SmartTV Forensics M. Roeloffs A. Boztas Nederlands Forensisch Instituut abdul@holmes.nl mark@holmes.nl 11 april 2017
Agenda Inleiding Materiaal en methoden Data acquisitie Data analyse Toekomst Conclusie
Inleiding
Inleiding Onderzoeksvragen: Kan een Smart TV een belangrijke component worden in een digitaal forensische onderzoek? Is het mogelijk om data van een Smart TV veilig te stellen? Kan een Smart TV relevante data bevatten?
Materiaal en methoden literatuuronderzoek selectie Smart TV data acquisitie data-analyse System information and settings Apps Web browsing Photo and multimedia files External media Cloud services Channel information
SmartTV UE40F7000SLXXN Camera, microfoon
Data acquisitie: Vijf draden methode De meeste embedded systemen gebruik(t)en emmc chips emmc is hetzelfde als een MMC kaart Maar 3 signalen + Voeding nodig om uit te lezen Controller, er wordt een disk image gemaakt, geen ruwe kopie van NAND
Data acquisitie: Vijf draden methode Aansluiten d.m.v. microsd SD kaart omzetter Draden: D0 Geel GND Zwart CLK Blauw VCC Rood CMD Groen 9
Data acquisitie: Vijf draden methode
Data acquisitie: Vijf draden methode Werkt met externe voeding
Data acquisitie: NFI Memory Toolkit Chipoff Desolderen van de emmc chip Uitlezen met de NFI Memory Toolkit II Bij bijna alle embedded apparatuur mogelijk, nog steeds last van crypto.
Data acquisitie: App Smart TV s zijn gewone computers Werken vaak met besturingssysteem linux Rooten
Data acquisitie: App SamyGO forum op internet Veel mogelijkheden voor rooten Mogelijk om Smart TV te gebruiken als bittorrent client etc.
Data acquisitie: App SamyGO method Install the Skype App from the Samsung App store. Start the Skype app Set the Skype app to autostart Install the SamyGO widget. Download the SamyGO_usb widget. Place the SamyGO folder on a USB flash drive. Navigate to more apps and insert the USB flash drive. Start the SamyGO widget NFI app Deze root werkt niet meer, maar er is een andere versie
Data acquisitie 5 draden Snelle methode, herhaalbaar Chipoff Duurt langer, herhaalbaarheid wordt steeds beter App Snelle methode, maar werkt niet op alle firmware versies
BESTANDSSYSTEEM ANALYSE
Chip dump image analyse - Partitie schema, normaal DOS - 24 partities Content analyse - Squashfs - U-images - unknown
Bestandssysteem analyse Squashfs Read-only Software van Samsung Open Source Release Center Aanpassing image verificatie en compressie methode U-Boot legacy uimage U-Boot is een universele bootloader Samsung emmc Samsung chip oriented file system Lijkt op een BTRFS variant, journaling, snapshotting Magic 1eMMCFS` Partition redundancy sommige partities hebben dezelfde grootte gebruikt om Software resetten
Bestandssysteem analyse
emmcfs & Redundancy - Project linux voor ARM - Source code in samsungs opensource center In de toekomst indien nodig, filesystem; - Timestamps - Logging - Snapshotting Meeste partities uitgevoerd in duo s, i.v.m. met reset/update
Data analyse: Systeem en netwerkinformatie device naam connected devices Netwerk informatie smart functionaliteiten
Data analyse: System en netwerkinformatie System informatie: Serienummer Model Merk uniekid Etc. Netwerk informatie: informatie over netwerknaam IP-adressen bluetooth apparaten MAC-adres
Data analyse: Apps Facebook Twitter YouTube, etc.
Data-analyse: Apps naam Datums screenshots Gebruikers gerelateerde informatie
Data-analyse: Apps
Data-analyse: Apps
Data-analyse: Webbrowsing bezochte websites web geschiedenis info over zoekmachines bookmarks cookies etc.
Data-analyse: Webbrowsing settings.db bevindt zich in p24/webkit/webbrowser. SQLite database bevat 14 tabellen Relevante tabellen: FullBrowserHistory: fullbrowser_hiddenhistory: fullbrowser_bookmark: fullbrowser_search:
Data-analyse: Webbrowsing
Data-analyse: Foto en multimedia files The file.cm.db in p22 SQLite database bevat 20 tabellen informatie over audio, foto s en video bestanden Wanneer bestanden zijn geopend, afgespeeld etc. Relevante tabellen: PhotoTable MusicTable VideoTable FileTable p22/recentlyplayed bevat bestanden met.mta extensie.
Data-analyse: Foto en multimedia bestanden
Data-analyse: External media device0013.db bevindt zich in in de root van p22 SQLite database bevat een tabel TABLE_DEVID. informatie over USB flash drives
Data-analyse: Zender informatie p16/map-aira, map-aird, map-cablea, map-cabled, map-sated p22/.epg.db; SQLite database en bevat Electronic Program Guide Wegens tijdgebrek niet verder onderzocht
Data-analyse: Cloud services url foto s videos gebruikersnamen etc,
Conclusie Een Smart TV is eigenlijk een computer en kan met dezelfde forensische toolset bekeken worden veiligstellen is mogelijk Een Smart TV kan relevante digitale sporen bevatten Relevante info is meestal in SQLite databases Criminelen kunnen het misbruiken. Bijv: Kinderporno, botnet, etc.
Toekomst 5 draden methode verder onderzoeken andere merken en modellen Smart TV onderzoeken uitgebreider data-analyse onderzoek App ontwikkelen voor het veiligstellen van data memory dump maken netwerkactiviteiten analyseren
Vragen