Embed Size (px)
Citation preview
Računalna forenzika FER, 2018 1
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Forenzika ugradbenih računala
Filip Žigun
Računalna forenzika FER, 2018 1
1 SADRŽAJ
1 Sadržaj ................................................................................................................................................... 1
2 Uvod ...................................................................................................................................................... 2
3 Prikupljanje podataka ............................................................................................................................ 3
3.1 Pripremanje uređaja za forenzičku analizu .................................................................................... 3
3.1.1 Forenzičko odlemljivanje komponenti ................................................................................... 3
3.2 Prikupljanje podataka iz trajne memorije ...................................................................................... 4
3.2.1 Flash memorija ...................................................................................................................... 4
4 Metode prikupljanja podataka s ugradbenih računala .......................................................................... 7
4.1 Ručno prikupljanje podataka ......................................................................................................... 7
4.2 Logičko prikupljanje podataka ....................................................................................................... 7
4.3 Pseudo fizičko prikupljanje podataka ............................................................................................ 7
4.4 Prikupljanje podataka preko priključka za podršku ....................................................................... 8
4.5 Prikupljanje podataka čitanjem memorijskog čipa ........................................................................ 8
4.6 Prikupljanje podataka čitanjem logičkih vrata ............................................................................... 9
5 Primjeri forenzike ugradbenih računala .............................................................................................. 10
5.1 Snimatelji događaja ..................................................................................................................... 10
5.2 Satelitska navigacija ..................................................................................................................... 10
6 zaključak .............................................................................................................................................. 11
7 Literatura ............................................................................................................................................. 12
2
2 UVOD
Ugradbena računala se nalaze svud oko nas i za velik broj različitih svrha npr. u uredskim sustavima,
kućanskim aparatima, igraćim konzolama, sustavima za upravljanje vozilima, mobitelima… Ugradbeni
sustavi se može promatrati kao sustav koji korisnik ne može programirati i koji je dizajniran da koristi
nekoliko namjenskih funkcija.
Računalna forenzika je grana digitalne forenzike koja se bavi pronalaženjem dokaza na računalima i
medijima za pohranu podataka. Cilj računalne forenzike je ispitati računala i medije u duhu digitalne
forenzike s ciljem identificiranja, pohranjivanja, oporavka i analize digitalnih informacija. Forenzika
ugradbenih računala se bavi dohvaćanjem podataka s ugradbenih računala, što se zbog širokog raspona
različitih ugradbenih računala može se pokazati teškim postupkom.
3
3 PRIKUPLJANJE PODATAKA
Ugrađeni računalni sustavi se koriste za upravljanje vozilima, kontrolom zrakoplova, kontrolom prometa, u
telekomunikacijama, u kućanstvu itd. Neki od tih računalnih sustava imaju posebne postupke za
pronalaženje i dohvaćanje podataka npr. crne kutije kod istrage zrakoplovnih nesreća. S obzirom na stalno
širenje tehnologije u svim aspektima društva i stalnim razvojem nove tehnologije nije moguće razviti
metodologiju koja će obuhvatiti sve vrste ugradbenih računala.
3.1 PRIPREMANJE UREĐAJA ZA FORENZIČKU ANALIZU
U oporavku podataka s ugradbenog računala moguće je da će se uređaj na kojem su pohranjeni podatci
trebati od spojiti od opreme koja na koju je spojen, u takvoj situaciji mora se osigurati da se na uređaju
slučajno ne promijene podatci. U takvim situacijama treba uzeti u obzir napajanje uređaja i kako
transportirati uređaj do laboratorija da se podatci ne promijene.
Jednom kada uređaj bude spreman za analizu, potrebno je uključiti izvor napajanja što može rezultirati
promjenom podataka, stoga sve veze za prikupljanje podataka trebaju biti spojene prije nego što se uređaju
napajanje upali.
