشی های موبایل
General Phone ( Nokia, LG, Samsung)
Blackberry
Chinese mobile
5
فرایندهای مرحله Preservation
هدف از این روال ها حفظ شواهد دیجیتالی است که در محل های غیر لابراتواری قرار گرفته اند به منظور حفظ تمامیت و درستی آنها برای پردازش های جرم یابانه آینده.
مشکلاتی که می تواند در این مرحله روی دهد :
تلفن در یک مایع یافت شود.
مشخص کردن نوع گوشی.
چالش های خاموش و روشن کردن گوشی.
ایزوله کردن.
6
تجهیزات مورد نیاز این مرحله
کیت پاسخ گویی جرم یابی دیجیتال شامل موارد زیر می شود :
1. Digital camera
2. Sterilized removable media
3. Forensic computer
4. Hardware write-blocking devices
5. Forensically sound boot disks
6. Mobile device acquisition tools
7. Tool kit (screw drivers, etc.)
8. Evidence packaging materials
7
محدودیت ها
دستگاههای روشن به علت ارتباطات شبکه ای مستعد تخریب داده هستند.
دستگاههای موبایل ممکن است به علت اتمام شارژ یا خاموش شدن اطلاعاتی را از دست بدهند یا اقدامات امنیت بیشتری را آغاز کنند.
مسدود کردن سیگنال RF: ممکن است باتری تخلیه شود، ممکن است گران باشد، همیشه این روش موفق نیست.
برخی از قطعات و دستگاه های مستعد تخریب فیزیکی فوری هستند و باید به صورت فیزیکی امن باشند
دستگاه ممکن است با یک رمز عبور، PIN، Token و یا سایر مکانیزم احراز هویت محافظت می شود، مظنون ممکن است در مصاحبه اولیه برای یافتن این اطلاعات مورد پرس و جو قرار گیرد
8
فرایندها
عمومی
اطمینان از ایمنی تمام افراد صحنه
حفاظت از یکپارچگی شواهد
ارزیابی صحنه و تدوین و فرموله کردن یک طرح جستجو
همه شواهد بالقوه باید امن، مستند، و / یا از آنها عکس گرفته شده باشد.
مصاحبه با افراد.
هر آیتمی که از صحنه حذف شود باید به درستی بسته بندی شده و محافظت شود.
موبایل
مستند کردن مکان و شرایط تمام دستگاه ها و اطلاعات روی صفحه نمایش آنها.
در صورت امکان باتری دستگاه از آن جدا شود، در غیر اینصورت خاموش شود.
جستجوی صحنه برای یافتن دستگاهها، رمز عبور، یا اطلاعات مناسب دیگر.
9
Secure the scene
Protect the integrity of electronic device
Formulate the search plan
Evaluate the scene and search for all electronic devices.
Document the entire scene by creating a permanent record of the scene.
Is there a need for other forensic analysis (DNA etc)
Contact medical forensic team.
Has the phone been found in a liquid?
Remove the battery
Is the liquid caustic?
Store the phone (excluding the battery) in a re-closable glass basket filled with the same fluid as in which it has been found.
If possible try and identify the model and make of the phone.
Is the phone switched on?
Take all measures to not interrupt the power supply and isolate the phone from radio signals.
Secure the phone with all accessories.
Follow the investigative technique to know as much about the electronic device as possible (PIN, model, etc)
Follow strict procedure for documentation packaging, transportation and storage given in.
acquisition
Y
Y
Y
Y
N
N
N
N
10
چالش اول :On-Off state
تلفن های معمول (Nokia, Samsung, LG)
اگر دستگاه روشن بود، آنرا خاموش نکنید.
خاموش کردن دستگاه ممکن است قفل های آنرا فعال کند.
اگر دستگاه خاموش بود، آنرا روشن نکنید.
روشن کردن دستگاه می تواند شواهد را تغییر دهد.
Blackberry devices
این گوشی دائما در حال انتقال پیام است. اطلاعات می تواند در هرلحظه از زمان میان آنتن های رادیویی انتقال یابد.
خاموش ==> خاموش
روشن ==> امواج رادیویی را غیر فعال کنید.
