Hoy vamos a ver como realizar un análisis forense a un dispositivo móvil.
Este POST se compondrá a su vez de diferentes artículos de análisis forense a los siguientes dispositivos:
Forensics a Motorola ( Tres partes. Hoy la primera)
- Forensics a una tarjeta SIM
- Forensics a un Windows mobile
El realizar este post es porque apenas hay documentación al respecto y creo interesante para la comunidad aprender sobre estos temas.
Ademas, el otro día salio una noticia en un diario Español que decia que la Guardia Civil de Ceuta está investigando el empleo de teléfonos móviles para el desembarco de inmigrantes en las costas de la ciudad procedentes de Marruecos, tras haber localizado dos teléfonos en una patera en la que viajaban ilegalmente siete inmigrantes, según informaron fuentes policiales.
La investigación trata de determinar la posible conexión entre los tripulantes de la patera y las personas que presuntamente aguardaban su llegada en la orilla.
Los funcionarios del instituto armado han comprobado que desde los teléfonos móviles de la patera se hicieron varias llamadas, presumiblemente para conocer la presencia de agentes en las inmediaciones de la costa.
Hasta aquí la noticia.
Como se puede apreciar, el uso de móviles se empieza a convertir en una 'comodity'. En la vida de las personas, es más fácil dejarte la cartera o las llaves, que el móvil, yo añadiría que realmente casi todos disponemos de uno (y casi de dos) dado que ademas de ser de gran utilidad (realmente es un ordenador muy potente y de reducido tamaño).
Por otro lado, la gran versatibilidad en las comunicaciones, agendas, organizadores, aplicaciones hacen de el un punto vulnerable para la fuga de información y aquí es donde entra el contenido de este post.
Introducción a los dispositivos moviles.En el mercado yo diría que dominan diversos dispostivos que practicamente llevan los siguientes sistemas operativos:
Symbian es un sistema operativo que fue producto de la alianza de varias empresas de telefonía móvil. El objetivo de Symbian fue crear un sistema operativo para terminales móviles que pudiera competir con el de Palm o el Windows Mobile de Microsoft.
Palm OS es un sistema operativo hecho por PalmSource para PDAs
Windows Mobile es un sistema operativo basados en la API Win32 de Microsoft. Los dispositivos que llevan Windows Mobile son Pocket PC, Smartphones y Media Center. Ha sido diseñado para ser similar a las versiones de escritorio de windows e integrables con las redes y servidores Windows 2003 y 2008
Aunque hay más, quizas sean estos los más usuales.
Desde estas líneas quiero que veamos como obtener algo más que unas simple llamadas de un terminal mó vil.
Lo primero es seguir las buenas prácticas de un analista forense:
PRESERVARA diferencia de las copias bit a bit que se realizan sobre los discos duros, los móviles sufren constantemente cambios en su sistema de datos y ficheros, y realizar una copia integra se presenta como una opción prácticamente imposible de realizar desde el punto de vista de la preservación de la información. Aparte de esto generalmente viene protegido por mecanismos propios del fabricante.
Aquí las soluciones que se presentan en el mercado son muy caras económicamente, pero con muy buena aceptación en el ámbito forense. Herramientas de este estilo las tenemos en la empresa CeLLEBRITE con su KIT UFED.
(http://2.bp.blogspot.com/_7dOLVYBL8vA/Sfc-RTBvSgI/AAAAAAAABII/zeKZhfDSYvE/s400/CELLEBRITE.JPG)
kit. UFED orientado para fuerzas del estado e investigadoresNOTA: Si no disponemos de $ y Euros para comprar estos elementos, entonces este es tu post!!
ANALISIS FORENSE A UN MOTOROLA (I) (http://1.bp.blogspot.com/_7dOLVYBL8vA/Sfg18CTCt1I/AAAAAAAABIY/DEFHL3CGJog/s400/200px-Razrv3t.jpg)
Tengo en mis manos un MOTOROLA RZOR y lo que me interesa obtener de este móvil es lo siguiente:
- LLamadas entrantes y salientes
Para el análisis del MOTOROLA vamos a utilizar diversas herramientas, pero quizas la mejor para poder preservar, es la ya famosa FLASH & BACKUP, que como su nombre indica permite realizar copias de las zonas de memoria que dispone y como no del dispositivo entero.
Las regiones (zonas de memoria) que se ven en la pantalla anterior se componen de:
- CG1 – Contiene el sistema operativo. No es relevante para una investigación. Puede servir para restaurar el telefono
- CG2 – Contiene aplicaciones y datos. Importante para la investigación
- CG3 – Contiene la firma digital del firmware. Esta parte procesa el audio en tiempo real.
- CG4 – Contiene el pack de idiomas y fuentes
- CG15 – Contiene imagenes e iconos (indicador de bateria, señal, etc)
- CG18 – Firma digital del telefono
En este ejemplo, lo ideal es seleccionar solo el CG2. ANALIZANDO LA MEMORIAEn este paso no hace falta haber introducido el PIN en el móvil. Tan solo encenderlo
Como explicarlo con pantallas es complejo, he decidido poner el siguiente video y que realiza las siguientes acciones:
- Primero se realiza la copia.
- Flash & Backup genera un fichero con el contenio de CG2
- Una vez obtenido se utiliza el comando strings y se vuelca el texto a otro fichero CG2.txt
- Una vez extraido se procede a revisar el contenido buscando palabras, mensajes,
contraseñas, y sitios web.
Nota: Como tiene poca calidad el video, y si alguien esta interesado me mandais un correo que os indico como descargarlo en maxima calidad.Como habréis visto en el vídeo aparecen palabras y sitios web aparentemente relacionado con pornografía, ademas de obtener información importante sobre contraseñas y PINs.
El siguiente POST obtendremos las llamadas entrantes, salientes y agendas.
Análisis forense - MOTOROLA (II) (http://underc0de.org/foro/informatica-forense/analisis-forense-motorola-%28ii%29/)
Analisis Forense - Motorola (III) (http://underc0de.org/foro/informatica-forense/analisis-forense-motorola-%28iii%29/)
genial tutorial. saludos
Lo dudo si, me a venido muy bien el tutorial e podido sacar fotos y videos , pero llevo horas mirando que hacer con el archivo .seem para sacar el pin y no tengo ni idea