Análisis forense de dispositivos móviles

Recuperación de pruebas desde dispositivos móviles.

Un perito forense examina un dispositivo móvil incautado durante una investigación

La ciencia forense de dispositivos móviles es una rama de la ciencia forense digital relacionada con la recuperación de evidencia o datos digitales de un dispositivo móvil en condiciones forenses sólidas. La frase dispositivo móvil suele referirse a los teléfonos móviles ; sin embargo, también puede relacionarse con cualquier dispositivo digital que tenga memoria interna y capacidad de comunicación , incluidos dispositivos PDA , dispositivos GPS y tabletas .

Algunas de las empresas de telefonía móvil habían intentado duplicar el modelo de los teléfonos, lo cual es ilegal. Por lo tanto, vemos que llegan tantos modelos nuevos cada año, lo que es un paso adelante para las generaciones futuras. El proceso de clonación de teléfonos/dispositivos móviles en la delincuencia fue ampliamente reconocido durante algunos años, pero el estudio forense de dispositivos móviles es un campo relativamente nuevo, que data de finales de los años 1990 y principios de los 2000. La proliferación de teléfonos (en particular, teléfonos inteligentes ) y otros dispositivos digitales en el mercado de consumo provocó una demanda de exámenes forenses de los dispositivos, que no podían satisfacer las técnicas forenses informáticas existentes . ^[1]

Los dispositivos móviles se pueden utilizar para guardar varios tipos de información personal, como contactos, fotos, calendarios y notas, mensajes SMS y MMS . Los teléfonos inteligentes pueden contener además vídeos, correo electrónico, información de navegación web, información de ubicación y mensajes y contactos de redes sociales.

Existe una creciente necesidad de análisis forense móvil debido a varias razones y algunas de las razones más destacadas son:

• Uso de teléfonos móviles para almacenar y transmitir información personal y corporativa
• Uso de teléfonos móviles en transacciones en línea
• Aplicación de la ley, delincuentes y dispositivos de telefonía móvil ^[2]

La investigación forense de dispositivos móviles puede ser particularmente desafiante en varios niveles: ^[3]

Existen desafíos probatorios y técnicos. Por ejemplo, el análisis del sitio celular a partir del uso de la cobertura de un teléfono móvil no es una ciencia exacta. En consecuencia, si bien es posible determinar aproximadamente la zona del sitio celular desde donde se realizó o recibió una llamada, todavía no es posible decir con ningún grado de certeza que una llamada de teléfono móvil emanó de una ubicación específica, por ejemplo, una dirección residencial.

• Para seguir siendo competitivos, los fabricantes de equipos originales cambian con frecuencia los factores de forma de los teléfonos móviles , las estructuras de archivos del sistema operativo , el almacenamiento de datos, los servicios, los periféricos e incluso los conectores y cables de clavijas. Como resultado, los examinadores forenses deben utilizar un proceso forense diferente al de la informática forense .
• La capacidad de almacenamiento continúa creciendo gracias a la demanda de dispositivos tipo "mini computadora" más potentes. ^[4]
• No sólo evolucionan constantemente los tipos de datos, sino también la forma en que se utilizan los dispositivos móviles.
• Comportamiento de hibernación en el que los procesos se suspenden cuando el dispositivo está apagado o inactivo pero al mismo tiempo permanecen activos. ^[2]

Como resultado de estos desafíos, existe una amplia variedad de herramientas para extraer evidencia de dispositivos móviles; ninguna herramienta o método puede adquirir toda la evidencia de todos los dispositivos. Por lo tanto, se recomienda que los examinadores forenses, especialmente aquellos que deseen calificar como peritos en los tribunales, reciban una capacitación exhaustiva para comprender cómo cada herramienta y método adquiere evidencia; cómo mantiene los estándares de solidez forense; y cómo cumple requisitos legales como la norma Daubert o la norma Frye .

Historia

Como campo de estudio, el examen forense de dispositivos móviles data de finales de los años 1990 y principios de los 2000. Las fuerzas del orden reconocen desde hace mucho tiempo el papel de los teléfonos móviles en la delincuencia. Con la mayor disponibilidad de dichos dispositivos en el mercado de consumo y la gama más amplia de plataformas de comunicación que admiten (por ejemplo, correo electrónico, navegación web), creció la demanda de exámenes forenses. ^[1]

Los primeros esfuerzos para examinar dispositivos móviles utilizaron técnicas similares a las primeras investigaciones forenses informáticas: analizar el contenido del teléfono directamente a través de la pantalla y fotografiar contenido importante. ^[1] Sin embargo, esto resultó ser un proceso que llevaba mucho tiempo y, a medida que el número de dispositivos móviles comenzó a aumentar, los investigadores pidieron medios más eficientes para extraer datos. Los examinadores forenses móviles emprendedores a veces usaban software de sincronización de teléfonos celulares o PDA para "hacer una copia de seguridad" de los datos del dispositivo en una computadora forense para obtener imágenes o, a veces, simplemente realizaban análisis forenses en el disco duro de una computadora sospechosa donde se habían sincronizado los datos. Sin embargo, este tipo de software podría escribir en el teléfono además de leerlo, y no podría recuperar datos eliminados. ^[5]

