Telefoníacelular:)Mirada Forense) … · 2012-10-12 · cual se dedica a medir, probar y...
Transcript of Telefoníacelular:)Mirada Forense) … · 2012-10-12 · cual se dedica a medir, probar y...
Telefonía celular: Mirada Forense
Nombre: San7ago Sánchez 15 de Octubre 2012
Centro de Usos Múl7ples Universidad Interamerica Recinto Metropolitano
#cybersecuritypr
Objec7ves
• Entendimiento del concepto de telefonía celular en el área forense y su impacto en Sistemas de Información y Comunicaciones.
• Mostrar el proceso de incautación en dispositivos móviles siguiendo las mejores
prácticas de la industria. • Identificar y mencionar fuentes potenciales en contenido de evidencia en un
dispositivo celular.
#cybersecuritypr
3
Una de las preocupaciones originadas en la globalización es que las tecnologías
emergentes y convergentes se utilicen para preservar y aumentar diferentes crímenes
cibernéticos, robo de identidad, espionaje corporativo y robo de secreto comercial entre
otros.
La telefonía celular es parte de estas tecnologías de rápido desarrollo e
implementación y de mayor crecimiento en los pasados 10 años, impactando el
proceso evolutivo de las comunicaciones en su totalidad, convirtiéndose (el celular) en
el equipo móvil mayor usado en el mundo. Por tal razón, ningún funcionario encargado
de hacer cumplir la ley no debe pasar por alto el valor probatorio del contenido de un
dispositivo celular.
Introducción
#cybersecuritypr
• Informática Forense: “Es la identificación, extracción, preservación, interpretación
y documentación de la evidencia, el proceso legal, la integridad de la evidencia, reportes de la información encontrada, así como las opiniones de expertos en un tribunal de justicia u otras personas jurídicas y/o procedimiento administrativo en cuanto a lo que se encontró”, de acuerdo al Instituto de CyberSecurity.
• Telefonía Móvil Forense: Es la ciencia de recuperación de evidencia digital desde
un teléfono móvil en condiciones intactas utilizando métodos aceptados.
• Dato histórico: La evidencia digital es aceptada por la “American Society of Crime Laboratory Directors” en el 2003.
#cybersecuritypr
Telefonía Móvil Forense ≠ Informática Forense
• Variedad de fabricantes y modelos • Informacion Volátil y dinámica • Variedad de herramientas forense y muchos modelos no son compatibles • Heterogeneidad:
• Equipo • Acceso • Sistemas Operativos • Aplicaciones
• Protocolos e interfaces de (OS) exclusivos de fabricantes • El dispositivo puede aparecer como estado “inactivo” para reservar energía y en realidad esta ejecutando un proceso.
#cybersecuritypr
Propósito de un Análisis Forense Celular
• Es identificar, extraer, preservar, interpretar y documentar la evidencia encontrada en el dispositivo celular, para establecer alguna relación con los hechos o delito cometido.
• Basado en el análisis de evidencia se determinará lo siguiente: • ¿Que se realizo? • ¿Cuando se realizo? • ¿Donde lo realizo? • ¿Como se realizo? • ¿Quien lo realizo?
#cybersecuritypr
• El incremento del uso de la telefonía celular a nivel mundial, ha tenido como resultado el aumento en los delitos cometidos con éstos, a su vez la presencia de estos dispositivos móviles en escenas delictiva son mas frecuentes, colocando al dispositivo celular entre los receptores principales de evidencias.
#cybersecuritypr
• Actualmente existen cuatro (4) funciones para realizar crímenes cibernéticos que la telefonía celular a heredado:
• El dispositivo celular es la victima, es expuesto a sabotaje, robo o destrucción. • El dispositivo celular es la herramienta facilitadora para el ataque o ejecución del
delito hacia otro dispositivos o sistemas.
• El dispositivo celular es la herramienta facilitadora para la ejecución del delito hacia personas, ejemplo ; robo de identidad, cuentas bancarias, hacking, etc.
• El dispositivo celular como fuente de credibilidad y confianza, cuando en realidad se esta utilizando para promover algún tipo de esquema de fraude.
#cybersecuritypr
Delitos Relacionados
• Robo de Identidad • Agresión • Secretos comerciales • Fraude • Acoso • Acoso • Pornografía Infantil • Narcotráfico • Asesinatos • Robo de Identidad
Bancaria • Robo • Otros
#cybersecuritypr
¿Donde esta la Evidencia?
Evidencia en un celular. Actualmente un teléfono celular un perfil de la vida personal y profesional sobre la persona que lo posee. Por tal razón el teléfono celular es un repositorio muy importante a la hora de levantar evidencia potencial. A continuación siete (7) lugares potenciales donde puede residir evidencia en un teléfono celular bajo investigación.
• Memoria interna del dispositivo (Mobile Equipment)
• Modulo de Identidad del Subscriptor (SIM card)
• Memorias removibles (MicroSD card memory, MiniSD card memory)
• Material relacionado al teléfono como, facturas de teléfono o documentación
• Proveedor del servicio celular
• Subscriptor u otras personas bajo la misma cuenta
• Data transferida o resguardo en computadora u otro dispositivo
#cybersecuritypr
¿Qué podemos encontrar?
