Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Database

SmartTV Forensics

advertisement 
SmartTV Forensics
M. Roeloffs
A. Boztas
Nederlands Forensisch Instituut
[email protected]
[email protected]
11 april 2017
SmartTV Forensic- 11 april 2017
Agenda
•
•
•
•
•
•
Inleiding
Materiaal en methoden
Data acquisitie
Data analyse
Toekomst
Conclusie
SmartTV Forensic- 11 april 2017
Inleiding
SmartTV Forensic- 11 april 2017
Inleiding
Onderzoeksvragen:
• Kan een Smart TV een belangrijke component worden in
een digitaal forensische onderzoek?
• Is het mogelijk om data van een Smart TV veilig te stellen?
• Kan een Smart TV relevante data bevatten?
SmartTV Forensic- 11 april 2017
Materiaal en methoden
•
•
•
•
literatuuronderzoek
selectie Smart TV
data acquisitie
data-analyse
•
•
•
•
•
•
•
System information and settings
Apps
Web browsing
Photo and multimedia files
External media
Cloud services
Channel information
SmartTV Forensic- 11 april 2017
SmartTV
• UE40F7000SLXXN
• Camera, microfoon
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
• De meeste embedded
systemen gebruik(t)en
eMMC chips
• eMMC is hetzelfde als een
MMC kaart
• Maar 3 signalen + Voeding
nodig om uit te lezen
• Controller, er wordt een
disk image gemaakt, geen
ruwe kopie van NAND
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
Aansluiten d.m.v. microSDīƒ SD kaart omzetter
Draden:
D0
Geel
GND
Zwart
CLK
Blauw
VCC
Rood
CMD
Groen
9
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
Werkt met externe voeding
SmartTV Forensic- 11 april 2017
Data acquisitie: NFI Memory Toolkit
•
•
•
•
Chipoff
Desolderen van de
eMMC chip
Uitlezen met de
NFI Memory Toolkit II
Bij bijna alle embedded
apparatuur mogelijk,
nog steeds last van
crypto.
SmartTV Forensic- 11 april 2017
Data acquisitie: App
• Smart TV’s zijn
“gewone” computers
• Werken vaak met
besturingssysteem
linux
• “Rooten”
SmartTV Forensic- 11 april 2017
Data acquisitie: App
• SamyGO forum op internet
• Veel mogelijkheden voor “rooten”
• Mogelijk om Smart TV te gebruiken als bittorrent client etc.
SmartTV Forensic- 11 april 2017
Data acquisitie: App
• SamyGO method
• Install the Skype App from the Samsung App store.
• Start the Skype app
• Set the Skype app to autostart
• Install the SamyGO widget.
• Download the SamyGO_usb widget.
• Place the SamyGO folder on a USB flash drive.
• Navigate to “more apps” and insert the USB flash drive.
• Start the SamyGO widget
• NFI app
• Deze root werkt niet meer, maar er is een andere versie
SmartTV Forensic- 11 april 2017
Data acquisitie
5 draden
Snelle methode, herhaalbaar
Chipoff
Duurt langer, herhaalbaarheid wordt steeds beter
App
Snelle methode, maar werkt niet op alle firmware versies
SmartTV Forensic- 11 april 2017
BESTANDSSYSTEEM
ANALYSE
SmartTV Forensic- 11 april 2017
Chip dump image analyse
- Partitie schema, normaal DOS
- 24 partities
Content analyse
- Squashfs
- U-images
- unknown
SmartTV Forensic- 11 april 2017
Bestandssysteem analyse
Squashfs
• Read-only
• Software van Samsung Open Source Release Center
• Aanpassing image verificatie en compressie methode
U-Boot legacy uImage
• U-Boot is een universele bootloader
Samsung eMMC
• Samsung chip oriented file system
• Lijkt op een BTRFS variant, journaling, snapshotting
• Magic ‘1eMMCFS`
Partition redundancy
• sommige partities hebben dezelfde grootte
• gebruikt om Software resetten
SmartTV Forensic- 11 april 2017
Bestandssysteem analyse
SmartTV Forensic- 11 april 2017
eMMCfs & Redundancy
- Project linux voor ARM
- Source code in samsungs opensource center
In de toekomst indien nodig, filesystem;
- Timestamps
- Logging
- Snapshotting
Meeste partities uitgevoerd in duo’s, i.v.m. met reset/update
SmartTV Forensic- 11 april 2017
Data analyse: Systeem en netwerkinformatie
•
•
•
•
device naam
connected devices
Netwerk informatie
smart functionaliteiten
SmartTV Forensic- 11 april 2017
Data analyse: System en netwerkinformatie
• System informatie:
•
•
•
•
•
Serienummer
Model
Merk
uniekiD
Etc.
