In: Análisis de Teléfonos Móviles

Flujo de trabajo

Aunque no existe un proceso estándar bien establecido para la investigación forense móvil, existen algunas pautas que se pueden seguir para garantizar que el examen se realizará mediante una metodología adecuada. Esto hará que el proceso sea sólida desde el punto de vista forense y los resultados sean fiables.

Las diferentes etapas del análisis son cuidadosamente abordadas en PeriTe -Peritajes Tecnológicos-
y utilizamos como referencia una de las normas internacionalmente más aceptadas en este campo, la norma ISO/IEC 27037. Esta norma abarca puntos muy importantes como son las etapas de la metodología propuesta por la ISO, los roles que intervienen en la ejecución de la metodología, los principios que deben cumplir algunos datos para ser considerada evidencia digital.

Generalmente, un examen forense móvil o prueba pericial sobre un movil se puede dividir en los siguientes seis pasos:

  1. Incautación e identificación ( o entrega del móvil )
  2. Preservación
  3. Adquisición
  4. Análisis
  5. Validación
  6. Informes

CONSEJO: El punto clave que hay que entender aquí es que el proceso que se utiliza para examinar el dispositivo móvil y extraer datos del mismo es lo que hace que el examen sea forense. No es ni el software ni el hardware que utiliza, sino únicamente el proceso que utiliza durante el examen lo que lo hace verdaderamente forense.

Estas pautas y los procesos deben revisarse periódicamente a medida que la tecnología continúa evolucionando y se comercializan diferentes dispositivos móviles.

pasos para investigación forense en moviles

Incautación o entrega e identificación

El primer paso se refiere a la incautación física o entrega voluntaria del dispositivo. Se trata de recopilar información sobre el tipo de incidente en el que estuvo involucrado el dispositivo y al menos alguna información básica sobre el propietario del dispositivo.

La forma en que se produce la incautación depende de su jurisdicción, por lo que hay que estar familiarizado con las leyes relativas a la incautación y el análisis de dispositivos inteligentes y cuáles son los requisitos (Si se requiere una orden de registro o no, si el análisis es contratado voluntariamente o no, etc). En esta etapa, también debe tener una comprensión general de los datos que se espera encontrar, ya que esto ayudará a definir objetivos específicos y planificar los próximos pasos.

En primer lugar, hay que documentar todo lo que se hace y considerar cómo preservar la evidencia. La forma en que maneje el dispositivo es importante y puede tener un gran impacto en el resultado de la investigación.

También hay tener en cuenta el estado en el que se encontró el dispositivo. Los siguientes son algunos ejemplos:

  • ¿El dispositivo está encendido o apagado?
  • ¿El dispositivo está protegido por una contraseña?
  • ¿Se conoce la contraseña?
  • ¿Está presente la tarjeta SIM?
  • ¿Hay algún daño visible?
  • ¿Cuál es la fecha y hora en el dispositivo?
  • Si el dispositivo está encendido, ¿qué aplicaciones se están ejecutando?
  • ¿Hay información interesante en la RAM?
  • Información básica del propietario

Uno de los aspectos fundamentales de un proceso forense sólido es que las operaciones deben llevarse a cabo sin alterar ni cambiar de ninguna manera el contenido de los datos que residen en el dispositivo. Hay que tener en cuenta que tanto los dispositivos iOS como Android son sistemas informáticos dinámicos y activos, por lo que cualquier tipo de interacción con el dispositivo daría lugar a cambios en los archivos y bases de datos del sistema, sin mencionar la posibilidad de eliminar inadvertidamente archivos temporales que podrían contener evidencia útil. Se debe tener cuidado de limitar toda interacción con el dispositivo, excepto las operaciones de conservación.

Una vez que el dispositivo ha sido entregado, un investigador podría verse tentado a acceder manualmente a los datos del dispositivo, por ejemplo ejecutando aplicaciones de mensajería y viendo conversaciones directamente desde la pantalla del dispositivo; sin embargo, se debe desaconsejar esto ya que daría como resultado la alteración de los registros del sistema y otros archivos relacionados con el sistema, lo cual no es un comportamiento forense sólido.

En esta etapa, nuestro Perito especialista identifica el dispositivo, su modelo de hardware y versión de IOS. Esta información será útil para comenzar a evaluar qué opciones tiene el perito informático para extraer evidencia del dispositivo.

