UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA AREA TÉCNICA

Transcripción

1 UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja AREA TÉCNICA TITULACIÓN DE INGENIERO EN SISTEMAS INFORMÁTICOS Y COMPUTACIÓN Guía metodológica de análisis forense informático para dispositivos móviles con sistema operativo Android TRABAJO DE FIN DE TITULACIÓN AUTOR: Cuenca Alvarado, Jessica Katherine DIRECTOR: Jaramillo Hurtado, Danilo Rubén, Ing. LOJA ECUADOR 2015

2 APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE TITULACIÓN Ingeniero. Danilo Rubén Jaramillo Hurtado DOCENTE DE LA TITULACIÓN De mi consideración: El presente trabajo de fin de titulación denominado: Guía metodológica de análisis forense informático para dispositivos móviles con sistema operativo Android" realizado por Jessica Katherine Cuenca Alvarado, ha sido orientado y revisado durante su ejecución, por cuanto se aprueba la presentación del mismo. Loja, marzo de 2015 f) Danilo Rubén Jaramillo Hurtado C.I: ii

3 DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS Yo, Jessica Katherine Cuenca Alvarado declaro ser autora del presente trabajo de fin de titulación Guía metodológica de análisis forense informático para dispositivos móviles con sistema operativo Android, de la Titulación de Ingeniero en Sistemas Informáticos y Computación, siendo Danilo Rubén Jaramillo Hurtado director del presente trabajo; y eximo expresamente a la Universidad Técnica Particular de Loja y a sus representantes legales de posibles reclamos o acciones legales. Además certifico que las ideas, conceptos, procedimientos y resultados vertidos en el presente trabajo investigativo, son de mi exclusiva responsabilidad. Adicionalmente declaro conocer y aceptar la disposición del Art. 88 del Estatuto Orgánico de la Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice: Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen con el apoyo financiero, académico o institucional (operativo) de la Universidad. f)... Jessica Katherine Cuenca Alvarado C.I: iii

4 DEDICATORIA Dedico esta tesis principalmente a Dios por mostrarme día a día que con humildad, paciencia y sabiduría todo es posible. A mi padre José Eliceo por su apoyo incondicional, tanto al inicio como al final de mi carrera; por ser un ejemplo de arduo trabajo y tenaz lucha en la vida, a mi mami hermosa Blanca Piedad que con amor y sacrificio, supo guiarme y motivarme moralmente para la culminación de mi carrera, por ayudarme en el cuidado de mi hija durante el desarrollo de mi proyecto de fin de titulación, a mis hermanos Fernando, Jean y Daniel por todo su apoyo, amistad y cariño. A mi amado esposo Rommel, por ser un pilar fundamental en el transcurso y desarrollo de mi tesis, a mi hija Nicole Katherine por ser mi razón de ser y motivo de superación. A mis amigos y amigas quienes siempre tuvieron una palabra de aliento en los momentos difíciles. iv

5 AGRADECIMIENTO A la Universidad Técnica Particular por contribuir en mi formación profesional. A mis padres quienes significan un ejemplo de superación, estabilidad familiar y la perfecta entrega de amor; por esas palabras de aliento que día a día me ayudaban a cumplir mis metas, por apoyarme en todo momento, por los valores que me han inculcado y por haberme dado la oportunidad de tener una excelente educación en el transcurso de mi vida. A mis hermanos por ser parte importante de mi vida, por la paciencia y apoyo que me tuvieron en el cuidado de mi hija. A mi esposo por todo el apoyo brindado, por la paciencia y amor que cada día me brindas, por esas palabras que aunque muchas veces no me gustaban me ayudaron a culminar esta etapa, gracias amor mío por soportar todo. A mi director de tesis el Ing. Danilo Jaramillo, por su apoyo constante en la culminación de este trabajo. A mis profesores quienes con nobleza y entusiasmo depositaron en mí sus vastos conocimientos. A la Eco. Karlita Mora, a la Ing. Anita Abad, a la Ing. Verónica Segarra, al Ing. Manuel Zapata, a la Eco. María del Cisne Tituaña y a la Ing. Julia Pineda quienes compartieron gratos momentos en las horas de gestión productiva y que además de trasmitirme sus conocimientos me brindaron su amistad, respeto y cariño. A mis amigos y amigas especialmente a Carlitos, Davicho, Christmo, Jonathan, Santy, Yadi, Anita, Kuka, Sil, Meche, Scecy por compartir este proceso de aprendizaje, por todas las malas noches que tuvimos que pasar, por los buenos y malos momentos, por la gran amistad que me han brindado, y que a pesar de las circunstancias por las que hemos pasado siempre formaran parte de mi vida. A todos gracias por la confianza, respeto y cariño que me tuvieron cada día. v

6 ÍNDICE DE CONTENIDOS PORTADA.....I APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE TITULACIÓN... II DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS... III DEDICATORIA... IV AGRADECIMIENTO... V ÍNDICE DE CONTENIDOS... VI ÍNDICE DE FIGURAS... XI ÍNDICE DE TABLAS... XVII GLOSARIO DE TÉRMINOS... XX RESUMEN... 1 ABSTRACT... 2 INTRODUCCIÓN... 3 CAPÍTULO I... 5 CONTEXTO DE LA INVESTIGACIÓN TEMA PLANTEAMIENTO DEL PROBLEMA- CONTEXTO JUSTIFICACIÓN ALCANCE OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS... 8 CAPÍTULO II... 9 ESTADO DEL ARTE ANÁLISIS FORENSE QUÉ ES EL ANÁLISIS FORENSE INFORMÁTICO? PARA QUÉ SIRVE EL ANÁLISIS FORENSE? TIPO DE ANÁLISIS FORENSE vi

7 2.1.4 PRINCIPIOS DEL ANÁLISIS FORENSE USOS DE LA INFORMÁTICA FORENSE MANEJO DE INCIDENTES INFORMÁTICOS ESTUDIO Y EVALUACIÓN DE METODOLOGÍAS DESARROLLADAS OPEN ANDROID SECURITY ASSESSMENT METHODOLOGY OASAM METODOLOGÍA FORENSE DEL DEPARTAMENTO DE JUSTICIA DE LOS ESTADOS UNIDOS (NIJ) METODOLOGÍA FORENSE DEL INSTITUTO NACIONAL DE ESTÁNDARES DE TECNOLOGÍA (NIST) METODOLOGÍA DE ANÁLISIS FORENSE DE LA RED EUROPEA DE INSTITUTOS DE CIENCIAS FORENSES (ENFSI) GUÍA DE MEJORES PRÁCTICAS PARA ANÁLISIS FORENSE EN TELÉFONOS MÓVILES ANÁLISIS METODOLOGÍAS HERRAMIENTAS DE ANÁLISIS FORENSE HERRAMIENTAS COMERCIALES Access Data's Forensic Toolkit (AccesDataGroup, 2014) Device Seizure (Paraben, 2013) Access Data Mobile Phone Examiner Plus (MPE, 2014) Oxygen forensic Suite (Oxygen Forensics, Inc, 2014) MOBILedit (MOBILedit, 2014) EnCase Forensic (EnCase, 2014) y (GuidanceSoftware, 2014) HERRAMIENTAS NO COMERCIALES, OPEN SOURCE The Sleuth Kit open source - Autopsy (Carrier, 2014) BitPim (BitPim, 2014) Android SDK (Android, 2014) Helix CD (Wikia, 2014) LIBRERÍAS Y FRAMEWORKS ANÁLISIS DE LAS HERRAMIENTAS ANDROID COMO SISTEMA OPERATIVO EN DISPOSITIVOS MÓVILES QUÉ SON LOS DISPOSITIVOS MÓVILES? Características a nivel de hardware Características a nivel de software SISTEMA OPERATIVO ANDROID EN DISPOSITIVOS MÓVILES Historia vii

8 Versiones Mercado ARQUITECTURA DEL SISTEMA OPERATIVO ANDROID SISTEMA DE FICHEROS DE ANDROID SEGURIDAD EN DISPOSITIVOS MÓVILES ASPECTO LEGAL EN EL ECUADOR LEY ORGÁNICA DE TRANSPARENCIA Y ACCESO DE LA INFORMACIÓN PÚBLICA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS LEY ESPECIAL DE TELECOMUNICACIONES CÓDIGO PENAL CÓDIGO DE PROCESAMIENTO PENAL CÓDIGO ORGÁNICO INTEGRAL PENAL CAPÍTULO III DESARROLLO DE LA GUÍA METODOLÓGICA PROPÓSITO CONSIDERACIONES DISEÑO DE LA GUÍA METODOLÓGICA FASE DE IDENTIFICACIÓN Y PRESERVACIÓN Diagrama de Flujo Modelo de solicitud de examen forense Modelo de plantilla fase de identificación y preservación Modelo de etiqueta, identificación dispositivos FASE DE ADQUISICIÓN Diagrama de flujo fase de adquisición Modelo de plantilla fase de adquisición FASE DE ANÁLISIS Y EXPLORACIÓN Diagrama de flujo: Modelo de plantilla fase de análisis y exploración FASE DE RESULTADOS Modelo de plantilla fase de resultados CAPÍTULO IV IMPLEMENTACIÓN IMPLEMENTACIÓN DE LA GUÍA METODOLÓGICA viii

9 4.1.1 FASE DE RESULTADOS SMARTPHONE INFORME TÉCNICO INFORME EJECUTIVO FASE DE RESULTADOS TABLET INFORME TÉCNICO INFORME EJECUTIVO DESARROLLO DE UN SISTEMA DE INFORMACIÓN REQUERIMIENTOS METODOLOGÍA DE DESARROLLO Fase de inicio Fase de elaboración Fase de construcción Fase de transición PRUEBAS SOFTWARE CAPITULO V RESULTADOS CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA CAPITULO VI ANEXOS ANEXO 1 DESARROLLO FASES SMARTPHONE SOLICITUD DE EXAMEN FORENSE (CASO DE PRUEBA) FASE DE IDENTIFICACIÓN Y PRESERVACIÓN FASE DE ADQUISICIÓN FASE DE ANÁLISIS Y EXPLORACIÓN ANEXO 2 DESARROLLO FASES TABLET SOLICITUD DE EXAMEN FORENSE (CASO DE PRUEBA) FASE DE IDENTIFICACIÓN Y PRESERVACIÓN FASE DE ADQUISICIÓN FASE DE ANÁLISIS Y EXPLORACIÓN ANEXO 3 DOCUMENTO DE VISIÓN ix

10 ANEXO 4 DOCUMENTO DE ESPECIFICACIÓN DE REQUERIMIENTOS ANEXO 5 ESPECIFICACIÓN DE CASOS DE USO DIAGRAMA DE CASO DE USO SGICAF DIAGRAMA DE CASO DE USO REGISTRAR PERITAJE ESPECIFICACIÓN DE CASO DE USO REGISTRAR PERITAJE DIAGRAMA DE CASO DE USO REGISTRAR PERSONAL ESPECIFICACIÓN DE CASO DE USO REGISTRAR PERSONAL DIAGRAMA DE CASO DE USO REGISTRAR DISPOSITIVO ESPECIFICACIÓN DE CASO DE USO REGISTRAR DISPOSITIVO DIAGRAMA DE CASO DE USO REGISTRAR ARCHIVOS ESPECIFICACIÓN DE CASO DE USO REGISTRAR ARCHIVOS DIAGRAMA DE CASO DE USO REGISTRAR COPIA DE SEGURIDAD ESPECIFICACIÓN DE CASO DE USO REGISTRAR COPIA DE SEGURIDAD DIAGRAMA DE CASO DE USO GENERAR REPORTES ESPECIFICACIÓN DE CASO DE USO GENERAR REPORTES ANEXO 6 DIAGRAMA DE CLASES ANEXO 7 DIAGRAMAS DE SECUENCIA ANEXO 8 DIAGRAMA DE ACTIVIDADES ANEXO 9 DIAGRAMA DE COMPONENTES ANEXO 10 DIAGRAMA DE PAQUETES ANEXO 11 DIAGRAMA DE DESPLIEGUE ANEXO 12 MANUAL TÉCNICO ANEXO 13 INSTALACIÓN HERRAMIENTAS PAPER x

11 ÍNDICE DE FIGURAS Figura 1: FTK TOOLS Figura 2: Device Seizure Figura 3: Plataforma Access Data Mobile Phone Examiner Plus Figura 4: Plataforma Oxygen Forensic Suite Figura 5: MOBILedit Figura 6: Plataforma EnCase Forensic Figura 7: Plataforma Autopsy Figura 8: Plataforma BitPim Figura 9: Plataforma SDK Android Figura 10: Arquitectura de Android Figura 11: OWASP Mobile Top 10 Risks Figura 12: Medidas de seguridad Figura 13: Fases de la guía metodológica Figura 14: Proceso general guía metodológica Figura 15: Diagrama de flujo fase de identificación y preservación Figura 16: Diagrama de flujo fase adquisición Figura 17: Diagrama de flujo fase de análisis y exploración Figura 18: Historial de navegación Figura 19: URL's más visitadas en el año Figura 20: Descargas realizadas Figura 21: Número de aplicaciones instaladas y en ejecución por fecha Figura 22: Descargas realizadas Figura 23: Historial de navegación Figura 24: URL's más visitadas en el año Figura 25: Contenido imagen Figura 26: Contenido de imagen obtenida con Oxygen Forensic Figura 27: Contenido de imagen obtenida con Oxygen Forensic Figura 28: Número de visitas por fecha Figura 29: Número de descargas realizadas por dato Figura 30: Línea de tiempo aplicaciones no satisfactorias Figura 31: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación Figura 32: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación Figura 33: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación Figura 34: Comando adb help Figura 35: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación xi

12 Figura 36: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación Figura 37: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación Figura 38: Línea de tiempo aplicaciones no satisfactorias Figura 39: Número de descargas realizadas por dato Figura 40: Número de visitas por fecha Figura 41: Fases RUP Figura 42: SGICAF frente a las herramientas de código abierto Figura 43: Porcentaje acceso archivos Figura 44: Información del dispositivo 1/2 - Oxygen Forensic Figura 45: Información del dispositivo 2/2 - Oxygen Forensic Figura 46: Registro de llamadas - Oxygen Forensic Figura 47: Registro de mensaje - Oxygen Forensic Figura 48: Guía telefónica - Oxygen Forensic Figura 49: Explorador de archivos 1/3 - Oxygen Forensic Figura 50: Explorador de archivos 2/3 - Oxygen Forensic Figura 51: Explorador de archivos 3/3 - Oxygen Forensic Figura 52: Datos calendario - Oxygen Forensic Figura 53: Contenido copia bit a bit Figura 54: Datos del archivo SBrowser.db Figura 55: Datos del archivo downloads.db Figura 56: Datos del archivo icingcorpora.db Figura 57: Datos del archivo localappstate.db Figura 58: Pantalla principal Odin Figura 59: Buscar firmware Figura 60: Verificar puerto COM Figura 61: Verificar acceso root Figura 62: Visualización dispositivos Figura 63: Comando para obtener backup Figura 64: Estructura del sistema de ficheros Tablet Figura 65: Fichero a obtener Figura 66: Obtención copia bit a bit Figura 67: Traspaso imagen a equipo Figura 68: Comprobar archivo imagen Figura 69: Eliminar archivo imagen del dispositivo Figura 70: Pantalla de presentación -MD5 Summer Figura 71: Seleccionar archivo y tipo de hash -MD5 Summer xii

13 Figura 72: Crear hash- MD5 Summer Figura 73: Generando hash - MD5 Summer Figura 74: Guardar archivo hash -MD5 Summer Figura 75: Archivo hash generado con md5 - MD5 Summer Figura 76: Archivo hash generado con sha1 - MD5 Summer Figura 77: Archivos hash - MD5 Summer Figura 78: Comando adb shell getprop Figura 79: Elegir opción conectar dispositivo Figura 80: Datos dispositivo Figura 81: Ingreso datos Figura 82: Seleccionar modo de extracción 1 / Figura 83: Seleccionar modo de extracción 2/ Figura 84: Realizar extracción Figura 85: Proceso de extracción 1 / Figura 86: Proceso de extracción 2/ Figura 87: Guardar archivos generados Figura 88: Información dispositivo1/2 - Oxygen Forensic Figura 89: Información dispositivo 2/2 - Oxygen Forensic Figura 90: Agenda telefónica - Oxygen Forensic Figura 91: Registro de llamadas - Oxygen Forensic Figura 92: Explorador de archivos 1/3 - Oxygen Forensic Figura 93: Explorador de archivos 2/3 - Oxygen Forensic Figura 94: Explorador de archivos 3/3 - Oxygen Forensic Figura 95: Visualizar contenido en FTK Imager Figura 96: Contenido imagen Figura 97: Contenido de imagen obtenida con Oxygen Forensic Figura 98: Contenido de imagen obtenida con Oxygen Forensic Figura 99: Tablas archivo browser Figura 100: Datos archivo browser2 - Tabla History Figura 101: Tablas archivo sisodownloads Figura 102: Datos archivo sisodownloads - Tabla sisodownloads Figura 103: Tablas archivo icingcorpora Figura 104: Datos archivo icingcorpora- Tabla applications Figura 105: Tablas archivo localappstate Figura 106: Datos archivo localappstate - Tabla appstate Figura 107: Exportación datos a archivo con extensión ".csv" xiii

14 Figura 108: Diagrama de caso de uso SGICAF Figura 109: Diagrama de caso de uso registrar peritaje Figura 110: Caso de uso registrar personal Figura 111: Caso de uso registrar dispositivo Figura 112: Caso de uso registrar archivos Figura 113: Caso de uso copia de seguridad Figura 114: Caso de uso generar reportes Figura 115: Modelo de clases SGICAF Figura 116: Diagrama de clases SGICAF- Persistence Figura 117: Diagrama de clases Figura 118: Diagrama de secuencia registrar peritaje Figura 119: Diagrama de secuencia registrar dispositivo Figura 120: Diagrama de secuencia registrar archivos Figura 121: Diagrama de secuencia generar reporte caso Figura 122: Diagrama de secuencia generar reporte resultados Figura 123: Diagrama de actividades registrar peritaje Figura 124: Diagrama de actividades registrar dispositivo Figura 125: Diagrama de actividades registrar archivos Figura 126: Diagrama de actividades generar reporte caso Figura 127: Diagrama de actividades generar reporte resultados Figura 128: Diagrama de componentes Figura 129: Diagrama de paquetes Figura 130: Diagrama de despliegue Figura 131: Modelo entidad relación Figura 132: Opción aceptar licencia Figura 133: Seleccionar jdk Figura 134: Opción guardar Figura 135: Pantalla de bienvenida instalación jdk Figura 136: Instalación jdk Figura 137: Progreso de instalación jdk Figura 138: Carpeta destino, instalación jdk Figura 139: Instalación jdk carpeta destino Figura 140: Mensaje final, instalación completa jdk Figura 141: Descargar xampp para Windows Figura 142: Proceso de descarga Xampp Figura 143: Guardar instalador xiv

15 Figura 144: Ventana de bienvenida Xampp Figura 145: Seleccionar componentes Figura 146: Carpeta destino Xampp Figura 147: Desmarcar casilla Figura 148: Instalación xampp 1 / Figura 149: Instalación xampp 2 / Figura 150: Mensaje finalización instalación Figura 151: Panel de control Xampp Figura 152: Opción cambar puerto 1 / Figura 153: Opción cambiar puerto 2 / Figura 154: Opción httpd-ssl.conf Figura 155: Cambiar puerto 1 / Figura 156: Cambiar puerto 2 / Figura 157: Iniciar Apache y MySQL Figura 158: Servicios iniciados Figura 159: Seleccionar opción español Figura 160: Ventana de inicio Xampp Figura 161: Opción phpmyadmin Figura 162: Crear base Figura 163: Crear base de datos Figura 164: Confirmación base de datos creada Figura 165: Opción importar Figura 166: Seleccionar importar Figura 167: Opción seleccionar archivo Figura 168: Seleccionar archivo Figura 169: Opción continuar Figura 170: Ventana de beinvenida SDK Figura 171: Ventana detectar Java Figura 172: Ventana instalación compartida entre usuarios Figura 173: Carpeta destino SDK Figura 174: Ventana Iniciar instalación Figura 175: Proceso de instalación SDK 1 / Figura 176: Proceso de instalación SDK 2 / Figura 177: Proceso de instalación SDK 3 / Figura 178: Confirmación instalación completa SDK Figura 179: Añadir variables de entorno xv

16 Figura 180: Opción configuración avanzada del sistema Figura 181: Opción variables de entorno Figura 182: Editar variable de entorno Figura 183: Confirmación variable de entorno Figura 184: Comprobación comando adb Figura 185: ADB Figura 186: SDK Manager Figura 187: Venatana SDK Manager Figura 188: Seleccionar paquetes Figura 189: Instalación paquetes Figura 190: Finalizar instalación paquetes Figura 191: Pantalla de bienvenida Figura 192: Pantalla principal Figura 193: Opción inicio Figura 194: Formulario Ingresar caso de estudio Figura 195: Formulario ingresar equipo de investigación Figura 196: Formulario ingreso de datos evidencia Figura 197: Ingresar datos dispositivo 1/ Figura 198: Formulario dispositivo 2 / Figura 199: Formulario dispositivo 3/ Figura 200: Formulario búsqueda dispositivo 4/ Figura 201: Formulario composición sistema de ficheros Figura 202: Formulario subir archivos Figura 203: Menú generar reporte Figura 204: Ventana selección caso Figura 205: Opción generar reporte Figura 206: Reporte Figura 207: Menú plantillas Figura 208: Opción ayuda Figura 209: Ventana principal de Ayuda Figura 210: Ventana Acerca de xvi

17 ÍNDICE DE TABLAS Tabla 1: Análisis comparativo metodologías Tabla 2: Análisis comparativo de las herramientas Tabla 3: Características a nivel de hardware Tabla 4: Características a nivel de software Tabla 5: Versiones Tabla 6: Los cinco principales sistemas operativos de smartphones Tabla 7: Versiones más utilizadas Tabla 8: Roles y funciones equipo de trabajo Tabla 9: Modelo de etiqueta evidencia Tabla 10. Equipo de trabajo- Pruebas smartphone Tabla 11: Descripción herramientas Tabla 12: Características smartphone Tabla 13: Archivos de interés del sistema de ficheros del smartphone Tabla 14: Archivos smartphone Tabla 15: Columnas de interés tabla "TABS" - smartphone Tabla 16: Historial de navegación Tabla 17: Columnas de interés tabla downloads- smartphone Tabla 18: Columnas de interés tabla appstate- smartphone Tabla 19: Columnas de interés tabla applications - smartphone Tabla 20: Aplicaciones instaladas Tabla 21: Aplicaciones desinstaladas Tabla 22: Aplicaciones no satisfactorias Tabla 23: Resultado aplicaciones Tabla 24: Aplicaciones instaladas por fecha Tabla 25: Historial de navegación Tabla 26: Equipo de trabajo - Tablet Tabla 27: Descripción herramientas utilizadas Tablet Tabla 28: Características tablet Tabla 29: Archivos de interés del sistema de ficheros de la Tablet Tabla 30: Descripción contenido Tabla 31: Descripción contenido de imagen obtenida con Oxygen Forensic Tabla 32: Ruta archivos- Tablet Tabla 33: Columnas de interés de la tabla history- Tablet Tabla 34: Historial de navegación - Tablet Tabla 35: Columnas de interés tabla sisodownloads - Tablet xvii

18 Tabla 36: Datos de las descargas Tabla 37: Número de descargas Tabla 38: Resultados aplicaciones Tabla 39: Columnas de interés tabla appstate- tablet Tabla 40: Columnas de interés tabla applications- tablet Tabla 41: Aplicaciones instaladas - tablet Tabla 42: Aplicaciones desinstaladas - tablet Tabla 43: Descargas no satisfactorias - tablet Tabla 44: Columnas de interés tabla applicationcontrol - tablet Tabla 45: Datos archivo dmappmgr.db Tabla 46: Datos aplicaciones instaladas de otras fuentes Tabla 47: Descripción comando adb backup Tabla 48: Resultado aplicaciones tablet Tabla 49: Número de descargas tablet Tabla 50: Historial de navegación- tablet Tabla 51: Características dispositivos Tabla 52: Pruebas software con dispositivos móviles Tabla 53: Comparativa con otras aplicaciones Tabla 54: Rutas archivos Tabla 55: Comparativa de los archivos accesibles Tabla 56: Equipo de trabajo smartphone Tabla 57: Materiales smartphone Tabla 58: Descripción evidencia smartphone Tabla 59: Registro visual smartphone Tabla 60: Descripción herramientas smartphone Tabla 61: Características dispositivo smartphone Tabla 62: Descripción herramientas fase de análisis smartphone Tabla 63: Ruta archivos smartphone Tabla 64: Nuevas rutas archivos smartphone Tabla 65: Columnas de interés tabla TABS Tabla 66: Historial de navegación Tabla 67: Columnas de interés tabla downloads Tabla 68: Historial de descargas Tabla 69: Columnas de interés tabla appstate Tabla 70: Columnas de interés tabla applications Tabla 71: Listado de aplicaciones instaladas xviii

19 Tabla 72: Aplicaciones desinstaladas Tabla 73: Aplicaciones no satisfactorias Tabla 74: Equipo de trabajo tablet Tabla 75: Materiales Tabla 76: Descripción evidencia tablet Tabla 77: Registro visual tablet Tabla 78: Equipo de trabajo fase adquisición Tabla 79: Herramientas fase adquisición Tabla 80: Características tablet Tabla 81: Descripción adb Tabla 82: Herramientas fase de análisis Tabla 83: Ruta archivos a analizar Tabla 84: Descripción contenido Tabla 85: Descripción contenido de imagen obtenida con Oxygen forrensic Tabla 86: Datos archivos Tabla 87: Columnas de interés tabla history Tabla 88: Datos historial de navegación sin convertir fecha Tabla 89: Datos historial de navegación Tabla 90: Columnas de interés tabla sisodownloads Tabla 91: Datos de las descargas sin convertir fecha Tabla 92: Datos de las descargas Tabla 93: Número de descargas Tabla 94: Estructura tabla appstate Tabla 95: Datos aplicaciones Tabla 96: Datos aplicaciones conversión fecha Tabla 97: Columnas de interés tabla applications Tabla 98: Datos tabla applications Tabla 99: Datos tabla applications conversión fecha Tabla 100: Aplicaciones instaladas Tabla 101: Aplicaciones desinstaladas Tabla 102: Descargas no satisfactorias Tabla 103: Columnas de interés tabla ApplicationControl Tabla 104: Datos tabla ApplicationControl Tabla 105: Paquetes instalados de otras fuentes Tabla 106: Análisis instalación Tabla 107: Análisis pruebas herramientas xix

20 GLOSARIO DE TÉRMINOS Autorización legal Backup Bolsa antiestática Bootloader Cadena de custodia Copia bit a bit Delito informático Evidencia Exclusión probatoria Ext4 Consiste en dar un permiso o consentimiento para realizar una actividad. Es una copia de seguridad de los datos como fotos, archivos y música, que puede ser restaurada en el caso de que exista un borrado de los mismos. Es una bolsa diseñada para evitar el traspaso y generación de electricidad sea por fricción o inducción, al almacenar o transportar hardware. Se en encarga de cargar y ejecutar el sistema operativo de Android. Es un proceso que garantiza la seguridad, preservación e integridad de los elementos colectados en el lugar de los hechos, también hace referencia al mantenimiento y preservación adecuada de los elementos de prueba. Copia binaria, o copia exacta de la información contenida en el dispositivo. Aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio informático. (Romero Echeverría, 2005) Son todos los elementos que se colectan o recogen en la escena, que sirven para probar la existencia de un hecho. Son procedimientos legales para dar de baja la evidencia en un caso judicial por ejemplo cuando no se protegió una evidencia porque fue manipulada o alterada, es decir no se llevó un proceso para preservar la misma. Es un tipo de sistema de archivos transaccional, capaz de trabajar con ficheros de gran tamaño. xx

21 Firmware Hash Parte del software de un dispositivo grabado en una memoria ROM que se encarga de gestionar la lógica de más bajo nivel, siendo la parte software más cercana al propio hardware del dispositivo. (Acosta, 2011) Es una contraseña o firma digital que nos permite mantener la integridad de los archivos generados, para posteriormente verificar la modificación o alteración de los mismos. Imagen forense Es una copia binaria de un medio electrónico de almacenamiento. Donde quedan grabados los espacios que ocupan los archivos y las áreas borradas incluyendo particiones escondidas. Inhibidor de señal Memoria volátil Memoria no volátil Pericia Recovery ROM Sistema de ficheros Es un aparato electrónico que emite ondas de radio en las mismas bandas de frecuencia que los teléfonos, con la energía suficiente para colisionar las señales de los móviles. Es un tipo de memoria que se pierde al interrumpirse el flujo eléctrico por ejemplo RAM. Es un tipo de memoria que no necesita de energía para perdurar. Habilidad, sabiduría y experiencia en una determinada materia Partición de Android con propiedades de arranque. Del inglés Read Only Memory, es un tipo de memoria que, a diferencia de la RAM Random Access Memory no se elimina al interrumpir la alimentación eléctrica. En Android se utiliza este tipo de memoria para almacenar el sistema operativo, de forma que no interfiera con los datos del usuario. (Acosta, 2011) El sistema de ficheros o archivos no es otra cosa que el que proporciona los mecanismos para el almacenamiento en línea de los datos y programas del propio sistema operativo y para todos los usuarios del sistema informático, así como para el xxi

22 acceso a esos datos y programas. Compuesta de dos partes como lo es una colección de archivos que almacena una serie de datos relacionados y una estructura de directorios que organiza todos los archivos del sistema y proporciona información acerca de los mismos. (Silberschatz, Galvin, & Gagne, 2006) SD Card SIM Card Volcar memoria YAFFS Dispositivo de almacenamiento también conocida como tarjeta externa. Tarjeta inteligente desmontable usada en teléfonos móviles, obligatoria en redes GSM. Obtener un registro no estructurado del contenido de la memoria De sus siglas en inglés (Yet Another Flash File System), es el primer tipo de sistema de archivos diseñado específicamente para memoria flash NAND, donde el tamaño máximo del sistema de ficheros es de 8GB xxii

23 RESUMEN El presente trabajo tiene por objeto analizar y explicar en qué consiste la informática forense, su definición, herramientas y guías de las mejores prácticas a seguir en un proceso forense. Continuamente se desarrolla una guía metodológica donde se considera las recomendaciones y mejores prácticas sobre el correcto uso y manejo de la evidencia. La misma que consta de 4 fases; la primera fase de identificación y preservación de la evidencia, es el inicio de la cadena de custodia; la segunda fase de adquisición o extracción, comprende la extracción física y lógica del contenido del dispositivo; la tercera fase de análisis y exploración, la cual a través de técnicas y herramientas especializadas se pretende identificar las acciones y/o actividades realizadas por un agente; finalmente en la cuarta fase se realiza una presentación formal y clara de los hallazgos encontrados en el dispositivo, generando un informe técnico y ejecutivo. Al concluir la presente investigación se provee de una aplicación que permite: gestionar la información del caso de estudio, obtener las principales propiedades del dispositivo móvil y ayudar al análisis de los archivos. Palabras claves: Guía metodológica, análisis forense, informática forense, NIJ, NIST, OASAM, SWGDE, ENFSI, Android, dispositivos móviles, herramientas forenses. 1

24 ABSTRACT This paper aims to analyze and explain what computer forensics, its definition, tools and best practices guides to follow a forensic process. Continuously a methodological guide which is considered the recommendations and best practices on the proper use and handling of evidence develops. Comprising the same four phases; the first phase of identification and preservation of evidence, is the beginning of the chain of custody; the second phase of acquisition or extraction, comprising the physical and logical device content extraction; the third phase of analysis and exploration, which through specialized techniques and tools intended to identify actions and / or activities of an agent; finally in the fourth phase a formal and clear presentation of the findings on the device is performed, generating a technical and executive report. At the conclusion of this research provides an application to: information management case study, obtain the main properties of mobile and help file analysis. Keywords: Methodological Guide, forensics, computer forensics, NIJ, NIST, OASAM, SWGDE, ENFSI, Android, mobile devices, forensic tools. 2

25 INTRODUCCIÓN Sin importar donde pise, donde quiere que toque, donde sea que esté, el delincuente incluso inconscientemente, dejará un rastro de su presencia Edmond Locard. El uso de los dispositivos móviles en especial los smartphones ha tomado gran importancia en nuestro diario vivir, brindando grandes beneficios a nivel personal y laboral, creando nexos de comunicación, visualización de vídeos e imágenes, consulta de noticias, información deportiva, compras electrónicas y en especial la interacción con las redes sociales, entre otros. En un estudio realizado por la consultora IDC (Pastor, 2014) Android es uno de los sistemas operativos para dispositivos móviles, más populares en el mercado con una cuota de 78,6%, en el año 2013, sobre ios, Windows Phone, Blackberry y otros. Siendo un factor importante el que este sistema operativo sea de código abierto, permitiendo su modificación y personalización. Pero qué riesgos están presentes al momento de guardar la información personal en el dispositivo móvil o smartphone?, qué problemas de seguridad existen?; pues bien, es cierto, la importancia de los datos que se almacenan en los dispositivos móviles conlleva a que expertos en el tema examinen detalladamente la información almacenada, escondida, cifrada o borrada del dispositivo móvil, como lo son las llamadas telefónicas, la agenda de contactos, imágenes, vídeos, mensajes de texto, correo electrónico, etc.; información que puede ser utilizada para cometer delitos informáticos, tales como usurpación de identidad, amenazas, robo de información, entre otros. Es así que con el fin de recuperar los datos perdidos y/o borrados accidentalmente, como también la búsqueda de evidencias, o rastros dejados por el autor del delito, nace un nuevo campo de investigación en la ciencia forense, ciencia conocida como Análisis Forense Informático o Digital. Es importante mencionar que en Ecuador no existe un documento o guía que proporcione al profesional las directrices necesarias a considerar en un proceso forense en dispositivos móviles. Por lo que el propósito de la presente investigación es diseñar una guía metodológica especializada en dispositivos móviles con sistema operativo Android, que permita aplicar y sustentar el proceso forense, considerando las recomendaciones y mejores prácticas sobre 3

26 el correcto uso y manejo de la evidencia de los diferentes referentes y estándares internacionales tales como: la guía metodológica forense del Departamento de Justicia de los Estados Unidos (NIJ), la Guía Forense en Teléfonos Celulares del Instituto Nacional de Estándares de Tecnología (NIST), la guía metodológica de la Red Europea de Instituto de Ciencias Forenses (ENFSI), la guía de mejores prácticas para análisis forense en teléfonos móviles (SWGDE), el framework Open Android Security Assessment Methodology (OASAM) y de estudios realizados referentes al tema. Además de proveer una aplicación que permite: gestionar la información del caso de estudio, extraer las principales propiedades del dispositivo móvil y ayudar al análisis de los archivos que el usuario adquiere de la copia bit a bit, archivos que contienen información referente a las aplicaciones instaladas/desinstaladas, historial de navegación y descargas realizadas por el usuario. La estructura de la tesis se encuentra dividida en cuatro capítulos y una sección para conclusiones y recomendaciones. A continuación se comenta brevemente la finalidad de cada capítulo. En el primer capítulo se estipula el contexto de la investigación, la problemática, la justificación, el alcance y los objetivos a alcanzar con el proyecto de fin de titulación. En el segundo capítulo se desarrolla un estado del arte donde se abarca los conceptos de análisis forense, manejo de incidentes informáticos, dispositivos móviles, el sistema operativo Android, que leyes se consideran ante un incidente informático en el Ecuador, y que herramientas (software) se pueden utilizar para realizar el análisis forense en el dispositivo móvil y a su vez un estudio y evaluación de las diferentes metodologías o modelos usados en una análisis forense digital, los mismos que han surgido gracias a la experiencia de profesionales vinculados en el tema. En el tercer capítulo se diseña y desarrolla una guía metodológica que sea de apoyo y sustento en el proceso forense, proponiendo cuatro fases: identificación, preservación, adquisición, análisis/exploración, y presentación de resultados. En el cuarto capítulo se muestra el resultado de la implementación de la guía, validando y verificando la misma. Así mismo con la ayuda de la guía se desarrolla una aplicación que permite la gestión de la información del caso de estudio a evaluar. Finalmente se presenta las conclusiones y recomendaciones alcanzadas en la ejecución y evaluación de la metodología propuesta, dando a conocer la factibilidad de la misma, como también los requisitos que la ciencia forense digital requiere. 4

27 CAPÍTULO I CONTEXTO DE LA INVESTIGACIÓN

28 1.1 Tema Guía metodológica de análisis forense informático para dispositivos móviles con sistema operativo Android. 1.2 Planteamiento del problema- Contexto Los dispositivos móviles poseen una gran capacidad de procesamiento, como también de almacenamiento, llegando a ser realmente extensa, pudiendo variar entre 1GB a 64GB, lo que se vuelve un problema, ya que toda la información que se logra almacenar muchas veces es desconocida en su totalidad por los usuarios, convirtiéndose en un verdadero paraíso para la obtención de información privada, tanto para un agente externo (aplicación dañina, malware, hacker) como para un peritaje digital, en el supuesto caso en que el propietario esté involucrado en una controversia legal. Sin embargo para poder extraer la información de este tipo de dispositivos existen muchas técnicas o métodos, pero el de mayor eficacia es aquel que considera la recuperación de la información a través del sistema de ficheros del sistema operativo, el que incluso tiene la capacidad de poder encontrar información que fue modificada o borrada con anterioridad. Pero el problema existente se da cuando al realizar un peritaje informático no se cuenta con una guía que proporcione al profesional las directrices necesarias a considerar en el proceso forense en dispositivos móviles con sistema operativo Android. Excluyendo también las herramientas forenses apropiadas, que permiten la recuperación de la información del mismo. 1.3 Justificación El smartphone al ser un dispositivo de uso continuo registra información vital del usuario, ya sea de la interacción con redes sociales, directorio de llamadas, registro de mensajes, uso de aplicaciones, etc.; dicha información que es almacenada en el sistema de ficheros del dispositivo puede ser utilizada para realizar entre otras actividades: acoso sexual, usurpación de identidad, robo de información, etc., que atentan contra la seguridad e integridad de la persona. En los escenarios donde se ha comprometido información de un usuario, su dispositivo móvil se convierte en una herramienta que ayuda a los peritos informáticos a realizar un análisis forense digital y poder determinar rastros o indicios de algún incidente ocurrido con el mismo. 6

29 Es así que con el fin de conocer y recuperar los datos perdidos, robados y/o borrados se da inicio al análisis forense informático, el mismo que permite buscar las evidencias o rastros dejados por el autor del delito. Por lo que se ha visto conveniente realizar un estudio y análisis de las diferentes metodologías y herramientas utilizadas en el análisis forense digital, desarrollando una guía metodológica de análisis forense para dispositivos móviles con sistema operativo Android, que permita identificar las fases y/o procesos a seguir para el análisis, extracción y preservación de la evidencia, proporcionando al profesional limitarse a lo que realmente se le solicita y refiere el caso de estudio. 1.4 Alcance Dentro del alcance definido en la investigación tenemos: Evaluar y considerar las recomendaciones y mejores prácticas de las guías de análisis forense orientadas a dispositivos móviles. Analizar el aspecto legal existente en Ecuador para tomar las debidas precauciones en el desarrollo y cumplimiento del análisis. Definir los procesos y/o actividades a considerar en el análisis forense para dispositivos móviles con sistema operativo Android. Analizar la estructura del sistema de ficheros de Android. Comparar y seleccionar las herramientas o software adecuados en la realización de un análisis forense en dispositivos móviles. Implementar una interfaz gráfica (aplicación de escritorio) que permita: gestionar la información del caso de estudio, obtener las principales propiedades del dispositivo móvil y ayudar al proceso de análisis e interpretación de los archivos que almacenan la información de los paquetes (aplicaciones/apps) instaladas y desinstaladas, historial de navegación, y descargas realizadas del dispositivo móvil. Implementar las fases de la guía con 2 dispositivos móviles con sistema operativo Android, otorgando acceso root a uno de los dispositivos móviles. Probar el software desarrollado en 5 dispositivos móviles con sistema operativo Android, los cuales se acceden para fines investigativos. 7

30 1.5 Objetivos Objetivo general Desarrollar una investigación sobre el proceso a seguir en una investigación forense digital, con el objeto de diseñar una guía metodológica que permita contar con las directrices necesarias para automatizar el proceso de análisis, recolección y búsqueda de información en el dispositivo móvil con Sistema Operativo Android Objetivos específicos Realizar un estudio y evaluación de los diferentes modelos y/o guías metodológicas propuestas para determinar e identificar los procesos y fases a seguir a través de la elaboración de una guía metodológica Evaluar las herramientas y/o aplicaciones más adecuadas para realizar un análisis forense en dispositivos móviles. Desarrollar una aplicación que permita: o Gestionar la información del caso de estudio a evaluar. o Extraer las principales propiedades del dispositivo móvil, detalladas en el documento de requerimientos o Ayudar al proceso de análisis e interpretación de los archivos que almacenan la información de los paquetes (aplicaciones/apps) instaladas y desinstaladas, historial de navegación, y descargas del dispositivo móvil, adquiridos en la copia bit a bit. 8

31 CAPÍTULO II ESTADO DEL ARTE

32 2.1 Análisis forense El análisis forense hace referencia al examen, estudio e interpretación de todas y cada una de las evidencias físicas recogidas en la esencia Brent E. Turvey Para realizar un análisis forense, primeramente se debe dar respuesta a las siguientes interrogantes de qué se trata?, para qué sirve?, qué técnicas y herramientas se deben usar?, cuál es el procedimiento a seguir?, y en especial qué leyes, de acuerdo al código penal vigente en el país se aplican ante un delito informático?, entre otras. Respuestas que se detallan en la brevedad a continuación: Qué es el análisis forense informático? De acuerdo (Santes Galván, 2009) desde el año 2000 el estudio de la Informática Forense se lleva con mayor formalidad por lo que para el año 2002 se da la aparición de la revista International Journal of Digital Evidence, la cual queda establecida como un foro de discusión sobre la teoría, investigación, políticas y prácticas relacionadas con la evidencia digital. Según (Thomas, Owen, & McPhee, 2010) Forense es el arte o el estudio del discurso argumentativo en el que se utiliza la ciencia para proporcionar datos, es decir, la aplicación de la ciencia a la ley. Siendo una técnica para la identificación, la recuperación y la reconstrucción de las pruebas. Investigadores de la ciencia forense reconstruyen y extraen la evidencia de la que se puede aplicar a los casos penales para dar más pistas, o celebrar hechos. La Informática Forense ha adoptado un procedimiento de investigación similar, pero el examen científico solamente se preocupa de los datos contenidos o de los que se recupera en los medios de comunicación digitales. Por consiguiente, la informática forense puede ser definida como la preservación, identificación, extracción, documentación e interpretación de los datos digitales. Pero para (de León Huerta, 2009) La informática forense, en primer lugar actúa como un sistema preventivo, siendo de utilidad para auditar mediante la práctica de diversas técnicas que ayudan a probar que los sistemas de seguridad instalados cumplen con ciertas condiciones básicas de seguridad; en segundo lugar si el sistema ha sido penetrado, la informática forense permite realizar el rastreo de la intrusión y poder descubrir el daño realizado (recopilación de evidencias electrónicas, origen del ataque, alteraciones realizadas al sistema, etc.), las mismas que recopilarán las evidencias (e.g. archivos temporales, hora 10

33 de encendido de un sistema, etc.) necesarias para capturar a los criminales que atacaron el sistema y se proceda según las regulaciones legales de cada país. En cambio para (McKennichs, 1998) el Análisis Forense Informático es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia. Y para (Rifá Pous, Serra Ruiz, & Rivas López, 2009) El análisis forense es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Basándose en los conceptos anteriores se puede definir al análisis forense informático como un proceso y/o metodología que tiene la finalidad de probar y reconstruir un hecho o suceso, a través de las pruebas realizadas en un laboratorio Para qué sirve el análisis forense? El análisis forense informático permite la aplicación de técnicas y herramientas para la reconstrucción de pruebas a ser usadas, para la argumentación científica ante un delito 1 e incidente. (Caballero, Rambla, & Alonso, 2009) Señala que hay que tener en cuenta que cuando un usuario no autorizado toma el control de un sistema, éste puede instalar múltiples puertas traseras que le permiten entrar al sistema en un futuro, aun cuando se corrija la vulnerabilidad original que le permitió el control del sistema. Será labor del análisis forense conocer que acciones realizó el atacante en el sistema para detectar este tipo de actividades Tipo de análisis forense Los tipos de análisis forense según (Rifá Pous et al., 2009) dependen del punto de vista del que se va analizar, entre ellos tenemos: 1 Delito informático: Aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio informático. (Romero Echeverría, 2005) 11

34 Análisis forense de sistemas: Es en el que se tratan los incidentes de seguridad en servidores y estaciones de trabajo con los sistemas operativos como MAC OS, Windows, UNIX y sistemas GNU/Linux. Análisis forense de redes: Se engloba el análisis de diferentes redes (cableadas, Wireless, bluetooth, etc.). Análisis forense de sistemas embebidos: En este tipo se analizan incidentes acaecidos en móviles, PDA, etc., ya que un sistema embebido posee una arquitectura semejante a la de un ordenador personal Principios del análisis forense Acorde a (de León Huerta, 2009) al comenzar un examen forense existen un gran número de elementos básicos a tomar en cuenta en cada una de las fases de la informática forense tales como: Evitar la contaminación: Evitar la incorrecta manipulación de la evidencia, para evitar una incorrecta interpretación o análisis. Actuar metódicamente: El investigado debe ser el custodio de su propio proceso, por tanto, cada uno de los pasos realizados, las herramientas utilizadas, los resultados obtenidos deben estar bien documentados. Controlar la cadena custodia: Responder a una diligencia y formalidad especial para documentar cada uno de los eventos que se han realizado con la evidencia Usos de la informática forense Además el autor (de León Huerta, 2009) señala que existen varios usos de la Informática Forense, provenientes de la vida diaria, y no necesariamente están relacionados con la informática forense, tales como: Prosecución criminal: Evidencia incriminatoria para procesar crímenes como homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Litigación civil: Casos que tratan con fraude, discriminación, acoso y/o divorcio. Investigación de seguros: La evidencia encontrada en computadoras puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. 12

35 Temas corporativos: Acoso sexual, robo, mal uso o usurpación de información confidencial o propietaria, o espionaje industrial. Mantenimiento de la ley: Búsqueda inicial de órdenes judiciales, como la búsqueda de información una vez se tenga la orden judicial para realizar una búsqueda exhaustiva. 2.2 Manejo de incidentes informáticos Según la norma ISO 27035, un Incidente de Seguridad de la Información es indicado por un único o una serie de eventos de seguridad de la información indeseada o inesperada, que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información 2. En cambio (López Delgado, 2007) considera a un incidente informático como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos. De acuerdo a (Caballero, Rambla, & Alonso, 2009) y (López Delgado, 2007) los tipos de incidentes informáticos más comunes son los siguientes: Denegación de servicios (Dos): Su finalidad es obstaculizar, dañar o impedir el acceso a redes, sistemas o aplicaciones mediante el agotamiento de recursos. Código malicioso: En este tipo de incidente se recogen los ataques mediante virus, troyanos, gusanos, rootkits y demás tipos de malware. Un troyano se puede instalar para obtener acceso al equipo en un futuro próximo. Un rootkit se puede instalar para ocultar las acciones de un troyano sobre el sistema operativo. Ataques de inyección vía web, como SQL Injection o Cross Site Scripting. Acceso no autorizado: Se produce cuando un usuario no permitido consigue validarse con éxito en un sistema al que no debería poder acceder. Tales como recursos compartidos de sesión, lista de privilegios, robo de cuentas de usuario, secuestro de sesiones autenticadas y elevación de privilegios de una cuenta a otra. Utilización no autorizada de servicios: Se define a sí mismo como la utilización de un servicio, sin estar aparentemente autorizado para ello. La causa principal suele ser la incorrecta aplicación de permisos sobre un usuario o la usurpación de cuentas y/o elevación de privilegios

36 En cambio en el sitio web (Portal Jurídico, 2013) se dice que los peritos informáticos se enfrentan a una variedad de casos reales, entre los que se mencionan están: 1. Acceso o copia de ficheros de empresa con planos, fórmulas, costes, precios, datos de clientes, etc. 2. Acoso a través de las redes sociales, como Facebook, Twitter, o por medios electrónicos, por ejemplo, por correo electrónico o SMS. 3. Apropiación y difusión de datos o información reservada. Ataques a sistemas informáticos, tanto internos como externos de personas, empresas o de la Administración Pública. 4. Delitos contra el mercado o contra los consumidores. 5. Delitos contra la propiedad industrial por espionaje o por revelación de secretos. 6. Delitos contra la propiedad intelectual, por ejemplo, por copia o difusión de libros en formato digital, de música, de vídeos, etc. 7. Delitos económicos o societarios, como estafas, fraudes, alteración de precios, etc. usando medios electrónicos 8. Despido de personal a causa de la introducción de tecnologías de la información. 9. Edición, divulgación, acceso o posesión de pornografía ilegal, como por ejemplo, la pornografía infantil. 10. Interceptación de las telecomunicaciones, por ejemplo, de los [usuarios], de las empresas, de los partidos políticos, etc. 11. Inyección de programas infecciosos, como virus y gusanos, dentro de sistemas informáticos. 12. Manipulación indebida de programas. 13. Piratería informática, por ejemplo, por difusión o uso de software sin licencia o sin autorización. 14. Protección de datos personales y de datos reservados de personas jurídicas. 15. Publicidad engañosa o correo electrónico spam. 16. Robo de datos bancarios, por ejemplo, mediante phishing. 17. Robo de identidad o falsificación por medios electrónicos. 18. Robo de información personal, por ejemplo, mediante key loggers. 19. Sabotaje y daños por destrucción de hardware o alteración de datos. 20. Uso de programas ocultos como son los caballos de Troya, backdoors, rootkits, etc. 21. Uso indebido de la información por empleados desleales. 22. Uso ilegal o abusivo de sistemas informáticos. 23. Valoración de bienes informáticos, tanto hardware como software. 14

37 24. Valoración del coste del desarrollo de aplicaciones. 25. Vulneración de la buena fe contractual existiendo documentos electrónicos. 26. Vulneración de la intimidad mediante lectura del correo electrónico privado; etc. Para el manejo de los incidentes informáticos, al igual que en el análisis forense se requiere de un procedimiento que determine la respuesta inmediata ante el incidente o suceso, por lo que el autor (Santes Galván, 2009) propone las siguientes fases: Preparación.- Se propone esta fase para: o Estructurar al equipo de manejo de incidentes (Equipo de respuesta a incidentes) y, o Prevenir incidentes asegurándose que los sistemas, redes y aplicaciones están suficientemente seguros. Detección: Consiste en averiguar y evaluar las condiciones del posible incidente. Esto es, determinar la ocurrencia del incidente y en caso de que haya ocurrido, identificar perfectamente el tipo, extensión y magnitud del problema. La detección de incidentes se puede hacer a través de dos señales: los precursores e indicadores. El precursor es una señal que pone de manifiesto que un incidente puede ocurrir en el futuro. Un indicador es una señal de que un incidente podría haber ocurrido o podría estar ocurriendo. Se puede identificar a los precursores e indicadores utilizando diversas fuentes, siendo la más común las alertas de software de seguridad informática, registros, información pública disponible y las personas. Análisis: Consiste en la revisión y validación del evento sospechoso que permita determinar el ámbito e impacto del posible incidente. Es en esta etapa donde el equipo de manejo de incidentes debe obtener la mayor cantidad de información posible sobre lo que está sucediendo y que permitan establecer prioridades sobre las subsecuentes actividades, tal como contención del incidente y análisis más profundo de los efectos del incidente. Contención: Cuando un incidente se ha detectado y analizado, es importante contenerlo antes de que su propagación destruya recursos o aumenten los daños. Un aspecto esencial en la contención es el proceso de decisión, basado en estrategias y procedimientos predeterminados que permiten detener un incidente específico en función de su tipo. En esta etapa se considera también, según sea el caso, la posibilidad de aceptación de un nivel de riesgo al momento de interactuar con incidentes y el desarrollo de estrategias de conformidad. 15

