Download Telefonia Celular Forense - Techno

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
Document related concepts
no text concepts found
Transcript 
Telefonía celular: Mirada Forense Nombre: San7ago Sánchez 15 de Octubre 2012 Centro de Usos Múl7ples Universidad Interamerica Recinto Metropolitano Objec7ves • 
Entendimiento del concepto de telefonía celular en el área forense y su impacto en
Sistemas de Información y Comunicaciones.
• 
Mostrar el proceso de incautación en dispositivos móviles siguiendo las mejores
prácticas de la industria.
• 
Identificar y mencionar fuentes potenciales en contenido de evidencia en un
dispositivo celular.
#cybersecuritypr Introducción
Una de las preocupaciones originadas en la globalización es que las tecnologías
emergentes y convergentes se utilicen para preservar y aumentar diferentes crímenes
cibernéticos, robo de identidad, espionaje corporativo y robo de secreto comercial entre
otros.
La telefonía celular es parte de estas tecnologías de rápido desarrollo e
implementación y de mayor crecimiento en los pasados 10 años, impactando el
proceso evolutivo de las comunicaciones en su totalidad, convirtiéndose (el celular) en
el equipo móvil mayor usado en el mundo. Por tal razón, ningún funcionario encargado
de hacer cumplir la ley no debe pasar por alto el valor probatorio del contenido de un
dispositivo celular.
3 #cybersecuritypr Distribución Mundial de Suscripciones
móviles
#cybersecuritypr Distribución Mundial Actual de
Suscripciones móviles
#cybersecuritypr Telefonía Móvil
Forense
Informática
Forense
#cybersecuritypr • 
Informática Forense: “Es la identificación, extracción, preservación, interpretación
y documentación de la evidencia, el proceso legal, la integridad de la evidencia,
reportes de la información encontrada, así como las opiniones de expertos en un
tribunal de justicia u otras personas jurídicas y/o procedimiento administrativo en
cuanto a lo que se encontró”, de acuerdo al Instituto de CyberSecurity.
• 
Telefonía Móvil Forense: Es la ciencia de recuperación de evidencia digital desde
un teléfono móvil en condiciones intactas utilizando métodos aceptados.
• 
Dato histórico: La evidencia digital es aceptada por la “American Society of Crime
Laboratory Directors” en el 2003.
#cybersecuritypr Telefonía Móvil Forense ≠ Informática
Forense
•  Variedad de fabricantes y modelos
•  Informacion Volátil y dinámica
•  Variedad de herramientas forense y muchos modelos no son
compatibles
•  Heterogeneidad:
•  Equipo
•  Acceso
•  Sistemas Operativos
•  Aplicaciones
•  Protocolos e interfaces de (OS) exclusivos de fabricantes
•  El dispositivo puede aparecer como estado “inactivo” para reservar
energía y en realidad esta ejecutando un proceso.
#cybersecuritypr Propósito de un Análisis Forense Celular
• 
Es identificar, extraer, preservar, interpretar y documentar la evidencia encontrada en
el dispositivo celular, para establecer alguna relación con los hechos o delito
cometido.
• 
Basado en el análisis de evidencia se determinará lo siguiente:
•  ¿Que se realizo?
•  ¿Cuando se realizo?
•  ¿Donde lo realizo?
•  ¿Como se realizo?
•  ¿Quien lo realizo?
#cybersecuritypr Delitos y Telefonía
Celular
#cybersecuritypr • 
El incremento del uso de la telefonía celular a nivel mundial, ha tenido como
resultado el aumento en los delitos cometidos con éstos, a su vez la presencia de
estos dispositivos móviles en escenas delictiva son mas frecuentes, colocando al
dispositivo celular entre los receptores principales de evidencias.
#cybersecuritypr • 
Actualmente existen cuatro (4) funciones para realizar crímenes cibernéticos que la
telefonía celular a heredado:
•  El dispositivo celular es la victima, es expuesto a sabotaje, robo o destrucción.
•  El dispositivo celular es la herramienta facilitadora para el ataque o ejecución del
delito hacia otro dispositivos o sistemas.
•  El dispositivo celular es la herramienta facilitadora para la ejecución del delito
hacia personas, ejemplo ; robo de identidad, cuentas bancarias, hacking, etc.
•  El dispositivo celular como fuente de credibilidad y confianza, cuando en realidad
se esta utilizando para promover algún tipo de esquema de fraude.
