E-pošta je postala glavno sredstvo poslovne komunikacije, te je tako Outlook kao jedan od najpopularnijih klijenata za rad s e-poštom postao zanimljiv predmet za forenzičku analizu. Ovaj seminarski rad daje pregled podataka koje Outlook Android aplikacija pohranjuje na mobilne uređaje, opisuje tehniku prikupljanja prikazanih podataka i njihovu strukturu.

E-pošta je i dalje najčešće korištena tehnologija za poslovnu komunikaciju, stoga ne čudi što je forenzika e-pošte vrlo česta i bitna u forenzičkim istragama. Microsoft Outlook je jedan od najpopularnijih klijenata za rad s e-poštom, postoji kao program za sve veće operacijske sustave uključujući i operacijske sustave za mobitele a prvi put je objavljen 1997. godine. Outlook zapravo nije kategoriziran kao klijent za e-poštu, već kao upravitelj osobnim informacijama odnosno u originalnom terminu Personal Information Manager(PIM). To je zato što osim pružanja mogućnosti rada s e-poštom, pruža i dodatne mogućnosti upravljanja kalendarom, zadatcima, kontaktima, itd. Iz perspektive računalne forenzike to znači da je potencijalno moguće saznati puno raznih informacija, puno više od samo poruka e-pošte.

S razvojem i popularizacijom pametnih mobitela, Outlook je 2015. godine dobio prvu mobilnu verziju. Postojeća forenzika Outlook programa uglavnom se svodi na analiziranje PST datoteke koju je moguće generirati na verziji programa za osobna računala. Iz tog razloga, a i aktualnosti mobilnih uređaja, u ovom seminaru ćemo proanalizirati podatke Outlook aplikacije za operacijski sustav Android. Želimo saznati što to Outlook sprema na mobilni uređaj, štiti li podatke, i koje informacije je moguće saznati iz tih podataka.

Kako bi prikupili podatke, potrebno je znati nešto o strukturi podataka na Android operacijskom sustavu.

Glavni direktoriji su:

• /boot
• /system
• /recovery
• /data
• /cache
• /misc
• /sdcard

Nama je zanimljiv /data direktorij jer se u njemu nalaze svi korisnikovi podatci, uključujući podatke od aplikacija. Konkretno, podatci Outlook aplikacije nalaze se u /data/data/com.microsoft.office.outlook direktoriju. Da bi pristupili tom direktoriju potrebne su root ovlasti, koje nemamo dok koristimo mobilni uređaj. Bez root ovlasti ipak možemo pristupiti direktoriju koji sadrži cache datoteke. Te datoteke nam nisu od velike koriste jer ne sadrže puno podataka, nisu lijepo strukturirane i teško im je pristupiti jer su u posebnom .m formatu koji ne možemo čitati bez posebnih programa.

Ostaje pitanje kako doći do root ovlasti? Kada bi radili forenziku na stvarnom uređaju bilo bi potrebno steći root ovlasti za taj uređaj, za što postoje brojne upute na internetu. No, kako se stjecanjem root ovlasti gubi garancija na uređaj, za potrebe ovog seminara korišten je virtualni Android uređaj na koji je stavljena slika operacijskog sustava u kojoj su već prisutne root ovlasti. Zatim je ručno instalirana Outlook mobilna aplikacija. Aplikacija Outlook u izvođenju na virtualnom Android uređaju prikazana je na slici ispod. Sada kada imamo root ovlasti možemo pristupiti navedenom direktoriju i pogledati koje datoteke se unutra nalaze. Ovo radimo pomoću Device File Explorer alata koji je dostupan u Android Studio programu.

