Podrabiane pamięci USB (pendrive) - jak walczyć z oszustami
Opis podrabianych pamięci USB (tzw. fake pendrive) - przedstawiający na przykładzie raportu z analizy urządzenia typu pendrive o deklarowanej pojemności 128 GB wykonanego przez laboratorium informatyki śledczej Biura Ekspertyz Sądowych w Lublinie w jaki sposób wykazać fałszywe parametry urządzenia.
Analizowaną pamięć zakupił nasz klient na portalu aukcyjnym w 2011 roku, nie działała prawidłowo, dochodziło do utraty zapisanych danych. Sprzedawca stwierdził że wina leży po stronie systemu operacyjnego klienta, który nie obsługuje "zaawansowanego systemu plików exFAT". Urządzenie to trafiło do laboratorium informatyki śledczej Biura Ekspertyz Sądowych w Lublinie. Raport jest wynikiem bardzo szczegółowej ekspertyzy jaką przeszło urządzenie, lektura warta zapoznania.
Po badaniach okazał się tzw. "fake pendrive" czyli urządzeniem, które nie ma prawa działać z deklarowaną pojemnością ze względu na faktycznie zainstalowaną kość pamięci o pojemności nie 128 GB lecz .... 64 MB ;(. Po otrzymaniu ekspertyzy klient skierował sprawę na policję.
Po niemal czterech latach od badania urządzenia, dostaliśmy informację, że sprzedawca ma szereg postępowań o sprzedaż fałszywej pojemności nośników a nasza opinia służy jako model dla policjantów w procesie identyfikacji fałszywek. Z zainteresowaniem czekamy na finał postępowania.
RAPORT Z EKSPERTYZY URZĄDZENIA TYPU PENDRIVE
Pamięć przenośną typu pendrive dostarczono do Biura Ekspertyz Sądowych dnia 19.12.2011. Zgodnie z informacjami dostarczonymi przez osobę zlecającą badania, nośnik miał mieć pojemność 128 GB. Taka też informacja była wytłoczona na obudowie urządzenia, jednakże w trakcie użytkowania nośnika dochodziło do utraty zmagazynowanych na nim danych.
1. Testy za pomocą oprogramowania, część 1
W pierwszej kolejności po rozpakowaniu urządzenie poddano oględzinom i wykonano zdjęcia urządzenia:
Pendrive (widok z góry)
Pendrive (widok od spodu)
Pendrive (widoczny wtyk)
Następnie pamięć podłączono do komputera działającego pod kontrolą systemu Debian GNU/Linux (w trybie read-only, czyli tylko-do-odczytu). System wykrył urządzenie, pokazał model – Udisk 2.0, producenta - Udisk, numer seryjny – FFFCCFCFCFFAE44C oraz pojemność – 136 GB; poniżej zrzut ekranu z wynikiem polecenia dmesg:
Zrzut ekranu - dmesg
W dalszej kolejności uruchomiono program fdisk; widać, że urządzenie (tu: /dev/sdb) ma jedną partycję z systemem plików HPFS, NTFS, bądź exFAT – sdb1:
Zrzut ekranu - fdisk
Program gparted dokładniej zidentyfikował system plików – jako exFAT:
Zrzut ekranu - gparted
Wykonano kopię binarną zawartości w celu sprawdzenia możliwości odczytu z urządzenia:
Zrzut ekranu – wykonanie kopii binarnej nośnika
Uzyskano plik obrazu o wielkości 136.314.880.000 bajtów, o którym będzie jeszcze mowa w dalszej części raportu. Wyliczono sumę kontrolną MD5 z uzyskanego obrazu:
Zrzut ekranu – suma MD5 z obrazu
Wyliczono także sumę MD5 dla całego (nadal niezamontowanego) urządzenia, ma ona postać:
Zrzut ekranu – suma MD5 z urządzenia
Jak widać, sumy te nie są zgodne ze sobą, choć powinny być, ponieważ nie było żadnych ingerencji w urządzenie (tryb read-only), nie było także błędów odczytu.
Kolejnym krokiem było zamontowanie w systemie, istniejącej na pendrive, partycji z systemem plików exFAT:
Zrzut ekranu – montowanie exFAT
Poniżej wynik z polecenia df; widać, że urządzenie zamontowano poprawnie w utworzonym uprzednio katalogu /mnt/exfat/:
Zrzut ekranu – potwierdzenie zamontowania
Następnie przystąpiono do testów na zapis danych – stworzono kilka bardzo dużych plików tekstowych o wielkościach 1024 MB, 512 MB i 128 MB, skopiowano je na pendrive:
Zrzut ekranu – pliki zapisane na pendrive
Po zapisaniu tych plików urządzenie samo się odmontowało i przestało pokazywać swą zawartość, poniżej informacje o błędach z programu gparted oraz z polecenia df:
Zrzut ekranu – błędy
Gdy urządzenie zamontowano ponownie, pliki były widoczne, jednak niemożliwe było podejrzenie ich zawartości. Zapisy innych typów plików (np. wideo) też nie dały pozytywnych rezultatów – jedne pliki znikały, inne nie, żadnego nie dało się poprawnie otworzyć.