#cybersecuritypr Delitos Relacionados
• 
Robo de Identidad
• 
Agresión
• 
Secretos comerciales
• 
Fraude
• 
Acoso
• 
Acoso
• 
Pornografía Infantil
• 
Narcotráfico
• 
Asesinatos
• 
Robo de Identidad
Bancaria
• 
Robo
• 
Otros
#cybersecuritypr El Dispositivo Celular como Evidencia
#cybersecuritypr ¿Donde esta la Evidencia?
Evidencia en un celular.
Actualmente un teléfono celular un perfil de la vida personal y profesional sobre la
persona que lo posee. Por tal razón el teléfono celular es un repositorio muy importante a
la hora de levantar evidencia potencial. A continuación siete (7) lugares potenciales donde
puede residir evidencia en un teléfono celular bajo investigación.
•  Memoria interna del dispositivo (Mobile Equipment)
•  Modulo de Identidad del Subscriptor (SIM card)
•  Memorias removibles (MicroSD card memory, MiniSD card memory)
•  Material relacionado al teléfono como, facturas de teléfono o documentación
•  Proveedor del servicio celular
•  Subscriptor u otras personas bajo la misma cuenta
•  Data transferida o resguardo en computadora u otro dispositivo
#cybersecuritypr ¿Donde esta la Evidencia Cont…?
#cybersecuritypr ¿Qué podemos encontrar?
A continuación el tipo de evidencia que se puede extraer durante un análisis forense:
•  Número de teléfonos llamados/cantidad
•  Direcciones
•  Fotografías
•  Música
•  Mensajes de Textos
•  Calendario y tareas
•  Llamadas recibidas
•  Contactos
•  Videos
•  Direcciones de internet
#cybersecuritypr •  Contenido de chat
•  Llamadas perdidas
•  Memos y notas
•  Grabaciones de voz
•  Historial de actividades (internet)
•  Correos Electrónicos
•  Lectura de GPS
•  Material o sustancias para posible
identificación de ADN
•  Huellas Dactilares
Manejo de Evidencia
Realizar la adquisición a un dispositivo celular tiene la desventaja de que pudiera
existir pérdida de información debido al agotamiento de las batería, daños, etc. Esto debe
evitarse durante el transporte y almacenamiento.
Procesos en la evidencia digital.
ü  Evaluación: Examinadores forenses del equipo deben evaluar la evidencia digital
completamente con respecto al alcance del caso para determinar el curso de acción
a tomar.
ü  Adquisición: Evidencia digital, por su propia naturaleza, es frágil y puede
modificarse, dañado, o destruido por un manejo indebido o examen. Se debe
producir una copia exacta de los datos originales a examinar. La evidencia original
debe ser protegida en todo momento para preserva su integridad.
ü  Exanimación: El propósito del proceso de examen es extraer y analizar la
evidencia digital.
#cybersecuritypr Procedimientos básico al incautar un
celular
#cybersecuritypr Metodología
#cybersecuritypr Aplicaciones para un Análisis Forense
• 
The National Institute of Standards and technology (NIST)
–  Tiene un a división llamada “The Computer Forensics Tool Testing” (CFTT), la
cual se dedica a medir, probar y cualificar la eficiencia de las herramientas
forense que están actualmente en el mercado. Para mayor confiabilidad,
integridad de la evidencia colectada y procesada por estas.
• 
Herramientas utilizadas para análisis forense y aprobadas por NIST, entre otras.
— 
— 
Encase (Mobile Edition)
Access Data FTK MPE
(Mobile Phone
Examiner)
#cybersecuritypr — 
— 
Oxygen Forensic Suite
MOBILedit Forensic
Aplicaciones para un Análisis Forense
Cont…
• 
Identificar la Evidencia electrónica y digital.
• 
Adquirir la evidencia digital sin modificarla o dañarla.
• 
Autenticar que la evidencia recuperada es la misma que la original.
• 
Analizar los datos sin ninguna alteración.
• 
Producción de Informes.
#cybersecuritypr Modelo de Referencia de Descubrimiento de
Datos Electrónicos (EDRM)
#cybersecuritypr Descubrimiento de Datos
• 
Identificación de la evidencia digital
•  Identificar inmediatamente el IMEI (International Mobile Equipment Identity)
•  Identificar las fuentes potenciales de evidencia digital. (SIM, MicroSD Card)
•  Determinar que elementos se pueden incautar y cuales no.
•  Recomendación:
•  Tomar fotografía del entorno investigado.
•  Fotografiar todo equipo incautado.
•  Documentar todo el proceso de incautación, como infraestructura,
conexiones y equipo encontrado.
#cybersecuritypr Descubrimiento de Datos cont…
• 
Preservación de la evidencia digital
•  Mantenimiento de la Cadena de Custodia.
