Telefonía  celular:  Mirada  Forense  

Nombre:  San7ago  Sánchez  15  de  Octubre  2012  

Centro  de  Usos  Múl7ples  Universidad  Interamerica  Recinto  Metropolitano    

#cybersecuritypr  

Objec7ves  

•  Entendimiento del concepto de telefonía celular en el área forense y su impacto en Sistemas de Información y Comunicaciones.

•  Mostrar el proceso de incautación en dispositivos móviles siguiendo las mejores

prácticas de la industria. •  Identificar y mencionar fuentes potenciales en contenido de evidencia en un

dispositivo celular.

#cybersecuritypr  

3  

Una de las preocupaciones originadas en la globalización es que las tecnologías

emergentes y convergentes se utilicen para preservar y aumentar diferentes crímenes

cibernéticos, robo de identidad, espionaje corporativo y robo de secreto comercial entre

otros.

La telefonía celular es parte de estas tecnologías de rápido desarrollo e

implementación y de mayor crecimiento en los pasados 10 años, impactando el

proceso evolutivo de las comunicaciones en su totalidad, convirtiéndose (el celular) en

el equipo móvil mayor usado en el mundo. Por tal razón, ningún funcionario encargado

de hacer cumplir la ley no debe pasar por alto el valor probatorio del contenido de un

dispositivo celular.

Introducción

#cybersecuritypr  

Distribución Mundial de Suscripciones móviles

#cybersecuritypr  

Distribución Mundial Actual de Suscripciones móviles

#cybersecuritypr  

Telefonía Móvil Forense

Informática Forense

#cybersecuritypr  

•  Informática Forense: “Es la identificación, extracción, preservación, interpretación

y documentación de la evidencia, el proceso legal, la integridad de la evidencia, reportes de la información encontrada, así como las opiniones de expertos en un tribunal de justicia u otras personas jurídicas y/o procedimiento administrativo en cuanto a lo que se encontró”, de acuerdo al Instituto de CyberSecurity.

•  Telefonía Móvil Forense: Es la ciencia de recuperación de evidencia digital desde

un teléfono móvil en condiciones intactas utilizando métodos aceptados.

•  Dato histórico: La evidencia digital es aceptada por la “American Society of Crime Laboratory Directors” en el 2003.

#cybersecuritypr  

Telefonía Móvil Forense ≠ Informática Forense

•   Variedad de fabricantes y modelos •  Informacion Volátil y dinámica •  Variedad de herramientas forense y muchos modelos no son compatibles •  Heterogeneidad:

•  Equipo •  Acceso •  Sistemas Operativos •  Aplicaciones

•  Protocolos e interfaces de (OS) exclusivos de fabricantes •  El dispositivo puede aparecer como estado “inactivo” para reservar energía y en realidad esta ejecutando un proceso.

#cybersecuritypr  

Propósito de un Análisis Forense Celular

•  Es identificar, extraer, preservar, interpretar y documentar la evidencia encontrada en el dispositivo celular, para establecer alguna relación con los hechos o delito cometido.

•  Basado en el análisis de evidencia se determinará lo siguiente: •  ¿Que se realizo? •  ¿Cuando se realizo? •  ¿Donde lo realizo? •  ¿Como se realizo? •  ¿Quien lo realizo?

#cybersecuritypr  

Delitos y Telefonía Celular

#cybersecuritypr  

•  El incremento del uso de la telefonía celular a nivel mundial, ha tenido como resultado el aumento en los delitos cometidos con éstos, a su vez la presencia de estos dispositivos móviles en escenas delictiva son mas frecuentes, colocando al dispositivo celular entre los receptores principales de evidencias.

#cybersecuritypr  

•  Actualmente existen cuatro (4) funciones para realizar crímenes cibernéticos que la telefonía celular a heredado:

•  El dispositivo celular es la victima, es expuesto a sabotaje, robo o destrucción. •  El dispositivo celular es la herramienta facilitadora para el ataque o ejecución del

delito hacia otro dispositivos o sistemas.

•  El dispositivo celular es la herramienta facilitadora para la ejecución del delito hacia personas, ejemplo ; robo de identidad, cuentas bancarias, hacking, etc.

•  El dispositivo celular como fuente de credibilidad y confianza, cuando en realidad se esta utilizando para promover algún tipo de esquema de fraude.

