NIST-datamatiker Jenise Reyes-Rodriguez holder en mobiltelefon, der er blevet beskadiget af skud. Kredit:R. Tryk/NIST
Kriminelle beskadiger nogle gange deres mobiltelefoner i et forsøg på at ødelægge beviser. De kan smadre, skyde, nedsænke eller tilberede deres telefoner, men retsmedicinske eksperter kan ofte hente beviserne alligevel. Nu, forskere ved National Institute of Standards and Technology (NIST) har testet, hvor godt disse retsmedicinske metoder virker.
En beskadiget telefon tænder muligvis ikke, og dataporten virker muligvis ikke, så eksperter bruger hardware- og softwareværktøjer til at få direkte adgang til telefonens hukommelseschips. Disse omfatter hackingværktøjer, omend dem, der lovligt kan bruges som led i en kriminel efterforskning. Fordi disse metoder producerer data, der kan fremlægges som bevis i retten, det er vigtigt at vide, om de kan stole på.
"Vores mål var at teste validiteten af disse metoder, " sagde Rick Ayers, NISTs digitale retsmedicinske ekspert, der ledede undersøgelsen. "Går de pålideligt nøjagtige resultater?"
Resultaterne af NIST-undersøgelsen vil også hjælpe laboratorier med at vælge de rigtige værktøjer til jobbet. Nogle metoder virker bedre end andre, afhængigt af typen af telefon, typen af data og omfanget af skaden.
Undersøgelsen omhandler metoder, der fungerer med Android-telefoner. Også, undersøgelsen omfattede kun metoder til at få adgang til data, ikke dekryptere det. Imidlertid, de kan stadig være nyttige med krypterede telefoner, fordi efterforskere ofte formår at få adgangskoden under deres undersøgelse.
NIST-datamatiker Jenise Reyes-Rodriguez bruger JTAG-metoden til at hente data fra en beskadiget mobiltelefon. Kredit:R. Tryk/NIST
For at gennemføre undersøgelsen, NIST-forskere indlæste data på 10 populære modeller af telefoner. De udtrak derefter dataene eller fik eksterne eksperter til at udtrække dataene for dem. Spørgsmålet var:Ville de udtrukne data nøjagtigt matche de originale data, uden ændringer?
For at undersøgelsen er nøjagtig, forskerne kunne ikke bare zappe en masse data ind på telefonerne. De var nødt til at tilføje dataene, som en person normalt ville. De tog billeder, sendte beskeder og brugte Facebook, LinkedIn og andre sociale medier apps. De indtastede kontakter med flere mellemnavne og underligt formaterede adresser for at se, om nogen dele ville blive hugget af eller tabt, når dataene blev hentet. De tilføjede GPS-data ved at køre rundt i byen med alle telefonerne på instrumentbrættet.
Efter at forskerne havde indlæst data på telefonerne, de brugte to metoder til at udtrække det. Den første metode udnytter det faktum, at mange printkort har små metalhaner, der giver adgang til data på chipsene. Producenter bruger disse vandhaner til at teste deres printkort, men ved at lodde ledninger på dem, retsmedicinske efterforskere kan udtrække data fra chipsene. Dette kaldes JTAG-metoden, for Joint Task Action Group, fremstillingsindustriens sammenslutning, der kodificerede denne testfunktion.
Chips forbindes til printkortet via små metalben, og den anden metode, kaldet "chip-off, " involverer direkte forbindelse til disse stifter. Eksperter plejede at gøre dette ved forsigtigt at plukke chipsene fra brættet og placere dem i chiplæsere, men stifterne er sarte. Hvis du beskadiger dem, at få dataene kan være svært eller umuligt. Et par år siden, eksperter fandt ud af, at i stedet for at trække chipsene fra printkortet, de kunne slibe den modsatte side af brættet ned på en drejebænk, indtil stifterne var blotlagte. Det er som at fjerne isolering af en ledning, og det giver adgang til stifterne.
"Det virker så indlysende, " sagde Ayers. "Men det er en af de ting, hvor alle bare gjorde det på én måde, indtil nogen fandt på en nemmere måde."
Digitale retsmedicinske eksperter kan ofte udtrække data fra beskadigede mobiltelefoner ved hjælp af JTAG-metoden. Kredit:R. Tryk/NIST
Chip-off ekstraktionerne blev udført af Fort Worth Police Department Digital Forensics Lab og et privat retsmedicinsk firma i Colorado kaldet VTO Labs, som sendte de udtrukne data tilbage til NIST. NIST-datamatiker Jenise Reyes-Rodriguez lavede JTAG-ekstraktionerne.
Efter at dataudtrækningerne var afsluttet, Ayers og Reyes-Rodriguez brugte otte forskellige retsmedicinske softwareværktøjer til at fortolke de rå data, skabe kontakter, placeringer, tekster, fotos, sociale medier data, og så videre. De sammenlignede derefter dem med de data, der oprindeligt blev indlæst på hver telefon.
Sammenligningen viste, at både JTAG og chip-off udtrak dataene uden at ændre dem, men at nogle af softwareværktøjerne var bedre til at fortolke dataene end andre, især for data fra sociale medier apps. Disse apps ændrer sig konstant, gør det svært for værktøjsmagerne at følge med.
Resultaterne offentliggøres i en række frit tilgængelige online rapporter. Dette studie, og de deraf følgende rapporter, er en del af NIST's Computer Forensics Tool Testing-projekt. Kaldet CFTT, dette projekt har underkastet en bred vifte af digitale retsmedicinske værktøjer en streng og systematisk evaluering. Retsmedicinske laboratorier rundt om i landet bruger CFTT-rapporter til at sikre kvaliteten af deres arbejde.
"Mange laboratorier har en overvældende arbejdsbyrde, og nogle af disse værktøjer er meget dyre, " sagde Ayers. "At være i stand til at se på en rapport og sige, dette værktøj vil fungere bedre end det til en bestemt sag - det kan være en stor fordel."