38 Erradicación y recuperación: Después de que un incidente haya sido contenido, la erradicación puede ser necesaria para eliminar componentes del incidente, tal como eliminar código malicioso y/o deshabilitar cuentas de usuario afectadas, de manera que los sistemas queden restaurados al modo de operación normal y (si es aplicable) fortalecer a los sistemas para impedir incidentes parecidos. Actividades pos- incidente: Involucran un conjunto de acciones que permitan mejorar los procesos relacionados con el manejo de incidentes. El objetivo consiste en generar información que sirva de retroalimentación a través de reportes que puedan responder a varias interrogantes que sometan a evaluación el desempeño de todos los recursos involucrados en el manejo del incidente: equipo de manejo de incidentes, usuarios involucrados, procedimientos y herramientas utilizadas, etc. Estos reportes también deben servir para el mejoramiento del equipo de manejo de incidentes, y de apoyo para los nuevos miembros que se integren. A partir de los reportes que se generen se podrán actualizar las políticas y procedimientos, y se podrán revelar fallas de procedimiento o la ejecución de pasos no acertados en el manejo de los incidentes. Finalmente, una actividad que debe realizarse, al margen del manejo de incidentes, es la ejecución de una auditoria de planes de respuesta a incidentes que evalúe, por lo menos, los siguientes aspectos: o Políticas y procedimientos de respuesta a incidentes, o Herramientas y recursos, o Modelo y estructura del equipo, o Entrenamiento y capacitación del personal, y o Documentación de incidentes y reportes. La evaluación de los elementos anteriores permitirá identificar deficiencias y problemas en relación con las políticas, regulaciones y mejores prácticas requeridas por el equipo de respuesta a incidentes Por lo tanto una vez identificado el incidente y la gravedad del mismo, se da paso al análisis forense informático como tal, el cuál determinará cómo fue vulnerado el sistema, cuándo, quién, y qué hizo el intruso en el mismo. 16

39 2.3 Estudio y evaluación de metodologías desarrolladas En esta sección se considera las siguientes metodologías o frameworks ha ser evaluadas con sus respectivos puntos principales Open Android Security Assessment Methodology OASAM OASAM, es el acrónimo de Open Android Security Assessment Methodology es un framework de referencia de análisis de vulnerabilidades en aplicaciones Android, en la que el autor (Medianero, 2014) señala que tiene por objetivo ser una metodología de análisis de seguridad de aplicaciones Android. El autor establece los siguientes controles de seguridad: 1. OASAM-INFO Information Gathering (Obtención de información y definición de superficie de ataque): En esta fase se define la superficie de ataque. 2. OASAM-CONF Configuration and Deploy Management (Análisis de la configuración e implantación): En esta fase se definen diferentes errores de configuración en las opciones de despliegue de las aplicaciones. 3. OASAM-AUTH Authentication (Análisis de la autenticación): En esta sección se comprueban las funcionalidades relativas al uso de logins a través de la aplicación. Es importante recalcar que lo que se buscarán son vulnerabilidades en la aplicación Android, si la autenticación se realiza contra un tercero (Web Service, servicio REST, etc.) la seguridad del tercero no será evaluada, solo las debilidades ligadas a la propia aplicación Android. 4. OASAM-CRYPT Cryptography (Análisis del uso de criptografía): En la sección de autenticación se comprobarán las funcionalidades relativas al uso de la criptografía en el aplicativo. Esto puede ser al transmitir información o al almacenarla. 5. OASAM-LEAK Information Leak (Análisis de fugas de información sensible): En la sección de autenticación se comprobarán las fugas de información a diferentes medios. La información sensible puede ser relativa al usuario o del propio teléfono. 6. OASAM-DV Data Validation (Análisis de gestión de la entrada de usuario): En esta categoría se incluirán vulnerabilidades que tienen que ver con el manejo por parte de la aplicación de la entrada recibida por parte del usuario. La mala validación de la entrada del usuario es uno de los principales vectores de ataque, ya que puede permitir a un atacante alterar los flujos de información de la aplicación, inyectando código y afectando gravemente a la aplicación y a los datos que ella contiene. En el Top Ten de riesgos en 17

40 aplicaciones móviles, esta categoría constituye el puesto 4, denominándose Client Side Injection. 7. OASAM-IS Intent Spoofing (Análisis de la gestión en la recepción de Intents): Representa vulnerabilidades que tienen que ver con el envío de intents arbitrarios a un componente que espera recibir otro tipo de intents. De esta manera el atacante utilizará los filtros de la víctima para enviar datos que la víctima no espera y aprovecharse así de sus funcionalidades. 8. OASAM-UIR Unauthorized Intent Receipt (Análisis de la resolución de intents): Representa vulnerabilidades que tienen que ver con la resolución del envío de Intents implícitos. Cuando una aplicación envía un Intent implícito, no hay garantía de que una aplicación maliciosa no vaya a recoger dicho Intent, ya que una aplicación maliciosa podría registrar un Intent Filter que fuera capaz de pasar la resolución (action, data y category), a no ser que dicho Intent tenga requeridos una serie de permisos que la aplicación maliciosa no posea. 9. OASAM-BL Business Logic (Análisis de la lógica de negocio la aplicación): En esta categoría se incluirán vulnerabilidades que tienen una componente más centrada en el propio diseño que la codificación. Los ataques sobre la lógica de negocio de una aplicación son peligrosos, difíciles de detectar y específicos a la aplicación Metodología Forense del Departamento de Justicia de los Estados Unidos (NIJ) Forensic Examination of Digital Evidence: A guide for Law Enforcement En esta guía (Ashcroft, Daniels, & Hart, 2014) señalan que está destinada a los agentes de policía y otros miembros de la comunidad de las fuerzas del orden responsables para el examen de la evidencia digital. Esta guía no es del todo completa. Más bien, se trata de situaciones habituales encontradas durante el examen de evidencia digital. No es un mandato para la aplicación de la ley, es una guía que pueda ser utilizada en la ayuda del desarrollo de sus propias políticas y procedimientos. Cuando se trata de la evidencia digital, deben aplicar los siguientes procedimientos forenses: Las medidas adoptadas para asegurar y reunir pruebas digitales no deben afectar a la integridad de la evidencia. 18

41 Las personas que realicen un examen de la evidencia digital debe ser entrenado para ese propósito. La actividad relacionada con la incautación, el examen, el almacenamiento o la transferencia de la evidencia digital debe ser documentada, preservado, y que puede consultarse. A través de todo esto, el examinador debe ser consciente de la necesidad de realizar un examen preciso e imparcial de la evidencia digital Metodología Forense del Instituto Nacional de Estándares de Tecnología (NIST) Guidelines on Cell Phone Forensics (Jansen & Ayers, 2007) detallan que esta guía ofrece información básica sobre la conservación, adquisición, exploración, análisis y presentación de informes de las pruebas digitales en los teléfonos celulares, pertinentes para la aplicación de ley, respuesta a incidentes, y otros tipos de investigaciones. La guía se centra principalmente en las características de los teléfonos móviles, incluyendo teléfonos inteligentes con capacidades avanzadas. También cubre las disposiciones que deben tenerse en cuenta durante el curso de una investigación del incidente. La guía está dirigida a hacer frente a circunstancias comunes que se pueden encontrar por el personal de seguridad de la organización y los investigadores policiales, relativa a los datos electrónicos digitales que residen en los teléfonos celulares y los medios electrónicos asociados. También tiene por objeto complementar las directrices existentes y profundizar en temas relacionados con los teléfonos celulares y su examen y análisis Metodología de análisis forense de la Red Europea de Institutos de Ciencias Forenses (ENFSI) "Guidelines for best practice in the Forensic Examination of Digital Technology Este guía de mejores prácticas en un examen forense digital (ENFSI Working Group, 2009) se centra principalmente en los requisitos para la recuperación de los datos de los siguientes dispositivos digitales: Medios de comunicación relacionados con la informática: discos duros, unidades USB, medios de comunicación inteligentes, memoria flash, disquetes y otros medios de almacenamiento como discos ópticos, cintas y CD-ROM. 19

42 Teléfonos móviles Los datos de telecomunicaciones (por ejemplo, análisis de célula de la web) Los dispositivos digitales asociados a los coches (por ejemplo, dispositivos GPS y electrónica de vehículos) Guía de mejores prácticas para análisis forense en teléfonos móviles. Este documento (SWGDE, 2012) proporciona información básica sobre la adquisición lógica y física de los teléfonos móviles. El público objetivo es cualquiera de los examinadores en un entorno de laboratorio o socorristas que se encuentran con los teléfonos móviles en el campo. Se deben seguir estas buenas prácticas si el hardware o el software se utilizan para recuperar datos de un teléfono. Este documento no puede aplicarse para aquellos fuera del entorno de laboratorio cuya única interacción con el teléfono es buscar manualmente en el contenido del teléfono. Este documento no debe ser utilizado como una guía paso a paso para la ejecución de una investigación forense adecuada cuando se trata de teléfonos móviles, ni se entenderá como asesoramiento jurídico Análisis metodologías En la Tabla 1 se realiza un cuadro comparativo de las metodologías anteriormente analizadas, en el cual podemos observar que la mayoría de las actividades son comunes en todas las metodologías. Tabla 1: Análisis comparativo metodologías Procedimiento/Fases OASAM NIJ NIST ENFSI SWGDE PROCEDIMIENTOS/ ACTIVIDADES Autorización legal x x x Identificación del problema / Evaluación del caso x x x Determina previamente el equipo/personal a trabajar en el caso x x x x Se puede llevar otros procesos forenses (toma de huellas, ADN, etc.) x x x Asegurar y evaluar la escena x x x x 20

43 Documentar la escena (Mantener un registro permanente de la escena, registro fotográfico) x x x x Proceso de recolección de la evidencia (etiquetas, sellado, envasado, transporte y x x x x almacenamiento) Identificación de dispositivos y/o periféricos asociados x x x Aislamiento del dispositivo x x Documentación herramientas y software utilizados en el examen (Materiales de apoyo) x x x x Toma de notas x x Resumen de resultados x Detalles de hallazgos x x x x El informe contiene un glosario x Presentación de prueba testimonial x Se lleva un proceso de quejas/reclamos x Los expedientes de adquisición deben archivarse x FASES Preservación x x x Adquisición x x x x Preparación x Extracción x x Exploración y Análisis x x x x x Informes y/o reportes (Documentación) x x x x Archivo x 21

44 2.4 Herramientas de análisis forense Existen una variedad de herramientas para recuperar evidencia, y recopilar información de una manera exacta. Clasificándolas en herramientas comerciales y herramientas gratuitas y/o de código abierto. A continuación se detallan algunas de ellas Herramientas comerciales Entre las herramientas comerciales tenemos: Access Data's Forensic Toolkit (AccesDataGroup, 2014). Figura 1: FTK TOOLS FTK es una plataforma de investigaciones digitales aprobada por tribunales, que está diseñada para ser veloz, analítica y contar con escalabilidad de clase empresarial. Conocido por su interfaz intuitiva, el análisis de correo electrónico, las vistas personalizadas de datos y su estabilidad, FTK establece el marco para una expansión sin problemas, por lo que su solución de informática forense puede crecer de acuerdo a las necesidades de su organización. Adicionalmente, Access Data ofrece nuevos módulos de expansión, entregando el primer software de esta industria con capacidad de análisis y con visualización de última generación. Estos módulos se integran con FTK para crear la plataforma de informática forense más completa en el mercado. Perfecta para exámenes forenses completos y exhaustivos. FTK ha indexado búsquedas avanzadas, recuperación de archivos borrados, análisis de correo electrónico, imágenes, etc. 22

45 Características: Solución forense integral de computadoras o Obtiene imágenes forenses hasta archivos de correos electrónicos, análisis del registro o Recuperación de passwords desde más de 100 aplicaciones o Biblioteca KFF de hash con 45 millones de hashes o Análisis avanzado y automatizado sin necesidad del scripting A diferencia de otros productos en el mercado, FTK funciona con bases de datos, lo que evita experimentar el crashing asociado con las herramientas que funcionan con la memoria. Adicionalmente, los componentes de FTK están divididos en compartimientos, por lo que, por ejemplo, si el GUI deja de responder o tiene un crash, los procesadores continúan analizando datos. Analiza los sistemas operativos de Windows (32- y 64-bit), Apple, UNIX y Linux. Análisis integral de datos volátiles. Análisis de RAM Estática, desde una imagen o frente a un sistema vivo. Capacidad de análisis de todo el sistema de archivos, tipos de archivos y correo electrónico o Capacidad de análisis de más de 700 imágenes, archivos y tipos de archivos. o Notes NSF, Outlook PST/OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft Internet Mail, EarthLink, Thunderbird, Quick mail, etc.), Netscape, AOL and RFC 833 o Procesa y analiza DMG (comprimidos y descomprimidos), Ext4, exea, Vafes (Veritas File System), Microsoft VHD (Microsoft Virtual Hard Disk), Blackberry IPD archivos de respaldo, Android YAFFS / YAFFS 2 y muchos más. o Crea y procesa imágenes en Formato Forense Avanzado -Advanced Forensic Format (AFF). Amplia capacidad de análisis de encriptados o Desencripta automáticamente (con credenciales apropiadas) Credant, SafeBoot, Utimaco, SafeGuard Enterprise y Easy, EFS, PGP, GuardianEdge, Pointsec y S/MIME. o FTK es la única solución de informática forense que puede identificar PDFs encriptados. Accesorio de detección de imágenes explícitas (EID): Esta tecnología de detección de imágenes no solo reconoce tonos de piel, sino que se ha programado con una 23

46 biblioteca de más de 30,000 imágenes que permiten identificar, automáticamente, potenciales imágenes pornográficas. Genera reportes robustos detallados en formatos originales, HTML, PDF, XML, RTF, entre otros, incluyendo enlaces hacia la evidencia original. Device Seizure (Paraben, 2013). Figura 2: Device Seizure Device Seizure es un sistema de extracción y análisis forense móvil avanzada. A medida que la primera herramienta comercial para el análisis forense móvil, la incautación de dispositivos tiene más de 10 años de desarrollo que apoyan el análisis lógico y físico de miles de dispositivos en un solo sistema. Device Seizure fue construido desde el principio como una herramienta forense. Con funciones de análisis, tales como adquisiciones lógicas y físicas, las adquisiciones del sistema de archivos, la contraseña derivación, analizadores de datos avanzados, visores de archivos, integración de Google Earth, una base de datos back-end para el manejo de la gran cantidad de datos contenidos en los teléfonos inteligentes, y mucho más, los investigadores son capaces de realizar un examen completado e informar sobre todos los datos adquiridos. Características: Extracción de datos lógicos o Registros de llamadas o SMS o Contactos 24

47 o Imágenes Extracción de datos físicos o Sistema de archivos o Datos borrados Recuperación y extracción de usuarios y contraseñas Integración de Google Earth: Puntos de datos GPS (Coordenadas GPS mediante la integración con Google Earth) Advanced Data Parsers: Extracción de datos de usuario y recuperación de datos borrados de ambos archivos lógicos y extracciones físicas. Búsqueda avanzada - expresiones booleanas, Unicode y expresiones regulares Admite clonación de tarjetas SIM Exporta todos los datos adquiridos a tu PC para su revisión en otras herramientas Opciones avanzadas de comunicación, incluyendo HTML, texto, Excel y PDF Exportación de los datos adquiridos para su visualización en el programa de análisis de enlaces Paraben's free Link2 Access Data Mobile Phone Examiner Plus (MPE, 2014) Figura 3: Plataforma Access Data Mobile Phone Examiner Plus Es un software de solución forense móvil autónomo que también está disponible en una tablet pre configurada para el lugar del siniestro, se integra perfectamente con Forensic i, lo que le permite correlacionar la evidencia de múltiples dispositivos móviles con la evidencia de varios equipos dentro de una única interfaz. Es compatible con más de teléfonos móviles y dispositivos inteligentes proporciona el descifrado sobre la marcha del sistema operativo y de datos lógicos en el dispositivo. Además, MPE+ es la única solución forense móvil diseñada para facilitar la detección de dispositivos móviles para el personal de apoyo 25

48 en litigios que abordan los requisitos de e-discovery. La interfaz es más intuitiva del mercado e incluye herramientas de visualización que le permite ver fácilmente las relaciones de comunicación entre los contactos y automáticamente construye líneas de tiempo de datos gráficos. Una interfaz intuitiva, análisis avanzado, fácil exportación e informes robustos hacen MPE+ la herramienta de elección para los profesionales de e-discovery. Características: Registro de llamadas o Call logs GPS data Fotos Archivos de video Correos de voz o Voic Historial de navegación Web Agenda telefónica Historial de búsqueda Calendario Oxygen forensic Suite (Oxygen Forensics, Inc, 2014). Figura 4: Plataforma Oxygen Forensic Suite Oxygen Forensics es un producto líder en el análisis forense de dispositivos móviles, utilizado por auditores y equipos de TI que gestionan sistemas de telefonía corporativos. Es 26

49 una completa aplicación forense que te ofrecerá la posibilidad de extraer y analizar información desde smartphones, teléfonos celulares, PDAs y otros dispositivos móviles. Utilizando protocolos propietarios de bajo nivel, Oxygen Forensic Suite puede extraer muchos más datos que son generalmente extraídos por otras herramientas forenses, especialmente para smartphones. Características: Extrae información básica del teléfono y de la tarjeta SIM o Lista de contactos o Llamadas o o SMS o MMS o Marcas de tiempo de SMS Center o Calendario o Tareas o Notas de texto o Metadatos de fotografías o Videos o Sonidos o Coordenadas geográficas -Actividad Lifeblog o Historiales de conexión o Análisis de caché de navegadores o de aplicaciones como Skype. o Recuperación de passwords o Añadidos de time-line o Visores de ficheros plist o SQLlite o Sistema de archivos o Actividad wifi o Registros de voz o Lista de aplicaciones instaladas: Java o nativas o Base de datos de emisoras de radio FM o Memoria caché del navegador web y marcadores o Protección de la integridad de datos con MD5, SHA-1, SHA-2, CRC, HAVAL, GOST D

50 o Permite rootear los terminales con Android, haciendo que el análisis forense del terminal se pueda hacer completamente. MOBILedit (MOBILedit, 2014). Figura 5: MOBILedit MOBILedit es una plataforma que funciona con una variedad de teléfonos y smartphones, explora el contenido del teléfono a través de una estructura de carpetas de Outlook como la EM. Esto permite que la copia de seguridad de la información almacenada en el teléfono, guardarla en un PC o copiar los datos a otro teléfono mediante la función de copiadora teléfono. Es una herramienta confiable de análisis forense en celulares utilizada en más de 70 países y reconocida por el Instituto Nacional de Estándares y Tecnología. Permite extraer todo el contenido del teléfono y genera un reporte en cualquier idioma, listo para su presentación en una audiencia. Características: Análisis de teléfonos vía cable USB, Bluetooth e Infrarrojo Extracción de la Agenda telefónica Llamadas SMS -Buzón de entrada, salida, borradores Carpeta de archivos Fotos Tonos Vídeos Grabaciones 28

51 EnCase Forensic (EnCase, 2014) y (GuidanceSoftware, 2014). Figura 6: Plataforma EnCase Forensic Fuente (Encase, 2014) EnCase es una suite de informática forense. El software viene en varias formas diseñadas para forense, seguridad cibernética y e-discovery uso. La compañía también ofrece capacitación EnCase y certificación. Los datos recuperados por EnCase ha sido utilizado con éxito en los diferentes sistemas judiciales de todo el mundo, como en los casos del asesino BTK y David Westerfield. Características: Copia comprimida de los discos fuente Exploración y análisis de múltiples partes de archivos adquiridos Análisis compuesto del documento Soporte de múltiples sistemas de archivos Vista de archivos y otros datos en el espacio unallocated Visualizador integrado de imágenes Análisis del historial del navegador web Generación de informes 29

52 2.4.2 Herramientas no comerciales, open source Entre las herramientas no comerciales y/u open source se ha examinado las siguientes: The Sleuth Kit open source - Autopsy (Carrier, 2014). Figura 7: Plataforma Autopsy Fuente (Autopsy, 2014) Es una plataforma de análisis forense digital y de interfaz gráfica para el Sleuth Kit y otras herramientas de análisis forense digital. Puede ser utilizado por la policía, el ejército y los examinadores corporativos para investigar lo ocurrido en un ordenador. Puede incluso utilizarlo para recuperar las fotos desde la tarjeta de memoria de la cámara. Consiste en una colección de herramientas forenses para entornos UNIX/Linux. Puede analizar archivos de datos de evidencias generadas con utilidades de disco. De acuerdo a (Solís, 2014) las principales características de esta herramienta son: Permite crear notas del investigador Funciona conjuntamente con el Autopsy Forensic Browser Análisis de la línea de tiempo: muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad. Búsqueda por Palabra: módulos de extracción de texto e índice de búsquedas que permiten encontrar archivos mencionando términos específicos o patrones de expresiones regulares. Artefactos Web: Extrae la actividad web de los navegadores más habituales para ayudar a identificar la actividad del usuario. 30

53 Análisis del registro: Usos RegRipper para identificar los documentos usados recientemente y dispositivos USB Análisis de archivos LNK: Identifica atajos y accesos a documentos Análisis de correo electrónico: Analiza los mensajes de formato MBOX, como Thunderbird. EXIF: Extractos de geo ubicación y la información de los archivos JPEG de la cámara. Clasificación de tipo de Archivo: agrupa los ficheros por su tipo para encontrar todas las imágenes o documentos. Soporte para reproducción: Ver vídeos e imágenes en la aplicación y no requiere un visor externo. Visor de miniaturas: muestra miniaturas de las imágenes que te ayudarán ver rápidamente las imágenes. Análisis del sistema de archivos robusto: Soporte para sistemas de archivos comunes, incluyendo NTFS, FAT12, FAT16, FAT32, HFS +, ISO9660 (CD- ROM), Ext2, Ext3 y UFS del Sleuth Kit. Filtrado de Hash Set: Filtrado de archivos buenos conocidos usando NSRL y la bandera de los archivos malos conocidos usando hash sets personalizados en Hash Keeper, md5sum y formatos EnCase. Etiquetas: Archivos de etiquetas con los nombres de etiquetas arbitrarias, tales como marcador o sospechoso, y añadir comentarios. Extracción de Cadenas Unicode: cuerdas Extractos de espacio no asignado y los tipos de archivos desconocidos en muchos idiomas (árabe, chino, japonés, etc.) Formatos de entrada: Autopsy analiza las imágenes de disco, unidades locales o una carpeta de archivos locales. Las imágenes de disco pueden estar en formato E01 o raw/dd el soporte a E01 es proporcionado por libewf. Informes o Autopsy tiene una infraestructura de información extensible que permite otros tipos de informes de las investigaciones que se creará. De manera predeterminada los formatos de archivo son HTML, XLS, y Body para los informes. Cada uno es configurable dependiendo de la información a un investigador le gustaría incluir en su informe: HTML y Excel: Los informes HTML y Excel están son informes que se pueden compartir. Incluyen referencias a archivos marcados, junto con comentarios y notas insertadas por el investigador, así como otras búsquedas automatizadas que realiza Autopsy. Estos marcadores incluyen, historial web, documentos recientes, palabras clave 31

54 utilizadas, Hash set encontrados, programas instalados, dispositivos conectados, cookies, descargas y consultas de búsqueda. Archivo Body: Principalmente su uso es para el análisis de línea de tiempo, el archivo incluirá tiempos MAC para cada archivo en un formato XML para la importación de herramientas externas, como mactime en El Sleuth Kit. o Un investigador puede generar más de un informe a la vez y/o modificar uno de los existentes o crear un nuevo módulo de información para personalizar el comportamiento de sus necesidades específicas. BitPim (BitPim, 2014). Figura 8: Plataforma BitPim Fuente (BitPim, 2014) Es un programa de código abierto y software libre bajo la Licencia Pública General de GNU, diseñado para la gestión de contenidos (ver y manipular datos) en el CDMA 3 de los dispositivos chipset basado en Qualcomm CDMA. Es un programa multiplataforma, que opera en los sistemas operativos Microsoft Windows, Mac OS X y Linux. Características: Las funcionalidades varían según el modelo de dispositivo Permite la extracción de: o Agenda telefónica 3 Code Division Multiple Access es un método de acceso al canal utilizado por varios radios de tecnología de comunicación 32

55 o Calendario o Fondos de pantalla o Ringtones (Varía según el teléfono) o Sistema de archivos o Medios de comunicación o Historial de llamadas o SMS o Editor T9 o Los datos pueden ser importados y exportados de diversas fuentes, tales Como Microsoft Outlook y Google Calendar. BitPim se implementa utilizando el lenguaje de programación Python con C para acceder al hardware. El modo de diagnóstico proporciona acceso directo al sistema de archivos integrado en el teléfono móvil. Android SDK (Android, 2014). Figura 9: Plataforma SDK Android Fuente (Android, 2014) El SDK (Software Development Kit) de Android, incluye un conjunto de herramientas de desarrollo. Comprende un depurador de código, biblioteca, un simulador de teléfono basado en QEMU, documentación, ejemplos de código y tutoriales. Las plataformas de desarrollo soportadas incluyen Linux (cualquier distribución moderna), Mac OS X o posterior, y Windows XP o posterior. La plataforma integral de desarrollo (IDE, Integrated Development Environment) soportada oficialmente es Eclipse junto con el complemento ADT (Android 33

56 Development Tools plugin), aunque también puede utilizarse un editor de texto para escribir ficheros Java y Xml y utilizar comandos en un terminal (se necesitan los paquetes JDK, Java Development Kit y Apache Ant) para crear y depurar aplicaciones. Además, pueden controlarse dispositivos Android que estén conectados (e.g. reiniciarlos, instalar aplicaciones en remoto).la manera natural de interactuar con el teléfono para hacer análisis forense a los dispositivos móviles con sistema operativo Android, a nivel consola es lanzar comandos mediante Android Debug Bridge (ADB) como usuario root. Características: Extracción de: o Contactos o Llamadas o Historiales de navegación o Mensajes, etc. Helix CD (Wikia, 2014). Se trata de un Live CD de respuesta ante incidentes, basado en Linux denominado Knoppix. Posee la mayoría de las herramientas necesarias para realizar análisis forense tanto de equipos como de imágenes de discos Librerías y frameworks Android-locdump (Sánchez Cordero, 2013): Permite obtener la geo localización Androidguard (Sánchez Cordero, 2013): Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC Viaforensics (Sánchez Cordero, 2013): Framework de utilidades para el análisis forense. 34

57 2.4.4 Análisis de las herramientas En la Tabla 2 se ha realizado un cuadro comparativo sobre las principales características que presentan las herramientas anteriormente analizadas. Tabla 2: Análisis comparativo de las herramientas Función Herramienta Adquisición Análisis/ Exploración Reportes Características Plataforma Herramientas comerciales Forensic Toolkit x x x Device Seizure x x x MPE + x x Oxygen forensic Suite x x x -Análisis integral de datos volátiles. -Capacidad de análisis de todo el sistema de archivos, tipos de archivos y correo electrónico -Genera reportes robustos detallados en formatos originales, HTML, PDF, XML, RTF, entre otros, incluyendo enlaces hacia la evidencia original. -Extracción de datos lógicos (Registros de llamadas, SMS, Contactos, Imágenes) -Extracción de datos físicos (Sistema de archivos, Datos borrados, Recuperación y extracción de usuarios y contraseñas) -Integración de Google Earth (Coordenadas GPS mediante la integración con Google Earth) Extracción (Registro de llamadas o Call logs, , GPS data, Fotos, Archivos de video, Correos de voz, Historial de navegación Web, Agenda telefónica, Historial de búsqueda) -Extrae información básica del teléfono y de la tarjeta SIM (Lista de contactos, Llamadas, E- mail, SMS, MMS, Marcas de tiempo de SMS Center, Calendario, Tareas, Notas de texto, Metadatos de fotografías, Videos, Sonidos, Coordenadas geográficas, Historiales de conexión, Actividad wifi, Registros de voz, Lista de aplicaciones instaladas: Java o nativas, Base de datos de emisoras de radio FM, Memoria 35 Windows Windows Windows Windows

58 caché del navegador web y marcadores, Protección de la integridad de datos con MD5, SHA-1, SHA-2, CRC, HAVAL, GOST D ) MOBILedit x x -Análisis de teléfonos vía cable USB, Bluetooth e Infrarrojo -Extracción (Agenda telefónica, Llamadas, SMS (buzón de entrada, salida, borradores), Carpeta de archivos, Fotos, Tonos, Vídeos, Grabaciones) -Copia comprimida de los discos fuente -Exploración y análisis de múltiples partes de archivos adquiridos -Análisis compuesto del documento Encase -Soporte de múltiples sistemas de archivos x x x Forensic -Vista de archivos y otros datos en el espacio unallocated -Visualizador integrado de imágenes -Análisis del historial del navegador web -Generación de informes Herramientas gratuitas u open source -Permite crear notas del investigador -Soporte para reproducción: Ver vídeos e imágenes en la aplicación y no requiere un visor externo. Autopsy X x -Visor de miniaturas: muestra miniaturas de las imágenes que te ayudarán ver rápidamente las imágenes. -Permite generar informes en formato HTML y XLS -Las funcionalidades varían según el modelo de dispositivo - Permite la extracción de (Agenda telefónica, Calendario, Fondos de pantalla, Ringtones BitPim x X (Varía según el teléfono), Sistema de archivos, Medios de comunicación, Historial de llamadas, SMS, Editor T9) Los datos pueden ser importados y exportados de diversas fuentes, tales Como Windows Windows Windows/ Linux Linux 36

59 Microsoft Outlook y Google Calendar. Helix CD x Posee un kit de herramientas necesarias para realizar análisis forense. Linux Android SDK x x Extracción de (Contactos, Llamadas, Historiales Windows/ de navegación, Mensajes, Datos del sistema de Linux/ Mac ficheros, Navegación de archivos, etc.) androidlocdump x x Extracción de datos de geolocalización GPS Android Androidguard x x Análisis de malware Android viaforensics x x Extracción de contactos, mensajes de texto, y llamadas Android De acuerdo a las pruebas realizadas con los diferentes softwares se puede determinar el uso de las siguientes herramientas, como los más adecuados para el cumplimiento del caso de estudio. Forensic Toolkit: A pesar de ser de tipo comercial nos ofrece una herramienta muy útil como FTK Imager que al ser de libre acceso nos ayuda en la extracción y análisis de la información contenida en la copia bit a bit del dispositivo. Herramienta de gran utilidad para el cumplimiento del objetivo del caso de prueba. Oxygen Forensic: Las funcionalidades prestadas en la versión de prueba, como la presentación de algunas de las características lógicas del dispositivo, extracción y análisis de los archivos, obtención de un backup, copia bit a bit y la generación de un reporte de los datos encontrados en el dispositivo son de gran ayuda en el examen forense, permitiendo validar y verificar los datos analizados en el caso de prueba. Mobiledit: Permite la obtención de un backup y una copia bit a bit, además de la exploración datos y archivos contenidos en las imágenes forenses. Datos que Oxygen Forensic ya determina. Autopsy: Al ser una herramienta de código abierto permite la exploración y análisis de los datos contenidos en la imagen forense, presentando resultados como archivos eliminados que otras herramientas no me ofrecen, pudiendo determinar mejores resultados en el análisis para el caso de prueba. Helix CD: Es un kit de herramientas open source que permiten realizar un análisis forense tanto a equipos de cómputo como a dispositivos móviles, entre ellos tenemos FTK Imager y Autopsy, que ya fueron utilizados previamente. Android SDK: Permite la navegación de los archivos, composición del sistema de ficheros, obtención de backup, obtención de una copia bit a bit, etc., mediante la 37

60 conexión vía ADB. Esta herramienta es de gran utilidad en el cumplimiento del objetivo del caso de prueba. android-locdump: Permite la extracción de los datos de geolocalización registrados en el dispositivo, el mismo que no es de relevancia para el cumplimiento del objetivo del caso de prueba. androidguard: Permite el análisis de las aplicaciones en Android, comprobando que la misma no esté presente en una base de datos de malware, etc. Su objetivo principal se basa en el análisis de malware. Es por esto que la app no es de relevancia para el cumplimiento del objetivo del caso de prueba. Viaforensics: Permite la extracción de contactos, mensajes de texto, y llamadas, datos que han sido registrados en el dispositivo. 2.5 Android como sistema operativo en dispositivos móviles Qué son los dispositivos móviles? En (Baz Alonso, Ferreira Artime, Rodríguez, & García Baniello, 2009) señalan que Un dispositivo móvil se puede definir como un aparato de pequeño tamaño, con algunas capacidades de procesamiento, con conexión permanente o intermitente a una red, con memoria limitada, que ha sido diseñado específicamente para una función, pero que puede llevar a cabo otras funciones más generales. Los autores clasifican el dispositivo móvil como: PDAs (Personal Digital Assintant): Un PDA, es una computadora de mano originalmente diseñada como agenda electrónica con un sistema de reconocimiento de escritura. Las características del PDA moderno son pantalla sensible al tacto, conexión a una computadora para sincronización, ranura para tarjeta de memoria, y al menos Infrarrojo, Bluetooth o Wifi. Teléfonos móviles: El teléfono móvil es un dispositivo inalámbrico electrónico basado en la tecnología de ondas de radio, que tiene la misma funcionalidad que cualquier teléfono de línea fija. Su principal característica es su portabilidad, ya que la realización de llamadas no es dependiente de ningún terminal fijo y no requiere ningún tipo de cableado para llevar a cabo la conexión a la red telefónica. Aunque su principal función es la comunicación de voz, como el teléfono convencional, su rápido desarrollo ha incorporado funciones adicionales como mensajería instantánea (sms), agenda, juegos, cámara fotográfica, agenda, acceso a Internet, reproducción de 38

61 video e incluso GPS y reproductor mp3. Conforme la tecnología fue avanzando se incluyeron nuevas aplicaciones como juegos, alarma, calculadora y acceso WAP (acceso a Internet mediante páginas web especialmente diseñadas para móviles). Smartphones o teléfonos inteligentes: Un smartphone (teléfono inteligente en español) es un dispositivo electrónico que funciona como un teléfono móvil con características similares a las de un ordenador personal. Es un elemento a medio camino entre un teléfono móvil clásico y una PDA ya que permite hacer llamadas y enviar mensajes de texto como un móvil convencional pero además incluye características cercanas a las de un ordenador personal. Una característica importante de casi todos los teléfonos inteligentes es que permiten la instalación de programas para incrementar el procesamiento de datos y la conectividad. Los teléfonos inteligentes se distinguen por muchas características, entre las que destacan las pantallas táctiles, un sistema operativo así como la conectividad a Internet y el acceso al correo electrónico. Otras aplicaciones que suelen estar presentes son las cámaras integradas, la administración de contactos, el software multimedia para reproducción de música y visualización de fotos y video-clips y algunos programas de navegación así como, ocasionalmente, la habilidad de leer documentos de negocios en variedad de formatos como PDF y Microsoft Office. Los teléfonos inteligentes (smartphones) tienen la ventaja del uso de redes geográficamente distribuidas a nivel global. Lo cual los hace vulnerables a riesgos derivados por virus o ataques informáticos. Mientras que en la guía forense del Instituto Nacional de Estándares de Tecnología (NIST) los autores (Jansen & Ayers, 2007) clasifican a los teléfonos celulares como teléfonos básicos aquellos dispositivos simples de comunicación de voz y mensajería, teléfonos avanzados aquellos que ofrecen capacidades y servicios adicionales para multimedia y los teléfonos inteligentes (smartphones) o de gama alta aquellos que combinan las capacidades de un teléfono avanzado con las de un PDA, cuyas características de hardware y software se detallan a continuación, véase la Tabla 3 y Tabla 4. Características a nivel de hardware Tabla 3: Características a nivel de hardware Básico Avanzado Smart Procesador Velocidad limitada Mejoras en la velocidad Velocidad superior 39

62 Memoria Capacidad limitada Mejoras Capacidad superior, posibilidad de incorporación de disco duro Display Escala de grises De color De gran tamaño, color de 16 bits (65,536 colors) o superior Ranuras para tarjetas Ninguno MiniSD o MMCmobile MiniSDIO o MMCmobile Cámara Ninguno Fotos Fotos, Video Pantalla táctil, reconocimiento Entrada de Teclado numérico, Teclado numérico de escritura, teclado texto Teclado virtual incorporado estilo QWERTY Interfaz celular Voz y datos limitado Voz y datos de alta velocidad Voz y datos de muy alta velocidad Wireless IrDA (Infrarrojo) IrDA, Bluetooth IrDA, Bluetooth, Wifi Batería Fijo, Batería Desmontable, Batería recargable de iones Desmontable, Batería recargable de iones de de litio (Li-ion) y recargable de iones de litio (Liion) litio (Li-ion) y polímero de polímero de litio (Lipoli) litio (Li-poli) Fuente (Ayers, Jansen, & Brothers, 2013) Características a nivel de software Tabla 4: Características a nivel de software Básico Avanzado Smart Sistema Operativo Propietario Propietario Linux, Windows Mobile, RIM OS, Palm OS, Symbian PIM Agenda Agenda telefónica y Lista de recordatorios, Agenda telefónica simple Calendario telefónica mejorada y Calendario Aplicaciones Ninguna Reproductor MP3 Reproductor MP3, Visualización de documentos de Office Mensajería Mensajes de texto e Mensajes de texto, texto Mensajes de imágenes incrustadas mejorado y mensajería texto simples y Sonidos (Texto multimedia mejorado) Chat Ninguna SMS Chat Mensajería instantánea Ninguna Via Network Operator s Service Gateway Vía POP o IMAP Server Web Ninguna Vía WAP Gateway HTTP directo 40

63 Wireless IrDA (Infrarrojo) IrDA, Bluetooth IrDA, Bluetooth, Wifi Fuente (Ayers et al., 2013) Los dispositivos móviles cuentan con varios sistemas operativos entre ellos tenemos ios, BlackBerry, Windows Phone, Android etc. Sin embargo en el presente proyecto de tesis se ha escogido Android, exponiendo las principales características a continuación Sistema operativo Android en dispositivos móviles Los autores (Robledo Sacristán & Robledo Fernández, n.d.) Mencionan en su libro las principales características del sistema operativo Android, sobre qué se trata y un poco de historia de cómo fueron sus comienzos, detallado a continuación: Android es un sistema operativo, inicialmente diseñado para teléfonos móviles como los sistemas operativos ios (Apple), Symbian (Nokia) y Blackberry OS. En la actualidad, este sistema operativo se instala no sólo en móviles, sino también en múltiples dispositivos, como tabletas, GPS, televisores, discos duros multimedia, mini ordenadores, etcétera. Incluso se ha instalado en microondas y lavadoras. Está basado en Linux, que es un núcleo de sistema operativo libre, gratuito y multiplataforma. Este sistema operativo permite programar aplicaciones empleando una variación de Java llamada Dalvik, y proporciona todas las interfaces necesarias para desarrollar fácilmente aplicaciones que acceden a las funciones del teléfono (como el GPS, las llamadas, la agenda, etcétera) utilizando el lenguaje de programación Java. Su sencillez principalmente, junto a la existencia de herramientas de programación gratuitas, es la causa de que existan cientos de miles de aplicaciones disponibles, que extienden la funcionalidad de los dispositivos y mejoran la experiencia del usuario. Una de las características más importantes de este sistema operativo reside en que es completamente libre. Es decir, ni para programar en este sistema ni para incluirlo en un teléfono hay que pagar nada. Por esta razón, es muy popular entre los fabricantes de teléfonos y desarrolladores, ya que los costes para lanzar un teléfono o una aplicación son muy bajos. Cualquier programador puede descargarse el código fuente, inspeccionarlo, compilarlo e incluso modificarlo. Para los autores (Martínez González, 2011) las principales características de este sistema operativo son: 41

64 Plataforma adaptable a pantallas más grandes, VGA 4, librería de gráficos 2D, librería de gráficos 3D basada en las especificaciones de la OpenGL ES 2.O. Almacenamiento en base de datos SQLite Conectividad: Android soporta las siguientes tecnologías de conectividad: GSM/EDGE, IDEN 5, CDMA 6, EV-DO 7, UMTS 8, Bluetooth, Wi-Fi, LTE 9, and WiMAX 10. Mensajería: SMS, MMS y la Android Cloud to Device Messaging Framework (C2DM) Navegador web Soporte de Java: El código Java se compila en el ejecutable Dalvik. Dalvik es máquina virtual especializada diseñada específicamente para Android y optimizada para dispositivos móviles que funcionan con batería y que tienen memoria y procesador limitados. Soporta la mayoría de los formatos multimedia estándar. Soporte para streaming Soporte para hardware adicional como cámara de fotos, de video, pantallas táctiles, GPS, etc Historia Android era un sistema operativo para móviles prácticamente desconocido hasta que en el año 2005 lo compró Google. En noviembre de 2007 se creó la Open Handset Alliance, que agrupó a muchos fabricantes de teléfonos móviles, procesadores y Google. Este año se lanzó la primera versión de Android, junto con el SDK (del inglés, Software Development Kit, que significa Kit del desarrollo de software) para que los programadores empezaran a crear sus aplicaciones para este sistema operativo. El despegue del sistema operativo fue lento porque se lanzó antes el sistema operativo que el primer terminal móvil, aunque rápidamente se ha colocado como el sistema operativo de móviles más vendido del mundo. En febrero de 2011 se anunció la versión 3.0 de Android, cuyo nombre en clave es Honeycomb, que está optimizada para tabletas en lugar de para teléfonos móviles. 4 Adaptador gráfico de video 5 Integrated Digital Enhanced Network 6 Code Division Multiple Access 7 Evolution Data Optimized o Evolution Data Only 8 Universal Mobile Telecommunications System 9 Long Term Evolution, estándar para el acceso por radio en 4G 10 Norma de transmisión de datos 42

65 Versiones Entre las versiones disponibles se cuenta con véase la Tabla 5. Tabla 5: Versiones VERSIÓN CODENAME 2.2 Froyo Gingerbread 3.2 Honeycomb Ice Cream Sandwich 4.1.x 4.2.x Jelly Bean KitKat Fuente (Developer Android, 2014) Mercado Según (Pastor, 2014) en los estudios realizados por la consultora IDC se determina que en el año 2013, Android es uno de los sistemas operativos más populares en el mercado logrando el primer lugar con una cuota del 78,6% frente al 69% del año Véase la Tabla 6. Tabla 6: Los cinco principales sistemas operativos de smartphones Sistema Operativo Cambio año Market Share Market Share tras año Android 78,6% 69% 58,7% IOS 15,2% 18,7% 12,9% Windows Phone 3,3% 2,4% 90,9% BlackBerry 1,9% 4,5% -40,9% Otros 1% 5,4% -74,6% Total 100% 100% 39,2% Fuente (Pastor, 2014) Cabe mencionar que la gran aceptación que ha tenido Android en el mercado, también se suma el desarrollo de nuevas amenazas móviles, tales como la creación de virus (botnets), malware, etc., que atacan principalmente a dicho sistema operativo. Algunas de las amenazas informáticas acontecidas en el año 2013 las podemos encontrar en (Costin & Emm, 2013). 43

66 Entre las versiones más usadas en los dispositivos Android tenemos: Tabla 7: Versiones más utilizadas VERSION CODENAME API Distribution 2.2 Froyo 8 1,2% Gingerbread 10 19% 3.2 Honeycomb 13 0,1% Ice Cream Sandwich 15 15,2% 4.1.x 16 35,3% 4.2.x Jelly Bean 17 17,1% ,6% 4.4 KitKat 19 2,5% Fuente (Xataca Android, 2014) Siendo hasta marzo del 2014 Jelly Bean la versión más usada con un 62% frente a Kit Kat con un 2,5% Arquitectura del sistema operativo Android Dentro de un análisis forense es importante conocer la arquitectura del sistema operativo, puesto que permitirá al profesional determinar lo que se va a examinar. Para los autores (Blanco, Camarero, Fumero, Werterski, & Rodríguez, 2009) & (INFOSEC INSTITUTE, 2014) los componentes principales del sistema operativo de Android son: Figura 10: Arquitectura de Android Fuente (Android, 2014) 44

67 Aplicaciones: Las aplicaciones base incluyen un cliente de correo electrónico, programa de SMS, calendario, mapas, navegador, contactos y otros. Todas las aplicaciones están escritas en lenguaje de programación Java. Framework: los desarrolladores tienen acceso completo a los mismos APIs del framework usados por las aplicaciones base. La arquitectura está diseñada para simplificar la reutilización de componentes; cualquier aplicación puede publicar sus capacidades y cualquier otra aplicación puede luego hacer uso de esas capacidades (sujeto a reglas de seguridad del framework). Este mismo mecanismo permite que los componentes sean reemplazados por el usuario. Bibliotecas: Android incluye un conjunto de bibliotecas de C/C++ usadas por varios componentes del sistema. Estas características se exponen a los desarrolladores a través del marco de trabajo de aplicaciones de Android; algunas son: System C library (Implementación biblioteca C estándar), bibliotecas de medios, bibliotecas de gráficos, 3D y SQLite, entre otras. Runtime de Android: Android incluye un set de bibliotecas base que proporcionan la mayor parte de las funciones disponibles en las bibliotecas base del lenguaje Java. Cada aplicación Android corre su propio proceso, con su propia instancia de la máquina virtual Dalvik. Dalvik ha sido escrito de forma que un dispositivo puede correr múltiples máquinas virtuales de forma eficiente. Dalvik ejecuta archivos en el formato Dalvik Ejecutable (.dex), el cual está optimizado para memoria mínima. La Máquina Virtual está basada en registros y corre clases compiladas por el compilador de Java que han sido transformadas al formato.dex por la herramienta incluida "dx". Núcleo Linux: Android depende de Linux para los servicios base del sistema como seguridad, gestión de memoria, gestión de procesos, pila de red y modelo de controladores. El núcleo también actúa como una capa de abstracción entre el hardware y el resto de la pila de software Sistema de ficheros de Android En (Basterra, Bertea, Borello, Castillo, & Venturi, 2012) se indica que a partir de la aparición del móvil Nexus S en el mercado, Android comenzó a utilizar el sistema de archivos llamado Ext4. El Ext4 es el sistema de archivos que implementan la mayoría de distribuciones de Linux, y sobre todo es bastante estable y confiable como la mayoría de los sistemas basados en Linux, con el mínimo riesgo de pérdida de información. Este surgió como una mejora compatible de ext3. Entre las principales mejoras tenemos: Soporte de volúmenes de hasta 1024 PiB. 45

68 Soporte añadido de extent. Menor uso del CPU. Mejoras en la velocidad de lectura y escritura. La mayoría de dispositivos con Android utilizan un sistema de ficheros llamado YAFFS, un desarrollo ligero optimizado para almacenamiento Flash y que ya se usaba en otros dispositivos móviles, pero surge un problema, y es que el sistema YAFFS es un sistema orientado a sistemas con un único hilo de ejecución, lo que supondría la aparición de cuellos de botella en sistemas dual-core. De acuerdo (Nobles Pérez & Ruíz García, 2013) Android cuenta con tres carpetas fundamentales del sistema de ficheros, que son consideradas en el examen forense, estas son: /system/: Fichero que pertenece al sistema operativo /data/: Fichero que almacena los datos del usuario y aplicaciones o /data/app/: Fichero que almacena las aplicaciones o /data/data/: Fichero que almacena los datos de las aplicaciones /mnt/sdcard o /sdcard/: Fichero correspondiente a la SD card o memoria externa, el mismo que almacena ficheros, música, etc Seguridad en dispositivos móviles La Fundación Open Web Application Security Project (OWASP, 2014) determina los 10 principales riesgos a los que está expuesto un dispositivo móvil: Figura 11: OWASP Mobile Top 10 Risks Fuente (OWASP, 2014) 46

69 1) M1 - Weak Server Side Controls (Controles debiles del lado del servidor) 2) M2 - Insecure Data Storage (Almacenamiento inseguro de datos) 3) M3 - Insufficient Transport Layer Protection (Protección insuficiente en la capa de datos) 4) M4 - Unintended Data Leakage (Fuga de datos accidental) 5) M5 - Poor Authorization and Authentication (Autenticación y Autorización débil) 6) M6 - Broken Cryptography (Uso de criptografía débil) 7) M7 - Client Side Injection (Inyección del lado del cliente) 8) M8 - Security Decisions Via Untrusted Inputs (Decisiones de seguridad a través de entradas no confiables) 9) M9 - Improper Session Handling (Manejo incorrecto de sesiones) 10) M10 - Lack of Binary Protections (Falta de protección en binarios) Es por esto que, en la actualidad dichas vulnerabilidades, han llevado a tomar varias medidas de seguridad, entre ellas las más optadas por los usuarios de telefonía celular son el ingreso de patrones de seguridad, copias de seguridad, ingreso de contraseñas, instalación de antivirus, etc. En la Figura 12 podemos observar las medidas de seguridad que se han optado en los últimos años. Figura 12: Medidas de seguridad Fuente (INTECO, 2012) Estos aspectos demuestran que el usuario de telefonía celular está tomando consciencia de que la información que maneja en su dispositivo móvil es un activo muy importante. 47

70 2.6 Aspecto legal en el Ecuador En el Ecuador se registran algunas reformas o leyes a considerarse ante un incidente o delito informático. A continuación se detalla los principales puntos a considerarse Ley Orgánica de Transparencia y acceso de la información pública De acuerdo a la consulta realizada en el Registro Oficial Suplemento 337 publicado por el (Congreso Nacional, 2004) he considerado los siguientes puntos: Art. 2.- Objeto de la Ley.- La presente Ley garantiza y norma el ejercicio del derecho fundamental de las personas a la información conforme a las garantías consagradas en la Constitución Política de la República, Pacto Internacional de Derechos Civiles y Políticos, Convención Interamericana sobre Derechos Humanos y demás instrumentos internacionales vigentes, de los cuales nuestro país es signatario. Persigue los siguientes objetivos: a) Cumplir lo dispuesto en la Constitución Política de la República referente a la publicidad, transparencia y rendición de cuentas al que están sometidas todas las instituciones del Estado que conforman el sector público, dignatarios, autoridades y funcionarios públicos, incluidos los entes señalados en el artículo anterior, las personas jurídicas de derecho privado que realicen obras, servicios, etc., con asignaciones públicas. Para el efecto, adoptarán las medidas que garanticen y promuevan la organización, clasificación y manejo de la información que den cuenta de la gestión pública; b) El cumplimiento de las convenciones internacionales que sobre la materia ha suscrito legalmente nuestro país; c) Permitir la fiscalización de la administración pública y de los recursos públicos, efectivizándose un verdadero control social; d) Garantizar la protección de la información personal en poder del sector público y/o privado; e) La democratización de la sociedad ecuatoriana y la plena vigencia del estado de derecho, a través de un genuino y legítimo acceso a la información pública; y, f) Facilitar la efectiva participación ciudadana en la toma de decisiones de interés general y su fiscalización. 48

71 Título Segundo: De la Información Pública y su Difusión Art. 5.- Información Pública.- Se considera información pública, todo documento en cualquier formato, que se encuentre en poder de las instituciones públicas y de las personas jurídicas a las que se refiere esta Ley, contenidos, creados u obtenidos por ellas, que se encuentren bajo su responsabilidad o se hayan producido con recursos del Estado. Art. 6.- Información Confidencial. Se considera información confidencial aquella información pública personal, que no está sujeta al principio de publicidad y comprende aquella derivada de sus derechos personalísimos y fundamentales, especialmente aquellos señalados en los artículos 23 y 24 de la Constitución Política de la República. El uso ilegal que se haga de la información personal o su divulgación, dará lugar a las acciones legales pertinentes. No podrá invocarse reserva, cuando se trate de investigaciones que realicen las autoridades, públicas competentes, sobre violaciones a derechos de las personas que se encuentren establecidos en la Constitución Política de la República, en las declaraciones, pactos, convenios, instrumentos internacionales y el ordenamiento jurídico interno. Se excepciona el procedimiento establecido en las indagaciones previas Ley de Comercio Electrónico, Firmas electrónicas y mensajes de datos En el Registro Oficial Suplemento 557 del (Congreso Nacional, 2002) he considerado lo siguiente: Art. 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas. Art. 2.- Reconocimiento jurídico de los mensajes de datos.- Los mensajes de datos tendrán igual valor jurídico que los documentos escritos. Su eficacia, valoración y efectos se someterá al cumplimiento de lo establecido en esta Ley y su reglamento Art. 7.- Información original.- Cuando la Ley requiera u obligue que la información sea presentada o conservada en su forma original, este requisito quedará cumplido con un mensaje de datos, si siendo requerido conforme a la Ley, puede comprobarse que ha 49

