W dziedzinie kryminalistyki urządzeń mobilnych praktyki analizy „chip-off” i „JTAG” stały się tematem rosnącego zainteresowania społeczności. Ponieważ urządzenia mobilne wciąż stawiają przed egzaminatorami nowe wyzwania, te dwie dyscypliny wymagają szczególnej uwagi, ponieważ obie oferują egzaminatorom głębszy dostęp do danych, możliwość ominięcia kodów blokady oraz sposób na odzyskanie danych z uszkodzonych urządzeń.
Podczas gdy dzisiejsze narzędzia komercyjne nadal zapewniają innowacje w imponującym tempie i oferują rozległe i rozszerzające się wsparcie telefoniczne z coraz większymi możliwościami odzyskiwania danych, niefortunna rzeczywistość jest taka, że istnieje pozornie nieskończona liczba urządzeń, które nadal stanowią wyzwanie dla egzaminatorów, stwarzając zapotrzebowanie na alternatywne sposoby odzyskiwania danych.
Ostatecznym celem kryminalistyka urządzeń mobilnych jest uzyskanie fizycznego obrazu układu pamięci z urządzeń mobilnych. I chociaż obecnie takie wsparcie pozyskiwania bit po bicie z narzędzi komercyjnych rośnie, w wielu przypadkach taki fizyczny zrzut nie może zostać wykonany bez bezpośredniego dostępu do układu pamięci.
Dodatkowo, w przypadku urządzeń, które są uszkodzone lub zablokowane za pomocą schematu szyfrowania, którego ominięcie lub złamanie wykracza poza możliwości dzisiejszych narzędzi, metody chip-off i JTAG są alternatywnymi rozwiązaniami dla egzaminatorów, którzy chcą uzyskać dostęp do pamięci.
W idealnym świecie narzędzia komercyjne zrobiłyby wszystko, a egzaminator mógłby łatwo i kompleksowo przetwarzać stosy urządzeń mobilnych w swoim laboratorium. Niestety, rzeczywistość jest taka, że nie żyjemy na planie CSI: Miami — i jak wie każdy, kto próbował zdobyć dane z urządzeń mobilnych, ogólna zasada pozostaje: po prostu nigdy nie wiadomo, z czym się spotkasz następnie i ile danych można uzyskać. Ponadto, biorąc pod uwagę, że komercyjne narzędzia najczęściej łączą się z urządzeniem przez połączenie USB, niektórzy producenci urządzeń stosują schematy zarządzania pamięcią, które hamują przesyłanie danych przez port komunikacyjny za pośrednictwem kontrolerów, które uniemożliwiają uzyskanie pełnego obrazu pamięci. Mówiąc najprościej, techniki chip-off lub JTAG to jedyny sposób na uzyskanie pełnego obrazu na niektórych urządzeniach.
Ten artykuł ma na celu przedstawienie technik chip-off i JTAG dla śledczych zajmujących się urządzeniami mobilnymi oraz dostarczenie podstaw dla tych, którzy chcą dowiedzieć się więcej.
Wprowadzenie do chip-off i JTAG
Technika chip-off opisuje praktykę usuwania chipa pamięci lub dowolnego chipa z płytki drukowanej i odczytywania go. Układy są często testowane i programowane metodą „JTAG”. Termin JTAG (Joint Test Action Group) jest oryginalnym akronimem i nazwą grupy IEEE, która ustanowiła standardy (1149.1 Standard Test Access Port i Boundary-Scan Architecture). Mówiąc prostym językiem, grupa ustanowiła powszechnie akceptowane metody testowania połączeń przewodowych na płytkach drukowanych. Obecnie porty są używane do testowania układów scalonych i są powszechnym interfejsem testowym i debugującym dla urządzeń mobilnych i produktów cyfrowych.
Nie są to same w sobie nowe koncepcje i faktycznie od kilku lat są stosowane w dziedzinie programowania i testowania układów scalonych (IC). Jednak produktem ubocznym obu tych technik dostępu niskiego poziomu jest możliwość pozyskiwania surowych danych z układu pamięci. Dla specjalisty od urządzeń mobilnych te praktyki oferują inny sposób uzyskiwania dostępu do surowych danych z układu pamięci i uzyskiwania z nich dostępu.