U direktoriju aplikacije se nalazi veći broj poddirektorija, od kojih ćemo razmatrati sljedeće:

• app_logs
• databases
• files/files/S0/1/Attachments
• files/files/S0/1/Photos

Svi poddirektoriji su prikazani na slici

Logovi se nalaze u app_logs direktoriju. Na slici ispod je prikazan sadržaj app_logs direktorija. Log datoteka koja sadrži najviše podataka je outlook.log. U njoj je zapisano gotovo sve što je korisnik radio u aplikaciji, te je uz pomoću puno truda moguće odrediti koje poruke je čitao i slao i kada. Datoteka je vrlo opsežna i teško ju je čitati. Druge manje zanimljive log datoteke su appUpdates.log koja govori kada je aplikacija ažurirana, calendarSync.log koja govori kada je sinkroniziran kalendar te contactSync.log koja govori kada su sinkronizirani kontakti. Direktorij sadrži još log datoteka no iz njihovog sadržaja je teško išta zaključiti.

Aplikacija sadrži nekoliko baza podataka, slika ispod prikazuje sadržaj /databases direktorija. Baze podataka nisu sadržavale puno korisnih informacija, to je vjerojatno zbog toga što je aplikacija tek instalirana na uređaj i nije puno korištena. Za čitanje podataka iz datoteke baze podataka formata .db korišten je alat sqlitebroswer(www.sqlitebrowser.org). Najkorisnije baze podataka su ispale accompliAcct.db i olmcore.db koje jedine sadrže neke korisne podatke. Baza accompliAcct.db sadrži podatke o postojećim korisničkim računima zajedno s korisničkim postavkama. Sadržaj tablice mailAccounts je prikazan na slici ispod. Baza olmcore.db sadrži podatke o cache-iranim body dijelovima poruka e-pošte. Sadržaj njene tablice message_body_cache je prikazan na slici ispod. Za bolju kvalitetu slika kliknuti na sliku!

U direktoriju /files se nalazi veći broj poddirektorija, no samo mali broj tih direktorija sadrži korisne datoteke. Poddirektorij files/files/S0/1/Attachments sadrži privitke poruka e-pošte, što su dosad najkorisnije informacije koje smo uspjeli prikupiti. Jedna slika iz privitka i preglednik datoteka za taj direktorij su prikazani na slici ispod. Poddirektorij files/files/S0/1/Photos sadrži slike korisnika s kojima smo komunicirali porukama e-pošte preko Outlook klijenta.

Doći do podataka mobilnih aplikacija na operacijskom sustavu Android nije lagan zadatak te je za prikupljanje podataka bilo koje aplikacije potrebna root razina ovlasti. U podatcima Outlook Android aplikacije nije pronađeno puno podataka, a još manje stvarno korisnih podataka za forenzičku analizu. Moguć uzrok ovoga je što je analizirana svježe instalirana Android aplikacija na svježe pokrenutoj inačici operacijskog sustava, pa kako aplikacija nije puno korištena nije ni spremljeno puno podataka. Drugi mogući uzroci su da Outlook aplikacija bitne podatke ne sprema na standardnu lokaciju što je moguće, no malo vjerojatno. Moguće je da su podatci sadržani u datotekama kojima nisam uspio pristupiti zbog nepoznatih formata i ne poznavanja alata kojima je moguće doći do informacija sadržanih u tim datotekama.

[1] https://en.wikipedia.org/wiki/Microsoft_Outlook

[2] https://thesecmaster.com/explore-the-android-file-system-hierarchy-in-depth/

[3]https://infosecwriteups.com/get-yourself-a-rooted-android-virtual-device-avd-fb443d590dfa

[4] https://www.systoolsgroup.com/forensics/outlook-pst/

Poveznice na prezentaciju:

PDF → https://drive.google.com/file/d/1Qx_X4pUiRVF2m3FQqOMypK9J-vlTcsvw/view?usp=share_link

PPTX → https://docs.google.com/presentation/d/1J5URF6ssoMCNS5L7GMsaDxqrPZj6QWWv/edit?usp=share_link&ouid=101885060050855535465&rtpof=true&sd=true