72 conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos. Se considera que un mensaje de datos permanece íntegro, si se mantiene completo e inalterable su contenido, salvo algún cambio de forma, propio del proceso de comunicación, archivo o presentación. Por acuerdo de las partes y cumpliendo con todas las obligaciones previstas en esta Ley, se podrán desmaterializar los documentos que por ley deban ser instrumentados físicamente. Los documentos desmaterializados deberán contener las firmas electrónicas correspondientes debidamente certificadas ante una de las entidades autorizadas según lo dispuesto en el artículo 29 de la presente ley, y deberán ser conservados conforme a lo establecido en el artículo siguiente. Art. 8.- Conservación de los mensajes de datos.- Toda información sometida a esta Ley, podrá ser conservada; éste requisito quedará cumplido mediante el archivo del mensaje de datos, siempre que se reúnan las siguientes condiciones: a. Que la información que contenga sea accesible para su posterior consulta; b. Que sea conservado con el formato en el que se haya generado, enviado o recibido, o con algún formato que sea demostrable que reproduce con exactitud la información generada, enviada o recibida; c. Que se conserve todo dato que permita determinar el origen, el destino del mensaje, la fecha y hora en que fue creado, generado, procesado, enviado, recibido y archivado; y, d. Que se garantice su integridad por el tiempo que se establezca en el reglamento a esta ley. Toda persona podrá cumplir con la conservación de mensajes de datos, usando los servicios de terceros, siempre que se cumplan las condiciones mencionadas en este artículo. La información que tenga por única finalidad facilitar el envío o recepción del mensaje de datos, no será obligatorio el cumplimiento de lo establecido en los literales anteriores. Art Medios de prueba.- Los mensajes de datos, firmas electrónicas, documentos electrónicos y los certificados electrónicos nacionales o extranjeros, emitidos de conformidad 50

73 con esta ley, cualquiera sea su procedencia o generación, serán considerados medios de prueba. Para su valoración y efectos legales se observará lo dispuesto en el Código de Procedimiento Civil. Art Práctica de la prueba.- La prueba se practicará de conformidad con lo previsto en el Código de Procedimiento Civil y observando las normas siguientes: a) Al presentar un mensaje de datos dentro de un proceso judicial en los juzgados o tribunales del país, se deberá adjuntar el soporte informático y la transcripción en papel del documento electrónico, así como los elementos necesarios para su lectura y verificación, cuando sean requeridos; b) En el caso de impugnación del certificado o de la firma electrónica por cualesquiera de las partes, el juez o tribunal, a petición de parte, ordenará a la entidad de certificación de información correspondiente, remitir a ese despacho los certificados de firma electrónica y documentos en los que se basó la solicitud del firmante, debidamente certificados; c) El facsímile, será admitido como medio de prueba, siempre y cuando haya sido enviado y recibido como mensaje de datos, mantenga su integridad, se conserve y cumpla con las exigencias contempladas en esta ley. En caso de que alguna de las partes niegue la validez de un mensaje de datos, deberá probar, conforme a la Ley, que éste adolece de uno o varios vicios que lo invalidan, o que el procedimiento de seguridad, incluyendo los datos de creación y los medios utilizados para verificar la firma, no puedan ser reconocidos técnicamente como seguros. Cualquier duda sobre la validez podrá ser objeto de comprobación técnica. Art Valoración de la prueba.- La prueba será valorada bajo los principios determinados en la ley y tomando en cuenta la seguridad y fiabilidad de los medios con los cuales se la envió, recibió, verificó, almacenó o comprobó si fuese el caso, sin perjuicio de que dicha valoración se efectué con el empleo de otros métodos que aconsejen la técnica y la tecnología. En todo caso la valoración de la prueba se someterá al libre criterio judicial, según las circunstancias en que hayan sido producidos. 51

74 Para la valoración de las pruebas, el juez o árbitro competente que conozca el caso deberá designar los peritos que considere necesarios para el análisis y estudio técnico y tecnológico de las pruebas presentadas. Art Infracciones informáticas.- Se considerarán infracciones informáticas, las de carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la presente ley Ley Especial de Telecomunicaciones En el Registro Oficial 996 vigente, publicado por el considerado lo siguiente: (Congreso Nacional, 2011) se ha Art. 1.- Ámbito de la Ley.- La presente Ley Especial de Telecomunicaciones tiene por objeto normar en el territorio nacional la instalación, operación, utilización y desarrollo de toda transmisión, emisión o recepción de signos, señales, imágenes, sonidos e información de cualquier naturaleza por hilo, radioelectricidad, medios ópticos u otros sistemas electromagnéticos. Los términos técnicos de telecomunicaciones no definidos en la presente Ley, serán utilizados con los significados establecidos por la Unión Internacional de Telecomunicaciones. Art INTERCOMUNICACIONES INTERNAS.- No será necesaria autorización alguna para el establecimiento o utilización de instalaciones destinadas a intercomunicaciones dentro de residencias, edificaciones e inmuebles públicos o privados, siempre que para el efecto no se intercepten o interfieran los sistemas de telecomunicaciones públicos. Si lo hicieran, sus propietarios o usuarios estarán obligados a realizar, a su costo, las modificaciones necesarias para evitar dichas interferencias o intercepciones, sin perjuicio de la aplicación de las sanciones previstas en esta Ley. En todo caso, también estas instalaciones estarán sujetas a la regulación y control por parte del Estado. Art USO PROHIBIDO.- Es prohibido usar los medios de telecomunicación contra la seguridad del Estado, el orden público, la moral y las buenas costumbres. La contravención a esta disposición será sancionada de conformidad con el Código Penal y más leyes pertinentes. 52

75 Art DERECHO AL SECRETO DE LAS TELECOMUNICACIONES.- El Estado garantiza el derecho al secreto y a la privacidad de las telecomunicaciones. Es prohibido a terceras personas interceptar, interferir, publicar o divulgar sin consentimiento de las partes la información cursada mediante los servicios de telecomunicaciones Código penal En el Registro Oficial Suplemento 147 publicado por la (Dirección Nacional de Asesoría Jurídica de la PGE, 2013) se tomó los siguientes artículos. Art Son infracciones los actos imputables sancionados por las leyes penales, y se dividen en delitos y contravenciones, según la naturaleza de la pena peculiar. Art Los que sustrajeren cartas confiadas al correo serán reprimidos con prisión de quince a sesenta días, excepto los padres, maridos o tutores que tomaren las cartas de sus hijos, consortes o pupilos, respectivamente, que se hallen bajo su dependencia. "Art.- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica. Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de Norteamérica. La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o industriales, serán sancionadas con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. 53

76 Art.- Obtención y utilización no autorizada de información.- La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica.". CAPITULO VII Del incendio y otras destrucciones, de los deterioros y daños Art Si en los casos previstos por los artículos precedentes ha habido violación de cerramiento, la pena se aumentará en el doble. Art....- Daños informáticos.- El que dolosamente, de cualquier modo o utilizando cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica. La pena de prisión será de tres a cinco años y multa de doscientos a seiscientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional Código de procesamiento penal Del Registro Oficial Suplemento 360 de la (Subdirección de Asesoría Jurídica de la PGE, 2013) he tomado los siguientes puntos: Art Intercepción y grabaciones.- El juez de garantías penales puede autorizar por escrito al Fiscal para que intercepte y registre conversaciones telefónicas o de otro tipo, cuando lo considere indispensable para impedir la consumación de un delito, o para comprobar la existencia de uno ya cometido, o la responsabilidad de los partícipes. La cinta grabada deberá ser conservada por el Fiscal, con la transcripción suscrita por la persona que la escribió. Las personas encargadas de interceptar, grabar y transcribir la comunicación tienen la obligación de guardar secreto sobre su contenido, salvo cuando se las llame a declarar en el juicio. 54

77 Art Documentos semejantes.- El juez de garantías penales autorizará al Fiscal para el reconocimiento de las grabaciones mencionadas en el artículo anterior, así como de películas, registros informáticos, fotografías, discos u otros documentos semejantes. Para este efecto, con la intervención de dos peritos que jurarán guardar reserva, el Fiscal, en audiencia privada, procederá a la exhibición de la película o a escuchar el disco o la grabación y a examinar el contenido de los registros informáticos. Las partes podrán asistir con el mismo juramento. Art....- Los Fiscales podrán utilizar todos aquellos medios técnicos, electrónicos, informáticos y telemáticos que resulten útiles e indispensables para sustentar sus actuaciones y pronunciamientos, cumpliendo con los requisitos y obteniendo las autorizaciones que se exijan en la ley respecto de la procedencia y eficacia de los actos de investigación o de prueba que se formulen a través de dichos medios. Las actuaciones que se realicen, y los documentos o información obtenidas a través de estos procedimientos, serán válidos y eficaces siempre que se garantice su integridad, autenticidad y reproducción, y no afecten en modo alguno los derechos y garantías fundamentales reconocidas en la Constitución y la ley. Las actuaciones y procesos que se tramiten con soporte informático, deberán garantizar la confidencialidad, privacidad y seguridad de los datos e informaciones de carácter personal que contengan. Sin embargo, en aquellos casos de grabaciones o filmaciones relacionadas a un hecho constitutivo de infracción, registradas de modo espontáneo al momento mismo de su ejecución, por los medios de comunicación social o por cámaras de seguridad, ubicadas en lugares públicos, le servirán al fiscal para integrar la investigación y para introducirlas al juicio como elemento de prueba para su valoración. Estas no requerirán de la autorización a la que se refiere el artículo ciento cincuenta y cinco. Art Documentos públicos.- Si los documentos formaren parte de otro proceso o registro, o si reposan en algún archivo público, se obtendrá copia certificada de ellos y no se los agregará originales sino cuando fuere indispensable para constancia del hecho. En este último caso la copia quedará en dicho archivo, proceso o registro y, llenada la necesidad se devolverán los originales, dejando la copia en el proceso. 55

78 2.6.6 Código orgánico integral penal Del Suplemento de la (Asamblea Nacional, 2014) he contemplado lo siguiente: Artículo 1.- Finalidad.- Este Código tiene como finalidad normar el poder punitivo del Estado, tipificar las infracciones penales, establecer el procedimiento para el juzgamiento de las personas con estricta observancia del debido proceso, promover la rehabilitación social de las personas sentenciadas y la reparación integral de las víctimas. Artículo Oferta de servicios sexuales con menores de dieciocho años por medios electrónicos.- La persona, que utilice o facilite el correo electrónico, chat, mensajería instantánea, redes sociales, blogs, foto blogs, juegos en red o cualquier otro medio electrónico o telemático para ofrecer servicios sexuales con menores de dieciocho años de edad, será sancionada con pena privativa de libertad de siete a diez años finalidad sexual o erótica, será sancionada con pena privativa de libertad de uno a tres años. Artículo Apropiación fraudulenta por medios electrónicos.- La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años. La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de alarma o guarda, descubrimiento o descifrado de claves secretas o encriptados, utilización de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a distancia, o violación de seguridades electrónicas, informáticas u otras semejantes. Artículo Ataque a la integridad de sistemas informáticos.- La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años. 56

79 Con igual pena será sancionada la persona que: 1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este artículo. 2. Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la transmisión, recepción o procesamiento de información en general. Si la infracción se comete sobre bienes informáticos destinados a la prestación de un servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años de privación de libertad. Artículo Delitos contra la información pública reservada legalmente.- La persona que destruya o inutilice información clasificada de conformidad con la Ley, será sancionada con pena privativa de libertad de cinco a siete años. La o el servidor público que, utilizando cualquier medio electrónico o informático, obtenga este tipo de información, será sancionado con pena privativa de libertad de tres a cinco años. Cuando se trate de información reservada, cuya revelación pueda comprometer gravemente la seguridad del Estado, la o el servidor público encargado de la custodia o utilización legítima de la información que sin la autorización correspondiente revele dicha información, será sancionado con pena privativa de libertad de siete a diez años y la inhabilitación para ejercer un cargo o función pública por seis meses, siempre que no se configure otra infracción de mayor gravedad. Artículo Acceso no consentido a un sistema informático, telemático o de telecomunicaciones.- La persona que sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o de telecomunicaciones o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web, desviar o re direccionar de tráfico de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años. 57

80 El uso de las nuevas tecnologías ha dispuesto que cada nación realice un estudio y análisis del marco legal y regulatorio existente en el país, estableciendo estatutos y sanciones para quienes hagan un uso indebido de las mismas. Sin embargo cada día se presentan nuevos desafíos que requieren que dichas reformas sean replanteadas y modificadas. 58

81 CAPÍTULO III DESARROLLO DE LA GUÍA METODOLÓGICA

82 3.1 Propósito La guía le permitirá saber, qué hacer?, cómo actuar?, qué analizar? e identificar el proceso y/o actividades a seguir, en el momento en que se otorga un dispositivo móvil para su análisis, como también desarrollar la documentación necesaria para llevar a cabo un historial de las actividades realizadas en cada una de las fases y de los hallazgos encontrados en el dispositivo móvil. Determinando el alcance y cumplimiento del objetivo del caso de estudio. La guía está basada en los estándares internacionales tales como: la guía metodológica forense del Departamento de Justicia de los Estados Unidos (NIJ), la Guía Forense en Teléfonos Celulares del Instituto Nacional de Estándares de Tecnología (NIST), la guía metodológica de la Red Europea de Instituto de Ciencias Forenses (ENFSI), la guía de mejores prácticas para análisis forense en teléfonos móviles (SWGDE) y de estudios realizados referentes al tema. Se ha desarrollado 4 fases a seguir en el proceso y ejecución de un examen forense. La primera fase es de identificación y preservación de la evidencia, es el inicio de la cadena de custodia; la segunda fase es la de adquisición o extracción, la misma que comprende la extracción física y lógica del contenido del dispositivo; la tercera fase es la de análisis y exploración, la cual a través de técnicas y herramientas especializadas se pretende identificar las acciones y/o actividades realizadas por un agente (virus, usuario, etc.); la cuarta fase se realiza una presentación formal, clara y concisa de los hallazgos encontrados en el dispositivo, generando un informe técnico y ejecutivo. 3.2 Consideraciones Al iniciar un análisis forense se debe considerar lo siguiente: La guía debe ser utilizada como una fuente de ayuda para la ejecución de una investigación forense, por lo que se entenderá que no se debe utilizar como una medida o un mandato para la aplicación de la ley, ni como asesoramiento jurídico. Conocer las características del dispositivo a analizar, como también la estructura, arquitectura o composición del sistema de ficheros de Android, es de vital importancia ya que permite conocer la organización de los mismos. Debido a que la organización de los ficheros y carpetas del dispositivo depende del fabricante del mismo, como también la implementación que este realice en el sistema operativo; 60

83 pero finalmente todos comparten una estructura estándar sobre las particiones de la memoria interna (boot, system, recovery, data, cache y misc) y las particiones que pertenecen a la tarjeta externa (sdcard, sd-ext). Las medidas adoptadas y/o acciones realizadas por los investigadores para asegurar, preservar, identificar y reunir las pruebas necesarias, no debe afectar a la integridad de la evidencia, es decir, que cualquier actividad que se realice para la recolección, búsqueda y extracción de información no deberá alterar o manipular la evidencia. Identificar los posibles problemas relacionados con los estatutos o leyes vigentes en el país, ya que permitirá establecer las debidas acciones y/o precauciones y el cumplimiento de las mismas, dentro de la ejecución del examen forense. Considerar que no todos los pasos y/o herramientas recomendadas en esta guía pueden ser tomadas como una prueba válida dentro de un procedimiento legal. Contar con las herramientas y/o materiales necesarios antes de realizar el examen (Hardware y Software). El equipo de investigación deberá estar entrenado y capacitado, como también tener la capacidad de explicar las acciones tomadas en el examen forense. Se debe mantener un protocolo de registros (formularios estandarizados) para la referente anotación de los hallazgos u observaciones encontradas en el examen forense; y/o documentación de todos los pasos realizados en cada una de las fases. Se pueden hacer uso de los modelos de plantillas recomendados en la guía metodológica. 3.3 Diseño de la guía metodológica Adquisición Resultados Evaluación del caso Documentación Identificación/ Preservación Backup Copia bit a bit Proceso de extracción física y lógica del dispositivo Recuperación de archivos e información Análisis y Exploración Presentación de resultados Generación de informe técnico y ejecutivo Figura 13: Fases de la guía metodológica 61

84 En la Figura 13 se observa las 4 fases en la que está compuesta la guía metodológica, la misma que en la Figura 14 se sintetiza de forma gráfica el proceso llevado a cabo en cada una de las fases. Figura 14: Proceso general guía metodológica El proceso y/o actividades a seguir en cada una de las fases se detallan a continuación: Fase de identificación y preservación El principal objetivo de esta fase es la de identificar el incidente, es decir, se conoce los antecedentes, la situación actual y el proceso que se pretende seguir, para dar inicio a la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), como también la preservación, búsqueda y recopilación de la evidencia de los dispositivos móviles involucrados en su estado original y el entorno legal. Actividad 1: Identificar el problema 1) En primera instancia se deberá notificar mediante una Solicitud de examen forense o Autorización legal, el incidente donde esté involucrado uno o varios dispositivos móviles. La solicitud de examen forense, es un documento formal, notariado, que permite garantizar el correspondiente respaldo legal, para realizar el examen forense, 62

85 en este documento se debe hacer constar quién solicita el examen forense (institución o personas), el fundamento legal (sustento jurídico en el cual se solicita o reclama un derecho), el problema (motivo o razón por la que se solicita el examen forense donde se debe hacer constar los antecedentes del mismo, el tiempo, el lugar, dispositivos, etc.) y finalmente las firmas de aprobación del examen forense. 2) Actuar apegado a las leyes existentes, dando inicio a la investigación sin comprometerse con cuestiones legales. Riesgo: El investigador forense debe atenerse a una demanda legal de acuerdo a los estatutos del Código Orgánico Integral Penal, entre las sanciones que pueden ser aplicables están: el Artículo Ataque a la integridad de sistemas informáticos o el Artículo Acceso no consentido a un sistema informático, telemático o de telecomunicaciones, entre otros. Actividad 2: Evaluación y planificación del caso de estudio 1) Revisar la solicitud del caso de estudio, ya que permitirá verificar lo que el examen forense puede o no descubrir, determinando que es lo que se busca (e.g. fotografías, llamadas, s, etc.). 2) Planear y diseñar estrategias concretas basadas en la guía metodológica, identificando los materiales y/o herramientas a utilizar (e.g. guantes de látex, cámara fotográfica, etiquetas, documentos para establecer notas, hardware, software, etc.), como también organizar e identificar el personal o equipo de trabajo a ser involucrado en la investigación. Riesgos: No cumplir con el objeto de la pericia, realizando trabajo en vano. Actividad 3: Identificar el personal o equipo de investigación 1) Registrar los responsables de la investigación, quién (es) recolectan la evidencia, quien (es) van a transportar la evidencia hacia el laboratorio forense; manteniendo un registro de las personas que se encuentran en la escena o lugar del hecho y de las actividades realizadas por los mismos. 2) Se debe asignar un rol de acuerdo a la función que vaya a desempeñar en la investigación. Es importante que el personal esté debidamente entrenado y capacitado. Los roles y funciones que se pueden identificar se muestran a continuación: 63

86 Tabla 8: Roles y funciones equipo de trabajo ROL FUNCIÓN Plantea y diseña estrategias concretas basadas en la guía metodológica, es el responsable de identificar y recolectar la evidencia. Investigadores/Peritos Además se asegura de que las actividades y/o procesos diseñados en la guía metodológica sean llevados a cabo correctamente. Encargados de proteger la evidencia, se aseguran que la evidencia esté Custodios etiquetada y sellada adecuadamente, como también se encarga de transportar la evidencia hacia el laboratorio Personal especializado en adquirir, recuperar y analizar los datos Examinadores/Analistas digitales Riesgo: Accesos no autorizados, es decir, que ninguna persona externa al equipo de investigación, pueda manipular la cadena de custodia. Actividad 4: Identificar el escenario o entorno en el que se desarrollará la investigación. En esta actividad se determina el estado en el que se encuentra la evidencia y el espacio o lugar en el que sucede el hecho, asegurando la correcta recolección de la evidencia y/o cadena de custodia. Si el peritaje se realiza en un escenario donde se ha cometido un delito y se encuentra involucrado uno o varios dispositivos móviles deberá: 1) Restringir el acceso al lugar de los hechos a personas no autorizadas 2) Observar y buscar los elementos de interés como: los dispositivos móviles, los periféricos o componentes asociados, cables, adaptadores de alimentación, accesorios, manuales de usuario, etc. 3) Anotar la ubicación y el estado en el que se encuentran los dispositivos. 4) Fotografiar toda la escena para crear un registro visual y/o realizar un croquis de la ubicación de cada uno de los objetos de evidencia (Captar detalles de interés). 5) Tomar los objetos con guantes de látex, para no alterar o desaparecer las huellas dactilares, ya que pueden o no ser requeridas en el examen forense, preservando la evidencia. 6) Evaluar si se debe llevar a cabo la toma de huellas dactilares, ADN, etc., que pueden ser aplicables para establecer el vínculo entre un dispositivo y su propietario. En el caso de requerirse dicho examen, deberá contar con el personal especializado en la materia. 64

87 Si el escenario en el que se realiza el peritaje inicia con el consentimiento del propietario, deberá realizar lo siguiente: 1) Solicitar la mayor cantidad de información de los usuarios de los dispositivos móviles para determinar el número de teléfono, códigos, pins y patrones. 2) Solicitar los elementos de interés como: los dispositivos móviles, los periféricos o componentes asociados, cables, adaptadores de alimentación, accesorios, manuales de usuario, etc. 3) Anotar el estado en el que se encuentran los dispositivos. 4) Fotografiar todos los elementos para crear un registro visual de la evidencia. 5) Tomar los objetos con guantes de látex, para no alterar o desaparecer las huellas dactilares, ya que pueden o no ser requeridas en el examen forense, preservando la evidencia. 6) Evaluar si se debe llevar a cabo la toma de huellas dactilares, ADN, etc., que pueden ser aplicables para establecer el vínculo entre un dispositivo y su propietario. En el caso de requerirse dicho examen, deberá contar con el personal especializado en la materia. Riesgos: Contaminación de la evidencia. Alterar o desaparecer las huellas dactilares a ser requeridas. Actividad 5: Aislar el dispositivo de la red móvil 1) Verificar si el dispositivo se encuentra encendido, si se encuentra encendido deberá realizar lo siguiente: Fotografiar y documentar lo que aparece en la pantalla. Comprobar que el nivel de batería del dispositivo se encuentre con un nivel no menor al 50%, por lo que el dispositivo debe mantenerse encendido, para su respectivo análisis. Asegúrese que el dispositivo se encuentre aislado o desconectado de la red móvil y de otros dispositivos utilizados para la sincronización de datos. A través de las siguientes técnicas: apagar el dispositivo, retirar la batería, si es posible colocar el dispositivo en modo avión, para mantener la integridad de los datos y la evidencia, desactivar Wi- Fi, Bluetooth, etc. 2) En caso de que el dispositivo se encuentre apagado, no encienda el dispositivo, para evitar el inicio de cualquier programa de autoprotección (antivirus, etc.). 65

88 Riesgos: Manipulación y alteración de los datos del dispositivo como llamadas y mensajes de texto mediante la comunicación con la red móvil o de quién realiza la incautación del mismo. Transmisión de datos por medio de la red Wi- Fi, Bluetooth, etc., donde se puede bloquear el dispositivo y eliminar archivos. Actividad 6: Etiquetar, empaquetar y sellar todos los elementos o dispositivos electrónicos, para su respectiva protección y transportación 1) Documentar correctamente la etiqueta de las evidencias con su respectivo identificador, descripción, fecha y hora de incautación, responsables, etc., para de esta manera mantener un registro de cómo se almaceno y protegió la evidencia. 2) En lo posible deberá sellar cada puerto o entrada de información. 3) Las etiquetas deben estar unidos a cada paquete en el momento de la incautación. 4) Colocar la evidencia en bolsas (se puede hacer uso de papel aluminio) y/o contenedores antiestáticos que aíslen las radiofrecuencias y en recipientes de un tamaño adecuado. Riesgos: Pérdida de la evidencia Inconformidad o alteración en la documentación. Actividad 7: Documentar todos los pasos y/o actividades realizadas en el proceso de incautación. 1) Mantener un registro histórico de las actividades realizadas en el proceso de incautación. 2) Mantener un registro de las personas que se encontraban en la escena o lugar de incautación. 3) Mantener un registro del estado y ubicación de los dispositivos móviles Riesgos: No captar detalles de interés, que puedan ser de relevancia en la investigación. No existencia de un registro de los pasos tomados en el momento de la incautación. 66

89 No se tomaron las medidas necesarias para la preservación de la evidencia. Inconformidad o alteración en la documentación. Existencia de una exclusión probatoria Actividad 8: Finalmente transportar la evidencia hacia el laboratorio, para el respectivo proceso de adquisición, análisis y exploración de la evidencia. 1) Sellar los paquetes adjuntando la documentación generada, los mismos que no deben volver abrirse fuera del laboratorio. 2) Evitar las altas temperaturas, humedad, golpes, electricidad estáticas y fuentes magnéticas. Riesgos: Daños y pérdida de la evidencia. Existencia de una exclusión probatoria A continuación se diseñan 3 modelos de plantillas, donde se detalla los puntos principales de la fase de identificación y preservación, además se plantea un diagrama de flujo que muestra la interacción entre las actividades a realizar. 67

90 Diagrama de Flujo Figura 15: Diagrama de flujo fase de identificación y preservación 68

91 Modelo de solicitud de examen forense MODELO DE SOLICITUD DE EXAMEN FORENSE Fecha de solicitud: / / / DÍA / MES / AÑO A: [Nombre y/o institución destinatario] Por este medio se solicita la realización del examen forense digital, a... de propiedad de Problema: <<Motivo o razón por la que se solicita el examen forense>> Solicita determinar:.... Como parte de la realización del examen forense se autoriza: SI ( ) NO ( ) Otorgar acceso root al dispositivo SI ( ) NO ( ) Extracción de información confidencial Y una vez informado sobre los procedimientos que se llevarán a cabo, y de la importancia de los mismos para la investigación, se otorga de manera libre el consentimiento y autorización legal del presente. Por lo que se hace constar que el presente documento ha sido leído y entendido por mí en su integridad de manera libre y espontánea. Firma Nombres y Apellidos: Cédula de identidad: La persona o institución auditora se compromete a cumplir con los artículos establecidos, de acuerdo al marco legal o regulatorio del país, cuyos estatutos establezcan que dicha persona o institución realice alguna alteración en la información encontrada y analizada en los dispositivos móviles que determinen la resolución del caso de estudio. 69

92 Modelo de plantilla fase de identificación y preservación MODELO DE PLANTILLA FASE DE IDENTIFICACIÓN Y PRESERVACIÓN 1. Código: <<Identificador único, que permite llevar un control sobre la documentación generada>> 2. Fecha y hora de incautación: <<Fecha y hora en la que se tomó posesión de la evidencia>> 3. Lugar y ubicación de incautación: <<Lugar en la que se tomó posesión de la evidencia>> 4. Evaluación del caso a. Código caso de estudio: <<Identificador único, referencial al caso de estudio>> b. Descripción caso de estudio: <<Motivo o razón legal por la que se solicita el examen forense>> c. Propietario (s): <<Nombre u organización propietaria del dispositivo>> d. Objetivo caso de estudio: <<Breve descripción del trabajo a realizar, de acuerdo al análisis del caso de estudio>> e. Equipo de trabajo (Responsables de la investigación) # Nombres completos Rol/Función Cédula de identidad <<id>> <<Nombres y apellidos del <<Rol y función a cumplir en <<Número de la cédula de responsable de la la investigación>> identidad del responsable investigación>> de la investigación>> 5. Procedimiento a. Observaciones <<Descripción del lugar en el que se ha incautado la evidencia, etc. >> b. Materiales <<Breve descripción de los materiales a ser utilizados; por ejemplo:>> Material Si No Computador para análisis Cámara fotográfica Bolsas antiestáticas Sobres de manila Cajas de cartón Cinta de embalaje Guantes de látex para la manipulación del dispositivo Etiquetas adhesivas Documentos para establecer notas 70

93 Adaptador de puertos USB Cables para la comunicación de datos Cable para energizar los dispositivos Lectora de tarjeta SIM Lectora de tarjeta externa (SD card, micro SD) Software suministrado por el fabricante del dispositivo móvil Equipo para aislar las comunicaciones (Jaula de Faraday, Papel aluminio, etc.) Software forense (Oxygen Forensic, Autopsy, MOBILedit, BitPim, etc.) Otros c. Procedimiento <<Descripción del proceso y/o actividad, llevada a cabo durante el proceso de identificación y preservación de la evidencia>> 6. Descripción evidencia <<En este apartado se da una breve descripción del dispositivo incautado como marca, modelo, periféricos asociados, tipo, etc. >> EVIDENCIA Componentes o Cód. Etiqueta <<Identificador único de la evidencia incautada>> Cant. Dispositivo Estado Descripción periféricos asociados Manuales ( ) <<Tipo de Cargador ( ) <<Descripción de dispositivo, por Encendido ( ) Batería ( ) las principales # ejemplo: Tablet Apagado ( ) Tarjeta externa ( ) características del y/o Bloqueado ( ) SIM CARD ( ) dispositivo>> Smartphone>> Cables ( ) Otros ( ) Notas: Adjuntar registro visual (fotografías, croquis de ubicación de cada uno de los objetos de evidencia, etc.) 7. Registro visual Descripción <<Descripción de la imagen presentada>> Fotografía <<Imagen a presentar>> 8. Aprobación Firma [Nombres y Apellidos] [Rol/Cargo] Firma [Nombres y Apellidos] [Rol/Cargo] 71

94 Modelo de etiqueta, identificación dispositivos MODELO DE ETIQUETA EVIDENCIA Tabla 9: Modelo de etiqueta evidencia Código: <<Identificar etiqueta>> Fecha y hora de incautación: <<Detalle de la fecha y hora en que fue incautado el dispositivo>> Responsable de incautación <<Nombres y apellidos del responsable de realizar la recolección (Investigador/Perito): e incautación del dispositivo>> Responsable de trasportar <<Nombres y apellidos del responsable de transportar la evidencia (Custodio): al laboratorio>> Descripción: <<Breve descripción del estado o características del dispositivo>> Fase de adquisición Esta fase comprende la extracción física (Datos de la unidad física, sin tener en cuenta el sistema de archivos) y lógica (Identifica y recupera los archivos y los datos basados en el sistema operativo) del dispositivo, por lo que continuamente se procede a realizar un backup y/o copia bit a bit de la memoria (contenidos) del dispositivo. Actividad 1: Recibir la evidencia en el laboratorio 1) Contar con un laboratorio debidamente equipado en cuanto a software y hardware. 2) Registrar la fecha y hora en que se recibe la evidencia. 3) Registrar el nombre del responsable (Custodio) quien entrega la evidencia. 4) Verificar el estado y la condición de la evidencia. 5) Revisar la documentación generada en la fase anterior y anotar cualquier inconformidad o alteración en el mismo. Riesgos: Manipulación y alteración de la evidencia. Pérdida de la evidencia Inconformidad o alteración en la documentación. Actividad 2: Identificar el dispositivo y los periféricos o componentes asociados 1) Aislar cualquier tipo de red inalámbrica o equipo que pueda alterar la evidencia, se puede contar con inhibidores de señal. 72

95 2) Tomar la evidencia con guantes de látex e identificar el dispositivo, marca, modelo, operadora, sistema operativo, etc., como también los periféricos o componentes asociados, cables, adaptadores de alimentación, accesorios, manuales de usuario, etc. 3) Verificar si el dispositivo se encuentra encendido. Nuevamente realizaremos los siguientes pasos, detallados en la fase de identificación y preservación: Proceder a fotografiar y documentar lo que aparece en pantalla. Comprobar que el nivel de batería del dispositivo se encuentre con un nivel no menor al 50%, en caso de no contar con un nivel de batería mayor al 50% proceda a conectar a la corriente, asegurándose que el dispositivo se mantenga encendido durante el examen. 4) En caso de que el dispositivo se encuentre apagado, no encienda el dispositivo, para evitar el inicio de cualquier programa de autoprotección (antivirus, etc.). Riesgos: Manipulación y alteración de los datos del dispositivo como llamadas y mensajes de texto mediante la comunicación con la red móvil o de quién realiza la incautación del mismo. Transmisión de datos por medio de la red Wi- Fi, Bluetooth, etc., donde se puede bloquear el dispositivo y eliminar archivos. Actividad 3: Recolección de la evidencia no volátil (Tarjeta externa, SIM CARD, Micro SD, entre otros) 1) Identificar la evidencia no volátil 2) Volcar la memoria no volátil, es decir, obtener una copia exacta de los datos de los mismos, por lo que se puede realizar lo siguiente: Colocar la tarjeta externa o SIM Card en los adaptadores correspondientes. Seleccionar una herramienta o software y adquirir la copia o backup de los datos. Calcular el hash (Firmar con los algoritmos sha1 y md5), el hash es una contraseña o firma digital que nos permite mantener la integridad de los archivos generados, para posteriormente verificar la modificación o alteración de los mismos. Riesgos: Pérdida de la evidencia Manipulación y alteración de los datos del dispositivo 73

96 Actividad 4: Obtener un backup o copia de seguridad de los datos del dispositivo 1) Encienda el dispositivo 2) Conecte el dispositivo al computador por USB 3) Proceda a instalar los drivers del dispositivo en el equipo o computador a ser utilizado en el examen forense, este proceso se puede realizar haciendo uso del software propio del dispositivo u otras herramientas. 4) Continuamente deberá verificar si el dispositivo se encuentra bloqueado. Existen cuatro tipos de bloqueo de pantalla del dispositivo en Android. A) Ninguno Modo básico, donde se realiza el gesto de desplazamiento. B) PIN Se ingresa un código numérico de al menos 4 dígitos. C) Contraseña Se ingresa un código alfanumérico de al menos 4 caracteres. D) Patrón Se dibuja un patrón sobre los puntos marcados, dicho patrón debe contener al menos 4 puntos. En caso de que el dispositivo se encuentre bloqueado, proceda a evadir el bloqueo, por lo que cuenta con varias opciones, entre ellas tenemos: o Fotografiar la pantalla y verificar las marcas físicas sobre la pantalla. Técnica detallada en (Aviv, Gibson, Mossop, Blaze, & Smith, 2010) o Hacer uso de las diferentes técnicas de evasión de bloqueo, que algunos expertos nos proporcionan como (Daniel Medianero, 2013) y (Siles, 2013), entre ellas tenemos: Instalación de una app (aplicación para dispositivos Android), especializada en la evasión de bloqueo. Vía ADB (Android Debug Bridge con el SDK de Android), etc. 5) Seguidamente obtenga o adquiera un backup o copia de seguridad de los datos del dispositivo realizando lo siguiente: Conectar el dispositivo al equipo y vía ADB (Android Debug Bridge con el SDK de Android) digite en la consola de comandos: o adb devices o adb s [identificador_dispositivo] backup f [ruta_destino/ (nombre_archivobackup).ab] all. Para obtener un backup mediante adb cuentas con varias opciones para personalizar el mismo adb backup [-f <file>] [-apk noapk] [-obb -noobb] [-shared -noshared] [-all] [-system nosystem] [<packages...>] (digite adb help para verificar que realiza cada opción) donde. [-f <file>]: Se usa para personalizar el archivo en el que se guardaran los datos del dispositivo, por ejemplo respaldo.ab 74

97 [-apk -noapk]: Se utiliza para incluir una copia de seguridad de los datos de las.apk o aplicaciones. [-obb -noobb]: Copia de seguridad de cualquier expansión apk instalado. [-shared -noshared]: Copia de seguridad del contenido de la SD card. Por defecto está noshared [-all]: Copia de seguridad de todas las aplicaciones instaladas. [-system nosystem]: Copia de seguridad de las aplicaciones del sistema. [<packages...>]: Copia de seguridad de una aplicación o paquete específico. O puede seleccionar una herramienta o software que permita obtener un backup o copia de seguridad de los datos. Riesgos: Manipulación y alteración de los datos del dispositivo. No mantener la integridad de los datos. Actividad 5: Obtener una copia bit a bit Inmediatamente se obtiene o adquiere una copia bit a bit de la memoria (copia exacta de la memoria, que incluyen los espacios que ocupan los archivos, áreas borradas, espacio no asignado, etc.). Se puede realizar lo siguiente: Habilitar la opción Depuración USB o USB debugging en el dispositivo. Dirigirse a Ajustes Opciones de desarrollador Depuración de USB, sino se cuenta con la opción de Opciones de desarrollador deberá ir a Ajustes Acerca del dispositivo Pulsar varias veces sobre la opción Número de compilación, hasta que nos aparezca un mensaje donde se anuncia que ya es desarrollador. Dar acceso root (acceso como súper usuario o administrador) al dispositivo (de acuerdo a la marca, modelo y versión del sistema operativo), para acceder al sistema y controlar el mismo. Entre las opciones tenemos hacer uso de las diferentes apk (aplicaciones android) y/o herramientas o software brindados para rootear el dispositivo. O mediante la instalación de un firmware 11 (ROM 12 personalizado). 11 Parte del software de un dispositivo grabado en una memoria ROM que se encarga de gestionar la lógica de más bajo nivel, siendo la parte software más cercana al propio hardware del dispositivo. (Acosta, 2011) 12 Del inglés Read Only Memory, es un tipo de memoria que, a diferencia de la RAM Random Access Memory no se elimina al interrumpir la alimentación eléctrica. En Android se utiliza este tipo de memoria para almacenar el sistema operativo, de forma que no interfiera con los datos del usuario. Generalmente verás 75

98 Conocer como está compuesto el sistema de ficheros del dispositivo y cuáles son las particiones con las que cuenta el dispositivo móvil, y de esta manera saber la ruta de la partición o archivo a ser copiado. o De acuerdo (Nobles Pérez & Ruíz García, 2013) Android cuenta con tres carpetas fundamentales del sistema de ficheros, que son consideradas en el examen forense, estas son: a) /system/: Fichero que pertenece al sistema operativo, b) /data/: Fichero que almacena los datos del usuario y aplicaciones, c) /data/app/: Fichero que almacena las aplicaciones /data/data/: Fichero que almacena los datos de las aplicaciones, d) /mnt/sdcard o /sdcard/: Fichero correspondiente a la SD card o memoria externa, el mismo que almacena ficheros, música, etc. o Conecte el dispositivo al equipo mediante y vía ADB (Android Debug Bridge con el SDK de Android), escriba en la consola de comandos lo siguiente: adb devices adb shell mount Verificar la ruta del fichero que contiene la información a analizar. Una vez que se ha conocido la ubicación del fichero o partición a copiar, mediante vía ADB (Android Debug Bridge con el SDK de Android), realice lo siguiente: o Acceder al dispositivo como root o súper usuario, escriba en la consola de comandos: adb devices adb shell su Realize la copia con dd if=[input_data] of=[output_data], por ejemplo dd if=/dev/block/mmcblk0p10 of=/sdcard/data.img bs=4096 input_data: partición o archivo a copiar output_data: partición + nombre de la imagen con extensión.dd o.img (extensión utilizada bajo este comando) bs: tamaño archivo Y finalmente traspase la imagen al computador con adb pull [output_data] [ruta_equipo], por ejemplo adb pull /sdcard/data.img c:/copias/dispositivo O también puede seleccionar una herramienta o software que realice el proceso de extracción y obtención de la copia bit a bit o imagen del dispositivo. utilizado el término ROM como sinónimo de una versión de Android que se instala en este tipo de memoria en un terminal. (Acosta, 2011) 76

99 Finalmente deberá calcular el hash (Firmar con los algoritmos sha1 y md5) de la imagen obtenida, el hash es una contraseña o firma digital que nos permite mantener la integridad de los archivos generados, para posteriormente verificar la modificación o alteración de los mismos. Riesgos: Manipulación y alteración de los datos del dispositivo. No mantener la integridad de los datos. No obtener una copia exacta de todo el espacio de almacenamiento del dispositivo Actividad 6: Almacenar la información adquirida, manteniendo la integridad de la misma. Una vez obtenida la imagen (copia bit a bit) y el backup se deberá almacenar o guardar las mismas en una carpeta o dispositivo específico para el examen. Es importante mencionar que también se puede extraer información básica del sistema, la cual se encuentra accesible sin ser root (e.g. dmesg, dumpsys, logcat, bugreport). Riesgos: Manipulación y alteración de los datos del dispositivo. No mantener la integridad de los datos. Actividad 7: Finalmente documentar todos los pasos realizados y archivar. Mantener un registro histórico de las actividades realizadas en el proceso de adquisición. Riesgos: No se tomaron las medidas necesarias para la preservación de la evidencia. Inconformidad o alteración en la documentación. Existencia de una exclusión probatoria A continuación se diseña un modelo de plantilla donde se describen los puntos principales de la fase de adquisición, además de plantear un diagrama de flujo que muestra la interacción entre las actividades a realizar. 77

100 Diagrama de flujo fase de adquisición Figura 16: Diagrama de flujo fase adquisición 78

101 Modelo de plantilla fase de adquisición MODELO DE PLANTILLA FASE DE ADQUISICIÓN 1. Código: <<Identificador único, que permite llevar un control sobre la documentación generada>> 2. Fecha y hora de recepción: <<Detalle de la fecha y hora en la que se recibe el material en el laboratorio>> 3. Fecha y hora de examen: <<Fecha y hora en la que se inicia el examen>> 4. Evaluación del caso a. Código caso de estudio: <<Identificador único, referencial al caso de estudio>> b. Dispositivo: <<En este apartado se da una breve descripción del dispositivo incautado>> c. Objetivo caso de estudio: <<Breve descripción del trabajo a realizar, de acuerdo al análisis del caso de estudio>> d. Equipo de trabajo (Responsables de la investigación) # Nombres completos Rol/Función Cédula de identidad <<id>> <<Nombres y apellidos del <<Rol y función a cumplir en <<Número de la cédula de responsable de la la investigación>> identidad del responsable investigación>> de la investigación>> 5. Procedimiento a. Observaciones <<Descripción de los problemas encontrados, durante la adquisición de la información del dispositivo, backup o copias bit a bit, desbloqueo, etc. >> b. Herramientas <<Descripción de las herramientas utilizadas para la adquisición de las copias bit a bit, backup, cálculo de hash, etc. >> Herramienta Descripción <<Nombre de la herramienta>> <<Breve descripción de la herramienta utilizada>> c. Procedimiento <<Descripción del proceso y/o actividad, llevada a cabo durante el proceso de adquisición>> 6. Características evidencia <<En este apartado se da una breve descripción de las características físicas (dispositivo como marca, modelo, tipo, estado, cuenta con SIM Card, SD Card, batería removible) y lógicas del dispositivo (versión del sistema operativo, versión de núcleo, número de compilación, etc.)>> 79

102 DISPOSITIVO MÓVIL Cód. etiqueta dispositivo: Tipo de dispositivo móvil: Número de teléfono Propietario Marca Modelo S/N Estado Encendido ( ) Apagado ( ) Características Físicas Pantalla: Procesador: IMEI: FCC ID: IC: Interfaz de conexión (USB, HDMI, etc.): Teléfono bloqueado: SI ( ) NO ( ) Tarjeta externa: SI ( ) NO ( ) SIM CARD: SI ( ) NO ( ) Cámara: SI ( ) NO ( ) Capacidad para capturar imágenes: SI ( ) NO ( ) Capacidad para capturar video: SI ( ) NO ( ) Resolución cámara: Características Lógicas Idioma SO: Sistema Operativo: Versión del SO: Versión de núcleo: Número de compilación: Id dispositivo: Espacio de almacenamiento Interno: Soporta modo de vuelo: SI ( ) NO ( ) Servicios de conexión Bluetooth: SI ( ) NO ( ) Wifi: SI ( ) NO ( ) IrDa (Infrarrojo): SI ( ) NO ( ) SIM Card Operadora: ICC: PIN: PUK: 80

103 Tarjeta externa Tipo: S/N: Espacio de almacenamiento: Espacio disponible: Batería Removible: SI ( ) NO ( ) Nivel de Batería: Fabricante: Capacidad de voltaje: S/N: Cargador Código etiqueta cargador: Marca Modelo No: Input: Output: Frecuencia: S/N: Cable de datos: SI ( ) NO ( ) Código etiqueta cable de datos: 7. Hash (Firma digital) a. Imagen: <<Nombre o identificador de la imagen y/o backup obtenido>> b. Tamaño imagen: <<Tamaño en kg de la imagen>> c. Firma md5: <<Cálculo de hash en md5, salida alfanumérica que asegura la integridad de la información>> d. Firma sha1 o sha2:<<cálculo de hash sha1 o sha2, salida alfanumérica que asegura la integridad de la información>> 8. Firmas responsables Firma [Nombres y Apellidos] [Rol/Cargo] Firma [Nombres y Apellidos] [Rol/Cargo] 81

104 3.3.3 Fase de análisis y exploración Esta fase representa un proceso técnico, analítico donde se comienza con una copia de los datos obtenidos del dispositivo, y mediante el uso de herramientas que permiten encontrar las pruebas y/o hallazgos necesarios en la investigación, se procese a interpretar los datos extraídos para determinar su importancia en el caso, por ejemplo, instalación de apps, recuperación e identificación de cuentas, recuperación de los últimos sitios visitados, descargas, etc. Dependiendo del tipo de caso, la estrategia varía, es decir, que de acuerdo al tipo de caso se comienza la navegación de los archivos. Entre la información o la evidencia potencial que podríamos encontrar esta: fotos, vídeos, correo electrónico, historial de navegación, descargas, agenda telefónica, llamadas, aplicaciones instaladas, desinstaladas, cuentas asociadas, etc. Actividad 1: Definir el alcance Realizar una evaluación del caso de estudio, identificando el objetivo del caso de estudio, para determinar el alcance del análisis a realizar. Entre las preguntas que se pueden generar, están: Cuál es el objetivo de la toma de datos? Qué datos se debe extraer? Qué se debe y puede analizar? Etc. Actividad 2: Extracción de la información a examinar 1) Una vez que se generó la imagen forense de los datos del dispositivo, proceda a identificar el hash o firma digital generada en la imagen, para verificar la integridad de la información. 2) Realizar una copia de la imagen original, para no alterar la evidencia original. 3) Seleccionar la herramienta de extracción de los archivos o ficheros a analizar, procediendo a extraer los datos o archivos específicos relacionados con la solicitud, que contengan la información necesaria, y/o solicitada en el examen forense. Entre las herramientas recomendadas para este proceso tenemos Autopsy, y FTK Imager o herramientas comerciales como Oxygen Forensic, entre otras. 82

105 En algunos casos las herramientas permiten generar informes o un reporte de los resultados o archivos encontrados, el mismo que debe ser analizado y considerado en el informe final. Riesgos: Manipulación y alteración de la evidencia. Pérdida de la evidencia Inconformidad o alteración en la documentación. Existencia de una exclusión probatoria Actividad 3: Análisis y exploración de los datos extraídos 1) Realizar la búsqueda de los archivos que contienen la información solicitada. 2) Recuperar los archivos borrados (Siempre y cuando sea posible). 3) Realizar el análisis de los datos ocultos, archivos y aplicaciones. 4) Crear una línea de tiempo para verificar las actividades realizadas en el dispositivo. Riesgos: No captar detalles de interés, que puedan ser de relevancia en la investigación. Actividad 4: Documentar los pasos realizados en esta fase y archivar. 1) Identificar y documentar los hallazgos y/o resultados encontrados. 2) Mantener un registro histórico de las actividades realizadas en el proceso de análisis. Riesgos: No captar detalles de interés, que puedan ser de relevancia en la investigación. No existencia de un registro de los pasos tomados en el momento de la incautación. No se tomaron las medidas necesarias para la preservación de la evidencia. Existencia de una exclusión probatoria A continuación se diseñan un modelo de plantilla donde se define los puntos principales de la fase de análisis y exploración, además de plantear un diagrama de flujo que muestra la interacción entre las actividades a realizar. 83

106 Diagrama de flujo: Figura 17: Diagrama de flujo fase de análisis y exploración 84

107 Modelo de plantilla fase de análisis y exploración MODELO DE PLANTILLA FASE DE ANÁLISIS Y EXPLORACIÓN 1. Código: <<Identificador único, que permite llevar un control sobre la documentación generada>> 2. Fecha y hora de examen: <<Fecha y hora en la que se inicia el examen>> 3. Evaluación del caso a. Código caso de estudio: <<Identificador único, referencial al caso de estudio>> b. Dispositivo: <<En este apartado se da una breve descripción del dispositivo incautado>> c. Objetivo caso de estudio: <<Breve descripción del trabajo a realizar, de acuerdo al análisis del caso de estudio>> d. Equipo de trabajo (Responsables de la investigación) # Nombres completos Rol/Función Cédula de identidad <<id>> <<Nombres y apellidos del <<Rol y función a cumplir <<Número de la cédula de responsable de la investigación>> en la investigación>> identidad del responsable de la investigación>> 4. Procedimiento a. Alcance <<Descripción de la información o data a analizar en el dispositivo, sistema de ficheros, carpetas, etc. >> b. Herramientas <<Descripción de las herramientas utilizadas para el análisis y exploración de las copias bit a bit, backup, cálculo de hash, etc. >> Herramienta Descripción <<Nombre de la herramienta>> <<Breve descripción de la herramienta utilizada>> c. Archivos <<Breve descripción de la información o data a analizar en el dispositivo, nombre, ruta y/o firma de los archivos>> a. Hash Imagen: <<Nombre o identificador de la imagen y/o backup obtenido>> Tamaño imagen: <<Tamaño en kg de la imagen>> Firma md5: <<Calculo de hash en md5, salida alfanumérica que asegura la integridad de la información>> Firma sha1 o sha2:<<calculo de hash sha1 o sha2, salida alfanumérica que asegura la 85

108 integridad de la información>> d. Procedimiento <<Descripción del proceso y/o actividad, llevada a cabo durante el proceso de análisis y exploración>> 5. Resultados <<Descripción de los hallazgos encontrados, de acuerdo, al caso de estudio, e.g. daños y/o modificaciones que se han producido>> 6. Firmas responsables Firma [Nombres y Apellidos] [Rol/Cargo] Firma [Nombres y Apellidos] [Rol/Cargo] Fase de resultados En esta fase se realiza una presentación formal, clara y concisa de las evidencias descubiertas, demostrando con hechos y documentación los procedimientos tomados. Para la presentación se elabora dos tipos de informes, descritos a continuación: Informe técnico Consiste en describir las actividades y/o procesos ejecutados en el dispositivo móvil, técnicas, herramientas, etc., como también los hallazgos y/o resultados encontrados en el análisis del mismo. El informe depende de mantener un registro cuidadoso de todas las acciones y observaciones, encontradas en la información o archivos analizados, explicando las inferencias extraídas. Se basa en la sólida documentación, registro visual (fotografías) y el contenido generado por las herramientas utilizadas. El documento puede contener los siguientes puntos: 1) Antecedentes Caso de estudio Alcance y propósito del examen 86

109 Equipo de trabajo: Personal involucrado durante el examen 2) Entorno del análisis Fases y/o actividades realizadas en el examen. Las herramientas y software utilizados. Fotografías o registro visual de las actividades ejecutadas 3) Análisis de la evidencia: Descripción detallada del dispositivo móvil examinado. 4) Resultados o Hallazgos conseguidos: Información encontrada, dirección del fichero, etc. 5) Conclusiones 6) Referencias 7) Anexar la solicitud de examen forense y/o documentos generados durante el examen. Informe ejecutivo Este informe consiste en una síntesis del análisis efectuado, verificando y validando los incidentes o daños cometidos, de manera no técnica, con lenguaje común, es decir, se recopila toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación sin hacer uso de tecnicismos. El documento puede contener los siguientes puntos: 1) Antecedentes Caso de estudio Objetivo 2) Descripción 3) Recomendaciones A continuación se diseñan los modelos de plantillas de los informes, los cuales se adaptan a los puntos principales de la fase de resultados. 87

110 Modelo de plantilla fase de resultados INFORME TÉCNICO 1. Introducción <<Breve descripción sobre el propósito y la finalidad del documento>> 2. Antecedentes <<Contextualización en la que se desarrolla el examen forense, problema>> a. Caso de estudio <<Descripción del caso de prueba a investigar>> b. Objetivo <<Propósito a alcanzar en el examen forense, determinando que se quiere investigar o demostrar>> c. Alcance <<Ámbito del examen, se especifica claramente lo que se debe buscar y analizar en el examen>> d. Equipo de trabajo <<Personal involucrado en la investigación, donde se incluye nombres y apellidos, identificación, rol y función a desempeñar>> 3. Entorno del análisis <<Descripción del entorno o ambiente de trabajo>> a. Herramientas << Descripción de las herramientas o softwares utilizados>> b. Procedimiento <<Descripción de las actividades realizadas en el examen forense, de acuerdo a las fases establecidas en la guía metodológica>> c. Observaciones <<Breve descripción de las actividades o sucesos encontrados>> 4. Análisis de la evidencia <<Descripción de las características del dispositivo, archivos analizados, etc. >> 5. Resultados <<Descripción de los hallazgos o resultados obtenidos en el análisis>> 6. Conclusiones <<Descripción de los puntos más sobresalientes, encontrados en el análisis>> 7. Referencias <<Listado de citas bibliográficas utilizadas en la elaboración del informe>> 8. Anexos <<Documentos generados, fotografías, etc. >> 88