Algunos examinadores forenses descubrieron que podían recuperar incluso datos eliminados utilizando cajas "flasher" o "twister", herramientas desarrolladas por fabricantes de equipos originales para "flashear" la memoria de un teléfono para depurar o actualizar. Sin embargo, las cajas intermitentes son invasivas y pueden cambiar los datos; puede resultar complicado de utilizar; y, debido a que no están desarrollados como herramientas forenses, no realizan verificaciones de hash ni (en la mayoría de los casos) pistas de auditoría. ^[6] Por lo tanto, para los exámenes físicos forenses siguen siendo necesarias mejores alternativas.

Para satisfacer estas demandas, aparecieron herramientas comerciales que permitieron a los examinadores recuperar la memoria del teléfono con una interrupción mínima y analizarla por separado. ^[1] Con el tiempo, estas técnicas comerciales se han desarrollado aún más y la recuperación de datos eliminados de dispositivos móviles propietarios se ha vuelto posible con algunas herramientas especializadas. Además, las herramientas comerciales incluso han automatizado gran parte del proceso de extracción, lo que hace posible que incluso los socorristas mínimamente capacitados (que actualmente tienen muchas más probabilidades de encontrar sospechosos con dispositivos móviles en su poder, en comparación con computadoras) realicen extracciones básicas para clasificación y fines de vista previa de datos.

Aplicaciones profesionales

La ciencia forense de dispositivos móviles es mejor conocida por su aplicación a investigaciones policiales, pero también es útil para inteligencia militar , investigaciones corporativas, investigaciones privadas , defensa civil y penal y descubrimiento electrónico .

Tipos de evidencia

A medida que avanza la tecnología de los dispositivos móviles , la cantidad y los tipos de datos que se pueden encontrar en un dispositivo móvil aumentan constantemente. La evidencia que potencialmente se puede recuperar de un teléfono móvil puede provenir de varias fuentes diferentes, incluida la memoria del teléfono, la tarjeta SIM y las tarjetas de memoria adjuntas, como las tarjetas SD .

Tradicionalmente, la medicina forense de teléfonos móviles se ha asociado con la recuperación de mensajes SMS y MMS , así como registros de llamadas, listas de contactos e información IMEI / ESN del teléfono . Sin embargo, las nuevas generaciones de teléfonos inteligentes también incluyen una variedad más amplia de información; desde navegación web, configuración de redes inalámbricas , información de geolocalización (incluidas etiquetas geográficas contenidas en metadatos de imágenes ), correo electrónico y otras formas de medios enriquecidos de Internet, incluidos datos importantes, como publicaciones y contactos de servicios de redes sociales , que ahora se conservan en las 'aplicaciones' de los teléfonos inteligentes. . ^[7]

Memoria interna

Hoy en día, para dispositivos móviles se utilizan principalmente memorias flash de tipo NAND o NOR. ^[8]

Memoria externa

Los dispositivos de memoria externa son tarjetas SIM , tarjetas SD (que se encuentran comúnmente en dispositivos GPS y teléfonos móviles), tarjetas MMC , tarjetas CF y Memory Stick .

Registros del proveedor de servicios

Aunque técnicamente no forman parte del análisis forense de dispositivos móviles, los registros detallados de las llamadas (y ocasionalmente, los mensajes de texto) de los proveedores de servicios inalámbricos a menudo sirven como evidencia de "respaldo" obtenida después de que el teléfono móvil ha sido confiscado. Estos son útiles cuando el historial de llamadas y/o los mensajes de texto se han eliminado del teléfono, o cuando los servicios basados ​​en la ubicación no están activados. Los registros de detalles de llamadas y los volcados de sitios celulares (torres) pueden mostrar la ubicación del propietario del teléfono y si estaba estacionario o en movimiento (es decir, si la señal del teléfono rebotó en el mismo lado de una sola torre o en diferentes lados de varias torres a lo largo de una determinada torre). camino de viaje). ^[9] Los datos del operador y los datos del dispositivo juntos se pueden utilizar para corroborar información de otras fuentes, por ejemplo, imágenes de videovigilancia o relatos de testigos presenciales; o para determinar la ubicación general donde se tomó una imagen o un video sin etiquetas geográficas.