• Netwerk informatie:
•
•
•
•
informatie over netwerknaam
IP-adressen
bluetooth apparaten
MAC-adres
SmartTV Forensic- 11 april 2017
Data analyse: Apps
• Facebook
• Twitter
• YouTube, etc.
SmartTV Forensic- 11 april 2017
Data-analyse: Apps
• naam
• Datums
• screenshots
• Gebruikers gerelateerde informatie
SmartTV Forensic- 11 april 2017
Data-analyse: Apps
SmartTV Forensic- 11 april 2017
Data-analyse: Apps
SmartTV Forensic- 11 april 2017
Data-analyse: Webbrowsing
•
•
•
•
•
•
bezochte websites
web geschiedenis
info over zoekmachines
bookmarks
cookies
etc.
SmartTV Forensic- 11 april 2017
Data-analyse: Webbrowsing
settings.db bevindt zich in p24/webkit/WebBrowser.
• SQLite database
• bevat 14 tabellen
Relevante tabellen:
•
•
•
•
FullBrowserHistory:
fullBrowser_HiddenHistory:
fullBrowser_Bookmark:
fullBrowser_Search:
SmartTV Forensic- 11 april 2017
Data-analyse: Webbrowsing
SmartTV Forensic- 11 april 2017
Data-analyse: Foto en multimedia files
• The file .CM.db in p22
•
•
•
•
SQLite database
bevat 20 tabellen
informatie over audio, foto’s en video bestanden
Wanneer bestanden zijn geopend, afgespeeld etc.
Relevante tabellen:
•
•
•
•
•
PhotoTable
MusicTable
VideoTable
FileTable
p22/RecentlyPlayed bevat bestanden met .mta extensie.
SmartTV Forensic- 11 april 2017
Data-analyse: Foto en multimedia bestanden
SmartTV Forensic- 11 april 2017
Data-analyse: External media
•
•
•
•
device0013.db bevindt zich in in de root van p22
SQLite database
bevat een tabel TABLE_DEVID.
informatie over USB flash drives
SmartTV Forensic- 11 april 2017
Data-analyse: Zender informatie
• p16/map-AirA, map-AirD, map-CableA, map-CableD, map-SateD
• p22/.EPG.db; SQLite database en bevat Electronic Program Guide
• Wegens tijdgebrek niet verder onderzocht
SmartTV Forensic- 11 april 2017
Data-analyse: Cloud services
•
•
•
•
•
url
foto’s
videos
gebruikersnamen
etc,
SmartTV Forensic- 11 april 2017
Conclusie
• Een Smart TV is eigenlijk een computer en kan met dezelfde
forensische toolset bekeken worden
• veiligstellen is mogelijk
• Een Smart TV kan relevante digitale sporen bevatten
• Relevante info is meestal in SQLite databases
• Criminelen kunnen het misbruiken. Bijv: Kinderporno,
botnet, etc.
SmartTV Forensic- 11 april 2017
Toekomst
• 5 draden methode verder onderzoeken
• andere merken en modellen Smart TV
onderzoeken
• uitgebreider data-analyse onderzoek
• App ontwikkelen voor het veiligstellen van data
• memory dump maken
• netwerkactiviteiten analyseren
SmartTV Forensic- 11 april 2017
SmartTV Forensic- 11 april 2017
Vragen
SmartTV Forensic- 11 april 2017
Related documents
Formulier-onderzoek-en
Formulier-onderzoek-en
Vacature Klinisch Psycholoog-Orthopedagoog PsyPunt
Vacature Klinisch Psycholoog-Orthopedagoog PsyPunt
Uitnodiging
Uitnodiging
Meer info over de functie
Meer info over de functie
vrijetijdsnieuws funpop 2017
vrijetijdsnieuws funpop 2017
uitnodiging BBQ Fina
uitnodiging BBQ Fina
Macro-economisch overzicht – Q4 2016
Macro-economisch overzicht – Q4 2016
Eenvoudige 3D tekeningen Korte Info Wanneer Prijs Waar Tickets
Eenvoudige 3D tekeningen Korte Info Wanneer Prijs Waar Tickets
DE ADVIEZEN VAN BEURSMAKELAAR BERNARD BUSSCHAERT
DE ADVIEZEN VAN BEURSMAKELAAR BERNARD BUSSCHAERT
Mededelingenblad 16 maart 2017 – Eendagsbestuur in Trefpunt
Mededelingenblad 16 maart 2017 – Eendagsbestuur in Trefpunt
Download
advertisement