111 INFORME EJECUTIVO 1. Introducción <<Breve descripción sobre el propósito y la finalidad del documento>> 2. Antecedentes <<Contextualización en la que se desarrolla el examen forense, problema>> a. Caso de estudio <<Descripción del caso de prueba a investigar>> b. Objetivo <<Propósito a alcanzar en el examen forense, determinando que se quiere investigar o demostrar>> 3. Descripción <<Detalle sobre lo sucedido en el dispositivo móvil; hechos y/o actividades realizadas en el mismo>> 4. Recomendaciones <<Sugerencias o niveles de riesgo efectuados en el análisis, acciones que se deben realizar ante el incidente>> 89

112 CAPÍTULO IV IMPLEMENTACIÓN

113 4.1 Implementación de la guía metodológica En esta fase se procederá con la implementación y ejecución de la guía metodológica de análisis forense detallada en el capítulo anterior; además de poner a prueba el software desarrollado para dicha investigación. Para la aplicabilidad y validación de la guía, se ha procedido a realizar las pruebas en dos de los dispositivos móviles, brindados para la ejecución del examen forense. Información que con apoyo de las plantillas sugeridas en la guía metodológica, detalladas en el Anexo 1 y Anexo 2, a continuación se describe la fase de resultados Fase de resultados smartphone INFORME TÉCNICO 1. Introducción El presente documento se elabora con el fin de presentar un informe técnico pericial sobre los datos generados por el usuario en el dispositivo móvil. Dicho informe contiene el entorno en el que se desarrolla el análisis forense. Además de mencionar que el objetivo de las pruebas a realizar determinara el correcto proceso a seguir en el análisis de la evidencia, que la guía metodológica propone. 2. Antecedentes El entorno en el que se efectúa es sobre un caso de pruebas, en el cual se desarrollan el examen imprescindible basándose en la necesidad de saber a profundidad la información que se ha almacenado en el sistema de ficheros del dispositivo móvil (Smartphone), información que pueda comprometer la seguridad e integridad del usuario. Se cuenta con un dispositivo móvil (smartphone) con sistema operativo Android, versión que será el objeto de pruebas. a. Caso de estudio El caso de prueba se detalla a continuación: 91

114 En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega los tiempos de respuesta de los ejecutivos han variado y quiere determinar cuáles son las actividades en que están ocupando la mayor parte de su tiempo en los dispositivos móviles y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense o peritaje informático al dispositivo móvil brindado en la empresa. b. Objetivo del caso de estudio Determinar las: Actividades, como historial de navegación y descargas realizadas Aplicaciones instaladas y desinstaladas. c. Alcance Analizar: Historial de navegación Descargas Aplicaciones instaladas Aplicaciones desinstaladas Aplicaciones no satisfactorias d. Equipo de trabajo (Responsables de la investigación) Tabla 10. Equipo de trabajo- Pruebas smartphone Identificación Nombres y apellidos Rol Jessica Cuenca Danilo Jaramillo Investigadores/Peritos Jessica Cuenca Custodios Jessica Cuenca Examinadores/Analistas 3. Entorno de análisis a. Metodología La metodología a utilizar para la ejecución de las pruebas es la guía metodológica de análisis forense, que el proyecto de tesis plantea. 92

115 b. Descripción de las herramientas En el Tabla adjunto se detalla las herramientas utilizadas en el peritaje. Tabla 11: Descripción herramientas Herramienta Descripción SDK de Android Nos brinda el acceso al dispositivo, mediante vía ADB Oxygen Forensic Herramienta forense de tipo comercial, que permite la extracción de los datos del dispositivo. Md5 summer Me permite calcular el hash de la imagen y verificar el mismo Access Data FTK Imager Visualización del contenido de la copia. Extracción de los archivos de interés SQLite Data Browser Visualización de los datos registrados en cada una de los archivos Microsoft Excel Me permite comparar los datos de las columnas c. Procedimiento Las actividades realizadas en el dispositivo móvil se detallan en el Anexo1. d. Observaciones Al ser un caso de estudio de prueba, se ha dispuesto no dar acceso root al dispositivo móvil y verificar que datos se pueden extraer. Continuando con el proceso forense como primera instancia no se debe llevar a cabo ningún proceso forense externo (e.g Toma de huellas dactilares, etc.). Al momento de la incautación no se dispone de bolsas antiestáticas, sin embargo se ha tomado como medida el uso de papel aluminio y así bloquear la comunicación o sincronización con un medio externo. No se ha otorgado el cable de datos y cargador originales del dispositivo móvil (Smartphone). Puesto que se debe buscar un adaptador y cable de datos compatible. Se denomina al backup con el nombre de smartphone.ab Con la ayuda de la herramienta Oxygen Forensic 2014 se extrae una imagen denominada Samsung Galaxy S IV (GT-i9500) ( ) ofb, la cual cuenta con los siguientes hash: Firma MD5: Firma SHA2: d2251dcf7d68c766e1953c786f9a2f36 cd9988fc0669e0b1aab06e2f3d2fac03f9032e54ebdb73103da1a6f50bd373bb 93

116 4. Análisis de la evidencia a. Información del dispositivo 1) Características Tabla 12: Características smartphone DISPOSITIVO MÓVIL Cód. etiqueta dispositivo: C001-S001 Tipo de dispositivo móvil: Smartphone Propietario Ing. Fernando Cueva Marca Samsung Modelo GT-I9500, Galaxy S4 S/N RV1D70SVPYJ Estado Encendido (x) Apagado ( ) Características Físicas Pantalla: 5 Touchscreen Procesador: 1.6GHz Quad Core + 1.2GHz Quad Core IMEI: FCC ID: A3LGTI9500 IC: SSN: I9500GSMH Interfaz de conexión (USB, HDMI, etc.): USB Teléfono bloqueado: SI ( ) NO (x) Tarjeta externa: SI (x) NO ( ) SIM CARD: SI (x) NO ( ) Cámara: SI (x) Dual Camera Frontal y NO ( ) trasera Capacidad para capturar imágenes: SI (x) NO ( ) Capacidad para capturar video: SI (x) NO ( ) Resolución cámara: 13MP + 2MP frontal Características Lógicas Idioma SO: Español Sistema Operativo: Android Versión del SO: Versión kernel: dpi@swpp5716#1 Versión de banda base: I9500UBUFNA2 Número de compilación: K0T49H.I9500UBUFNB3 Espacio de almacenamiento Interno: 16GB Soporta modo de vuelo: SI (x) NO ( ) Servicios de conexión Bluetooth: SI (x) NO ( ) Wi-Fi: SI (x) NO ( ) IrDa (Infrarrojo): SI ( ) NO (x) SIM Card 94

117 Operadora: Movistar Número: S/N: k PIN: N/A PUK: N/A Tarjeta externa Tipo: MicroSDHC 4, Kingston S/N: Sdc4/8gb 065 Espacio de almacenamiento: 8GB Espacio disponible: 769MB Batería Removible: SI (x) NO ( ) Nivel de Batería: 100% Fabricante: Samsung Capacidad de voltaje: 3.8V -9,88 Wh 2600 mah S/N: YS1D7135S/2-B Cargador Código etiqueta cargador: N/A Marca N/A Modelo No: N/A Input: N/A Output: N/A Frecuencia: N/A S/N: N/A Cable de datos: SI ( ) NO (x) Código etiqueta cable de datos: N/A 2) Sistema de ficheros El fichero a evaluar es /data/ el mismo que almacena los datos del usuario y aplicaciones, donde la ubicación de los archivos de interés se encuentra en las siguientes direcciones: Tabla 13: Archivos de interés del sistema de ficheros del smartphone Objetivo Ruta Archivo Historial de navegación /data/data/com.android.browser/databases/ browser2.db Descargas /data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db Aplicaciones data/data/com.android.vending/databases/ data/data/com.google.android.googlequicksearchbox/databases/ data/system/ localappstate.db icingcorpora.db dmappmgr.db packages.xml 95

118 5. Resultados Se adquirió de la imagen (copia bit a bit) los siguientes ficheros, los cuales contienes los datos de las aplicaciones, el historial de navegación y las descargas realizadas por el usuario. Sin embargo ciertos archivos no se encontraron en las rutas anteriormente indicadas por lo que se procedió a verificar otros archivos que contienen la información solicitada, detallada a continuación: Tabla 14: Archivos smartphone Objetivo Ruta Archivo Historial de navegación /data/data/com.sec.android.app.sbrowser/databases SBrowser.db Descargas /data/data/com.sec.android.providers.downloads/databases/ downloads.db Aplicaciones data/data/com.android.vending/databases/ localappstate.db data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db Historial de navegación En el archivo SBrowser.db nos encontramos con las siguientes tablas BOOKMARKS, INTERNER_SYNC, REMOTE_DEVICES, REMOTE_DOWNLOAD, SAVEPAGE, SYNC_STATE, TABS, android_metadata, y sqlite_sequence para lo cual se analizara la tabla TABS que contiene las siguientes columnas: _ID, TAB_ID, TAB_INDEX, TAB_URL, TAB_TITLE, TAB_FAV_ICON, TAB_ACTIVATE, IS_DELETED, IS_INCOGNITO, ACCOUNT_NAME, ACCOUNT_TYPE, DATE_CREATED, DATE_MODIFIED, DIRTY, SYNC1, SYNC2 SYNC3, SYNC4, SYNC5, DEVICE_NAME, DEVICE_ID, TAB_USAGE Los datos de interés para el análisis de la tabla TABS son: Tabla 15: Columnas de interés tabla "TABS" - smartphone Columna Descripción TAB_TITLE Título de la página web consultada TAB_URL URL o dirección web de la página consultada DATE_CREATED Fecha en la que se realiza la consulta Los datos se adjuntan en digital. 96

119 En la siguiente figura se visualiza la cantidad de consultas realizadas en el dispositivo móvil por mes, de acuerdo al año Figura 18: Historial de navegación Entre las url s más visitadas tenemos: Tabla 16: Historial de navegación URL # de visitas >

120 WU4arNoyayAS0loDYAQ&q=reptiles&oq=reptiles&gs_l=mobile-gwsserp.3..41l c.1.45.mobile-gwsserp tXwzLRw0Nwg#facrc=_ YU5H0NMensAStyYCACw&q=rey+felipe&oq=rey+felipe&gs_l=mobile-gws- hp.3..0l j1j c.1.46.mobile-gwshp ZZta2zffzpU#q=posesion+principe+felipe j2j c.1.44.mobile-gws-hp NAcVd_QpVUo 29 YLYDg&q=gafas+fox+modelo+duncan&oq=gafas+fox+modelo+duncan&gs_l= mobile-gws-serp j3j3j3j1j0j c.1.44.mobile-gwsserp RXCV9q9O06A#facrc=_ / Sore/ ?fref=ts&refsrc=https%3A%2F%2Fwww.facebook.co 55 m%2fpages%2fjrm-racing-sore%2f &_rdr

121 utpl.edu.ec/SAO/Login.aspx?ReturnUrl=%2fSAO%2fSAO%2fLogin.aspx y&revid= &sa=x&ei=stocu8jrizg2sasusyd4cw&ved=0cbcq1 QIoAA#facrc=_&imgrc=WSXITBsiZnTtPM%253A%3BOkD1bZh27NS6jM%3B http%253a%252f%252fi1.ytimg.com%252fvi%252fizrwmkzwpcc%252f maxresdefault.jpg%3bhttp%253a%252f%252fwww.youtube.com%252fwatc h%253fv%253dizrwmkzwpcc%3b1920%3b Y7YKIDA&q=23+de+alemania&oq=23+de+alemania&gs_l=mobile-gws- hp c.1.43.mobile-gws- hp p6r9vlb0mxc En la siguiente figura se muestra los links o url s más visitadas, de acuerdo al id asignado a la url y número de visitas Descargas Figura 19: URL's más visitadas en el año 2014 En el archivo downloads.db se encuentran cuatro tablas android_metadata, downloads, request_headers y sqlite_sequence, para lo cual se analizara la tabla downloads que contiene las siguientes columnas: 99

122 _id, uri, method, entity, no_integrity, hint, otaupdate, _data, mimetype, destination, no_system, visibility, control, status, numfailed, lastmod, notificationpackage, notificationclass, notificationextras, cookiedata, useragent, referer, total_bytes, current_bytes, etag, uid, otheruid, title, description, scanned, is_public_api, allow_roaming, allowed_network_types, is_visible_in_downloads_ui, bypass_recommended_size_limit, mediaprovider_uri, deleted, errormsg, allow_metered, downloadmethod, state, dd_primarymimetype, dd_secondarymimetype1, dd_secondarymimetype2, dd_filename, dd_vendor, dd_description, dd_contentsize, dd_objurl, dd_notifyurl, dd_majorversion, allow_write Los datos de interés para el análisis de la tabla downloads son: Tabla 17: Columnas de interés tabla downloads- smartphone Columna Descripción uri Link de descarga lastmod Fecha y hora de descarga _data Ruta en la que se guardó la descarga useragent Datos como navegador, Versión del sistema operativo, idioma del sistema operativo, número de modelo del dispositivo. title Nombre de la descarga Entre las descargas realizadas tenemos: Descargando Español (España) videoplayback-1.3gpp americo.jpg FUTSALA_MASCULINO_INT ERTITULACIONES.docx 05/10/ /06/ /06/ /06/ /06/2014 Wiggle - Jason Derulo Lyrics.mp3 resize.jpeg Figura 20: Descargas realizadas Aplicaciones Se realiza la comparación para verificar las aplicaciones instaladas, desinstaladas y descargas de aplicaciones no satisfactorias. 100

123 Para verificar el dato de las aplicaciones no satisfactorias se toma como referencia la columna first_download del archivo localappstate.db, el valor 0. En el mismo archivo se encuentran todas las aplicaciones que han sido descargadas e instaladas en el dispositivo, el mismo que no define las aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml contiene el mismo número de aplicaciones instaladas que el archivo icingcorpora.db. En el archivo localappstate.db encontramos dos tablas, la primera con el nombre de android_metadata, la cual no cuenta con ningún dato, mientras que la tabla appstate contiene las siguientes columnas: package_name, auto_update, desired_version, download_uri, delivery_data, delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account, title, flags, continue_url, last_notified_version, last_update_timestamp_ms, account_for_update, auto_acquire_tags, external_referrer_timestamp_ms Siendo la tabla appstate la de interés la cual se estructura de la siguiente manera: Tabla 18: Columnas de interés tabla appstate- smartphone Columna Descripción package_name Nombre del paquete o la ruta creada por la aplicación Hace referencia a la auto descarga de actualizaciones de la auto_update aplicación, la cual 1 representa Descargar automáticamente las actualizaciones y 2 representa no realizar descargar automáticas delivery_data_timestamp_ms Representa la fecha y hora de entrega de los datos first_download_ms Representa la fecha y hora en la que se solicita la descarga account Cuenta de usuario utilizada en la descarga title Título o nombre de la aplicación Mientras que en el archivo icingcorpora.db, se registran todas las aplicaciones que se encuentran instaladas y en ejecución en el dispositivo. El mismo en el que encontramos catorce tablas, por lo que la tabla de interés es applications la cual contiene los siguientes datos: _id, display_name, icon_uri, package_name, class_name, score, uri, created_timestamp_ms Los datos de interés para el análisis de la tabla applications son: Tabla 19: Columnas de interés tabla applications - smartphone 101

124 Columna display_name package_name created_timestamp_ms Descripción Nombre de la aplicación Nombre del paquete o la ruta creada por la aplicación Fecha y hora de creación de la aplicación Al mismo tiempo se realiza una comparación entre los datos de los archivos localappstate.db e icingcorpora.db, prevaleciendo los datos del archivo icingcorpora.db, ya que aquí se encuentra el listado de las aplicaciones en ejecución del dispositivo. Encontrando los siguientes resultados: Aplicaciones instaladas Tabla 20: Aplicaciones instaladas Nombre aplicación Nombre paquete Fecha y hora de instalación/actualización Dumb Ways air.au.com.metro.dumbwaystodie :08:17 Calendario com.android.calendar :15:09 Chrome com.android.chrome :15:10 Contactos com.android.contacts :15:08 Teléfono com.android.contacts :15:08 Correo electrónico com.android :15:08 Mensajes com.android.mms :15:09 Descargas com.android.providers.downloads.ui :15:09 Ajustes com.android.settings :15:09 Play Store com.android.vending :15:10 Motorbike Lite com.bakno.motorbikelite :21:28 Flow Free com.bigduckgames.flow :07:28 Misdeberes.es com.brainly.es :48:37 MOBILedit! Connector com.compelson.meconnector :53:23 Linterna com.devuni.flashlight :32:48 Flappy Bird com.dotgears.flappybird :18:50 Dropbox com.dropbox.android :15:10 PvZ 2 com.ea.game.pvz2_row :19:46 HolaMundo com.example.holamundo :42:59 Facebook com.facebook.katana :04:11 Messenger com.facebook.orca :21:18 Hill Climb Racing com.fingersoft.hillclimb :58:07 Iron Man 3 com.gameloft.android.anmp.gloftimhm :32:40 Little Big City com.gameloft.android.latam.gloftlcef :00:25 Littlest Pet Shop com.gameloft.android.latam.gloftpsho :35:00 102

125 Shark Dash com.gameloft.android.latam.gloftsdtb :00:26 Wonder Zoo com.gameloft.android.latam.gloftzoom :00:28 UNO com.gameloft.android.latam.x :00:27 Pool Live Tour com.geewa.pltmobile :52:27 Drive com.google.android.apps.docs :03:55 Maps com.google.android.apps.maps :15:11 Fotos com.google.android.apps.plus :15:11 Google+ com.google.android.apps.plus :15:11 Traductor com.google.android.apps.translate :33:01 Gmail com.google.android.gm :15:08 Ajustes de Google com.google.android.gms :15:10 Play Games com.google.android.play.games :00:00 Hangouts com.google.android.talk :15:11 Play Movies com.google.android.videos :35:04 YouTube com.google.android.youtube :15:08 Earth com.google.earth :00:00 Jetpack Joyride com.halfbrick.jetpackjoyride :06:58 Copa del Mundo com.hslsoftware.copamundo :02:40 Instagram com.instagram.android :12:20 Jalvasco Copa del Mundo com.jalvasco.football.worldcup :00: InstaSize com.jsdev.instasize :53:19 RealSteelWRB com.jumpgames.rswrb :52:09 Subway Surf com.kiloo.subwaysurf :22:48 Candy Crush Saga com.king.candycrushsaga :22:55 Photo Studio com.kvadgroup.photostudio :46:17 Mundial TV com.mundial2014.tv :10:37 OLX com.olx.olx :46:58 PaniniCollectors com.panini.collectors :19:03 Moto Free com.progimax.moto.free :57:53 Stun Gun Free com.progimax.stungun.free :53:42 Story Album com.samsung.android.app.episodes :15:10 Vídeo com.samsung.everglades.video :15:10 Group Play com.samsung.groupcast :15:10 Ayuda com.samsung.helphub :38:00 365Scores com.scores :26:05 Cámara com.sec.android.app.camera :15:09 Reloj com.sec.android.app.clockpackage :15:10 Música com.sec.android.app.music :15:08 Mis Archivos com.sec.android.app.myfiles :15:10 Optical reader com.sec.android.app.ocr :15:08 Calculadora com.sec.android.app.popupcalculator :15:08 103

126 Samsung Apps com.sec.android.app.samsungapps :15:09 Internet com.sec.android.app.sbrowser :15:08 S Health com.sec.android.app.shealth :15:09 S Translator com.sec.android.app.translator :15:10 Editor de vídeo com.sec.android.app.ve :11:52 Grabadora de voz com.sec.android.app.voicerecorder :15:08 Galería com.sec.android.gallery3d :15:08 S Memo com.sec.android.widgetapp.diotek.smemo :15:09 ChatON com.sec.chaton :15:09 Samsung Hub com.sec.everglades :15:08 KNOX com.sec.knox.app.container :00:00 Samsung Link com.sec.pcw :15:08 Sonic Dash com.sega.sonicdash :52:59 Skype com.skype.raider :08:13 Face Swap Lite com.swap.face.lite :42:19 TripAdvisor com.tripadvisor.tripadvisor :15:10 Twitter com.twitter.android :06:25 Beach Buggy Blitz com.vectorunit.yellow :27:37 S Voice com.vlingo.midas :15:11 Waze com.waze :55:41 WhatsApp com.whatsapp :02:39 Flickr com.yahoo.mobile.client.android.flickr :27:49 Dragon City Trucos dragon.city.trucos :09:33 DragonCity es.socialpoint.dragoncity :17:18 Flipboard flipboard.app :15:08 El Juego del Mundial io.cran.mundial :43:08 LINE jp.naver.line.android :05:34 Bear Race net.mobilecraft.bearrace :18:15 Basketball Kings net.mobilecraft.basketballkings :39:30 WatchON tv.peel.samsung.app :15:09 Aplicaciones desinstaladas Tabla 21: Aplicaciones desinstaladas Nombre aplicación Paquete Fecha y hora de instalación New Super Mario Bros 2 Cheats com.a e35f49a.a a 06/10/ :14 Galaxy S4 Tema Carbon com.androidaddy.livewallpaper.galaxy.s4.carbon 17/02/ :52 BBM com.bbm 15/11/2013 0:20 Carrera Cartoon com.blokwise.carreracartoon 21/11/ :48 Blurb Checkout com.blurb.checkout 07/03/ :13 104

127 Xtreme Wheels com.bravogamestudios.xtremewheels 27/01/2014 0:29 ChatON Voice & Video Chat com.coolots.chaton 24/03/ :09 Beach Moto com.factory99.beachmoto 18/05/ :59 PEPI Skate 3D com.foosegames.pepiskate3d 18/05/ :55 Tower Blocks com.gameclassic.towerblock 25/09/ :51 Blitz Brigade: FPS online! com.gameloft.android.anmp.gloftinhm 25/08/ :24 GT Racing 2: The Real Car Exp com.gameloft.android.anmp.gloftrahm 26/01/2014 9:20 Thor: EMO - El juego oficial com.gameloft.android.anmp.glofttrhm 28/02/ :21 GO Launcher EX (Español) com.gau.go.launcherex 17/02/ :54 GO Switch+ com.gau.go.launcherex.gowidget.newswitchwidget 17/02/ :56 Rosa Tema com.gau.go.launcherex.theme.chabxszen 17/02/ :50 RoboCop com.glu.robocop 02/05/ :09 MOTOCROSS MELTDOWN com.glu.stuntracing 04/03/ :47 Búsqueda de Google com.google.android.googlequicksearchbox 06/05/ :22 Síntesis de voz de Google com.google.android.tts 22/05/ :54 Next honeycomb live wallpaper com.gtp.nextlauncher.liverpaper.honeycomb 28/11/2013 8:51 Next Launcher 3D Lite Version com.gtp.nextlauncher.trial 23/10/2013 7:00 Complemento de servicio com.hp.android.printservice 17/03/ :19 POLARIS Office Viewer 5 com.infraware.polarisviewer5 17/09/ :24 Fast & Furious 6: El Juego com.kabam.ff6android 09/01/ :30 Super Thrill Rush com.ldes.speeddrift 27/01/2014 0:31 LiveProfile com.liveprofile.android 25/09/ :47 Beaming Service para Beep'nGo com.mobeam.barcodeservice 26/04/ :28 CSR Racing com.naturalmotion.csrracing 17/09/ :45 Turbo Racing League com.pikpok.turbo 13/08/ :16 Pioneer Connect com.pioneer.carrozzeriaconnect 12/03/ :24 Share music for Group Play com.sec.android.app.mediasync 12/01/ :38 AllShareCast Dongle S/W Update com.sec.android.fwupgrade 07/05/2014 7:25 Samsung Print Service Plugin com.sec.app.samsungprintservice 02/04/2014 1:46 Samsung push service com.sec.spp.push 24/04/ :08 Capture Screen com.tools.screenshot 13/11/ :54 Trial Xtreme 3 com.x3m.tx3 19/01/ :51 Video Downloader - vídeo DL info.techtechapps.vid.android 29/04/ :36 LINE camera jp.naver.linecamera.android 19/12/ :39 Pioneer ControlApp jp.pioneer.avsoft.android.controlapp 12/03/ :26 Screen Capture Shortcut Free jp.tomorrowkey.android.screencaptureshortcutfree 13/11/ :53 ADW Tema Samoled saf.adw.theme.samoled 17/02/ :52 Aplicaciones no satisfactorias Tabla 22: Aplicaciones no satisfactorias 105

128 Nombre aplicación FIFA 14, de EA SPORTS Paquete com.dsi.ant.plugins.ant plus com.dsi.ant.service.soc ket com.ea.game.fifa14_ro w com.google.android.ma rvin.talkback Actualización automática Fecha y hora solicitud descarga Fecha y hora de descarga completa Cuenta utilizada ferrnando194 6@gmail.com Conclusiones De acuerdo a lo solicitado se puede determinar que el dispositivo móvil además de ser utilizado como una herramienta de uso laboral, la mayor parte de aplicaciones instaladas corresponden a la categoría juegos Los registros en el historial de navegación se concentran en la búsqueda de información del juego denominado dragon city y de música en general. La información descargada no corresponde a información vital que comprometa a la empresa donde labora el Ing. Fernando Cueva Se puede identificar las siguientes cuentas asociadas al dispositivo ferrnando1946@gmail.com y fer10cuenca@gmail.com Como se puede observar el mayor número de instalaciones se dio el 24/04/ Referencias No es aplicable 8. Anexos Véase el Anexo 1 Desarrollo de fases smartphone donde se encuentran lo siguiente: a. Plantilla fase de identificación y preservación b. Plantilla fase de adquisición c. Plantilla fase de análisis y exploración 106

129 INFORME EJECUTIVO 1. Introducción El presente documento se elabora con el fin de presentar un informe pericial sobre la información solicitada en el caso de estudio C Antecedentes El entorno en el que se efectúa es sobre un caso de pruebas, en el cual se desarrollan el examen imprescindible basándose en la necesidad de saber a profundidad la información que se ha almacenado en el sistema de ficheros del dispositivo móvil (Smartphone), información que pueda comprometer la seguridad e integridad del usuario. Se cuenta con un dispositivo móvil (smartphone) con sistema operativo Android, versión que será el objeto de pruebas. a. Caso de estudio El caso de prueba se detalla a continuación: En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega los tiempos de respuesta de los ejecutivos han variado y quiere determinar cuáles son las actividades en que están ocupando la mayor parte de su tiempo en los dispositivos móviles y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense o peritaje informático al dispositivo móvil brindado en la empresa b. Objetivo del caso de estudio Determinar las: Actividades, como historial de navegación y descargas realizadas Aplicaciones instaladas y desinstaladas. 107

130 c. Alcance Analizar: Historial de navegación Descargas Aplicaciones instaladas Aplicaciones desinstaladas Aplicaciones no satisfactorias 3. Descripción En mi calidad de investigadora expongo que el análisis realizado al dispositivo móvil fue explícitamente para conocer las actividades realizadas en el mismo por parte del personal de la empresa XYZ, en la que se da a conocer el tipo de aplicaciones que los usuarios les es de interés, y a su vez se determina las descargas e historial de navegación realizadas. Durante el desarrollo de la investigación no se procedió a dar acceso root puesto que se determinará los archivos a los que se tiene acceso. Entre los resultados encontrados tenemos: El número de aplicaciones instaladas en el dispositivo móvil es de 96 apps, 42 aplicaciones desinstaladas y de 4 aplicaciones no satisfactorias. Véase la Tabla 23. Tabla 23: Resultado aplicaciones Descripción Número Aplicaciones instaladas 96 Aplicaciones desinstaladas 42 Aplicaciones no satisfactorias 4 A continuación se detalla el número de aplicaciones instaladas por fecha. Tabla 24: Aplicaciones instaladas por fecha Fecha # de aplicaciones 01/08/ /12/ /04/ /08/ /08/

131 25/08/ /09/ /09/ /10/ /11/ /11/ /01/ /01/ /01/ /01/ /02/ /02/ /02/ /02/ /03/ /03/ /04/ /04/ /04/ /04/ /04/ /05/ /05/ /05/ /05/ /05/ /05/ /06/ /06/ /06/ /06/ /06/ /06/ /06/ /06/ /06/ /06/

132 Figura 21: Número de aplicaciones instaladas y en ejecución por fecha De acuerdo a los datos analizados el 24/04/2013 se instalaron 38 aplicaciones, sin embargo no se encontró información válida sobre las fechas en que se desinstalaron las 42 aplicaciones, pero si su fecha de instalación. Entre las descargas realizadas podemos observar que en el mes de junio se realizaron 5 descargas, información que corresponde a archivos de tipo imágenes, archivos de audio y un documento. Descargando Español (España) videoplayback-1.3gpp americo.jpg FUTSALA_MASCULINO_INT ERTITULACIONES.docx 05/10/ /06/ /06/ /06/ /06/2014 Wiggle - Jason Derulo Lyrics.mp3 resize.jpeg Figura 22: Descargas realizadas En la siguiente figura se visualiza la cantidad de consultas realizadas en el dispositivo móvil por mes, de acuerdo al año 2014; observando así que en el mes de junio se realizaron 1811 consultas. 110

133 Figura 23: Historial de navegación Entre las URL s más visitadas tenemos: # de visitas > Tabla 25: Historial de navegación ID URL html

134 ayas0lodyaq&q=reptiles&oq=reptiles&gs_l=mobile-gwsserp.3..41l c.1.45.mobile-gwsserp txwzlrw0nwg#facrc=_ YU5H0NMensAStyYCACw&q=rey+felipe&oq=rey+felipe&gs_l=mobile-gwshp.3..0l j1j c.1.46.mobile-gwshp ZZta2zffzpU#q=posesion+principe+felipe afas+fox+modelo+duncan&oq=gafas+fox+modelo+duncan&gs_l=mobile-gws- serp j3j3j3j1j0j c.1.44.mobile-gws-serp RXCV9q9O06A#facrc=_ Sore/ ?fref=ts&refsrc=https%3A%2F%2Fwww.facebook.com%2Fpages 55 %2FJRM-Racing-Sore%2F &_rdr

135 &sa=X&ei=StOcU8jRIZG2sASUsYD4Cw&ved=0CBcQ1QIoAA#facrc=_&imgrc= WSXITBsiZnTtPM%253A%3BOkD1bZh27NS6jM%3Bhttp%253A%252F%252Fi1.ytimg.c om%252fvi%252fizrwmkzwpcc%252fmaxresdefault.jpg%3bhttp%253a%252f%252 Fwww.youtube.com%252Fwatch%253Fv%253DiZrWMKzWPCc%3B1920%3B =23+de+alemania&oq=23+de+alemania&gs_l=mobile-gws- 45 hp c.1.43.mobile-gws- hp p6r9vlb0mxc 54 En la siguiente figura se muestra los links o url s más visitadas, de acuerdo al id asignado a la url y número de visitas. Figura 24: URL's más visitadas en el año 2014 Se observa que YouTube, Facebook, mercado libre, dragon city y google son las páginas más visitadas por el usuario. 4. Recomendaciones Es muy importante que la empresa fomente una cultura de seguridad, ya que los usuarios deben conocer que los dispositivos móviles además de ser una herramienta laboral, la información que se almacena en los mismos son un factor importante tanto para la empresa como a nivel personal. Por lo tanto los dispositivos móviles pueden ser utilizados como medios de fraude o extorsión. El dispositivo móvil de la empresa corresponde únicamente a actividades relacionadas a la empresa, sin embargo si las actividades no interfieren con el 113

136 desarrollo laboral el mismo puede ser utilizado con otro fin, como lo es el de entretenimiento. Al no contar con acceso root el análisis de los archivos es limitado. Queda a disposición de quien solicita sancionar dichas actividades de acuerdo a las políticas de la empresa Fase de resultados Tablet INFORME TÉCNICO 1. Introducción El presente documento se elabora con el fin de presentar un informe técnico pericial sobre los datos generados por el usuario en el dispositivo móvil. Dicho informe contiene el entorno en el que se desarrolla el análisis forense. Además de mencionar que el objetivo de las pruebas a realizar determinara el correcto proceso a seguir en el análisis de la evidencia, que la guía metodológica propone. 2. Antecedentes El entorno en el que se efectúa es sobre un caso de pruebas, en el cual se desarrollan el examen imprescindible basándose en la necesidad de saber a profundidad la información que se ha almacenado en el sistema de ficheros del dispositivo móvil (Tablet), información que pueda comprometer la seguridad e integridad del usuario. Se cuenta con un dispositivo móvil (Tablet) con sistema operativo Android, versión que será el objeto de pruebas. a. Caso de estudio El caso de prueba se detalla a continuación: En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega los tiempos de respuesta de los ejecutivos han variado y quiere determinar cuáles son las actividades en que están ocupando la mayor parte de su tiempo en los dispositivos móviles y verificar si están fuera del contexto empresarial. 114

137 Para dicho fin se solicita realizar un análisis forense o peritaje informático al dispositivo móvil brindado en la empresa b. Objetivo del caso de estudio Determinar las: Actividades, como historial de navegación y descargas realizadas Aplicaciones instaladas y desinstaladas. c. Alcance Analizar: Historial de navegación Descargas Aplicaciones instaladas Aplicaciones desinstaladas Aplicaciones no satisfactorias d. Equipo de trabajo (Responsables de la investigación) Tabla 26: Equipo de trabajo - Tablet Identificación Nombres y apellidos Rol Jessica Cuenca Danilo Jaramillo Investigadores/Peritos Jessica Cuenca Custodios Jessica Cuenca Examinadores/Analistas 3. Entorno de análisis a. Metodología La metodología a utilizar para la ejecución de las pruebas es la guía metodológica de análisis forense, que el proyecto de tesis plantea. b. Descripción de las herramientas En el Tabla adjunta se detalla las herramientas utilizadas en el peritaje. Tabla 27: Descripción herramientas utilizadas Tablet Herramienta Descripción 115

138 SDK de Android Odin3 v3.07 Firmware oficial Oxygen Forensic Md5 summer Access Data FTK Imager SQLite Data Browser Microsoft Excel Nos brinda el acceso al dispositivo, mediante vía ADB Software de flasheo (de ROM) para dispositivos móviles Samsung, que permite la instalación de un nuevo Recovery y realizar modificaciones sobre el kernel para obtener acceso root Firmware oficial denominado CF-Auto-Root-espresso10wifiespresso10wifibby-gtp5113.tar.md5 - Galaxy Tab GTP5113. Permite el flasheo del Boot Loader o reescribir el sector de arranque incluyendo el Recovery oficial de Samsung. Herramienta forense de tipo comercial, que permite la extracción de los datos del dispositivo. Me permite calcular el hash de la imagen y verificar el mismo Visualización del contenido de la copia. Extracción de los archivos de interés Visualización de los datos registrados en cada una de los archivos Me permite comparar los datos de las columnas c. Procedimiento Las actividades realizadas en el dispositivo móvil se detallan en el Anexo2. d. Observaciones Al ser un caso de estudio de prueba, se ha dispuesto otorgar acceso root al dispositivo móvil y verificar que datos se pueden extraer. Continuando con el proceso forense como primera instancia no se debe llevar a cabo ningún proceso forense externo (e.g Toma de huellas dactilares, etc.). Al momento de la incautación no se dispone de bolsas antiestáticas, sin embargo se ha tomado como medida el uso de papel aluminio y así bloquear la comunicación o sincronización con un medio externo. Se denomina al backup con el nombre de tablet.ab La imagen obtenida mediante adb se denomina data.img con los siguientes hash: Firma MD5 data.img : Firma SHA1 data.img : 5166e741a8235d53ca666eaddbd2b74a d23efb7bc225665b82f5bb6816eabbb3d6 Con la ayuda de la herramienta Oxygen Forensic 2014 se extrae una imagen denominada Samsung Galaxy Tab 2 10.mmcblk0. 116

139 4. Análisis de la evidencia a. Información del dispositivo 1) Características Tabla 28: Características tablet DISPOSITIVO MÓVIL Cód. etiqueta dispositivo: C001-T001 Tipo de dispositivo móvil: Tablet Número de teléfono N/A Propietario Ing. Juanito Pérez Marca Samsung Modelo GT-P5113, Galaxy Tab S/N R32C600XS1M Estado Encendido (x) Apagado ( ) Características Físicas Pantalla: 10 Touch Screen Procesador: Omap IMEI: FCC ID: A3LGTP5113 IC: N/A Interfaz de conexión (USB, HDMI, etc.): USB Teléfono bloqueado: SI ( ) NO (x) Tarjeta externa: SI ( ) NO (x) SIM CARD: SI ( ) NO (x) Cámara: SI (x) Dual Camera Frontal y NO ( ) trasera Capacidad para capturar SI (x) NO ( ) imágenes: Capacidad para capturar SI (x) NO ( ) video: Resolución cámara: 32 MP Características Lógicas Idioma SO: Español Sistema Operativo: Android Versión del SO: Versión de núcleo: Linux version (se.infra@r ) (gcc version (Sourcery G++ Lite 2010q1-202) ) #1 SMP PREEMPT Tue Nov 19 18:37:42 KST 2013 Número de compilación: espresso10wifibby-user JDQ39 P5113UEUCMK3 release-keys 117

140 Id dispositivo: c b5f Espacio de almacenamiento Interno: 16GB Soporta modo de vuelo: SI (x) NO ( ) Servicios de conexión Bluetooth: SI (x) NO ( ) Wi-Fi: SI (x) NO ( ) IrDa (Infrarrojo): SI ( ) NO (x) SIM Card Operadora: N/A ICC: N/A PIN: N/A PUK: N/A Tarjeta externa Tipo: N/A S/N: N/A Espacio de almacenamiento: N/A Espacio disponible: N/A Batería Removible: SI ( ) NO (x) Nivel de Batería: 100% Fabricante: Samsung Capacidad de voltaje: 5V -2 A S/N: N/A Cargador Código etiqueta cargador: C001-T002 Marca Samsung Modelo No: ETA-P11X Input: V Output: 5V -2 A Frecuencia: 50/60Hz 0.35 A S/N: Cable de datos: SI (x) NO ( ) Código etiqueta cable de datos: C001-T003 2) Sistema de ficheros El fichero a evaluar es /data/ el mismo que almacena los datos del usuario y aplicaciones, donde la ubicación de los archivos de interés se encuentra en las siguientes direcciones: Tabla 29: Archivos de interés del sistema de ficheros de la Tablet Objetivo Ruta Archivo 118

141 Historial de navegación /data/data/com.android.browser/databases/ browser2.db Descargas /data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db data/data/com.android.vending/databases/ localappstate.db data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db Aplicaciones dmappmgr.db data/system/ packages.xml 5. Resultados El estudio y análisis del fichero que se realiza a la carpeta /data/ extraída de la ruta /dev/block/platform/omap/omap_hsmmc.1/by-name/datafs, la cual contiene los datos del usuario y de las aplicaciones, se encuentra la siguiente estructura: Figura 25: Contenido imagen Tabla 30: Descripción contenido Directorio Descripción root Contiene todos los archivos extraídos Anr Contiene el archivo traces.txt.bugreport App Contienes las aplicaciones en formato.apk App-asec Vació App-lib Contiene las librerías generados por las apps App-private Vació Backup Vació clipboard Vació Dalvick-cache Contienes los clases.dex de las apps Data Contiene la información del usuario y de las aplicaciones 119

142 Dontpanic Drm Gps Local log Lost+found Media Misc Monitor Property Resourcecache sc Smc Ssh System Tombstones User Espacio no asignado Vació Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido interno vació Contiene lto2.dat y ltostatus.txt Contiene el fichero tmp (boomsh, busybox, crashlog, output, sh, zergrush) Contiene los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz, lock, poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt, power_off_reset_reason_backup.txt, PreloadInstaller.txt, recovery_kernel_log.txt, recovery_last_kernel_log.txt, recovery_log.txt y Status.dat Vació Ficheros 0 (ficheros accesibles para el usuario), legacy, obb Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio, sms, systemkeys, vpn, wifi Vació Ficheros de configuración Vació Vació Ficheros counter.bin, storage.bin y system.bin Vació Vació Vació Fichero perteneciente al usuario Contiene dos archivos denominados y Mientras que en la imagen generada por Oxygen Forensic, denominado Samsung Galaxy Tab 2.10.mmcblk0 Encontramos lo siguiente en la carpeta DATAFS: 120

143 Figura 26: Contenido de imagen obtenida con Oxygen Forensic Figura 27: Contenido de imagen obtenida con Oxygen Forensic Tabla 31: Descripción contenido de imagen obtenida con Oxygen Forensic Directorio Descripción DATAFS Contenedor de los ficheros root Contiene todos los archivos extraídos 121

144 Anr Contiene el archivo traces.txt.bugreport App Contienes las aplicaciones en formato.apk App-asec Vació App-lib Contiene las librerías generados por las apps App-private Vació Contiene los backup generados por com.android.internal.backup.localtransport, Backup com.android.server.enterprise.edmbackuptransport, com.google.android.backup.backuptransportservice y pending clipboard Contiene los archivos _351_350, knox Dalvick-cache Contienes los clases.dex de las apps Data Contiene la información del usuario y de las aplicaciones Dontpanic Vació Drm Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido interno vació Gps Contiene lto2.dat y ltostatus.txt Local Contiene el fichero tmp (boomsh, busybox, crashlog, output, sh, zergrush) Contiene los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz, lock, log poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt, power_off_reset_reason_backup.txt, PreloadInstaller.txt, recovery_kernel_log.txt, recovery_last_kernel_log.txt, recovery_log.txt y Status.dat Lost+found Vació Media Ficheros 0 (ficheros accesibles para el usuario), legacy, obb Misc Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio, sms, systemkeys, vpn, wifi Monitor Contiene el archive netstats el mismo que se encuentra vació Property Ficheros de configuración Resource-cache Vació sc Vació Smc Ficheros counter.bin, storage.bin y system.bin Ssh Contiene el archivo empty, el mismo que se encuentra vació Contiene los archivos creados en el sistema.cmanager, analytics, cache, System container, databases, dropbox, enterprise, gps, hdcp2, inputmethod, netstats, registered_services, shared_prefs, sync, throttle, usagestats y users Contiene los ficheros tombstone_00, tombstone_01, tombstone_02, Tombstones tombstone_03, tombstone_04, tombstone_05, tombstone_06, tombstone_07, tombstone_08 y tombstone_09 User Fichero perteneciente al usuario Espacio no asignado Contiene dos archivos denominados y Seguidamente se extrae los archivos databases de las rutas anteriormente mencionadas, las cuales contienen los mismos datos, de las imágenes generadas anteriormente. 122

145 Se visualizó el contenido de los archivos con el lector de sql (SQLiteBrowser) Se ha extraído de la imagen los siguientes ficheros, los cuales contienes los datos de las aplicaciones, el historial de navegación y las descargas realizadas por el usuario. Sin embargo ciertos archivos no se encontraron en las rutas anteriormente indicadas por lo que se procedió a verificar otros archivos que contienen la información solicitada, detallada a continuación: Tabla 32: Ruta archivos- Tablet Objetivo Ruta Archivo Historial de navegación /data/data/com.sec.android.app.sbrowser/databases SBrowser.db Descargas /data/data/com.sec.android.providers.downloads/databases/ downloads.db Aplicaciones data/data/com.android.vending/databases/ localappstate.db data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db Historial de navegación El archivo browser2.db nos encontramos con las siguientes tablas _sync_state, _sync_state_metadata, android_metadata, bookmarks, history, images, opbookmarks, sbookmarkwidget, searches, settings, sqlite_sequence y thumbnails para lo cual se analizara la tabla history que contiene las siguientes columnas: _id, title, url, created, date, visits, user_entered Los datos de interés para el análisis de la tabla history son: Tabla 33: Columnas de interés de la tabla history- Tablet Columna Descripción title Título de la página web consultada url URL o dirección web de la página consultada date Fecha en la que se realiza la consulta visits Número de visitas realizadas a la página web Los datos se adjuntan en digital. Mientras que los resultados de acuerdo al número de visitas por fecha de los sitios visitados (Véase Tabla 34 y Figura 28), se muestra a continuación: Tabla 34: Historial de navegación - Tablet 123

146 ID title url date visits 1 Web Authentication Redirect :13: PÃ gina web no disponible :19: Web Authentication Redirect institucionales/relaciones-nacionales 04:19: YouTube - Broadcast edir_esc=&hl=es&source=android-browsersuggest&v= &qsubts= Yourself. - Buscar con 05:32:44 Google 459&q=YouTube%20-1 %20Broadcast%20Yourself. 5 YouTube - Broadcast Yourself - YouTube 8 05:33: FINAL CAMPEONATO EUROPA 2007 VOLEIBOL RUSIA 2-3 ESPAÃ A (Parte 2J8 05:39:23 6 3) - YouTube 7 PÃ gina web no disponible :29: Web Authentication Redirect g 9 Web Authentication t=m.youtube.com/watch?v=ahx7la7zpr Web Authentication t= /generate_204 h/login.html?switch_url= 11 Web Authentication du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&redirect= /generate_204 Universidad Tecnica 12 Particular de Loja - U T P L Ecuador 13 Web Authentication Redirect h/login.html?switch_url= 14 PÃ gina web no disponible du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&redirect=m.youtube. com/watch?v=ahx7la7zpr :29: :56: :30: :30: :09: :56: :56:36 15 Web Authentication

147 16 Web Authentication 17 PÃ gina web no disponible 18 PÃ gina web no disponible 19 Google archivo de android que 20 contiene las actividades del dispositivo - Buscar con Google 21 tpl/index.php 22 Universidad TÃ cnica Particular de Loja Curso: PROYECTO DE FIN 23 DE CARRERA PLATINIUM II GP4.2 [A] 24 utpl/index.php 25 Google 26 cyanomod - Buscar con Google 27 cyanomodgen - Buscar con Google CyanogenMod Android 28 Community Operating System 29 CyanogenMod Downloads 30 CyanogenMod Downloads 31 Rescue Root One Click Root Android Software t= /generate_204 06:56: t= 06:56:37 h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53:20 06:56:37 &wlan=personal_utpl&redirect= /generate_204 h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53:20 06:56:37 &wlan=personal_utpl&redirect= du.ec/ HU-3_EYTA8Qaiw4CYBA 05:10: :11: :12: :12: :13: :17: CQU-quL9Dn9Aah14GgCA 10:20: :21: CQU-quL9Dn9Aah14GgCA#q=cyanomod 10:21: :21: l 19:57: l/app 10:24: :57:

148 32 Download Rescue Root! Confirms Root Support for Free :59: Encuestas para facebook en.herokuapp.com/encuesta/premiosgamela b2014?mobile=1&ref=web_canvas&from=ad :33:56 1 min_wall#_=_ 34 Encuestas para facebook melab2014/forms/ /thankyou :57: root samsung galaxy tab gt-p5113 android Buscar con Google =&hl=es-es&safe=images&oe=utf- 8&q=rootear%20samsjng&source=androidbrowser :58:27 1 type&qsubts= &devloc=0 36 Update Samsung Galaxy Tab (GT-P5113) WiFi to Android galaxy-tab gt-p5113-wifi-to-android-4-2-2/ :15:47 24 How to Root Galaxy Tab GT-P5113 Running Android JB Stock Firmware NasirTech #1 Samsung Firmware galaxy-tab p5113-running-android- 422-jb-stock-firmware.html :00:39 1 Destination Galaxy Tab (P5100/P5110/P5113): Instalar Android con :22:30 17 Root 39 CF-Root Download Root/CF-Auto-Root/CF-Auto-Rootespresso10wifi-espresso10wifibby :23:08 4 gtp5113.zip 40 Web Authentication t= :19: h/login.html?switch_url= 41 Web Authentication du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&redirect= :19:06 1 du.ec/vinculacion/relacionesinstitucionales/relaciones-nacionales 42 Web Authentication h/login.html?switch_url= :57:

149 du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&statuscode=5&redir ect= Figura 28: Número de visitas por fecha Descargas En el archivo sisodownloads.db se encuentran tres tablas android_metadata, sisodownloads y sqlite_secuence, para lo cual se analizara la tabla sisodownloads que contiene las siguientes columnas: _id, uri, method, entity, no_integrity, hint, otaupdate, _data, mimetype, destination, no_system, visibility, control, status, numfailed, lastmod, notificationpackage, notificationclass, notificationextras, cookiedata, useragent, referer, total_bytes, current_bytes, etag, uid, otheruid, title, description, downloadmethod, state, storagetype, dd_primarymimetype, dd_secondarymimetype1, dd_secondarymimetype2, dd_filename, dd_vendor, dd_description, dd_contentsize, dd_objurl, dd_notifyurl, dd_majorversion, scanned Los datos de interés para el análisis de la tabla sisodownloads son: Tabla 35: Columnas de interés tabla sisodownloads - Tablet Columna Descripción Uri Link de descarga lastmod Fecha y hora de descarga _data Ruta en la que se guardó la descarga 127

150 useragent title Datos como navegador, Versión del sistema operativo, idioma del sistema operativo, número de modelo del dispositivo. Nombre de la descarga Datos: Tabla 36: Datos de las descargas uri hint lastmod useragent title Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GThttp://dist01.slc.c file:///storage/emul P5113 Build/JDQ39) yngn.com/onecl ated/0/download/ 10:24:21 AppleWebKit/ ick.apk OneClick.apk (KHTML, like Gecko) OneClick.apk Version/4.0 Safari/ Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GTfile:///storage/emul om/downloadlau P5113 Build/JDQ39) ated/0/download/ ncher.ashx?cid= 19:00:08 AppleWebKit/ RescueRoot.exe 1349 (KHTML, like Gecko) RescueRoot.exe Version/4.0 Safari/ Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GTfile:///storage/emul om/downloadlau P5113 Build/JDQ39) ated/0/download/ ncher.ashx?cid= 19:00:13 AppleWebKit/ RescueRoot.exe 1349 (KHTML, like Gecko) RescueRoot-1.exe Version/4.0 Safari/ Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GTfile:///storage/emul om/downloadlau P5113 Build/JDQ39) ated/0/download/ ncher.ashx?cid= 19:00:22 AppleWebKit/ RescueRoot.exe 1349 (KHTML, like Gecko) RescueRoot-2.exe Version/4.0 Safari/ Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GTfile:///storage/emul om/downloadlau P5113 Build/JDQ39) ated/0/download/ ncher.ashx?cid= 19:00:37 AppleWebKit/ RescueRoot.exe 1349 (KHTML, like Gecko) RescueRoot-3.exe Version/4.0 Safari/ om/downloadlau file:///storage/emul ated/0/download/ :00:48 Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GT- RescueRoot-1-1.exe 128

151 ncher.ashx?cid= 1349 RescueRoot.exe P5113 Build/JDQ39) AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/ Como se puede observar en el mes de junio se realizaron 6 descargas, entre ellas la de mayor descarga fue la opción RescueRoot.exe. Tabla 37: Número de descargas title # de descargas OneClick.apk 1 RescueRoot.exe 5 Aplicaciones Figura 29: Número de descargas realizadas por dato Tabla 38: Resultados aplicaciones Descripción Total Aplicaciones instaladas 60 Aplicaciones desinstaladas 8 Aplicaciones no satisfactorias 6 Se realiza la comparación para verificar las aplicaciones instaladas, desinstaladas y descargas de aplicaciones no satisfactorias. Contando con un promedio de 60 aplicaciones intaladas. 129

152 Para verificar el dato de las aplicaciones no satisfactorias se toma como referencia la columna first_download del archivo localappstate.db, el valor 0, el cual representa que la descarga no fue satisfactoria. En el mismo archivo se encuentran todas las aplicaciones que han sido descargadas e instaladas en el dispositivo, el mismo que no define las aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml contiene el mismo número de aplicaciones que el archivo icingcorpora.db. En el archivo localappstate.db encontramos dos tablas, la primera con el nombre de android_metadata, la cual no cuenta con ningún dato, mientras que la tabla appstate contiene las siguientes columnas: package_name, auto_update, desired_version, download_uri, delivery_data, delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account, title, flags, continue_url, last_notified_version, last_update_timestamp_ms, account_for_update, auto_acquire_tags, external_referrer_timestamp_ms La estructura de la tabla appstate es: Tabla 39: Columnas de interés tabla appstate- tablet Columna Descripción package_name Nombre del paquete o la ruta creada por la aplicación auto_update Hace referencia a la auto descarga de actualizaciones de la aplicación, la cual 1 representa Descargar automáticamente las actualizaciones y 2 representa no realizar descargar automáticas delivery_data_timestamp_ms Representa la fecha y hora de entrega de los datos first_download_ms Representa la fecha y hora en la que se solicita la descarga account Cuenta de usuario utilizada en la descarga title Titulo o nombre de la aplicación Mientras que en el archivo icingcorpora.db, se registran todas las aplicaciones que se encuentran instaladas y en ejecución en el dispositivo. El mismo en el que encontramos catorce tablas, por lo que la tabla de interés es applications la cual contiene los siguientes datos: _id, display_name, icon_uri, package_name, class_name, score, uri, created_timestamp_ms Los datos de interés para el análisis de la tabla applications son: Tabla 40: Columnas de interés tabla applications- tablet 130

