Marcelo Romero: El Rol del Perito Forense en vista a los nuevos Dispositivos Moviles

El Rol del Perito Forense en vista a los nuevos Dispositivos Moviles

El Trabajo del examinador forense en cuanto a los nuevos dispositivos móviles es multifacético y sobre todo complejo. Los nuevos dispositivos móviles deben ser coaccionados muchas veces para que entreguen algo de información útil que realmente le sirva a la justicia, y es ahí donde el examinador forense debe tener la agudeza para lograrlo.

cuando hablo de coaccionar, me refiero a realmente conocer todos los métodos existentes para la extracción de datos. por el simple hecho que el uso masivo de estos dispositivos en la comisión de diferentes delitos hace que el experto tenga que tener debajo de la manga un libro para poder seguir investigando nuevas técnicas, y nuevas metodologías de trabajo sobre ellos. especialmente en esta área se esta dando que mes a mes van apareciendo seminarios en diferentes provincias sobre esta área, dando la posibilidad de ampliar los conocimientos y sobre todo poder intercambiar ideas nuevas, como nuevos métodos de extracción que ya expondremos mas abajo.

La unidad UFED de la fiscalia de la Ciudad Autónoma de Buenos Aires, a cargo de la Dra. Garcia. Logran a diario realizar extracciones de diferentes dispositivos móviles que son aportados por los denunciantes, dándole la ventaja a estos examinadores poder conocer una nueva galaxia de dispositivos y sobre todos cada uno con un perfil único he irrepetibles.

Hace apenas diez años, la mayoría de los teléfonos móviles no tenían cámaras, tarjetas de memoria, Internet, funcionalidad GPS. Esos cambios son parte de la razón por la que el forense de dispositivos móviles se está convirtiendo cada vez más complejo, tenemos más dispositivos que pueden realizar más tareas.

Es por eso que el perfil del examinador no solo debe ser técnico, sino contener una base legal dado que la responsabilidad de presentar sus informes como futura evidencia en un caso, podrá cortar la libertad de las personas involucradas en el proceso.

Basado en la UDIF Unidad de Informática Forense del Cuerpo de Investigaciones Judiciales, de la Fiscalia de la Ciudad Autónoma de Buenos Aires, encontrándose a cargo el Lic. Fernandez.

Hablaremos de los perfiles necesarios por parte de estos nuevos CSI Crime Scene Investigation de los Dispositivos Móviles.

1.- Perfil

a.- Principios Criminalisticos
b.- Principios Forenses
c.- Legislación Vigente
d.- Manejo de Cadenas de Custodias

2.- Dispositivos

a.- Modelos de Dispositivos
b.- Que datos almacenan los dispositivos
c.- Interfaces de Conexión
d.- Sistemas operativos

3.- Adquisición

a.- Técnicas de Extracción (manual, lógica, jtag, chip-off)
b.- Herramientas de extracción (diferentes gamas - diferentes fabricantes)
c.- Problemas de adquisición (porque no adquiere, privilegios elevados, brickeados)

4.- Analista

a.- Fundamentos de datos (de donde salen los datos)
b.- Datos eliminados (como fundamentar)
c.- Interpretación de datos brutos
d.- Desarrollo de herramientas o defensa de las mismas

5.- Informe

a.- Datos recuperados convertidos y volcados en datos acopiados (Anexos)
b.- Producción del informe técnico pericial

Para aclarar algunos temas que seguramente tendrán ruido luego de esta publicación, serian en el punto 1 y sus incisos, es netamente escuela, o sea una capacitación tanto legal como técnica sobre la persona logrando así adquirir los conocimientos necesarios para arrancar con esta nueva especialidad dentro de otra especialidad como es la de Forensia en Dispositivos Móviles dentro de Informática Forense.

En el punto siguiente punto 2 y sus incisos es netamente técnico y especifico del investigador forense, dado que esta parte es la mas importante en cuanto a lo que incumbe al profesional.