Przed zaangażowaniem się w praktykę prób chip-off lub JTAG w kryminalistyce dotyczącej urządzeń mobilnych, konieczne jest solidne zrozumienie kluczowych cech struktury urządzenia mobilnego, aby właściwie i skutecznie realizować te techniki. W szczególności specjalista musi znać konfiguracje nowoczesnych urządzeń mobilnych, typy pamięci, wewnętrzne zarządzanie danymi, lokalizacje układów pamięci oraz identyfikację złączy JTAG na płycie głównej urządzenia mobilnego. Budowanie tej solidnej podstawy wiedzy o tym, gdzie i jak dane są przechowywane (i usuwane) jest niezbędne dla egzaminatora jadącego drogami chip-off lub JTAG.
Ponadto solidne opanowanie umiejętności naprawy, demontażu i usuwania chipów ma kluczowe znaczenie dla prawidłowego wykonywania tych technik.
Na naszych zajęciach z naprawy urządzeń mobilnych i chip-off oraz JTAG nasi partnerzy Rusolut uczą studentów, jak prawidłowo identyfikować komponenty urządzenia mobilnego, demontować i ponownie składać komponenty, a także jak prawidłowo usuwać i przygotowywać układy pamięci do czytanie. Jest to dodatek do nauki o tym, jak naprawić zepsute urządzenie, aby było sprawne i możliwe do zbadania za pomocą dzisiejszych narzędzi kryminalistycznych. Te praktyczne umiejętności są niezbędne dla każdego, kto chce odzyskać dane za pomocą technik chip-off lub JTAG.
Specjaliści chcący realizować praktyki Chip-off i JTAG muszą być wykształceni, przygotowani i bardzo cierpliwi.
Chociaż nie omówiono tego w tym artykule, zachęcamy czytelników do poznania i zrozumienia następujących pojęć:
- Pamięć NAND (TSOP i BGA)
- Pamięć NOR
- Ulotna pamięć RAM
- Flash Translation Layer (Warstwa tłumaczenia Flash) — układ kontrolera
- Wear Leveling (Wyrównywanie zużycia) – Garbage Collection (zbieranie śmieci)
Podobieństwa i różnice między Chip-Off a JTAG
Początkowo główną różnicą między chip-off a JTAG jest to, że technika chip-off jest metodą bardziej destrukcyjną; po wyjęciu chipa pamięci z urządzenia mobilnego nie można go z powrotem wlutować do oryginalnego urządzenia mobilnego. Wynika z tego oczywiście, że po wyjęciu chipa pamięci z urządzenia mobilnego, urządzenie nie może wrócić do normalnej pracy ani być zbadane za pomocą komercyjnych narzędzi. Kiedy urządzenie jest nieodwracalnie uszkodzone, ale chip pamięci jest nienaruszony, technika chip-off jest prawdopodobnie jedyną szansą na uzyskanie danych z urządzenia.
JTAG jest często preferowaną metodą w przypadku urządzeń, które działają, ale są niedostępne przy użyciu standardowych narzędzi.
Chociaż obie techniki oferują możliwość uzyskania pełnego obrazu urządzenia, obie nie są pozbawione ryzyka i trudności — nie wspominając o tym, że prawidłowe wykonanie obu technik wymaga czasu i uwagi.
Usuwanie chipa z urządzenia jest praktyką polegającą na wylutowaniu chipa z płytki drukowanej i wymaga zestawu narzędzi i precyzyjnych technik, aby zapewnić prawidłowe usunięcie chipa pamięci z urządzenia. Ryzyko uszkodzenia chipa — a tym samym utraty danych — jest bardzo realne bez odpowiedniego zabezpieczenia i profesjonalnej obsługi.
JTAG, jest mniej ryzykownym z tych dwóch rozwiązań w zakresie odzyskiwania danych, nadal wymaga precyzyjnego demontażu urządzenia, sprawdzenia poprawności połączenia z testowymi portami dostępowymi (TAP) JTAG oraz wlutowania konektorów do portów JTAG. Najlepiej byłoby, gdyby inżynier analizujący dysponował schematami urządzenia, aby zidentyfikować właściwe połączenia dla danych. Ale takie schematy nie są łatwo dostępne – więc potrzeba dodatkowego czasu i odpowiednich narzędzi, aby zidentyfikować, a następnie przylutować złącza do odpowiednich styków.
