Documentos de Académico
Documentos de Profesional
Documentos de Cultura
analsis forense de dispostivos móviles
analsis forense de dispostivos móviles
SEMINARIO DE TITULACIÓN
“SEGURIDAD DE LA INFORMACIÓN”
TESINA
Asesores:
Dr. Gabriel Sánchez Pérez
M. en C. Marcos Arturo Rosales García
Vigencia: DES/ESIME-CUL-2008/23/2/10
TESINA
INTRODUCCIÓN
CAPITULADO
ÍNDICE GENERAL
Págs.
INTRODUCCIÓN I
JUSTIFICACIÓN IV
CELULARES
1.1 Introducción 1
1.5.1 Symbian 10
1.5.2 Android 11
1.5.3 iPhone OS 11
1.5.5 Blackberry OS 12
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
2.1 Introducción 14
Masivo USB
3.1 Introducción 30
3.3.1 Preservación 32
3.3.2 Adquisición 35
3.3.4 Análisis 41
3.3.6 Reporte 44
4.1 Introducción 47
4.5 Objetivos 49
4.6 Preservación 50
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
4.7 Adquisición 51
4.8 Análisis 56
4.9 Reporte 60
4.12 Análisis 65
4.13.1 Preservación 72
4.13.2 Adquisición 72
4.13.3 Análisis 74
CONCLUSIONES 78
REFERENCIAS BIBLIOGRÁFICAS 79
GLOSARIO 80
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Págs.
plataformas
EN TELÉFONOS CELULARES
DE ANALISIS FORENSE
generar el caso
y sus propiedades
del teléfono
INTRODUCCIÓN
Los teléfonos celulares se han convertido en plataformas de información de alta
capacidad, cada vez más utilizados por la fuerza de trabajo móvil. Cada generación
de dispositivos móviles trae consigo nuevas innovaciones y tecnologías que día con
día continua en crecimiento hacia el futuro; por lo cual no es de sorprender que el
número de dispositivos móviles en uso hoy en día, tanto para una organización como
para uso personal supera al número de ordenadores personales.
Los datos de un dispositivo móvil deben ser recuperados de tal modo que se evite la
modificación y se mantenga la integridad del contenido recuperado. Cualquier
mecanismo de seguridad que impida la recuperación de datos, debe ser evitado o
eliminado.
Con el auge en el uso de la telefonía celular como medio para la realización de actos
ilícitos o que estén involucrados en uno, varias empresas y organizaciones se han
dedicado al desarrollo de distintas herramientas y metodologías forenses para el
análisis de dispositivos móviles.
I
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
II
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
Analizar la metodología que establece el NIST para realizar el análisis forense
de teléfonos celulares.
III
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
JUSTIFICACIÓN
La evolución de los servicios de telefonía celular, ha provocado un crecimiento en su
nivel de vulnerabilidad, ya que se han convertido en puntos centrales para la
extracción y robo de información confidencial, que posteriormente puede ser utilizada
para cometer distintos delitos como fraudes, extorsiones o incluso secuestros
virtuales; este mismo desarrollo en sus servicios y aplicaciones los han hecho
medios excelentes para la ejecución de delitos como pornografía infantil o trata de
personas.
IV
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
CAPITULO I
ARQUITECTURA DE TELÉFONOS CELULARES
1.1 Introducción
1
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
2
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
3
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Otras aplicaciones que suelen estar presentes son las cámaras integradas, la
administración de contactos, el software multimedia para reproducción de
música y visualización de fotos y video-clips y algunos programas de
4
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
5
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
6
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
La tecnología FDMA
La tecnología TDMA
7
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
La tecnología CDMA
La tecnología GSM
8
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Podemos deducir que el uso de uno u otro sistema operativo determinarán las
capacidades multimedia de los dispositivos, y la forma de éstas de interactuar
con el usuario. Existen multitud de opciones, si bien las más extendidas son
Symbian y Android, seguidas de BlackBerry OS, Windows Mobile, y
recientemente iPhone OS, además por supuesto de los dispositivos con
sistema operativo Linux.