La Unión Europea exige a sus países miembros que conserven ciertos datos de telecomunicaciones para utilizarlos en investigaciones. Esto incluye datos sobre llamadas realizadas y recuperadas. Se puede determinar la ubicación de un teléfono móvil y estos datos geográficos también deben conservarse. En Estados Unidos, sin embargo, no existe tal requisito y no hay normas que rijan durante cuánto tiempo los operadores deben conservar los datos o incluso qué deben conservar. Por ejemplo, los mensajes de texto pueden conservarse sólo durante una semana o dos, mientras que los registros de llamadas pueden conservarse desde unas pocas semanas hasta varios meses. Para reducir el riesgo de pérdida de pruebas, los agentes encargados de hacer cumplir la ley deben presentar una carta de preservación al transportista, que luego deben respaldar con una orden de registro . ^[9]

proceso forense

El proceso forense para dispositivos móviles coincide en términos generales con otras ramas de la ciencia forense digital; sin embargo, existen algunas preocupaciones particulares. Generalmente, el proceso se puede dividir en tres categorías principales: incautación, adquisición y examen/análisis. Se siguen aplicando otros aspectos del proceso informático forense, como la admisión, la validación, la documentación/informes y el archivo. ^[3]

Convulsión

La incautación de dispositivos móviles está amparada por las mismas consideraciones legales que otros medios digitales. Los móviles suelen recuperarse encendidos; Como el objetivo de la incautación es preservar las pruebas, el dispositivo suele transportarse en el mismo estado para evitar una parada que cambiaría los archivos. ^[10] Además, el investigador o el socorrista correrían el riesgo de activar el bloqueo del usuario.

Sin embargo, dejar el teléfono encendido conlleva otro riesgo: el dispositivo aún puede establecer una conexión de red/celular. Esto puede traer nuevos datos, sobrescribiendo evidencia. Para evitar una conexión, los dispositivos móviles a menudo se transportan y examinan desde dentro de una jaula (o bolsa) de Faraday. Aun así, este método tiene dos desventajas. En primer lugar, la mayoría de los bolsos inutilizan el dispositivo, ya que no se puede utilizar ni la pantalla táctil ni el teclado. Sin embargo, se pueden adquirir jaulas especiales que permiten el uso del dispositivo con un cristal transparente y guantes especiales. La ventaja de esta opción es la posibilidad de conectarse también a otros equipos forenses mientras se bloquea la conexión de red, además de cargar el dispositivo. Si esta opción no está disponible, se recomienda aislar la red, ya sea colocando el dispositivo en Modo Avión o clonando su tarjeta SIM (una técnica que también puede ser útil cuando al dispositivo le falta por completo su tarjeta SIM). ^[3]

Cabe señalar que, si bien esta técnica puede evitar que se active un borrado remoto (o manipulación) del dispositivo, no hace nada contra el interruptor de hombre muerto local .

Adquisición

iPhone en una bolsa protectora de RF

RTL Aceso, unidad de adquisición de dispositivos móviles

El segundo paso en el proceso forense es la adquisición , que en este caso generalmente se refiere a la recuperación de material de un dispositivo (en comparación con las imágenes de copia de bits utilizadas en la informática forense). ^[10]

Debido a la naturaleza patentada de los móviles, a menudo no es posible adquirir datos cuando están apagados; la mayor parte de la adquisición de dispositivos móviles se realiza en vivo. Dado que los teléfonos inteligentes más avanzados utilizan administración avanzada de memoria, conectarlos a un cargador y colocarlos en una jaula de Faraday puede no ser una buena práctica. El dispositivo móvil reconocería la desconexión de la red y por lo tanto cambiaría su información de estado que puede hacer que el administrador de memoria escriba datos. ^[11]

La mayoría de las herramientas de adquisición para dispositivos móviles son de naturaleza comercial y constan de un componente de hardware y software, a menudo automatizados.

Examen y análisis

Dado que un número cada vez mayor de dispositivos móviles utiliza sistemas de archivos de alto nivel , similares a los sistemas de archivos de las computadoras, los métodos y herramientas pueden tomarse del análisis forense del disco duro o solo necesitan pequeños cambios. ^[12]

El sistema de archivos FAT se utiliza generalmente en memorias NAND . ^[13] Una diferencia es el tamaño de bloque utilizado, que es mayor que 512 bytes para los discos duros y depende del tipo de memoria utilizada, por ejemplo, tipo NOR 64, 128, 256 y memoria NAND 16, 128, 256 o 512 kilobytes .

Diferentes herramientas de software pueden extraer los datos de la imagen de la memoria. Se podrían utilizar productos de software forense especializados y automatizados o visores de archivos genéricos, como cualquier editor hexadecimal, para buscar características de los encabezados de los archivos. La ventaja del editor hexadecimal es una visión más profunda de la gestión de la memoria, pero trabajar con un editor hexadecimal implica mucho trabajo manual y conocimiento del sistema de archivos, así como de los encabezados de los archivos. Por el contrario, el software forense especializado simplifica la búsqueda y extrae los datos pero es posible que no los encuentre todos. AccessData , Sleuthkit , ESI Analyst y EnCase , por mencionar sólo algunos, son productos de software forense para analizar imágenes de memoria. ^[14] Dado que no existe una herramienta que extraiga toda la información posible, es recomendable utilizar dos o más herramientas para el examen. Actualmente (febrero de 2010) no existe ninguna solución de software para obtener todas las evidencias de las memorias flash. ^[8]