Praktyka odzyskiwania
Następnym krokiem po wyjęciu układu z pamięcią jest upewnienie się, że można go odczytać za pomocą odpowiednio dobranego czytnika danego typu chipu. W przypadku niektórych rodzajów chipów przygotowanie jest stosunkowo łatwe. Na przykład chip NAND w stylu TSOP, który jest powszechnie spotykany w pendrive’ach, kartach SD, cyfrowych dyktafonach, cyfrowych automatycznych sekretarkach oraz iPhonie 2 i 3G, jest zwykle łatwiejszym typem chipa pamięci do usunięcia i odczytania. Z pewnością wymaga precyzyjnej pracy, ale w porównaniu do swoich braci BGA, TSOP jest łatwiejszym układem do odczytywania i pozyskiwania danych.
Wynika to w dużej mierze ze względnej standaryzacji architektury pamięci TSOP (Thin Small-Outline Package) i konfiguracji pinów, a zatem rzeczywiste wymagania dotyczące sprzętu do odczytu chipów są ograniczone. Chip w stylu TSOP ma złącza wokół zewnętrznej krawędzi chipa, które są połączone przez lutowanie na płycie głównej. Wyjmowanie z płytki, a także mocowanie do adaptera odczytu chipów jest stosunkowo łatwe i zwykle nie jest wymagana przebudowa złączy.
Z drugiej strony układ BGA (Ball Grid Array) ma wiele złączy na spodzie układu, które są przylutowane do płyty głównej urządzenia. Dodatkowo często są zabezpieczone żywicą epoksydową, co utrudnia zadanie. Konstrukcja chipa w stylu BGA nie jest zgodna ze wspólnym standardem, ale jest raczej opracowywana przez producentów chipów według własnego uznania i wymagań klientów ich telefonów.
Tak więc, podczas gdy dostęp i łączność z pinami w układzie TSOP NAND są stosunkowo łatwe w zarządzaniu, złącza w układzie BGA NAND wymagają w wielu przypadkach przeróbki w procesie znanym jako „re-balling” – lub skutecznej przebudowy złączy na chipie, który ma być podłączony do urządzenia odczytującego chipy.
Na szczęście chip w stylu BGA jest obecnie najczęściej używany w urządzeniach mobilnych i prawdopodobnie tak pozostanie, częściowo ze względu na jego zdolność do przechowywania i zarządzania dużymi ilościami danych użytkownika. Jednak wraz z postępem w zakresie połączenia BGA z płytami głównymi na poziomie producenta zmniejsza się zapotrzebowanie na lutowanie i epoksydowanie chipów do płyt. Stosowane są bardziej precyzyjne i wszechstronne techniki połączeń, co ostatecznie pozwala producentom chipsetów zaoszczędzić czas i pieniądze w miarę poprawy wydajności.
Wymagany sprzęt do odczytu chipów
Oprócz narzędzi do naprawy urządzeń i usuwania chipów z płytek, powszechna konfiguracja sprzętu do odczytu chipów składa się zazwyczaj z trzech elementów:
- sprzęt do odczytu pamięci;
- Adapter, który utrzymuje chip (i łączy się z czytnikiem chipów);
- Oprogramowanie działające na komputerze PC do pobierania danych z chipa w adapterze podłączonym do czytnika.
Adaptacja do adapterów: duża różnica między TSOP a BGA
W przypadku układów pamięci w stylu TSOP niewielka liczba adapterów może pomieścić ogromną większość układów pamięci w większości urządzeń, ponieważ konfiguracje pinów są stosunkowo uniwersalne. Podczas gdy niektóre projekty chipów wymagają unikalnych adapterów, większość można odczytać za pomocą jednego lub dwóch typów adapterów.