En esta parte la tercera, es a mi entender la mas importante, los métodos de adquisición de la información de los dispositivos. Un método de adquisición no destructivo que permita al profesional obtener una imagen forense completa del dispositivo a través del cable USB, seria lo ideal y recomendable, pero ya tiramos la piedra al principio donde hablamos sobre los nuevos desafíos que debemos sortear en los nuevos smartphone.

Uno de los métodos menos utilizados de recuperación de información es el método forense Jtag que viene de Joint Test Action Group.

La adquisición sobre Aire o también conocida como OTA por sus siglas Over-the-air, e Esta comprenderá la descarga del perfil que posee el dispositivo móvil en la nube de la empresa en la cual esta registrado el dispositivo, esto seria un reservorio de información no explotado a la hora de conseguir la información.

Por ultimo existen dos técnicas nuevas que estoy llevando a cabo en la UDIF del CIJ, las técnicas ISP y Chip-Off, la técnica ISP que viene de In-system programming técnica que logra desnudar la placa del dispositivo y realizar el testeo de puntos de la placa para poder encontrar un jumper a la memoria interna, técnica que vengo probando hace casi dos largos años con resultados asombrosos, ya que he podido levantar algunos dispositivos móviles sin tener sus respectivas contraseñas, patrones o sin encender.

la técnica Chip-Off que viene ultima pero no por eso menos importante, es la eliminación física de la memoria del dispositivo de su placa base y posterior lectura fuera de la misma, la cual produce datos en crudos, que pueden ser exportados a una imagen forense. Técnica novedosa que promete novedosos resultados, ya que no requiere que el dispositivo este funcionando, o desbloqueado.

Examinadores que analizan un dispositivo Android arraigado tienen otro lugar para extraer el sistema de archivos plena y completa del dispositivo mediante la generación de una llamada copia de seguridad Nandroid. copias de seguridad nandroid se pueden crear mediante el arranque del dispositivo en una recuperación a medida (ya sea por la emisión de un comando ADB o, de depuración USB no está habilitado, mediante la celebración de las teclas Vol- y encienda el dispositivo) y seleccionando la opción de menú correspondiente.

Las siguientes condiciones deben cumplirse con el fin de producir una copia de seguridad Nandroid

Cargador de arranque está desbloqueado y recuperación personalizada (por ejemplo CWM o TWRP) está instalado, -o-
El dispositivo tiene sus raíces, instala el paquete Busybox y una aplicación de copia de seguridad Nandroid como este se utiliza.-

Tenga en cuenta que una aplicación de copia de seguridad de Nandroid se puede utilizar para producir una copia de seguridad completa de Nandroid incluso si el cargador de arranque esta bloqueado y no hay recuperación personalizada, está disponible cuando se instala el paquete busybox y una aplicación de copia de seguridad o de restauración Nandroid, la operación se lleva a cabo a través de la recuperación personalizada. Si todas estas condiciones anteriormente mencionadas se cumplen , el experto forense en dispositivos móviles puede arrancar la recuperación personalizada también conocida como custom recovery, y hacer un volcado del dispositivo para que aporte sus datos en una tarjeta SD o unidad flash OTG, también existe la posibilidad de encontrar copias Nandroid existentes en el dispositivo.

Lentamente Android se esta convirtiendo en una plataforma segura, un dispositivo que por sus nuevas funciones de CIFRADO de todo el disco y su tarjeta SD va ganando adeptos en el mercado. Pero al mismo tiempo va convirtiéndose en un obstáculo a la hora de que los expertos en esta área intentan recuperar información de este, y el monopolio que tienen algunas herramientas forense que todavía no pueden obtener toda la gama de dispositivos hacen un caldo de cultivo para que el experto empiece a buscar nuevas herramientas.-

Por ahora terminaremos la primera parte de esta visión de los nuevos CSI Crime Scene Investigation de los Dispositivos Móviles.

