Telefonía celular: Mirada Forense Nombre: San7ago Sánchez. 15 de Octubre 2012 Centro de Usos Múl7ples Universidad Interamerica Recinto Metropolitano

Transcripción

1 Telefonía celular: Mirada Forense Nombre: San7ago Sánchez 15 de Octubre 2012 Centro de Usos Múl7ples Universidad Interamerica Recinto Metropolitano

2 Objec7ves Entendimiento del concepto de telefonía celular en el área forense y su impacto en Sistemas de Información y Comunicaciones. Mostrar el proceso de incautación en dispositivos móviles siguiendo las mejores prácticas de la industria. Identificar y mencionar fuentes potenciales en contenido de evidencia en un dispositivo celular.

3 Introducción Una de las preocupaciones originadas en la globalización es que las tecnologías emergentes y convergentes se utilicen para preservar y aumentar diferentes crímenes cibernéticos, robo de identidad, espionaje corporativo y robo de secreto comercial entre otros. La telefonía celular es parte de estas tecnologías de rápido desarrollo e implementación y de mayor crecimiento en los pasados 10 años, impactando el proceso evolutivo de las comunicaciones en su totalidad, convirtiéndose (el celular) en el equipo móvil mayor usado en el mundo. Por tal razón, ningún funcionario encargado de hacer cumplir la ley no debe pasar por alto el valor probatorio del contenido de un dispositivo celular. 3

4 Distribución Mundial de Suscripciones móviles

5 Distribución Mundial Actual de Suscripciones móviles

6 Telefonía Móvil Forense Informática Forense

7 Informática Forense: Es la identificación, extracción, preservación, interpretación y documentación de la evidencia, el proceso legal, la integridad de la evidencia, reportes de la información encontrada, así como las opiniones de expertos en un tribunal de justicia u otras personas jurídicas y/o procedimiento administrativo en cuanto a lo que se encontró, de acuerdo al Instituto de CyberSecurity. Telefonía Móvil Forense: Es la ciencia de recuperación de evidencia digital desde un teléfono móvil en condiciones intactas utilizando métodos aceptados. Dato histórico: La evidencia digital es aceptada por la American Society of Crime Laboratory Directors en el 2003.

8 Telefonía Móvil Forense Informática Forense Variedad de fabricantes y modelos Informacion Volátil y dinámica Variedad de herramientas forense y muchos modelos no son compatibles Heterogeneidad: Equipo Acceso Sistemas Operativos Aplicaciones Protocolos e interfaces de (OS) exclusivos de fabricantes El dispositivo puede aparecer como estado inactivo para reservar energía y en realidad esta ejecutando un proceso.

9 Propósito de un Análisis Forense Celular Es identificar, extraer, preservar, interpretar y documentar la evidencia encontrada en el dispositivo celular, para establecer alguna relación con los hechos o delito cometido. Basado en el análisis de evidencia se determinará lo siguiente: Que se realizo? Cuando se realizo? Donde lo realizo? Como se realizo? Quien lo realizo?

10 Delitos y Telefonía Celular

11 El incremento del uso de la telefonía celular a nivel mundial, ha tenido como resultado el aumento en los delitos cometidos con éstos, a su vez la presencia de estos dispositivos móviles en escenas delictiva son mas frecuentes, colocando al dispositivo celular entre los receptores principales de evidencias.

12 Actualmente existen cuatro (4) funciones para realizar crímenes cibernéticos que la telefonía celular a heredado: El dispositivo celular es la victima, es expuesto a sabotaje, robo o destrucción. El dispositivo celular es la herramienta facilitadora para el ataque o ejecución del delito hacia otro dispositivos o sistemas. El dispositivo celular es la herramienta facilitadora para la ejecución del delito hacia personas, ejemplo ; robo de identidad, cuentas bancarias, hacking, etc. El dispositivo celular como fuente de credibilidad y confianza, cuando en realidad se esta utilizando para promover algún tipo de esquema de fraude.

13 Delitos Relacionados Robo de Identidad Agresión Secretos comerciales Fraude Acoso Acoso Pornografía Infantil Narcotráfico Asesinatos Robo de Identidad Bancaria Robo Otros

14 El Dispositivo Celular como Evidencia

15 Donde esta la Evidencia? Evidencia en un celular. Actualmente un teléfono celular un perfil de la vida personal y profesional sobre la persona que lo posee. Por tal razón el teléfono celular es un repositorio muy importante a la hora de levantar evidencia potencial. A continuación siete (7) lugares potenciales donde puede residir evidencia en un teléfono celular bajo investigación. Memoria interna del dispositivo (Mobile Equipment) Modulo de Identidad del Subscriptor (SIM card) Memorias removibles (MicroSD card memory, MiniSD card memory) Material relacionado al teléfono como, facturas de teléfono o documentación Proveedor del servicio celular Subscriptor u otras personas bajo la misma cuenta Data transferida o resguardo en computadora u otro dispositivo