Tipos de adquisición de datos

La extracción de datos de dispositivos móviles se puede clasificar según un continuo, según el cual los métodos se vuelven más técnicos y “forenses”, las herramientas se vuelven más caras, el análisis lleva más tiempo, los examinadores necesitan más capacitación y algunos métodos pueden incluso volverse más invasivos. ^[15]

Adquisición manual

El examinador utiliza la interfaz de usuario para investigar el contenido de la memoria del teléfono. Por lo tanto, el dispositivo se utiliza normalmente y el examinador toma fotografías del contenido de cada pantalla. Este método tiene la ventaja de que el sistema operativo hace innecesario el uso de herramientas o equipos especializados para transformar datos sin procesar en información interpretable por humanos. En la práctica, este método se aplica a teléfonos móviles, PDA y sistemas de navegación . ^[16] Las desventajas son que sólo se pueden recuperar los datos visibles para el sistema operativo; que todos los datos sólo están disponibles en forma de imágenes; y el proceso en sí lleva mucho tiempo.

Adquisición lógica

La adquisición lógica implica una copia bit a bit de objetos de almacenamiento lógico (por ejemplo, directorios y archivos) que residen en un almacenamiento lógico (por ejemplo, una partición del sistema de archivos). La adquisición lógica tiene la ventaja de que las estructuras de datos del sistema son más fáciles de extraer y organizar para una herramienta. La extracción lógica adquiere información del dispositivo utilizando la interfaz de programación de aplicaciones del fabricante del equipo original para sincronizar el contenido del teléfono con una computadora personal . Generalmente es más fácil trabajar con una extracción lógica ya que no produce un blob binario grande . Sin embargo, un examinador forense experto podrá extraer mucha más información de una extracción física.

Adquisición del sistema de archivos

La extracción lógica generalmente no produce ninguna información eliminada, debido a que normalmente se elimina del sistema de archivos del teléfono. Sin embargo, en algunos casos, particularmente con plataformas construidas en SQLite , como iOS y Android , el teléfono puede mantener un archivo de base de datos con información que no sobrescribe la información, sino que simplemente la marca como eliminada y disponible para sobrescribirla más adelante. En tales casos, si el dispositivo permite el acceso al sistema de archivos a través de su interfaz de sincronización, es posible recuperar la información eliminada. La extracción del sistema de archivos es útil para comprender la estructura del archivo, el historial de navegación web o el uso de la aplicación, además de brindar al examinador la capacidad de realizar un análisis con herramientas informáticas forenses tradicionales. ^[17]

Adquisición física

La adquisición física implica una copia bit a bit de un almacén físico completo (por ejemplo, memoria flash ); por lo tanto, es el método más parecido al examen de una computadora personal . Una adquisición física tiene la ventaja de permitir examinar archivos eliminados y restos de datos. La extracción física adquiere información del dispositivo mediante el acceso directo a las memorias flash.

Generalmente esto es más difícil de lograr porque el fabricante del equipo original del dispositivo necesita protegerse contra lecturas arbitrarias de la memoria; por lo tanto, un dispositivo puede estar bloqueado para un determinado operador. Para sortear esta seguridad, los proveedores de herramientas forenses móviles suelen desarrollar sus propios cargadores de arranque , lo que permite que la herramienta forense acceda a la memoria (y, a menudo, también omita las contraseñas de usuario o los patrones de bloqueo). ^[18]

Generalmente la extracción física se divide en dos pasos, la fase de vertido y la fase de decodificación.

Adquisición de fuerza bruta

La adquisición de fuerza bruta se puede realizar mediante herramientas de fuerza bruta de códigos de acceso de terceros que envían una serie de códigos de acceso/contraseñas al dispositivo móvil. ^[19] El ataque de fuerza bruta es un método que requiere mucho tiempo, pero de todos modos es efectivo. Esta técnica utiliza prueba y error en un intento de crear la combinación correcta de contraseña o PIN para autenticar el acceso al dispositivo móvil. A pesar de que el proceso lleva mucho tiempo, sigue siendo uno de los mejores métodos a emplear si el profesional forense no puede obtener el código de acceso. Con el software y hardware disponibles actualmente, se ha vuelto bastante fácil romper el cifrado en el archivo de contraseña de un dispositivo móvil para obtener el código de acceso. ^[20] Dos fabricantes se han hecho públicos desde el lanzamiento del iPhone5, ^[21] Cellebrite y GrayShift . Estos fabricantes están destinados a organismos encargados de hacer cumplir la ley y departamentos de policía. La unidad Cellebrite UFED Ultimate ^[22] cuesta más de 40.000 dólares estadounidenses y el sistema Grayshifts cuesta 15.000 dólares. ^[23] Las herramientas de fuerza bruta están conectadas al dispositivo y enviarán físicamente códigos en dispositivos iOS desde 0000 hasta 9999 en secuencia hasta que se ingrese correctamente el código correcto. Una vez que la entrada del código se haya realizado correctamente, se otorga acceso completo al dispositivo y puede comenzar la extracción de datos.