153 Columna display_name package_name created_timestamp_ms Descripción Nombre de la aplicación Nombre del paquete o la ruta creada por la aplicación Fecha y hora de creación de la aplicación Se realiza una comparación entre los datos de los archivos localappstate.db e icingcorpora.db, prevaleciendo los datos del archivo icingcorpora, ya que aquí encontramos las aplicaciones que se encuentran en ejecución en el dispositivo. Aplicaciones instaladas Tabla 41: Aplicaciones instaladas - tablet display_name package_name Fecha y hora de actualización Cà mara com.sec.android.app.camera 02/04/2014 6:20 Internet com.android.browser 31/01/ :48 Contactos com.android.contacts 31/01/ :48 Correo electrã³nico com.android. 31/01/ :48 Notas com.sec.android.app.memo 31/01/ :49 Calendario com.android.calendar 31/01/ :48 Reproductor de mãºsica com.sec.android.app.music 31/01/ :48 Gmail com.google.android.gm 31/01/ :49 Play Store com.android.vending 31/01/ :47 GalerÃa com.sec.android.gallery3d 22/06/2014 6:33 Ajustes com.android.settings 01/08/2008 7:00 Screensaver kr.co.rightbrain.screensaver.galaxytab2_10_1 29/06/ :26 Play Books com.google.android.apps.books 31/01/ :46 Maps com.google.android.apps.maps 29/06/ :19 Local com.google.android.apps.maps 29/06/ :10 Navigation com.google.android.apps.maps 31/05/ :17 Game Hub com.sec.android.app.gamehub 01/08/2008 7:00 Ayuda com.samsung.helphub 01/08/2008 7:00 Readers Hub com.sec.android.app.readershub 31/01/ :46 Media Hub com.samsung.mediahub 31/01/ :46 Descargas com.android.providers.downloads.ui 31/01/ :46 Paper Artist com.dama.paperartist 31/01/ :46 Next Issue com.nim.discovery 31/01/ :47 Mis archivos com.sec.android.app.myfiles 31/01/ :47 Reproductor de video com.sec.android.app.videoplayer 07/09/2012 2:23 S Suggest com.tgrape.android.radar 01/08/2008 7:00 Netflix com.netflix.mediaclient 31/01/ :46 131

154 Calculadora com.sec.android.app.popupcalculator 01/08/2008 7:00 Reloj mundial com.sec.android.app.worldclock 31/01/ :49 Editor de video com.sec.android.app.ve 31/01/ :49 Music Hub com.samsung.music 02/04/2014 6:47 Editor de fotos com.sec.android.mimage.photoretouching 31/01/ :47 Polaris Office com.infraware.polarisofficestdfortablet 09/06/ :33 Alarma com.android.deskclock 09/06/ :49 Drive com.google.android.apps.docs 01/08/2008 7:00 Play Games com.google.android.play.games 01/08/2008 7:00 Play Music com.google.android.music 02/04/2014 6:20 Google+ com.google.android.apps.plus 01/08/2008 7:00 Fotos com.google.android.apps.plus 01/08/2008 7:00 Ajustes de Google com.google.android.gms 01/08/2008 7:00 Hangouts com.google.android.talk 01/08/2008 7:00 Dropbox com.dropbox.android 31/01/ :47 Amazon Kindle com.amazon.kindle 31/01/ :46 Play Movies com.google.android.videos 31/01/ :49 Samsung Link com.sec.pcw 31/01/ :49 ChatON com.sec.chaton 31/01/ :49 YouTube com.google.android.youtube 31/01/ :48 Play Kiosco com.google.android.apps.magazines 31/01/ :47 Smart Remote com.peel.app 31/01/ :47 Minion Rush com.gameloft.android.anmp.gloftdmhm 31/01/ :49 Samsung Apps com.sec.android.app.samsungapps 31/01/ :49 Root Checker Basic com.joeykrim.rootcheck 01/08/2008 7:00 Titanium Backup com.keramidas.titaniumbackup 31/01/ :48 SuperSU eu.chainfire.supersu 31/01/ :47 Group Play com.samsung.groupcast 01/08/2008 7:00 MOBILedit! Connector com.compelson.meconnector 31/01/ :45 Water? 2 com.disney.wheresmywater2_goo 31/01/ :47 ES File Explorer com.estrongs.android.pop 10/06/ :29 PvZ 2 com.ea.game.pvz2_row 02/04/2014 5:25 Navegador Dolphin mobi.mgeek.tunnybrowser 29/06/ :41 Aplicaciones desinstaladas Tabla 42: Aplicaciones desinstaladas - tablet package_name title Fecha y hora de instalación com.cleanmaster.mguard Clean Master(Optimiza memoria) 29/06/ :53 com.google.android.googlequicksearchbox Búsqueda de Google 29/06/ :47 132

155 com.sec.spp.push Samsung push service 13/05/2014 0:17 com.sec.app.samsungprintservice Samsung Print Service Plugin 29/06/ :29 com.google.android.tts Síntesis de voz de Google 23/06/ :10 com.bancodeguayaquil Banca Virtual Móvil 09/06/ :30 com.noshufou.android.su Superuser 01/07/2014 4:39 com.google.android.marvin.talkback Google Talkback 13/05/2014 1:46 Descargas no satisfactorias Tabla 43: Descargas no satisfactorias - tablet Actuali Fecha y Fecha y hora Nombre zación hora de Paquete de solicitud aplicación autom descarga descarga ática completa Frozen Free Fall com.disney.frozensaga_goo No 31/05/ :07 0 Where's My com.disney.wheresmymicke 31/05/ /05/2014 Si Mickey? Gratis yfree_goo 19:58 19:58 FIFA 14, de EA 12/06/2014 com.ea.game.fifa14_row No SPORTSâ 18:17 0 Real Football com.gameloft.android.anmp 11/06/2014 No 2013.GloftR3HM 9:57 0 MALà FICA 31/05/2014 com.disney.maleficent_goo No Free Fall 20:04 0 com.olx.olx Si 0 0 Cuenta asociada zeusprince8@ gmail.com zeusprince8@ gmail.com zeusprince8@ gmail.com zeusprince8@ gmail.com zeusprince8@ gmail.com zeusprince8@ gmail.com Las aplicaciones que no fueron descargadas satisfactoriamente como com.ea.game.fifa14_row, com.gameloft.android.anmp.gloftr3hm, tuvieron dos intentos de descargas tanto en el mes de mayo como junio. 133

156 :58:58 com.disney.frozensa ga_goo :04:39 com.disney.maleficen t_goo :58:56 com.disney.wheresmymick eyfree_goo Mayo :37:39 com.olx.olx Junio :57:17 com.gameloft.android.a NMP.GloftR3HM Figura 30: Línea de tiempo aplicaciones no satisfactorias :07:26 com.disney.frozensag a_goo :47:15 com.gameloft.android.an MP.GloftR3HM :30:51 com.ea.game.fifa14_ro w :17:43 com.ea.game.fifa14_row El archivo dmappmgr.db cuenta con las tablas ApplicationControl, ApplicationIcon, android_metadata y sqlite_sequence. La tabla de interés es ApplicationControl la cual nos detalla cuando fue la última fecha en la que se utilizó cierta aplicación además de contar con los datos de todas las aplicaciones que han sido instaladas y desinstaladas de la cuenta de google como también de terceros o desconocidos. El mismo que cuenta con las siguientes columnas: _id, pkgname, lastpausetime, applastservicestarttime, applastservicestoptime, totalusagetime, launchcount, y lastlaunchtime Los datos de interés para el análisis de la tabla ApplicationControl son: Tabla 44: Columnas de interés tabla applicationcontrol - tablet Columna Descripción pkgname Nombre del paquete o la ruta creada por la aplicación applastservicestarttime Última hora de inicio del servicio applastservicestoptime Última hora de interrupción del servicio lastlaunchtime Última hora de inicio aplicación Datos: Tabla 45: Datos archivo dmappmgr.db applastservicestartti pkgname me applastservicestopt ime lastlaunchtime com.google.android.setupwizard :13:07 134

157 com.android.browser :10:45 com.osp.app.signin :18: :59: :12:00 com.sec.android.preloadinstaller :50:13 com.google.android.googlequicksear chbox :18: :59: :11:51 android :49:23 com.android.settings :59: :58: :18:58 com.google.android.gsf.login :23:30 com.sec.android.app.launcher :23:31 com.sec.android.fotaclient :18: :59: :14:23 com.sec.android.app.secsetupwizar d :13:02 com.tgrape.android.radar :44: :52: :48:42 com.sec.phone :18: :59:23 0 com.google.android.videos :19: :13:44 0 com.google.android.apps.uploader :19: :13:44 0 com.android.contacts :18: :59: :48:18 com.sec.android.app.gamehub :13: :17:06 0 com.google.android.partnersetup :18: :59:26 0 com.google.android.apps.plus :44: :59: :11:44 com.google.android.music :18: :59:27 0 com.sec.android.providers.download s :18: :59:27 0 com.android.exchange :18: :59:27 0 com.android.systemui :17: :59: :23:27 com.android.providers.calendar :18: :02:34 0 com.android.keychain :04: :13:44 0 com.sec.factory :18: :59:27 0 com.google.android.gm :18: :59: :02:38 com.sec.android.app.samsungapps. una :18: :14:07 0 com.google.android.talk :18: :59: :55:40 com.wssyncmldm :18: :59: :56:33 com.android :18: :51: :57:23 com.sec.chaton :23: :59:27 0 com.google.android.youtube :18: :59: :44:32 com.samsung.mediahub :12: :17:07 0 com.sec.android.widgetapp.weather clock :13: :17:

158 com.nim.discovery :18: :59:27 0 com.google.android.gsf :18: :59:27 0 com.sec.dsm.system :25: :17:07 0 com.android.providers.media :18: :54:22 0 com.android.providers.downloads :18: :59:27 0 com.android.musicfx :21: :13:45 0 com.google.android.syncadapters.co ntacts :18: :59:27 0 com.google.android.apps.maps :22:06 com.sec.android.app.camera :02:13 com.google.android.location :18: :59:23 0 org.simalliance.openmobileapi.servic e :18: :59:23 0 com.sec.pcw :18: :59:23 0 com.sec.android.gallery3d :18: :59: :57:30 com.sec.android.pagebuddynotisvc :18: :59:26 0 com.sec.android.app.bluetoothtest :18: :59:27 0 com.sec.app.rilerrornotifier :06: :06:14 0 com.sec.minimode.taskcloser :03: :06:14 0 com.sec.android.app.keyguard :18: :59:27 0 com.samsung.smt :19: :58:20 0 com.sec.android.app.sysscope :18: :59:27 0 com.wssnps :18: :52:13 0 com.sec.esdk.elm :18: :59:27 0 com.google.android.gms :18: :59: :13:34 com.android.vending :18: :59: :19:29 com.android.mtpapplication :19: :54: :23:39 com.android.calendar :02:59 com.samsung.groupcast :18: :59: :19:08 com.sec.android.app.myfiles :18: :18: :15:49 com.android.providers.downloads.ui :01:14 com.sec.android.app.popupcalculato r :25:59 com.android.deskclock :25:42 com.sec.android.mimage.photoretou ching :35:33 com.netflix.mediaclient :03: :54: :03:03 kr.co.rightbrain.screensaver.galaxy Tab2_10_ :18: :59: :57:06 136

159 com.sec.android.allshare.service.me diashare :57: :57:49 0 com.sec.android.inputmethod :00:11 com.google.android.syncadapters.ca lendar :36: :52:37 0 com.google.android.apps.magazines :12: :32:47 0 com.google.android.configupdater :19: :13:45 0 com.google.android.apps.docs :21: :13:45 0 com.google.android.apps.books :44: :52: :44:27 com.dropbox.android :18: :59: :33:58 com.sec.android.app.samsungapps :18: :59: :58:01 com.sec.spp.push :18: :59:27 0 com.sec.android.kies :36: :11:32 0 com.viaforensics.android.aflogical_o se :19:09 com.example.viaforensics.android :58:25 com.example.holamundo :37:07 com.android.backupconfirm :19:46 com.peel.app :21:26 com.sec.android.app.controlpanel :19:21 com.gameloft.android.anmp.gloftd MHM :19: :13: :12:17 com.sec.android.widgetapp.at.hero.a ccuweather :33:49 com.android.packageinstaller :25:37 com.mozzeta.androidrootchecker :58:39 org.cyanogenmod.oneclick :15:08 com.infraware.polarisofficestdforta blet :17:29 com.android.htmlviewer :17:01 com.android.defcontainer :32: :52:36 0 com.noshufou.android.su :30: :54: :43:47 com.keramidas.titaniumbackup :50:14 com.joeykrim.rootcheck :56:43 eu.chainfire.supersu :18: :59: :56:27 137

160 com.android.bluetooth :58: :58:20 0 com.compelson.meconnector :27:42 com.bancodeguayaquil :19: :59: :19:33 com.cleanmaster.mguard :45: :52: :52:56 com.ea.game.pvz2_row :33: :52: :33:08 com.sec.android.app.popupuireceive r :10:43 mobi.mgeek.tunnybrowser :18: :59: :33:13 saga.game.jungle.monkey.saga :30: :52: :31:49 com.disney.maleficent_goo :16:11 Al realizar la comparación con el archivo packages.xml podemos determinar que existieron aplicaciones que fueron instaladas de otras fuentes, donde su fecha de instalación y/o uso de la misma fue en el mes de mayo. Tabla 46: Datos aplicaciones instaladas de otras fuentes Paquetes de otras fuentes com.example.holamundo com.example.viaforensics.android com.mozzeta.androidrootchecker com.sec.android.widgetapp.weatherclock com.viaforensics.android.aflogical_ose org.cyanogenmod.oneclick Sin embargo de acuerdo al siguiente cronograma, se puede determinar la última fecha de ejecución o uso de la aplicación. 02/04/2014 5:13 19/05/ :37 com.sec.android.widgetap p.weatherclock com.example.holamund o Abril Mayo Figura 31: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación 31/05/ :19 com.viaforensics.android.aflogical_ose 138

161 05/06/ :58 05/06/ :15 10/06/ :30 30/06/2014 2:52 com.example.viafore nsics.android org.cyanogenmod.oneclick com.noshufou.android.su com.cleanmaster.mguard Junio 05/06/ :58 09/06/ :43 14/06/ :54 com.mozzeta.androi drootchecker com.noshufou.android.su com.noshufou.android.su Figura 32: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación 07/07/ :11 21/07/ :18 22/07/ :16 22/07/ :59 com.google.android.google quicksearchbox com.sec.spp.push com.disney.malefi cent_goo com.bancodeguaya quil Julio Figura 33: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación Se puede observar que las aplicaciones desinstaladas se utilizaron por última vez en el mes de abril, mayo y junio. 6. Conclusiones 08/07/ :52 21/07/ :18 22/07/ :59 22/07/ :59 com.cleanmaster.mguard com.google.android. com.google.android.g ooglequicksearchbox com.sec.spp.push googlequicksearchb ox De acuerdo a lo solicitado se puede determinar que el dispositivo móvil además de ser utilizado como una herramienta de uso laboral, la mayor parte de aplicaciones instaladas corresponden a la categoría entretenimiento Los registros en el historial de navegación se concentran en la búsqueda de información de rooteo del dispositivo, Facebook y el entorno de aprendizaje de la Universidad Técnica Particular de Loja. La información descargada no corresponde a información vital que comprometa a la empresa donde labora el Ing. Juanito Pérez, sin embargo realiza descargas de aplicaciones que pueden comprometer la información del dispositivo. 139

162 Se puede identificar las siguientes cuentas asociadas al dispositivo 7. Referencias Para realizar el backup, mediante ADB se cuenta con la siguiente información. Información que mediante la consola de comandos con adb help se obtiene una breve explicación. Figura 34: Comando adb help adb backup [-f <file>] [-apk -noapk] [-shared -noshared] [-all] [-system nosystem] [<packages...>] Tabla 47: Descripción comando adb backup -f <file> Indicaremos la ruta donde se almacenara la copia de seguridad Por ejemplo: -f C:/backup ab -apk -noapk Indica si incluir o no las apks o solo sus configuraciones (Por defecto es -noapk) -shared noshared Activa/desactiva la copia del contenido de la sd card (Por defecto es -noshared) -all Copia todas las aplicaciones instaladas -system nosystem Incluye o no automáticamente todas las aplicaciones del sistema (Por defecto las incluye) <packages> Aquí podemos hacer un listado concreto de aplicaciones que queremos exportar en caso de no querer exportarlas todas. Por ejemplo com.game.nombreaplicacion En cambio para la obtención de la copia bit a bit se expone lo siguiente: dd if=[ruta_origen/archivo_origen] of=[ruta_destino/nombre_archivo.img] bs=

163 adb pull [ruta_origen/nombre_archivo.img] [archivo_destino] 8. Anexos Véase el Anexo 2 Desarrollo de fases tablet donde se encuentran lo siguiente: a. Plantilla fase de identificación y preservación b. Plantilla fase de adquisición c. Plantilla fase de análisis y exploración INFORME EJECUTIVO 1. Introducción El presente documento se elabora con el fin de presentar un informe pericial sobre la información solicitada en el caso de estudio C Antecedentes El entorno en el que se efectúa es sobre un caso de pruebas, en el cual se desarrollan el examen imprescindible basándose en la necesidad de saber a profundidad la información que se ha almacenado en el sistema de ficheros del dispositivo móvil (tablet), información que pueda comprometer la seguridad e integridad del usuario. Se cuenta con un dispositivo móvil (tablet) con sistema operativo Android, versión que será el objeto de pruebas. a. Caso de estudio El caso de prueba se detalla a continuación: En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega los tiempos de respuesta de los ejecutivos han variado y quiere determinar cuáles son las actividades en que están ocupando la mayor parte de su tiempo en los dispositivos móviles y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense o peritaje informático al dispositivo móvil brindado en la empresa. 141

164 b. Objetivo del caso de estudio Determinar las: Actividades, como historial de navegación y descargas realizadas Aplicaciones instaladas y desinstaladas. c. Alcance Analizar: Historial de navegación Descargas Aplicaciones instaladas Aplicaciones desinstaladas Aplicaciones no satisfactorias 3. Descripción En mi calidad de investigadora expongo que el análisis realizado al dispositivo móvil fue explícitamente para conocer las actividades realizadas en el mismo por parte del personal de la empresa XYZ, en la que se da a conocer el tipo de aplicaciones que los usuarios les es de interés, y a su vez se determina las descargas e historial de navegación realizadas. Durante el desarrollo de la investigación se procedió a dar acceso root al dispositivo móvil y así determinar los archivos a los que se tiene acceso, demostrando que el dispositivo mantiene un registro de las actividades realizadas que el usuario desconoce. Entre los resultados encontrados tenemos: El número de aplicaciones instaladas en el dispositivo móvil es de 60 apps, que de acuerdo al análisis realizado se cuenta con un promedio de 8 aplicaciones desinstaladas y de 6 aplicaciones no satisfactorias. Tabla 48: Resultado aplicaciones tablet Descripción Total Aplicaciones instaladas 60 Aplicaciones desinstaladas 8 Aplicaciones no satisfactorias 6 142

165 Las aplicaciones desinstaladas cuentan con la siguiente cronología en la cual se puede determinar la última fecha de ejecución o uso de la aplicación. 02/04/2014 5:13 19/05/ :37 com.sec.android.widgetap p.weatherclock com.example.holamund o Abril Mayo 31/05/ :19 com.viaforensics.android.aflogical_ose Figura 35: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación 05/06/ :58 05/06/ :15 10/06/ :30 30/06/2014 2:52 com.example.viafore nsics.android org.cyanogenmod.oneclick com.noshufou.android.su com.cleanmaster.mguard Junio 05/06/ :58 09/06/ :43 14/06/ :54 com.mozzeta.androi drootchecker com.noshufou.android.su com.noshufou.android.su Figura 36: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación 07/07/ :11 21/07/ :18 22/07/ :16 22/07/ :59 com.google.android.google quicksearchbox com.sec.spp.push com.disney.malefi cent_goo com.bancodeguaya quil Julio 08/07/ :52 21/07/ :18 22/07/ :59 22/07/ :59 com.cleanmaster.mguard Figura 37: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación com.google.android. com.google.android.g ooglequicksearchbox com.sec.spp.push googlequicksearchb ox Se puede observar que las aplicaciones desinstaladas fueron utilizadas tanto en el mes de abril, mayo y junio. 143

166 Las aplicaciones que no fueron descargadas satisfactoriamente como com.ea.game.fifa14_row, com.gameloft.android.anmp.gloftr3hm, tuvieron dos intentos de descargas tanto en el mes de mayo como junio :58:58 com.disney.frozensa ga_goo :04:39 com.disney.maleficen t_goo :58:56 com.disney.wheresmymick eyfree_goo Mayo :37:39 com.olx.olx Junio :57:17 com.gameloft.android.a NMP.GloftR3HM Figura 38: Línea de tiempo aplicaciones no satisfactorias :07:26 com.disney.frozensag a_goo :47:15 com.gameloft.android.an MP.GloftR3HM :30:51 com.ea.game.fifa14_ro w :17:43 com.ea.game.fifa14_row Entre las descargas realizadas podemos observar que se realiza 5 descargas consecutivas del archivo RescueRoot.exe, en el mes de junio. Tabla 49: Número de descargas tablet # de title descargas OneClick.apk 1 RescueRoot.exe 5 Figura 39: Número de descargas realizadas por dato En la siguiente tabla se visualiza la cantidad de consultas realizadas en el dispositivo móvil. Tabla 50: Historial de navegación- tablet 144

167 title url date visits Web Authentication Redirect 05:13:45 1 PÃ gina web no disponible 04:19:45 5 Web Authentication Redirect YouTube - Broadcast c=&hl=es&source=android-browsersuggest&v= &qsubts= &q Yourself. - Buscar con Google =YouTube%20-%20Broadcast%20Yourself. YouTube - Broadcast Yourself - YouTube FINAL CAMPEONATO EUROPA 2007 VOLEIBOL RUSIA ESPAÃ A (Parte 3) - YouTube PÃ gina web no disponible Web Authentication Redirect Web Authentication utube.com/watch?v=ahx7la7zpr0 Web Authentication /generate_204 html?switch_url= Web Authentication ml&ap_mac=2c:3f:38:31:53:20&wlan=personal_ut PL&redirect= /generate_204 Universidad Tecnica Particular de Loja - U T P L Ecuador Web Authentication Redirect html?switch_url= PÃ gina web no ml&ap_mac=2c:3f:38:31:53:20&wlan=personal_ut disponible PL&redirect=m.youtube.com/watch?v=AhX7La7zpr 0 Web Authentication /generate_ :19: :32: :33: :39: :29: :29: :56: :30: :30: :09: :56: :56: :56:36 Web Authentication

168 .utpl.edu.ec/ 06:56:37 PÃ gina web no html?switch_url= disponible ml&ap_mac=2c:3f:38:31:53:20&wlan=personal_ut PL&redirect= /generate_204 PÃ gina web no html?switch_url= disponible ml&ap_mac=2c:3f:38:31:53:20&wlan=personal_ut PL&redirect= Google 3_EYTA8Qaiw4CYBA archivo de android que contiene las actividades del dispositivo - Buscar con Google ginutpl/index.php Universidad TÃ cnica Particular de Loja Curso: PROYECTO DE FIN DE CARRERA PLATINIUM II GP4.2 [A] oginutpl/index.php Google cyanomod - Buscar con Google cyanomodgen - Buscar con Google CyanogenMod Android Community Operating System CyanogenMod Downloads CyanogenMod Downloads Rescue Root One Click Root Android Software Download Rescue Root! Confirms Root Support for Free :56: :56: :10: :11: :12: :12: :13: :17: :20: :21: :21: :21: :57: :24: :57: :59:42 2 Encuestas para

169 facebook en.herokuapp.com/encuesta/premiosgamelab2014? 03:33:56 mobile=1&ref=web_canvas&from=admin_wall#_=_ Encuestas para facebook 014/forms/ /thankyou :57:35 2 root samsung galaxy tab gt-p5113 android Buscar con s-es&safe=images&oe=utf- 8&q=rootear%20samsjng&source=android-browser :58:27 1 Google type&qsubts= &devloc=0 Update Samsung Galaxy Tab (GT-P5113) WiFi to Android :15:47 24 How to Root Galaxy Tab GT-P5113 Running Android JB Stock Firmware NasirTech #1 Samsung :00:39 1 Firmware Destination Galaxy Tab (P5100/P5110/P5113): Instalar Android galaxy-tab / :22:30 17 con Root CF-Root Download Root/CF-Auto-Root-espresso10wifiespresso10wifibby-gtp5113.zip :23:08 4 Web Authentication :19: Web Authentication html?switch_url= ml&ap_mac=2c:3f:38:31:53:20&wlan=personal_ut PL&redirect= :19:06 1 -institucionales/relaciones-nacionales html?switch_url= Web Authentication ml&ap_mac=2c:3f:38:31:53:20&wlan=personal_ut PL&statusCode=5&redirect= :57:28 3 acion/relaciones-institucionales/relacionesnacionales 147

170 Donde la Figura 40 se muestra de manera gráfica los números de visitas de acuerdo a la fecha de consulta. Figura 40: Número de visitas por fecha 4. Recomendaciones Solo el personal especializado y autorizado puede dar acceso root a los dispositivos móviles. Se deberá restringir el tiempo de ocio que dispone el usuario. Las aplicaciones instaladas deberán limitarse a uso exclusivo de actividades concernientes a la empresa, más no de entretenimiento. Queda a disposición de quien solicita sancionar dichas actividades de acuerdo a las políticas de la empresa. 4.2 Desarrollo de un sistema de información Una vez culminada la fase de investigación se desarrolla una aplicación de escritorio, que sea de apoyo para el proceso de gestión de un caso de estudio y análisis de los archivos o ficheros (evidencia) encontrados. El objetivo principal de la aplicación es permitir al usuario la gestión de la información del caso de estudio, y obtener las propiedades del dispositivo conectado al computador para su respectivo análisis. A su vez se implementó la funcionalidad de análisis e interpretación de los archivos databases que el usuario extrae del dispositivo móvil. 148

171 4.2.1 Requerimientos Entre los principales requerimientos tenemos: Crear un software que permita ingresar la información respectiva del caso de estudio. El sistema debe adquirir las principales características del dispositivo conectado al computador. El sistema debe permitir la obtención de un backup del dispositivo conectado al computador El sistema debe permitir analizar e interpretar los archivos adquiridos en la copia bit a bit. El sistema debe generar un reporte detallado sobre la información ingresada del dispositivo móvil Metodología de desarrollo La metodología seleccionada para el desarrollo del software es RUP (Rational Unified Process), el cual describe una clase de procesos iterativos e incrementales. De acuerdo a (Santiago Zaragoza, 2015): El proceso unificado conocido como RUP, es un modelo de software que permite el desarrollo de software a gran escala, mediante un proceso continuo de pruebas y retroalimentación, garantizando el cumplimiento de ciertos estándares de calidad. Aunque con el inconveniente de generar mayor complejidad en los controles de administración del mismo. Sin embargo, los beneficios obtenidos recompensan el esfuerzo invertido en este aspecto. El proceso de desarrollo constituye un marco metodológico que define en términos de metas estratégicas, objetivos, actividades y artefactos (documentación) requerido en cada fase de desarrollo. Esto permite enfocar esfuerzo de los recursos humanos en términos de habilidades, competencias y capacidades a asumir roles específicos con responsabilidades bien definidas. RUP se divide en cuatro fases: Inicio (Define el alcance del proyecto) Elaboración (definición, análisis, diseño) 149

172 Construcción (implementación) Cierre o Transición (fin del proyecto y puesta en producción) Figura 41: Fases RUP Fuente (Solano, 2010) Fase de inicio Esta fase tiene como propósito definir y acordar el alcance del proyecto con los patrocinadores, identificar los riesgos potenciales asociados al proyecto, proponer una visión muy general de la arquitectura de software y producir el plan de las fases y el de iteraciones. Entre los artefactos tenemos: Documento Visión (Anexo 3) Especificación de Requerimientos (Anexo 4) Fase de elaboración En la fase de elaboración se seleccionan los casos de uso que permiten definir la arquitectura base del sistema y se desarrollaran en esta fase, se realiza la especificación de los casos de uso seleccionados y el primer análisis del dominio del problema, se diseña la solución preliminar. Entre los artefactos tenemos: Diagramas de caso de uso (Anexo 5) Especificación de casos de uso (Anexo 5) 150

173 Documento de arquitectura el mismo que trabaja con las siguientes vistas: o VISTA LÓGICA: Diagrama de clases (Anexo 6) Modelo E-R (Anexo 12 Manual técnico punto 4.1) o VISTA DE PROCESOS: Diagrama de secuencia (Anexo 7) Diagrama de estados Diagrama de actividad (Anexo 8) Fase de construcción El propósito de esta fase es completar la funcionalidad del sistema, para ello se deben clarificar los requerimientos pendientes, administrar los cambios de acuerdo a las evaluaciones realizados por los usuarios y se realizan las mejoras para el proyecto. Entre los artefactos tenemos el documento de arquitectura, el mismo que trabaja con las siguientes vistas: VISTA DE DESARROLLO o Diagrama de componentes (Anexo 9) o Diagrama de paquetes (Anexo 10) VISTA FÍSICA o Diagrama de despliegue (Anexo 11) Fase de transición El propósito de esta fase es asegurar que el software esté disponible para los usuarios finales, ajustar los errores y defectos encontrados en las pruebas de aceptación, capacitar a los usuarios y proveer el soporte técnico necesario. Se debe verificar que el producto cumpla con las especificaciones entregadas por las personas involucradas en el proyecto. Entre los artefactos tenemos: Pruebas finales de aceptación (Punto Pruebas software) Puesta en producción 151

174 4.2.3 Pruebas software El objetivo de dichas pruebas es comprobar el correcto funcionamiento de la aplicación, validando los requisitos previamente analizados. Los dispositivos móviles utilizados para las pruebas con el software desarrollado cuentan con las siguientes características: Tabla 51: Características dispositivos Dispositivo Características Tablet Smartphone GT-P5113 Nexus 7 ST15i U20i GT-I9500 Versión sistema operativo Dispositivo con acceso root Si Si No Si No Incluye SIM Card No No Si No Si Incluye SD Card No No No No Si Estado (Encendido/Apagado) Encendido Encendido Apagado Encendido Encendido Bloqueado No No No No No Como se puede observar la versión del sistema operativo con las que se cuenta en los dispositivos móviles son de la versión en adelante, siendo dichas versiones las más utilizadas en el mercado, de acuerdo a la Tabla 7 analizada previamente. Cabe mencionar que a pesar de que Gingerbread es una de las versiones de mayor uso en el mercado, es una versión antigua (2010) que actualmente se está dejando de usar. Además de presentar una arquitectura que hoy en día no permite un correcto uso y exploración de los archivos que se pretende analizar en el examen forense. Sin embargo en las versiones de Android: Ice Cream Sandwich (4.0.4), Jelly Bean (4.2) y Kit Kat (4.4) los cambios a nivel de arquitectura entre ellas no afectan el correcto funcionamiento de los aplicativos desarrollados. 152

175 En la Tabla 52 se detalla las pruebas realizadas mediante la implementación del software con los dispositivos móviles, dando los siguientes resultados: Tabla 52: Pruebas software con dispositivos móviles Dispositivo Funcionalidad Tablet Smartphone GT-P5113 Nexus 7 ST15i U20i GT- I9500 Versión sistema operativo Permite seleccionar el dispositivo a analizar Si Si Si Si Si Obtiene marca, modelo y fabricante Si Si Si Si Si Obtiene número serial Si Si Si Si Si Obtiene el tipo de dispositivo Si Si No No Si Obtiene IMEI No No Si No No Obtienes sistema operativo, versión e idioma Si Si Si Si Si Obtiene datos kernel Si Si Si Si Si Obtienes datos procesador Si Si Si Si Si Obtienes datos del número de compilación Si Si Si Si Si Obtiene composición sistema de ficheros Si Si Si Si Si Obtiene tamaño bloques sistema de ficheros Si Si Si Si Si Obtiene lista de aplicaciones (package Si Si Si Si Si manager) Realiza backup Si Si Si Si Si En consecuencia las funcionalidades que presta la aplicación desarrollada denominada Sistema de Gestión de información de Análisis Forense (SGICAF), que se muestra a continuación en la Tabla 53, características que frente a las otras aplicaciones de código abierto, se puede destacar a continuación: Tabla 53: Comparativa con otras aplicaciones Funcionalidades SGIC AF Autopsy BitPim Android SDK androidlocdump Android guard viaforensics Ingreso del caso de estudio 100% 10% 0% 0% 0% 0% 0% Permite seleccionar el tipo de dispositivo 100% 0% 0% 0% 0% 0% 0% Extracción de las principales características del 100% 0% 10% 100% 0% 0% 0% dispositivo Obtención de un backup 100% 0% 0% 100% 0% 0% 0% Obtención de una copia bit a bit 0% 0% 0% 90% 0% 0% 0% 153

176 Obtención lista de aplicaciones 100% 0% 0% 100% 0% 0% 0% Recuperación de archivos eliminados 50% 100% 0% 0% 0% 0% 0% Extracción de (Historiales de navegación, Datos del sistema de ficheros, 80% 50% 50% 100% 0% 0% 0% Navegación de archivos) Extracción de datos de geolocalización GPS 0% 0% 0% 0% 100% 0% 0% Análisis de malware 0% 0% 0% 0% 0% 100% 0% Extracción de contactos, mensajes de texto, y 0% 0% 0% 0% 0% 0% 100% llamadas Análisis de la copia bit a bit 0% 100% 0% 0% 0% 0% 0% Análisis e interpretación de archivos, obtenidos de la 100% 50% 0% 0% 0% 0% 0% copia Emite reporte 100% 100% 0% 0% 0% 0% 100% Figura 42: SGICAF frente a las herramientas de código abierto En conclusión: Podemos observar en la Tabla 53 que la aplicación desarrollada puede obtener la mayor cantidad de datos, que otras aplicaciones de código abierto, alcanzando un 59% de eficiencia en comparación a las otras herramientas de acuerdo a la Figura

177 Las funcionalidades que se implementaron en el software fueron analizadas y desarrolladas de acuerdo a lo que la guía requiere y que las herramientas de código abierto carecen. Es importante mencionar que al realizar las pruebas en los dispositivos móviles se procedió a la exploración de los siguientes archivos, los cuales almacenan la información del usuario a evaluar. Véase Tabla 54 Tabla 54: Rutas archivos OBJETIVO RUTA ARCHIVO Historial de navegación Descargas Aplicaciones /data/data/com.android.browser/databases/ browser2.db /data/data/com.sec.android.app.sbrowser/databases SBrowser.db /data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db /data/data/com.sec.android.providers.downloads/databases/ downloads.db data/data/com.android.vending/databases/ localappstate.db data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db data/system/ dmappmgr.db packages.xml Contactos /data/data/com.android.providers.contacts/databases/ contacts2.db SMS & MMS /data/data/com.android.providers.telephony/databases/ telephony.db Cuentas /data/system/users/acounts.db accounts.db Además se puede destacar que al realizar las pruebas en los 5 dispositivos móviles más 2 con acceso root y 3 sin acceso root, se puede determinar la cantidad de archivos accesibles indicados en la Tabla 55. Tabla 55: Comparativa de los archivos accesibles Archivo No root Root GT-I9500 ST15i GT-P5113 Nexus7 U20i downloads.db x x x x x sisodownloads.db x x x browser2.db x x x x SBrowser.db x x localappstate.db x x x x x icingcorpora.db x x x x x dmappmgr.db x packages.xml x x x x Archivos adicionales que contienen información del usuario accounts.db x x x telephony.db x x x 155

178 Figura 43: Porcentaje acceso archivos Como se puede observar en la Figura 43 la cantidad de archivos que se extraen al contar con acceso root es del 71%, siendo un porcentaje relativamente mayor a la de un dispositivo que no cuenta con acceso root. Como se puede observar en la Tabla 54, los archivos pueden variar, esto se debe a la arquitectura y al modelo del dispositivo. Los archivos downloads.db y sisodownloads.db a pesar de que se encuentran en rutas diferentes contienen la información del historial de descargas realizadas por el usuario. Los archivos browser2.db y SBrowser.db contienen la información del historial de navegación, cabe destacar que dicha información se almacena en los archivos propios de cada uno de los diferentes navegadores que el usuario haga uso, es decir que no siempre encontraremos esta información en el archivo browser2.db del navegador por defecto. Se puede observar que en el dispositivo móvil GT-P5113 (Samsung Galaxy Tab) cuenta con un archivo denominado dmappmgr.db el cual registra la información de la última fecha en que se activó o uso cierta aplicación, siendo el único dispositivo que mantiene esta información. En cambio los archivos localappstate.db, icingcorpora.db y packages.xml mantienen un registro de todas las aplicaciones instaladas en el dispositivo, sin embargo al comparar estos archivos se puede verificar el registro de las aplicaciones instaladas desde Play Store. Mientras que los archivos accounts.db, telephony.db, contacts2.db contienen información del usuario tales como cuentas asociadas al teléfono (Gmail, Facebook, Dropbox, etc.), mensajes de texto y contactos respectivamente. 156

179 CAPITULO V RESULTADOS

180 CONCLUSIONES Durante la evaluación de los modelos o guías metodológicas se puede determinar que OASAM es útil para el análisis de malware o vulnerabilidades en aplicaciones Android verificando las actividades realizadas por las aplicaciones instaladas en el dispositivo móvil Android, NIST y ENFSI se concentra en la recuperación de la evidencia digital, mientras que NIJ y SWGDE trata sobre las medidas a adoptar en el escenario para la correcta incautación y preservación de la evidencia. Todos estos modelos ayudaron a determinar las actividades y procesos a seguir en un análisis forense para dispositivos móviles, planteados en el presente trabajo de investigación. Con la metodología propuesta dentro del trabajo de investigación es posible identificar el proceso y/o actividades a seguir, en el momento en que se otorga un dispositivo móvil con sistema operativo Android para su investigación, permitiendo así analizar, obtener y manejar adecuadamente la evidencia digital. Los modelos de plantillas elaboradas permiten llevar a cabo un historial de las actividades realizadas en cada una de las fases y de los hallazgos encontrados en el dispositivo móvil; determinando el alcance y cumplimiento del objetivo del caso de estudio. Durante la implementación de la guía metodológica propuesta, los procesos en la fase de análisis y exploración como también la fase de adquisición fueron cambiando, acoplando la teoría a los escenarios de la vida real. Dentro del campo forense digital en dispositivos móviles con sistema operativo Android, es sustancial conocer la estructura, arquitectura, composición del sistema de ficheros y las características del dispositivo a analizar, ya que la organización del sistema de ficheros depende de cada fabricante. Es necesario el uso de todas y cada una de las herramientas recomendadas puesto que cada una de ellas se complementan y que de acuerdo a los diferentes tipos de análisis que prestan, enriquecen los resultados permitiendo tener una mejor perspectiva de la información encontrada. El análisis de la información se ve afectada por los diferentes modelos de dispositivos móviles y de las aplicaciones que instale cada usuario, por lo que no todos los archivos o datos necesarios para la investigación se encontraron en las rutas específicas que almacenan las mismas. La información almacenada en el dispositivo móvil puede ser accesible después de ser borrada por un usuario final, debido al tipo de borrado que Android ofrece en su 158

181 sistema operativo manteniendo la estructura del sistema de ficheros hasta que ese espacio de memoria sea reemplazado con nueva información. Existen dos niveles de privilegios sobre los usuarios en el sistema Android, el normal y el usuario "root" que permite acceder y modificar los archivos del sistema que se encuentran bloqueados para los usuarios normales, y que dentro del proceso de análisis planteado se requiere. Por lo que al contar con acceso root al dispositivo se puede garantizar un resultado satisfactorio en la recopilación de la información. La aplicación desarrollada en el presente trabajo de investigación ha sido analizada en sus funcionalidades frente a herramientas forenses de código abierto y comercial, para poder facilitar la extracción de la mayor cantidad de información del dispositivo, características o propiedades y la gestión de la información del caso de estudio analizado que de acuerdo a la guía se requiere. La aplicación desarrollada, es accesible para quienes desean ampliar nuevas funcionalidades, que en base a la guía se requiera. Las versiones de Android utilizadas en esta investigación, son: Ice Cream Sandwich (4.0.4), Jelly Bean (4.2) y Kit Kat (4.4) mismas que han sufrido cambios a nivel de arquitectura que no afectan el correcto funcionamiento de la aplicación, debiéndose considerar que para futuros cambios en las versiones de Android se deberá realizar una verificación del correcto funcionamiento del aplicativo. Dependiendo de la cantidad de información que el dispositivo móvil almacene, el tiempo de duración para obtener un backup y una copia bit a bit puede variar entre 30 minutos a 2 horas o más. 159

182 RECOMENDACIONES La guía debe ser utilizada como una fuente de ayuda para la ejecución de una investigación forense, por lo que se entenderá que no se debe utilizar como una medida o un mandato para la aplicación de la ley, ni como asesoramiento jurídico. Se sugiere proponer y realizar trabajos futuros orientados al análisis forense y seguridad informática, fortaleciendo nuevos campos de investigación. El uso del SDK de Android al ser una librería open source o de código abierto que facilita la recuperación de información, presenta ciertos problemas en el sistema operativo Windows 8, por lo que se recomienda no ejecutar la aplicación desarrollado para el presente caso de estudio, en dicho sistema operativo. En la fase de análisis los archivos a buscar y examinar dependen del tipo de caso, puesto que en algunos casos se necesita comenzar con la navegación de las imágenes, videos, llamadas, mensajes entre otros. En el proceso de incautación se debe solicitar la mayor cantidad de información de los propietarios de los dispositivos móviles por medio de entrevistas a los mismos, para determinar el número de teléfono, códigos, pins y patrones. En un proceso forense es indispensable utilizar herramientas open source, puesto que se debe verificar el código fuente (funcionalidades) y validar que este no altere la evidencia. 160

183 BIBLIOGRAFÍA AccesDataGroup. (2014). Forensic Toolkit (FTK). Retrieved from Acosta, R. (2011, Agosto 31). Iniciación en ROMs para Android. Retrieved 2014, from android.es: Android. (2014). Android SDK. Retrieved from Android. (2014). Imagen Android SDK. Imagen Android SDK. Retrieved from Android. (2014). Imagen Android System Architecture. Retrieved from Ashcroft, J., Daniels, D., & Hart, S. (2014, Abril). Forensic examination of digital evidence: A guide for law enforcement. Forensic examination of digital evidence: A guide for law enforcement. (D. de Justicia de los Estados Unidos, Ed.) Retrieved from Autopsy. (2014). Imagen The Sleuth Kit open source, Autopsy. Imagen The Sleuth Kit open source, Autopsy. Retrieved from Aviv, A., Gibson, K., Mossop, E., Blaze, M., & Smith, J. (2010). Smudge Attacks on Smartphone Touch Screens. 10. Retrieved from Bartolomé Sintes, M. (2014, Septiembre 10). Instalación y uso de XAMPP en Windows. Retrieved from Basterra, Bertea, Borello, Castillo, & Venturi. (2012). Android OS 0.1 documentation. Retrieved from BitPim. (2014). Retrieved from BitPim. (2014). Imagen BitPim. Imagen BitPim. Retrieved from Caballero, J. G., Rambla, J. L., & Alonso, C. (2009). Análisis Forense Digital en Entornos Windows. (Informática64, Ed.) Carrier, B. (2014). Autopsy. Autopsy. Retrieved from Costin, R., & Emm, D. (2013, Diciembre). Kaspersky Security Bulletin Boletín de seguridad Desarrollo de las amenazas informáticas. Retrieved from 161

184 Daniel Medianero. (2013, Marzo). Técnicas de evasión de bloqueo y rooteo en dispositivos Android. Retrieved from BugBlog: Developer Android. (2014). Dashboards. Retrieved from EnCase. (2014). Guidance Software/Encase Forensic. Retrieved from Características y funciones de EnCase: eet.pdf Encase. (2014). Imagen Encase Forensic. Imagen Encase Forensic. Retrieved from nsic-s.jpg Gonzalez, J. (2011, Febrero 17). Aprende a rootear tu android de manera fácil y rápida. Retrieved 2014, from Xataca Android: GuidanceSoftware. (2014). EnCase Forensic v7.09: The Fastest, Most Comprehensive Forensic Solution Available. Retrieved from INFOSEC INSTITUTE. (2014). Android Architecture and Forensics. Retrieved from INTECO. (2012). Resumen ejecutivo del Estudio sobre seguridad en dispositivos móviles y smartphones. Resumen ejecutivo del Estudio sobre seguridad en dispositivos móviles y smartphones. Retrieved from McKennichs, R. (1998). Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing. Medianero, D. (2014). Open Android Security Assessment Methodology (OASAM). Retrieved from MOBILedit. (2014). MOBILedit. MOBILedit. Retrieved from MPE. (2014). AccessData Mobile Phone Examiner Plus (MPE+). Retrieved from Nasir, M. (2013, Diciembre 23). How to Root Galaxy Tab GT-P5113 Running Android JB Stock Firmware. Retrieved Mayo 2014, from jb-stock-firmware.html 162

185 Nobles Pérez, J. C., & Ruíz García, P. M. (2013, Mayo 20). Módulo IV Android. Retrieved from AuthorStream: modulo-iv/ OneClickRoot. (n.d.). Retrieved 2014, from Herramienta: OWASP. (2014). Imagen Top Ten Mobile Risks. Retrieved from OWASP. (2014). Projects/OWASP Mobile Security Project - Top Ten Mobile Risks. Retrieved from _Top_Ten_Mobile_Risks Oxygen Forensics, Inc. (2014). Oxygen Forensics. Retrieved from Paraben. (2013). Device Seizure. Device Seizure. Retrieved from Pastor, J. (2014, Febrero). Android reconquistó el mundo de los smartphones en Retrieved from smartphones-en- 2013?utm_source=feedburner&utm_medium=feed&utm_campaign=12_Feb_2014 Portal Jurídico. (2013). Retrieved from En que consiste un análisis forense: RescueRoot. (n.d.). Retrieved 2014, from Herramienta: Romero Echeverría, L. (2005). Marco conceptual de los delitos informáticos. Retrieved from Sánchez Cordero, P. (2013). Forensics Power Tools (Listado de herramientas forenses). Retrieved from Conexión Inversa: Santiago Zaragoza, M. d. (2015). Desarrollando aplicaciones informáticas con el Proceso de Desarrollo Unificado (RUP). Retrieved from Silberschatz, A., Galvin, P., & Gagne, G. (2006). Fundamentos de Sistemas Operativos. Madrid: McGraw-Hill/ Interamericana de España. Siles, R. (2013, Diciembre 9). Blog: SANS Penetration Testing. Retrieved from Removing the Android Device Lock from any Mobile App: 163

186 Solano, B. (2010, Febrero 9). RUP en español. Retrieved from Solís, C. (2014). Autopsy, Plataforma de análisis forense digital. Autopsy, Plataforma de análisis forense digital. Retrieved from UnLockRoot. (n.d.). Retrieved 2014, from Herramienta: Wikia. (2014). Helix Live CD. Retrieved from Xataca Android. (2014, Marzo 04). Retrieved from Asamblea Nacional. Código Orgánico Integral Penal (2014). Retrieved from Ayers, R., Jansen, W., & Brothers, S. (2013). Guidelines on Mobile Device Forensics (Draft) (Vol. 1, p. 85). Baz Alonso, A., Ferreira Artime, I., Rodríguez, M. Á., & García Baniello, R. (2009). Dispositivos móviles. Retrieved from Blanco, P., Camarero, J., Fumero, A., Werterski, A., & Rodríguez, P. (2009). Metodología de desarrollo ágil para sistemas móviles Introducción al desarrollo con Android y el iphone, Retrieved from Congreso Nacional. (2002). Ley de comercio electronico, firmas y mensajes de datos norma: publicado: Retrieved from Congreso Nacional. Ley Orgánica de Transparencia y Acceso a La Información Pública (2004). Ecuador. Retrieved from Congreso Nacional. Ley especial de telecomunicaciones (2011). De León Huerta, F. J. (2009). Estudio de metodologías de análisis forense digital. Instituto Politécnico Nacional. Dirección Nacional de Asesoría Jurídica de la PGE. (2013). Código penal, Retrieved from ENFSI Working Group. (2009). Guidelines for best practice in the Forensic Examination of Digital Technology, (April), Retrieved from 0.pdf 164

187 Jansen, W., & Ayers, R. (2007). Guidelines on Cell Phone Forensics, 104. Retrieved from López Delgado, M. (2007). Análisis Forense Digital. Martínez González, F. L. (2011). Aplicaciones para dispositivos móviles. Universidad Politécnica de Valencia. Retrieved from Rifá Pous, H., Serra Ruiz, J., & Rivas López, J. L. (2009). Análisis forense de sistemas informáticos (Primera ed). Retrieved from forense de sistemas informaticos.pdf Robledo Sacristán, C., & Robledo Fernández, D. (n.d.). Programación en Android. (Aula Mentor, Ed.) (Pérez Marí). Santes Galván, L. (2009). Propuesta de una metodologia de análisis forense para dispositivos de telefonía celular. Instituto Politécnico Nacional. Retrieved from RENSE.pdf Subdirección de Asesoría Jurídica de la PGE. Código de Procedimiento Penal (2013). Retrieved from SWGDE. (2012). SWGDE Best Practices for Mobile Phone Forensics, 0, Thomas, P., Owen, P., & McPhee, D. (2010). An Analysis of the Digital Forensic Examination of Mobile Phones. Next Generation Mobile Applications, Services and Technologies (NGMAST), 2010 Fourth International Conference on, doi: /ngmast

188 CAPITULO VI ANEXOS

189 Anexo 1 Desarrollo fases smartphone Solicitud de examen forense (Caso de prueba) SOLICITUD DE EXAMEN FORENSE Fecha de solicitud: 04/05/2014 A: Jessica Cuenca Por este medio se solicita la realización del examen forense digital, al dispositivo móvil (Smartphone) marca Samsung, mmodelo: GT-I9500, FCC ID: A3LGTI9500, color plateado en posesión de Fernando Cueva. Antecedentes: En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega el Ing. Fernando Cueva ha variado sus tiempos de respuesta en su labor, puesto que se requiere determinar cuáles son las actividades en las que están ocupando la mayor parte de su tiempo y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la empresa. Se solicita determinar: Historial de navegación Descargas y Aplicaciones instaladas y desinstaladas Datos que han sido borrados o eliminados de dicho dispositivo de dichas actividades Como parte de la realización del examen forense se autoriza: SI ( ) NO (x) Otorgar acceso root al dispositivo SI (x) NO ( ) Extracción de información confidencial Una vez informado sobre los procedimientos que se llevarán a cabo, y de la importancia de los mismos para la investigación, se otorga de manera libre el consentimiento y autorización legal del presente. Por lo que se hace constar que el presente documento ha sido leído y entendido por mí en su integridad de manera libre y espontánea. Autorizan: Firma Fernando Cueva Nombres y Apellidos: Fernando José Cueva Acaro Cédula de identidad: Pd: Anexo Fundamento legal (Denuncia y/o contrato) La persona o institución auditora se compromete a cumplir con los artículos establecidos, de acuerdo al marco legal o regulatorio del país, cuyos estatutos establezcan que dicha persona o institución realice alguna alteración en la información encontrada y analizada en los dispositivos móviles que determinen la resolución del caso de estudio. 167

190 Fase de identificación y preservación UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja Club de seguridad, UTPL- TECH, CID SECURE Código: FIP001 -C001 Fase: Identificación y preservación Fecha (DD/MM/AAAA) de incautación: 05/05/2014 Hora: 18:36:00 Otras evidencias: Huellas dactilares ( ) ADN ( ) Sin relevancia (x) Lugar y ubicación de incautación: Oficinas de la empresa XYZ 1) Evaluación caso de estudio Código caso de estudio: C001 a) Descripción: Caso de prueba En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega el Ing. Fernando Cueva ha variado sus tiempos de respuesta en su labor, puesto que se requiere determinar cuáles son las actividades en las que está ocupando la mayor parte de su tiempo y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la empresa. b) Objetivo caso de estudio Determinar: Actividades, como historial de navegación y descargas realizadas Aplicaciones instaladas y desinstaladas. c) Propietario(s) dispositivo Ing. Fernando Cueva 168