#cybersecuritypr  

Delitos Relacionados

•  Robo de Identidad •  Agresión •  Secretos comerciales •  Fraude •  Acoso •  Acoso •  Pornografía Infantil •  Narcotráfico •  Asesinatos •  Robo de Identidad

Bancaria •  Robo •  Otros

#cybersecuritypr  

El Dispositivo Celular como Evidencia

#cybersecuritypr  

¿Donde esta la Evidencia?

Evidencia en un celular. Actualmente un teléfono celular un perfil de la vida personal y profesional sobre la persona que lo posee. Por tal razón el teléfono celular es un repositorio muy importante a la hora de levantar evidencia potencial. A continuación siete (7) lugares potenciales donde puede residir evidencia en un teléfono celular bajo investigación.

•  Memoria interna del dispositivo (Mobile Equipment)

•  Modulo de Identidad del Subscriptor (SIM card)

•  Memorias removibles (MicroSD card memory, MiniSD card memory)

•  Material relacionado al teléfono como, facturas de teléfono o documentación

•  Proveedor del servicio celular

•  Subscriptor u otras personas bajo la misma cuenta

•  Data transferida o resguardo en computadora u otro dispositivo

#cybersecuritypr  

¿Donde esta la Evidencia Cont…?

#cybersecuritypr  

¿Qué podemos encontrar?

         A continuación el tipo de evidencia que se puede extraer durante un análisis forense:

•   Número de teléfonos llamados/cantidad •  Direcciones •  Fotografías •  Música •  Mensajes de Textos •  Calendario y tareas •  Llamadas recibidas •  Contactos •  Videos •  Direcciones de internet

•  Contenido de chat •  Llamadas perdidas •  Memos y notas •  Grabaciones de voz •  Historial de actividades (internet) •  Correos Electrónicos •  Lectura de GPS •  Material o sustancias para posible identificación de ADN •  Huellas Dactilares

#cybersecuritypr  

Manejo de Evidencia Realizar la adquisición a un dispositivo celular tiene la desventaja de que pudiera

existir pérdida de información debido al agotamiento de las batería, daños, etc. Esto debe evitarse durante el transporte y almacenamiento. Procesos en la evidencia digital.

ü  Evaluación: Examinadores forenses del equipo deben evaluar la evidencia digital completamente con respecto al alcance del caso para determinar el curso de acción a tomar. ü  Adquisición: Evidencia digital, por su propia naturaleza, es frágil y puede modificarse, dañado, o destruido por un manejo indebido o examen. Se debe producir una copia exacta de los datos originales a examinar. La evidencia original debe ser protegida en todo momento para preserva su integridad. ü  Exanimación: El propósito del proceso de examen es extraer y analizar la evidencia digital.

#cybersecuritypr  

Procedimientos básico al incautar un celular

#cybersecuritypr  

Metodología

#cybersecuritypr  

Aplicaciones para un Análisis Forense

•  The National Institute of Standards and technology (NIST)

–  Tiene un a división llamada “The Computer Forensics Tool Testing” (CFTT), la

cual se dedica a medir, probar y cualificar la eficiencia de las herramientas

forense que están actualmente en el mercado. Para mayor confiabilidad,

integridad de la evidencia colectada y procesada por estas.

•  Herramientas utilizadas para análisis forense y aprobadas por NIST, entre otras.

�  Encase (Mobile Edition) �  Access Data FTK MPE

(Mobile Phone Examiner)

 

 

�  Oxygen Forensic Suite �  MOBILedit Forensic

 

 

#cybersecuritypr  

Aplicaciones para un Análisis Forense Cont…

•  Identificar la Evidencia electrónica y digital.

•  Adquirir la evidencia digital sin modificarla o dañarla.

•  Autenticar que la evidencia recuperada es la misma que la original.

•  Analizar los datos sin ninguna alteración.

•  Producción de Informes.

#cybersecuritypr  

Modelo de Referencia de Descubrimiento de Datos Electrónicos (EDRM)

#cybersecuritypr  

•  Identificación de la evidencia digital •  Identificar inmediatamente el IMEI (International Mobile Equipment Identity) •  Identificar las fuentes potenciales de evidencia digital. (SIM, MicroSD Card) •  Determinar que elementos se pueden incautar y cuales no. •  Recomendación:

•  Tomar fotografía del entorno investigado. •  Fotografiar todo equipo incautado. •  Documentar todo el proceso de incautación, como infraestructura,

conexiones y equipo encontrado.