A continuación el tipo de evidencia que se puede extraer durante un análisis forense:
• Número de teléfonos llamados/cantidad • Direcciones • Fotografías • Música • Mensajes de Textos • Calendario y tareas • Llamadas recibidas • Contactos • Videos • Direcciones de internet
• Contenido de chat • Llamadas perdidas • Memos y notas • Grabaciones de voz • Historial de actividades (internet) • Correos Electrónicos • Lectura de GPS • Material o sustancias para posible identificación de ADN • Huellas Dactilares
#cybersecuritypr
Manejo de Evidencia Realizar la adquisición a un dispositivo celular tiene la desventaja de que pudiera
existir pérdida de información debido al agotamiento de las batería, daños, etc. Esto debe evitarse durante el transporte y almacenamiento. Procesos en la evidencia digital.
ü Evaluación: Examinadores forenses del equipo deben evaluar la evidencia digital completamente con respecto al alcance del caso para determinar el curso de acción a tomar. ü Adquisición: Evidencia digital, por su propia naturaleza, es frágil y puede modificarse, dañado, o destruido por un manejo indebido o examen. Se debe producir una copia exacta de los datos originales a examinar. La evidencia original debe ser protegida en todo momento para preserva su integridad. ü Exanimación: El propósito del proceso de examen es extraer y analizar la evidencia digital.
#cybersecuritypr
Aplicaciones para un Análisis Forense
• The National Institute of Standards and technology (NIST)
– Tiene un a división llamada “The Computer Forensics Tool Testing” (CFTT), la
cual se dedica a medir, probar y cualificar la eficiencia de las herramientas
forense que están actualmente en el mercado. Para mayor confiabilidad,
integridad de la evidencia colectada y procesada por estas.
• Herramientas utilizadas para análisis forense y aprobadas por NIST, entre otras.
� Encase (Mobile Edition) � Access Data FTK MPE
(Mobile Phone Examiner)
� Oxygen Forensic Suite � MOBILedit Forensic
#cybersecuritypr
Aplicaciones para un Análisis Forense Cont…
• Identificar la Evidencia electrónica y digital.
• Adquirir la evidencia digital sin modificarla o dañarla.
• Autenticar que la evidencia recuperada es la misma que la original.
• Analizar los datos sin ninguna alteración.
• Producción de Informes.
#cybersecuritypr
• Identificación de la evidencia digital • Identificar inmediatamente el IMEI (International Mobile Equipment Identity) • Identificar las fuentes potenciales de evidencia digital. (SIM, MicroSD Card) • Determinar que elementos se pueden incautar y cuales no. • Recomendación:
• Tomar fotografía del entorno investigado. • Fotografiar todo equipo incautado. • Documentar todo el proceso de incautación, como infraestructura,
conexiones y equipo encontrado.
Descubrimiento de Datos
#cybersecuritypr
• Preservación de la evidencia digital • Mantenimiento de la Cadena de Custodia. • Preservación de los elementos incautados, que estén en riesgo de alta
temperatura o campos magnéticos. • Obtener imágenes forense de los elementos incautados. • Autenticación de la evidencia original.
• Análisis de la evidencia • Tarea de localizar y extraer evidencia utilizando las herramientas aprobadas. • Mediantes técnicas y herramientas forenses se intenta dar respuesta a los
puntos de pericia solicitados.
Descubrimiento de Datos cont…
#cybersecuritypr
• Revisar • Revisión de TODOS los procedimientos, métodos y documentación. • Revisión de procesos de autenticación de evidencia. • Revisión del alcance de la investigación vs. objetivo de esta.
• Producción o presentación de la evidencia o resultados. • La eficacia probatoria del dictamen informático radica en la continuidad del
aseguramiento de la prueba desde el momento de la incautación. • El resultado debe ser objetivo y preciso, conteniendo suficientes elementos para
repetir el proceso en caso de ser necesario.
• Presentación del informe final ante el tribunal o entidad que lo solicite.
Descubrimiento de Datos cont…
#cybersecuritypr
• Para lograr el completo éxito en el desarrollo investigativo de los casos de crimen cibernético, la cadena de custodia de evidencia representa el marco primordial y necesario para probar los hechos relacionados . Hoy día el proceso de realización de esta cadena es sumamente importante ya que en la gran mayoría de los casos el proceso de identificación, preservación, análisis y presentación se ve afectado por el mal uso y manejo de estos procesos a la hora de levantar o identificar evidencia pertinente.
• Cadena de custodia: proceso ininterrumpido de documentación de procedimientos que permitirán alcanzar niveles de efectividad para asegurar las características originales de los elementos materia de prueba o evidencias físicas desde su recolección hasta su disposición final, dentro de una dinámica constante de mejoramiento y modernización, con el fin único de satisfacer las necesidades y expectativas de la administración de justicia para lograr una pronta y cumplida justicia.
Cadena de Custodia cont…
#cybersecuritypr
Cadena de Custodia cont...