9
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
1.5.1 Symbian
10
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
1.5.2 Android
1.5.3 iPhone OS
11
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
1.5.5 Blackberry OS
12
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
13
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
CAPÍTULO II
SISTEMA OPERATIVO SYMBIAN
2.1 Introducción
14
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
El CPU
El Chip
El PCB
15
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
16
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Todos los accesos a hardware ocurren desde o a través del kernel, por
ello, es importante conocer qué núcleo utiliza cada uno de los sistemas
operativos, como se muestra en la siguiente tabla.
3G,
CONECTIVIDAD 3G, WiFi, 3G, GSM, GSM, 3G, GSM, 3G, GSM, 3G, GSM,
CDMA,
GSM, GPRS CDMA, WiFi WiFi WiFi WiFi CDMA, WiFi
17
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
La unidad
La ruta de acceso
El nombre del archivo
La aplicación
18
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
19
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
20
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Cuando los archivos son escritos o borrados de los medios, los archivos
pueden ser diseminados en los medios, conocido como fragmentación.
21
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
22
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
23
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
24
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Java ME
25
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Capa de Servicios de OS
servicios genéricos de OS
servicios de comunicaciones
servicios multimedia y de gráficos
servicios de conectividad
26
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
el núcleo
clases jerárquicas
FEP Base
Soporte UI
Efectos gráficos
Utilidades gráficas UI
Animación
Reloj
27
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
MOAP
Las tres principales son: S60, UIQ y MOAP; la mayoría de los móviles
utilizan la Serie 60, todos los móviles de Sony Ericsson y Motorola,
trabajan bajo UIQ, que a continuación mencionaremos brevemente.
Los teléfonos con UIQ emplean pantallas táctiles con una resolución de
208×320 pixels y 240×320. Dependiendo de la terminal, la profundidad
de color es 12-bit (4096 colores), 16-bit (65536 colores), 18-bit (262144
colores), o 24-bit (16,777,216 colores).
redes
telefonía
soporte al sistema de archivos.
28
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Los Servicios base se encuentra en este nivel, que es el más bajo con
respecto a las operaciones del usuario, en este se incluyen:
29
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
CAPÍTULO III
NIST (SP 800-101) ANÁLISIS FORENSE EN
TELÉFONOS CELULARES
3.1 Introducción
30
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
3.3.1 Preservación
b) Documentación de la escena
32
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
c) Recolección de la evidencia
33
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
34
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
3.3.2 Adquisición
Para proceder con eficacia, los dispositivos deben ser identificados por
la marca, modelo y proveedor de servicios.
b) Selección de herramientas
37
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
38
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
39
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Por otro lado, hoy en día los teléfonos CDMA, no requieren una tarjeta
SIM. En su lugar, la funcionalidad se incorpora directamente en el
dispositivo.
40
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
3.3.4 Análisis
Una vez realizada la copia del contenido del equipo durante el proceso
de adquisición, el siguiente paso implica el registro de los datos,
identificando la evidencia y desarrollando un informe final.
3.3.6 Reporte
Número de caso
Asunto investigador
44
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
45
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
46
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
CAPÍTULO IV
APLICACIÓN DE LA METODOLOGÍA DE ANÁLISIS
FORENSE
4.1 Introducción
47
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Sin una metodología formal y bien establecida, no se podrá llevar a cabo una
buena recuperación de evidencia y por lo tanto quedara anulada para ser
utilizada como evidencia valida.
Memoria interna
Memoria externa
48
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Directorio telefónico
Llamadas
Localización
SMS, MMS
Videos
Imágenes
Audio
Archivos de texto
4.5 Objetivos
49
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
4.6 Preservación
Documentación de la escena
Marca: Nokia
Modelo: N82
Color: Plateado
50
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
4.7 Adquisición
Para conocer más sobre sus características se consulto la página oficial del
proveedor, adquirir la ficha técnica y descargar el software de comunicación
“PC Suite”.
