Lemaradásban van a mobil forensics?

Egyre több hatóság, szakértő és informatikai cég panaszkodik az okostelefonok forensic vizsgálatának nehézségei miatt. Úgy fest, hogy a szakértői eszközök lemaradásban vannak, ami a bizonyítékok feltárását, gyűjtését igencsak hátráltatja.
 

A szervereken, asztali számítógépeken, notebookokon található bizonyítékok feltárásához számos szoftver érhető el a piacon, amelyek között kereskedelmi és nyílt forráskódú megoldások is megtalálhatóak. Ebből a szempontból a Windows és a Mac OS X támogatottsága is jónak mondható. Azonban amióta az okostelefonok elkezdték jelentős mértékű térhódításukat, azóta a bizonyítékgyűjtés új területekre tévedt, és a mobil forensics szerepe felértékelődött. Viszont mindezt a forensic eszközök fejlődése nem minden esetben követte megfelelő ütemben, így most a bizonyítékok felkutatása gyakran nehézségekbe ütközik.

"A vizsgálatokhoz használt eszközök fejlettsége még nincs azon a szinten, mint a számítógépek elemzéséhez használt megoldásoké" - nyilatkozta David Nardoni, a PricewaterhouseCoopers mobil eszközök vizsgálatával foglalkozó részlegének igazgatója. Pedig nagyon kellenének a hatékony forensic alkalmazások, ugyanis a BYOD-trendek fokozódásával egyre több szakértői vizsgálatra van szükség. A magán készülékek üzleti célokra történő használata ugyanis gyakran vet fel problémákat, amelyek alapos kivizsgálása nélkülözhetetlen. Eközben pedig az okostelefonokra és persze a táblagépekre egyre több bizonyítékként szolgáló adat kerül.

Több szakértő is jelezte, hogy nagy szükség van a mobilokról való megfelelő, fizikai és logikai adatmentésre, adatgyűjtésre. Ennek pedig magában kell foglalnia az operációs rendszer fájljainak, a memória tartalmának, az e-mailek, a dokumentumok és a telefonálással kapcsolatos adatok vizsgálatát is. Azonban az ügynevezett image-elési folyamatokat számos tényező akadályozhatja vagy teheti időigényessé. Így például a PIN-kód ismeretének hiánya vagy a különféle titkosítási eljárások is ide sorolhatók.

Darren Hayes, a Pace University professzora elmondta, hogy a piacon természetesen már elérhetők mobil forensic eszközök. Ezek közé tartozik többek között a Cellebrite UFED, a Katana Forensics Lantern, a Blacklight Forensics Software, a Paraben Device Seizure és nem utolsó sorban a Micro Sytemation XRY is. Azonban ezek nem minden esetben képesek maradéktalanul helyt állni, ami többek között a mobil készülékek eltérő jellemzőivel magyarázható. A professzor úgy véli, hogy napjainkban az oksotelefonoknak kevesebb mint a 40 százalékát lehet megfelelően image-elni. Az Android alapú készülékek esetében a gyártói sokszínűség és az ezzel járó heterogenitás a fő probléma, míg az iOS kapcsán az integrált védelmi megoldások megkerülése jelent kihívást. Hayes megemlítette azt is, hogy a hatóságok részéről már zajlottak egyeztetések az Apple-lel valamint az androidos készülékek gyártóival a téma kapcsán, de eddig nem sikerült érdemi előrelépéseket tenni.

Andrew Hoog, a viaForensics társalapítója és egyik vezetője kifejtette, hogy megítélésük és tapasztalatuk szerint az Android alapú okostelefonok esetében némileg könnyebben lehet eredményeket elérni, mint az iOS-re épülő Apple készülékek vizsgálatakor. Az Apple iOS kapcsán akkor egyszerűbb valamelyest a helyzet, ha az adott eszközt a tulajdonosa korábban jailbreakelte. A szakember azonban azt is elismerte, hogy a mobil forensic szoftverük fejlesztése során komoly kihívások elé állítja a fejlesztőket az iOS 6, amely ebből a szempontból igen nehezen akarja megadni magát.

A mobil forensics nehézségeit egyebek mellett az Egyesült Államok Belbiztonsági Minisztériuma is felismerte, és igyekszik támogatni a megfelelő alkalmazások fejlesztését. Az egyik ígéretes szerzemény a viaForensics nevéhez fűződő Santoku Linux, amely kifejezetten a mobil forensics, illetve a mobil pentestek céljából készül. Az Ubuntu alapú rendszer jelenleg alpha verzió formájában tölthető le. A hírek szerint kereskedelmi változat is beszerezhető lesz, ami extra forensic szoftvereket fog tartalmazni például az Android vizsgálatához.