Verificado por : Núm. De Evidencia Fecha de
comienzo Fecha de
terminación Del local Al local
Evidencia recogida en Wyko Inc., por el Sr. Santiago Sánchez y entregada por el representante legal
Dispositivo celular Nokia modelo 6720 Classic
CR - 659852 Fecha: 17 marzo del 2007
Hora: 1:35pm
Fecha: 17marzo del 2007
Hora: 6:00pm
Wyko Perito Labs
Sr. Santiago Sánchez investigador asignado de Perito Labs
Asignación y creación de numero de caso a la evidencia:
Numero de caso 3:08CR-175 asignado a la evidencia CR - 659852
Fecha: 22 marzo del 2007
Hora: 11:22am
Fecha: 22 marzo del 2007
Hora: 11:43am
Perito Labs
Perito Labs
Sr. Santiago Sánchez investigador asignado de Perito Labs
Proceso de adquisición de evidencia. Para ver detalladamente estos procesos, favor de hacer referencia a la sección de Procedimientos más adelante en este documento
Fecha:22 julio del 2007
Hora: 11:45am
Fecha: 22 julio del 2007
Hora: 6:05pm
Perito Labs
Perito Labs
Sr. Santiago Sánchez investigador asignado de Perito Labs. Se someterá el informe con la evidencia encontrada al representante legal para su evaluación
Presentación de evidencia núm. CR - 659852 del caso 3:08CR - 175 ante el tribunal
Fecha:24 julio del 2007-
Hora: 1:00pm
Fecha: 24 julio del 2007
Hora: 6:00pm
Perito Labs
Partes interesadas
#cybersecuritypr
Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis
Nota: Agentes (interfaces entre el celular y computador) NO alteran el contenido de los datos originales del disposi7vo celular ya que su interface sirve como “write blocker”
#cybersecuritypr
Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont…
La herramienta Oxygen Forensic muestra un “DeskTop” donde desplega la siguiente información relevante al dispositivo.
#cybersecuritypr
Libreta de Teléfonos
Calendario y Tareas Registradas
Ac.vidad telefónica
Ac.vidad Mensajería y correo electrónico
Registros de Eventos
Fotos y File Browser History
34
Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont…
#cybersecuritypr
Procedimientos
ü Colocar el Teléfono celular en un área del laboratorio forense donde haya aislación de RF, de lo contrario utilizar el “Faraday Bag”.
ü Ejecutar la aplicación Oxygen Forensic
ü La aplicación me solicitara el método de conexión entre el computador y el teléfono celular. En este caso utilizaremos la conexión a través del cable USB
ü Se conecta el teléfono celular a través del cable USB y la aplicación ejecutándose para que esta active el “write Blocker”
ü Se instala el OxyAgent, aplicación que permite la extracción de datos sin alterar la data original. (esta aplicación tiene las debidas certificaciones)
A continuación los procedimientos empleados durante todo el proceso de
descubrimiento, adquisición, recuperación y preservación de evidencia. Procedimiento I.
#cybersecuritypr
Procedimientos cont. Procedimiento II.
ü La aplicación reconoce e identifica el teléfono celular.
ü Se selecciona el tipo de data a extraerse.
ü Se confirma la información del proceso de extracción (extration setting confirmation).
ü Comienza la extracción de datos. Procedimiento III.
ü La aplicación crea uno archivos y carpetas con los datos extraídos del dispositivo, una especie de “backups” del contenido.
ü De los archivos de backup’s se comienza analizar los datos extraídos e identificar los relevantes al casos y objetivos de la investigación.
Procedimiento IV.
ü Se valida la integridad de los datos relevantes al caso y que van con nuestros objetivo.
#cybersecuritypr
Procedimientos cont.
Procedimiento V.
ü Se producen los informes requeridos con los hallazgos
Procedimiento VI. ü Se presentan a las partes interesadas los hallazgo
#cybersecuritypr
Referencias
• hVp://www.nist.gov/index.html (Na7onal Ins7tute of Standards and Technology)
• hVp://www.paraben.com (Proveedor de equipo y cer7ficaciones relacionadas a forense celular)
• hVp://www.jus7ce.gov/ (Departamento de jus7cia Federal)
• hVps://www.eff.org/ (Electronic Fron7er Founda7on)
• hVp://www._i.gov/ (Federal Bureau of Inves7ga7on)
• hVp://patc.com/ (Public Agency Training Council)
#cybersecuritypr
Debemos pensar… 1. ¿Estamos listos para lidiar con un esquema de delitos relacionado a telefonía celular?
2. ¿Estamos conscientes de las leyes existentes relacionadas al delito donde la principal evidencia es un dispositivo celular?
3. ¿Cómo deberíamos responder ante una situación donde el dispositivo sea móvil y esté involucrado en un delito, crimen o incidente?
4. ¿Qué metodología de análisis deberíamos utilizar en este dispositivo para garantizar la integridad en la evidencia recopilada?
5. ¿Cuán preparado están los peritos actuales, gobiernos, autoridades de seguridad nacional, el campo jurídico y empresa privada?