Para cada examen, el perito identifica lo siguiente:

  • La autoridad legal para examinar el dispositivo.
  • Los objetivos del examen.
  • Otras fuentes de evidencia potencial (incluido el almacenamiento en la nube)

Preservación

Los teléfonos móviles, por diseño, están destinados a comunicarse a través de redes celulares, conexiones Bluetooth y Redes Wi-Fi inalámbricas. Para evitar que el dispositivo se comunique, es importante aislarlo lo antes posible. Aislar el dispositivo evita que datos nuevos (llamadas entrantes, mensajes entrantes, etc.) modifiquen la evidencia existente y, por lo tanto, obliga a preservar los datos. Además, si al dispositivo se le permitiera acceder a la red, se podría producir la destrucción de datos, ya que los productos Apple se pueden borrar de forma remota mediante una señal de interrupción .

La forma más sencilla de aislar un dispositivo Apple o Android es habilitando el modo Avión ; esto desactiva las conexiones inalámbricas y celulares del dispositivo. Puedes habilitar el modo Avión desde la Configuración del dispositivo o, si el dispositivo está bloqueado, directamente desde el centro de control deslizando el dedo hacia arriba desde la parte inferior. Si el dispositivo es un iPhone X o posterior, puede acceder al centro de control deslizándose hacia abajo desde la esquina superior derecha. El aislamiento del dispositivo también se puede lograr colocándolo en una bolsa de Faraday, un contenedor hecho de blindaje metálico que bloquea las frecuencias de radio utilizadas por las redes celulares, GPS y Wi-Fi.

Nunca hay que olvidar mantener el dispositivo cargado para asegurarse de que no se apague. En términos generales, es necesario que el dispositivo permanezca en el estado en el que lo encontró:

  • Si el dispositivo estaba apagado, hay que dejarlo apagado.
  • Si estaba encendido, asegurarse de dejarlo encendido para que no se bloquee

Esto es particularmente importante si el dispositivo está protegido con contraseña y el perito investigador no tiene el código: si el dispositivo se apaga, pasará de un estado AFU a un estado BFU, lo que hará que la recuperación de datos sea mucho más desafiante y, en algunos casos, imposible. 

CONSEJO : Desde la experiencia acumulada por el Perito especialista de PeriTe, uno de los errores más comunes que hemos visto, incluso a otros peritos experimentados, es quitar la tarjeta SIM de un dispositivo desbloqueado para aislarlo de una red celular. Esto puede tener sentido cuando trabaja con diferentes dispositivos, pero hay que evitar quitar la tarjeta SIM a los iPhone o iPads porque al hacerlo, iOS bloqueará automáticamente el dispositivo, se desactivará el desbloqueo biométrico y se activará el modo restringido de USB.

Después de incautar o recibir un movil y aislar con éxito el dispositivo, se debe tener cuidado de mantener la cadena de custodia del dispositivo.

Adquisición

La adquisición es el proceso de Obtener información y evidencias digitales de un dispositivo.

Antes de que comience el proceso de adquisición real, hay que tener una comprensión clara de qué tipo de evidencia se está buscando, ya que esto tendrá una gran influencia en las herramientas forenses que se utilizarán.

En términos generales, existen tres tipos diferentes de adquisición de datos y el método que elija el perito informático afecta la cantidad de datos que se pueden extraer del dispositivo:

tipos de adquisicion de datos en telefonos moviles
  • Adquisición lógica
  • Adquisición completa del sistema de archivos
  • Adquisición física

En la siguiente tabla puedes ver qué tipo de datos se pueden extraer con cada método:

Tabla 1.2 – Comparación de datos que se pueden extraer con diferentes métodos de adquisición

Comparación de datos que se pueden extraer con diferentes métodos de adquisición

Extracciones lógicas y de sistemas de archivos.

Como se puede ver e la tabla, una adquisición lógica extraerá algunos datos generados por el usuario del dispositivo, como fotografías, mensajes y notas. Una extracción lógica suele ser la más fácil y rápida. Sin embargo, considerando la cantidad de archivos disponibles en un dispositivo iOS, adquirir el sistema de archivos completo dará acceso a evidencia valiosa, como datos de aplicaciones de terceros, datos de ubicación precisos, logs del sistema IOS, actividad del usuario, datos eliminados, Torres telefónicas a las que se conectó el móvil e información sobre cientos de patrones… Una extracción del sistema de archivos es una representación de los archivos y carpetas de la partición de usuario del dispositivo; es posible parcialmente recuperar datos eliminados analizando bases de datos y archivos temporales, como archivos WAL.