Descubrimiento de Datos

#cybersecuritypr  

•  Preservación de la evidencia digital •  Mantenimiento de la Cadena de Custodia. •  Preservación de los elementos incautados, que estén en riesgo de alta

temperatura o campos magnéticos. •  Obtener imágenes forense de los elementos incautados. •  Autenticación de la evidencia original.

•  Análisis de la evidencia •  Tarea de localizar y extraer evidencia utilizando las herramientas aprobadas. •  Mediantes técnicas y herramientas forenses se intenta dar respuesta a los

puntos de pericia solicitados.

Descubrimiento de Datos cont…

#cybersecuritypr  

•  Revisar •  Revisión de TODOS los procedimientos, métodos y documentación. •  Revisión de procesos de autenticación de evidencia. •  Revisión del alcance de la investigación vs. objetivo de esta.

•  Producción o presentación de la evidencia o resultados. •  La eficacia probatoria del dictamen informático radica en la continuidad del

aseguramiento de la prueba desde el momento de la incautación. •  El resultado debe ser objetivo y preciso, conteniendo suficientes elementos para

repetir el proceso en caso de ser necesario.

•  Presentación del informe final ante el tribunal o entidad que lo solicite.

Descubrimiento de Datos cont…

#cybersecuritypr  

Cadena de Custodia

#cybersecuritypr  

•  Para lograr el completo éxito en el desarrollo investigativo de los casos de crimen cibernético, la cadena de custodia de evidencia representa el marco primordial y necesario para probar los hechos relacionados . Hoy día el proceso de realización de esta cadena es sumamente importante ya que en la gran mayoría de los casos el proceso de identificación, preservación, análisis y presentación se ve afectado por el mal uso y manejo de estos procesos a la hora de levantar o identificar evidencia pertinente.

•  Cadena de custodia: proceso ininterrumpido de documentación de procedimientos que permitirán alcanzar niveles de efectividad para asegurar las características originales de los elementos materia de prueba o evidencias físicas desde su recolección hasta su disposición final, dentro de una dinámica constante de mejoramiento y modernización, con el fin único de satisfacer las necesidades y expectativas de la administración de justicia para lograr una pronta y cumplida justicia.

Cadena de Custodia cont…

#cybersecuritypr  

Cadena de Custodia cont...  

       

   

 

       

Verificado por : Núm. De Evidencia Fecha de

comienzo Fecha de

terminación Del local Al local

Evidencia recogida en Wyko Inc., por el Sr. Santiago Sánchez y entregada por el representante legal

Dispositivo celular Nokia modelo 6720 Classic

CR - 659852 Fecha: 17 marzo del 2007

Hora: 1:35pm

Fecha: 17marzo del 2007

Hora: 6:00pm

Wyko Perito Labs

Sr. Santiago Sánchez investigador asignado de Perito Labs

Asignación y creación de numero de caso a la evidencia:

Numero de caso 3:08CR-175 asignado a la evidencia CR - 659852

Fecha: 22 marzo del 2007

Hora: 11:22am

Fecha: 22 marzo del 2007

Hora: 11:43am

Perito Labs

Perito Labs

Sr. Santiago Sánchez investigador asignado de Perito Labs

Proceso de adquisición de evidencia. Para ver detalladamente estos procesos, favor de hacer referencia a la sección de Procedimientos más adelante en este documento

Fecha:22 julio del 2007

Hora: 11:45am

Fecha: 22 julio del 2007

Hora: 6:05pm

Perito Labs

Perito Labs

Sr. Santiago Sánchez investigador asignado de Perito Labs. Se someterá el informe con la evidencia encontrada al representante legal para su evaluación

Presentación de evidencia núm. CR - 659852 del caso 3:08CR - 175 ante el tribunal

Fecha:24 julio del 2007-

Hora: 1:00pm

Fecha: 24 julio del 2007

Hora: 6:00pm

Perito Labs

Partes interesadas

#cybersecuritypr  

Análisis

#cybersecuritypr  

         

   

 

       

 Adquisición  de  evidencia  u.lizando  Oxygen  Forensic  2012  Análisis  

Nota:  Agentes  (interfaces  entre  el  celular  y  computador)  NO  alteran  el  contenido  de  los  datos  originales  del  disposi7vo  celular  ya  que  su  interface  sirve  como  “write  blocker”  

#cybersecuritypr  

 Adquisición  de  evidencia  u.lizando  Oxygen  Forensic  2012  Análisis  cont…  

La herramienta Oxygen Forensic muestra un “DeskTop” donde desplega la siguiente información relevante al dispositivo.