Herramientas

Las primeras investigaciones consistieron en análisis manuales en vivo de dispositivos móviles; Los examinadores fotografían o anotan material útil para utilizarlo como prueba. Sin equipos de fotografía forense como Fernico ZRT, EDEC Eclipse o Project-a-Phone, esto tenía la desventaja de arriesgarse a modificar el contenido del dispositivo, además de dejar inaccesibles muchas partes del sistema operativo propietario.

En los últimos años han surgido una serie de herramientas de hardware y software para recuperar evidencia lógica y física de dispositivos móviles. La mayoría de las herramientas constan de partes de hardware y software. El hardware incluye una serie de cables para conectar el dispositivo móvil a la máquina de adquisición; el software existe para extraer la evidencia y, ocasionalmente, incluso para analizarla.

Más recientemente, se han desarrollado herramientas forenses para dispositivos móviles para este campo. Esto es en respuesta tanto a la demanda de las unidades militares de inteligencia antiterrorista rápida y precisa, como a la demanda de las fuerzas del orden de capacidades de vista previa forense en la escena del crimen, ejecución de órdenes de registro o circunstancias exigentes. Estas herramientas forenses móviles suelen ser resistentes para entornos hostiles (por ejemplo, el campo de batalla) y para un trato rudo (por ejemplo, al caer o sumergirse en agua). ^[24]

En general, debido a que es imposible que una sola herramienta capture toda la evidencia de todos los dispositivos móviles, los profesionales forenses móviles recomiendan que los examinadores establezcan conjuntos de herramientas completos que consten de una combinación de herramientas forenses comerciales, de código abierto, de soporte amplio y de soporte restringido, junto con accesorios. como cargadores de baterías, bolsas de Faraday u otros equipos de interrupción de señal, etc. ^[25]

Herramientas forenses comerciales

Algunas herramientas actuales incluyen Belkasoft Evidence Center, Cellebrite UFED , Oxygen Forensic Detective, Elcomsoft Mobile Forensic Bundle, Susteen Secure View, MOBILEdit Forensic Express y Micro Systemation XRY .

Además, se han desarrollado algunas herramientas para abordar el creciente uso delictivo de teléfonos fabricados con conjuntos de chips chinos, que incluyen MediaTek (MTK), Spreadtrum y MStar . Dichas herramientas incluyen CHINEX de Cellebrite y XRY PinPoint .

Fuente abierta

La mayoría de las herramientas forenses móviles de código abierto son específicas de la plataforma y están orientadas al análisis de teléfonos inteligentes. Aunque no fue diseñado originalmente para ser una herramienta forense, BitPim se ha utilizado ampliamente en teléfonos CDMA, así como en LG VX4400/VX6000 y muchos teléfonos celulares Sanyo Sprint. ^[26]

herramientas fisicas

Desoldadura forense

Comúnmente conocida como técnica de "Chip-Off" en la industria, el último y más intrusivo método para obtener una imagen de memoria es desoldar el chip de memoria no volátil y conectarlo a un lector de chip de memoria. Este método conlleva el peligro potencial de destrucción total de los datos: es posible destruir el chip y su contenido debido al calor necesario durante la desoldadura. Antes de la invención de la tecnología BGA, era posible conectar sondas a los pines del chip de memoria y recuperar la memoria a través de estas sondas. La técnica BGA une los chips directamente a la PCB mediante bolas de soldadura fundidas , de modo que ya no es posible conectar sondas.

La humedad en esta placa de circuito se convirtió en vapor cuando se sometió a un calor intenso. Esto produce el llamado "efecto palomitas de maíz".

La desoldadura de los chips se realiza con cuidado y lentamente, para que el calor no destruya el chip ni los datos. Antes de desoldar el chip, la PCB se cuece en un horno para eliminar el agua restante. Esto evita el llamado efecto palomitas de maíz, en el que el agua restante volaría el paquete de chips al desoldar.

Existen principalmente tres métodos para fundir la soldadura: aire caliente, luz infrarroja y fase de vapor. La tecnología de luz infrarroja funciona con un haz de luz infrarroja enfocado en un circuito integrado específico y se utiliza para chips pequeños. Los métodos de aire caliente y vapor no pueden enfocar tanto como la técnica de infrarrojos.

Reballing de chips

Después de desoldar el chip, un proceso de reballing limpia el chip y le agrega nuevas bolas de estaño. El reballing se puede realizar de dos formas diferentes.

• La primera es utilizar una plantilla. La plantilla depende del chip y debe encajar exactamente. Luego se aplica soldadura de estaño a la plantilla. Después de enfriar la lata, se retira la plantilla y, si es necesario, se realiza un segundo paso de limpieza.
• El segundo método es el reballing con láser. ^{[27] [28]} Aquí la plantilla está programada en la unidad de reballing. Un cabezal de unión (parece un tubo/aguja) se carga automáticamente con una bola de estaño desde un tanque de singularización de bolas de soldadura. Luego, la bola se calienta con un láser, de modo que la bola de soldadura de estaño se vuelve fluida y fluye hacia el chip limpio. Inmediatamente después de derretir la bola, el láser se apaga y una nueva bola cae en el cabezal de unión. Mientras se recarga, el cabezal de unión de la unidad de reballing cambia la posición al siguiente pasador.

