El avance de la tecnología inalámbrica y los dispositivos móviles ha cambiado enormemente nuestra vida. El número de usuarios de teléfonos inteligentes aumenta y la mayoría de las personas confían en él para asuntos relacionados con la comunicación y los negocios. Si bien los teléfonos inteligentes se utilizan para los aspectos positivos de nuestra vida, los delincuentes también los utilizan como medio para su modus operandi.
Por lo tanto, existe información potencial almacenada en teléfonos inteligentes que se puede utilizar como evidencia digital como parte de una investigación. Sin embargo, los investigadores pueden enfrentar desafíos para extraer información crucial y los datos vitales almacenados en el teléfono inteligente.
Los teléfonos móviles son sistemas dinámicos que presentan muchos desafíos para el examinador a la hora de extraer y analizar pruebas digitales. El rápido aumento en el número de diferentes tipos de teléfonos móviles de diferentes fabricantes dificulta el desarrollo de un solo proceso o herramienta para examinar todo tipo de dispositivos. Los teléfonos móviles evolucionan continuamente a medida que avanzan las tecnologías existentes y se introducen nuevas tecnologías. Además, cada móvil está diseñado con una variedad de sistemas operativos integrados. Por lo tanto, se requieren conocimientos y habilidades especiales de los expertos forenses para adquirir y analizar los dispositivos.
En este artículo, compartimos varios métodos sobre cómo se pueden extraer y analizar datos en teléfonos inteligentes utilizando la autopsia del kit de detective.
Indice
Desafíos forenses móviles
Uno de los mayores desafíos forenses en lo que respecta a la plataforma móvil es el hecho de que se puede acceder, almacenar y sincronizar los datos en varios dispositivos. Como los datos son volátiles y pueden transformarse o eliminarse rápidamente de forma remota, se requiere más esfuerzo para la preservación de estos datos. La ciencia forense móvil es diferente de la informática forense y presenta desafíos únicos para los examinadores forenses.
Cumplimiento de la ley y los examinadores forenses a menudo tienen dificultades para obtener evidencia digital de dispositivos móviles. Las siguientes son algunas de las razones:
Diferencias de hardware
El mercado está inundado de diferentes modelos de teléfonos móviles de diferentes fabricantes. Los examinadores forenses pueden encontrar diferentes tipos de modelos móviles, que difieren en tamaño, hardware, características y sistema operativo. Además, con un ciclo de desarrollo de producto corto, surgen nuevos modelos con mucha frecuencia.
Dado que el panorama móvil cambia cada día que pasa, es fundamental que el examinador se adapte a todos los desafíos y se mantenga actualizado sobre las técnicas forenses de los dispositivos móviles.
Sistemas operativos móviles
A diferencia de las computadoras personales donde Windows ha dominado el mercado durante años, los dispositivos móviles utilizan ampliamente más sistemas operativos, incluidos iOS de Apple, Android de Google, BlackBerry OS de RIM, Windows Mobile de Microsoft, webOS de HP, Symbian OS de Nokia y muchos otros.
Funciones de seguridad de la plataforma móvil
Las plataformas móviles modernas contienen funciones de seguridad integradas para proteger la privacidad y los datos del usuario. Estas características actúan como un obstáculo durante la adquisición y el examen forenses.
Por ejemplo, los dispositivos móviles modernos vienen con mecanismos de cifrado predeterminados desde la capa de hardware hasta la capa de software. Es posible que el examinador deba romper estos mecanismos de cifrado para extraer datos de los dispositivos.
Falta de recursos
Como se mencionó anteriormente, con el creciente número de teléfonos móviles, las herramientas requeridas por un examinador forense también aumentarían. Los accesorios de adquisición forense, como cables USB, baterías y cargadores para diferentes teléfonos móviles, deben recibir mantenimiento para adquirir esos dispositivos.
