First steps in incident response related to Android Based Devices
Πρώτες ενέργειες κατά την αντιμετώπιση συμβάντος ασφαλείας σχετιζόμενο με συσκευές Android
Μεταπτυχιακή διπλωματική εργασία
Author
Δόσης, Δονάτος
Κώτσης, Μιχαήλ
Date
2022-02-11Advisor
Ριζομυλιώτης, ΠαναγιώτηςKeywords
DFIR ; Viber ; WhatsApp ; Telegram ; Mobile forensics ; First responders ; Android applicationsAbstract
Digital Forensics as a science is the process of acquiring, preserving, analyzing, and reporting of raw data residing in electronic or digital devices using scientific methods that are demonstrably reliable, verifiable and repeatable, such that they may be used in judicial and other format proceedings (SWGDE, 2014). One of the most particular circumstances that digital forensics must be applied is during the handling of a security incident where the operations of the first responders are extremely important and critical and a mistake is usually irreversible.
Mobile devices are in fact a computer in small form, equipped with high performance processor, huge storage, and enhanced functionality. They have become an essential part of the owner’s live since they have drastically revolutionized the way that everyday activities (e.g., connecting with other people, e-banking) are achieved. As a result, a mobile device is now a huge repository that holds sensitive and personal information about its owner. A huge percentage of these personal and sensitive information is originated from social media and instant messaging applications like Viber, WhatsApp, and Telegram. In 2021, the number of mobile devices operating worldwide stood at almost 15 billion and their number is expected to reach 18.22 billion by 2025 (O’ Dea S., 2021).
The huge proliferation of mobile devices and the social media and instant messaging applications have also shaped modern crime. Almost in every form of crime, bad actors make use of these technologies for planning and operating. This has, in turn, led to the development of a branch of digital forensics solely dedicated to mobile devices. Mobile forensics have unique characteristics and peculiarities since some of the core principles of other digital forensics do not apply like data preservation. Data inside a mobile device is continuously modified and the standard write protection techniques cannot be applied. For that reason, the actions of a first responder / examiner have even greater impact in the event of handling a mobile device as evidence.
The content of this Thesis is divided into four distinct parts. The first part introduces the concepts of digital criminology when dealing with a security incident, as well as basic concepts related to the forensic examination of a mobile phone device with Android operating system installed. The structure and basic elements of the SQLite database, on which most of the applications on such a device are based, are then analyzed. In addition, well-known and widespread forensic and non-forensic tools and software used to examine both Android devices and databases (SQLite) are presented. The second part presents suggested methods for obtaining administrative rights on two devices of different manufacturer (LG, Samsung) and different operating system version (Android 9 and Android 11), to create forensic copies (physical image) and examine them more effectively. In the third part, a description of a hypothetical scenario based on realistic incidents, the structure of the experiments and the followed methodology are given. Furthermore, in this part is explained the selection of the messaging applications Viber, WhatsApp and Telegram used for the experiments. The fourth part presents an analysis of the aforementioned messaging applications’ operation, their examination and finally, the results of the experiments and a comparative analysis among them.
Abstract
Η επιστήμη της ψηφιακής εγκληματολογίας (Digital Forensics) είναι η διαδικασία της συλλογής, διατήρησης, ανάλυσης και ερμηνείας δεδομένων που αποθηκεύονται σε ψηφιακή μορφή με επιστημονικό τρόπο, ώστε να μπορούν να αξιοποιηθούν σε νομικές διαδικασίες (SWGDE, 2014). Κύριος στόχος κατά την εξέταση μίας ψηφιακής συσκευής είναι η εξαγωγή και η ανάκτηση όλων των δεδομένων και πληροφοριών που βρίσκονται σε αυτή χωρίς όμως να επηρεαστεί η ίδια η συσκευή και τα δεδομένα που φέρει. Μία από τις πιο ιδιάζουσες εφαρμογές της ψηφιακής εγκληματολογίας είναι η αντιμετώπιση συμβάντων ασφαλείας (Incident Response), κατά την οποία οι ενέργειες των πρώτων ανταποκριτών είναι ιδιαίτερα σημαντικές και κάθε λάθος κίνηση συνήθως μη αναστρέψιμη.
