Deep Flash Forensik
Tauchen, umwandeln, auswerten
ACATO GmbH
Christian Bartsch
(CFE, SV f. ITF, MCT, MCSE+I)
1
IT Forensik...
ACATO GmbH
Hauptsitz in München (neben KPMG und WKGT)
Service Portfolio:
• IT Forensik (Handy, PC & Fraud Investigations)
...
Rahmensituation
• Ohne Chip-off ist ein Auslesen kaum noch möglich
• Sicherheitsblockaden verhindern JTAG Methoden
• BGA u...
Was befindet sich im Speicher?
• Datenbereiche
• ECC oder BCH Codes
• XOR Keys
• Service Area
– LBN, LPN,
– Header,
– Bloc...
Epoxy
Welche Speichertypen dominieren?
• TSOP-48 bald nicht mehr dominieren außer in billigen Geräten
• BGA ohne integrier...
Probleme im Chipoff
• Überhitzung beim Ausbau
• Fehlender Support durch gängige Systeme
• Fehlende Informationen über den ...
Herausforderungen
Die Chip-off Forensik erfordert zunehmend...
• Unbekannte Strukturen zu rekonstruieren
• Schäden im Chip...
Was brauchen wir für diese Aufgabe
• Chipreader
• Visual Nand Reconstruction Software
• Rework Station mit Dark Infrared
•...
Ausbau und Lösen der Chips
• Verwendung von IR bei BGA Chips
• Auslöten von TSOP48 mit Speziallötkolben
• Epoxy BGA Chips ...
Wege zum Auslesen
Adapter vs. Feinlöten
• Es gibt nur wenige Adapter für diverse BGA Typen
• Hohe Abnutzungserscheinungen ...
11
Wie sieht die Arbeit aus?
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Beispiel – Sony Ericsson mit BGA137
12
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Samsung Smartphones
Chipoff ist bei nicht eingeschalter
Verschlüsselung möglich!
z.B.
S4, S Duo, S5, …
13
IT Forensik Work...
Von der Analyse zum Ergebnis
14
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Analyse des Dumps
BCH oder ECC CodeSADATA
15
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
BCH Code finden oder recherchieren
16
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
XOR Key anwenden oder erarbeiten
17
XOR
Key
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Pair – Raid 0 Daten zusammenführen
18
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Markers Table
Header sowie LBN finden und kennzeichnen
19
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO Gm...
Logical Image
Daten werden auch in
Hex lesbar
und
sind nicht mehr zerstückelt
20
IT Forensik Workshop an der FH Aachen (20...
Dump Folder Structure
• Am Ende können Dateien und Verzeichnisse sichtbar gemacht werden.
• Auch eine Header Prüfung ist m...
Problemlösungen
• Strom und/oder Geschwindigkeit senken
• Fehlerhafte Bereiche kennzeichnen und ausfiltern
• Serielle oder...
Flexible Einstellung senkt Datenfehler
3.3 V
2.5 V
2.2 V
1.8 V
23
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ...
Bank Number
90% der Controller verwenden keine Bank Nummer.
Die anderen 10% der Controller lassen sich auch mit VNR lösen:...
Aufwendige Verkabelungen
25
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Interpretation von Chip Dumps
26
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
Dumps muss man analysi...
• Mobiltelefone (TSOP, BGA-224)
• Smartphones (BGA-136/137, BGA-169eMMC [5 Größen], MCP169/221)
• Speicherkarten (TSOP48, ...
Vielen Dank
28
IT Forensik Workshop an der FH Aachen (2016)
C. Bartsch ACATO GmbH
18.05.2016
Nächste SlideShare
Wird geladen in …5
×

FH-Aachen-Vortrag_komprimiert

8 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
8
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

