Go to Top

Wyzwanie dla informatyki śledczej – stare dane na nowych pendrive’ach

USB

Na międzynarodowej konferencji informatyki śledczej w marcu tego roku eksperci i współpracownicy organów ścigania ujawnili poważne wyzwanie dla śledczych, którzy starają się uzyskać prawomocny dowód winny (lub niewinności) poprzez analizę danych z pamięci USB. Zarówno Martin Westman, ekspert ds. informatyki śledczej i nośników pamięci, jak i Aya Fukami z japońskiej Krajowej Agencji Policji znaleźli dowody na to, że w niektórych przypadkach stare dane pochodzące od byłych użytkowników można znaleźć na zupełnie nowych pendrive’ach.

Nietypowe odkrycie

Jesienią 2016 roku szwedzki użytkownik dokonał niewiarygodnego odkrycia. Kiedy umieścił w laptopie pendrive’a swojej córki, oprócz jej zdjęć ślubnych znalazł również… zdjęcie prawa jazdy osoby pochodzącej z Chile. Było to dla niego wielkim zaskoczeniem, ponieważ córka nigdy nie miała kontaktu z tym człowiekiem, a pamięć USB została sprzedana jej jako „zupełnie nowa”. Zaalarmowany tą wiadomością Westman zaczął badać problem i odkrył, że zdarza się to w przypadku standardowych chipów pamięci eMMC częściej, niż można przypuszczać…

Zdaniem ekspertów stanowi to poważny problem dla ekspertów ds. informatyki śledczej. Na pierwszy rzut oka nie mogą być pewni, że dane, które znajdują się w pamięci USB, pochodzą wyłącznie od aktualnego użytkownika, który jest zaangażowany w dochodzenie karne lub sądowe. W związku z tym w przyszłości trzeba będzie przeprowadzić bardziej intensywną analizę, aby upewnić się, że znalezione dane rzeczywiście pochodzą od tego konkretnego użytkownika. Do tej pory łańcuch dowodowy wyglądał następująco: jeżeli w pamięci znaleziono treści przestępcze, np. pornografię, wystarczyło to do wszczęcia postępowania.

Teraz w cały proces trzeba będzie włożyć jednak znacznie więcej pracy. Jeśli konsultant nie jest pewien, czy dane pochodzą od obecnego właściciela pendrive’a, cała historia danych musi zostać ujawniona. W tym celu należy sprawdzić metadane plików – dokumentów lub zdjęć. Dodatkowo należy odczytać numery seryjne wbudowanych chipów pamięci. Dzięki temu numerowi i odpowiedniemu numerowi ID urządzenia można zidentyfikować byłego właściciela smartfona.  Następnie śledczy muszą sprawdzić, czy konkretna treść pochodzi od aktualnego użytkownika, czy poprzedniego właściciela smartfona. Jak widać, proces ten jest znacznie bardziej czasochłonny, ale nadal pozwala zgromadzić solidne dowody.

Co będzie najlepsze dla zwykłego użytkownika?

Najlepszym sposobem, aby uniknąć takich sytuacji, jest kupno nie najtańszej dostępnej pamięci USB, ale zakup produktu znanej marki i producenta. Dlatego też kupowanie tanich pendrive’ów w chińskim sklepie internetowym może nie być dobrym pomysłem. Można na nich bowie znaleźć nie tylko stare dane pochodzące od nieznanych osób, ale mogą one również zawierać wirusy.

Przypadki te pokazują również, jak ważne dla każdego użytkownika powinno być zachowanie szczególnej ostrożności względem własnych danych na starych smartfonach. W internecie lub w sklepach stacjonarnych można trafić na wielu nabywców starego sprzętu, który kolejno jest sprzedawany na części. Wbudowane chipy pamięci zostają następnie ponownie wykorzystane do produkcji „zupełnie nowych” pamięci USB. Dlatego też konieczne jest bezpieczne usunięcie wszystkich danych ze smartfonów lub innych zewnętrznych pamięci flash przed ich sprzedażą, lub wyrzuceniem.

Ponieważ pamięci flash różnią się od nośników magnetycznych, nie można ich bezpiecznie i całkowicie wymazać za pomocą zwykłego oprogramowania do kasowania danych. Należy użyć specjalnego oprogramowania, takiego jak na przykład Blancco Mobile Device Eraser. W przeciwnym razie, specjaliści ds. odzyskiwania danych będą mogli te dane przywrócić.


Zdjęcie pochodzi z serwisu www.pixabay.com/CC0 license

, , , , ,

One Response to "Wyzwanie dla informatyki śledczej – stare dane na nowych pendrive’ach"

  • Kaleron
    27 października 2017 - 17:38 Reply

    Czy ten artykuł jest o pendrivach, czy o smartfonach? Czy chaos i pomieszanie wątków są zasługą autora, czy tłumacza? A może to celowy zabieg marketingowy? Tylko czemu miałby służyć?

    Pamięci eMMC wskazują na smartfony. I w smartfonach faktycznie o wiele łatwiej może dojść do takiej sytuacji. Demontaż sprawnych podzespołów ze starych lub uszkodzonych urządzeń, przepakowanie ich do nowych, ładnych obudów i pudełek…mamy nowy produkt w atrakcyjnej cenie. Akurat na mało zasobne kraje trzeciego świata. Im niższa kultura techniczna takiego rynku, tym lepiej.