3.1.1 Forenzičko odlemljivanje komponenti
Ukoliko se želi čitati memorija direktno s memorijskog čipa spajanjem na čitač memorija, čip je potrebno
prije pažljivo odlemiti jer ukoliko se to ne učini dobro može doći do gubitka podataka. Odlemljivanjem je
moguće uništiti čip i sadržaj, zbog topline potrebne za odlemljivanje čipa.
Prije izuma BGA tehnologije moguće je bilo pričvrstiti sonde na pinove memorijskog čipa i pročitati slike
memorije pomoću sonde bez potrebe za odlemljivanjem komponenata. BGA tehnika spaja čipove izravno
na pločicu kroz rastaljenu kuglicu za lemljenje, tako da više nije moguće priključiti sonde.
Prije uklanjanja čipa pločica je pečena u peći da bi se uklonio ostatak vode. To sprječava takozvani popcorn
efekt, kod kojega ostatak vode uništi čip kod odlemljivanja. Postoje uglavnom tri metode za topljenje lema:
- vrućim zrakom
- infracrveno svjetlo
- fazno parenje.
Tehnologija infracrvene svjetlosti radi s usmjerenim infracrvenim svjetlosni snop na specifični čip i koristi
se za male čipove. Vrući zrak i para se ne mogu dobro usmjeriti kao infracrveno zračenjem.
Nakon procesa odlemljivanja čip treba proći kroz proces rebalinga. Rebalingom se na čip ponovno dodaju
kuglice lema koje su uklonjene procesom odlemljivanja.
4
Slika 3.1. Odlemljivanje vrućim zrakom
Prednost forenzičnog odlemljivanje je da uređaj ne mora biti funkcionalan da bi se mogla napraviti kopija
bez ikakvih izmjena izvornih podataka. Nedostatak je taj što je taj proces vrlo skup. Uređaji za rebaliranje
su skupi i postoje neki rizici od ukupnog gubitka podataka. Stoga, forenzično odlemljivanje trebaju obavljati
samo iskusni laboratoriji.[1]
3.2 PRIKUPLJANJE PODATAKA IZ TRAJNE MEMORIJE
Trajne memorije su memorije koje mogu sačuvati zapisane podatke i nakon gubitka napajanja uređaja.
Koriste u računalima za pohranjivanje konfiguracija uređaja ili za bilježenje događaja u sustava. Trajne
memorije koje se koriste kod ugradbenih računala su npr. SIM kartica, SD, EEPROM i Flash kartice.
Neke od tih memorija imaju zaštitu od čitanja podataka zbog otežavanja procesa reversnog inženjerstva,
podatci se ne mogu čitati izvan sustava dok procesor može čitati podatke.
3.2.1 Flash memorija
Flash memorija je vrsta trajne memorije u koju se može električki zapisivati i koju je moguće električki
brisati. Flash memorija dolazi u dvije implementacije: NOR flash i NAND flash, nazvane po osnovnim
logičkim strukturama tih čipova. Za razliku od NAND flash-a, iz NOR flash-a može se čitati oktet po oktet u
5
stalnom vremenu zbog čega se često koristi kada je primarni cilj flash memorije držanje i izvršavanje
programa, a dijelovi NOR flash-a koji nisu zauzeti za program mogu se koristiti za pohranu korisničkih
podataka. Većina mobilnih medija, poput USB flash diskova ili multimedijalnih uređaja kao što su digitalni
fotoaparati i mobiteli, koriste NAND flash memoriju za stvaranje kompaktnog mobilnog uređaja za pohranu
podataka.[2]
3.2.1.1 Alati za programiranje flash memorije
Najjednostavniji i neinvazivni način čitanja podataka flash-a je jednostavnim hardverskim sučeljem i
softverom koji kopira sve podatke flash memorije iz ciljnog sustava u drugi sustav radi daljnje analize.