Estado genérico del dispositivo
Incluso si un dispositivo parece estar apagado, es posible que se sigan ejecutando procesos en segundo plano. Por ejemplo, en la mayoría de los móviles, el despertador sigue funcionando incluso cuando el teléfono está apagado. Una transición repentina de un estado a otro puede resultar en la pérdida o modificación de datos.
Técnicas anti-forenses
Las técnicas anti-forenses, como el ocultamiento de datos, la ofuscación de datos, la falsificación de datos y el borrado seguro, dificultan las investigaciones en medios digitales.
Naturaleza dinámica de la evidencia
La evidencia digital se puede alterar fácilmente, ya sea intencionalmente o no. Por ejemplo, explorar una aplicación en el teléfono puede alterar los datos almacenados por esa aplicación en el dispositivo.
Restablecimiento accidental
Los teléfonos móviles ofrecen funciones para restablecer todo. Restablecer el dispositivo accidentalmente mientras lo examina puede resultar en la pérdida de datos.
Alteración de dispositivos
Las posibles formas de alterar los dispositivos pueden variar desde mover datos de aplicaciones, renombrar archivos y modificar el sistema operativo del fabricante. En este caso, se debe tener en cuenta la experiencia del sospechoso.
Recuperación del código de acceso
Si el dispositivo está protegido con un código de acceso, el examinador forense debe obtener acceso al dispositivo sin dañar los datos del dispositivo.
Protección de comunicación
Los dispositivos móviles se comunican a través de redes móviles, redes Wi-Fi, Bluetooth e infrarrojos. Dado que la comunicación del dispositivo puede alterar los datos del dispositivo, se debe eliminar la posibilidad de una mayor comunicación después de incautar el dispositivo.
Falta de disponibilidad de herramientas
Existe una amplia gama de dispositivos móviles. Es posible que una sola herramienta no admita todos los dispositivos o no realice todas las funciones necesarias, por lo que es necesario utilizar una combinación de herramientas. Elegir la herramienta adecuada para un teléfono en particular puede resultar complicado.
Programas maliciosos
El dispositivo puede contener software malicioso o malware, como un virus o un troyano. Estos programas maliciosos pueden intentar propagarse a otros dispositivos a través de una interfaz cableada o inalámbrica.
Problemas legales
Los dispositivos móviles pueden estar involucrados en delitos, que pueden cruzar fronteras geográficas. Para abordar estos problemas multijurisdiccionales, el examinador forense debe conocer la naturaleza del delito y las leyes regionales.
Proceso de extracción de pruebas de teléfonos móviles
La extracción de pruebas y el examen forense de cada dispositivo móvil pueden diferir. Sin embargo, seguir un proceso de examen consistente ayudará al examinador forense a asegurarse de que la evidencia extraída de cada teléfono está bien documentada y los resultados son repetibles y defendibles.
No existe un proceso estándar bien establecido para el análisis forense móvil. Sin embargo, vamos a ofrecer una descripción general de las consideraciones del proceso para la extracción de evidencia de dispositivos móviles. Todos los métodos utilizados para extraer datos de dispositivos móviles deben ser probados, validados y bien documentados.
El proceso se divide en las siguientes fases.
Ingesta de pruebas
La fase de ingesta de pruebas es la fase inicial e implica formularios de solicitud y papeleo para documentar la información de propiedad y el tipo de incidente en el que estuvo involucrado el dispositivo móvil, y describe el tipo de datos o información que busca el solicitante.
El desarrollo de objetivos específicos para cada examen es la parte fundamental de esta fase. Sirve para aclarar los objetivos del examinador.
Identificación
El examinador forense debe identificar los siguientes detalles para cada examen de un dispositivo móvil:
- La autoridad legal: Es importante que el examinador forense determine y documente qué autoridad legal existe para la adquisición y el examen del dispositivo, así como las limitaciones impuestas a los medios antes del examen del dispositivo.