191 d) Equipo de trabajo (Responsables) Tabla 56: Equipo de trabajo smartphone Identificación Nombres y apellidos Rol Jessica Cuenca Danilo Jaramillo Investigadores/Peritos Jessica Cuenca Custodios Jessica Cuenca Examinadores/Analistas 2) Procedimiento: a) Observaciones Al ser un caso de estudio de prueba, se ha dispuesto no dar acceso root al dispositivo móvil y verificar que datos se pueden extraer. Continuando con el proceso forense como primera instancia no se debe llevar a cabo ningún proceso forense externo (e.g Toma de huellas dactilares, etc.). Al momento de la incautación no se dispone de bolsas antiestáticas, sin embargo se ha tomado como medida el uso de papel aluminio y así bloquear la comunicación o sincronización con un medio externo. No se ha otorgado el cable de datos y cargador originales del dispositivo móvil (Smartphone). Puesto que se debe buscar un adaptador y cable de datos compatible. b) Materiales Los siguientes equipos y/o materiales a ser utilizados queda a discreción de los responsables de la investigación forense, entre ellos tenemos: Tabla 57: Materiales smartphone Material Si No Computador para análisis x Cámara fotográfica x Guantes de látex para la manipulación del dispositivo x Etiquetas adhesivas x Documentos para establecer notas x Adaptador de puertos USB x Cables para la comunicación de datos x Cable para energizar los dispositivos x Lectora de tarjeta SIM x Lectora de tarjeta externa (SD Card, micro SD) x 169

192 Software suministrado por el fabricante del dispositivo móvil Equipo para aislar las comunicaciones (Jaula de Faraday, Papel aluminio, etc.) Software forense (Oxygen Forensic, Autopsy, MOBIL edit, BitPim, etc.) x x x c) Procedimiento A solicitud del interesado se realiza la entrega de un dispositivo móvil con las características detalladas en la tabla adjunta. El dispositivo se encuentra encendidos, por lo que se procede a colocar en modo avión. El dispositivo no cuenta con un patrón de bloqueo, contraseña o PIN. Se realiza la toma de fotografías de los dispositivos y periféricos asociados. Adjunto registro visual. Se procede a etiquetar cada dispositivo y periféricos asociados (Códigos detallados en la tabla adjunta) y continuamente a sellar para el respectivo proceso de empaquetado y transporte. El dispositivo se colocan en papel aluminio para aislar la comunicación con la red móvil o wifi, etc. Se firma el presente documento, como parte de la solicitud de examen forense. Se adjunta la presente documentación con copia respectiva a los involucrados. Se dispone de caja de cartón en la que se adjunta los periféricos o dispositivos entregados, se sella y transporta al laboratorio (UTPL-TECH, Club de seguridad), manteniendo la integridad de la evidencia. 170

193 3) Descripción evidencia Tabla 58: Descripción evidencia smartphone EVIDENCIA Componentes o Cód. Dispositivo Estado Descripción periféricos Etiqueta asociados Sistema Operativo Android Marca: Samsung Batería: 40% Modelo: GT-I9500 FCC ID: A3LGTI9500 Carga: 3,8V; 1300mA Manuales (x) SSN:I9500GSMH Cargador ( ) IMEI: /05/253083/4 Encendido (x) Batería (x) Color: Plateado C001- Apagado ( ) Tarjeta externa (x) 1 Smartphone Puerto: USB S001 Bloqueado ( ) SIM CARD (x) Pantalla: 5 Touch Screen Cables ( ) Cámara frontal y posterior Otros (x) Caja Entrada/Salida de audio: dispositivo Auriculares, Altavoces S/N: RV1D70SVPYJ Conectividad a internet: Wifi Almacenamiento: 16GB Tarjeta externa: 8GB # Teléfono: Adjuntar registro visual (fotografías, croquis de ubicación de cada uno de los objetos de evidencia, Notas: etc.) Cant. 4) Aprobación f:.... f:.... f:.... Ing. Fernando Cueva Ing. Danilo Jaramillo Sra. Jessica Cuenca Propietario Investigador/Perito Custodio Examinador/ Analista 171

194 5) Registro visual Tabla 59: Registro visual smartphone Smartphone 172

195 Fase de adquisición Continuamente se procede a realizar la adquisición de los datos del dispositivo mediante la obtención de un backup y de una copia bit a bit del dispositivo. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja Club de seguridad, UTPL- TECH, CID SECURE Fecha de recepción: 06/05/2014 Hora: 09:00:00 Fecha de examen: 08/05/2014 Hora: 09:00:00 Código caso de estudio: C001 Dispositivo: Smartphone 173

196 1) Procedimiento a) Observaciones Para el análisis de la información del smartphone, se realiza un backup del mismo. En esta ocasión no se ha dado acceso root al dispositivo, ya que se pretende mostrar la diferencia entre un dispositivo con acceso root y otro sin acceso root. b) Herramientas Tabla 60: Descripción herramientas smartphone Herramienta Descripción SDK de Android Nos brinda el acceso al dispositivo, mediante vía ADB Samsung Kies 3 Software propio para dispositivos Samsung Oxygen Forensic Herramienta forense de tipo comercial, que permite la extracción de los datos del dispositivo. Md5 summer Me permite calcular el hash de la imagen c) Procedimiento Conectar el dispositivo al equipo mediante el cable de datos USB Realizar la copia de seguridad (back up) de los datos del dispositivo Ejecutar cmd o Uso de los comandos adb o Visualizamos los dispositivos conectados con adb devices o Realizar copia con adb backup f C:/backups/smartphone.ab apk shared all system Confirmar en el dispositivo la copia de seguridad de datos sin introducir la contraseña (la contraseña no es necesaria, a menos que se requiera utilizar en una restauración de los datos) Como solo contamos con un dispositivo conectado Ingresar adb shell para conocer la composición del sistema de ficheros y verificar la ruta de los datos que se va analizar. Digite mount Adquirir backup Calcular hash sha1 y md5 Utilizamos la herramienta MD5Summer Visualizar características dispositivo con adb shell getprop También se procedió a realizar la copia bit a bit con la herramienta Oxygen Forensic 2014, realizando lo siguiente: 174

197 o Conectar el dispositivo al equipo y seleccionar la opción Auto device connection o Ingrese el número de caso, y el nombre del propietario del dispositivo o Seleccionar la opción Advanced mode o Seleccionar la opción Android backup, y Logical Extraction Next Extract y esperar a que termine el proceso o Seleccionar la opción Save to archive y Finish Firma MD5: Firma SHA2: d2251dcf7d68c766e1953c786f9a2f36 cd9988fc0669e0b1aab06e2f3d2fac03f9032e54ebdb73103da1a6f50bd373bb Una vez obtenida la copia con Oxygen Forensic la herramienta nos proporciona la siguiente información. Opción información dispositivo Figura 44: Información del dispositivo 1/2 - Oxygen Forensic Figura 45: Información del dispositivo 2/2 - Oxygen Forensic 175

198 Figura 46: Registro de llamadas - Oxygen Forensic Figura 47: Registro de mensaje - Oxygen Forensic Figura 48: Guía telefónica - Oxygen Forensic 176

199 Figura 49: Explorador de archivos 1/3 - Oxygen Forensic Figura 50: Explorador de archivos 2/3 - Oxygen Forensic Figura 51: Explorador de archivos 3/3 - Oxygen Forensic 177

200 Figura 52: Datos calendario - Oxygen Forensic Se procede a guardar los archivos y documentar el proceso realizado. d) Características evidencia Tabla 61: Características dispositivo smartphone DISPOSITIVO MÓVIL Cód. etiqueta dispositivo: C001-S001 Tipo de dispositivo móvil: Smartphone Propietario Fernando Cueva Marca Samsung Modelo GT-I9500, Galaxy S4 S/N RV1D70SVPYJ Estado Encendido (x) Apagado ( ) Características Físicas Pantalla: 5 Touch Screen Procesador: 1.6GHz Quad Core + 1.2GHz Quad Core IMEI: FCC ID: A3LGTI9500 IC: SSN: I9500GSMH Interfaz de conexión (USB, HDMI, etc.): USB Teléfono bloqueado: SI ( ) NO (x) Tarjeta externa: SI (x) NO ( ) SIM CARD: SI (x) NO ( ) Cámara: SI (x) Dual Camera Frontal y NO ( ) trasera Capacidad para capturar SI (x) NO ( ) imágenes: Capacidad para capturar video: SI (x) NO ( ) 178

201 Resolución cámara: 13MP + 2MP frontal Características Lógicas Idioma SO: Español Sistema Operativo: Android Versión del SO: Versión kernel: dpi@swpp5716#1 Versión de banda base: I9500UBUFNA2 Número de compilación: K0T49H.I9500UBUFNB3 Espacio de almacenamiento Interno: 16GB Soporta modo de vuelo: SI (x) NO ( ) Servicios de conexión Bluetooth: SI (x) NO ( ) Wifi: SI (x) NO ( ) IrDa (Infrarrojo): SI ( ) NO (x) SIM Card Operadora: Movistar Número: S/N: k PIN: N/A PUK: N/A Tarjeta externa Tipo: MicroSDHC 4, Kingston S/N: Sdc4/8gb 065 Espacio de almacenamiento: 8GB Espacio disponible: 769MB Batería Removible: SI (x) NO ( ) Nivel de Batería: 100% Fabricante: Samsung Capacidad de voltaje: 3.8V -9,88 Wh 2600 mah S/N: YS1D7135S/2-B Cargador Código etiqueta cargador: N/A Marca N/A Modelo No: N/A Input: N/A Output: N/A Frecuencia: N/A S/N: N/A Cable de datos: SI ( ) NO (x) Código etiqueta cable de datos: N/A 179

202 Fase de análisis y exploración Para la fase de análisis y exploración se ha considerado el estudio y análisis del fichero perteneciente a la carpeta /data/. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja Club de seguridad, UTPL- TECH, CID SECURE Código: FAE001 C001 Fase: Análisis y exploración Fecha de recepción: 06/05/2014 Hora: 09:00:00 Fecha de examen: 07/05/2014 Hora: 09:00:00 Código caso de estudio: C001 Dispositivo: Smartphone Nombre imagen: Samsung Galaxy S IV (GT-i9500) ( ) ofb Firma MD5 Oxygen F.: d2251dcf7d68c766e1953c786f9a2f36 Firma SHA2 Oxygen F: cd9988fc0669e0b1aab06e2f3d2fac03f9032e54ebdb73103da1a6f50bd373bb Cuentas asociadas: ferrnando1946@gmail.com, fer10cuenca@gmail.com 1) Procedimiento a) Alcance Analizar: Historial de navegación Descargas Aplicaciones instaladas Aplicaciones desinstaladas b) Herramientas Tabla 62: Descripción herramientas fase de análisis smartphone Herramienta Descripción Access Data FTK Imager Visualización del contenido de la copia. Extracción de los archivos de interés SQLite Data Browser Visualización de los datos registrados en cada una de los archivos Microsoft Excel Me permite comparar los datos de las columnas package_name Md5summer Verificación de hash 180

203 c) Archivos Los archivos a analizar, los cuales contienen los datos de las aplicaciones, el historial de navegación y las descargas realizadas por el usuario se encuentran en las siguientes direcciones: Tabla 63: Ruta archivos smartphone Objetivo Ruta Archivo Historial de navegación /data/data/com.android.browser/databases/ browser2.db Descargas /data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db data/data/com.android.vending/databases/ localappstate.db data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db Aplicaciones data/system/ dmappmgr.db packages.xml d) Procedimiento Se utiliza la copia, obtenida en la fase anterior Se procedió a visualizar del contenido de la copia con la ayuda de FTK Imager, obteniendo lo siguiente: Figura 53: Contenido copia bit a bit Con la imagen obtenida mediante Oxygen Forensic, en FTK Imager no se puede visualizar el contenido de una manera amigable. 181

204 Sin embargo procedemos a extraer los archivos de interés con la ayuda de Oxygen Forensic. Pero al no contar con acceso root en el dispositivo, únicamente se obtiene acceso a los siguientes archivos. Cabe destacar que al no contar con el archivo browser2.db el cual contiene los datos del historial de navegación, contamos con el archivo SBrowser.db el mismo que cuenta con datos de los navegadores instalados en el dispositivo, de la misma manera no se cuenta con el archivo sisodownloads.db, por lo que se analizara el archivo downloads.db, el cual contiene información sobre las descargas realizadas. Tabla 64: Nuevas rutas archivos smartphone Objetivo Ruta Archivo Historial de navegación /data/data/com.sec.android.app.sbrowser/databases SBrowser.db Descargas /data/data/com.sec.android.providers.downloads/databases/ downloads.db data/data/com.android.vending/databases/ localappstate.db Aplicaciones data/data/com.google.android.googlequicksearchbox/database s/ icingcorpora.db Figura 54: Datos del archivo SBrowser.db 182

205 Figura 55: Datos del archivo downloads.db Figura 56: Datos del archivo icingcorpora.db Figura 57: Datos del archivo localappstate.db 183

206 2) Resultados Historial de navegación En el archivo SBrowser.db nos encontramos con las siguientes tablas BOOKMARKS, INTERNER_SYNC, REMOTE_DEVICES, REMOTE_DOWNLOAD, SAVEPAGE, SYNC_STATE, TABS, android_metadata, y sqlite_sequence para lo cual se analizara la tabla TABS que contiene las siguientes columnas: _ID, TAB_ID, TAB_INDEX, TAB_URL, TAB_TITLE, TAB_FAV_ICON, TAB_ACTIVATE, IS_DELETED, IS_INCOGNITO, ACCOUNT_NAME, ACCOUNT_TYPE, DATE_CREATED, DATE_MODIFIED, DIRTY, SYNC1, SYNC2 SYNC3, SYNC4, SYNC5, DEVICE_NAME, DEVICE_ID, TAB_USAGE Los datos de interés para el análisis de la tabla TABS son: Tabla 65: Columnas de interés tabla TABS Columna Descripción TAB_TITLE Título de la página web consultada TAB_URL URL o dirección web de la página consultada DATE_CREATED Fecha en la que se realiza la consulta Los datos se adjuntan en digital. Entre las url s más visitadas tenemos: Tabla 66: Historial de navegación # de URL visitas >

207 html ayas0lodyaq&q=reptiles&oq=reptiles&gs_l=mobile-gwsserp.3..41l c.1.45.mobile-gwsserp txwzlrw0nwg#facrc=_ 42 YU5H0NMensAStyYCACw&q=rey+felipe&oq=rey+felipe&gs_l=mobile-gwshp.3..0l j1j c.1.46.mobile-gwshp ZZta2zffzpU#q=posesion+principe+felipe 40 bhe_pisasopigwcg&q=utpl+eva&oq=utpl&gs_l=mobile-gws- hp.1.1.0l j2j c.1.44.mobile-gws- hp nacvd_qpvuo 37 afas+fox+modelo+duncan&oq=gafas+fox+modelo+duncan&gs_l=mobile-gws- serp j3j3j3j1j0j c.1.44.mobile-gws-serp rxcv9q9o06a#facrc=_

208 &sa=X&ei=StOcU8jRIZG2sASUsYD4Cw&ved=0CBcQ1QIoAA#facrc=_&imgrc= WSXITBsiZnTtPM%253A%3BOkD1bZh27NS6jM%3Bhttp%253A%252F%252Fi1.ytimg.c om%252fvi%252fizrwmkzwpcc%252fmaxresdefault.jpg%3bhttp%253a%252f%252f Sore/ ?fref=ts&refsrc=https%3A%2F%2Fwww.facebook.com%2Fpages %2FJRM-Racing-Sore%2F &_rdr =23+de+alemania&oq=23+de+alemania&gs_l=mobile-gwshp c.1.43.mobile-gwshp P6R9vlb0MXc 54 Descargas En el archivo downloads.db se encuentran cuatro tablas android_metadata, downloads, request_headers y sqlite_secuence, para lo cual se analizara la tabla downloads que contiene las siguientes columnas: _id, uri, method, entity, no_integrity, hint, otaupdate, _data, mimetype, destination, no_system, visibility, control, status, numfailed, lastmod, notificationpackage, notificationclass, notificationextras, cookiedata, useragent, referer, total_bytes, current_bytes, etag, uid, otheruid, title, description, scanned, is_public_api, allow_roaming, allowed_network_types, is_visible_in_downloads_ui, bypass_recommended_size_limit, mediaprovider_uri, deleted, errormsg, allow_metered, downloadmethod, state, dd_primarymimetype, dd_secondarymimetype1, dd_secondarymimetype2, dd_filename, dd_vendor, dd_description, dd_contentsize, dd_objurl, dd_notifyurl, dd_majorversion, allow_write Los datos de interés para el análisis de la tabla downloads son: 186

209 Tabla 67: Columnas de interés tabla downloads Columna Descripción Uri Link de descarga lastmod Fecha y hora de descarga _data Ruta en la que se guardó la descarga useragent Datos como navegador, Versión del sistema operativo, idioma del sistema operativo, número de modelo del dispositivo. title Nombre de la descarga Las descargas realizadas son las siguientes: Tabla 68: Historial de descargas uri _data lastmod useragent title 1%3Bav%3A arm%3Bf%3 /storage/emulated/0/an droid/data/com.google. android.googlequicksea rchbox/files/download_ 05/10/2013 Descargand o Español (España) A0%3Bs%3A2 cache/es-es-v2.zip GR8UO0/Wiggle%20- %20Jason%20Derulo%20Lyrics.mp3?v ideo_id=ni7m0gr8uo0&t=tmk3btbh Wiggle - /storage/emulated/0/do UjhVTzAtMzA0NDA0Nzc5Mi0xNDAyO Jason wnload/wiggle - Jason 15/06/2014 DYzOTI5LTI5NTQ2OC04ZDZhOGQxM Derulo Derulo Lyrics.mp3 zuxnjnmzmq2nzk3m2fhogu4ymiy Lyrics.mp3 MDM3NQ%3D%3D&exp= &s=3b041ead0ab9c4fbe612c6aef d924e48 x1xl.googlevideo.com/videoplayback?m s=au&mt= &itag=36&id=o- AKNnETaDEUa65tvbgLBC9LGUg8ZvC - ctzlzzdm95hhwq&upn=atv2schvsg U&source=youtube&sver=3&expire=14 /storage/emulated/0/do videoplaybac &key=yt5&ip= wnload/videoplayback- 17/06/2014 k-1.3gpp 4&mv=m&sparams=id%2Cip%2Cipbits 1.3gpp %2Citag%2Csource%2Cupn%2Cexpire &signature=cc09ddbae1a2ffc A08AB1802BE1341A B9C A7E494924B38F5142FCA3C9AB6D95 120&mws=yes&fexp=905024%2C %2C930008%2C931022%2C

210 %2C935018%2C939937%2C945102% 2C945513&ipbits=0&title=Angelito+corr iendo e6a1a1efdb011df cdc60& url=http%3a%2f%2fpbs.twimg.com% 2Fmedia%2FBqcOX0rCAAAEwVP.jpg oad.php?id= &eid=a Ssy4e8x6PbM7M57WwTgKEfQM0izX0 VY0OWtx29_kmbmy59wyoe704rhVOnaFaxiA4&ext= &hash =ASvWWvx_o6dB7Eww Aplicaciones /storage/emulated/0/do wnload/americo.jpg /storage/emulated/0/do wnload/resize.jpeg /storage/emulated/0/do wnload/futsala_ma SCULINO_INTERTITU LACIONES.docx 18/06/2014 americo.jpg 18/06/2014 resize.jpeg FUTSALA_ MASCULIN 24/06/2014 O_INTERTIT ULACIONES.docx Se realiza la comparación para verificar las aplicaciones instaladas, desinstaladas y descargas de aplicaciones no satisfactorias. Para verificar el dato de las aplicaciones no satisfactorias se toma como referencia la columna first_download del archivo localappstate.db, el valor 0, el cual representa que la descarga no fue satisfactoria. En el mismo archivo se encuentran todas las aplicaciones que han sido descargadas e instaladas en el dispositivo, el mismo que no define las aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml contiene el mismo número de aplicaciones que el archivo icingcorpora.db. En el archivo localappstate.db encontramos dos tablas, la primera con el nombre de android_metadata, la cual no cuenta con ningún dato, mientras que la tabla appstate contiene las siguientes columnas: package_name, auto_update, desired_version, download_uri, delivery_data, delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account, title, flags, continue_url, last_notified_version, last_update_timestamp_ms, account_for_update, auto_acquire_tags, external_referrer_timestamp_ms Siendo la tabla appstate la de interés la cual se estructura de la siguiente manera: 188

211 Tabla 69: Columnas de interés tabla appstate Columna Descripción package_name Nombre del paquete o la ruta creada por la aplicación auto_update Hace referencia a la auto descarga de actualizaciones de la aplicación, la cual 1 representa Descargar automáticamente las actualizaciones y 2 representa no realizar descargar automáticas delivery_data_timestamp_ms Representa la fecha y hora de entrega de los datos first_download_ms Representa la fecha y hora en la que se solicita la descarga account Cuenta de usuario utilizada en la descarga title Título o nombre de la aplicación Mientras que en el archivo icingcorpora.db, se registran todas las aplicaciones que se encuentran instaladas y en ejecución en el dispositivo. El mismo en el que encontramos catorce tablas, por lo que la tabla de interés es applications la cual contiene los siguientes datos: _id, display_name, icon_uri, package_name, class_name, score, uri, created_timestamp_ms Los datos de interés para el análisis de la tabla applications son: Tabla 70: Columnas de interés tabla applications Columna Descripción display_name Nombre de la aplicación package_name Nombre del paquete o la ruta creada por la aplicación created_timestamp_ms Fecha y hora de creación de la aplicación Al mismo tiempo se realiza una comparación entre los datos de los archivos localappstate.db e icingcorpora.db, prevaleciendo los datos del archivo icingcorpora.db, ya que aquí encontramos las aplicaciones que se encuentran en ejecución en el dispositivo. Encontrando los siguientes resultados: Aplicaciones instaladas Tabla 71: Listado de aplicaciones instaladas Nombre aplicación Nombre paquete Fecha y hora de instalación/actualización Dumb Ways air.au.com.metro.dumbwaystodie :08:17 189

212 Calendario com.android.calendar :15:09 Chrome com.android.chrome :15:10 Contactos com.android.contacts :15:08 Teléfono com.android.contacts :15:08 Correo electrónico com.android :15:08 Mensajes com.android.mms :15:09 Descargas com.android.providers.downloads.ui :15:09 Ajustes com.android.settings :15:09 Play Store com.android.vending :15:10 Motorbike Lite com.bakno.motorbikelite :21:28 Flow Free com.bigduckgames.flow :07:28 Misdeberes.es com.brainly.es :48:37 MOBILedit! com.compelson.meconnector :53:23 Connector Linterna com.devuni.flashlight :32:48 Flappy Bird com.dotgears.flappybird :18:50 Dropbox com.dropbox.android :15:10 PvZ 2 com.ea.game.pvz2_row :19:46 HolaMundo com.example.holamundo :42:59 Facebook com.facebook.katana :04:11 Messenger com.facebook.orca :21:18 Hill Climb Racing com.fingersoft.hillclimb :58:07 Iron Man 3 com.gameloft.android.anmp.gloftimhm :32:40 Little Big City com.gameloft.android.latam.gloftlcef :00:25 Littlest Pet Shop com.gameloft.android.latam.gloftpsho :35:00 Shark Dash com.gameloft.android.latam.gloftsdtb :00:26 Wonder Zoo com.gameloft.android.latam.gloftzoom :00:28 UNO com.gameloft.android.latam.x :00:27 Pool Live Tour com.geewa.pltmobile :52:27 Drive com.google.android.apps.docs :03:55 Maps com.google.android.apps.maps :15:11 Fotos com.google.android.apps.plus :15:11 Google+ com.google.android.apps.plus :15:11 Traductor com.google.android.apps.translate :33:01 Gmail com.google.android.gm :15:08 Ajustes de Google com.google.android.gms :15:10 Play Games com.google.android.play.games :00:00 Hangouts com.google.android.talk :15:11 Play Movies com.google.android.videos :35:04 YouTube com.google.android.youtube :15:08 Earth com.google.earth :00:00 Jetpack Joyride com.halfbrick.jetpackjoyride :06:58 Copa del Mundo com.hslsoftware.copamundo :02:40 190

213 Instagram com.instagram.android :12:20 Jalvasco Copa del com.jalvasco.football.worldcup :00:47 Mundo 2014 InstaSize com.jsdev.instasize :53:19 RealSteelWRB com.jumpgames.rswrb :52:09 Subway Surf com.kiloo.subwaysurf :22:48 Candy Crush Saga com.king.candycrushsaga :22:55 Photo Studio com.kvadgroup.photostudio :46:17 Mundial TV com.mundial2014.tv :10:37 OLX com.olx.olx :46:58 PaniniCollectors com.panini.collectors :19:03 Moto Free com.progimax.moto.free :57:53 Stun Gun Free com.progimax.stungun.free :53:42 Story Album com.samsung.android.app.episodes :15:10 Vídeo com.samsung.everglades.video :15:10 Group Play com.samsung.groupcast :15:10 Ayuda com.samsung.helphub :38:00 365Scores com.scores :26:05 Cámara com.sec.android.app.camera :15:09 Reloj com.sec.android.app.clockpackage :15:10 Música com.sec.android.app.music :15:08 Mis Archivos com.sec.android.app.myfiles :15:10 Optical reader com.sec.android.app.ocr :15:08 Calculadora com.sec.android.app.popupcalculator :15:08 Samsung Apps com.sec.android.app.samsungapps :15:09 Internet com.sec.android.app.sbrowser :15:08 S Health com.sec.android.app.shealth :15:09 S Translator com.sec.android.app.translator :15:10 Editor de vídeo com.sec.android.app.ve :11:52 Grabadora de voz com.sec.android.app.voicerecorder :15:08 Galería com.sec.android.gallery3d :15:08 S Memo com.sec.android.widgetapp.diotek.smemo :15:09 ChatON com.sec.chaton :15:09 Samsung Hub com.sec.everglades :15:08 KNOX com.sec.knox.app.container :00:00 Samsung Link com.sec.pcw :15:08 Sonic Dash com.sega.sonicdash :52:59 Skype com.skype.raider :08:13 Face Swap Lite com.swap.face.lite :42:19 TripAdvisor com.tripadvisor.tripadvisor :15:10 Twitter com.twitter.android :06:25 Beach Buggy Blitz com.vectorunit.yellow :27:37 S Voice com.vlingo.midas :15:11 191

214 Waze com.waze :55:41 WhatsApp com.whatsapp :02:39 Flickr com.yahoo.mobile.client.android.flickr :27:49 Dragon City Trucos dragon.city.trucos :09:33 DragonCity es.socialpoint.dragoncity :17:18 Flipboard flipboard.app :15:08 El Juego del Mundial io.cran.mundial :43:08 LINE jp.naver.line.android :05:34 Bear Race net.mobilecraft.bearrace :18:15 Basketball Kings net.mobilecraft.basketballkings :39:30 WatchON tv.peel.samsung.app :15:09 Aplicaciones desinstaladas Tabla 72: Aplicaciones desinstaladas Nombre aplicación New Super Mario Bros 2 Cheats Galaxy S4 Tema Carbon BBM Carrera Cartoon Blurb Checkout Xtreme Wheels ChatON Voice & Video Chat Beach Moto PEPI Skate 3D Tower Blocks Blitz Brigade: FPS online! GT Racing 2: The Real Car Exp Thor: EMO - El juego oficial GO Launcher EX (Español) GO Switch+ Rosa Tema RoboCop MOTOCROSS MELTDOWN Búsqueda de Google Síntesis de voz de Google Next honeycomb live wallpaper Next Launcher 3D Lite Version Complemento de servicio POLARIS Office Viewer 5 Fast & Furious 6: El Juego Super Thrill Rush Paquete com.a e35f49a.a a com.androidaddy.livewallpaper.galaxy.s4.carbon com.bbm com.blokwise.carreracartoon com.blurb.checkout com.bravogamestudios.xtremewheels com.coolots.chaton com.factory99.beachmoto com.foosegames.pepiskate3d com.gameclassic.towerblock com.gameloft.android.anmp.gloftinhm com.gameloft.android.anmp.gloftrahm com.gameloft.android.anmp.glofttrhm com.gau.go.launcherex com.gau.go.launcherex.gowidget.newswitchwidget com.gau.go.launcherex.theme.chabxszen com.glu.robocop com.glu.stuntracing com.google.android.googlequicksearchbox com.google.android.tts com.gtp.nextlauncher.liverpaper.honeycomb com.gtp.nextlauncher.trial com.hp.android.printservice com.infraware.polarisviewer5 com.kabam.ff6android com.ldes.speeddrift 192

215 LiveProfile Beaming Service para Beep'nGo CSR Racing Turbo Racing League Pioneer Connect Share music for Group Play AllShareCast Dongle S/W Update Samsung Print Service Plugin Samsung push service Capture Screen Trial Xtreme 3 Video Downloader - vídeo DL LINE camera Pioneer ControlApp Screen Capture Shortcut Free ADW Tema Samoled com.liveprofile.android com.mobeam.barcodeservice com.naturalmotion.csrracing com.pikpok.turbo com.pioneer.carrozzeriaconnect com.sec.android.app.mediasync com.sec.android.fwupgrade com.sec.app.samsungprintservice com.sec.spp.push com.tools.screenshot com.x3m.tx3 info.techtechapps.vid.android jp.naver.linecamera.android jp.pioneer.avsoft.android.controlapp jp.tomorrowkey.android.screencaptureshortcutfree saf.adw.theme.samoled Aplicaciones no satisfactorias Tabla 73: Aplicaciones no satisfactorias Fecha y Fecha y hora Nombre Actualización hora de Paquete solicitud aplicación automática descarga descarga completa com.dsi.ant.plugins.a ntplus com.dsi.ant.service.s ocket FIFA 14, de com.ea.game.fifa14_r EA ow SPORTS com.google.android. marvin.talkback Cuenta utilizada ferrnando19 46@gmail.c om 193

216 Anexo 2 Desarrollo fases tablet Solicitud de examen forense (Caso de prueba) SOLICITUD DE EXAMEN FORENSE Fecha de solicitud: 04/05/2014 A: Jessica Cuenca Por este medio se solicita la realización del examen forense digital, al dispositivo móvil (Tablet) marca Samsung, modelo GT-P5113, FCC ID A3LGTP5113, color plateado en posesión de Juanito Pérez. Antecedentes: En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega el Ing. Juanito Pérez ha variado sus tiempos de respuesta en su labor, puesto que se requiere determinar cuáles son las actividades en las que están ocupando la mayor parte de su tiempo y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la empresa. Se solicita determinar: Historial de navegación Descargas y Aplicaciones instaladas y desinstaladas Datos que han sido borrados o eliminados de dicho dispositivo de dichas actividades Como parte de la realización del examen forense se autoriza: SI (x) NO ( ) Otorgar acceso root al dispositivo SI (x) NO ( ) Extracción de información confidencial Una vez informado sobre los procedimientos que se llevarán a cabo, y de la importancia de los mismos para la investigación, se otorga de manera libre el consentimiento y autorización legal del presente. Por lo que se hace constar que el presente documento ha sido leído y entendido por mí en su integridad de manera libre y espontánea. Autorizan: Firma Juanito Pérez Nombres y Apellidos: Juan Alexander Pérez Domínguez Cédula de identidad: Pd: Anexo Fundamento legal (Denuncia y/o contrato) La persona o institución auditora se compromete a cumplir con los artículos establecidos, de acuerdo al marco legal o regulatorio del país, cuyos estatutos establezcan que dicha persona o institución realice alguna alteración en la información encontrada y analizada en los dispositivos móviles que determinen la resolución del caso de estudio. 194

217 Fase de identificación y preservación UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja Club de seguridad, UTPL- TECH, CID SECURE Código: FIP001 -C002 Fase: Identificación y preservación Fecha (DD/MM/AAAA) de incautación: 05/05/2014 Hora: 18:36:00 Otras evidencias: Huellas dactilares ( ) ADN ( ) Sin relevancia (x) Lugar y ubicación de incautación: Oficinas de la empresa XYZ 1) Evaluación caso de estudio Código caso de estudio: C002 a) Descripción: Caso de prueba En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo conforman. El Director de Control Interno ha notado que a partir de dicha entrega el Ing. Juanito Pérez ha variado sus tiempos de respuesta en su labor, puesto que se requiere determinar cuáles son las actividades en las que está ocupando la mayor parte de su tiempo y verificar si están fuera del contexto empresarial. Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la empresa. b) Objetivo caso de estudio Determinar: Actividades, como historial de navegación y descargas realizadas Aplicaciones instaladas y desinstaladas. c) Propietario(s) dispositivo Ing. Juanito Pérez d) Equipo de trabajo (Responsables) Tabla 74: Equipo de trabajo tablet Identificación Nombres y apellidos Rol Jessica Cuenca Investigadores/Peritos 195

218 Danilo Jaramillo Jessica Cuenca Custodios Jessica Cuenca Examinadores/Analistas 2) Procedimiento: a) Observaciones Al ser un caso de estudio de prueba, se ha dispuesto no dar acceso root al dispositivo móvil y verificar que datos se pueden extraer. Continuando con el proceso forense como primera instancia no se debe llevar a cabo ningún proceso forense externo (e.g Toma de huellas dactilares, etc.). Al momento de la incautación no se dispone de bolsas antiestáticas, sin embargo se ha tomado como medida el uso de papel aluminio y así bloquear la comunicación o sincronización con un medio externo. b) Materiales Los siguientes equipos y/o materiales a ser utilizados queda a discreción de los responsables de la investigación forense, entre ellos tenemos: Tabla 75: Materiales Material Si No Computador para análisis X Cámara fotográfica X Guantes de látex para la manipulación del dispositivo X Etiquetas adhesivas X Documentos para establecer notas X Adaptador de puertos USB X Cables para la comunicación de datos X Cable para energizar los dispositivos X Lectora de tarjeta SIM X Lectora de tarjeta externa (SD card, micro SD) X Software suministrado por el fabricante del dispositivo móvil X Equipo para aislar las comunicaciones (Jaula de Faraday, Papel aluminio, etc.) X Software forense (Oxygen Forensic, Autopsy, MOBILedit, BitPim, etc.) X c) Procedimiento A solicitud del interesado se realiza la entrega de un dispositivo móvil con las características detalladas en la tabla adjunta. 196

219 El dispositivo se encuentra encendidos, por lo que se procede a colocar en modo avión. El dispositivo no cuenta con un patrón de bloqueo, contraseña o PIN. Se realiza la toma de fotografías de los dispositivos y periféricos asociados. Adjunto registro visual. Se procede a etiquetar cada dispositivo y periféricos asociados (Códigos detallados en la tabla adjunta) y continuamente a sellar para el respectivo proceso de empaquetado y transporte. El dispositivo se colocan en papel aluminio para aislar la comunicación con la red móvil o wifi, etc. Se firma el presente documento, como parte de la solicitud de examen forense. Se adjunta la presente documentación con copia respectiva a los involucrados. Se dispone de caja de cartón en la que se adjunta los periféricos o dispositivos entregados, se sella y transporta al laboratorio (UTPL-TECH, Club de seguridad), manteniendo la integridad de la evidencia. 3) Descripción evidencia Tabla 76: Descripción evidencia tablet EVIDENCIA Cód. Etiqueta Cant. Dispositivo Estado Descripción Componentes o periféricos asociados Sistema Operativo Android Marca: Samsung Modelo: GT-P5113 FCC ID: A3LGTP5113 RATED/CARGA: 5V -2A Manuales ( ) C001- T001 1 Tablet Encendido (x) Apagado ( ) Bloqueado ( ) Nuevo S/N: R32C600XS1M Conectividad a internet: Wifi Almacenamiento: 16GB Color: Plateado Puerto: USB Cargador (x) Batería ( ) Tarjeta externa ( ) SIM CARD ( ) Cables (x) Cámara frontal y posterior Otros ( ) Entrada/Salida de audio: Auriculares, Altavoces Pantalla: 10 Touch Screen Batería: 100% 197

220 Código etiqueta empresa: Marca: Samsung Modelo No. ETA-P11X C001- Input: V Incluye cable de datos, T002 1 Cargador Nuevo Output: 5V-2A USB Frecuencia: 50/60Hz 0.35A S/N: C001- Cable de T003 1 N/A Marca: Samsung N/A datos Notas Adjuntar registro visual (fotografías, croquis de ubicación de cada uno de los objetos de evidencia, etc.) 4) Aprobación f:.... f:.... f:.... Ing. Juanito Pérez Ing. Danilo Jaramillo Sra. Jessica Cuenca Propietario 1 Investigador/Perito Custodio Examinador/ Analista 5) Registro visual Tabla 77: Registro visual tablet Tablet 198

221 Fase de adquisición Continuamente se procede a realizar la adquisición de los datos del dispositivo mediante la obtención de un backup y de una copia bit a bit del dispositivo. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja Club de seguridad, UTPL- TECH, CID SECURE Código: FA001 -C002 Fase: Adquisición Fecha de recepción: 06/05/2014 Hora: 09:00:00 Fecha de examen: 07/05/2014 Hora: 09:00:00 Código caso de estudio: C002 Dispositivo: Tablet 1) Caso de estudio (Caso de prueba) a) Objetivo caso de estudio Determinar: Actividades, como historial de navegación y descargas realizadas 199

222 Aplicaciones instaladas y desinstaladas. b) Equipo de trabajo (Responsables) Tabla 78: Equipo de trabajo fase adquisición Identificación Nombres y apellidos Rol Jessica Cuenca Danilo Jaramillo Investigadores/Peritos Jessica Cuenca Custodios Jessica Cuenca Examinadores/Analistas 2) Procedimiento a) Observaciones Para acceder a la información que genera el usuario y realizar la copia bit a bit del sistema de ficheros del dispositivo se ha procedido a rootear el dispositivo, concediendo un acceso root. b) Herramientas Las herramientas o softwares utilizados para la adquisición de la copia se detalla a continuación: Tabla 79: Herramientas fase adquisición Herramienta Descripción SDK de Android Nos brinda el acceso al dispositivo, mediante vía ADB Odin3 v3.07 Software de flasheo (de ROM) para dispositivos móviles Samsung, que permite la instalación de un nuevo Recovery y realizar modificaciones sobre el kernel para obtener acceso root Firmware oficial Firmware oficial denominado CF-Auto-Root-espresso10wifi-espresso10wifibbygtp5113.tar.md5 - Galaxy Tab GTP5113. Permite el flasheo del BootLoader o reescribir el sector de arranque incluyendo el Recovery official de Samsung. Oxygen Forensic Herramienta forense de tipo comercial, que permite la extracción de los datos del dispositivo. Md5 summer Me permite calcular el hash de la imagen c) Procedimiento Antes de realizar la copia bit a bit se procedió a rootear tomando como referencia a (Nasir, 2013) realizando lo siguiente: 200

223 1) Descargar y descomprimir el firmware de acuerdo al modelo 2) Descargar Odin (versión actualizada a la fecha) 3) Apagar el dispositivo y arrancar en modo download (Pulsando los botones de power y de volumen de arriba o abajo al mismo tiempo, esta opción cambia en cada modelo) 4) Conectar el dispositivo al PC y ejecutar Odin (como administrador) Figura 58: Pantalla principal Odin 5) Marcar el campo AP y buscar el firmware Figura 59: Buscar firmware 6) Asegurarse que el campo Re-Partition no este marcado, verificar que el puerto COM este de color verde o Pass 201

224 Figura 60: Verificar puerto COM 7) Click en Start o inicio y esperar a que se instale el firmware 8) El dispositivo se reiniciará automáticamente 9) Finalmente deberás verificar la instalación del apk de SuperSu o se deberá descargar 10) Se puede verificar el acceso root mediante la conexión vía ADB Figura 61: Verificar acceso root Figura 62: Visualización dispositivos 11) Continuamente para la obtención de la copia bit a bit y/o back up se realizó lo siguiente: Conectar el dispositivo al equipo mediante el cable de datos USB Realizar la copia de seguridad (back up) de los datos del dispositivo o Ejecutar cmd o Uso de los comandos adb Visualizamos los dispositivos conectados con adb devices 202

225 Realizar copia con adb backup f C:/backups/tablet.ab apk shared all system Confirmar en el dispositivo la copia de seguridad de datos sin introducir contraseña (la contraseña no es necesaria, a menos que se requiera utilizar en una restauración de los datos) Al finalizar la copia, la aplicación del dispositivo se cerrará automáticamente. Figura 63: Comando para obtener backup Para realizar la copia bit a bit debe conectar vía ADB y verificar si se es root o súper usuario, caso contrario realizar el proceso de rooteo. Para dicho proceso se dispone de dos opciones: o Contar con una herramienta compatible con el dispositivo y realizar rooteo temporal o Caso contrario realizar un rooteo permanente Una vez que se cuenta con acceso root, acceder como súper usuario y ejecutar lo siguiente: o Como solo contamos con un dispositivo conectado Ingresar adb shell para conocer la composición del sistema de ficheros y verificar la ruta de los datos que se va analizar, digite mount Figura 64: Estructura del sistema de ficheros Tablet 203

226 Figura 65: Fichero a obtener En vista de que el dispositivo no cuenta con una tarjeta externa, procedemos a colocar la imagen en la partición sdcard interno del dispositivo. Digitamos adb shell su dd if=/dev/block/platform/omap/omap_hsmmc.1/by-name/datafs of=/sdcard/data.img bs=4096 o dd if=/dev/block/mmcblk0p10 of=/sdcard/data.img bs=4096 o Traspaso de la imagen al computador con adb pull /sdcard/data.img c:/copias/tablet Figura 66: Obtención copia bit a bit 204

227 Figura 67: Traspaso imagen a equipo Una vez que hemos pasado el archivo (copia bit a bit) del dispositivo al equipo, procedemos a eliminar el mismo del dispositivo, creada en la partición sdcard, ya que esta nos ocupa espacio en el dispositivo. o adb shell o cd sdcard o ls para ver el archivo o rm data.img o ls para comprobar si aún está el archivo Figura 68: Comprobar archivo imagen Figura 69: Eliminar archivo imagen del dispositivo 205

228 Adquirir copia bit a bit Calcular hash sha1 y md5 o Utilizamos la herramienta MD5Summer Firma MD5 data.img : Firma SHA1 data.img : 5166e741a8235d53ca666eaddbd2b74a d23efb7bc225665b82f5bb6816eabbb3d6 Figura 70: Pantalla de presentación -MD5 Summer Figura 71: Seleccionar archivo y tipo de hash -MD5 Summer Figura 72: Crear hash- MD5 Summer 206

229 Figura 73: Generando hash - MD5 Summer Figura 74: Guardar archivo hash -MD5 Summer Figura 75: Archivo hash generado con md5 - MD5 Summer 207

230 Figura 76: Archivo hash generado con sha1 - MD5 Summer Figura 77: Archivos hash - MD5 Summer o Visualizar características dispositivo con adb shell getprop Figura 78: Comando adb shell getprop 208

231 También se procedió a realizar la copia bit a bit con la herramienta Oxygen Forensic 2014, realizando lo siguiente: o Conectar el dispositivo al equipo y seleccionar la opción Auto device conecction o Ingrese el número de caso, y el nombre del propietario del dispositivo o Seleccionar la opción Advanced mode o Seleccionar la opción Physical dump, Android backup, y Logical Extraction Next Extract y esperar a que termine el proceso o Seleccionar la opción Save to archive y Finish A continuación se detalla el proceso gráfico: Figura 79: Elegir opción conectar dispositivo Figura 80: Datos dispositivo 209

232 Figura 81: Ingreso datos Figura 82: Seleccionar modo de extracción 1 /2 Figura 83: Seleccionar modo de extracción 2/2 210

233 Figura 84: Realizar extracción Figura 85: Proceso de extracción 1 /2 Figura 86: Proceso de extracción 2/2 211

234 Figura 87: Guardar archivos generados o Una vez obtenida la copia bit a bit Oxygen forensic me brinda las siguientes opciones: Opción información dispositivo Figura 88: Información dispositivo1/2 - Oxygen Forensic 212

235 Figura 89: Información dispositivo 2/2 - Oxygen Forensic Opción agenda telefónica Figura 90: Agenda telefónica - Oxygen Forensic Opción registro del evento (Llamadas) Figura 91: Registro de llamadas - Oxygen Forensic 213

236 Opción Explorador de archivos Figura 92: Explorador de archivos 1/3 - Oxygen Forensic En esta opción se ha adquirió los archivos databases necesarios para el respectivo análisis de los mismos. Figura 93: Explorador de archivos 2/3 - Oxygen Forensic Figura 94: Explorador de archivos 3/3 - Oxygen Forensic 214

237 Se procede a guardar los archivos y documentar el proceso realizado. d) Características evidencia Tabla 80: Características tablet DISPOSITIVO MÓVIL Cód. etiqueta dispositivo: C001-T001 Tipo de dispositivo móvil: Tablet Número de teléfono N/A Propietario Ing. Juanito Pérez Marca Samsung Modelo GT-P5113, Galaxy Tab S/N R32C600XS1M Estado Encendido (x) Apagado ( ) Características Físicas Pantalla: 10 Touch Screen Procesador: Omap IMEI: FCC ID: A3LGTP5113 IC: N/A Interfaz de conexión (USB, HDMI, etc.): USB Teléfono bloqueado: SI ( ) NO (x) Tarjeta externa: SI ( ) NO (x) SIM CARD: SI ( ) NO (x) Cámara: SI (x) Dual Camera Frontal y NO ( ) trasera Capacidad para capturar imágenes: SI (x) NO ( ) Capacidad para capturar video: SI (x) NO ( ) Resolución cámara: 32 MP Características Lógicas Idioma SO: Español Sistema Operativo: Android Versión del SO: Versión de núcleo: Linux version (se.infra@r ) (gcc version (Sourcery G++ Lite 2010q1-202) ) #1 SMP PREEMPT Tue Nov 19 18:37:42 KST 2013 Número de compilación: espresso10wifibby-user JDQ39 P5113UEUCMK3 releasekeys Id dispositivo: c b5f Espacio de almacenamiento Interno: 16GB Soporta modo de vuelo: SI (x) NO ( ) Servicios de conexión 215

238 Bluetooth: SI (x) NO ( ) Wi-Fi: SI (x) NO ( ) IrDa (Infrarrojo): SI ( ) NO (x) SIM Card Operadora: N/A ICC: N/A PIN: N/A PUK: N/A Tarjeta externa Tipo: N/A S/N: N/A Espacio de almacenamiento: N/A Espacio disponible: N/A Batería Removible: SI ( ) NO (x) Nivel de Batería: 100% Fabricante: Samsung Capacidad de voltaje: 5V -2 A S/N: N/A Cargador Código etiqueta cargador: C001-T002 Marca Samsung Modelo No: ETA-P11X Input: V Output: 5V -2 A Frecuencia: 50/60Hz 0.35 A S/N: Cable de datos: SI (x) NO ( ) Código etiqueta cable de datos: C001-T003 3) Referencias Para realizar el backup, mediante ADB se cuenta con la siguiente información. Información que mediante la consola de comandos con adb help se obtiene una breve explicación. adb backup [-f <file>] [-apk -noapk] [-shared -noshared] [-all] [-system nosystem] [<packages...>] Tabla 81: Descripción adb -f <file> Indicaremos la ruta donde se almacenara la copia de seguridad 216

239 Por ejemplo: -f C:/backup ab -apk -noapk -shared noshared -all -system nosystem <packages> Indica si incluir o no las apks o solo sus configuraciones (Por defecto es -noapk) Activa/desactiva la copia del contenido de la sd card (Por defecto es -noshared) Copia todas las aplicaciones instaladas Incluye o no automáticamente todas las aplicaciones del sistema (Por defecto las incluye) Aquí podemos hacer un listado concreto de aplicaciones que queremos exportar en caso de no querer exportarlas todas. Por ejemplo com.game.nombreaplicacion En cambio para la obtención de la copia bit a bit se expone lo siguiente: dd if=[ruta_origen/archivo_origen] of=[ruta_destino/nombre_archivo.img] bs=4096 adb pull [ruta_origen/nombre_archivo.img] [archivo_destino] Fase de análisis y exploración Para la fase de análisis y exploración se ha considerado el estudio y análisis del fichero perteneciente a la carpeta /data/. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja Club de seguridad, UTPL- TECH, CID SECURE Código: FAE001 C002 Fase: Análisis y exploración Fecha de recepción: 06/05/2014 Hora: 09:00:00 Fecha de examen: 07/05/2014 Hora: 09:00:00 Código caso de estudio: C002 Dispositivo: Tablet Nombre imagen: data.img y Samsung Galaxy Tab 2 10.mmcblk0 Firma MD5 data.img : 5166e741a8235d53ca666eaddbd2b74a Firma SHA1 data.img : d23efb7bc225665b82f5bb6816eabbb3d6 Cuenta asociada: zeusprince8@gmail.com, jkatecuenca@gmail.com 1) Procedimiento a) Alcance Analizar: Historial de navegación Descargas 217

240 Aplicaciones instaladas Aplicaciones desinstaladas b) Herramientas Tabla 82: Herramientas fase de análisis Herramienta Descripción Access Data FTK Visualización del contenido de la copia. Extracción de los archivos de Imager interés SQLite Data Browser Visualización de los datos registrados en cada una de los archivos Microsoft Excel Me permite comparar los datos de las columnas package_name Md5summer Verificación de hash c) Archivos Los archivos a analizar, los cuales contienes los datos de las aplicaciones, el historial de navegación y las descargas realizadas por el usuario se encuentran en las siguientes direcciones: Tabla 83: Ruta archivos a analizar Objetivo Ruta Archivo Historial de navegación /data/data/com.android.browser/databases/ browser2.db Descargas /data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db data/data/com.android.vending/databases/ localappstate.db data/data/com.google.android.googlequicksearchbox/databa ses/ Aplicaciones icingcorpora.db dmappmgr.db data/system/ packages.xml d) Procedimiento Utilización de la copia, obtenida en la fase anterior Se procedió a visualizar del contenido de la copia con la ayuda de FTK Imager 218

241 Figura 95: Visualizar contenido en FTK Imager El estudio y análisis del fichero que se realiza a la carpeta /data/ extraída de la ruta /dev/block/platform/omap/omap_hsmmc.1/by-name/datafs, la cual contiene los datos del usuario y de las aplicaciones, se encuentra la siguiente estructura: Figura 96: Contenido imagen Tabla 84: Descripción contenido Directorio Descripción root Contiene todos los archivos extraídos Anr Contiene el archivo traces.txt.bugreport 219

242 App Contienes las aplicaciones en formato.apk App-asec Vació App-lib Contiene las librerías generados por las apps App-private Vació Backup Vació clipboard Vació Dalvick-cache Contienes los clases.dex de las apps Data Contiene la información del usuario y de las aplicaciones Dontpanic Vació Drm Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido interno vació Gps Contiene lto2.dat y ltostatus.txt Local Contiene el fichero tmp (boomsh, busybox, crashlog, output, sh, zergrush) log Contien los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz, lock, poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt, power_off_reset_reason_backup.txt, PreloadInstaller.txt, recovery_kernel_log.txt, recovery_last_kernel_log.txt, recovery_log.txt y Status.dat Lost+found Vació Media Ficheros 0 (ficheros accesibles para el usuario), legacy, obb Misc Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio, sms, systemkeys, vpn, wifi Monitor Vació Property Ficheros de configuración Resource-cache Vació sc Vació Smc Ficheros counter.bin, storage.bin y system.bin Ssh Vació System Vació Tombstones Vació User Fichero perteneciente al usuario Espacio no asignado Contiene dos archivos denominados y Mientras que en la imagen generada por Oxygen Forensic, denominado Samsung Galaxy Tab 2.10.mmcblk0 Encontramos lo siguiente en la carpeta DATAFS: 220

243 Figura 97: Contenido de imagen obtenida con Oxygen Forensic Figura 98: Contenido de imagen obtenida con Oxygen Forensic Tabla 85: Descripción contenido de imagen obtenida con Oxygen forrensic Directorio Descripción DATAFS Contenedor de los ficheros 221

244 root Anr App App-asec App-lib App-private Backup clipboard Dalvick-cache Data Dontpanic Drm Gps Local log Lost+found Media Misc Monitor Property Resource-cache sc Smc Ssh System Tombstones User Espacio no asignado Contiene todos los archivos extraídos Contiene el archivo traces.txt.bugreport Contienes las aplicaciones en formato.apk Vació Contiene las librerías generados por las apps Vació Contiene los backup generados por com.android.internal.backup.localtransport, com.android.server.enterprise.edmbackuptransport, com.google.android.backup.backuptransportservice y pending Contiene los archivos _351_350, knox Contienes los clases.dex de las apps Contiene la información del usuario y de las aplicaciones Vació Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido interno vació Contiene lto2.dat y ltostatus.txt Contiene el fichero tmp (boomsh, busybox, crashlog, output, sh, zergrush) Contien los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz, lock, poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt, power_off_reset_reason_backup.txt, PreloadInstaller.txt, recovery_kernel_log.txt, recovery_last_kernel_log.txt, recovery_log.txt y Status.dat Vació Ficheros 0 (ficheros accesibles para el usuario), legacy, obb Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio, sms, systemkeys, vpn, wifi Contiene el archive netstats el mismo que se encuentra vació Ficheros de configuración Vació Vació Ficheros counter.bin, storage.bin y system.bin Contiene el archivo empty, el mismo que se encuentra vació Contiene los archivos creados en el sistema.cmanager, analytics, cache, container, databases, dropbox, enterprise, gps, hdcp2, inputmethod, netstats, registered_services, shared_prefs, sync, throttle, usagestats y users Contiene los ficheros tombstone_00, tombstone_01, tombstone_02, tombstone_03, tombstone_04, tombstone_05, tombstone_06, tombstone_07, tombstone_08 y tombstone_09 Fichero perteneciente al usuario Contiene dos archivos denominados y