Etiquetas

Informática Eventos Curiosidades Humor Google Comics Fingerprinting Privacidad No Lusers Spectra Internet Malware Linux Metadatos FOCA pentesting Eleven Paths Apple Reto Hacking Android Iphone informática forense, informática, computadora, detective, ciber, cibercrimen, policía, ciberespacio, ciencias forenses. tecnologías, romero marcelo, marcelo, romero, ruben, superintendencia delitos complejos y crimen organizado, crimen, red, facebook, blog, blogger, spy, boot, mlaware, virus, antivirus, ayuda, help, web, like, me gusta, estafas, delincuente, phisshing, phishing, aplicacion, Hacking Seguridad Internet Explorer Facebook SQL Injection Identidad Latch Windows Vista Libros Windows Server Windows Análisis Forense auditoría e-mail Blind SQL Injection IE IE9 Estafas mitm Spam hardening Windows 7 XSS Cálico Electrónico hackers Apache BING Firefox ciberespionaje GPRS Herramientas Cursos Seguridad Física Software Libre iOS IIS WhatsApp Entrevistas Mac OS X PCWorld WiFi Open Source Oracle Microsoft SQL Server Citrix Windows XP Técnicoless Ubuntu Wireless blogs 0xWord Técnico-less ipad Office fraude PHP Shodan DNS IPv6 OOXML Troyanos hacked spoofing e-crime redes twitter Google Chrome Terminal Services Windows 8 bug Blind LDAP Injection Cracking Criptografía LDAP LDAP Injection .NET Phishing ciberguerra metadata ODF Cómics Google Play Java Gmail MetaShield Protector MySQL Universidad anonimato e-goverment fraude online fuga de datos Chrome conferencias ssl Excel Mac PDF SMS javascript Botnets Calendario_Torrido Hijacking footprinting TOR metasploit Cifrado Cloud computing Evil Foca LOPD MS SQL Server adware Firewall Talentum Dust Twitel Webmails bugs documentación exploiting Juegos Telefónica Windows TI Magazine cibercrimen Exchange Server Faast antimalware BlackSEO OpenOffice Yahoo hacktivismo wikileaks GSM Música RSS SEO APT Debian Hotmail OSINT Tacyt VPN Wordpress iPv4 legislación Active Directory P2P Path 5 Voip XBOX smartphone 3G ENS GPS Proxy Sun exploit tuenti 0day CSPP Deep Web Hastalrabo de tontos Momentus Ridiculous Sun Solaris Fugas de Datos IBM Messenger Mozilla Firefox Bitcoins Botnet D.O.S. IE9 Python SQLi Websticia webcam biometría ciberseguridad fortificación https 2FA DEFCON Firma Digital Forefront Joomla RedHat reversing troyano David Hasselhoff Forensic Foca Informática64 Opera PGP PowerShell Safari exploits sniffers Apple Safari Connection String Parameter Pollution DNIe IE7 OS X RDP Sharepoint Visual Studio Windows Mobile ingeniería social Blind XPath Injection BlueTooth CSRF Lion Metashield OTP Rootkits Ruby SQLite Skype Telegram UAC Windows Phone jailbreak programación .NET spyware Adobe Buffer Overflow DMZ FTP HTTP ICA Youtube ciberspionaje dibujos esteganografía foolish html5 radio Amazon BOFH BSQLi BlackBerry NFC PPTP RFI Recover Messages SIM SSH Steganografía UMTS Windows Server 2008 Windows Server 2012 censura dkim hardware microhistorias ransomware Adobe Flash C Cisco Clickjacking Google Authenticator HTML Kioskos Interactivos LFI Linkedin MetaShield Client Microsoft Office Music Novell OpenSSL SLAAC Sinfonier SmartTV USB Wayra anonymous apps bootkits ciberterrorismo doxing fugas de información iWork scada 0days Dropbox Grooming IAG IDS JSP PLCs Porno RSA SPF Samsung Siri Tempest TrueCrypt Virus chat defacement delitos eGarante pentesting continuo programación 4G AMSTRAD ASP Access Acens Applet Bash Cagadas Certificate Pinning DLP DeepWeb Google Glass Hackin9 IE8 Instagram Lasso MSDOS Maltego MetaShield Forensics Microsoft Word