FH-Aachen-Vortrag_komprimiert

  1. 1. Deep Flash Forensik Tauchen, umwandeln, auswerten ACATO GmbH Christian Bartsch (CFE, SV f. ITF, MCT, MCSE+I) 1 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  2. 2. ACATO GmbH Hauptsitz in München (neben KPMG und WKGT) Service Portfolio: • IT Forensik (Handy, PC & Fraud Investigations) • Entwicklung eigener F-Tech Lösungen – Software für Renditeberechnung bei Beteiligungen – Software für Fall Management – Name Profiling Software – Crypt Cleaner Software • Präventionsberatung • Datenrettung (mit eigenem Class 100 Reinraum) • Distribution von forensischer Ausrüstung 2 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  3. 3. Rahmensituation • Ohne Chip-off ist ein Auslesen kaum noch möglich • Sicherheitsblockaden verhindern JTAG Methoden • BGA und eMMC Chips werden zum Problem: – Komplexe Signal- und Versorgungswege (Pinout => Verkabelung im 0.05mm Bereich) – empfindlicher (Gefahr der Beschädigung im Entnahmeprozess) – Anfälligkeit für teilweiser/vollständiger Totalausfall 3 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH Acer z520 mit eMMC/MCP -> DRAM + Flash mit 221 BGA Aufbau 18.05.2016
  4. 4. Was befindet sich im Speicher? • Datenbereiche • ECC oder BCH Codes • XOR Keys • Service Area – LBN, LPN, – Header, – Block Number – Plane Number • Steuerungsdaten • Ungenutzte Bereiche • Sonstiges 4 S5 mini IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  5. 5. Epoxy Welche Speichertypen dominieren? • TSOP-48 bald nicht mehr dominieren außer in billigen Geräten • BGA ohne integriertem Controller in Mid-Range Bereich • eMMC wird in den nächsten Jahren in fast allen Geräten vorkommen! • MCPs sind im kommen (stromsparende Kombi aus DRAM und Flash Speicher) • eMMC und BGA Chips immer häufiger mit Epoxy vor Rissen geschützt • eMMC mit Silikon umrahmt als weniger komplexer Schutz IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 5 eMMC Ball s PCB Ball s Ball s Epoxy Si eMMC Ball s PCB Ball s Ball s 18.05.2016
  6. 6. Probleme im Chipoff • Überhitzung beim Ausbau • Fehlender Support durch gängige Systeme • Fehlende Informationen über den Pin-Layout • Nicht lesbare Controller Kennzeichnung • Integrierte Controller (eventuell auch defekt) 6 Epoxy Kristalliner Controller PCB IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  7. 7. Herausforderungen Die Chip-off Forensik erfordert zunehmend... • Unbekannte Strukturen zu rekonstruieren • Schäden im Chip zu überwinden • Schneller auf dem aktuellsten Stand zu sein • Mehr Flexibilität in der eigenen Arbeit 7 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  8. 8. Was brauchen wir für diese Aufgabe • Chipreader • Visual Nand Reconstruction Software • Rework Station mit Dark Infrared • PC gesteuerte Lötstation • Mikroskop mit x40+ Zoom • Analysetool für Handy Daten 8 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  9. 9. Ausbau und Lösen der Chips • Verwendung von IR bei BGA Chips • Auslöten von TSOP48 mit Speziallötkolben • Epoxy BGA Chips bei spezieller Temperatur auslösen Auch der Ausbau aus dem Gerät sollte möglichst schmerzfrei für die Platine erfolgen. Rework erfolgt anhand von internen Temperaturtabellen 9 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  10. 10. Wege zum Auslesen Adapter vs. Feinlöten • Es gibt nur wenige Adapter für diverse BGA Typen • Hohe Abnutzungserscheinungen bei Adaptern • Adapter schon nach 5 Einsätzen beschädigt • Preis – und Qualitätsunterschiede der Adapter 10 Manufaktur wird weiterhin überwiegen IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  11. 11. 11 Wie sieht die Arbeit aus? IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  12. 12. Beispiel – Sony Ericsson mit BGA137 12 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  13. 13. Samsung Smartphones Chipoff ist bei nicht eingeschalter Verschlüsselung möglich! z.B. S4, S Duo, S5, … 13 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  14. 14. Von der Analyse zum Ergebnis 14 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  15. 15. Analyse des Dumps BCH oder ECC CodeSADATA 15 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  16. 16. BCH Code finden oder recherchieren 16 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  17. 17. XOR Key anwenden oder erarbeiten 17 XOR Key IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  18. 18. Pair – Raid 0 Daten zusammenführen 18 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  19. 19. Markers Table Header sowie LBN finden und kennzeichnen 19 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  20. 20. Logical Image Daten werden auch in Hex lesbar und sind nicht mehr zerstückelt 20 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  21. 21. Dump Folder Structure • Am Ende können Dateien und Verzeichnisse sichtbar gemacht werden. • Auch eine Header Prüfung ist möglich 21 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  22. 22. Problemlösungen • Strom und/oder Geschwindigkeit senken • Fehlerhafte Bereiche kennzeichnen und ausfiltern • Serielle oder Parallele Datenbereiche sortieren • Uvm. Bit Errors (sehen aus wie schlechte Pixel) Bad Columns (Herstelldefekte) 22 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  23. 23. Flexible Einstellung senkt Datenfehler 3.3 V 2.5 V 2.2 V 1.8 V 23 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  24. 24. Bank Number 90% der Controller verwenden keine Bank Nummer. Die anderen 10% der Controller lassen sich auch mit VNR lösen: Damit können Block Filtering und Translation Tabellen aufgebaut werden 24 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  25. 25. Aufwendige Verkabelungen 25 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  26. 26. Interpretation von Chip Dumps 26 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH Dumps muss man analysieren und umwandeln für weitere forensische Auswertung. Dennoch gibt es stets Risiken und Anomalien. 18.05.2016
  27. 27. • Mobiltelefone (TSOP, BGA-224) • Smartphones (BGA-136/137, BGA-169eMMC [5 Größen], MCP169/221) • Speicherkarten (TSOP48, BGA52/100/132/152/154, Monolithic) • USB Sticks (TSOP48, BGA, Monolithic) • SSD Festplatten (TSOP-48/56, iNAND, eMMC) • Geräte mit integriertem Flashspeicher (Diktiergeräte, Kameras…) • Digitale Fahrtenschreiber • Flugschreiber mit SLC Chips • Sonstiges Was kann man untersuchen? 27 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016
  28. 28. Vielen Dank 28 IT Forensik Workshop an der FH Aachen (2016) C. Bartsch ACATO GmbH 18.05.2016

×