245 Seguidamente se extrae los archivos databases de las rutas anteriormente mencionadas, las cuales contienen los mismos datos, de las imágenes generadas anteriormente. Se visualizó el contenido de los archivos con el lector de sql (SQLiteBrowser) Tabla 86: Datos archivos Objetivo Archivo Tabla Historial de navegación browser2.db History Descargas sisodownloads.db Sisodownloads icingcorpora.db Applications Aplicaciones localappstate.db Appstate dmappmgr.db ApplicationControl Figura 99: Tablas archivo browser2 Figura 100: Datos archivo browser2 - Tabla History 223

246 Figura 101: Tablas archivo sisodownloads Figura 102: Datos archivo sisodownloads - Tabla sisodownloads Figura 103: Tablas archivo icingcorpora 224

247 Figura 104: Datos archivo icingcorpora- Tabla applications Figura 105: Tablas archivo localappstate Figura 106: Datos archivo localappstate - Tabla appstate 225

248 Para verificar las aplicaciones instaladas y desinstaladas, se realizó la exportación de los datos a csv. El visor del mismo es Microsoft Excel. 2) Resultados Figura 107: Exportación datos a archivo con extensión ".csv" Historial de navegación El archivo browser2.db nos encontramos con las siguientes tablas _sync_state, _sync_state_metadata, android_metadata, bookmarks, history, images, opbookmarks, sbookmarkwidget, searches, settings, sqlite_sequence y thumbnails para lo cual se analizara la tabla history que contiene las siguientes columnas: _id, title, url, created, date, visits, user_entered Los datos de interés para el análisis de la tabla history son: Tabla 87: Columnas de interés tabla history Columna Descripción title Título de la página web consultada url url o dirección web de la página consultada date Fecha en la que se realiza la consulta visits Número de visitas realizadas a la página web 226

249 Datos: Tabla 88: Datos historial de navegación sin convertir fecha title url date visits Web Authentication Redirect PÃ gina web no disponible Web Authentication Redirect YouTube - Broadcast Yourself. - Buscar con Google YouTube - Broadcast Yourself - YouTube FINAL CAMPEONATO EUROPA 2007 VOLEIBOL RUSIA 2-3 ESPAÃ A (Parte 3) - YouTube PÃ gina web no disponible Web Authentication Redirect Web Authentication Web Authentication Web Authentication Universidad Tecnica Particular de Loja - U T P L Ecuador Web Authentication Redirect PÃ gina web no disponible -institucionales/relaciones-nacionales edir_esc=&hl=es&source=android-browsersuggest&v= &qsubts= &q=YouTube%20- %20Broadcast%20Yourself J g t=m.youtube.com/watch?v=ahx7la7zpr t= /generate_ h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53: &wlan=personal_utpl&redirect= /generate_ h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53:20 227

250 Web Authentication Web Authentication PÃ gina web no disponible PÃ gina web no disponible Google archivo de android que contiene las actividades del dispositivo - Buscar con Google oginutpl/index.php Universidad TÃ cnica Particular de Loja Curso: PROYECTO DE FIN DE CARRERA PLATINIUM II GP4.2 [A] loginutpl/index.php Google cyanomod - Buscar con Google cyanomodgen - Buscar con Google CyanogenMod Android Community Operating System CyanogenMod Downloads &wlan=personal_utpl&redirect=m.youtube. com/watch?v=ahx7la7zpr0 t= /generate_ t= h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53: &wlan=personal_utpl&redirect= /generate_204 h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53: &wlan=personal_utpl&redirect= du.ec/ 2HU-3_EYTA8Qaiw4CYBA CQU-quL9Dn9Aah14GgCA CQU-quL9Dn9Aah14GgCA#q=cyanomod l 228

251 CyanogenMod Downloads Rescue Root One Click Root Android Software Download Rescue Root! Confirms Root Support for Free Encuestas para facebook Encuestas para facebook root samsung galaxy tab gt-p5113 android Buscar con Google Update Samsung Galaxy Tab (GT- P5113) WiFi to Android How to Root Galaxy Tab GT-P5113 Running Android JB Stock Firmware NasirTech #1 Samsung Firmware Destination Galaxy Tab (P5100/P5110/P5113): Instalar Android con Root CF-Root Download Web Authentication l/app b2014?mobile=1&ref=web_canvas&from=ad min_wall#_=_ melab2014/forms/ /thankyou =&hl=es-es&safe=images&oe=utf- 8&q=rootear%20samsjng&source=android browser- type&qsubts= &devloc=0 galaxy-tab gt-p5113-wifi-to-android / galaxy-tab p5113-running-android- 422-jb-stock-firmware.html Root/CF-Auto-Root/CF-Auto-Rootespresso10wifi-espresso10wifibbygtp5113.zip t= Web Authentication

252 Web Authentication Se procede a convertir la fecha, para su respectiva interpretación. h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&redirect= du.ec/vinculacion/relacionesinstitucionales/relaciones-nacionales h/login.html?switch_url= du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&statuscode=5&redir ect= Tabla 89: Datos historial de navegación title url date visits Web Authentication Redirect 05:13:45 1 PÃ gina web no disponible 04:19:45 5 Web Authentication Redirect -institucionales/relaciones-nacionales 04:19: YouTube - Broadcast edir_esc=&hl=es&source=android-browsersuggest&v= &qsubts= Yourself. - Buscar con 05:32:44 Google 459&q=YouTube%20-1 %20Broadcast%20Yourself. YouTube - Broadcast Yourself - YouTube 8 05:33:05 4 FINAL CAMPEONATO EUROPA VOLEIBOL RUSIA 2-3 2J8 05:39:23 ESPAÃ A (Parte 3) - 6 YouTube PÃ gina web no disponible 06:29:17 1 Web Authentication Redirect g 06:29:17 1 Web Authentication t=m.youtube.com/watch?v=ahx7la7zpr0 06:56:36 2 Web Authentication t= /generate_204 06:30:03 1 Web Authentication

253 h/login.html?switch_url= 06:30:03 du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&redirect= /generate_204 Universidad Tecnica Particular de Loja - U T 05:09:58 P L Ecuador 3 Web Authentication Redirect 06:56: h/login.html?switch_url= PÃ gina web no du.ec/login.html&ap_mac=2c:3f:38:31:53:20 disponible 06:56:36 &wlan=personal_utpl&redirect=m.youtube. 1 com/watch?v=ahx7la7zpr0 Web Authentication t= /generate_204 06:56:36 1 Web Authentication t= 06:56: h/login.html?switch_url= PÃ gina web no du.ec/login.html&ap_mac=2c:3f:38:31:53:20 disponible 06:56:37 &wlan=personal_utpl&redirect= /generate_204 h/login.html?switch_url= PÃ gina web no du.ec/login.html&ap_mac=2c:3f:38:31:53:20 disponible 06:56:37 &wlan=personal_utpl&redirect= 1 du.ec/ Google HU-3_EYTA8Qaiw4CYBA 05:10:28 2 archivo de android que contiene las actividades del dispositivo - Buscar 05:11:21 1 con Google oginutpl/index.php 05:12:10 1 Universidad TÃ cnica Particular de Loja 05:12:49 2 Curso: PROYECTO DE FIN DE CARRERA PLATINIUM II GP :13:18 1 [A]

254 loginutpl/index.php 05:17:07 Google CQU-quL9Dn9Aah14GgCA 10:20:42 cyanomod - Buscar con Google 10:21:07 cyanomodgen - Buscar con Google CQU-quL9Dn9Aah14GgCA#q=cyanomod 10:21:07 CyanogenMod Android Community Operating 10:21:12 System CyanogenMod Downloads l 19:57:45 CyanogenMod Downloads l/app 10:24:13 Rescue Root One Click Root Android 19:57:35 Software Download Rescue Root! Confirms Root 18:59:42 Support for Free Encuestas para facebook b2014?mobile=1&ref=web_canvas&from=ad 03:33:56 min_wall#_=_ Encuestas para facebook 19:57:35 melab2014/forms/ /thankyou root samsung galaxy =&hl=es-es&safe=images&oe=utftab gt-p &q=rootear%20samsjng&source=android- android Buscar 19:58:27 browser- type&qsubts= &devloc=0 con Google Update Samsung Galaxy Tab (GT galaxy-tab gt-p5113-wifi-to-android-4- P5113) WiFi to Android 04:15:47 2-2/ How to Root Galaxy Tab GT-P5113 Running Android JB Stock Firmware galaxy-tab p5113-running-android- 20:00:39 NasirTech #1 422-jb-stock-firmware.html Samsung Firmware Destination

255 Galaxy Tab (P5100/P5110/P5113): Instalar Android :22:30 17 con Root CF-Root Download Root/CF-Auto-Root/CF-Auto-Rootespresso10wifi-espresso10wifibby :23:08 4 gtp5113.zip Web Authentication t= :19: h/login.html?switch_url= Web Authentication du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&redirect= :19:06 1 du.ec/vinculacion/relacionesinstitucionales/relaciones-nacionales h/login.html?switch_url= Web Authentication du.ec/login.html&ap_mac=2c:3f:38:31:53:20 &wlan=personal_utpl&statuscode=5&redir :57:28 3 ect= Descargas En el archivo sisodownloads.db se encuentran tres tablas android_metadata, sisodownloads y sqlite_secuence, para lo cual se analizara la tabla sisodownloads que contiene las siguientes columnas: _id, uri, method, entity, no_integrity, hint, otaupdate, _data, mimetype, destination, no_system, visibility, control, status, numfailed, lastmod, notificationpackage, notificationclass, notificationextras, cookiedata, useragent, referer, total_bytes, current_bytes, etag, uid, otheruid, title, description, downloadmethod, state, storagetype, dd_primarymimetype, dd_secondarymimetype1, dd_secondarymimetype2, dd_filename, dd_vendor, dd_description, dd_contentsize, dd_objurl, dd_notifyurl, dd_majorversion, scanned Los datos de interés para el análisis de la tabla sisodownloads son: 233

256 Tabla 90: Columnas de interés tabla sisodownloads Columna Descripción Uri Link de descarga lastmod Fecha y hora de descarga _data Ruta en la que se guardó la descarga useragent Datos como navegador, Versión del sistema operativo, idioma del sistema operativo, número de modelo del dispositivo. title Nombre de la descarga Datos: Tabla 91: Datos de las descargas sin convertir fecha uri hint lastmod useragent title ngn.com/oneclick.apk file:///storage/emul ated/0/download/ OneClick.apk file:///storage/emul m/downloadlaunc ated/0/download/ 342 her.ashx?cid=134 RescueRoot.exe 9 file:///storage/emul m/downloadlaunc ated/0/download/ 482 her.ashx?cid=134 RescueRoot.exe 9 file:///storage/emul m/downloadlaunc ated/0/download/ 336 her.ashx?cid=134 RescueRoot.exe 9 file:///storage/emul m/downloadlaunc ated/0/download/ 479 her.ashx?cid=134 RescueRoot.exe 9 Mozilla/5.0 (Linux; U; OneClick.apk Android 4.2.2; es-es; GT- P5113 Build/JDQ39) AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/ Mozilla/5.0 (Linux; U; RescueRoot.exe Android 4.2.2; es-es; GT- P5113 Build/JDQ39) AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/ Mozilla/5.0 (Linux; U; RescueRoot-1.exe Android 4.2.2; es-es; GT- P5113 Build/JDQ39) AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/ Mozilla/5.0 (Linux; U; RescueRoot-2.exe Android 4.2.2; es-es; GT- P5113 Build/JDQ39) AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/ Mozilla/5.0 (Linux; U; RescueRoot-3.exe Android 4.2.2; es-es; GT- P5113 Build/JDQ39) AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/

257 file:///storage/emul Mozilla/5.0 (Linux; U; RescueRoot-1- m/downloadlaunc ated/0/download/ 386 Android 4.2.2; es-es; GT- 1.exe her.ashx?cid=134 RescueRoot.exe P5113 Build/JDQ39) 9 AppleWebKit/ (KHTML, like Gecko) Version/4.0 Safari/ Convertir fecha: Tabla 92: Datos de las descargas uri hint lastmod useragent title Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GT-P file:///storage/em Build/JDQ39) cyngn.com/one ulated/0/downlo 10:24:21 AppleWebKit/ (KHTML, Click.apk ad/oneclick.apk like Gecko) Version/4.0 OneClick.apk Safari/ om/downloadla uncher.ashx?cid file:///storage/em ulated/0/downlo ad/rescueroot :00:08 Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GT-P5113 Build/JDQ39) AppleWebKit/ (KHTML, RescueRoot. exe =1349 exe like Gecko) Version/4.0 Safari/ om/downloadla uncher.ashx?cid file:///storage/em ulated/0/downlo ad/rescueroot :00:13 Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GT-P5113 Build/JDQ39) AppleWebKit/ (KHTML, RescueRoot- 1.exe =1349 exe like Gecko) Version/4.0 Safari/ om/downloadla uncher.ashx?cid file:///storage/em ulated/0/downlo ad/rescueroot :00:22 Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GT-P5113 Build/JDQ39) AppleWebKit/ (KHTML, RescueRoot- 2.exe =1349 exe like Gecko) Version/4.0 Safari/ om/downloadla uncher.ashx?cid =1349 file:///storage/em ulated/0/downlo ad/rescueroot. exe :00:37 Mozilla/5.0 (Linux; U; Android 4.2.2; es-es; GT-P5113 Build/JDQ39) AppleWebKit/ (KHTML, RescueRoot- 3.exe 235

258 like Gecko) Version/4.0 Safari/ Mozilla/5.0 (Linux; U; Android file:///storage/em 4.2.2; es-es; GT-P5113 om/downloadla ulated/0/downlo Build/JDQ39) RescueRoot- uncher.ashx?cid ad/rescueroot. 19:00:48 AppleWebKit/ (KHTML, 1-1.exe =1349 exe like Gecko) Version/4.0 Safari/ Tabla 93: Número de descargas title # de descargas OneClick.apk 1 RescueRoot.exe 5 Aplicaciones Se realiza la comparación para verificar las aplicaciones instaladas, desinstaladas y descargas de aplicaciones no satisfactorias. Para verificar el dato de las aplicaciones no satisfactorias se toma como referencia la columna first_download del archivo localappstate.db, el valor 0, el cual representa que la descarga no fue satisfactoria. En el mismo archivo se encuentran todas las aplicaciones que han sido descargadas e instaladas en el dispositivo, el mismo que no define las aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml contiene el mismo número de aplicaciones que el archivo icingcorpora.db. En el archivo localappstate.db encontramos dos tablas, la primera con el nombre de android_metadata, la cual no cuenta con ningún dato, mientras que la tabla appstate contiene las siguientes columnas: package_name, auto_update, desired_version, download_uri, delivery_data, delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account, title, flags, continue_url, last_notified_version, last_update_timestamp_ms, account_for_update, auto_acquire_tags, external_referrer_timestamp_ms La estructura de la tabla appstate es: Tabla 94: Estructura tabla appstate 236

259 Columna package_name auto_update delivery_data_timestamp_ms first_download_ms account title Descripción Nombre del paquete o la ruta creada por la aplicación Hace referencia a la auto descarga de actualizaciones de la aplicación, la cual 1 representa Descargar automáticamente las actualizaciones y 2 representa no realizar descargar automáticas Representa la fecha y hora de entrega de los datos Representa la fecha y hora en la que se solicita la descarga Cuenta de usuario utilizada en la descarga Titulo o nombre de la aplicación Datos: Tabla 95: Datos aplicaciones package_name auto_up date delivery_data _timestamp_ ms first_download_ ms account title com.sec.pcw jkatecuenca@g mail.com Samsung Link com.sec.chaton jkatecuenca@g mail.com ChatON com.google.andr jkatecuenca@g Búsqueda de oid.googlequicks mail.com Google earchbox com.disney.wher zeusprince8@g Where's My esmymickeyfree mail.com Mickey? Gratis _goo com.disney.male zeusprince8@g MALà FICA 2 0 ficent_goo 5 mail.com Free Fall com.disney.froze zeusprince8@g 2 0 nsaga_goo 3 mail.com Frozen Free Fall com.google.andr zeusprince8@g Servicios de oid.gms 5 mail.com Google Play com.sec.spp.pus jkatecuenca@g Samsung push h 4 mail.com service com.noshufou.a zeusprince8@g ndroid.su 8 mail.com Superuser com.joeykrim.roo zeusprince8@g tcheck 9 mail.com Root Checker com.keramidas zeusprince8@g Titanium Backup TitaniumBackup 5 mail.com â root com.hp.android zeusprince8@g Complemento de printservice 0 mail.com servicio com.google.andr zeusprince8@g Gmail 237

260 oid.gm 9 mail.com com.gameloft.an zeusprince8@g droid.anmp.glof mail.com tr3hm com.ea.game.fif zeusprince8@g 2 0 a14_row 9 mail.com com.gameloft.an zeusprince8@g droid.anmp.glof mail.com tdmhm com.google.andr zeusprince8@g oid.apps.magazi mail.com nes com.google.andr zeusprince8@g oid.videos 7 mail.com com.dropbox.an zeusprince8@g droid 1 mail.com com.google.andr zeusprince8@g oid.tts 6 mail.com com.google.andr zeusprince8@g oid.apps.books 8 mail.com com.google.andr zeusprince8@g oid.youtube 2 mail.com com.netflix.medi zeusprince8@g aclient 3 mail.com com.amazon.kin zeusprince8@g dle 8 mail.com com.disney.wher zeusprince8@g esmywater2_goo 7 mail.com com.samsung.gr zeusprince8@g oupcast 9 mail.com com.estrongs.an zeusprince8@g droid.pop 2 mail.com com.google.andr zeusprince8@g oid.talk 5 mail.com zeusprince8@g com.peel.app mail.com com.google.andr zeusprince8@g oid.apps.plus 4 mail.com com.google.andr zeusprince8@g oid.apps.maps 5 mail.com mobi.mgeek.tun zeusprince8@g nybrowser 3 mail.com Real Football 2013 FIFA 14, de EA SPORTSâ GRU. MI VILLANO FAVORITO Google Play Kiosco Google Play Movies Dropbox SÃntesis de voz de Google Google Play Books YouTube Netflix Kindle Where s My Water? 2 GROUP PLAY ES Explorador de Archivos Hangouts Peel Smart Remote (Galaxy Tab) Google+ Maps Dolphin Browser 238

261 com.google.andr oid.marvin.talkba 2 9 ck com.cleanmaster mguard com.olx.olx com.bancodegu ayaquil com.ea.game.pv z2_row com.sec.app.sa msungprintservic 1 9 e eu.chainfire.supe rsu com.google.andr oid.apps.docs Al convertir la fecha 13, 14 tenemos lo siguiente: zeusprince8@g mail.com zeusprince8@g mail.com zeusprince8@g mail.com zeusprince8@g mail.com zeusprince8@g mail.com zeusprince8@g mail.com zeusprince8@g mail.com Google Talkback Clean Master(Optimiza memoria) Banca Virtual Móvil Plants vs. Zombiesâ 2 Samsung Print Service Plugin SuperSU Google Drive Tabla 96: Datos aplicaciones conversión fecha package_name auto_update delivery_dat a_timestam p_ms first_downl oad_ms account title com.sec.pcw :54:33 com.sec.chaton :35:11 com.google.android.goo glequicksearchbox 00:17:08 com.disney.wheresmym ickeyfree_goo 19:58:56 com.disney.maleficent_ goo 20:04:39 com.disney.frozensaga_ goo 20:07:26 com.google.android.gm s 19:50: :54:36 jkatecuenca@gmail.com jkatecuenca@gmail 22:35:12.com jkatecuenca@gmail 00:17:09.com zeusprince8@gmail 19:58:58.com 0 zeusprince8@gmail.com 0 zeusprince8@gmail.com zeusprince8@gmail 21:12:52.com Samsung Link ChatON Búsqueda de Google Where's My Mickey? Gratis MALà FICA Free Fall Frozen Free Fall Servicios de Google Play

262 com.sec.spp.push :46:40 com.noshufou.android.s u 19:30:49 com.joeykrim.rootcheck :33:22 com.keramidas.titaniu mbackup 19:45:28 com.hp.android.printser vice 09:10:07 com.google.android.gm :34:11 com.gameloft.android.a NMP.GloftR3HM 09:57:17 com.ea.game.fifa14_ro w 18:17:43 com.gameloft.android.a NMP.GloftDMHM 20:08:07 com.google.android.app s.magazines 19:58:00 com.google.android.vid eos 15:02:44 com.dropbox.android :07:30 com.google.android.tts :10:48 com.google.android.app s.books 15:31:40 com.google.android.you tube 15:15:15 com.netflix.mediaclient :27:03 com.amazon.kindle :30:07 com.disney.wheresmyw ater2_goo :50:31 com.samsung.groupcas t 12:57:45 com.estrongs.android.p op 13:07:21 com.google.android.talk :13: :46:46 jkatecuenca@gmail.com zeusprince8@gmail 19:30:51.com zeusprince8@gmail 19:33:24.com zeusprince8@gmail 19:45:30.com zeusprince8@gmail 00:13:32.com zeusprince8@gmail 01:47:15.com 0 zeusprince8@gmail.com 0 zeusprince8@gmail.com zeusprince8@gmail 20:08:08.com zeusprince8@gmail 23:36:13.com zeusprince8@gmail 21:46:13.com zeusprince8@gmail 09:02:21.com zeusprince8@gmail 21:42:07.com zeusprince8@gmail 15:31:42.com zeusprince8@gmail 23:05:14.com zeusprince8@gmail 08:58:59.com zeusprince8@gmail 21:27:12.com zeusprince8@gmail 11:50:33.com zeusprince8@gmail 09:38:11.com zeusprince8@gmail 13:07:23.com zeusprince8@gmail 18:17:51.com Samsung push service Superuser Root Checker Titanium Backup â root Complemento de servicio Gmail Real Football 2013 FIFA 14, de EA SPORTSâ GRU. MI VILLANO FAVORITO Google Play Kiosco Google Play Movies Dropbox SÃntesis de voz de Google Google Play Books YouTube Netflix Kindle Where s My Water? 2 GROUP PLAY ES Explorador de Archivos Hangouts 240

263 com.peel.app :42: :42:20 com.google.android.app s.plus 12:27:13 00:42:49 com.google.android.app s.maps 15:23:42 15:23:45 mobi.mgeek.tunnybrow ser 15:37:38 15:37:39 com.google.android.mar vin.talkback 11:29:37 11:29:39 com.cleanmaster.mguar d 15:47:34 15:47:35 com.olx.olx com.bancodeguayaquil :53:26 12:53:28 com.ea.game.pvz2_row :23:43 15:13:14 com.sec.app.samsungp rintservice 04:39:07 09:28:41 eu.chainfire.supersu :41:49 09:02:08 com.google.android.app s.docs 04:42:04 01:42:03 zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com zeusprince8@gmail.com Peel Smart Remote (Galaxy Tab) Google+ Maps Dolphin Browser Google Talkback Clean Master(Optimiza memoria) Banca Virtual Móvil Plants vs. Zombiesâ 2 Samsung Print Service Plugin SuperSU Google Drive Mientras que en el archivo icingcorpora.db, se registran todas las aplicaciones que se encuentran instaladas y en ejecución en el dispositivo. El mismo en el que encontramos catorce tablas, por lo que la tabla de interés es applications la cual contiene los siguientes datos: _id, display_name, icon_uri, package_name, class_name, score, uri, created_timestamp_ms Los datos de interés para el análisis de la tabla applications son: Tabla 97: Columnas de interés tabla applications Columna Descripción display_name Nombre de la aplicación package_name Nombre del paquete o la ruta creada por la aplicación created_timestamp_ms Fecha y hora de creación de la aplicación 241

264 Datos: Tabla 98: Datos tabla applications display_name package_name created_timestamp_ms Cà mara com.sec.android.app.camera Internet com.android.browser Contactos com.android.contacts Correo electrã³nico com.android Notas com.sec.android.app.memo Calendario com.android.calendar Reproductor de com.sec.android.app.music mãºsica Gmail com.google.android.gm Play Store com.android.vending GalerÃa com.sec.android.gallery3d Ajustes com.android.settings Screensaver kr.co.rightbrain.screensaver.galaxytab2_10_ Play Books com.google.android.apps.books Maps com.google.android.apps.maps Local com.google.android.apps.maps Navigation com.google.android.apps.maps Game Hub com.sec.android.app.gamehub Ayuda com.samsung.helphub Readers Hub com.sec.android.app.readershub Media Hub com.samsung.mediahub Descargas com.android.providers.downloads.ui Paper Artist com.dama.paperartist Next Issue com.nim.discovery Mis archivos com.sec.android.app.myfiles Reproductor de vãdeo com.sec.android.app.videoplayer S Suggest com.tgrape.android.radar Netflix com.netflix.mediaclient Calculadora com.sec.android.app.popupcalculator Reloj mundial com.sec.android.app.worldclock Editor de vãdeo com.sec.android.app.ve Music Hub com.samsung.music Editor de fotos com.sec.android.mimage.photoretouching Polaris Office com.infraware.polarisofficestdfortablet Alarma com.android.deskclock Drive com.google.android.apps.docs

265 Play Games com.google.android.play.games Play Music com.google.android.music Google+ com.google.android.apps.plus Fotos com.google.android.apps.plus Ajustes de Google com.google.android.gms Hangouts com.google.android.talk Dropbox com.dropbox.android Amazon Kindle com.amazon.kindle Play Movies com.google.android.videos Samsung Link com.sec.pcw ChatON com.sec.chaton YouTube com.google.android.youtube Play Kiosco com.google.android.apps.magazines Smart Remote com.peel.app Minion Rush com.gameloft.android.anmp.gloftdmhm Samsung Apps com.sec.android.app.samsungapps Root Checker Basic com.joeykrim.rootcheck Titanium Backup com.keramidas.titaniumbackup SuperSU eu.chainfire.supersu Group Play com.samsung.groupcast MOBILedit! com.compelson.meconnector Connector Water? 2 com.disney.wheresmywater2_goo ES File Explorer com.estrongs.android.pop PvZ 2 com.ea.game.pvz2_row Navegador Dolphin mobi.mgeek.tunnybrowser Se procede a convertir fecha para una mejor interpretación. Tabla 99: Datos tabla applications conversión fecha display_name package_name created_timestamp _ms Cà mara com.sec.android.app.camera 31/01/ :47 Internet com.android.browser 31/01/ :48 Contactos com.android.contacts 31/01/ :48 Correo electrã³nico com.android. 31/01/ :48 Notas com.sec.android.app.memo 31/01/ :49 Calendario com.android.calendar 31/01/ :48 Reproductor de com.sec.android.app.music 31/01/ :49 mãºsica Gmail com.google.android.gm 07/09/2012 2:23 Play Store com.android.vending 31/01/ :47 243

266 GalerÃa com.sec.android.gallery3d 31/01/ :48 Ajustes com.android.settings 31/01/ :49 Screensaver kr.co.rightbrain.screensaver.galaxytab2_10_1 02/04/2014 5:25 Play Books com.google.android.apps.books 01/08/2008 7:00 Maps com.google.android.apps.maps 31/01/ :46 Local com.google.android.apps.maps 31/01/ :46 Navigation com.google.android.apps.maps 31/01/ :46 Game Hub com.sec.android.app.gamehub 31/01/ :46 Ayuda com.samsung.helphub 01/08/2008 7:00 Readers Hub com.sec.android.app.readershub 31/01/ :47 Media Hub com.samsung.mediahub 01/08/2008 7:00 Descargas com.android.providers.downloads.ui 31/01/ :48 Paper Artist com.dama.paperartist 01/08/2008 7:00 Next Issue com.nim.discovery 01/08/2008 7:00 Mis archivos com.sec.android.app.myfiles 31/01/ :49 Reproductor de vãdeo com.sec.android.app.videoplayer 31/01/ :49 S Suggest com.tgrape.android.radar 31/01/ :47 Netflix com.netflix.mediaclient 01/08/2008 7:00 Calculadora com.sec.android.app.popupcalculator 31/01/ :48 Reloj mundial com.sec.android.app.worldclock 01/08/2008 7:00 Editor de vãdeo com.sec.android.app.ve 31/01/ :49 Music Hub com.samsung.music 01/08/2008 7:00 Editor de fotos com.sec.android.mimage.photoretouching 31/01/ :47 Polaris Office com.infraware.polarisofficestdfortablet 31/01/ :47 Alarma com.android.deskclock 31/01/ :49 Drive com.google.android.apps.docs 01/08/2008 7:00 Play Games com.google.android.play.games 01/08/2008 7:00 Play Music com.google.android.music 31/01/ :46 Google+ com.google.android.apps.plus 31/01/ :47 Fotos com.google.android.apps.plus 31/01/ :47 Ajustes de Google com.google.android.gms 01/08/2008 7:00 Hangouts com.google.android.talk 31/01/ :49 Dropbox com.dropbox.android 31/01/ :46 Amazon Kindle com.amazon.kindle 02/04/2014 6:20 Play Movies com.google.android.videos 31/01/ :49 Samsung Link com.sec.pcw 31/01/ :45 ChatON com.sec.chaton 01/08/2008 7:00 YouTube com.google.android.youtube 02/04/2014 6:47 Play Kiosco com.google.android.apps.magazines 31/01/ :46 Smart Remote com.peel.app 02/04/2014 6:20 Minion Rush com.gameloft.android.anmp.gloftdmhm 31/05/ :17 Samsung Apps com.sec.android.app.samsungapps 31/01/ :47 244

267 Root Checker Basic com.joeykrim.rootcheck 09/06/ :33 Titanium Backup com.keramidas.titaniumbackup 09/06/ :49 SuperSU eu.chainfire.supersu 10/06/ :29 Group Play com.samsung.groupcast 01/08/2008 7:00 MOBILedit! Connector com.compelson.meconnector 22/06/2014 6:33 Water? 2 com.disney.wheresmywater2_goo 29/06/ :26 ES File Explorer com.estrongs.android.pop 29/06/ :10 PvZ 2 com.ea.game.pvz2_row 29/06/ :19 Navegador Dolphin mobi.mgeek.tunnybrowser 29/06/ :41 Se realiza una comparación entre los datos de los archivos localappstate.db e icingcorpora.db, prevaleciendo los datos del archivo icingcorpora, ya que aquí encontramos las aplicaciones que se encuentran en ejecución en el dispositivo. Aplicaciones instaladas Tabla 100: Aplicaciones instaladas display_name package_name Cà mara com.sec.android.app.camera Internet com.android.browser Contactos com.android.contacts Correo electrã³nico com.android. Notas com.sec.android.app.memo Calendario com.android.calendar Reproductor de mãºsica com.sec.android.app.music Gmail com.google.android.gm Play Store com.android.vending GalerÃa com.sec.android.gallery3d Ajustes com.android.settings Screensaver kr.co.rightbrain.screensaver.galaxytab2_10_1 Play Books com.google.android.apps.books Maps com.google.android.apps.maps Local com.google.android.apps.maps Navigation com.google.android.apps.maps Game Hub com.sec.android.app.gamehub Ayuda com.samsung.helphub Readers Hub com.sec.android.app.readershub Media Hub com.samsung.mediahub Descargas com.android.providers.downloads.ui Paper Artist com.dama.paperartist Next Issue com.nim.discovery 245

268 Mis archivos Reproductor de vãdeo S Suggest Netflix Calculadora Reloj mundial Editor de vãdeo Music Hub Editor de fotos Polaris Office Alarma Drive Play Games Play Music Google+ Fotos Ajustes de Google Hangouts Dropbox Amazon Kindle Play Movies Samsung Link ChatON YouTube Play Kiosco Smart Remote Minion Rush Samsung Apps Root Checker Basic Titanium Backup SuperSU Group Play MOBILedit! Connector Water? 2 ES File Explorer PvZ 2 Navegador Dolphin com.sec.android.app.myfiles com.sec.android.app.videoplayer com.tgrape.android.radar com.netflix.mediaclient com.sec.android.app.popupcalculator com.sec.android.app.worldclock com.sec.android.app.ve com.samsung.music com.sec.android.mimage.photoretouching com.infraware.polarisofficestdfortablet com.android.deskclock com.google.android.apps.docs com.google.android.play.games com.google.android.music com.google.android.apps.plus com.google.android.apps.plus com.google.android.gms com.google.android.talk com.dropbox.android com.amazon.kindle com.google.android.videos com.sec.pcw com.sec.chaton com.google.android.youtube com.google.android.apps.magazines com.peel.app com.gameloft.android.anmp.gloftdmhm com.sec.android.app.samsungapps com.joeykrim.rootcheck com.keramidas.titaniumbackup eu.chainfire.supersu com.samsung.groupcast com.compelson.meconnector com.disney.wheresmywater2_goo com.estrongs.android.pop com.ea.game.pvz2_row mobi.mgeek.tunnybrowser 246

269 Aplicaciones desinstaladas Tabla 101: Aplicaciones desinstaladas package_name com.cleanmaster.mguard com.google.android.googlequicksearchbox com.sec.spp.push com.sec.app.samsungprintservice com.google.android.tts com.bancodeguayaquil com.noshufou.android.su com.google.android.marvin.talkback title Clean Master(Optimiza memoria) Búsqueda de Google Samsung push service Samsung Print Service Plugin SÃntesis de voz de Google Banca Virtual Móvil Superuser Google Talkback Descargas no satisfactorias Tabla 102: Descargas no satisfactorias package_name title com.disney.frozensaga_goo Frozen Free Fall com.disney.wheresmymickeyfree_goo Where's My Mickey? Gratis com.ea.game.fifa14_row FIFA 14, de EA SPORTSâ com.gameloft.android.anmp.gloftr3hm Real Football 2013 com.disney.maleficent_goo MALà FICA Free Fall com.olx.olx El archivo dmappmgr.db cuenta con las tablas ApplicationControl, ApplicationIcon, android_metadata y sqlite_squence. La tabla de interés es ApplicationControl la cual nos detalla cuando fue la última fecha en la que se utilizó cierta aplicación además de contar con los datos de todas las aplicaciones que han sido instaladas y desinstaladas de la cuenta de google como también de terceros o desconocidos. El mismo que cuenta con las siguientes columnas: _id, pkgname, lastpausetime, applastservicestarttime, applastservicestoptime, totalusagetime, launchcount, y lastlaunchtime Los datos de interés para el análisis de la tabla ApplicationControl son: Tabla 103: Columnas de interés tabla ApplicationControl Columna Descripción pkgname Nombre del paquete o la ruta creada por la aplicación 247

270 applastservicestarttime applastservicestoptime lastlaunchtime Última hora de inicio del servicio Última hora de interrupción del servicio Última hora de inicio aplicación Datos: Tabla 104: Datos tabla ApplicationControl pkgname applastservicestart applastservicestopti time me lastlaunchtime com.google.android.setupwi :13:07 zard com.android.browser :10:45 com.osp.app.signin :18: :59: :12:00 com.sec.android.preloadinst :50:13 aller com.google.android.googleq :18: :59: :11:51 uicksearchbox android :49:23 com.android.settings :59: :58: :18:58 com.google.android.gsf.logi :23:30 n com.sec.android.app.launch :23:31 er com.sec.android.fotaclient :18: :59: :14:23 com.sec.android.app.secse :13:02 tupwizard com.tgrape.android.radar :44: :52: :48:42 com.sec.phone :18: :59:23 0 com.google.android.videos :19: :13:44 0 com.google.android.apps.up :19: :13:44 0 loader com.android.contacts :18: :59: :48:18 com.sec.android.app.gameh :13: :17:06 0 ub com.google.android.partner :18: :59:26 0 setup com.google.android.apps.pl :44: :59: :11:44 us com.google.android.music :18: :59:27 0 com.sec.android.providers.d :18: :59:27 0 ownloads com.android.exchange :18: :59:

271 com.android.systemui :17: :59: :23:27 com.android.providers.calen :18: :02:34 0 dar com.android.keychain :04: :13:44 0 com.sec.factory :18: :59:27 0 com.google.android.gm :18: :59: :02:38 com.sec.android.app.samsu :18: :14:07 0 ngapps.una2 com.google.android.talk :18: :59: :55:40 com.wssyncmldm :18: :59: :56:33 com.android :18: :51: :57:23 com.sec.chaton :23: :59:27 0 com.google.android.youtube :18: :59: :44:32 com.samsung.mediahub :12: :17:07 0 com.sec.android.widgetapp :13: :17:07 0 weatherclock com.nim.discovery :18: :59:27 0 com.google.android.gsf :18: :59:27 0 com.sec.dsm.system :25: :17:07 0 com.android.providers.medi :18: :54:22 0 a com.android.providers.down :18: :59:27 0 loads com.android.musicfx :21: :13:45 0 com.google.android.syncad :18: :59:27 0 apters.contacts com.google.android.apps.m :22:06 aps com.sec.android.app.camer :02:13 a com.google.android.location :18: :59:23 0 org.simalliance.openmobilea :18: :59:23 0 pi.service com.sec.pcw :18: :59:23 0 com.sec.android.gallery3d :18: :59: :57:30 com.sec.android.pagebuddy :18: :59:26 0 notisvc com.sec.android.app.blueto :18: :59:27 0 othtest com.sec.app.rilerrornotifier :06: :06:14 0 com.sec.minimode.taskclos :03: :06:14 0 er com.sec.android.app.keygu :18: :59:

272 ard com.samsung.smt :19: :58:20 0 com.sec.android.app.syssco :18: :59:27 0 pe com.wssnps :18: :52:13 0 com.sec.esdk.elm :18: :59:27 0 com.google.android.gms :18: :59: :13:34 com.android.vending :18: :59: :19:29 com.android.mtpapplication :19: :54: :23:39 com.android.calendar :02:59 com.samsung.groupcast :18: :59: :19:08 com.sec.android.app.myfiles :18: :18: :15:49 com.android.providers.down :01:14 loads.ui com.sec.android.app.popup :25:59 calculator com.android.deskclock :25:42 com.sec.android.mimage.ph :35:33 otoretouching com.netflix.mediaclient :03: :54: :03:03 kr.co.rightbrain.screensaver :18: :59: :57:06.GalaxyTab2_10_1 com.sec.android.allshare.se :57: :57:49 0 rvice.mediashare com.sec.android.inputmetho :00:11 d com.google.android.syncad :36: :52:37 0 apters.calendar com.google.android.apps.m :12: :32:47 0 agazines com.google.android.configu :19: :13:45 0 pdater com.google.android.apps.do :21: :13:45 0 cs com.google.android.apps.bo :44: :52: :44:27 oks com.dropbox.android :18: :59: :33:58 com.sec.android.app.samsu :18: :59: :58:01 ngapps com.sec.spp.push :18: :59:27 0 com.sec.android.kies :36: :11:32 0 com.viaforensics.android.afl ogical_ose :19:09 250

273 com.example.viaforensics.a :58:25 ndroid com.example.holamundo :37:07 com.android.backupconfirm :19:46 com.peel.app :21:26 com.sec.android.app.control :19:21 panel com.gameloft.android.anm :19: :13: :12:17 P.GloftDMHM com.sec.android.widgetapp :33:49 at.hero.accuweather com.android.packageinstalle :25:37 r com.mozzeta.androidrootch :58:39 ecker org.cyanogenmod.oneclick :15:08 com.infraware.polarisoffice :17:29 StdForTablet com.android.htmlviewer :17:01 com.android.defcontainer :32: :52:36 0 com.noshufou.android.su :30: :54: :43:47 com.keramidas.titaniumbac :50:14 kup com.joeykrim.rootcheck :56:43 eu.chainfire.supersu :18: :59: :56:27 com.android.bluetooth :58: :58:20 0 com.compelson.meconnect :27:42 or com.bancodeguayaquil :19: :59: :19:33 com.cleanmaster.mguard :45: :52: :52:56 com.ea.game.pvz2_row :33: :52: :33:08 com.sec.android.app.popup :10:43 uireceiver mobi.mgeek.tunnybrowser :18: :59: :33:13 saga.game.jungle.monkey.s :30: :52: :31:49 aga com.disney.maleficent_goo :16:11 251

274 Al realizar la comparación con el archivo packages.xml podemos determinar que existieron aplicaciones que fueron instaladas de otras fuentes: Tabla 105: Paquetes instalados de otras fuentes Paquetes de otras fuentes com.example.holamundo com.example.viaforensics.android com.mozzeta.androidrootchecker com.sec.android.widgetapp.weatherclock com.viaforensics.android.aflogical_ose org.cyanogenmod.oneclick 252

275 Anexo 3 Documento de visión 1. Introducción 1.1 Propósito El propósito de este documento es definir ls necesidades y caracterisitcas del Sistema de Gestión de información de casos de estudio de análisis forense en dispositivos móviles con sistema operativo Android SGICAF. 1.2 Alcance El sistema deberá ser de código abierto para su respectiva colaboración 1.3 Definiciones, Acrónimos y Abreviaciones SGICAF: Sistema de gestión de información de casos de estudio de análisis forense GICE: Gestión de información casos de estudio GR: Gestión de resultados 2. Posicionamiento 2.1 Oportunidad de negocio El sistema permitirá la administración de la información del caso de estudio a analizar, la extracción de las principales propiedades del dispositivo y el análisis de los archivos que contienen la información de las aplicaciones instaladas y desistaladas, historial de navegación y descargas. 2.2 Definición del problema El problema de Afecta a El impato asociado es Una solución adecuada sería No se cuenta con una herramienta que permita gestionar la información de relevancia del caso de estudio. Peritos informáticos, investigadores, analistas forenses Necesitan administrar el caso de estudio. Recoger las principales propiedades del dispositivo móvil. Analizar e interpretar de manera rápida y oportuna los archivos que contienen la información de las aplicaciones instaladas y desistaladas, historial de navegación y descargas. Desarrollar una aplicación de escritorio basado en los modelos de plantillas sugeridas en la Guía metodólogica de análisis forense informatico para 253

276 dispositivos móviles con sistema operativo Android. 2.3 Posición del producto Para Peritos informáticos Analistas forenses Quién (es) Realizan un peritaje o investigación informática en dispositivos móviles Nombre del producto SGIAF Que Almacena la información de un caso de estudio de análisis forense A diferencia Las herramientas open source como: Autopsy FTK Imager BitPim Android SDK Android-locdump Androidguard Viaforensics Esta Permite gestionar la información de relevancia a ser considerada en un aplicación examen forense en dispositivos móviles con sistema operativo Android 3. Descripción de stakeholders (Participantes en el proyecto y usuarios) En esta sección se identifica de forma efectiva las necesidades de los participantes del proyecto. 3.1 Resumen de stakeholders Nombre Descripción Responsabilidad Director del proyecto Director del proyecto de titulación Establece los lineamientos del proyecto Orientación en el desarrollo del proyecto Revisición del avance del proyecto Desarrollador/ Programador Responsable de la codificación del sistema Desarrollar el sistema de acuerdo a los requisitos establecidos 3.2 Resumen de usuarios Personas involucradas Descripción Responsabilidad Investigador/Peritos informáticos Responsable de identificar y recolectar la evidencia Validar que la información registrada en el caso de estudio sea de manera correcta Examinadores/Analistas Personal especializado en adquirir, recuperar y analizar los datos digitales Analizar y registrar los hallazgos encontrados en la evidencia 254

277 3.3 Entorno de usuario Los usuarios podrán hacer uso del sistema sin necesidad de logearse. El software a desarrollar será una aplicación de escritorio de código abierto u open source, además de ser una aplicación intuitiva, fácil de usar para quienes hagan uso del mismo. 3.4 Perfil de los stakeholders Director del proyecto Representante Descripción Tipo Responsabilidades Criterios de éxito Grado de participación Comentarios Ing. Danilo Jaramillo Director del proyecto de titulación Director / Tutor Establece los lineamientos del proyecto Orientación en el desarrollo del proyecto Revisición del avance del proyecto Seguimiento y evaluación del cumplimiento del proyecto Revisión contante del proyecto Ninguno Desarrollador/ programador del proyecto Representante Descripción Tipo Responsabilidades Criterios de éxito Grado de participación Comentarios Jessica Cuenca Responsable de la codificación del sistema Desarrollador Desarrollar el sistema de acuerdo a los requisitos establecidos Cumplir con el cronograma establecido Cumplir con los requerimientos solicitados para el desarrollo del mismo Hacer que el software funcione correctamente Ninguno 3.5 Perfil de los usuarios Investigador/Peritos informáticos Representante Descripción Tipo Responsabilidades Criterios de éxito Grado de participación Comentarios Jessica Cuenca Responsable de identificar y recolectar la evidencia Usuario Validar que la información registrada en el caso de estudio sea de manera correcta N/A Establecer los datos principales hacer registrados en el sistema Ninguno 255

278 3.5.2 Examinadores/Analistas Representante Descripción Tipo Responsabilidades Criterios de éxito Grado de participación Comentarios Jessica Cuenca Personal especializado en adquirir, recuperar y analizar los datos digitales Usuario Analizar y registrar los hallazgos encontrados en la evidencia N/A Establecer los datos principales a extraer del dispositivo móvil, como también la información oportuna hacer automatizada para su correcto análisis Ninguno 3.6 Necesidades características Necesidades Prioridad Característica Ingreso del caso de estudio Alta Facilidad para ingresar los datos del caso de estudio Ingreso del equipo de investigación Alta Facilidad para gestionar los datos del personal involucrado en la investigación Ingreso de la evidencia Alta Facilidad para ingresar los datos de la evidencia Registro del dispositivo Alta Facilidad para registrar los datos del dispositivo móvil móvil Reporte de resultados Alta Facilidad para generar reportes de forma inmediata sobre los datos ingresados, referentes al caso de estudio y los resultados encontrados 4. Descripción global del producto 4.1 Perspectiva del producto El sistema debe interactuar con el ADB (Android Debug Bridge del SDK de Android) 4.2 Resumen de características/capacidades Beneficios del cliente/usuario El usuario ingresa la información relacionada con el caso de estudio El usuario puede visualizar la información registrada en el sistema Análisis de los archivos que contienen la información de las aplicaciones instaladas/ desinstaladas, historial de navegación y descargas realizadas Características que lo apoyan El sistema provee los formularios acordes al caso de estudio El sistema presentará la información registrada en el sistema El sistema le permitirá automatizar el proceso de análisis e interpretación de los datos de los archivos subidos al sistema, a su vez presentará los resultados encontrados tales como aplicaciones instaladas, desisntaladas y no satisfactorias. 256

279 4.3 Características del producto Registro caso de estudio El usuario deberá ingresar los datos referentes a: Caso de estudio Equipo de investigación Evidencia Registro dispositivos móviles El sistema le deberá permitir: Realizar un backup Extraer las propiedades del dispositivo Obtener la composición del sistema de ficheros Visualizar caso de estudio El sistema le deberá permitir visualizar la información registrada Obtener resultados El sistema deberá permitir subir los archivos a analizar El sistema mostrará la información registrada en los archivos El sistema interpretará los datos de los archivos El sistema permitirá analizar los archivos, donde mostrará las aplicaciones instaladas, desinstaladas y no satisfactorias Generar reportes El sistema permitirá generar un reporte tanto de la información registrada como de los resultados ingresados. 4.4 Suposiciones y dependencias El sistema ha sido implementado en el lenguaje JAVA bajo Windows. Esto significa que el ejecutable a entregarse sólo podrá ser chequeado bajo 257

280 plataformas Windows. Pero se proporciona el código fuente, el cual puede compilarse y probarse bajo otra plataforma. La aplicación mantiene dependencia con el desarrollo de las plantillas sugeridas en la guía metodológica. Para la extracción de las propiedades del sistema, la aplicación funcionará en los dispositivos móviles con versión del sistema operativo Android 4.0 en adelante. 258

281 Anexo 4 Documento de especificación de requerimientos 1. Introducción El presente documento pretende detallar los requerimientos de software para el Sistema de Gestión de información de casos de estudio de análisis forense en dispositivos móviles con sistema operativo Android SGICAF. Este documento está dividido en las siguientes seccione principales, una breve introducción, restricciones, riesgos, requerimientos funcionales y no funcionales. 1.1 Propósito El propósito de este documento es capturar los requerimientos del software para el desarrollo del mismo, de manera clara y concisa todas las funcionalidades y restricciones del sistema. 1.2 Alcance Actualmente se dispone de herramientas comerciales que permiten obtener las principales características e interpretación de los archivos encontrados en el dispositivo móvil, limitándose a un demo de 30 días. El principal problema es que no se cuenta con una interfaz gráfica de código abierto u open source que permita capturar las principales características y/o propiedades del dispositivo móvil con sistema operativo Android, como también gestionar la información del caso de estudio a analizar, además de proporcionar una ayuda en el análisis e interpretación de los archivos extraídos, cuya información contienen: Historial de navegación Descargas realizadas Y principalmente las aplicaciones instaladas y desinstaladas en el dispositivo móvil 1.3 Definiciones, siglas y abreviaturas. SGICAF GICE GR Sistema de Gestión de información de casos de estudio de análisis forense Gestión de información caso de estudio Gestión de resultados 259

282 ERS RFXXX RNFXXX Especificación de requerimientos del software Estándar para la especificación del identificador de cada requisito funcional R: Requisito F: Funcional XXX: secuencia de tres dígitos que servirá para la enumeración de cada requisito Estándar para la especificación del identificador de cada requisito no funcional R: Requisito NF: No Funcional XXX: secuencia de tres dígitos que servirá para la enumeración de cada requisito 1.4 Referencias IEEE Recommended Practices for Software Requirements specification ANSI/IEEE Descripción general Se plantea construir una aplicación de escritorio, con una distribución lógica multicapas (presentación, lógica de negocios y de datos), montada en el lenguaje de programación JAVA, usando un gestor de base de datos MySQL, para el registro de datos. El software debe ser intuitivo, fácil de usar por las personas o usuarios que hagan uso del mismo, y conozcan sobre seguridad informática y análisis forense. 2.1 Perspectiva del producto El sistema debe interactuar con el ADB (Android Debug Bridge del SDK de Android) Interfaces de usuario La interfaz debe ser orientada a ventanas El manejo del programa debe ser a través del teclado y ratón Interfaces con hardware El equipo o máquinas del usuario final contarán con las siguientes características: Procesador i7 o equivalente 8GB de RAM 500 GB de Disco Duro 260

283 Sistema operativo Windows Teclado Mouse Puertos USB Interfaces con software El sistema se puede ejecutar en los sistemas operativos Windows y Linux Interfaces de comunicación El sistema debe poder comunicarse mediante conexión USB con el dispositivo móvil 2.2 Funciones del producto El sistema deberá proporcionar lo siguiente: Gestionar la información generada en un caso de estudio Obtener las propiedades del dispositivo móvil con sistema operativo Android a analizar Obtener un backup o copia de seguridad de los datos del dispositivo móvil con sistema operativo Android Analizar e interpretar los archivos adquiridos en la copia bit a bit del dispositivo móvil con sistema operativo Android Implementar una arquitectura acorde al desarrollo del sistema Generar reportes Las funciones mencionadas anteriormente se detallan a continuación: Gestionar la información del caso de estudio: Esta funcionalidad permite el ingreso del caso de estudio (descripción, objetivos, alcance, fecha de solicitud de examen, persona y/o institución solicitante, registro de la evidencia, características de los dispositivos móviles a analizar) Obtener las propiedades del dispositivo: Esta funcionalidad permite visualizar las principales características del dispositivo conectado al equipo, como también la composición del sistema de ficheros. 261

284 Obtener una copia de seguridad de los datos (Backup) del dispositivo: Esta funcionalidad permite obtener una copia de seguridad de los datos del dispositivo con extensión.ab Análisis e interpretación de archivos: Esta funcionalidad permite la búsqueda de la carpeta que contiene los archivos con extensión.db o.xml que el usuario extrae de la copia bit a bit y que deberá subir en la plataforma, los archivos serán: o Para visualizar el historial de navegación deberá subir el archivo browse2.db, cuyo archivo se extrae de la copia bit a bit en la ruta /data/data/com.android.browser/databases/ o Para visualizar las descargar realizadas, deberá subir el archivo sisodownloads.db, cuyo archivo se extrae de la copia bit a bit en la ruta /data/data/com.sec.android.providers.downloads/databases/ o Para visualización de las aplicaciones instaladas y eliminadas, deberá subir los siguientes archivos icingcorpora.db se extrae de la copia bit a bit en la ruta data/data/com.google.android.googlequicksearchbox/databases/, localappstate.db se extrae de la copia bit a bit en la ruta data/data/com.android.vending/databases/, dmappmgr.db se extrae de la copia bit a bit en la ruta data/system/, y packages.xml se extrae de la copia bit a bit en la ruta data/system/ 2.3 Características de los usuarios Los usuarios a los que va dirigido el proyecto son los involucrados en una investigación forense y a quienes les es de interés el tema de análisis forense en dispositivos móviles con sistema operativo Android Tipo de usuario Formación Habilidades Actividades Usuario Analista/Examinador Personal especializado en adquirir, recuperar y analizar los datos digitales Controla todas las actividades del sistema 2.4 Restricciones de diseño El diseño de la aplicación, correcta implementación y su posterior operación dependerá de la forma en que se lleva los procesos. 262