Mobile Connect Moodle Multimedia SNMP SealSign Seguridad Sony Steve Jobs Virtualización Windows 8.1 Xpath injection antivirus blog carding cookies javascipt kali nmap pentesting by desing wardriving 2G ASM App Store Bitlocker BlackASO Blogger CMS Coldfusion Creepware Fake AV Fedora Gentoo Gtalk HOLS HPP Hosting Hyper-V IE Intel LTE MVP Metashield Analyzer NTP PKI Perl RFID Robtex Ruby on Rails SS7 Secure Boot SmartID Snapchat Steve Wozniak Suse System Center TCP/IP TLS VMWare WAF Windows 95 XML ciberdefensa control parental cso domótica e-health evilgrade formación iMessage kernel ladrones legalidad nginx número de teléfono pentesting persistente switching vulnerabilidades AFP Apolo Asterisk Bill Gates Burp C# Captchas Click-Fraud Cpanel DDOS DNIe 3.0 DRM DoS Drupal EXIF Ebay Espías Evernote Google+ Growth hacking HoneyPot ISV Magazine IoT JBOSS Kerberos Line Live Lockpicking Longhorn Maps MetaShield Forenscis Microsoft IIS NAP Nokia Outlook PCI POP3 Patchs Poker Raspberry Pi Reactos Rogue AV RoundCube SDL SenderID Squirrelmail Surface UNIX Windows 10 Windows CE actualizaciones big data certificados digitales ciberguera cyberbullying código penal defacers estegoanálisis fútbol iCloud man in the middle patentes pederastas pharming redes sociales sexting smartcards smartcities AES AJAX AS/400 Acer AirOS Alan Turing Apache Storm Azure BASIC Badoo BarrelFish BuscanHackers CCTV COBOL Canon ChatON Cortana DHCP Django DreamWeaver FileVault Firefox OS Flash Fortran FreeBSD GSMA Google Adwords Google Car Google Drive Google Now Guadalinex HPC HTML 5 Hotmail. Google Huawei Hyperboria IBERIA IMAP ISO ITIL Inteco JQuery JetSetMe Kaspersky Katana Keylogger Kindle LDA Injection Lenguaje D Liferay Liniux Londres Lumia MD5 MDM MIME MMS MacBook Magento MetaShield for IIS MetaShield for SharePoint Metro Minecraft Movistar Mozilla NetBus No Lusres ONO OSPF OWIN Office365 Omron Open X-Ghange Open-XChange OpenNebula OpenWRT Orange OwnCloud Patch 5 Path Transversal Play framework PrestaShop RFU RIP Revover Messages Rogue AP S/MIME SAP SIEM SIGINT SQL Injeciton SSOO SSRF SVG SWF SandaS Singularity Smart City SmartGrid Snort Solaris Spartan Spotbros Steve Ballmer SugarCRM TMG TPM Tinder TomCat Twombola UIP VENOM VNC WAMP Wacom WebShell Webmails IE Windoes 7 Windos 8 Windows Phone 7 Windows Server 8 Windows live Word XSPA ZigBee auditoria cheater chromium cjdns coches craking curso deception decompilador ePad futbolín iOS 8 iPhone 6 mediawiki pedofília pentesting persistentes penteting podcasts poodle programación. .NET ransomsware rumor scratch sederecho informático datos personalesdelitos informáticos conciencia digital legal charlas responsabilidad en el uso de tecnologias cloud computingseguridad informática exposición hackingprivacidad entrevista escuelasinvestigación Red El Derecho Informáticohabeas data UNL Congreso google phishingredes sociales JAIIO artículo empresas propiedad intelectual televisión jornadas control laboralDNPDP nube beca firma digital latinoamérica revistaseminario universidad emprendedores mail prueba digital videoconferenciaguridad informáitca smartphones socket solidaridad tabnabbing unlock veeam winsocket

Marcelo Romero

El Rol del Perito Forense en vista a los nuevos Dispositivos Moviles

Seguime en facebook y compartí el Blog

Acerca de mí

De que se esta hablando

Archivo del Blog

Contador de Skynet

Taller de Reconstrucción Virtual

Ministerio Publico Fiscal Ciudad Autónoma de Buenos Aires

Asociación Argentina de Lucha Contra el Cibercrimen

Etiquetas