Z ramienia garnizonu łódzkiego udział w projekcie wzięli funkcjonariusze Laboratorium Kryminalistycznego i Wydziału dw. z Cyberprzestępczością KWP w Łodzi, którzy są współautorami tzw. bazy dobrych praktyk, zawierającej wskazówki dla policjantów wykonujących czynności operacyjne w zakresie zwalczania cyberprzestępczości.
Chip-off w informatyce śledczej
Kiedy zawodzą tradycyjne metody odczytu danych z telefonów komórkowych, trzeba sięgnąć po mniej konwencjonalne rozwiązania. Jednym z nich jest tzw. chip-off.
Z problemem odczytu danych spotyka się każdy biegły z dziedziny informatyki, dlatego poniżej opiszemy przykładową procedurę chip-off.
Prowadząc badania urządzeń mobilnych, takich jak np. telefony komórkowe, możemy spotkać się z sytuacją uszkodzenia urządzenia lub jego części. Nas jednak interesują wyłącznie zapisane w nim dane. W przypadku uszkodzenia telefonu można wykonać tzw. chip-off, czyli odseparowanie kości pamięci (zawierającej dane) od płyty głównej urządzenia.
BADANIE PAMIĘCI
Przykładowe badania przeprowadzono na telefonie komórkowym marki Samsung, model GT-I9505 z kością pamięci eMMc firmy Toshiba o numerze THGBM5G7A4JBA4W i pojemności 16 GB. Do ich przeprowadzenia potrzebny jest następujący sprzęt i oprogramowanie:
• lutownica na gorące powietrze (hot air) lub podczerwień (infrared – IR),
• nagrzewnica do płyt PCB,
• topnik do lutowania – np. Flux,
• plecionka do czyszczenia grotu lutownicy,
• zestaw szczypców i podważaków,
• sprzęt do odczytu danych z kości pamięci, np. Medusa Pro Box lub oprogramowanie równoważne,
• oprogramowanie Forensic do analizy danych.
W początkowym etapie metoda ta polega na użyciu specjalistycznego urządzenia generującego punktowo stałą temperaturę na płytkę z układem scalonym, co prowadzi do roztopienia lutowia i odseparowania chipa od płyty głównej. Warto wspomnieć, że po przeprowadzeniu badań metodą chip-off urządzenie nie będzie nadawało się do ponownego użycia, chyba że ktoś zdecyduje się na ponowne wlutowanie kości pamięci do układu – czyli tzw. reballing. Z uwagi na inwazyjny charakter metody stosowanie jej powinno być ostatnim krokiem do uzyskania danych z kości pamięci. Do najczęściej występujących zagrożeń związanych z procesem separacji chipa należą:
• przegrzanie chipa – użycie zbyt wysokiej temperatury, która może prowadzić do termalnej degradacji i uszkodzenia kości pamięci; w takim wypadku odczytanie danych staje się bezpowrotnie niemożliwe;
• niedogrzanie i zbyt duży nacisk – może zakończyć się wyłamaniem „padów”, za pomocą których chip jest podłączony do układu scalonego; w takim wypadu odczytanie danych staje się bezpowrotnie niemożliwe.
CHIP-OFF KROK PO KROKU
Wylutowanie chipa najlepiej wykonać przy użyciu lutownicy na rozgrzane powietrze w zakresie temperatur 360–380 stopni lub nagrzewnicy do płyt PCB (np. na podczerwień). W drugim przypadku możliwe jest wcześniejsze przygotowanie kości pamięci przez podgrzanie całego układu elektronicznego po obu stronach (od góry i od dołu układu scalonego).
Istotne jest równomierne podgrzewanie kości, by nie dopuścić np. do jej przegrzania czy wygięcia. W przypadku wykorzystywania lutownicy na podczerwień IR należy pamiętać o użyciu taśm ochronnych, które zabezpieczą pozostałą część elektroniki, w przypadku gdyby zachodziła potrzeba ponownego wlutowania pamięci i dalszego użytkowania badanego urządzenia.
Po wylutowaniu i ostudzeniu kości pamięci bardzo ważną kwestią jest dokładne wyczyszczenie wszystkich pinów, czyli styków odpowiedzialnych za połączenie z czytnikiem. Podczas procesu wylutowania mogą powstać tzw. mostki między poszczególnymi pinami (dwa lub więcej pinów mogą być ze sobą połączone spoiwem, którym były przymocowane do płyty głównej). Następstwem tego mogą być błędy, a co za tym idzie – brak możliwości odczytu zawartości badanej pamięci.
W celu oczyszczenia kości pamięci z pozostałej po wylutowaniu cyny najlepszym sposobem do przeprowadzenia tego typu czynności jest użycie plecionki. Jest to taśma (2- lub 3-milimetrowa) zbudowana z drobnych, splecionych ze sobą drucików, do których przywiera rozgrzana cyna.
Kolejną istotną kwestią jest poprawne zamontowanie pamięci w czytniku, za pomocą którego będą odczytywane dane. Każda pamięć ma specjalne oznaczenie w postaci „kropki”, którą należy zgrać z oznaczeniem na czytniku.
Odczyt danych metodą chip-off możliwy jest także dzięki komercyjnym narzędziom różnych firm w postaci sprzętu i oprogramowania służących do odczytu danych z kości pamięci.
Po odczytaniu zawartości pamięci i sporządzeniu jej obrazu do postaci pliku można przystąpić do badań przy użyciu oprogramowania Forensic do analizy danych.
SZYBCIEJ I OSZCZĘDNIEJ
Opisana metoda odczytu danych jest metodą alternatywną, którą należy stosować w ostateczności – kiedy inne dostępne metody są nieskuteczne, bądź nie jest możliwe ich zastosowanie.
Odczyt danych metodą chip-off można stosować przy stosunkowo niewielkim nakładzie środków finansowych. Kupno lutownicy na rozgrzane powietrze, sprzętu do odczytu danych oraz akcesoriów do lutowania to koszt zaledwie kilku tysięcy zł. W porównaniu z kosztami sprzętu i oprogramowania firm specjalistycznych, którego wartość liczona jest w tysiącach euro, daje to możliwość zaoszczędzenia dużej kwoty. Ponadto chip-off nie wymaga wielodniowych, kosztownych szkoleń. Metody tej jest w stanie nauczyć się każda osoba mająca odrobinę zdolności manualnych oraz cierpliwość. Jest to sposób, który nie wymaga poświęcenia dużej ilości czasu. Dzięki tej metodzie możliwy staje się również odczyt danych z urządzeń posiadających aktywną blokadę pattern lock, bez ich modyfikacji.
tekst i zdjęcia
podkom. mgr inż. MICHAŁ PARAFINIUK,
sierż. mgr inż. BARTOSZ MALUGA
(Tekst powstał w oparciu o wiedzę zdobytą podczas projektu szkoleniowego „Doskonalenie zawodowe organów ścigania na rzecz zwalczania cyberprzestępczości” realizowanego w ramach programu Erasmus+)