Incident Response, Security and Forensics"

.

martes, 28 de abril de 2009

Análisis forense a dispositivos móviles - MOTOROLA (I)

Hola lectores,

Hoy vamos a ver como realizar un análisis forense a un dispositivo móvil.

Este POST se compondrá a su vez de diferentes artículos de análisis forense a los siguientes dispositivos:

  • Forensics a Motorola ( Tres partes. Hoy la primera)
  • Forensics a una tarjeta SIM
  • Forensics a un Windows mobile
  • Forensics a un PALM
El realizar este post es porque apenas hay documentación al respecto y creo interesante para la comunidad aprender sobre estos temas.

Ademas, el otro día salio una noticia en un diario Español que decia que la Guardia Civil de Ceuta está investigando el empleo de teléfonos móviles para el desembarco de inmigrantes en las costas de la ciudad procedentes de Marruecos, tras haber localizado dos teléfonos en una patera en la que viajaban ilegalmente siete inmigrantes, según informaron fuentes policiales.

La investigación trata de determinar la posible conexión entre los tripulantes de la patera y las personas que presuntamente aguardaban su llegada en la orilla.

Los funcionarios del instituto armado han comprobado que desde los teléfonos móviles de la patera se hicieron varias llamadas, presumiblemente para conocer la presencia de agentes en las inmediaciones de la costa.

Hasta aquí la noticia.

Como se puede apreciar, el uso de móviles se empieza a convertir en una 'comodity'. En la vida de las personas, es más fácil dejarte la cartera o las llaves, que el móvil, yo añadiría que realmente casi todos disponemos de uno (y casi de dos) dado que ademas de ser de gran utilidad (realmente es un ordenador muy potente y de reducido tamaño).

Por otro lado, la gran versatibilidad en las comunicaciones, agendas, organizadores, aplicaciones hacen de el un punto vulnerable para la fuga de información y aquí es donde entra el contenido de este post.

Introducción a los dispositivos moviles.

En el mercado yo diría que dominan diversos dispostivos que practicamente llevan los siguientes sistemas operativos:

Symbian es un sistema operativo que fue producto de la alianza de varias empresas de telefonía móvil. El objetivo de Symbian fue crear un sistema operativo para terminales móviles que pudiera competir con el de Palm o el Windows Mobile de Microsoft.

Palm OS es un sistema operativo hecho por PalmSource para PDAs

Windows Mobile es un sistema operativo basados en la API Win32 de Microsoft. Los dispositivos que llevan Windows Mobile son Pocket PC, Smartphones y Media Center. Ha sido diseñado para ser similar a las versiones de escritorio de windows e integrables con las redes y servidores Windows 2003 y 2008

Aunque hay más, quizas sean estos los más usuales.

Desde estas líneas quiero que veamos como obtener algo más que unas simple llamadas de un terminal mó vil.

Lo primero es seguir las buenas prácticas de un analista forense:
  1. Preservar -Documentar
  2. Adquirir-Investigar
  3. Informar

PRESERVAR.

A diferencia de las copias bit a bit que se realizan sobre los discos duros, los móviles sufren constantemente cambios en su sistema de datos y ficheros, y realizar una copia integra se presenta como una opción prácticamente imposible de realizar desde el punto de vista de la preservación de la información. Aparte de esto generalmente viene protegido por mecanismos propios del fabricante.

Aquí las soluciones que se presentan en el mercado son muy caras económicamente, pero con muy buena aceptación en el ámbito forense. Herramientas de este estilo las tenemos en la empresa CeLLEBRITE con su KIT UFED.








kit. UFED orientado para fuerzas del estado e investigadores

NOTA: Si no disponemos de $ y Euros para comprar estos elementos, entonces este es tu post!!

ANALISIS FORENSE A UN MOTOROLA (I)

Tengo en mis manos un MOTOROLA RZOR y lo que me interesa obtener de este móvil es lo siguiente:

  • Mensajes
  • Agendas
  • LLamadas entrantes y salientes
  • Contraseñas, Pin
  • Sitios web visitados
  • Correos
  • Chats




Para el análisis del MOTOROLA vamos a utilizar diversas herramientas, pero quizas la mejor para poder preservar, es la ya famosa FLASH & BACKUP, que como su nombre indica permite realizar copias de las zonas de memoria que dispone y como no del dispositivo entero.

Los pasos serían los siguientes tal y como se muestran en la pantalla












Las regiones (zonas de memoria) que se ven en la pantalla anterior se componen de:

  • CG1 – Contiene el sistema operativo. No es relevante para una investigación. Puede servir para restaurar el telefono
  • CG2 – Contiene aplicaciones y datos. Importante para la investigación
  • CG3 – Contiene la firma digital del firmware. Esta parte procesa el audio en tiempo real.
  • CG4 – Contiene el pack de idiomas y fuentes
  • CG15 – Contiene imagenes e iconos (indicador de bateria, señal, etc)
  • CG18 – Firma digital del telefono

En este ejemplo, lo ideal es seleccionar solo el CG2.

ANALIZANDO LA MEMORIA

En este paso no hace falta haber introducido el PIN en el móvil. Tan solo encenderlo

Como explicarlo con pantallas es complejo, he decidido poner el siguiente video y que realiza las siguientes acciones:

  • Primero se realiza la copia.
  • Flash & Backup genera un fichero con el contenio de CG2
  • Una vez obtenido se utiliza el comando strings y se vuelca el texto a otro fichero CG2.txt
  • Una vez extraido se procede a revisar el contenido buscando palabras, mensajes, contraseñas, y sitios web.



Nota: Como tiene poca calidad el video, y si alguien esta interesado me mandais un correo que os indico como descargarlo en maxima calidad.

Como habréis visto en el vídeo aparecen palabras y sitios web aparentemente relacionado con pornografía, ademas de obtener información importante sobre contraseñas y PINs.

El siguiente POST obtendremos las llamadas entrantes, salientes y agendas.

5 comentarios:

Como todo lo que escribes este no podia ser menos, muy interesante.

Saludos

PD: ¿Te importaria indicarme como descargar el video? Gracias

Ahora con google en el mercado de los SO para móviles te va a tocar también aprender el análisis sobre Android :)

Muy buen post Pedro

A donde te envio el e-mail para solicitarte los videos del esperticio a los mobiles.

Te envio un cordial saludo y te pregunto si es posible recuperar informacion borrada de la sim card, como llamadas salientes, entrantes, mensajes enviados, recibidos.

Gracias, por la valiosisima informacion

Hola te dejo este mensaje para que te des de alta en el nuevo directorio de blog, Blogspot Directorio; por favor visita el siguiente link para poder incorporar tu blog al diectorio: http://blogspotdirectorio.com.ar , un fuerte abrazo y apúrate da de alta tu blog!