- Los objetivos del examen: El examinador identificará la profundidad con la que debe basarse el examen en los datos solicitados. El objetivo del examen marca una diferencia significativa en la selección de las herramientas y técnicas para examinar el teléfono y aumenta la eficiencia del proceso de examen.
- La marca, el modelo y la información de identificación del dispositivo. Como parte del examen, identificar la marca y el modelo del teléfono ayuda a determinar qué herramientas funcionarían con el teléfono.
- Almacenamiento de datos externo y extraíble. Muchos teléfonos móviles ofrecen una opción para ampliar la memoria con dispositivos de almacenamiento extraíbles, como la tarjeta de expansión de memoria Trans Flash Micro SD. En los casos en que dicha tarjeta se encuentre en un teléfono móvil que se presente para su examen, la tarjeta debe retirarse y procesarse utilizando técnicas forenses digitales tradicionales. También es aconsejable adquirir la tarjeta mientras está en el dispositivo móvil para garantizar que los datos almacenados tanto en la memoria del teléfono como en la tarjeta estén vinculados para facilitar el análisis.
- Otras fuentes de evidencia potencial: Los teléfonos móviles actúan como buenas fuentes de huellas dactilares y otras pruebas biológicas. Dicha evidencia debe recolectarse antes del examen del teléfono móvil para evitar problemas de contaminación, a menos que el método de recolección dañe el dispositivo. Los examinadores deben usar guantes al manipular la evidencia.
Preparación
Una vez el modelo de teléfono móvil es identificado, la fase de preparación implica la investigación sobre el teléfono móvil en particular que se examinará y los métodos y herramientas adecuados que se utilizarán para la adquisición y el examen.
Aislamiento
Los teléfonos móviles están por diseño destinados a comunicarse a través de redes de telefonía móvil, Bluetooth, infrarrojos y capacidades de red inalámbrica (Wi-Fi). Cuando el teléfono está conectado a una red, se agregan nuevos datos al teléfono a través de llamadas entrantes, mensajes y datos de aplicaciones, lo que modifica la evidencia en el teléfono. La destrucción completa de datos también es posible mediante el acceso remoto o los comandos de borrado remoto.
Por esta razón, el aislamiento del dispositivo de las fuentes de comunicación es importante antes de la adquisición y el examen del dispositivo. El aislamiento del teléfono se puede lograr mediante el uso de bolsas de faraday, que bloquean las señales de radio hacia o desde el teléfono. Investigaciones anteriores han encontrado inconsistencias en la protección total de la comunicación con las bolsas de faraday. Por lo tanto, se recomienda el aislamiento de la red.
Procesamiento
Una vez el el teléfono ha sido aislado desde las redes de comunicación, comienza el procesamiento real del teléfono móvil. El teléfono debe adquirirse mediante un método probado que sea repetible y lo más sólido posible desde el punto de vista forense.
La adquisición física es el método preferido, ya que extrae los datos sin procesar de la memoria y el dispositivo normalmente se apaga durante el proceso de adquisición. En la mayoría de los dispositivos, se produce la menor cantidad de cambios en el dispositivo durante la adquisición física.
Si la adquisición física no es posible o falla, se debe intentar adquirir el sistema de archivos del dispositivo móvil. Siempre debe obtenerse una adquisición lógica, ya que puede contener solo los datos analizados y proporcionar punteros para examinar la imagen de memoria sin procesar.
Verificación
Después de procesar el teléfono, el examinador debe verificar la precisión de los datos extraídos del teléfono para asegurarse de que no se modifiquen. La verificación de los datos extraídos se puede realizar de varias formas.
Comparación de datos extraídos con los datos del teléfono
Comprobar si los datos extraídos del dispositivo coinciden con los datos mostrados por el dispositivo. Los datos extraídos se pueden comparar con el dispositivo en sí o con un informe lógico, lo que se prefiera. Recuerda, manipular el dispositivo original puede hacer cambios en la única evidencia: el dispositivo en sí.
Usar múltiples herramientas y comparar los resultados
Para asegurar precisión, utiliza varias herramientas para extraer los datos y comparar los resultados.
Usar valores hash
Todos los archivos de imagen deben tener un hash después de la adquisición para garantizar que los datos permanezcan sin cambios. Si se admite la extracción del sistema de archivos, el examinador extrae el sistema de archivos y luego calcula los valores hash para los archivos extraídos. Posteriormente, cualquier hash de archivo extraído individualmente se calcula y se compara con el valor original para verificar la integridad del mismo.
Cualquier discrepancia en un valor hash debe ser explicable (por ejemplo, si el dispositivo se encendió y luego se adquirió nuevamente, por lo tanto, los valores hash son diferentes).
Documentación y presentación de informes
El examinador debe documentar todo el proceso de examen en forma de notas contemporáneas relacionadas con lo que se hizo durante la adquisición y el examen. Una vez que el examinador completa la investigación, los resultados deben pasar por algún tipo de revisión por pares para garantizar que se verifiquen los datos y que la investigación esté completa.
Las notas y la documentación del examinador pueden incluir información como la siguiente:
- Fecha y hora de inicio del examen
- La condición física del teléfono.
- Fotos del teléfono y componentes individuales
- Estado del teléfono cuando se recibe: encendido o apagado
- Marca y modelo de teléfono
- Herramientas utilizadas para la adquisición
- Herramientas utilizadas para el examen
- Datos encontrados durante el examen
- Notas de la revisión por pares
Presentación
A lo largo de la investigación, es importante asegurarse de que la información extraída y documentada de un dispositivo móvil pueda presentarse claramente a cualquier otro examinador o ante un tribunal. Es importante crear un informe forense de los datos extraídos del dispositivo móvil durante la adquisición y el análisis.
Esto puede incluir datos tanto en papel como en formato electrónico. Sus hallazgos deben documentarse y presentarse de manera que la evidencia hable por sí misma cuando esté en el tribunal. Los hallazgos deben ser claros, concisos y repetibles.
El análisis de línea de tiempo y enlaces, características que ofrecen muchas herramientas forenses móviles comerciales, ayudarán a informar y explicar los hallazgos en múltiples dispositivos móviles. Estas herramientas permiten al examinador vincular los métodos detrás de la comunicación de múltiples dispositivos.
Archivo
La conservación los datos extraídos desde el teléfono móvil es una parte importante del proceso general. También es importante que los datos se conserven en un formato utilizable para el proceso judicial en curso, para referencia futura, en caso de que el archivo de pruebas actual se corrompa y para los requisitos de mantenimiento de registros.
Los casos judiciales pueden continuar durante muchos años antes de que se llegue a la sentencia definitiva, y la mayoría de las jurisdicciones requieren que los datos se retengan durante largos períodos de tiempo a los efectos de las apelaciones. A medida que avanzan el campo y los métodos, pueden surgir nuevos métodos para extraer datos de una imagen física sin procesar, y luego el examinador puede volver a visitar los datos extrayendo una copia de los archivos.
Herramientas forenses móviles
Hay una variedad de herramientas disponibles para realizar análisis forense móvil. Todas las herramientas tienen sus pros y sus contras, y es fundamental que comprendas que ninguna herramienta es suficiente para todos los propósitos. Por lo tanto, comprender los diversos tipos de herramientas forenses móviles es importante para los examinadores forenses.
Al identificar las herramientas adecuadas para la adquisición y el análisis forense de teléfonos móviles, un sistema de clasificación de herramientas forenses de dispositivos móviles resulta útil para los examinadores.
Extracción manual
El método implica simplemente desplazarse a través de los datos en el dispositivo y ver los datos en el teléfono directamente mediante el uso del teclado o la pantalla táctil del dispositivo. La información descubierta luego se documenta fotográficamente. El proceso de extracción es rápido y fácil de usar, y funcionará en casi todos los teléfonos.
Este método es propenso a errores humanos, como perder ciertos datos debido a la falta de familiaridad con la interfaz. En este nivel, no es posible recuperar la información eliminada y capturar todos los datos. Hay algunas herramientas que se han desarrollado para ayudar al examinador a documentar fácilmente una extracción manual.
Extracción lógica
Extracción lógica implica conectar del dispositivo móvil al hardware forense o a una estación de trabajo forense a través de un cable USB, infrarrojos o Bluetooth. Una vez conectada, la computadora inicia un comando y lo envía al dispositivo, que luego es interpretado por el procesador del dispositivo. A continuación, los datos solicitados se reciben de la memoria del dispositivo y se envían de vuelta a la estación de trabajo forense.
Posteriormente, el examinador puede revisar los datos. La mayoría de las herramientas forenses actualmente disponibles funcionan en este nivel del sistema de clasificación. El proceso de extracción es rápido, fácil de usar y requiere poca capacitación para los examinadores. Por otro lado, el proceso puede escribir datos en el móvil y cambiar la integridad de la evidencia. Además, los datos eliminados casi nunca son accesibles.
Volcado hexagonal
Un vertedero de maleficios además denominada extracción física, se logra conectando el dispositivo a la estación de trabajo forense e insertando un código sin firmar o un cargador de arranque en el teléfono e indicando al teléfono que descargue la memoria del teléfono a la computadora. Dado que la imagen sin procesar resultante está en formato binario, se requiere experiencia técnica para analizarla.
El proceso es económico, proporciona más datos al examinador y permite recuperar los archivos eliminados del espacio no asignado del dispositivo en la mayoría de los dispositivos.
Chip-off
Chip-off se refiere a la adquisición de datos directamente desde el chip de memoria del dispositivo. En este nivel, el chip se quita físicamente del dispositivo y se utiliza un lector de chip o un segundo teléfono para extraer los datos almacenados en él. Este método es más desafiante desde el punto de vista técnico ya que en los móviles se utilizan una amplia variedad de tipos de chips.
El proceso es caro y requiere conocimientos a nivel de hardware, ya que implica desoldar y calentar el chip de memoria. Se requiere capacitación para realizar con éxito una extracción de viruta. Los procedimientos inadecuados pueden dañar el chip de memoria y hacer que todos los datos no se puedan recuperar.
Cuando sea posible, se recomienda que se intenten los otros niveles de extracción antes del desprendimiento, ya que este método es de naturaleza destructiva. Además, la información que sale de la memoria está en formato sin procesar y debe ser analizada, decodificada e interpretada.
El método de chip-off se prefiere en situaciones en las que es importante preservar el estado de la memoria exactamente como existe en el dispositivo. También es la única opción cuando un dispositivo está dañado pero el chip de memoria está intacto.
Los chips del dispositivo a menudo se leen utilizando el método Joint Test Action Group (JTAG). El método JTAG implica la conexión a los puertos de acceso de prueba en un dispositivo e indicando al procesador que transfiera los datos sin procesar almacenados en chips de memoria. El método JTAG se usa generalmente con dispositivos que son operativos pero inaccesibles usando herramientas estándar.
Micro lectura
El proceso implica ver e interpretar manualmente los datos que se ven en el chip de memoria. El examinador utiliza un microscopio electrónico y analiza las puertas físicas en el chip y luego traduce el estado de la puerta a 0 y 1 para determinar los caracteres ASCII resultantes.
Todo el proceso es lento y costoso, y requiere un amplio conocimiento y capacitación sobre la memoria flash y el sistema de archivos. Debido a los tecnicismos extremos involucrados en la microlectura, solo se intentaría para casos de alto perfil equivalentes a una crisis de seguridad nacional después de que se hayan agotado todas las demás técnicas de extracción de nivel.
El proceso rara vez se realiza y no está bien documentado en este momento. Además, actualmente no hay herramientas comerciales disponibles para realizar una microlectura.