•  Preservación de los elementos incautados, que estén en riesgo de alta
temperatura o campos magnéticos.
•  Obtener imágenes forense de los elementos incautados.
•  Autenticación de la evidencia original.
• 
Análisis de la evidencia
•  Tarea de localizar y extraer evidencia utilizando las herramientas aprobadas.
•  Mediantes técnicas y herramientas forenses se intenta dar respuesta a los
puntos de pericia solicitados.
#cybersecuritypr Descubrimiento de Datos cont…
• 
Revisar
•  Revisión de TODOS los procedimientos, métodos y documentación.
•  Revisión de procesos de autenticación de evidencia.
•  Revisión del alcance de la investigación vs. objetivo de esta.
• 
Producción o presentación de la evidencia o resultados.
•  La eficacia probatoria del dictamen informático radica en la continuidad del
aseguramiento de la prueba desde el momento de la incautación.
•  El resultado debe ser objetivo y preciso, conteniendo suficientes elementos para
repetir el proceso en caso de ser necesario.
• 
Presentación del informe final ante el tribunal o entidad que lo solicite.
#cybersecuritypr Cadena de Custodia
#cybersecuritypr Cadena de Custodia cont…
• 
Para lograr el completo éxito en el desarrollo investigativo de los casos de crimen
cibernético, la cadena de custodia de evidencia representa el marco primordial y
necesario para probar los hechos relacionados . Hoy día el proceso de realización de
esta cadena es sumamente importante ya que en la gran mayoría de los casos el
proceso de identificación, preservación, análisis y presentación se ve afectado por el
mal uso y manejo de estos procesos a la hora de levantar o identificar evidencia
pertinente.
• 
Cadena de custodia: proceso ininterrumpido de documentación de procedimientos
que permitirán alcanzar niveles de efectividad para asegurar las características
originales de los elementos materia de prueba o evidencias físicas desde su
recolección hasta su disposición final, dentro de una dinámica constante de
mejoramiento y modernización, con el fin único de satisfacer las necesidades y
expectativas de la administración de justicia para lograr una pronta y cumplida
justicia.
#cybersecuritypr Cadena de Custodia cont...
Verificado por :
Evidencia recogida en
Wyko Inc., por el Sr.
Santiago Sánchez y
entregada por el
representante legal
Dispositivo celular Nokia
modelo 6720 Classic
Sr. Santiago Sánchez
investigador asignado de
Perito Labs
Sr. Santiago Sánchez
investigador asignado de
Perito Labs
Sr. Santiago Sánchez
investigador asignado de
Perito Labs. Se someterá
el informe con la evidencia
encontrada al
representante legal para
su evaluación
#cybersecuritypr Núm. De Evidencia
Fecha de
comienzo
Fecha: 17
marzo del
2007
Fecha de
terminación
Fecha:
17marzo del
2007
Hora:
1:35pm
Hora: 6:00pm
Asignación y creación
de numero de caso a
la evidencia:
Fecha: 22
marzo del
2007
Fecha: 22
marzo del
2007
Numero de caso
3:08CR-175 asignado
a la evidencia CR 659852
Proceso de
adquisición de
evidencia. Para ver
detalladamente estos
procesos, favor de
hacer referencia a la
sección de
Procedimientos más
adelante en este
documento
Presentación de
evidencia núm. CR 659852 del caso
3:08CR - 175 ante el
tribunal
Hora:
11:22am
Hora:
11:43am
Fecha:22
julio del
2007
Fecha: 22
julio del 2007
CR - 659852
Del local
Al local
Wyko
Perito Labs
Perito
Labs
Perito Labs
Perito
Labs
Perito Labs
Perito
Labs
Partes
interesadas
Hora: 6:05pm
Hora:
11:45am
Fecha:24
julio del
2007-
Fecha: 24
julio del 2007
Hora: 6:00pm
Hora:
1:00pm
Análisis
#cybersecuritypr Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis Nota: Agentes (interfaces entre el celular y computador) NO alteran el contenido de los datos originales del disposi7vo celular ya que su interface sirve como “write blocker” #cybersecuritypr Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont… La herramienta Oxygen Forensic muestra un “DeskTop” donde desplega la siguiente
información relevante al dispositivo.
#cybersecuritypr Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont… #cybersecuritypr Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont… Libreta de Teléfonos Calendario y Tareas Registradas Ac.vidad telefónica Registros de Eventos Ac.vidad Mensajería y correo electrónico #cybersecuritypr Fotos y File Browser History 34 Procedimientos
A continuación los procedimientos empleados durante todo el proceso de
descubrimiento, adquisición, recuperación y preservación de evidencia.