Un tercer método hace innecesario todo el proceso de reballing. El chip está conectado a un adaptador con resortes en forma de Y o pines pogo con resorte . Los resortes en forma de Y necesitan tener una bola en el pasador para establecer una conexión eléctrica, pero los pasadores pogo se pueden usar directamente en las almohadillas del chip sin las bolas. ^{[11] [12]}

La ventaja de la desoldadura forense es que no es necesario que el dispositivo esté funcional y que se puede realizar una copia sin cambios en los datos originales. La desventaja es que los dispositivos de reballing son caros, por lo que este proceso es muy costoso y existen algunos riesgos de pérdida total de datos. Por lo tanto, la desoldadura forense sólo debe ser realizada por laboratorios experimentados. ^[13]

JTAG

Las interfaces estandarizadas existentes para leer datos están integradas en varios dispositivos móviles, por ejemplo, para obtener datos de posición de equipos GPS ( NMEA ) o para obtener información de desaceleración de unidades de airbag. ^[dieciséis]

No todos los dispositivos móviles proporcionan una interfaz estandarizada ni existe una interfaz estándar para todos los dispositivos móviles, pero todos los fabricantes tienen un problema en común. La miniaturización de piezas de dispositivos plantea la cuestión de cómo comprobar automáticamente la funcionalidad y la calidad de los componentes integrados soldados. Para este problema, un grupo industrial, el Joint Test Action Group (JTAG), desarrolló una tecnología de prueba llamada escaneo de límites .

A pesar de la estandarización, existen cuatro tareas antes de que se pueda utilizar la interfaz del dispositivo JTAG para recuperar la memoria. Para encontrar los bits correctos en el registro de exploración de límites, se debe saber qué circuitos de procesador y de memoria se utilizan y cómo están conectados al bus del sistema. Cuando no se puede acceder desde el exterior, se deben encontrar los puntos de prueba para la interfaz JTAG en la placa de circuito impreso y determinar qué punto de prueba se utiliza para cada señal. El puerto JTAG no siempre está soldado con conectores, por lo que a veces es necesario abrir el dispositivo y volver a soldar el puerto de acceso. ^[12] Se debe conocer el protocolo de lectura de la memoria y finalmente se debe determinar el voltaje correcto para evitar daños al circuito. ^[11]

El escaneo de límites produce una imagen forense completa de la memoria volátil y no volátil . El riesgo de cambio de datos se minimiza y no es necesario desoldar el chip de memoria . La generación de la imagen puede ser lenta y no todos los dispositivos móviles están habilitados para JTAG. Además, puede resultar difícil encontrar el puerto de acceso a la prueba. ^[13]

Herramientas de línea de comando

Comandos del sistema

Los dispositivos móviles no brindan la posibilidad de ejecutar o arrancar desde un CD , conectándose a una red compartida u otro dispositivo con herramientas limpias. Por tanto, los comandos del sistema podrían ser la única forma de guardar la memoria volátil de un dispositivo móvil. Con el riesgo de que se modifiquen los comandos del sistema, se debe estimar si la memoria volátil es realmente importante. Un problema similar surge cuando no hay conexión de red disponible y no se puede conectar una memoria secundaria a un dispositivo móvil porque la imagen de la memoria volátil debe guardarse en la memoria interna no volátil , donde se almacenan los datos del usuario y muy probablemente se eliminarán los datos importantes. estar perdido. Los comandos del sistema son el método más económico, pero implican algunos riesgos de pérdida de datos. Cada uso de comando con opciones y resultados debe documentarse.

Comandos AT

Los comandos AT son comandos de módem antiguos , por ejemplo, el conjunto de comandos de Hayes y los comandos AT del teléfono Motorola y, por lo tanto, sólo se pueden usar en un dispositivo que sea compatible con módem. Usando estos comandos sólo se puede obtener información a través del sistema operativo , de modo que no se pueden extraer datos eliminados. ^[11]

dd

Para la memoria externa y la unidad flash USB, se necesita el software apropiado, por ejemplo, el comando Unix dd , para realizar la copia a nivel de bits. Además, las unidades flash USB con protección de memoria no necesitan hardware especial y pueden conectarse a cualquier computadora. Muchas unidades USB y tarjetas de memoria tienen un interruptor de bloqueo de escritura que se puede utilizar para evitar cambios de datos al realizar una copia.