دستگاه های چینی
یکی از چالش های دانش جرم یابی این دستگاهها هستند زیرا از هیچ استانداردی پیروی نمی کنند و مشخص نیست که دستگاه در سناریوهای مختلف چه رفتاری نشان می دهد. آنالیز تعداد کمی از گوشی های چینی مانند Sciphone i68 ( کپی از IPhone)، کپی N95، کپی Moto Razr نشان داد که اگر برای مدت 5-10 دقیقه باتری آن خارج شود اطلاعات موقتی پاک نمی شود.
11
چالش دوم : Isolation
خاموش کردن دستگاه :
خاموش کردن گوشی ممکن است کدهای احراز هویت (به عنوان مثال، SIM PIN و / یا گوشی کدهای امنیتی)، که برای دسترسی به دستگاه مورد نیاز است را فعال کند، و این کار فرایند پردازش را پیچیده می کند.
محفظه های شیلدینگ :
نگه داشتن گوشی در حالت روشن، اما شیلد شده، به دلیل افزایش مصرف برق برای اتصال به شبکه به سرعت عمر باتری کاهش می دهد. بعد از چند دوره عدم اتصال به شبکه، ممکن است باعث شود برخی از گوشی ها برای تنظیم مجدد و یا پاک کردن داده های شبکه اقدام کند در حالی که ممکن است این اطلاعات برای ما مفید باشد. محفظه ها سیگنال های رادیویی راکاهش می دهند، اما لزوما به طور کامل آن را از بین نمی برند، اجازه ارتباطات با یک برج همراه را میدهند، اگر در مجاورت آن باشد. البته خطر اینکه محفظه اشتباها اجازه دسترسی های ناآشنا را به دستگاه بدهد زیاد است.
12
استفاده از ناحیه کاری شیلد شده :
شیلد کردن کل فضای کاری بسیار گران می باشد. استفاده از Faraday tent برا ی شیلد کردن کل فضای کاری گزینه مناسبی است و قابل حمل نیز می باشد.
Aireplane Mode:
فعال کردن "حالت هواپیما" نیاز به تعامل با تلفن از طریق صفحه کلید دارد، که ممکن است برخی ریسک ها را به همراه داشته باشد – کمتر از آن، اگر تکنسین آشنا با دستگاه را در سوال و اسناد اقدامات صورت گرفته (به عنوان مثال، بر روی کاغذ و یا بر روی ویدئو) است.
برنامه های مخرب :
LockMe12
OmaiProtect13
نوکیا 6210
13
چالش سوم : Identification of the phone
در بررسی تلفن همراه، اولین اقدام باید مشخص کردن نوع تلفن همراه باشد. با توجه به این که حامل های مختلف شبکه (حداقل هفده در ایالات متحده به تنهایی) وجود دارد و تولید کنندگان دستگاه (بیش از سی مورد در ایالات متحده)، شناسایی گوشی توسط چشم به تنهایی بسیار مشکل است حتی برای محققان آموزش دیده. یک مدل ارائه شده از یک تولید کننده سخت افزار واحد ممکن با استفاده از بسیاری از نام های مختلف از حامل های مختلف است به بازار عرضه شود. نمونه خوبی از این موضوع موتورولا RAZR است که به تازگی محبوب شده است و تحت حداقل 24 نام محصول مختلف به بازار عرضه شده. تا زمانی که محقق باتری دستگاه را حذف نکرده تشخیص مدل گوشی غیر ممکن است، اما از بین بردن باتری می تواند باعث از دست دادن اطلاعات ذخیره شده در حافظه فرار شده، و یا حتی بدتر از آن، فعال شدن قفل گوشی در هنگان روشن کردن دوباره آن.
14
راههای شناسایی مدل گوشی
تشخیص چشمی :
ممکن است گوشی از مدل های رایج نبوده و به این روش تشخیص داده نشود.
اینترنت :
پایگاه داده های مختلف در اینترنت وجود دارد که در آنها تلفن همراه به همراه عکس گوشی موجود است. می توان از طریق این سایت ها اقدام به شناسایی مدل گوشی کرد.
اگر از این طریق این دو روش شناسایی ممکن نبود :
اگر گوشی خاموش بود :
معمولا زیر باتری شماره سریال IMEI خود را همراه با دیگر داده های شناسایی از قبیل آدرس MAC نوشته شده است.
اگر گوشی روشن بود :
با تایپ * # 06 # ، IMEI گوشی نمایش داده می شود. این روش آخرین انتخاب است زیرا هدف ما کمتری تعامل ممکن با تلفن همراه است.