16 Donde esta la Evidencia Cont?

17 Qué podemos encontrar? A continuación el tipo de evidencia que se puede extraer durante un análisis forense: Número de teléfonos llamados/cantidad Direcciones Fotografías Música Mensajes de Textos Calendario y tareas Llamadas recibidas Contactos Videos Direcciones de internet Contenido de chat Llamadas perdidas Memos y notas Grabaciones de voz Historial de actividades (internet) Correos Electrónicos Lectura de GPS Material o sustancias para posible identificación de ADN Huellas Dactilares

18 Manejo de Evidencia Realizar la adquisición a un dispositivo celular tiene la desventaja de que pudiera existir pérdida de información debido al agotamiento de las batería, daños, etc. Esto debe evitarse durante el transporte y almacenamiento. Procesos en la evidencia digital. ü Evaluación: Examinadores forenses del equipo deben evaluar la evidencia digital completamente con respecto al alcance del caso para determinar el curso de acción a tomar. ü Adquisición: Evidencia digital, por su propia naturaleza, es frágil y puede modificarse, dañado, o destruido por un manejo indebido o examen. Se debe producir una copia exacta de los datos originales a examinar. La evidencia original debe ser protegida en todo momento para preserva su integridad. ü Exanimación: El propósito del proceso de examen es extraer y analizar la evidencia digital.

19 Procedimientos básico al incautar un celular

20 Metodología

21 Aplicaciones para un Análisis Forense The National Institute of Standards and technology (NIST) Tiene un a división llamada The Computer Forensics Tool Testing (CFTT), la cual se dedica a medir, probar y cualificar la eficiencia de las herramientas forense que están actualmente en el mercado. Para mayor confiabilidad, integridad de la evidencia colectada y procesada por estas. Herramientas utilizadas para análisis forense y aprobadas por NIST, entre otras. Encase (Mobile Edition) Oxygen Forensic Suite Access Data FTK MPE (Mobile Phone Examiner) MOBILedit Forensic

22 Aplicaciones para un Análisis Forense Cont Identificar la Evidencia electrónica y digital. Adquirir la evidencia digital sin modificarla o dañarla. Autenticar que la evidencia recuperada es la misma que la original. Analizar los datos sin ninguna alteración. Producción de Informes.

23 Modelo de Referencia de Descubrimiento de Datos Electrónicos (EDRM)

24 Descubrimiento de Datos Identificación de la evidencia digital Identificar inmediatamente el IMEI (International Mobile Equipment Identity) Identificar las fuentes potenciales de evidencia digital. (SIM, MicroSD Card) Determinar que elementos se pueden incautar y cuales no. Recomendación: Tomar fotografía del entorno investigado. Fotografiar todo equipo incautado. Documentar todo el proceso de incautación, como infraestructura, conexiones y equipo encontrado.

25 Descubrimiento de Datos cont Preservación de la evidencia digital Mantenimiento de la Cadena de Custodia. Preservación de los elementos incautados, que estén en riesgo de alta temperatura o campos magnéticos. Obtener imágenes forense de los elementos incautados. Autenticación de la evidencia original. Análisis de la evidencia Tarea de localizar y extraer evidencia utilizando las herramientas aprobadas. Mediantes técnicas y herramientas forenses se intenta dar respuesta a los puntos de pericia solicitados.

26 Descubrimiento de Datos cont Revisar Revisión de TODOS los procedimientos, métodos y documentación. Revisión de procesos de autenticación de evidencia. Revisión del alcance de la investigación vs. objetivo de esta. Producción o presentación de la evidencia o resultados. La eficacia probatoria del dictamen informático radica en la continuidad del aseguramiento de la prueba desde el momento de la incautación. El resultado debe ser objetivo y preciso, conteniendo suficientes elementos para repetir el proceso en caso de ser necesario. Presentación del informe final ante el tribunal o entidad que lo solicite.

27 Cadena de Custodia

28 Cadena de Custodia cont Para lograr el completo éxito en el desarrollo investigativo de los casos de crimen cibernético, la cadena de custodia de evidencia representa el marco primordial y necesario para probar los hechos relacionados. Hoy día el proceso de realización de esta cadena es sumamente importante ya que en la gran mayoría de los casos el proceso de identificación, preservación, análisis y presentación se ve afectado por el mal uso y manejo de estos procesos a la hora de levantar o identificar evidencia pertinente. Cadena de custodia: proceso ininterrumpido de documentación de procedimientos que permitirán alcanzar niveles de efectividad para asegurar las características originales de los elementos materia de prueba o evidencias físicas desde su recolección hasta su disposición final, dentro de una dinámica constante de mejoramiento y modernización, con el fin único de satisfacer las necesidades y expectativas de la administración de justicia para lograr una pronta y cumplida justicia.