Nie dotyczy to jednak chipów BGA. Ze względu na pozornie nieskończoną różnorodność chipów, które przez lata trafiały do urządzeń mobilnych, wymagane są adaptery, które są unikalne dla poszczególnych chipów – lub rodzin chipów. W tym przypadku koszty egzaminatora mogą szybko wzrosnąć, ponieważ inwestycja w jeden adapter może okazać się skuteczna w przypadku jednego zadania, ale nie nadaje się do następnego — lub potencjalnie innych później. Przy cenie od 500 do 1500 USD na adapter, nie licząc czytnika, praktyka może stać się kosztowna.
Obecnie większość sprzętu używanego do odczytu chipów pochodzi z dziedziny programowania chipów, dlatego należy zachować ostrożność podczas pracy z takimi narzędziami, aby uniknąć nadpisywania lub usuwania danych.
Koszty związane z praktyką nadal pozostają wysokie dla przeciętnego biegłego sądowego o ograniczonym budżecie. Dobrą wiadomością jest to, że spadają koszty czytników chipów i adapterów. Dostępne są również adaptery uniwersalne — mile widziany postęp w wysiłku BGA.
Kilka lat temu praktyka chip-off była praktyczna tylko dla wysoko wykwalifikowanego personelu i dobrze finansowanych laboratoriów. Obecnie coraz więcej specjalistów z odpowiednimi umiejętnościami i wiedzą bada ten obszar i odnosi sukcesy przy inwestycji wartej zaledwie kilkadziesiąt tysięcy zł, w przeciwieństwie do setek tysięcy. Ostatecznie okaże się, jak opłacalna będzie ta praktyka. Wydaje się jednak, że trendy zmierzają w dobrym kierunku, a dla tych pozornie niemożliwych urządzeń technika chip-off okazuje się realną opcją dostępną dla większości egzaminatorów.
JTAG
Zazwyczaj urządzenia mobilne, które implementują pamięć w stylu BGA, zawierają JTAG do testowania i debugowania. Dla eksperta kryminalistycznego porty JTAG stały się sposobem na wejście do układu pamięci w celu odzyskania fizycznego obrazu danych bez konieczności wyjmowania układu. Stało się to szczególnie przydatne w przypadku urządzeń, które nie są obsługiwane przez komercyjne narzędzia kryminalistyczne ze względu na usunięcie portów danych dla użytkowników. Często pogardzane przez społeczność sądową telefony „jednorazowe” nie mają lub zostały odłączone od portów komunikacyjnych, aby zaoszczędzić na kosztach produkcji. W wielu z tych urządzeń podejście JTAG jest jedynym opłacalnym sposobem pozyskiwania danych.
Ponadto, jak wyjaśniono wcześniej w artykule, technicy śledczy używają JTAG do zrzutu danych fizycznych i używają procesów do odblokowania telefonu. Wiedząc, gdzie kod blokady jest przechowywany w zrzucie pamięci fizycznej, egzaminator może zrzucić pamięć urządzenia, wyłączyć blokadę i zwrócić dane do urządzenia. Stamtąd można przeprowadzić badanie za pomocą narzędzia komercyjnego, jeśli jest obsługiwane, lub uzyskać surowe dane do dalszej analizy.
Technika JTAG jest użyteczna w przypadku zablokowanych urządzeń i często jest preferowana w stosunku do metody chip-off, ponieważ czas potrzebny – choć długi – umożliwia specjaliście ponowne złożenie urządzenia i wykonanie badania przy użyciu komercyjnego narzędzia, dzięki czemu urządzenie pozostaje działające.
Narzędzia wymagane do wykonania badania przez porty JTAG obejmują:
- sprzęt do demontażu urządzenia do momentu odsłonięcia portów JTAG;
- niezbędne okablowanie i sprzęt lutowniczy do podłączenia odpowiednich przewodów z portów JTAG do narzędzia JTAG; oraz
- oprogramowanie i sprzęt JTAG.
Sprzęt do odczytu JTAG waha się w cenie od kilku do kilkudziesięciu tysięcy złotych. Na dole spektrum istnieją rozwiązania, które społeczność odblokowująca i naprawiająca telefony opracowała w celu odblokowania urządzeń z sieci lub „flashowania” ich do pierwotnego stanu producenta w celu sprzedaży na rynku wtórnym.