Urządzenie formatowano w innych systemach plików: FAT32, NTFS, ext2, ext3 i ext4. Nie obyło się bez problemów – przy tworzeniu systemu plików NTFS pojawiły się błędy (poniżej zrzut ekranu z programu gparted):
Zrzut ekranu – formatowanie na NTFS
Po stworzeniu danego systemu plików przeprowadzano podobne testy, jak powyżej opisano dla exFAT - z takim samym skutkiem, tzn. pliki znikały, nie dawały się otworzyć, etc.
2. Testy za pomocą oprogramowania, część 2
Gdy ukończono testy pod systemem Debian, przyszła kolej na MS Windows 7, natywnie obsługujący system plików exFAT.
Wykonany wcześniej plik obrazu oryginalnego pendrive’a wczytano do specjalistycznego programu do informatyki śledczej o nazwie X-Ways Forensics.
Zrzut ekranu – X-Ways Forensics
Operacja odzyskiwania danych z pliku obrazu nie dała pozytywnego rezultatu, praktycznie nic nie znaleziono, jedynie fragment nagłówka pliku wideo – większość pliku obrazu zajmują przypadkowe dane:
Zrzut ekranu – dane
Z kolei do komputera podłączono badany pendrive. Najpierw sformatowano go na system plików exFAT:
Zrzut ekranu – formatowanie na exFAT
Tu również przeprowadzono testy zapisu i odczytu z urządzenia. Na pendrive skopiowano skompresowany plik obrazu dysku o wielkości 104 GB:
Zrzut ekranu – kopiowanie danych
System Windows po kopiowaniu pokazał, że na urządzeniu zajęte zostało 114 GB:
Zrzut ekranu – informacje o zajętości
Skopiowany na pendrive plik wczytano do X-Ways Forensics, by sprawdzić, czy się otworzyć, pojawił się jednak taki komunikat, świadczący o błędnym skopiowaniu danych:
Zrzut ekranu – sprawdzenie w X-Ways Forensics
Nie udało się również wczytać tego obrazu do programu FTK Imager:
Zrzut ekranu – sprawdzenie w FTK Imager
Kopiowanie innych, mniejszych plików dało podobne efekty jak w systemie Debian – niemożliwe było ich odczytanie, pliki znikały. Podjęto zatem próbę sformatowania pendrive’a w systemie plików NTFS – nie powiodła się:
Zrzut ekranu – formatowanie NTFS
Kolejnym krokiem było sprawdzenie badanego urządzenia w różnych programach testujących pamięci flash. Najpierw uruchomiono program CheckUDisk:
Zrzut ekranu – program CheckUDisk
Jak widać, pendrive został rozpoznany jako urządzenie o pojemności 126,95 GB. Natomiast program ChipGenius rozpoznał dodatkowo typ kontrolera (z serii MXT6208E/MW8209):
Zrzut ekranu – program ChipGenius
Następnie uruchomiono program H2testw, który sprawdza jakość zapisu i odczytu z urządzeń tego typu. Oto wynik testów:
Zrzut ekranu – program H2testw
Weryfikacja danych wykazała, że jedynie 57,2 MB z zapisanych 126,8 GB było poprawnych.
Na podstawie informacji o kontrolerze, uzyskanych z programu ChipGenius, użyto odpowiedniej wersji, dopasowanej do kontrolera, produkcyjnego programu do zarządzania pamięcią flash o nazwie Ameco 8209/6208E Tools, poniżej wynik skanowania:
Zrzut ekranu – program Ameco 8209/6208E Tools
Model pamięci został zidentyfikowany jako MT29F2G08AAA, o pojemności nominalnej 256 MB. Wykonano skanowanie i formatowanie urządzenia na domyślnych ustawieniach:
Zrzut ekranu - program Ameco 8209/6208E Tools (ustawienia)
Zrzut ekranu - program Ameco 8209/6208E Tools (wynik)
Badana pamięć flash została sformatowana do pojemności 62 MB, czyli wielkości zbliżonej do wyniku otrzymanego uprzednio w programie H2testw (57,2 MB). Program sam zaprogramował kontroler w ten sposób, by korzystał tylko z tych komórek pamięci, które nadają się do użytku. Program H2testw uruchomiono raz jeszcze, by zweryfikować jakość zapisu i odczytu:
Zrzut ekranu – program H2testw
Test został ukończony pomyślnie, nie wykryto błędów podczas weryfikacji. CheckUDisk wykrył teraz pamięć o pojemności 62,85 MB (numer seryjny jest inny w stosunku do pierwszego skanowania, ponieważ taki był domyślnie ustawiony w programie Ameco 8209/6208E Tools).
Zrzut ekranu – program CheckUDisk
Wykonano jeszcze jeden test na jakość zapisu – za pomocą programu MyDiskTest:
Zrzut ekranu – program MyDiskTest
W tym przypadku 15-krotny test również zakończył się powodzeniem – pamięć stała się stabilna.