285 2.5 Supuestos y dependencias El sistema ha sido implementado en el lenguaje JAVA bajo Windows. Esto significa que el ejecutable a entregarse sólo podrá ser chequeado bajo plataformas Windows. Pero se proporciona el código fuente, el cual puede compilarse y probarse bajo otra plataforma. La aplicación mantiene dependencia con el desarrollo de las plantillas sugeridas en la guía metodológica Para la extracción de las propiedades del sistema, la aplicación funcionará en los dispositivos móviles con versión del sistema operativo Android 4.0 en adelante. 3. Requerimientos específicos 3.1 Requerimientos funcionales REQUERIMIENTOS FUNCIONALES Ingreso de información del caso de estudio, registro de personal e ingreso de RF001 información datos evidencia Gestión de información RF002 Ingreso del equipo o personal de investigación caso de Ingreso de información del dispositivo, búsqueda de dispositivos conectados y estudio RF003 extracción de las propiedades del sistema (peritaje) RF004 Realizar backup y/o copia de seguridad de los datos del dispositivo RF005 Visualización de la información del caso de estudio RF006 Búsqueda de archivos y registro RF007 Visualización de aplicaciones instaladas y desinstaladas Gestión de RF008 Visualización historial de navegación resultados RF009 Visualización descargas realizadas por el usuario RF010 Generación de un reporte en formato pdf con los resultados encontrados, de acuerdo al caso de estudio a analizar Gestión de información caso de estudio (peritaje) ID: Requerimiento: Descripción: Entrada RF001 Ingreso de información del caso de estudio, registro de personal e ingreso de información datos evidencia Comprende el registro de la información que conlleva un caso de estudio, registrar equipo de investigación e ingreso de los datos de la evidencia. Casos de estudio o Código del caso de estudio o Fecha de solicitud de examen o Persona que solicita el examen 263

286 Proceso Salida o Institución que solicita el examen o Descripción del caso de estudio o Objetivos del caso de estudio o Alcance del caso de estudio Personal de investigación o Identificación o Nombre o Apellido Evidencia o Fecha de incautación o Hora de incautación o Lugar de incautación o Observaciones 1) Ingresar información de casos de estudio 2) Validar que se haya ingresado toda la información del caso de estudio 3) Ingresar información de personal de investigación 4) Asignar rol a persona 5) Validar que se haya ingresado toda la información del personal de estudio 6) Ingresar información de evidencia 7) Validar que se haya ingresado toda la información de la evidencia 8) Asignar caso de estudio a personal de investigación Información general del caso de estudio (Peritaje) almacenado Asignación de roles a personal Personal de investigación con caso de estudio asignado ID: Requerimiento: Descripción: Entrada Proceso Salida RF002 Ingreso del equipo o personal de investigación Comprende el registro de la información del personal. Identificación 1) Ingresar identificación 2) Buscar persona 3) Persona no registrada Ingresar datos: o Nombres o Apellidos o Identificación Seleccionar rol Asignar rol 4) Persona registrada 5) Seleccionar rol 6) Asignar rol 7) Validar que se haya ingresado toda la información Información del personal de investigación registrado Asignación de roles a personal ID: Requerimiento: Descripción: RF003 Ingreso de información del dispositivo, búsqueda de dispositivos conectados y extracción de las propiedades del sistema Comprende el registro de la información de las características físicas del dispositivos móvil, permite la búsqueda,y visualización de los dispositivos conectados al equipo, 264

287 Entrada Proceso como también la extracción de las propiedades del sistema Ingresar datos: Fecha y hora de recepción de la evidencia Tipo de dispositivo Características pantalla FCC ID IC Espacio de almacenamiento Selecciona opción: Estado (encendido o apagado) Bloqueado (si o no) Soporta modo de vuelo (si o no) Servicios de conexión (bluetooth, infrarrojo, wifi, otro) Ingresar datos cargador: Código etiqueta S/N Marca Modelo Input Output Frecuencia Cable de datos (Selecciona opción sí o no e ingresa el código de etiqueta asignado) Ingresar datos batería S/N, Capacidad de voltaje Ffabricante Cable de datos Ingresa datos tarjeta externa: S/N Espacio de almacenamiento Espacio disponible Ingresa datos de la SIM Card Operadora ICC PIN PUK # de teléfono Conectar dispositivo al computador 1) Ingresar carácterisitcas físicas dispositivo 2) Ingresar datos perífericos (batería, caragdor cable de datos, tarjeta externa y SIM Card) 3) Buscar dispositivos conectados 265

288 Salida 4) Seleccionar dispositivo 5) Extraer propiedades del sistema operativo del dispositivo móvil conectado S/N Tipo Marca Modelo Fabricante Sistema operativo Versión sistema operativo Idioma sistema operativo Procesador S/N radio (RIL) Operadora IMEI Kernel Número de compilación Composición sistema de ficheros (referencia a la ruta del fichero o partición a obtener la copia bit a bit) Tamaño o espacio utilizado en el dispositivo por cada uno de los ficheros 6) Validar que se haya ingresado toda la información Información general del dispositivo almacenado Asignación de caso de estudio ID: Requerimiento: Descripción: Entrada: Proceso: Salida: RF004 Realizar backup y/o copia de seguridad de los datos del dispositivo Permite realizar una copia de seguridad de los datos del dispositivo móvil conectado al equipo. Conectar dispositivo al equipo 1) Seleccionar opción backup dispositivo 2) Buscar dispositivos conectados 3) Seleccionar dispositivo 4) Seleccionar opción realizar backup 5) Ingresar nombre de backup 6) Emitir mensaje Backup realizado exitosamente Backup guardado ID: RF005 Requerimiento: Visualización de la información del caso de estudio Comprende la visualización registrada en el caso de estudio, datos del personal Descripción: involucrado en la investigación, datos del dispositivo móvil, propiedades, archivos, y/o resultados. Entrada: Seleccionar caso de estudio a visualizar Proceso: 1) Seleccionar caso de estudio 266

289 Salida: 2) Validar que exista el caso de estudio 3) Seleccionar opción generar reporte caso 4) Validar información del caso de estudio, equipo de investigación y evidencia, opcional registro de dispositivo y archivos 5) Visualizar información referente a: Código del caso de estudio Fecha y hora de la solicitud examen Persona y/o Institución quien solicita el examen forense Descripción Objetivos Equipo de investigación Datos de la evidencia Datos dispositivo móvil Archivos Resultados Visualización información registrada Gestión de resultados ID: Requerimiento: Descripción: Entrada: Proceso: RF006 Búsqueda de archivos y regsitro Permita la búsqueda de la carpeta que contiene los archivos necesarios para el análisis e interpretación de los mismos. Copia bit a bit generada Extracción de archivos: browser2.db sisodownloads.db localappstate.db icingcorpora.db packages.xml dmappmgr.db Almacenar archivos en una carpeta referencial (ruta archivos) Seleccionar caso de estudio Seleccionar dispositivo 1) Seleccionar caso de estudio 2) Validar que exista el caso de estudio 3) Seleccionar dispositivo 4) Validar que exista el dispositivo 5) Seleccionar buscar archivos 6) Buscar ruta archivos 7) Ingresar nombre, ruta 8) Generar código de archivo 9) Solicitar registro de archivos 267

290 Salida: 10) Validar y almacenar información de los archivos Nombre y ruta registrada Asignar archivo a dispositivo ID: Requerimiento: Descripción: Entrada: Proceso: Salida: RF007 Visualización y presentación de resultados de aplicaciones instaladas y desinstaladas Comprende el análisis e interpretación de los archivos necesarios que contienen la información de las aplicaciones instaladas y desinstaladas en el dispositivo. Seleccionar caso de estudio y dispositivo Ruta archivos registrada de: localappstate.db icingcorpora.db packages.xml dmappmgr.db 1) Seleccionar caso de estudio 2) Validar que exista el caso de estudio 3) Seleccionar dispositivo 4) Validar que exista el dispositivo 5) Seleccionar archivo y visualizar contenido de los archivos 6) Validar que exista registrada la ruta 7) Seleccionar opción resultado aplicaciones instaladas, desinstaladas y no satisfactorias 8) Validar que existan todos los archivos necesarios registrados Visualización de datos ID: Requerimiento: Descripción: Entrada: Proceso: RF008 Visualización historial de navegación Comprende el análisis e interpretación de los archivos necesarios que contienen los registros del historial de navegación. Ruta archivo registrada browser2.db 1) Seleccionar caso de estudio 2) Validar que exista el caso de estudio 3) Seleccionar dispositivo 4) Validar que exista el dispositivo 5) Seleccionar archivo y visualizar contenido browser2.db 6) Validar que exista registrada la ruta 7) Visualizar historial de navegación, datos como: Título de la página web consultada URL (Dirección web de consulta) Fecha de navegación 268

291 Salida: Número de visitas Visualización datos ID: Requerimiento: Características: Descripción: Entrada: Proceso: Salida: RF009 Visualización descargas realizadas por el usuario Presentación de resultados Comprende el análisis e interpretación de los archivos necesarios que contienen los registros de las descargas realizadas en el dispositivo móvil. Ruta archivo registrada sisodownloads.db 1) Seleccionar caso de estudio 2) Validar que exista el caso de estudio 3) Seleccionar dispositivo 4) Validar que exista el dispositivo 5) Seleccionar archivo y visualizar contenido sisodownloads.db 6) Validar que exista registrada la ruta 7) Visualizar historial de descargas, datos como: URL (Link de descarga) Fecha y hora de descarga Ruta en la que se guardo la descarga Nombre de la descarga Número de visitas Visualización datos ID: Requerimiento: Descripción: Entrada: Proceso: Salida: RF010 Generación de un reporte en formato pdf con los resultados encontrados, de acuerdo al caso de estudio a analizar Comprende la generación de un reporte en formato pdf, con la información registrada y los resultados encontrados. Seleccionar caso de estudio 1) Seleccionar caso de estudio 2) Validar registro de caso de estudio 3) Seleccionar dispositivo 4) Validar registro de dispositivo 5) Validar registro de archivos 6) Seleccionar opción generar reporte 7) Verificar y procesar resultados 8) Generar reporte y visualizar Reporte genarado en formato pdf 269

292 3.2 Requerimientos no funcionales Rendimiento RNF001. Garantizar capacidad para capturar excepciones Las excepciones de la aplicación no deben mostrarse en pantalla, se gestionara mensajes de error y un archivo log de excepciones. RNF002. Garantizar que el diseño de las consultas y de las base de datos no afecten el desemepño de la aplicación. Usabilidad RNF003. Proveer una interfaz amigable para el fácil uso Extensibilidad RNF004. Proveer en el futuro el desarrollo e implementación de nuevas funcionalidades, modificar o eliminar funcionalidades Portabilidad RNF005. El sistema se desarrolla en lenguaje JAVA y se ejecuta en ambientes Windows, pero podrá ejecutarse en Linux 4. Requerimientos de documentación 4.1 Manual de Usuario Se debe proporcionar un manual de usuario que permita el correcto uso de la aplicación. 270

293 Anexo 5 Especificación de casos de uso Diagrama de caso de uso SGICAF Figura 108: Diagrama de caso de uso SGICAF Diagrama de caso de uso registrar peritaje Figura 109: Diagrama de caso de uso registrar peritaje 271

294 Especificación de caso de uso registrar peritaje Número: 001 Nombre: Registrar peritaje Usuarios: es toda persona que ingrese el peritaje Actores: Sistema: solución tecnología que permitirá el registro del caso, personal y evidencia, además de asignar el caso de estudio al personal Comprende el registro de la información que conlleva un caso de estudio, Descripción: asignación del equipo de investigación e ingreso de datos de la evidencia. Precondiciones: Los roles del personal de investigación estarán previamente definidos Caso de estudio registrado Personal asignado al caso de estudio Post condiciones: Evidencia registrada Persona registrada Actor: Sistema: 1.- Ingresar al módulo registrar peritaje 2.- Presentar formulario 3.- Ingresar código caso de estudio 4.- Seleccionar fecha de solicitud de examen 5.- Ingresar persona y/o institución que solicita el examen 6.- Ingresar descripción, objetivos, y alcance 7.- Verifica que el formulario este completo 8.- Registrar equipo de investigación, Flujo Normal: vaya al CASO DE USO REGISTRAR PERSONAL 9.- Verifica que se haya registrado el equipo de investigación al caso de estudio 10.- Ingresar evidencia: selecciona fecha de incautación y hora de incautación, ingresa lugar de incautación y observaciones 11.- Seleccionar guardar 12.- Verificar que el formulario este completo y emite un mensaje de Caso de estudio registrado 13.- Fin del caso de uso Flujo Alternativo: No aplica 272

295 Requerimientos Funcionales: RF001, RF002 Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina Requerimientos Especiales: RNF001, RNF002, RNF003, RNF004, RNF005 Asunciones y Dependencias: Asunciones: No aplica. Dependencias: No aplica. Diagrama de caso de uso registrar personal Figura 110: Caso de uso registrar personal Especificación de caso de uso registrar personal Número: 002 Nombre: Registrar personal Usuarios: es toda persona que ingrese al personal de investigación y asigne el rol Actores: Sistema: solución tecnología que permitirá el registro del personal, presentar los roles para el personal Descripción: Comprende el registro de la información del personal. Precondiciones: Roles previamente creados Caso de estudio creado Post condiciones: Personal de investigación registrado Rol asignado el personal de investigación Actor: Sistema: 1.- Ingresar al módulo de registro de personal Flujo Normal: 2.- Presentar opción de búsqueda (mediante identificación) 3.- Ingresar Identificación 273

296 4.- Seleccionar opción buscar 5.- Presentar información de la persona (FA1 INGRESAR PERSONA) Nombres Apellidos 6.- Asignar rol a persona 7.- Añadir a caso de estudio 8.- Fin del caso de uso FA1 INGRESAR PERSONA Actor Sistema 1.- Ingresar Identificación 2.- Seleccionar opción buscar 3.- Habilitar los campos Nombres, Flujo Alternativo: Apellidos 4.- Ingresar nombres y apellidos 5.- Asignar rol a persona 6.- Almacenar identificación, nombres y apellidos de la persona 7.- Flujo normal continúa Requerimientos Funcionales: RF002 Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina Requerimientos Especiales: RNF001, RNF002, RNF003, RNF004, RNF005 Asunciones: No aplica. Asunciones y Dependencias: Dependencias: La asignación de los roles dependen enteramente de la creación de los mismos Diagrama de caso de uso registrar dispositivo Figura 111: Caso de uso registrar dispositivo 274

297 Especificación de caso de uso registrar dispositivo Número: 003 Nombre: Registrar dispositivo Usuarios: es toda persona que ingrese la información del dispositivo Actores: Sistema: solución tecnología que permitirá el registro de las características físicas del dispositivo móvil y permite la búsqueda del mismo. Descripción: Comprende el registro de la información de las características físicas y lógicas del dispositivo móvil Caso de estudio registrado Dispositivo conectado al computador Precondiciones: Opción tipo de dispositivo registrados previamente Opción estado registrados previamente Driver dispositivo instalado Post condiciones: Dispositivo registrado Actor: Sistema: 1.- Presentar listado casos de estudio 2.- Selecccionar caso de estudio 3.- Habilitar opción Ingresar dispositivo 4.- Ingresar al módulo registrar dispositivo 5.- Presentar formulario 6.- Seleccionar fecha y hora de recepción de la evidencia y tipo de dispositivo (Tablet o Smartphone), estado (Encendido o Apagado), opción bloqueado (Si o No), y opción soporta modo vuelo (Si o No) 7.- Ingresar características pantalla, Flujo Normal: FCC ID, IC, espacio de almacenamiento y propietario 8.- Seleccionar servicios de conexión (Bluetooth, infrarrojo, wifi, otro). Si seleccionar opcón otro, ingresar el mismo. 9.- Validar formulario completo (Opción servicios de conexión, deberá haber seleccionado por lo menos uno) 10.- Seleccionar periféricos: incluye tarjeta externa, SIM Card, Batería, Cargador, incluye cámara, captura imágenes, captura vídeos Si la opción batería fue seleccionada vaya FA3 INGRESAR DATOS BATERÍA 275

298 12.- Si la opción tarjeta externa fue seleccionada vaya FA1 INGRESAR DATOS TARJETA EXTERNA 13.- Si la opción SIM Card fue seleccionada vaya FA2 INGRESAR DATOS SIM CARD 14.- Si la opción cargador fue seleccionada vaya FA4 INGRESAR DATOS CARGADOR 15.- Validar formulario y emitir mensaje Conectar dispositivo 16.- Conectar dispositivo al computador 17.- Seleccionar opción buscar dispositivos 18.- Buscar dispositivo 19.- Seleccionar dispositivo 20.- Obtener y presentar datos del dispositivo como serial (S/N) dispositivo móvil, serial radio, tipo de dispositivo, marca, modelo, fabricante, procesador, sistema operativo, versión sistema operativo, idioma del sistema operativo, operadora, IMEI, kernel y número de compilación Seleccionar obtener sistema de ficheros 22.- Presentar datos composición sistema de ficheros y tamaño sistema de ficheros 23.- Seleccionar opción realizar backup y confirma acción en el dispositivo, vaya al CASO DE USO REGISTRA COPIA DE SEGURIDAD 24.- Seleccionar finalizar 25.- Validar formulario completo 26.- Almacenar información 27.- Fin del caso de uso FA1 INGRESAR DATOS TARJETA EXTERNA Actor Sistema 1.- Seleccionar incluye tarjeta externa 2.- Habilitar campos 3.- Ingresar serial, espacio de almacenamiento y espacio disponible 4.- Validar campos 5.- Flujo normal continúa FA2 INGRESAR DATOS SIM CARD 276

299 Actor 1.- Seleccionar incluye SIM Card 3.- Ingresar operadora, códigos ICC, PIN, PUK y # de teléfono FA3 INGRESAR DATOS BATERÍA Actor 1.- Seleccionar incluye batería Sistema 2.- Habilitar campos 4.- Validar campos 5.- Flujo normal continúa Sistema 2.- Habilitar campos 3.- Ingresar S/N, capacidad de voltaje, y fabricante FA4 INGRESAR DATOS CARGADOR Actor 1.- Seleccionar incluye cargador 4.- Validar campos 5.- Flujo normal contiua Sistema 3.- Ingresar código etiqueta, S/N, marca, modelo, input, output y frecuencia 4.- Seleccionar opción incluye cable de datos 2.- Habilitar campos 5.- Habilitar campo 6.- Ingresar código de etiqueta 7.- Fin del flujo alterno Requerimientos Funcionales: RF003 Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina Requerimientos Especiales: RNF001, RNF002, RNF003, RNF004, RNF005 Asunciones: No aplica. Dependencias: Asunciones y Dependencias: Opciones estado, bloqueado y tipo de dispositivo ingresados previamente. SDK instalado para la búsqueda del dispositivo 277

300 Diagrama de caso de uso registrar archivos Figura 112: Caso de uso registrar archivos Especificación de caso de uso registrar archivos Número: 004 Nombre: Registrar archivos Usuarios: es toda persona que ingrese la ruta de los archivos a validar Actores: Sistema: solución tecnología que permitirá buscar los archivos en la ruta especificada por el usuario Permita la búsqueda de la carpeta que contiene los archivos necesarios para el Descripción: análisis e interpretación de los mismos. Caso de estudio creado Dispositivo ingresado Precondiciones: Copia bit a bit genarada Archivos almacenados en una carpeta determinada Post condiciones: Ruta de archivos registrada Actor Sistema 1.- Presentar listado casos de estudio registrados 2.- Ingresar al módulo de registro de archivos Flujo Normal: 2.- Seleccionar caso de estudio 3.- Presentar lsiatdo de dispositivos registrados al caso de estudio 4.- Seleccionar dispositivo 5.- Habilitar opción subir archivos 278

301 6.- Seleccionar buscar ruta archivos 7.- Presentar ventana emergente para buscar ruta 8.- Seleccionar ruta o dirección donde se encuentra almacenados los archivos 9.- Buscar archivos browser2.db, sisodownloads.db, localappstate.db, icingcorpora.db, packages.xml, y dmappmgr.db 10.- Ingresar nombre y ruta del archivo 11.- Generar código referencial 12.- Solicitar almacenar información 13.- Validar y almacenar información de los archivos 14.- Fin del caso de uso Flujo Alternativo: No aplica Requerimientos Funcionales: RF006 Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina Requerimientos Especiales: RNF001, RNF002, RNF003, RNF004, RNF005 Asunciones y Dependencias: Asunciones: No aplica. Dependencias: No aplica Diagrama de caso de uso registrar copia de seguridad Figura 113: Caso de uso copia de seguridad 279

302 Especificación de caso de uso registrar copia de seguridad Número: 005 Nombre: Registrar copia de seguridad datos Usuarios: es toda persona que solicite la opción realizar backup Actores: Sistema: solución tecnología que permitirá buscar el dispositivo y realizar el backup Descripción: Permite realizar una copia de seguridad de los datos del dispositivo móvil conectado al equipo. Caso de estudio registrado Precondiciones: Dispositivo conectado al computador Driver dispositivo instalado Post condiciones: Backup generado exitosamente Actor Sistema 1.- Ingresar al módulo de registro de dispositivos 2.- Seleccionar buscar dispositivo 3.- Buscar dispositivos conectados al computador 4.- Presentar listado dispositivos conectados 5.- Seleccionar dispositivo Flujo Normal: 6.- Seleccionar opción realizar backup 7.- Confirmar copia de seguridad en el dispositivo 8.- Emitir mensaje Ingresar nombre backup 9.- Ingresar nombre 10.- Realizar backup 11.- Emitir mensaje Backup realizado exitosamente 12.- Fin del caso de uso Flujo Alternativo: No aplica Requerimientos Funcionales RF004 Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina Requerimientos Especiales: RNF001, RNF002, RNF004, RNF005 Asunciones y Dependencias: Asunciones: No aplica. Dependencias: No aplica. 280

303 Diagrama de caso de uso generar reportes Figura 114: Caso de uso generar reportes Especificación de caso de uso generar reportes Número: 006 Nombre: Generar reportes Usuarios: es toda persona que solicite generar reporte Actores: Sistema: solución tecnología que permitirá buscar los registros del caso de estudio, equipo de investigación, evidencia, dispositivos, archivos y resultados Comprende la generación de un reporte en formato pdf, con la información Descripción: registrada y los resultados encontrados. Caso de estudio registrado Equipo de investigación registrado Precondiciones: Evidencia registrada Dispositivo registrado Archivos registrados (Opcional) Post condiciones: Reporte generado en formato pdf Actor Sistema 1.- Seleccionar caso de estudio 2.- Validar caso de estudio registrado Flujo Normal: 3.- Seleccionar generar reporte caso 4.- Validar registro de datos caso de estudio, equipo de investigación y evidencia 5.- Generar reporte en formato pdf 281

304 6.- Presentar reporte 7.- Seleccionar generar resultados dispositivo (FA1 GENERAR REPORTE RESULTADOS) 8.- Seleccionar opción plantillas (FA2 DESCARGAR PLANTILLAS) 9.- Fin del caso de uso FA1 GENERAR REPORTE RESULTADOS Actor Sistema 1.- Seleccionar generar resultados dispositivo 2.- Emitir mensaje Seleccione dispositivo 3.- Seleccionar dispositivo 4.- Validar dispositivo registrado 5.- Validar registro de archivos 6.- Analizar archivos 7.- Generar resultados Flujo Alternativo: 8.- Generar reporte en formato pdf 9.- Presentar reporte 10.- Fin del flujo alterno FA2 DESCARGAR PLANTILLAS Actor Sistema 1.- Seleccionar opción plantillas 2.- Presentar listado de plantillas 3.- Seleccionar plantilla 4.- Descargar plantilla en formato word 5.- Fin del flujo alterno Requerimientos Funcionales: RF005, RF007, FR008, RF009 y RF010 Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina Requerimientos Especiales: RNF001, RNF002, RNF003, RNF004, RNF005 Asunciones: No aplica. Asunciones y Dependencias: Dependencias: Las plantillas no dependen del ingreso de las mismas 282

305 Anexo 6 Diagrama de clases Figura 115: Modelo de clases SGICAF 283

306 Figura 116: Diagrama de clases SGICAF- Persistence 284

307 Figura 117: Diagrama de clases 285

308 Anexo 7 Diagramas de secuencia Figura 118: Diagrama de secuencia registrar peritaje 286

309 Figura 119: Diagrama de secuencia registrar dispositivo 287

310 Figura 120: Diagrama de secuencia registrar archivos 288

311 Figura 121: Diagrama de secuencia generar reporte caso 289

312 Figura 122: Diagrama de secuencia generar reporte resultados 290

313 Anexo 8 Diagrama de actividades Figura 123: Diagrama de actividades registrar peritaje 291

314 Figura 124: Diagrama de actividades registrar dispositivo 292

315 Figura 125: Diagrama de actividades registrar archivos 293

316 Figura 126: Diagrama de actividades generar reporte caso 294

317 Figura 127: Diagrama de actividades generar reporte resultados 295

318 Anexo 9 Diagrama de componentes Figura 128: Diagrama de componentes Anexo 10 Diagrama de paquetes Figura 129: Diagrama de paquetes 296

319 Anexo 11 Diagrama de despliegue Figura 130: Diagrama de despliegue Anexo 12 Manual técnico 1. Introducción El presente documento pretende proporcionar una guía de instalación tanto de las diferentes herramientas y tecnologías utilizadas, como también en el desarrollo del SISTEMA DE GESTIÓN DE INFORMACIÓN DE CASOS DE ESTUDIO DE ANALISIS FORENSE denominado SGICAF. 2. Requerimientos Tener instalado el SDK de Android. Tener instalado Xampp, para la interacción con la base de datos Habilitar la opción Depuración USB del dispositivo móvil. 3. Tecnologías Para el desarrollo de la aplicación se empleó las siguientes tecnologías: Como lenguaje de programación utilizado para el desarrollo del software es java 297

320 El entorno de desarrollo es Netbeans 7.4 Uso de la librería sqlite jdbc Uso de la librería log4j Uso de la librería mysql Uso de jasperreport Uso de viaforensics Uso del SDK de Android. Uso de Xampp 3.1 Java (Oracle, 2014) Java es un lenguaje de programación y una plataforma informática comercializada por primera vez en 1995 por Sun Microsystems. Hay muchas aplicaciones y sitios web que no funcionarán a menos que tenga Java instalado y cada día se crean más. Java es rápido, seguro y fiable. Desde portátiles hasta centros de datos, desde consolas para juegos hasta súper computadoras, desde teléfonos móviles hasta Internet, Java está en todas partes. 3.2 Netbeans (Gimeno & González, 2011) NB es un entorno integrado de desarrollo o IDE (Integrated Development Environment). En él podemos realizar todas las tareas asociadas a la programación: Editar el código Compilarlo Ejecutarlo Depurarlo Por qué usarlo? Simplifica alguna de las tareas que, sobre todo en proyectos grandes, son tediosas Nos asiste (parcialmente) en la escritura de código, aunque no nos libera de aprender el lenguaje de programación Nos ayuda en la navegación de las clases predefinidas en la plataforma (miles) Aunque puede ser costoso su aprendizaje, los beneficios superan las dificultades 298

321 3.3 Sqlite (Hipp, 2014) SQLite es una biblioteca en proceso que se implementa sin servidor, sin configuración, es un motor de base de datos transaccional de SQL autónomo. El código para SQLite es de dominio público y por lo tanto libre para uso para cualquier propósito, comercial o privado. SQLite se encuentra actualmente en más aplicaciones que podemos contar, incluyendo varios proyectos de alto perfil. SQLite es un motor de base de datos SQL incorporado. A diferencia de la mayoría de las otras bases de datos SQL, SQLite no tiene un proceso servidor independiente. SQLite lee y escribe directamente en archivos de disco ordinarios. Una base de datos completa de SQL con varias tablas, índices, triggers y vistas, está contenida en un archivo de disco único. El formato de archivo de base de datos es multiplataforma - se puede copiar libremente una base de datos entre sistemas de 32 bits y de 64 bits o entre arquitecturas big-endian y littleendian. Estas características hacen que SQLite una opción popular como un formato de archivo de la aplicación. 3.4 Log4j (Apache Software Foundation, 2014) Log4j es una biblioteca open source desarrollada en Java por Apache Software Foundation que permite a los desarrolladores de software elegir la salida y el nivel de granularidad de los mensajes o logs (data logging) a tiempo de ejecución y no a tiempo de compilación como es comúnmente realizado. La configuración de salida y granularidad de los mensajes es realizada a tiempo de ejecución mediante el uso de archivos de configuración externos. Log4J ha sido implementado en otros lenguajes como: C,C++, C#, Perl, Python, Ruby y Eiffel. 3.5 Mysql (Oracle Corporation and/or its affiliates, 2014) MySQL es un sistema de gestión de bases de datos relacional, multihilo y multiusuario con más de seis millones de instalaciones. Por un lado se ofrece bajo la GNU GPL para cualquier uso compatible con esta licencia, pero para aquellas empresas que quieran incorporarlo en productos privativos deben comprar a la empresa una licencia específica que les permita este uso. Está desarrollado en su mayor parte en ANSI C. Al contrario de proyectos como Apache, donde el software es desarrollado por una comunidad pública y los derechos de autor del código están en poder del autor individual, MySQL es patrocinado por una empresa privada, que posee el copyright de la mayor parte del código. Esto es lo que 299

322 posibilita el esquema de licenciamiento anteriormente mencionado. Además de la venta de licencias privativas, la compañía ofrece soporte y servicios. Para sus operaciones contratan trabajadores alrededor del mundo que colaboran vía Internet. MySQL AB fue fundado por David Axmark, Allan Larsson y Michael Widenius. 3.6 ireport Designer y jasperreports (Toffoli, 2014) JasperReports en una librería de creación de informes de código abierto de Java más popular del mundo, e ireport Designer es un diseñador visual de informes para JasperReports. La biblioteca es un motor de informes que se puede integrar en su aplicación abierta o comercial para generar los informes diseñados con ireport Designer, ellas deben mostrarse en la pantalla o exportarlos en un formato final como PDF, OpenOffice, DOCX y muchos otros. Alternativamente, puede transmitir el resultado a través de una aplicación web o enviar el documento final directamente a una impresora. JasperReports es de alguna forma el núcleo de ireport Designer. JasperReports es extremadamente fácil de integrar en una aplicación Java, pero si usted necesita un entorno para utilizar los informes sin tener que escribir una aplicación personalizada, se puede considerar el uso de JasperReports Server. JasperServer proporciona una interfaz basada en web para gestionar, programar y ejecutar los informes; un repositorio para almacenar todos los recursos del informe como imágenes, fuentes de datos y mucho más; un servicio de seguridad para decidir quién puede ejecutar que informe; y una API de servicios web para ejecutar los informes de aplicaciones externas (por lo que puede generar informes a partir de cualquier tipo de entorno, como PHP o.net). En el panorama general, ireport Designer le permite diseñar informes, JasperReports permite ejecutarlas y generar una salida en una aplicación Java, y JasperServer permite tanto a los usuarios finales y las aplicaciones externas a acceder, ver y publicar sus informes de forma segura. JasperServer también hace informes interactivos mediante la adición de perforar y replegar las capacidades de sus documentos. 3.7 Viaforensics Framework de utilidades para el análisis forense. 300

323 4. Diccionario de datos 4.1 Modelo entidad- relación Figura 131: Modelo entidad relación 301

324 4.2 Tablas Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia casos En esta tabla se registran los ítems correspondientes al caso de estudio. Tiene relación con las tablas se_asigna y evidencia Nombre Tipo Longitud Nulo Restricción CODIGOCASO varchar 50 No N/A FECHASOLICITUD varchar 50 Si N/A SOLICITANTE varchar 150 Si N/A DESCRIPCION varchar 3000 Si N/A OBJETIVOS varchar 200 Si N/A ALCANCE varchar 200 Si N/A Llave primaria CODIGOCASO Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia personal En esta tabla se registra los datos personales del equipo de investigación. Tiene relación con la tabla se_asigna Nombre Tipo Longitud Nulo Restricción IDENTIFICACION varchar 50 No N/A NOMBRES varchar 150 Si N/A APELLIDOS varchar 150 Si N/A Llave primaria IDENTIFICACION Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia se_asigna En esta tabla se registra la relación y el rol que desempeña el profesional con el caso de estudio. Tiene relación con la tabla casos y personal Nombre Tipo Longitud Nulo Restricción IDENTIFICACION varchar 15 No N/A CODIGOCASO varchar 50 No N/A ROL varchar 150 No N/A Llaves primarias IDENTIFICACION, CODIGO CASO Nombre tabla: evidencia Descripción: En esta tabla se registra los ítems principales de la evidencia. Tiene relación con la tabla caso y dispositivo Lista de atributos Nombre Tipo Longitud Nulo Restricción (Nombre, tipo de CODIGOEVIDENCIA varchar 50 No N/A dato, longitud, CODIGOCASO varchar 50 Si N/A permitir datos nulos FECHAHORAINCAUTACION varchar 50 Si N/A 302

325 y/u otra restricción): LUGARINCAUTACION varchar 200 Si N/A OBSERVACIONES varchar 2000 No N/A Llaves primarias y de referencia Llave primaria CODIGOEVIDENCIA Llave foránea CODIGOCASO Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia dispositivo En esta tabla se registra los ítems correspondientes al dispositivo incautado. Tiene relación con la tabla evidencia y propiedades Nombre Tipo Longitud Nulo Restricción CODIGOETIQUETADISPOSITIVO varchar 50 No N/A PROPIETARIO varchar 100 No N/A CODIGOEVIDENCIA varchar 50 Si N/A ESTADO varchar 50 Si N/A BLOQUEADO varchar 50 Si N/A PANTALLA varchar 50 Si N/A FCC_ID varchar 50 Si N/A IC varchar 50 Si N/A ESPACIOALMACENAMIENTO varchar 50 Si N/A SERVICIOSCONEXION varchar 50 Si N/A MODO VUELO varchar 50 Si N/A FECHARECEPCION varchar 50 Si N/A TIPO varchar 50 Si N/A BATERIAREMOVIBLE varchar 50 Si N/A CARGADOR varchar 50 Si N/A CAMARA varchar 50 Si N/A IMÁGENES varchar 50 Si N/A VIDEOS varchar 50 Si N/A SIM varchar 50 Si N/A TARJETA varchar 50 Si N/A Llave primaria CODIGOETIQUETADISPOSITIVO Llave foránea CODIGOEVIDENCIA Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): propiedades En esta tabla se registra los datos correspondientes a las propiedades y/o características del dispositivo. Tiene relación con la tabla dispositivo Nombre Tipo Longitud Nulo Restricción COD_PROPIEDADES int 11 No AUTO_INCREMENT SERIAL varchar 50 No N/A CODIGOETIQUETADISPOSITI VO varchar 50 Si N/A TIPODIS varchar 50 Si N/A SISTEMAOPERATIVO varchar 50 Si N/A VERSIONOS varchar 50 Si N/A 303

326 Llaves primarias y de referencia IDIOMAOS varchar 50 Si N/A MARCA varchar 50 Si N/A MODELO varchar 50 Si N/A FABRICANTE varchar 50 Si N/A PROCESADOR varchar 50 Si N/A KERNEL varchar 300 Si N/A COMPILACION varchar 300 Si N/A SERIALRADIO varchar 50 Si N/A COMPOSICIONFICHEROS varchar 3000 Si N/A TAMANIOFICHEROS varchar 3000 Si N/A Llave primaria COD_PROPIEDADES Llave foránea CODIGOETIQUETADISPOSITIVO Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia cargador En esta tabla se registra los ítems correspondientes al cargador. Tiene relación con la tabla dispositivo Nombre Tipo Longitud Nulo Restricción CODCARGADOR AUTO_INCRE int 11 No MENT CODETIQUETACARGADOR varchar 100 No N/A CODIGOETIQUETADISPOSITIVO varchar 50 Sí N/A SERIALCARGADOR varchar 50 Si N/A MARCACARGADOR varchar 50 Si N/A MODELOCARGADOR varchar 50 Si N/A INPUT varchar 50 Si N/A OUTPUT varchar 50 Si N/A FRECUENCIA varchar 50 Si N/A CODCABLE varchar 50 Si N/A CABLEDATOS varchar 50 Si N/A Llave primaria CODCARGADOR Llave foránea CODIGOETIQUETADISPOSITIVO Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos bateria En esta tabla se registra los datos correspondientes a la batería. Tiene relación con la tabla dispositivo Nombre Tipo Longitud Nulo Restricción CODBATERIA int 11 No AUTO_INCRE MENT SERIALBATERIA varchar 100 No N/A CODIGOETIQUETADISPOSITIV varchar 50 Si N/A O 304

327 nulos y/u otra FABRICANTEBATERIA varchar 50 Si N/A restricción): VOLTAJE varchar 50 Si N/A Llaves primarias y de referencia Llave primaria CODBATERIA Llave foránea CODIGOETIQUETADISPOSITIVO Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia sim_card En esta tabla se registra los datos correspondientes a la tarjeta SIM. Tiene relación con la tabla dispositivo Nombre Tipo Longitud Nulo Restricción COD_SIM int 11 No AUTO_INCREMENT CODIGOETIQUETADISPOSIT IVO varchar 50 Si N/A ICC varchar 50 Si N/A OPERADORA varchar 50 Si N/A FONO varchar 50 Si N/A PIN varchar 50 Si N/A PUK varchar 50 Si N/A IMEI varchar 50 Si N/A Llave primaria COD_SIM Llave foránea CODIGOETIQUETADISPOSITIVO Nombre tabla: Descripción: Lista de atributos (Nombre, tipo de dato, longitud, permitir datos nulos y/u otra restricción): Llaves primarias y de referencia tarjetaexterna En esta tabla se registra los ítems correspondientes a la tarjeta externa (SD Card o micro SD). Tiene relación con la tabla dispositivo Nombre Tipo Longitud Nulo Restricción CODSD int 11 No AUTO_INCREMENT CODIGOETIQUETADISPO SITIVO varchar 50 Si N/A NUMEROSERIAL varchar 50 Si N/A ALMACENAMIENTO varchar 50 Si N/A DISPONIBLE varchar 50 Si N/A Llave primaria CODSD Llave foránea CODIGOETIQUETADISPOSITIVO Nombre tabla: archivos Descripción: En esta tabla se registra los ítems correspondientes a los archivos a analizar del dispositivo. Tiene relación con la tabla dispositivo Lista de atributos Nombre Tipo Longitud Nulo Restricción (Nombre, tipo de dato, ID_ARCHIVOS varchar 100 No N/A longitud, permitir datos CODIGOETIQUETADISPOSITI nulos y/u otra VO varchar 50 Si N/A restricción): NOMBREARCHIVOS varchar 100 Si N/A RUTAARCHIVOS varchar 300 Si N/A 305

328 Llaves primarias y de referencia Llave primaria ID_ARCHIVOS Llave foránea CODIGOETIQUETADISPOSITIVO 5. Manual de instalación y configuración 5.1 Requisitos generales pre-instalación Instalación de JDK en Windows 1) Descargue el jdk de netbeans-download html para windows Seleccione la opción Accept license agreement Seleccione el jdk de Windows para descargar Haga clic en guardar. Figura 132: Opción aceptar licencia Figura 133: Seleccionar jdk 306

329 Figura 134: Opción guardar 2) Haga doble clic en el instalador y proceda a la instalación correspondiente le aparecerá una ventana de bienvenida de la aplicación haga clic en Next haga clic en Next Figura 135: Pantalla de bienvenida instalación jdk 307

330 Figura 136: Instalación jdk Figura 137: Progreso de instalación jdk 3) Seguidamente se mostrará la carpeta destino haga clic en Next continuamente la aplicación procede a instalarse finalmente aparecerá un mensaje indicando que la instalación ha sido efectuada correctamente haga clic en Close. 308

331 Figura 138: Carpeta destino, instalación jdk Figura 139: Instalación jdk carpeta destino Figura 140: Mensaje final, instalación completa jdk 309

332 5.1.1 Instalación de Xampp en Windows 1) Vaya a escoja la opción descargar XAMPP para windows aparecerá una ventana para guardar el instalador haga cli en guardar. Figura 141: Descargar xampp para Windows Figura 142: Proceso de descarga Xampp 310

333 Figura 143: Guardar instalador 2) Haga doble clic en el instalador y aparecerá una ventana de bienvenida al proceso de instalación haga clic en Next Figura 144: Ventana de bienvenida Xampp Fuente (Bartolomé Sintes, 2014) 3) Escoja los componentes a instalar, principalmente MySQL y phpmyadmin haga clic en Next 311

334 Figura 145: Seleccionar componentes Fuente (Bartolomé Sintes, 2014) 4) Aparecerá la venta de la carpeta de instalación del xampp (no cambie la ruta) haga clic en Next Figura 146: Carpeta destino Xampp Fuente (Bartolomé Sintes, 2014) 5) Desmarque la casilla Learn more about BitNami for XAMPP, para que no se abra la página web de BitNami. 312

335 Figura 147: Desmarcar casilla Fuente (Bartolomé Sintes, 2014) 6) Seguidamente se procede a instalar haga clic en Next y haga clic en Finish Figura 148: Instalación xampp 1 / 2 Fuente (Bartolomé Sintes, 2014) 313

336 Figura 149: Instalación xampp 2 / 2 Fuente (Bartolomé Sintes, 2014) Figura 150: Mensaje finalización instalación Fuente (Bartolomé Sintes, 2014) 7) Si tiene instalado la aplicación Skype debe configurar lo siguiente vaya a la opción Config de apache y escoja la opción httpd.conf Cambie le puerto de Listen 80 a Listen 8080 y en ServerName localhost:80 a ServerName localhost:

337 Figura 151: Panel de control Xampp Figura 152: Opción cambar puerto 1 / 2 Figura 153: Opción cambiar puerto 2 / 2 8) Vaya a la opción Config de apache y escoja la opción httpd-ssl.conf cambie el puerto Listen 443 a Listen

338 Figura 154: Opción httpd-ssl.conf Figura 155: Cambiar puerto 1 / 2 Figura 156: Cambiar puerto 2 / 2 9) En el panel de control haga clic en start de la opción de Mysql y de Apache en el navegador web digite localhost:8080/xampp escoja la opción Español 316

339 Figura 157: Iniciar Apache y MySQL Figura 158: Servicios iniciados Figura 159: Seleccionar opción español 317

340 Figura 160: Ventana de inicio Xampp 10) Una vez configurado e instalado correctamente vaya a la opción phpmyadmin para crear la base de datos a ser utilizada. Figura 161: Opción phpmyadmin 11) Vaya a la opción Nueva vaya al lado derecho en Crear base de datos en el cuadro de texto digite forenseandroid haga clic en Crear Figura 162: Crear base 318

341 Figura 163: Crear base de datos 12) Aparecerá un mensaje con la confirmación de que la base ha sido creada existosamente. Figura 164: Confirmación base de datos creada 13) Vaya a la opción importar haga clic en la opción Seleccionar archivo y escoja el archivo forenseandroid.sql haga clic en abrir y finalmente haga clic en Continuar Figura 165: Opción importar 319

342 Figura 166: Seleccionar importar Figura 167: Opción seleccionar archivo Figura 168: Seleccionar archivo 320

343 Figura 169: Opción continuar Instalación de SDK de Android 1) Vaya a Seleccione VIEW ALL DOWNLOADS AND SIZES en la sección SDK Tools Only descargue el paquete de windows installer_r windows.exe 2) Una vez descargada la aplicación Haga doble clic en el instalador, el cual le presentará la ventana principal de instalación haga clic en Next Figura 170: Ventana de beinvenida SDK 3) El sdk de android validará la ubicación del jdk haga clic en Next escoja la opción Install for anyone using this computer haga clic en Next 321

344 Figura 171: Ventana detectar Java Figura 172: Ventana instalación compartida entre usuarios 4) Se presentará una ventana en el que se indica la ruta o destino donde se guardará la carpeta de instalación haga clic en Next Figura 173: Carpeta destino SDK 322

345 5) Continuamente procederá a realizar la instalación completa haga clic en install haga clic en Next haga clic en Next finalmente haga clic en finish Figura 174: Ventana Iniciar instalación Figura 175: Proceso de instalación SDK 1 / 3 Figura 176: Proceso de instalación SDK 2 / 3 323

346 Figura 177: Proceso de instalación SDK 3 / 3 Figura 178: Confirmación instalación completa SDK 6) Una vez culminada la instalación añadir las variables de entorno vaya a Inicio Equipo clic derecho Propiedades Configuración avanzada del sistema Opciones avanzadas Variable de entorno Elija la opción Path haga clic en la opción Editar y en la opción Valor de la variable agregue C:\Program Files (x86)\android\android-sdk\platform-tools;, C:\Program Files (x86)\android\android-sdk\tools; haga clic en Aceptar 324

347 2 3 1 Figura 179: Añadir variables de entorno Figura 180: Opción configuración avanzada del sistema 325

348 1 2 Figura 181: Opción variables de entorno 1 2 Figura 182: Editar variable de entorno Figura 183: Confirmación variable de entorno 326

349 7) En la consola de comandos digite adb para comprobar la correcta instalación Figura 184: Comprobación comando adb Figura 185: ADB 8) Continuamente debe instalar los paquetes necesarios a ser utilizados tales como Android support library y Google USB Driver Vaya a la ruta en la que se guardo la carpeta del SDK C:\Program Files (x86)\android\android-sdk haga doble clic en SDK Manager.exe, Marque los paquetes anteriormente, mencionados haga clic en Install # packages Escoja la opción Accept license y haga clic en install, culminada la instalación haga clic en close y en el icono Figura 186: SDK Manager 327

350 Figura 187: Venatana SDK Manager Figura 188: Seleccionar paquetes Figura 189: Instalación paquetes 328

351 Figura 190: Finalizar instalación paquetes 5.2 Manual de usuario Bienvenida La aplicación mostrará un mensaje de bienvenida, el mismo que dará inicio a la aplicación Pantalla de inicio Figura 191: Pantalla de bienvenida En la pantalla de inicio visualizará un menú principal, un menú secundario y la lista de casos de estudio registrados en el sistema. En el menú principal dispone de las siguientes opciones: Inicio: Aquí cuenta con varias opciones tales como: o Nuevo caso: Opción que le permitirá ingresar un nuevo caso de estudio 329

352 o Ingresar dispositivo: Opción que le permitirá ingresar un nuevo dispositivo a cada caso de estudio que lo requiera o Generar reporte caso: Genera un reporte del caso de estudio seleccionado, es decir, se presentará en formato pdf toda la información ingresada en la aplicación. o Generar reporte resultados: Genera un reporte de los resultados analizados de cada uno de los dispositivos que seleccione Plantillas: En esta opción se dispondrá de los modelos de plantillas a ser utilizados en cada una de las fases que la guía metodológica propone. Ayuda: En esta opción constará de una breve explicación de la aplicación para un mayor entendimiento. Figura 192: Pantalla principal En la pantalla principal podrá visualizar la lista de casos ingresados Al seleccionar el caso de estudio podrá visualizar la información ingresada. Figura 193: Opción inicio 330

353 5.2.3 Formulario Ingresar caso En esta opción deberá ingresar los datos solicitados correspondientes al caso de estudio 1. Ir a la opción Inicio Nuevo caso o clic en la opción Nuevo caso del menú principal 2. Ingrese el código del caso de estudio Seleccione la fecha de solicitud Ingrese o digite la Persona/Institución solicitante, descripción, objetivos y alcance Haga clic en siguiente. Figura 194: Formulario Ingresar caso de estudio 3. A continuación deberá ingresar los datos del equipo de investigación Ingrese la identificación Haga clic en buscar, si el investigador ya ha sido ingresado Seleccione el rol y haga clic en agregar, caso contrario ingrese los nombres y apellidos. a. De la misma manera cuenta con la opción de Modificar, el cual le permitirá modificar los datos del investigador en caso de que sean erróneos b. Y también cuenta con la opción de Eliminar, la misma que solo le permite eliminar el investigador de la tabla del equipo de investigación para el caso, más no de la base de datos. 4. Una vez agregados los responsables de la investigación haga clic en siguiente 331

354 Figura 195: Formulario ingresar equipo de investigación 5. En este formulario deberá ingresar los datos correspondientes a la evidencia a. Seleccionar la fecha de incautación (Recuerde que la fecha de incautación debe ser igual o superior a la fecha de solicitud) Selecciona la hora de incautación (Hora y minutos) b. Ingrese el lugar de incautación y observaciones Finalmente seleccione finalizar. Figura 196: Formulario ingreso de datos evidencia Formulario Ingresar dispositivo 1. Seleccione el caso de estudio Seleccione la evidencia Seleccione la opción Ingresar dispositivos 332

355 2. Ingresar código etiqueta Ingresar propietario Seleccionar fecha y hora de recepción Seleccione el tipo de dispositivo Seleccione el estado Seleccione la opción que corresponde si el dispositivo se encuentra bloquead Ingrese las características de la pantalla Ingrese el FCC ID e IC Ingrese el espacio de almacenamiento del dispositivo Seleccione la opción correspondiente si el dispositivo soporta el modo vuelo Seleccione los servicios de conexión, si escoge la opción Otros, ingrese la misma Haga clic en siguiente. Figura 197: Ingresar datos dispositivo 1/ 4 3. Seleccione las opciones correspondientes, si el dispositivo cuenta con los mismos tales opciones son Tarjeta externa, SIM Card, batería removible, cargador, cable de datos, cámara, si cuenta con cámara se habilitara la opción captura videos y captura imágenes, seleccione lo que crea necesario Ingrese los datos correspondientes a la batería (esta opción se habilitara si eligió que la batería es removible), número serial, capacidad de voltaje y fabricante haga clic en siguiente 333

356 Figura 198: Formulario dispositivo 2 / 4 4. Ingrese los datos de la tarjeta externa, SIM Card y cargador/cable USB si las opciones seleccionadas fueron afirmativas, caso contrario el sistema no le permitirá ingresar los mismos haga clic en siguiente a. Ingrese número serial, espacio de almacenamiento y espacio disponible de la tarjeta externa b. Ingrese el número de teléfono, ICC, PIN y PUK de la tarjeta SIM Card c. Ingrese el código de la etiqueta, Serial, marca, modelo, frecuencia, input, output y el código de la etiqueta del cable de datos Figura 199: Formulario dispositivo 3/ 4 5. Conecte el dispositivo al equipo Seleccione la opción Buscar dispositivos Seleccione el dispositivo a extraer la información Seleccione realizar backup datos haga clic en siguiente 334

357 Figura 200: Formulario búsqueda dispositivo 4/ 4 6. Sin desconectar el dispositivo del equipo Seleccione la opción Sistema de ficheros haga clic en siguiente haga clic en finalizar Figura 201: Formulario composición sistema de ficheros Formulario subir archivos 1. Seleccione el caso de estudio Selecciona la opción Subir archivos Seleccione la ruta en la que se encuentran los archivos (todos los archivos deberán estar, en lo posible en una sola carpeta), sisodownloads.db, downloads.db, localappstate.db, icingcorpora.db, dmappmgr.db, packages.xml, browser2.db haga clic en Finalizar 335

358 Figura 202: Formulario subir archivos 2. Seleccione los archivos subidos al sistema y el sistema le presentará la información contenida en los mismos, a la vez podrá visualizar los resultados de las aplicaciones instaladas, desinstaladas y no satisfactorias Menú generar reportes 1. Seleccione la opción generar reporte caso Seleccione el caso Seleccione aceptar Figura 203: Menú generar reporte 336

359 Figura 204: Ventana selección caso 2. O puede seleccionar el caso de la lista de casos Seleccione la opción Generar reporte Figura 205: Opción generar reporte Figura 206: Reporte 337

360 5.2.7 Menú plantillas Para obtener las plantillas en formato Word Seleccione la opción plantillas Seleccione la plantilla a requerir Menú Ayuda Figura 207: Menú plantillas Este menú cuenta con dos opciones Ayuda y Acerca de. La opción ayuda le brindará el apoyo necesario, para el correcto uso de la aplicación, mientras que la opción Acerca de, le propondrá información sobre quien elaboro la aplicación y cuál fue el objeto del mismo. Figura 208: Opción ayuda 338

361 Figura 209: Ventana principal de Ayuda Figura 210: Ventana Acerca de 339