Nažalost, ne postoji općenita metoda za ovaj postupak, jer svaki ugrađeni sustav može imati svoje sučelje
za podatke spremljene u flash memorijske čipove. Također nema standardiziranog "operacijskog sustava"
s dokumentiranim funkcijama koje pristupaju flash memoriji. Međutim, alati za kopiranje memorije
posebno su usmjereni na određeni uređaj (raspon) i ponekad se mogu koristiti za forenzičke svrhe. Ovi alati
uglavnom potječu iz dva izvora: proizvođači ili servisni centri koji koriste ove alate za debugiranje i
dijagnostiku, a ponekad i za ažuriranja softvera na uređaja koji su terenu, ili hakeri koji koriste te alate za
provjeru i promjenu funkcionalnosti uređaja. Prije upotrebe na uređaju, alat za programiranje flash-a
potrebno je testirati na sličnom uređaju zbog provjere funkcionalnost, a po mogućnosti prije svakog
pojedinačnog ispitivanja.
3.2.1.2 JTAG
Ne pružaju svi ugradbeni sustavi standardizirano sučelje, niti postoji standardno sučelje za sve ugradbene sustave. Minijaturizacija dijelova uređaja otvara pitanje kako automatski testirati funkcionalnost i kvalitetu lemljenih integriranih komponenti. Za ovaj je problem industrijska skupina, Joint Test Action Group (JTAG), razvila testnu arhitekturu nazvanu „Boundary scan“. Ova tehnika dodaje posmačni registar na svaku integriranu komponentu. Tako da ne troši bilo kakvu snagu i ne utječe na uređaj. Ovi registri omogućavaju ispitivanje i postavljanje vrijednosti na priključke uređaja i omogućuje čitanje vrijednosti priključaka te čitanje memorije. Testni pristupni port čini registar za pomak neposredno dostupnim. Za interoperabilnost između komponenti različitih proizvođača JTAG je standardizirao postupak za provođenja „Boundary scan“ arhitekture, stoga se ova tehnika često naziva JTAG standard. Prije nego što se JTAG sučelje uređaja može upotrijebiti za oporavak memorije moramo znati koji se procesor i memorije koriste i kako su spojeni na sabirnicu sustava. Kada priključci nisu dostupni izvana, ispitivač mora pronaći testne točke za JTAG sučelje na pločici i odrediti koja testna točka se koristi za koji signal. JTAG priključak nije uvijek lemljen s priključcima, tako da ponekad treba otvoriti uređaj i zalemiti pristupnu priključnicu. Protokol za čitanje memorije mora biti poznat i mora se koristiti odgovarajući napon da se spriječi oštećenje uređaja.
6
Slika 3.2. Boundary scan arhitektura
„Boundary scan“ omogućava stvaranje kompletne sliku radne memorije i trajnih memorija. Rizik promjene
podataka je minimalan i memorijski čip se ne mora odlemljivati da bi se podatci dohvatili. Stvaranje slike
može biti sporo i ne imaju svi ugradbeni sustavi JTAG omogućen. Također se može biti teško za pronaći
pristupne priključke.[2]
3.2.1.3 Fizičko izvlačenje podataka
Još jedan način stvaranja slike flash memorije je fizički uklanjanje flash memorijskog čipa s PCB-a i čitanje
flash memorije direktno s čipa pomoću memorijskog čitača. Ova se metoda može koristiti kada JTAG nije
dostupan i softverski alati ne mogu se koristiti.
Za dohvaćanje podataka na ovaj način potrebno je odlemiti čip s PCB-a. Odlemljivanje čipa za forenzičku
obradu i prikupljanje podataka opisano je u poglavlju 3.1.1. Nakon uklanjanja čipa čip se obično mora
pripremiti za daljnju obradu (čišćenje i vraćanje veza) nakon uklanjanja.
Čip flash memorije može se čitati s komercijalno dostupnim programerima za memorijske čipova.