3. Testy sprzętowe
Po ukończeniu testów programowych przystąpiono do badań wnętrza badanej pamięci USB. Zdjęto skóropodobne etui ochronne i otwarto plastikową obudowę urządzenia:
Pendrive po usunięciu etui
Pendrive po usunięciu etui (widok z góry)
Pendrive po usunięciu etui (widok od spodu)
Pendrive po otwarciu obudowy
Pendrive po otwarciu obudowy (widok z góry)
Pendrive po otwarciu obudowy (widok od spodu)
Kość pamięci flash posiada nadrukowane następujące numery: FBNM29BNAK3WG 0632 RD3 VQT8.
Kość pamięci flash
Wykonano też zdjęcie kontrolera pamięci (jest to rzeczywiście model MW8209, co raportował program ChipGenius):
Rys. 39. Kontroler pamięci.
Za pomocą programu FlashGenius stwierdzono, iż pamięć najprawdopodobniej została wyprodukowana przez firmę SpecTek:
Zrzut ekranu – program FlashGenius
Nie należy jednak podchodzić do tych wyników bezkrytycznie, ponieważ na kości pamięci nie ma logo producenta, jakie widać np. na poniższym zdjęciu, pochodzącym ze strony www.spectek.com:
Przykład pamięci produkowanej przez firmę SpecTek
Kolejnym krokiem ekspertyzy było zatem badanie samej kości flash, wykonali je specjaliści z firmy VS Data z Gdyni, którzy za pomocą czytnika NAND Flash na podstawce TSOP-48 i oprogramowania o nazwie NAND Extractor, wykonali odczyt i testy opisywanej pamięci. Wynik widać na poniższym zrzucie ekranu:
Zrzut ekranu – program NAND Extractor
Kość posiada następujące ID: 2C DA 80 15 (ID to chip device code - unikalny identyfikator zaprogramowany w kościach flash, uwierzytelniający daną kość), zaś pojemność nominalna wynosi 256 MB. Według nomenklatury SpecTek kość posiada numer: FNNM29B2GK3WG. Na pamięci nadrukowany jest jednak inny - FBNM29BNAK3WG.
Z powodu tej niezgodności skontaktowano się z firmą SpecTek, by potwierdzić pochodzenie badanej kości – wysłano zdjęcia i opis sprawy.
Otrzymano odpowiedź od pracownika działu pamięci NAND Flash. Napisał on, że jest prawie pewien, iż badana przez nas pamięć NAND Flash została wyprodukowana przez firmę SpecTek, jednak 100% potwierdzenia nie może dać bez przeprowadzenia pełnych testów elektrycznych na samej kości.
Jest to kość z bardzo starej partii, z 2006 roku (informuje o tym nadrukowany numer 0632: 06 – rok 2006, 32 – tydzień 32). Absolutne maksimum pojemności dla tej pamięci to 256 MB (MegaByte) lub 2 Gb (Gigabit); jednak fragment „NA” (NA – Not Defined, nie ustalone) z numeru FBNM29BNAK3WG, świadczy o tym, iż rzeczywista pojemność jest znacznie mniejsza.
Oznaczenie RD3 opisuje natomiast kości „3-rd pass”, czyli takie, które uzyskują skuteczną wydajność na poziomie 25% (bardziej przystępnie można to określić jako „trzeci sort”, gorsza jakość). Przeznaczona być mogła do nośników typu pendrive o pojemności około 64MB.
Brak logo SpecTek na kości tłumaczył tym, że firma czasem sprzedaje swoje produkty bez takiego oznaczenia, ponieważ kupujący chcą umieścić na nich własne logo.
4. Wnioski z badań
Podsumowując, stwierdzić należy, że dostarczona do badania pamięć USB, która miała mieć 128 GB pojemności, ma tak naprawdę pojemność dużo mniejszą.
Wewnątrz znajduje się kość NAND flash o pojemności nominalnej 256 MB, z których wykorzystać da się jedynie około 64 MB, ponieważ jest to kość o gorszych parametrach (tzw. „trzeci sort”).
Z pomocą produkcyjnego programu do zarządzania pamięcią flash Ameco 8209/6208E Tools można pamięć „zmusić” do raportowania większej niż rzeczywista pojemności, w tym przypadku ustawiono pojemność na 128 GB.
Nadmienić trzeba, że w sieci Internet znajduje się mnóstwo stron poświęconych tego typu urządzeniom – źle działającym pendrive’om, które „gubią” dane, których nie da się poprawnie sformatować w innym systemie plików niż exFAT (wystarczy wpisać w wyszukiwarkę hasło „fake pendrive”). Miewają one najróżniejsze pojemności nominalne: od 1-2 GB do nawet 360 GB. Łączy je wszystkie fakt, iż są w nich zamontowane kości NAND o rzeczywistych pojemnościach kilka rzędów wielkości mniejszych niż deklarowane przez sprzedawców.