Criminelen beschadigen soms hun mobiele telefoons in een poging bewijsmateriaal te vernietigen. Ze kunnen breken, schieten, hun telefoons onderdompelen of koken, maar forensische experts kunnen het bewijs toch vaak ophalen. Nutsvoorzieningen, onderzoekers van het National Institute of Standards and Technology (NIST) hebben getest hoe goed deze forensische methoden werken.

Een beschadigde telefoon kan mogelijk niet worden ingeschakeld, en de datapoort werkt mogelijk niet, dus gebruiken experts hardware- en softwaretools om rechtstreeks toegang te krijgen tot de geheugenchips van de telefoon. Deze omvatten hacktools, zij het die rechtmatig kunnen worden gebruikt als onderdeel van een strafrechtelijk onderzoek. Omdat deze methoden gegevens opleveren die als bewijs in de rechtszaal kunnen worden gepresenteerd, het is belangrijk om te weten of ze te vertrouwen zijn.

"Ons doel was om de validiteit van deze methoden te testen, " zei Rick Ayers, de NIST digitale forensische expert die het onderzoek leidde. "Produceren ze op betrouwbare wijze nauwkeurige resultaten?"

De resultaten van de NIST-studie zullen laboratoria ook helpen bij het kiezen van de juiste tools voor de klus. Sommige methoden werken beter dan andere, afhankelijk van het type telefoon, het soort gegevens en de omvang van de schade.

Het onderzoek gaat in op methoden die werken met Android-telefoons. Ook, de studie had alleen betrekking op methoden voor toegang tot gegevens, niet decoderen. Echter, ze kunnen nog steeds nuttig zijn met gecodeerde telefoons, omdat onderzoekers er tijdens hun onderzoek vaak in slagen om de toegangscode te krijgen.

Om de studie uit te voeren, NIST-onderzoekers laadden gegevens op 10 populaire telefoonmodellen. Vervolgens haalden ze de gegevens eruit of lieten externe experts de gegevens voor hen extraheren. De vraag was:zouden de geëxtraheerde gegevens exact overeenkomen met de oorspronkelijke gegevens, zonder wijzigingen?

Om het onderzoek juist te laten zijn, de onderzoekers konden niet zomaar een heleboel gegevens op de telefoons zappen. Ze moesten de gegevens toevoegen zoals een persoon dat normaal zou doen. Ze maakten foto's, verstuurde berichten en gebruikte Facebook, LinkedIn en andere sociale media-apps. Ze voerden contacten in met meerdere middelste namen en vreemd geformatteerde adressen om te zien of er onderdelen zouden worden afgehakt of verloren zouden gaan wanneer de gegevens werden opgehaald. Ze voegden GPS-gegevens toe door door de stad te rijden met alle telefoons op het dashboard.

Nadat de onderzoekers gegevens op de telefoons hadden geladen, ze gebruikten twee methoden om het te extraheren. De eerste methode maakt gebruik van het feit dat veel printplaten kleine metalen tapjes hebben die toegang geven tot gegevens op de chips. Fabrikanten gebruiken die kranen om hun printplaten te testen, maar door er draden op te solderen, forensische onderzoekers kunnen gegevens uit de chips halen. Dit wordt de JTAG-methode genoemd, voor de gezamenlijke taakactiegroep, de vereniging van de maakindustrie die deze testfunctie heeft gecodificeerd.

Chips worden via kleine metalen pinnen op de printplaat aangesloten, en de tweede methode, genaamd "chip-off, " omvat het rechtstreeks verbinden met die pinnen. Vroeger deden experts dit door de chips voorzichtig van het bord te plukken en ze in chiplezers te plaatsen, maar de pinnen zijn delicaat. Als je ze beschadigt, het verkrijgen van de gegevens kan moeilijk of onmogelijk zijn. Een paar jaar geleden, experts ontdekten dat in plaats van de chips van de printplaat te trekken, ze konden de andere kant van het bord op een draaibank slijpen totdat de pinnen zichtbaar waren. Dit is als het strippen van isolatie van een draad, en het geeft toegang tot de pinnen.

"Het lijkt zo vanzelfsprekend, "zei Ayers. "Maar het is een van die dingen waarbij iedereen het maar op één manier deed totdat iemand een gemakkelijkere manier bedacht."

De chip-off extracties werden uitgevoerd door het Fort Worth Police Department Digital Forensics Lab en een particulier forensisch bedrijf in Colorado genaamd VTO Labs, die de geëxtraheerde gegevens terugstuurde naar NIST. NIST-computerwetenschapper Jenise Reyes-Rodriguez deed de JTAG-extracties.

Nadat de gegevensextracties waren voltooid, Ayers en Reyes-Rodriguez gebruikten acht verschillende forensische softwaretools om de onbewerkte gegevens te interpreteren. contacten leggen, locaties, teksten, foto's, sociale media gegevens, enzovoort. Vervolgens vergeleken ze die met de gegevens die oorspronkelijk op elke telefoon waren geladen.

Uit de vergelijking bleek dat zowel JTAG als chip-off de gegevens hebben geëxtraheerd zonder deze te wijzigen, maar dat sommige softwaretools de gegevens beter konden interpreteren dan andere, vooral voor gegevens uit sociale media-apps. Die apps veranderen voortdurend, waardoor het voor de gereedschapmakers moeilijk is om bij te blijven.

De resultaten worden gepubliceerd in een reeks vrij beschikbare online rapporten. Deze studie, en de resulterende rapporten, maken deel uit van NIST's Computer Forensics Tool Testing-project. CFTT genoemd, dit project heeft een breed scala aan digitale forensische instrumenten onderworpen aan een rigoureuze en systematische evaluatie. Forensische laboratoria in het hele land gebruiken CFTT-rapporten om de kwaliteit van hun werk te waarborgen.

"Veel labs hebben een overweldigende werkdruk, en sommige van deze tools zijn erg duur, "Zei Ayers. "Om naar een rapport te kunnen kijken en te zeggen, deze tool zal beter werken dan die voor een bepaald geval - dat kan een groot voordeel zijn."