Takie narzędzia są podobne w działaniu do zwykłych flasherów, chociaż narzędzia JTAG oferują dostęp i wsparcie dla niektórych bardziej nowoczesnych urządzeń, takich jak wiele modeli z Androidem. Niestety, podobnie jak w przypadku flasherów, wsparcie techniczne praktycznie nie istnieje. Ponadto należy zachować ostrożność podczas korzystania z tych narzędzi, ponieważ mogą one zniszczyć telefon lub wymazać pamięć, jeśli są używane niewłaściwie.
Na wyższym poziomie profesjonalny sprzęt do skanowania granicznego będzie wykonywał podobne funkcje, ale zazwyczaj jest przeznaczony do testowania i debugowania. Tak więc, chociaż jest to bardziej wyrafinowane rozwiązanie, ważny jest również wymóg dużej staranności, ponieważ dane mogą zostać utracone, jeśli nie będą prawidłowo obsługiwane.
Żadne z rozwiązań nie zostało stworzone w celu odzyskiwania danych kryminalistycznych, więc śledczy korzystający z narzędzi muszą zachować ostrożność.
Dane pozyskane z Chip-off i JTAG: czego można się spodziewać
W świecie Informatyki Śledczej, (pokazywanej w filmach) gdy dane z chipa zostaną pobrane za pomocą laserów i zrobotyzowanych precyzyjnych maszyn z mnóstwem migających diod, dane nieuchronnie będą wyświetlane na płaskich ekranach wielkości billboardów. Starannie i całkowicie odszyfrowane dane pokażą, dokąd podejrzany podróżował przez cały okres zainteresowania, i ujawnią każde ostatnie usunięte zdjęcie i wiadomość tekstową w oryginalnym formacie.
Niestety tak ładny wynik nie jest jeszcze do końca gotowy na premierę w realnym świecie, chociaż – bez migających diod – powoli do niego docieramy. Postępy w dekodowaniu przy użyciu komercyjnych narzędzi do urządzeń mobilnych, oprogramowania komputerowej kryminalistyki i samych narzędzi do odczytu chipów są regularnie wykorzystywane i stale ulepszane.
Jednak w wielu przypadkach rezultatem tak głębokiego dostępu i odzyskiwania danych z pamięci fizycznej z urządzeń mobilnych jest duży stos zer i jedynek lub danych szesnastkowych, które technik musi ręcznie przeciąć i rozszyfrować za pomocą innych narzędzi i umiejętności, wykorzystując zakres rozwiązań w zestawie narzędzi — od tradycyjnych rozwiązań komputerowych do kryminalistyki, po niestandardowe skrypty do pozyskiwania danych. Niektóre z narzędzi kryminalistycznych dla urządzeń mobilnych są przystosowane do danych pozyskanych poza własnym wsparciem, co ułatwia egzaminatorowi pracę z niestandardowymi skryptami i ich implementację.
Podsumowując:
Chociaż użycie chip-off i JTAG może być bardzo przydatne do odzyskiwania danych, konieczne jest, aby specjaliści rozumieli związane z tym ryzyko i uzyskali odpowiednią wiedzę przed podjęciem prób na urządzeniach. Nie możemy wystarczająco podkreślić, jak ważne jest odpowiednie szkolenie, dużo ćwiczeń i – kiedy technik jest gotowy do wykonania ćwiczenia na prawdziwym przypadku – wykonanie pierwszego (oraz drugiego i trzeciego, jeśli to konieczne) ćwiczenia z podobnymi urządzeniami.
Techniki chip-off i JTAG rzeczywiście otwierają nowe możliwości odzyskiwania danych przez osoby sprawdzające urządzenia mobilne, a słyszeliśmy o więcej niż kilku przypadkach, w których stare telefony w archiwach dowodowych, które uważano za niedostępne, są teraz ponownie sprawdzane, tym razem pomyślnie. W tym celu — oraz w celu radzenia sobie z uszkodzonymi, zniszczonymi lub w inny sposób niedostępnymi urządzeniami — warto dążyć do tych dwóch technik.