Procedimiento I.
ü  Colocar el Teléfono celular en un área del laboratorio forense donde haya
aislación de RF, de lo contrario utilizar el “Faraday Bag”.
ü  Ejecutar la aplicación Oxygen Forensic
ü  La aplicación me solicitara el método de conexión entre el computador y el
teléfono celular. En este caso utilizaremos la conexión a través del cable USB
ü Se conecta el teléfono celular a través del cable USB y la aplicación
ejecutándose para que esta active el “write Blocker”
ü Se instala el OxyAgent, aplicación que permite la extracción
de datos sin alterar la data original. (esta aplicación tiene las
debidas certificaciones)
#cybersecuritypr Procedimientos cont.
Procedimiento II.
ü  La aplicación reconoce e identifica el teléfono celular.
ü  Se selecciona el tipo de data a extraerse.
ü  Se confirma la información del proceso de extracción (extration setting
confirmation).
ü  Comienza la extracción de datos.
Procedimiento III.
ü  La aplicación crea uno archivos y carpetas con los datos extraídos del
dispositivo, una especie de “backups” del contenido.
ü  De los archivos de backup’s se comienza analizar los datos extraídos e
identificar los relevantes al casos y objetivos de la investigación.
Procedimiento IV.
ü  Se valida la integridad de los datos relevantes al caso y
que van con nuestros objetivo.
#cybersecuritypr Procedimientos cont.
Procedimiento V.
ü  Se producen los informes requeridos con los hallazgos
Procedimiento VI.
ü Se presentan a las partes interesadas los hallazgo
#cybersecuritypr Referencias
•  hVp://www.nist.gov/index.html (Na7onal Ins7tute of Standards and Technology) •  hVp://www.paraben.com (Proveedor de equipo y cer7ficaciones relacionadas a forense celular) •  hVp://www.jus7ce.gov/ (Departamento de jus7cia Federal) •  hVps://www.eff.org/ (Electronic Fron7er Founda7on) •  hVp://www._i.gov/ (Federal Bureau of Inves7ga7on) •  hVp://patc.com/ (Public Agency Training Council) #cybersecuritypr Debemos pensar…
1.  ¿Estamos listos para lidiar con un esquema de delitos relacionado a telefonía
celular?
2.  ¿Estamos conscientes de las leyes existentes relacionadas al delito donde la
principal evidencia es un dispositivo celular?
3.  ¿Cómo deberíamos responder ante una situación donde el dispositivo sea móvil
y esté involucrado en un delito, crimen o incidente?
4.  ¿Qué metodología de análisis deberíamos utilizar en este dispositivo para garantizar
la integridad en la evidencia recopilada?
5.  ¿Cuán preparado están los peritos actuales, gobiernos, autoridades de seguridad
nacional, el campo jurídico y empresa privada?
#cybersecuritypr PREGUNTAS
#cybersecuritypr Gracias !!!
#cybersecuritypr
Related documents
Certified Digital Forensics Examiner - CAC-TI
Certified Digital Forensics Examiner - CAC-TI
Pericias Informáticas en telefonía celular. Protocolo de actuación
Pericias Informáticas en telefonía celular. Protocolo de actuación
folleto - TAMCE - Contramedidas Electronicas
folleto - TAMCE - Contramedidas Electronicas
Folleto Oxygen Forensic Analyst versión con Dongle USB
Folleto Oxygen Forensic Analyst versión con Dongle USB
INFORMATICA FORENSE
INFORMATICA FORENSE
Metodología de análisis forense orientada a incidentes en
Metodología de análisis forense orientada a incidentes en
estudio y análisis de evidencia digital en teléfonos celulares con
estudio y análisis de evidencia digital en teléfonos celulares con
laboratorio forense digital
laboratorio forense digital
Guía Metodológica para el análisis forense
Guía Metodológica para el análisis forense
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
Análisis forense de dispositivos de telefonía celular
Análisis forense de dispositivos de telefonía celular
estado del analisis forense digital en colombia diego alejandro
estado del analisis forense digital en colombia diego alejandro
INFORMATICA FORENSE EN TELEFONOS CELULARES GSM
INFORMATICA FORENSE EN TELEFONOS CELULARES GSM
Análisis Digitial Forense
Análisis Digitial Forense
Examinadores forenses en informática - cremc
Examinadores forenses en informática - cremc
Esta nota es en referencia a la nueva revisión del chip firmware de
Esta nota es en referencia a la nueva revisión del chip firmware de
08. Estudio Teórico Forense (nivel básico) - (GEP
08. Estudio Teórico Forense (nivel básico) - (GEP