29 Cadena de Custodia cont... Verificado por : Evidencia recogida en Wyko Inc., por el Sr. Santiago Sánchez y entregada por el representante legal Dispositivo celular Nokia modelo 6720 Classic Sr. Santiago Sánchez investigador asignado de Perito Labs Núm. De Evidencia Fecha de comienzo CR Fecha: 17 marzo del 2007 Asignación y creación de numero de caso a la evidencia: Hora: 1:35pm Fecha: 22 marzo del 2007 Fecha de terminación Fecha: 17marzo del 2007 Hora: 6:00pm Fecha: 22 marzo del 2007 Del local Wyko Perito Labs Al local Perito Labs Perito Labs Sr. Santiago Sánchez investigador asignado de Perito Labs Sr. Santiago Sánchez investigador asignado de Perito Labs. Se someterá el informe con la evidencia encontrada al representante legal para su evaluación Numero de caso 3:08CR-175 asignado a la evidencia CR Proceso de adquisición de evidencia. Para ver detalladamente estos procesos, favor de hacer referencia a la sección de Procedimientos más adelante en este documento Presentación de evidencia núm. CR del caso 3:08CR ante el tribunal Hora: 11:22am Fecha:22 julio del 2007 Hora: 11:45am Fecha:24 julio del Hora: 1:00pm Hora: 11:43am Fecha: 22 julio del 2007 Hora: 6:05pm Fecha: 24 julio del 2007 Hora: 6:00pm Perito Labs Perito Labs Perito Labs Partes interesadas

30 Análisis

31 Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis Nota: Agentes (interfaces entre el celular y computador) NO alteran el contenido de los datos originales del disposi7vo celular ya que su interface sirve como write blocker

32 Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont La herramienta Oxygen Forensic muestra un DeskTop donde desplega la siguiente información relevante al dispositivo.

33 Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont

34 Adquisición de evidencia u.lizando Oxygen Forensic 2012 Análisis cont Libreta de Teléfonos Calendario y Tareas Registradas Ac.vidad telefónica Registros de Eventos Ac.vidad Mensajería y correo electrónico Fotos y File Browser History 34

35 Procedimientos A continuación los procedimientos empleados durante todo el proceso de descubrimiento, adquisición, recuperación y preservación de evidencia. Procedimiento I. ü Colocar el Teléfono celular en un área del laboratorio forense donde haya aislación de RF, de lo contrario utilizar el Faraday Bag. ü Ejecutar la aplicación Oxygen Forensic ü La aplicación me solicitara el método de conexión entre el computador y el teléfono celular. En este caso utilizaremos la conexión a través del cable USB ü Se conecta el teléfono celular a través del cable USB y la aplicación ejecutándose para que esta active el write Blocker ü Se instala el OxyAgent, aplicación que permite la extracción de datos sin alterar la data original. (esta aplicación tiene las debidas certificaciones)

36 Procedimientos cont. Procedimiento II. Procedimiento III. Procedimiento IV. ü La aplicación reconoce e identifica el teléfono celular. ü Se selecciona el tipo de data a extraerse. ü Se confirma la información del proceso de extracción (extration setting confirmation). ü Comienza la extracción de datos. ü La aplicación crea uno archivos y carpetas con los datos extraídos del dispositivo, una especie de backups del contenido. ü De los archivos de backup s se comienza analizar los datos extraídos e identificar los relevantes al casos y objetivos de la investigación. ü Se valida la integridad de los datos relevantes al caso y que van con nuestros objetivo.

37 Procedimientos cont. Procedimiento V. ü Se producen los informes requeridos con los hallazgos Procedimiento VI. ü Se presentan a las partes interesadas los hallazgo

38 Referencias hvp:// (Na7onal Ins7tute of Standards and Technology) hvp:// (Proveedor de equipo y cer7ficaciones relacionadas a forense celular) hvp:// (Departamento de jus7cia Federal) hvps:// (Electronic Fron7er Founda7on) hvp:// (Federal Bureau of Inves7ga7on) hvp://patc.com/ (Public Agency Training Council)

39 Debemos pensar 1. Estamos listos para lidiar con un esquema de delitos relacionado a telefonía celular? 2. Estamos conscientes de las leyes existentes relacionadas al delito donde la principal evidencia es un dispositivo celular? 3. Cómo deberíamos responder ante una situación donde el dispositivo sea móvil y esté involucrado en un delito, crimen o incidente? 4. Qué metodología de análisis deberíamos utilizar en este dispositivo para garantizar la integridad en la evidencia recopilada? 5. Cuán preparado están los peritos actuales, gobiernos, autoridades de seguridad nacional, el campo jurídico y empresa privada?

40 PREGUNTAS

41 Gracias!!!