15
چالش چهارم : یافتن گوشی در یک مایع
در این صورت برای جلوگیری از اتصال کوتاه باید فورا باتری گوش از آن جدا شود.
اگر مایع مورد نظر اسیدی نبود:
باقی مانده از تلفن باید در یک ظرف مناسب پر شده با مایع قرار داده شود و برای انتقال به آزمایشگاه مهر و موم شود.
اگر مایع اسیدی بود:
حفظ امنیت گوشی.
16
Packaging, Transporting, and Storing Evidence
متخصص باید دستگاه را در یک کیسه مدرک استاتیک قرار داده، مهر و موم کند و برچسب بزند.
فردی که دستگاه را توقیف کرده باید برچسب بسته را، به منظور حفظ زنجیره حفاظت، امضا کرده و تاریخ بزند.
استفاده از محفظه های مستحکم.
استفاده از محفظه های ایزوله برای انتقال.
حفاظت در برابر ضربه، شکستگی، و درجه حرارت شدید.
17
Documenting the Scene
جمع آوری شواهد غیر الکترونیکی
برچسب زدن به شواهد
عکاسی از صحنه جرم
رکوردگیری از تمام داده های قابل
از دست زدن و یا آلودن گوشی در هنگام عکاسی از آن و محیطی که در آن یافت شده است اجتناب کنید.
تهیه عکس ازمحتویات صفحه نمایش
داشتن یک فرد مسئول برای انجام وظایف نگهبانی از شواهد در صحنه، در کنار یک همکار مسئول مستندسازی شواهد
18
اقدامات انجام شده بر روی سیستم برای مشاهده و ثبت داده های فرار می تواند در وضعیت دستگاه تاثیر می گذارد. به عنوان مثال، راه اندازی نرم افزار بر روی یک تلفن هوشمند می تواند باعث بازنویسی بخش هایی از حافظه شود. علاوه بر این، خطر فعال شدن Trojan horse پنهان در درون نرم افزار و یا به طور تصادفی وارد کردن یک توالی کلیدی نادرست، و بروز عوارض ناخواسته.
مستندسازی باید به سوالات زیر پاسخ دهد :
چه کسی آنرا جمع آوری کرد؟
چگونه و چرا؟
چگونه ذخیره شده و از آن محافظت گشته؟
چه کسی آنرا از انبار بیرون آورد و چرا؟
19
Securing and Evaluating the Scene
کسب مجوز برای تحقیقات
آگاهی از ویژگی های دستگاه ها و مسائل مرتبط
منابع شواهد تلفن های همراه عبارتند از:
دستگاه
(U) سیم کارت
media
لوازم جانبی مرتبط و مناطق اطراف
خاموش نمودن رابط های بی سیم مانند بلوتوث و رادیوهای WiFi، تجهیزاتی که به منطقه جستجو برده شدهه
مظنون هرگز نباید دسترسی به تلفن های همراه و یا دیگر دستگاه های تلفن همراه داشته باشد. بسیاری از تلفن های دارای کد تنظیم مجدد هستند که محتویات گوشی را پاک می کنند.
جمع آوری دستگاههای آسیب دیده
20
فرایند های مراحل Acquisition
مرحله اکتساب زمانی آغاز می شود که دستگاه بعد از حفظ و انتقال به لابراتوار آورده می شود.
Acquisition فرآیند image گیری و به دست آوردن اطلاعات از دستگاههای دیجیتالی و تجهیزات وابسته به آنهاست.
انجام این مرحله در صحنه جرم این مزیت را دارد که از فرایند از دست رفتن اطلاعات به دلیل تقلیل باتری یا آسیب و یا موارد دیگر در طول حمل و نقل و ذخیره سازی جلوگیری می کند.
21
22
Device Identification
برای پردازش موثر، نیاز است که سازنده، مدل و Service provider دستگاه مشخص شود.
این اطلاعات به محقق کمک میکند که ابزارهای مناسبی را برای فرایند استخراج بکار بندند. افراد ممکن است برای پنهان کردن هویت دستگاه اقدام به تغییر در آن بزنند.
ممکن است که سیستم عامل و برنامه های کاربردی اصلاح شده و یا در موارد نادر به طور کامل جایگزین شود.
مواردی که به تشخیص دستگاه کمک می کند شامل موارد زیر است :
Device Characteristics
Device Interface
Device Label
Reverse Lookup
23
با تشکر از بذل توجه شما
24