Extracción física

Los dispositivos hasta el iPhone 4 inclusive pueden someterse a una extracción física completa y forense de todo el disco. Este tipo de extracción ofrece la mayor cantidad de datos, tanto las particiones del sistema como las del usuario, así como las áreas no asignadas del disco. Esto es increíblemente útil ya que permite al perito recuperar datos eliminados, incluidos mensajes, fotos y vídeos. Sin embargo, con la introducción de iOS 5, Apple cambió la forma en que se cifraban los datos en el disco y habilitó otras funciones de seguridad, como claves de clase de protección de datos. Hoy en día, en los modelos más recientes de Iphone es imposible extraer una imagen física sin recurrir a técnicas de JailBreak muy sofisticadas, costosas y complejas. Igualmente en casi todos los Android modernos es necesario rootear el dispositivo para poder realizar una extracción completa bit a bit.

Elegir el mejor método de adquisición

En PeriTe siempre se realiza primero una adquisición lógica y luego, si es posible, se intenta una adquisición del sistema de archivos completo o una adquisición física.

En IOS, generalmente es necesario hacer jailbreak al dispositivo para permitir el acceso sin restricciones al sistema de archivos del dispositivo; sin embargo, cada vez más proveedores están agregando la posibilidad de ejecutar extracciones forenses basadas en checkm8 (todas las operaciones se realizan en la RAM volátil del dispositivo) o extracciones basadas en agentes. Ambas opciones permiten obtener el sistema de archivos completo sin necesidad de hacer jailbreak al dispositivo.

Al fin y al cabo, el método que elige el perito suele depender de cuatro variables:

  • El estado en el que se encuentra el dispositivo (bloqueado o desbloqueado)
  • El modelo del dispositivo y la versión de iOS.
  • Las herramientas a las que se tiene acceso
  • La posibilidad de hacer jailbreak al dispositivo.

Si el dispositivo está bloqueado y no tenemos la contraseña, no existe una solución sencilla . Sin embargo, según el modelo del dispositivo, varias opciones pueden proporcionar una cantidad limitada de datos.

Si el dispositivo está desbloqueado, dependiendo de las herramientas disponibles, se puede intentar una extracción del sistema de archivos. Deberías comenzar con la opción menos intrusiva, como un exploit checkm8 en memoria. Si el dispositivo no permite la explotación de checkm8, se puede intentar una extracción basada en agente si la versión de iOS es compatible. Aunque esto implica instalar un agente en el dispositivo y pueden ocurrir algunos cambios menores, esto se considera seguro desde el punto de vista forense. Si ninguna de estas opciones está disponible, puedes considerar hacer jailbreak al dispositivo mediante checkra1n o unc0ver. Es importante asegurarse de comprender cómo funciona el jailbreak, cómo afecta al dispositivo y cuáles son los riesgos (que son muchos, incluso hacer inaccesible el movil). Finalmente, si ninguna de estas opciones está disponible, habrá que optar por una adquisición lógica.

Es importante tener en cuenta que el teléfono debe adquirirse utilizando un método probado que sea repetible y lo más sólido posible desde el punto de vista forense. En perite.pro experimentamos con varias herramientas en dispositivos de prueba para determinar qué método y herramienta de adquisición funcionan mejor con diferentes dispositivos.

Si no es posible un acceso directo al dispositivo, existen otras fuentes de evidencia que puede considerar, como copias de seguridad de iTunes y extracciones de iCloud.

Análisis

El objetivo principal de realizar un examen forense es encontrar, extraer y procesar evidencia relacionada con un caso o investigación particular.

Aunque no existe un proceso estándar para analizar lo que extrajiste de un dispositivo, aquí hay algunas pautas que recomendamos desde PeriTe:

  • Revisar todos los datos disponibles para familiarizarse con las principales fuentes de evidencia encontradas en el dispositivo.
  • Utilizar herramientas y software forense para analizar rápidamente fuentes de datos comunes, como bases de datos de SMS, aplicaciones instaladas, registros de llamadas, fotos, etc.
  • Intente recuperar los datos eliminados tanto con software como creando manualmente archivos binarios, registros, listas y bases de datos SQLite.
  • Identificar artefactos clave buscando palabras clave y detalles específicos de la investigación.
  • Recojer metadatos de archivos y buscar evidencias ocultas (marcas de tiempo, datos de geolocalización, BLOB binarios, etc.).
  • Encuentrar relaciones entre diferentes artefactos.
  • Realizar análisis temporales de toda la evidencia adquirida, creando una línea de tiempo de artefactos y eventos relevantes.

Cuando se trata de una cantidad limitada de datos, es posible evaluar la evidencia navegando manualmente por todas las carpetas y viendo el contenido de los archivos desde una estación de trabajo. Sin embargo, cuando se analiza gigabytes de fuentes de datos, incluidas bases de datos SQLite, cachés y listas, probablemente habrá que recurrir al uso de herramientas forenses. En tales casos, los investigadores deben desarrollar una estrategia para utilizar las mejores herramientas, según el tipo de evidencia digital y los objetivos de su investigación.