Si la unidad USB no tiene interruptor de protección, se puede utilizar un bloqueador para montar la unidad en modo de solo lectura o, en un caso excepcional, se puede desoldar el chip de memoria . Las tarjetas SIM y de memoria necesitan un lector de tarjetas para realizar la copia. ^[29] La tarjeta SIM se analiza minuciosamente, de modo que es posible recuperar (eliminar) datos como contactos o mensajes de texto. ^[11]

El sistema operativo Android incluye el comando dd. En una publicación de blog sobre técnicas forenses de Android, se demuestra un método para crear imágenes en vivo de un dispositivo Android usando el comando dd. ^[30]

Herramientas comerciales no forenses

herramientas intermitentes

Una herramienta de actualización es hardware y/o software de programación que se puede utilizar para programar (actualizar) la memoria del dispositivo, por ejemplo, EEPROM o memoria flash . Estas herramientas provienen principalmente del fabricante o de los centros de servicio para servicios de depuración, reparación o actualización. Pueden sobrescribir la memoria no volátil y algunos, según el fabricante o el dispositivo, también pueden leer la memoria para realizar una copia, originalmente pensada como copia de seguridad. La memoria puede protegerse contra lectura, por ejemplo, mediante comando de software o destrucción de fusibles en el circuito de lectura. ^[31]

Tenga en cuenta que esto no impedirá que la CPU escriba o utilice la memoria internamente . Las herramientas flasheadoras son fáciles de conectar y usar, pero algunas pueden cambiar los datos y tener otras opciones peligrosas o no realizar una copia completa. ^[12]

Controversias

En general, no existe ningún estándar sobre lo que constituye un dispositivo compatible en un producto específico. Esto ha llevado a una situación en la que diferentes proveedores definen un dispositivo compatible de manera diferente. Una situación como esta hace que sea mucho más difícil comparar productos según las listas de dispositivos compatibles proporcionadas por el proveedor. Por ejemplo, un dispositivo donde la extracción lógica utilizando un producto solo produce una lista de llamadas realizadas por el dispositivo puede aparecer como compatible con ese proveedor, mientras que otro proveedor puede producir mucha más información.

Además, diferentes productos extraen diferentes cantidades de información de diferentes dispositivos. Esto conduce a un panorama muy complejo al intentar analizar los productos. En general, esto conduce a una situación en la que se recomienda encarecidamente probar un producto exhaustivamente antes de comprarlo. Es bastante común utilizar al menos dos productos que se complementen.

La tecnología de la telefonía móvil está evolucionando a un ritmo rápido. La ciencia forense digital relacionada con dispositivos móviles parece estar estancada o evolucionando lentamente. Para que la ciencia forense de teléfonos móviles se ponga al día con los ciclos de lanzamiento de teléfonos móviles, se debe desarrollar un marco más completo y profundo para evaluar los kits de herramientas forenses móviles y se deben poner a disposición de manera oportuna datos sobre herramientas y técnicas apropiadas para cada tipo de teléfono. ^[32]

Anti-forense

La análisis forense anti-informática es más difícil debido al pequeño tamaño de los dispositivos y la accesibilidad restringida a los datos por parte del usuario. ^[13] Sin embargo, hay avances para proteger la memoria en el hardware con circuitos de seguridad en la CPU y el chip de memoria, de modo que el chip de memoria no pueda leerse incluso después de desoldar. ^{[33] [34]}