#cybersecuritypr  

 Adquisición  de  evidencia  u.lizando  Oxygen  Forensic  2012  Análisis  cont…  

#cybersecuritypr  

Libreta  de  Teléfonos    

Calendario  y  Tareas    Registradas  

 

Ac.vidad  telefónica  

Ac.vidad  Mensajería  y  correo  electrónico  

Registros  de  Eventos  

Fotos  y  File  Browser  History  

34  

 Adquisición  de  evidencia  u.lizando  Oxygen  Forensic  2012  Análisis  cont…  

#cybersecuritypr  

Procedimientos

 ü   Colocar el Teléfono celular en un área del laboratorio forense donde haya aislación de RF, de lo contrario utilizar el “Faraday Bag”.

ü  Ejecutar la aplicación Oxygen Forensic

ü  La aplicación me solicitara el método de conexión entre el computador y el teléfono celular. En este caso utilizaremos la conexión a través del cable USB

ü Se conecta el teléfono celular a través del cable USB y la aplicación ejecutándose para que esta active el “write Blocker”

ü Se instala el OxyAgent, aplicación que permite la extracción de datos sin alterar la data original. (esta aplicación tiene las debidas certificaciones)

 

 A continuación los procedimientos empleados durante todo el proceso de

descubrimiento, adquisición, recuperación y preservación de evidencia. Procedimiento I.

#cybersecuritypr  

Procedimientos cont. Procedimiento II.

ü  La aplicación reconoce e identifica el teléfono celular.

ü  Se selecciona el tipo de data a extraerse.

ü  Se confirma la información del proceso de extracción (extration setting confirmation).

ü  Comienza la extracción de datos. Procedimiento III.

ü  La aplicación crea uno archivos y carpetas con los datos extraídos del dispositivo, una especie de “backups” del contenido.

ü  De los archivos de backup’s se comienza analizar los datos extraídos e identificar los relevantes al casos y objetivos de la investigación.

Procedimiento IV.

ü  Se valida la integridad de los datos relevantes al caso y que van con nuestros objetivo.

#cybersecuritypr  

Procedimientos cont.

Procedimiento V.

ü  Se producen los informes requeridos con los hallazgos

Procedimiento VI. ü Se presentan a las partes interesadas los hallazgo

#cybersecuritypr  

Referencias

•   hVp://www.nist.gov/index.html    (Na7onal  Ins7tute  of  Standards  and                                                                                                                              Technology)    

•   hVp://www.paraben.com  (Proveedor  de  equipo  y  cer7ficaciones  relacionadas                                                                                                      a  forense  celular)  

•   hVp://www.jus7ce.gov/  (Departamento  de  jus7cia  Federal)  

•   hVps://www.eff.org/    (Electronic  Fron7er  Founda7on)    

•   hVp://www._i.gov/  (Federal  Bureau  of  Inves7ga7on)    

•   hVp://patc.com/    (Public  Agency  Training  Council)  

     

#cybersecuritypr  

Debemos pensar… 1.  ¿Estamos listos para lidiar con un esquema de delitos relacionado a telefonía celular?

2.  ¿Estamos conscientes de las leyes existentes relacionadas al delito donde la principal evidencia es un dispositivo celular?

3.  ¿Cómo deberíamos responder ante una situación donde el dispositivo sea móvil y esté involucrado en un delito, crimen o incidente?

4.  ¿Qué metodología de análisis deberíamos utilizar en este dispositivo para garantizar la integridad en la evidencia recopilada?

5.  ¿Cuán preparado están los peritos actuales, gobiernos, autoridades de seguridad nacional, el campo jurídico y empresa privada?

#cybersecuritypr  

PREGUNTAS

#cybersecuritypr  

Gracias !!!