Αναμφίβολα, στη σύγχρονη κοινωνία η πιο διαδεδομένη ψηφιακή συσκευή είναι το κινητό τηλέφωνο, το οποίο έχει μετατραπεί σε ψηφιακό συνεργάτη του ανθρώπου. Μία συσκευή κινητής τηλεφωνίας αποτελεί σήμερα ένα αποθετήριο με τεράστιο όγκο πληροφοριών, προερχόμενες σε μεγάλο ποσοστό από την αλληλεπίδραση του χρήστη μέσω εφαρμογών κοινωνικής δικτύωσης και ανταλλαγής μηνυμάτων, όπως για παράδειγμα το Viber, το WhatsApp και το Telegram. Ο τεράστιος όγκος πληροφοριών αυτών δικαιολογείται από το γεγονός ότι βρίσκεται σε συνεχή λειτουργία και διεπαφή με το χρήστη. Σήμερα, χρησιμοποιούνται σχεδόν δεκαπέντε (15) δισεκατομμύρια συσκευές κινητής τηλεφωνίας σε παγκόσμιο επίπεδο, ενώ εκτιμήσεις κάνουν λόγω για αύξηση του αριθμού πάνω από τα δεκαοκτώ (18) δισεκατομμύρια έως το 2025 (O’ Dea S., 2021).
Η τεράστια διάδοση του κινητού τηλεφώνου και των εφαρμογών κοινωνικής δικτύωσης και ανταλλαγής μηνυμάτων έχουν διαμορφώσει και την σύγχρονη εγκληματικότητα. Σχεδόν σε όλα τα εγκλήματα η βασική μορφή επικοινωνίας μεταξύ των υπόπτων/δραστών πραγματοποιείται διαμέσου εφαρμογών ανταλλαγής μηνυμάτων που βρίσκονται εγκατεστημένες σε συσκευές κινητής τηλεφωνίας. Αυτή η ευρέα διάδοση των κινητών τηλεφώνων ως μέσο διευκόλυνσης ή ακόμη και διάπραξης εγκλημάτων οδήγησε στην ανάπτυξη ενός ξεχωριστού κλάδου ψηφιακής εγκληματολογίας, που εστιάζει αποκλειστικά σε αυτές (Mobile Forensics). Ο εν λόγω κλάδος έχει αρκετές ιδιαιτερότητες, καθώς βασικές αρχές αναιρούνται ή παρακάμπτονται, καθόσον τα δεδομένα της συσκευής συνεχώς μεταβάλλονται. Ως απόρροια αυτού, σε αντίθεση με τους γενικούς κανόνες της ψηφιακής εγκληματολογίας, τα δεδομένα είναι αδύνατο να παραμείνουν άθικτα σε κάθε πράξη. Έτσι, η κάθε επέμβαση από μεριάς των πρώτων ανταποκριτών και εξεταστών είναι ζωτικής σημασίας.
Το περιεχόμενο της παρούσας εργασίας διαχωρίζεται σε τέσσερα διακριτά μέρη. Στο πρώτο μέρος εισάγονται οι έννοιες της ψηφιακής εγκληματολογίας κατά την αντιμετώπιση ενός περιστατικού ασφαλείας, καθώς επίσης αναφέρονται και βασικές έννοιες που σχετίζονται με την εγκληματολογική εξέταση μίας συσκευής κινητού τηλεφώνου με εγκατεστημένο λειτουργικό Android. Στη συνέχεια αναλύονται η δομή και τα βασικά στοιχεία της βάσης δεδομένων τύπου SQLite, στην οποία βασίζεται η πλειονότητα των εφαρμογών σε μία τέτοια συσκευή. Επιπλέον παρουσιάζονται γνωστά και ευρέως διαδεδομένα εγκληματολογικά και μη εργαλεία και λογισμικά που χρησιμοποιούνται για την εξέταση τόσο των Android συσκευών όσο και των βάσεων δεδομένων (SQLite). Στο δεύτερο μέρος παρουσιάζονται προτεινόμενοι μέθοδοι για απόκτηση διαχειριστικών δικαιωμάτων σε δύο συσκευές διαφορετικού κατασκευαστή (LG, Samsung) και διαφορετικής έκδοσης λειτουργικού συστήματος (Android 9 και Android 11), με απώτερο σκοπό την δημιουργία εγκληματολογικών αντιγράφων (physical image) και την αποτελεσματικότερη εξέτασή τους. Ακολούθως, στο τρίτο μέρος περιγράφονται ένα υποθετικό σενάριο βασισμένο σε ρεαλιστικά περιστατικά, πάνω στο οποίο θα βασιστούν τα πειράματα που θα πραγματοποιηθούν στην παρούσα εργασία και η μεθοδολογία που ακολουθήθηκε τόσο για την πειραματική διαδικασία, όσο και για την επιλογή των εφαρμογών ανταλλαγής μηνυμάτων Viber, WhatsApp και Telegram. Στο τέταρτο μέρος παρουσιάζεται η ανάλυση, η εξέταση και τα αποτελέσματα των πειραμάτων για την εκάστοτε προαναφερθείσα εφαρμογή, καθώς επίσης παρουσιάζεται και η συγκριτική τους ανάλυση.