Ver también

• Lista de herramientas forenses digitales
• Portal de telefonos

Referencias

1. Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición . Elsevier. ISBN 978-0-12-163104-8.
2. Ahmed, Rizwan (2009). "Ciencia forense móvil: una introducción desde la perspectiva de las fuerzas del orden de la India". Sistemas de Información, Tecnología y Gestión . Comunicaciones en Informática y Ciencias de la Información. vol. 31. págs. 173–184. doi :10.1007/978-3-642-00405-6_21. ISBN 978-3-642-00404-9.
3. Murphy, Cynthia. "Documentación y extracción de datos de pruebas de teléfonos móviles" (PDF) . Consultado el 4 de agosto de 2013 .
4. Tsukayama, Hayley (13 de julio de 2012). "Dos tercios de los compradores de dispositivos móviles tienen teléfonos inteligentes". El Correo de Washington . Consultado el 20 de julio de 2012 .
5. [1] Jansen; et al. "Superar los impedimentos de la investigación forense de teléfonos móviles" . Consultado el 20 de julio de 2012 .^{[ enlace muerto permanente ]}
6. Thackray, John. "Flasher Boxes: regreso a lo básico en análisis forense de teléfonos móviles". Archivado desde el original el 15 de noviembre de 2012 . Consultado el 20 de julio de 2012 .
7. Ahmed, Rizwan. «Extracción y documentación de evidencia digital desde dispositivos móviles» (PDF) . Consultado el 2 de febrero de 2015 .
8. Salvatore Fiorillo. Teoría y práctica de la medicina forense móvil con memoria flash Archivado el 14 de febrero de 2019 en Wayback Machine . Theosecurity.com, diciembre de 2009.
9. Miller, Christa. "La otra cara de la ciencia forense móvil". Oficial.com . Consultado el 24 de julio de 2012 .
10. Wayne, Jansen. Y Ayers, Rick. (mayo de 2007). Directrices sobre análisis forense de teléfonos móviles. recuperado de http://www.mislan.com/SSDDFJ/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf
11. Willassen, Svein Y. (2006). "Análisis forense de la memoria interna del teléfono móvil". IFIP Internacional. Conf. Forense digital . CiteSeerX 10.1.1.101.6742 . 
12. Marcel Breeuwsma, Martien de Jongh, Coert Klaver, Ronald van der Knijff y Mark Roeloffs. (2007). recuperado de Recuperación de datos forenses desde memoria flash Archivado el 23 de octubre de 2016 en Wayback Machine . Revista forense de dispositivos digitales de pequeña escala, volumen 1 (Número 1). Además, muchas de estas herramientas se han vuelto más expertas en recuperar códigos de acceso/contraseñas de usuario, sin pérdida de datos del usuario. Un ejemplo de herramienta comúnmente utilizada para esta área es un BST Dongle.
13. Ronald van der Knijff. (2007). Obtenido de Diez buenas razones por las que debería cambiar el enfoque hacia la investigación forense de dispositivos digitales a pequeña escala Archivado el 15 de octubre de 2008 en Wayback Machine .
14. Rick Ayers, Wayne Jansen, Nicolas Cilleros y Ronan Daniellou. (octubre de 2005). Obtenido de Herramientas forenses para teléfonos celulares: descripción general y análisis. Instituto Nacional de Estándares y Tecnología.
15. Hermanos, Sam. "Clasificación de herramientas de iPhone" (PDF) . Archivado desde el original (PDF) el 20 de octubre de 2012 . Consultado el 21 de julio de 2012 .
16. Eoghan Casey. Manual de investigación de delitos informáticos: herramientas y tecnología forenses. Prensa Académica, 2. edición, 2003.
17. Enrique, Pablo. "Vista rápida: Cellebrite UFED mediante extracción de datos del teléfono y volcado del sistema de archivos" . Consultado el 21 de julio de 2012 .
18. Vance, Cristóbal. "Adquisiciones físicas de Android utilizando Cellebrite UFED". Archivado desde el original el 12 de agosto de 2011 . Consultado el 21 de julio de 2012 .
19. Satish., Bommisetty (2014). Análisis forense móvil práctico: sumérjase en el análisis forense móvil en dispositivos iOS, Android, Windows y BlackBerry con esta guía práctica y llena de acción . Tamma, Rohit., Mahalik, Heather. Birmingham, Reino Unido: Packt Pub. ISBN 9781783288328. OCLC  888036062.
20. Whittaker, Zack. "Por 15.000 dólares, GrayKey promete descifrar contraseñas de iPhone para la policía". ZDNet . Consultado el 2 de julio de 2018 .
21. Whittaker, Zack. "Los archivos filtrados revelan el alcance de la tecnología de descifrado de teléfonos de una empresa israelí". ZDNet . Consultado el 2 de julio de 2018 .
22. "UFED último". Cellebrite.com .
23. Fox-Brewster, Thomas. "La misteriosa 'GrayKey' de 15.000 dólares promete desbloquear el iPhone X para los federales". Forbes . Consultado el 2 de julio de 2018 .
24. "Ciencia forense digital móvil para militares". Dell Inc. Consultado el 21 de julio de 2012 .^{[ enlace muerto de YouTube ]}
25. Daniels, Keith. "Creación de un kit de herramientas de investigación de dispositivos móviles: especificaciones básicas de hardware y software". BÚSQUEDA Grupo Inc. {{cite web}}: Falta o está vacío |url=( ayuda )
26. "El Centro de Información de Pruebas Electrónicas" . Consultado el 25 de julio de 2012 .
27. Página de inicio de Factronix
28. Vídeo: proceso de reballing
29. "Bloqueador de USB | Protector de terminal". www.endpointprotector.com . Consultado el 20 de marzo de 2021 .
30. Lohrum, Mark (10 de agosto de 2014). "Imágenes en vivo de un dispositivo Android" . Consultado el 3 de abril de 2015 .
31. Tom Salt y Rodney Drake. Patente de EE.UU. 5469557. (1995). Obtenido de Código de protección en microcontrolador con fusibles EEPROM. Archivado el 12 de junio de 2011 en Wayback Machine.
32. Ahmed, Rizwan. "Ciencia forense móvil: descripción general, herramientas, tendencias futuras y desafíos desde la perspectiva de las fuerzas del orden" (PDF) . Archivado desde el original (PDF) el 3 de marzo de 2016 . Consultado el 2 de febrero de 2015 .
33. Patente de arranque seguro
34. Harini Sundaresan. (Julio de 2003). Obtenido de Funciones de seguridad de la plataforma OMAP, Texas Instruments .

enlaces externos

• Jornada 'Mundo Forense Móvil'
• Análisis forense de chips (forensicwiki.org)
• JTAG Forense (forensicwiki.org)
• Estudios de casos forenses de teléfonos móviles (QCC Global Ltd)