Nedostatak je taj što je su potrebni upravljački programi za svaku vrstu memorijskog čipa. Ako upravljački
program za određenu vrstu čipa nije dostupan, proizvođač programera mora implementirati upravljački
program. To može potrajati neko vrijeme i nije uvijek moguće kada datasheet nije dostupan.[2]
7
4 METODE PRIKUPLJANJA PODATAKA S UGRADBENIH RAČUNALA
Postoje mnoge klasifikacije prikupljanja forenzičkih podataka, to se posebno odnosi na područje ugrađenih
računalnim sustavima. Klasifikacija je podijeljena u šest metodologija:
• Ručno prikupljanje podataka
• Logičko prikupljanje podataka
• Pseudo-fizičko prikupljanje podataka
• Prikupljanje preko priključka za podršku
• Prikupljanje podataka čitanjem memorijskog čipa
• Prikupljanje podataka čitanja logičkih vrata
4.1 RUČNO PRIKUPLJANJE PODATAKA
Ovo je najstarija metoda za koju je potrebno najmanje obuke i opreme. Ispitivač koristi zaslon uređaja i
korisničko sučelje te fotoaparat za snimanje svih relevantnih podataka, što je više moguće. Ispitivač slika
stanja zaslona kako prolazi kroz različita stanja sustava.
4.2 LOGIČKO PRIKUPLJANJE PODATAKA
Metoda logičkog prikupljanja podataka se primjenjuje na ugradbena računala na kojima postoji operacijski
sustav. Operacijski sustava u potpunosti kontrolira čemu se može pristupiti i pruža metodu prijenosa
podataka. Ispitivač povezuje uređaj s forenzičkom radnom stanicom i preko različitih programa komunicira
s OS-om na ciljnom uređaju. OS može zabilježiti vezu i komunikaciju na ciljnom uređaju te može ažurirati
podatke sustava.
4.3 PSEUDO FIZIČKO PRIKUPLJANJE PODATAKA
Proces pseudo-fizičkog prikupljanja podataka uključuje prebacivanje programskog koda, na ciljni uređaj, na
neki način koji omogućava pristup većini podataka. Kôd može pružiti samo pristup i iskoristiti OS ciljanog
uređaja za pružanje komunikacije ili je kompletna zamjena za operacijski sustava sa funkcijom prikupljanja
podataka s ciljnog uređaja. Nakon toga, ispitivač povezuje uređaj s forenzičnom radnom stanicom i preko
programa komunicira s programskim kodom ili OS-om na ciljnom uređaju. OS može zabilježiti vezu i
komunikaciju na ciljnom uređaju te ažurirati podatke sustava. Preneseni kod također može utjecati na
podatke na ciljnom uređaju.
8
4.4 PRIKUPLJANJE PODATAKA PREKO PRIKLJUČKA ZA PODRŠKU
Većina elektronički proizvedenih masovnih uređaja ima priključke za ispitivanje ili za ažuriranje programa
koji se izvršava uređaju na različitim čipovima. To se može implementirati preko korisnički dostupnih
priključaka kao što su USB, RS232 ili čak nekih drugih pinova koji nisu dostupni korisnicima…
Da bi se pristupilo tim priključcima, gotovo sva manja elektronika zahtijeva rastavljanje. Nakon što je uređaj
rastavljen, priključak se mora identificirati i mora se pronaći specifičan komunikacijski protokol.
Komunikacija se uspostavlja s određenim dijelovima pločice koje služe za pohranu podataka i dohvaćaju se
podatci. Ti se podaci zatim pohranjuju za daljnju analizu.
Najčešće korišteni protokoli su JTAG, I2C, SPI, CAN, LIN…
Slika 4.1. JTAG pristupna točka Samsunga SGH-D500
4.5 PRIKUPLJANJE PODATAKA ČITANJEM MEMORIJSKOG ČIPA
Za ovu metodu prikupljanja podataka memorijski čipovi odlemljuju se s pločice i podaci se ekstrahiraju
pomoću specifične komunikacije. Podatci s čipova se čitaju posebnim memorijskim čitačima, postoje
uređaji specijalizirani za neke memorijske čipove i univerzalni čitači. Podatci koji se dobiju ovom metodom
su binarni. Postoji nekoliko kritičnih točaka s ovom metodom, uključujući mogućnost trajnog oštećenja
memorijskog čipa tijekom odlemljivanja i uklanjanja uređaja.