Validación

Después de procesar las pruebas del dispositivo, el perito verificará la exactitud de todos los pasos que se han llevado a cabo. Este proceso no debe centrarse exclusivamente en verificar los datos extraído del dispositivo. También debería implicar validar las herramientas que se utilizaron para el examen y validar todo el proceso para garantizar que se haya llevado a cabo de manera forense sólida.

Desafortunadamente, la validación es uno de los aspectos que más se pasa por alto al resto de peritos, incluso los más experimentados. En PeriTe lo sabemos y no descuidamos nada

Antes de comenzar un examen, se recomienda experimentar con varias herramientas en dispositivos de prueba y conjuntos de datos conocidos para determinar qué herramientas de adquisición y análisis funcionan mejor con modelos y versiones de dispositivos iOS específicos.

Los procedimientos establecidos deben conducir al proceso de adquisición y análisis de un dispositivo. Esto es especialmente cierto cuando se trabaja con datos de aplicaciones de terceros u objetos forenses no identificados ( OFNI ). Se deben probar las prácticas para garantizar que los resultados que se han obtenido son válidos y reproducibles de forma independiente .

Un perito llamado a testificar sobre sus hallazgos debería poder explicar no sólo qué evidencia se encontró, sino también dónde se encontraron esos datos y cómo el sistema operativo iOS generó esos artefactos. Esto podría implicar la decodificación manual de datos binarios y el tallado de archivos. El análisis de archivos binarios reales a partir de los cuales se analizaron los datos del usuario, junto con bases de datos y listas SQLite, ofrece al perito la oportunidad de realizar un análisis profundo del sistema de archivos del dispositivo iOS, extrayendo evidencia que podría pasarse por alto al confiar únicamente en herramientas automáticas.

La siguiente lista se asemeja a algunas de las mejores prácticas con respecto a la verificación y validación:

  • Valores hash : todos los archivos que se extraen del dispositivo se deben aplicar hash durante el proceso de adquisición para garantizar que no se produzcan cambios. Si está realizando una extracción del sistema de archivos,Puede calcular los hashes de cada archivo al final del proceso. La integridad de los datos se puede verificar calculando el hash de un solo archivo y comparándolo con el valor original.
  • Herramientas deterministas : todas las herramientas que se utilizan para un examen deben ser deterministas: una herramienta determinada debe producir el mismo resultado cuando se le dan los mismos datos de entrada, en las mismas circunstancias.
  • Verificación de datos : compruebe si los datos conocidos almacenados en el dispositivo se informan de forma precisa, sin modificaciones. Generalmente, los datos que se extraen del dispositivo deben coincidir con los datos que se ven en la pantalla del dispositivo.
  • Precisión de la herramienta : la calidad del resultado de una herramienta debe verificarse mediante el uso de múltiples herramientas para extraer/procesar los mismos datos y comparar resultados.
  • Pruebas de proceso : Cuando se trabaja con OVNIs o artefactos donde no existe un proceso probando hay que evaluar los resultados de cada prueba.

Informes

El último paso en el proceso de análisis forense móvil es la presentación del informe pericial. La presentación de informes se puede definir como el proceso de preparación de un resumen detallado de lo que se hizo para adquirir y analizar las evidencias digitales desde un dispositivo móvil. Un informe forense también debe incluir todas las pruebas relevantes, presentadas de forma clara y concisa, y las conclusiones a las que se llegó en la investigación.

Otros elementos a incluir en el informe son:

  • Artefactos clave
  • Identificación del dispositivo (modelo, s/n, número de teléfono, etc.)
  • Número de caso y nombre del analista.
  • Fecha y hora en que se realizó el examen.
  • Herramientas que se utilizaron para la extracción y el análisis.

En un informe forense también debe describir cómo se extrajeron los datos (extracción lógica, física o del sistema de archivos) y explicar qué medidas se tomaron para garantizar que todo el proceso fuera repetible y sólido desde el punto de vista forense

Análisis de línea de tiempo

Una de las formas más comunes de informes forenses incluye el análisis temporal, que se define como el proceso de creación de una línea de tiempo de eventos que ocurrieron en el dispositivo en una fecha y hora específicas.

Una línea de tiempo generalmente incluye datos de una variedad de fuentes; por ejemplo, datos de ubicación, registros del sistema yLa evidencia de los mensajes se puede combinar y puede conducir al descubrimiento de qué sucedió, dónde sucedió y cuándo sucedió.

Determinar cuándo ocurrieron eventos en el dispositivo y asociar el uso del dispositivo con un individuo mediante registros, archivos y marcas de tiempo puede resultar extremadamente útil.

error: Content is protected !!
× ¿Cómo puedo ayudarte?