Especificaciones Técnicas
52
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Selección de herramientas
53
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
MobilEDIT Forensic
54
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Figura 4.3 Selección del dispositivo y unidades de las que se obtendrá la imagen
Al termino del proceso, se generó una imagen completa del contenido del
equipo telefónico y almacenamiento externo, datos volatiles y no volatiles.
55
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
4.8 Análisis
Una vez realizado el respaldo del contenido del equipo durante el proceso de
adquisición, el siguiente paso implica el registro de los datos.
56
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
El sistema de archivos está conformado por la memoria interna del celular “C:”
y la unidad de almacenamiento externa “E:”
57
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
De igual forma que la unidad “C”, la unidad “E” está conformado por un grupo
de subcarpetas, las cuales almacenan principalmente información agregada
por el usuario y que es administrada dependiendo de la extensión de los
archivos instalados, además de que en esta unidad de almacenamiento
también se pueden generar nuevas carpetas dependiendo de las necesidades
del usuario; en este caso las carpetas que se encuentran dentro de la unidad
58
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
“E” son: Attacment, data, cities, examen 2, imágenes, sonidos, tonos y videos.
Esta estructura la podemos ver en la figura 4.7.
Unidad C: Unidad E.
Etiqueta Memoria teléfono Tarjeta de memoria
Tipo de DEV MMC
memoria
Permisos R (solo lectura) RW (lectura y escritura)
(usuario)
59
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Se adquirieron 767 archivos entre las unidades C: y E:; cada uno compuesto
por 52 archivos dentro de la memoria local del teléfono y 715 archivos en la
unidad externa.
4.9 Reporte
60
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
61
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
62
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
63
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
64
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Se genera un informe sobre los detalles del equipo como muestra la figura
4.11.
4.12 Análisis
65
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
66
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
67
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
68
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
Unknown Graphics
Compresser Multimedia
Databases Text
Documents XML
Email Chats
Executable
69
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
70
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
71
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
4.13.1 Preservación
4.13.2 Adquisición
72
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
73
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
4.13.3 Análisis
74
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
75
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
76
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
77
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
CONCLUSIONES
Para poder obtener un buen resultado del proceso forense es necesario contar con
los elementos necesarios para generar un buen desarrollo del análisis, en el cual es
esencial emplear con una metodología formal, bien establecida y estructurada, ya
que el uso de la herramienta forense sin el seguimiento de una metodología pondría
en riesgo la integridad de la información contenida en el equipo, perdiendo total
validez los resultados generados en el proceso forense.
78
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
REFERENCIAS CIBERGRÁFICAS
79
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
GLOSARIO
CDMA (Code Division Multiple Access): Acceso múltiple por división de código, es
un término genérico para varios métodos de control de acceso al medio, basados en
la tecnología de espectro expandido.
EDGE (Enhanced Data rates for GSM of Evolution): Tasas de Datos Mejoradas
para la evolución de GSM, es una tecnología de la telefonía móvil celular, que actúa
como puente entre las redes 2G y 3G.
80
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
GPRS (General Packet Radio Service): Servicio general de paquetes vía radio, es
una extensión del Sistema Global para Comunicaciones Móviles GSM, para la
transmisión de datos por paquetes.
GSM (Groupe Special Mobile): Sistema Global para las Comunicaciones Móviles,
es un sistema estándar, completamente definido, para la comunicación mediante
teléfonos móviles que incorporan tecnología digital.
82
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
TDMA (Time Division Multiple Access): Acceso multiple por división de tiempo, es
una técnica que permite la transmisión de señales digitales y cuya idea consiste en
ocupar un canal de trasmisión a partir de distintas fuentes, de esta manera se logra
un mejor aprovechamiento del medio de trasmisión.
UIQ (User Interface Quartz): Interfaz de Usuario Quartz, es una plataforma para
terminales móviles desarrollada por UIQ Technology basada en el sistema operativo
Symbian. Se caracteriza por agregar soporte para pantallas táctiles.
83
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
USB (Universal Serial Bus): Bus universal en serie, es un puerto que sirve para
conectar periféricos a un ordenador.
84