9
4.6 PRIKUPLJANJE PODATAKA ČITANJEM LOGIČKIH VRATA
Ova metodologija zahtijeva opremu i kemikalije koje se obično ne nalaze u većini digitalnih forenzičkih
laboratorija. Postupak uključuje uklanjanje ciljnog čipa na sličan način kao i metoda prikupljanja podataka
čitanjem s memorijskog čipa. Umjesto da pokušava komunicirati s memorijskim čipom električkim
signalima, čip se doslovno razreže na više slojeva, kako bi se vidio svaki izvorni poluvodički litografski sloj, a
informacije se prikupljaju promatranjem slojeva.
Slojevi se mjere u nanometrima, svaki je sloj uklonjen, fotografiran. Kasnije se fotografije ubacuju u poseban
softvare koji stvara sliku cijelog čipa i pojedinačnih slika. Proces se izvodi pogađanjem i zahtjeva visoku
razinu razumijevanja unutarnjeg dizajna čipa i litografije čipa. Taj proces najbolje funkcionira s
planariziranim čipovima. Koraci procesa su odlemljivanje čipa, uklanjanje slojeva, slikanje, shematski prikaz,
organizacija i konačno analiza.[3]
10
5 PRIMJERI FORENZIKE UGRADBENIH RAČUNALA
5.1 SNIMATELJI DOGAĐAJA
Snimatelji događaja su uređaji koji se koriste se za snimanje i spremanje trenutačnog stanja i konfiguracije
sustava koji se prati. Uređaji prate stanje sustava i kada se dogodi neki kritični događaj na primjer,
automobilska nesreća, uređaj će se snimiti stvari poput brzine, stanja zračnih jastuka itd. Ili sofisticiranijih
„crnih kutija“ koji se koriste u zrakoplovima. „Crne kutije“ snimaju podatke kao što su brzina, nadmorska
visina i zvukove pilotske kabine. Različiti snimatelji događaja imaju različite mogućnosti pohranjivanja.
Slika 5.1. „Crna kutija“ iz zrakoplova
5.2 SATELITSKA NAVIGACIJA
Uređaji satelitske navigacije su mobilni uređaji koji mogu odrediti svoj položaj korištenjem položaja satelita.
Upotrebljavaju se za planiranje ruta do odredišta, bilo izravno ili putem određenih točaka, iz određenog
polazišta, obično korisnikovog doma. Satelitska navigacija pohranjuje detalje o putovanjima, vremenima i
datumima putovanja. Analiza tih podataka može se upotrijebiti kao dokaz u okviru kriminalističke istrage.
Obično se nalaze u vozilima i mobitelima.[4]
11
6 ZAKLJUČAK
Ugrađeni računalni sustavi su iznimno razvili od njihova nastanka pa do danas. Danas, se ugradbena
računala nalaze svud oko nas od pametne odjeće do pametnog bankarstva. Ugrađena računala naglašavaju
rast tehnologije na područjima elektronike, bežične komunikacije, umrežavanja, robotike itd. Sve veći broj
objekta oko nas ima mali procesor/senzor ugrađen u sebe koji uvijek komunicira sa ostalim uređajima oko
sebe, čineći naš život povezanim i dostupnijim nego ikada prije. Također dolaskom novih tehnologija kao
što je Internet stvari broj ugradbenih računala će se povećati.
Povećanjem broj ugradbenih računala potreba za forenzikom ugradbenih računala će se povećati. Također
razvojem tehnologije doći će do uporabe novih vrsta memorije u ugradbenim računalima samim time
nastat će i nove metode prikupljanja podataka.
12
7 LITERATURA
[1] Digital Forensics on Small Scale Digital Devices: Christian Backer, 2009
[2] Forensic Data Recovery from Flash Memory: Breeuwsma, de Jongh, Klaver, van der Knijff, Mark Roeloffs [3] https://articles.forensicfocus.com/2013/04/07/categorization-of-embedded-system-forensic-collection-methodologies, siječanj 2018. [4] Unified Forensic Methodology for the Analysis of Embedded Systems: R.J. Shaw, A.S. Atkins