    W pendrivach dwa razy zdarzyło mi się spotkać karty pamięci w monolicie z niesprawnym kontrolerem przylutowane przez wyprowadzenia technologiczne w charakterze układu pamięci. Mogły to być odpady produkcyjne, a mogły być i używane, ale tego na pewno nie zrobił amator ze śrubokrętem. Poza tym zastosowanie innego kontrolera i innych algorytmów zapisu z prawdopodobieństwem graniczącym z pewnością załatwia sprawę potencjalnych starych danych. Wiem, że to nie statystyka, ale ani jeden ani drugi klient nie wrócił z pretensją, że dostał cudze dane. A klienci potrafią wrócić i mieć żale, że odzyskało się też coś, co nie powinno było ujrzeć światła dziennego.

    W smartfonie jest inaczej – człowiek ze śrubokrętem wstawia działającą, wyciągniętą z uszkodzonego mechanicznie urządzenia płytkę do pasujących plastików i jedyne, co musi umieć, to nie pozrywać gwintów. Oczywiście system w takim pseudonowym smartfonie musi prezentować stan a’la fabryczny, a więc proste, przypadkowe odnalezienie zdjęć poprzedniego użytkownika jest mało prawdopodobne. Tego typu sytuacje łatwo mogły by zdemaskować szachrajski interes.

    Na ile uzasadnione ekonomicznie jest wykorzystywanie starych podzespołów i elementów do wytwarzania nowych? Kupując smartfony w cenie elektrozłomu na pewno można z nich wyciągnąć tyle dobrych i działających części, by można było nieźle zarobić na ich przepakowaniu do nowych obudów. Ale pendrivy? Samo wylutowywanie układów z elektrozłomu w imię potencjalnych kilku euro za refabrykowanego pendriva wydaje się absurdem ekonomicznym. A potem trzeba układy wyczyścić, wyprostować nogi, przetestować, dobrać w odpowiednie konfiguracje, polutować na płytkach, zaprogramować…a…zapomniałbym o nowych obudowach…ale to faktycznie jakieś śmieszne centy w stosunku do pozostałych kosztów tego procederu.

    Zakładając, że szwedzki użytkownik, o którym mowa na wstępie artykułu, nie był specjalistą w dziedzinie odzyskiwania danych i informatyki śledczej, a w dodatku psychopatą kontrolującym swoją zamężną i zapewne dorosłą córkę, wyjaśnienia zdjęcia z Chile szukałbym w okolicznościach zakupu pendriva. Być może jego córka pojechała w podróż poślubną do Chile, być może właśnie tam kupiła pendriva, może się po prostu nie dogadała, a może sprzedawca opiera swój biznes o sprzedawanie jako nowych przedmiotów używanych, znalezionych, a nawet kradzionych. Ale obce zdjęcie musiało się jakoś na tym pendrivie (w układzie pamięci) znaleźć. I jeżeli było widoczne po podłączeniu do komputera, to przetrwało nie tylko w blokach układu NAND, ale i w strukturze logicznej systemu plików. A więc jeżeli ten przypadek miał służyć pokazaniu, że na nowych nośnikach mogą się znajdować cudze dane, to jest bardzo nieadekwatny przykład. Nawet po prostym sformatowaniu takie zdjęcie nie wyskoczyłoby samo podczas przeglądania innych, a trzeba by było go poszukać. Przyjęcie na wiarę, że ten pendrive faktycznie mógł być fabrycznie nowy obraża inteligencję czytelnika.

    Jeśli jednak ktoś chciałby wydać pieniądze tanie fleszki…w sezonie wakacyjnym zawsze mamy więcej klientów z zakupionymi na straganach bliskowschodnich kurortów kartami pamięci. Zazwyczaj chodzi o odzyskanie zdjęć zrobionych w tychże kurortach. Aparat je robi, zapisuje na karcie, czasem nawet można je przeglądać na aparacie…ale po powrocie do domu nie da się ich zgrać na komputer.. Pliki znikają albo są, ale się nie otwierają. Albo karta prosi o sformatowanie. Nie będę się tu rozwijał na temat technicznych przyczyn takich sytuacji, ale wspólny mianownik zazwyczaj jest taki, że całe bloki układów są po prostu puste. Z tym niestety już nic nie da się zrobić. Jak coś nie spełnia wymogów jakościowych w jednym kraju, należy to sprzedać w drugim…Proste?

    Zaś odnosząc się do bezpiecznego kasowania danych z nośników wykorzystujących układy Flash-NAND – trzeba wiedzieć, że adresacja LBA nie pokrywa wszystkich fizycznych bloków pamięci. Mało tego – przyporządkowanie adresów LBA do bloków fizycznych zmienia się z każdą operacją kasowania lub zapisu. Dlatego jedynym sposobem gwarantującym nieodwracalne usunięcie informacji jest skasowanie każdego fizycznego bloku pamięci.
    Jest też druga strona medalu. Kiedy usuniemy jakieś dane z takiego nośnika, o wiele łatwiej ulegną one nieodwracalnemu zniszczeniu. Z każdą operacją kasowania i zapisu ich odzyskanie jest coraz mniej prawdopodobne. Z tego punktu widzenia naprawdę lepiej jest, żeby urządzenie się zepsuło niż stracić dane w wyniku błędu użytkownika.
    Oczywiście złośliwe urządzenia najpierw kasują to, na czym nam najbardziej zależy, a to, co chcielibyśmy usunąć ukrywają w nieskończoność w jakichś blokach, które cicho siedzą i nie wychylają się dopóki nie zacznie w nich grzebać jakiś specjalista.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *