analisis forense de celulares_20100721064941
TRANSCRIPT
![Page 1: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/1.jpg)
1
Introducción al Análisis Forense de Dispositivos Móviles
21 Julio 2010
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE , ACE, NPFA
ESTUDIO DE INFORMATICA FORENSE
www.presman.com.ar
![Page 2: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/2.jpg)
2
Agenda
�Investigaciones de telefonía celular
� Comparación Cell Forensics Vs. Computer Forensics
�Consideraciones de Tecnología
�Consideraciones Previas a la Adquisición
� Adquisición Física vs. Adquisición Lógica- Validación
�Metodología de Análisis
� Backup Forensics
� Herramientas y Recursos
![Page 3: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/3.jpg)
3
Investigaciones de Telefonía Celular
Analisis Forense
del dispositivo
móvil
Oficio al proveedor de
servicios de telefonía movil
![Page 4: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/4.jpg)
4
Computer Forensics Vs. Cell Forensics
![Page 5: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/5.jpg)
5
Cell OS
*Symbian *Linux
*Android *MacOS
*Windows Mobile *PalmOS
PC OS
*Linux
*MacOS
*Windows
Computer Forensics Vs. Cell Forensics
Hardware PropietarioPlataformas establecidas
PC/MAC/SUN
![Page 6: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/6.jpg)
6
Preservación en Computer Forensics
5b748e186f622c1bdd6ea9843d1609c1
MD5
SHA-1
![Page 7: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/7.jpg)
7
Preservación en Cell Forensics
5b748e186f622c1bdd6ea9843d1609c1
MD5
SHA-1 VALIDACION
POR OBJETO
![Page 8: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/8.jpg)
8
Consideraciones de Tecnología
�Teléfonos básicos� Solo telefonía y funciones de agenda
�Teléfonos avanzados� Agregan multimedia
�Smartphones / PDA� Funciones de oficina (palms , blackberry , iphone…)
![Page 9: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/9.jpg)
9
Consideraciones de Tecnología
�Actualmente solo GSM con SIM Card
(Optativo MMC)
�Que elementos se pueden recuperar depende
del modelo y de los servicios que disponga
la unidad GPRS/EDGE/3G
![Page 10: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/10.jpg)
10
Problemática asociada al dispositivo movil
�Información volátil de la conexión
�Diversidad de Sistemas operativos
�Diversidad de conexiones
�Ciclo de obsolesencia
�Confianza del usuario por la portabilidad
![Page 11: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/11.jpg)
11
CELULAR
SIM CARDMMC CARD
Evidencia en el Dispositivo móvil
•Storage interno
•SIM card
•MMC
![Page 12: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/12.jpg)
12
Consideraciones Previas a la adquisición
� Dejarlo Encendido o Apagarlo ?• Si está encendido aislarlo de la red (datos de celda /consumo)
• Posibilidad de ejecución de programas destructivos
• Si se apaga se corre el riesgo que el dispositivo y/o SIM card estén protegidos por contraseña
� Obtener el cargador
� Obtener información del modelo• Remover la batería para obtener los datos
• Obtener el IMEI (International Mobil Equipment Identifier )presionando *#06#
![Page 13: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/13.jpg)
13
Podemos Obtener la última ubicación del
dispositivo móvil
![Page 14: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/14.jpg)
14
Podemos Obtener llamadas ,
contáctos , imágenes , videos , SMS
, emails y elementos borrados
![Page 15: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/15.jpg)
15
Que se puede obtener del análisis forense ?
�Agenda de contáctos
�Log de llamadas
�Calendario / Tareas
� SMS enviados , recibidos
� Imágenes / Video
�Caché de Internet
�Artefactos de aplicaciones Java
�Artefactos en Smartphones (HTC , Blackberry , Iphone)
![Page 16: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/16.jpg)
16
Fases de adquisición de dispositivos móviles
�Preservar los de datos de conexión
�Adquisición de la SIM card
�Adquisición de la memoria interna (física ó Lógica)
�Adquisición de otros medios digitales
![Page 17: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/17.jpg)
17
Jaula de
Faraday
Preservación de los datos de conexión
![Page 18: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/18.jpg)
18
Clonado de SIM
Preservación de los datos de conexión
�Utilización de Forensic Card writers
![Page 19: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/19.jpg)
19
Adquisición de la SIM card
�Utilización de Forensic Card readers
![Page 20: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/20.jpg)
20
Adquisición de la memoria interna
• Pasos a Seguir :
�Alimentar el equipo (fuente o herramienta)
�Impedir la conexión al sistema celular
para obtener datos dinámicos
�Seleccionar el cable de conexión
![Page 21: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/21.jpg)
21
Bloqueo de conexión
al sistema celular
Adquisición de la memoria interna
![Page 22: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/22.jpg)
22
Adquisición Física y Lógica
Adquisición LógicaAdquisición Física
Salida :
Archivo PropietarioSalida :
HexDump / Bin / RAW
![Page 23: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/23.jpg)
23
Adquisición de la MMC
�Forensic Vs. Non Forensic Card readers
![Page 24: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/24.jpg)
24
Cell Backup Forensics
�Se ejecuta sobre la PC sincronizada
�No requiere del dispositivo
�Son Incompletos
.ipd .mdbackup
![Page 25: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/25.jpg)
25
Blackberry Enterprise Server
Servidor de Email
Proveedor telefonía celular
Internet
CorporatePersonal
Internet
Web Security AppIM Security App
PC Sincronizada
Internet
Plataformas Blackberry
![Page 26: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/26.jpg)
26
Blackberry Backup Forensics
BB Desktop Manager BB Simulator
![Page 27: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/27.jpg)
27
Blackberry Backup Forensics
Elementos que se encuentran en el backup
� Libreta de direcciones Libro de servicio
� Log de llamadas
� Bloc de Notas/Tareas
� Mensajería no leida
� SMS
� Mails con adjuntos
� BB Messenger
� Perfiles WiFi
� URLs Browser
![Page 28: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/28.jpg)
28
Blackberry Backup Forensics
Elementos que NO se encuentran en el backup
� Desktop
� Perfiles de Audio
� Calendario
� MM en Memory card
� Aplicativos externos
![Page 29: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/29.jpg)
29
Iphone Backup Forensics
�Artefactos que quedan en PC/MAC
� iTunes hace backup sin consentimiento del usuario ,
para actualizaciones de firmware o activaciones del
equipo
� Se pueden crear backups manuales
�Backups eliminados rutinariamente pueden existir en
Unallocated
![Page 30: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/30.jpg)
30
Iphone iTunes Sync
![Page 31: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/31.jpg)
31
Iphone Backup Forensics
Elementos que se encuentran en el backup
� Log de llamadas
� SMS
� Preferencias del usuario, plists
� Fotos
� Notas
� Contáctos
� Calendario
� Bookmarks y Cookies de Safari
![Page 32: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/32.jpg)
32
Iphone Backup Forensics
Elementos que NO se encuentran en el backup
� E-mails
� Música y peliculas transferidas por iTunes
� Cache Safari
� Archivos en la particion de usuario
� Logs
� Archivos Eliminados
![Page 33: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/33.jpg)
33
Herramientas Lógicas Vs. Físicas
�Obtención de Reportes genericos : Datos del móvil/SIM , libretas , historial de llamadas , mensajes y elementos activos
REPORTE DETALLADO
![Page 34: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/34.jpg)
34
+54115174007·+541153866947·Flaca no me claves tus puñales...
te amo para siempre nadie va a remplazarte jamas xq sos unika
y no existe una persona mas buena q vos
Hallazgo con Adquisicion Física
![Page 35: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/35.jpg)
35
Herramientas : UFED de Cellebrite�Soporta 2000 modelos , incluyendo CDMA/TDMA
�Adquisiciones lógicas/físicas
�Conexión por cable
�Mayormente de proveedores USA
�Sistema Portable independiente con cables
propietarios
�No incluye mecanismo de bloqueo de senales
�4/6 actualizaciones anuales
�Formato estándar de salida (XLS , RTF)
![Page 36: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/36.jpg)
36
Herramientas : XRY/XACT Microsystemation
�Soporta 835/226 modelos
�Adquisiciones lógicas/físicas
�Conexión por cable / Infrarrojo / Bluetooht
�Mayormente de proveedores Europeos
�Sistema Portable con cables propietarios
�Incluye clonador de SIM
�1/2 actualizaciones anuales
�Visor distribuible
![Page 37: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/37.jpg)
37
Herramientas : DEVICE SEIZURE de Paraben
Forensics�Soporta 2200 modelos incluyendo GPS
�Adquisiciones lógicas/físicas
�Conexión por cable
�Solución de Software con cables standard
�Kit de campo opcional
�No incluye mecanismo de bloqueo de senales
�2/4 actualizaciones anuales
�Formato propietario . Exportable(
�XLS , RTF)
![Page 38: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/38.jpg)
38
Herramientas : NEUTRINO de Guidance Software�Soporta 170 modelos
�Requier EnCase Forensic V6
�Adquisiciones lógicas/físicas
�Conexión por cable
�Incluye Jaula de Faraday
�Solución de Software con cables standard
�y Kit de campo
�2/4 actualizaciones anuales
�Formato Estándar
compatible con EnCase
![Page 39: Analisis Forense de Celulares_20100721064941](https://reader035.vdocuments.site/reader035/viewer/2022062319/55721180497959fc0b8f0fe8/html5/thumbnails/39.jpg)
39
Introducción al Análisis Forense de Dispositivos Móviles
Muchas Gracias por su participacion
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE , ACE, NPFA
ESTUDIO DE INFORMATICA FORENSE
www.presman.com.ar