Jeffrey dahmer
(leer más)
Análisis forense de dispositivos móviles
Imprimir Citar
El análisis forense de dispositivos móviles es una rama del análisis forense digital relacionado con la recuperación de pruebas o datos digitales de un dispositivo móvil en condiciones sólidas desde el punto de vista forense. La frase dispositivo móvil generalmente se refiere a teléfonos móviles; sin embargo, también puede relacionarse con cualquier dispositivo digital que tenga tanto memoria interna como capacidad de comunicación, incluidos dispositivos PDA, dispositivos GPS y tabletas.
Algunas de las empresas de telefonía móvil habían intentado duplicar el modelo de los teléfonos, lo cual es ilegal. Por lo tanto, vemos que llegan muchos modelos nuevos cada año, lo que es un paso adelante para las generaciones futuras. El proceso de clonación de teléfonos/dispositivos móviles en el crimen fue ampliamente reconocido durante algunos años, pero el estudio forense de dispositivos móviles es un campo relativamente nuevo, que data de finales de la década de 1990 y principios de la de 2000. La proliferación de teléfonos (en particular, teléfonos inteligentes) y otros dispositivos digitales en el mercado de consumo provocó una demanda de examen forense de los dispositivos, que no podía satisfacerse con las técnicas forenses informáticas existentes.
Los dispositivos móviles se pueden utilizar para guardar varios tipos de información personal, como contactos, fotos, calendarios y notas, mensajes SMS y MMS. Los teléfonos inteligentes también pueden contener video, correo electrónico, información de navegación web, información de ubicación y mensajes y contactos de redes sociales.
Existe una creciente necesidad de análisis forense móvil debido a varias razones y algunas de las razones más destacadas son:
- Uso de teléfonos móviles para almacenar y transmitir información personal y corporativa
- Uso de teléfonos móviles en transacciones en línea
- Aplicación de la ley, delincuentes y dispositivos de telefonía móvil
El análisis forense de dispositivos móviles puede ser particularmente desafiante en varios niveles:
Existen desafíos probatorios y técnicos. Por ejemplo, el análisis del sitio celular que sigue al uso de la cobertura de uso de un teléfono móvil no es una ciencia exacta. En consecuencia, aunque es posible determinar aproximadamente la zona del sitio celular desde la que se realizó o recibió una llamada, aún no es posible decir con algún grado de certeza que una llamada de teléfono móvil provino de una ubicación específica, por ejemplo, una dirección residencial.
- Para seguir siendo competitivos, los fabricantes de equipos originales cambian con frecuencia los factores de forma de los teléfonos móviles, las estructuras de archivos del sistema operativo, el almacenamiento de datos, los servicios, los periféricos e incluso los conectores y cables. Como resultado, los examinadores forenses deben utilizar un proceso forense diferente en comparación con la informática forense.
- La capacidad de almacenamiento continúa creciendo gracias a la demanda de dispositivos tipo "mini computadora" más potentes.
- No solo los tipos de datos, sino también la forma en que se utilizan los dispositivos móviles evolucionan constantemente.
- Comportamiento de hibernación en el que los procesos se suspenden cuando el dispositivo está apagado o inactivo, pero al mismo tiempo permanece activo.
Como resultado de estos desafíos, existe una amplia variedad de herramientas para extraer evidencia de dispositivos móviles; ninguna herramienta o método puede adquirir toda la evidencia de todos los dispositivos. Por lo tanto, se recomienda que los examinadores forenses, especialmente aquellos que deseen calificar como testigos expertos en los tribunales, reciban una amplia capacitación para comprender cómo cada herramienta y método adquiere evidencia; cómo mantiene los estándares de solidez forense; y cómo cumple con los requisitos legales, como el estándar Daubert o el estándar Frye.
Historia
Como campo de estudio, el examen forense de dispositivos móviles data de finales de la década de 1990 y principios de la de 2000. El papel de los teléfonos móviles en el crimen ha sido reconocido por mucho tiempo por las fuerzas del orden. Con la mayor disponibilidad de dichos dispositivos en el mercado de consumo y la gama más amplia de plataformas de comunicación que admiten (por ejemplo, correo electrónico, navegación web), creció la demanda de exámenes forenses.
Los primeros esfuerzos para examinar los dispositivos móviles utilizaron técnicas similares a las primeras investigaciones forenses informáticas: analizar el contenido del teléfono directamente a través de la pantalla y fotografiar el contenido importante. Sin embargo, resultó ser un proceso que requería mucho tiempo y, a medida que la cantidad de dispositivos móviles comenzó a aumentar, los investigadores pidieron medios más eficientes para extraer datos. Los examinadores forenses móviles emprendedores a veces usaban software de sincronización de teléfonos celulares o PDA para "hacer una copia de seguridad" de los datos del dispositivo en una computadora forense para obtener imágenes o, a veces, simplemente realizaban análisis forenses informáticos en el disco duro de una computadora sospechosa donde se habían sincronizado los datos. Sin embargo, este tipo de software podría escribir en el teléfono además de leerlo, y no podría recuperar los datos eliminados.
Algunos examinadores forenses descubrieron que podían recuperar incluso datos eliminados usando cuadros "intermitentes" o "retorcidos", herramientas desarrolladas por los OEM para "flashear" la memoria de un teléfono para depurar o actualizar. Sin embargo, las cajas intermitentes son invasivas y pueden cambiar los datos; puede ser complicado de usar; y, debido a que no están desarrollados como herramientas forenses, no realizan verificaciones de hash ni (en la mayoría de los casos) pistas de auditoría. Para los exámenes físicos forenses, por lo tanto, siguen siendo necesarias mejores alternativas.
Para satisfacer estas demandas, aparecieron herramientas comerciales que permitieron a los examinadores recuperar la memoria del teléfono con una interrupción mínima y analizarla por separado. Con el tiempo, estas técnicas comerciales se han desarrollado aún más y la recuperación de datos eliminados de dispositivos móviles patentados se ha vuelto posible con algunas herramientas especializadas. Además, las herramientas comerciales incluso han automatizado gran parte del proceso de extracción, lo que hace posible que incluso los socorristas mínimamente capacitados, que actualmente tienen muchas más probabilidades de encontrarse con sospechosos con dispositivos móviles en su poder, en comparación con las computadoras, realicen extracciones básicas para clasificación y propósitos de vista previa de datos.
Aplicaciones profesionales
El análisis forense de dispositivos móviles es mejor conocido por su aplicación a las investigaciones policiales, pero también es útil para la inteligencia militar, las investigaciones corporativas, las investigaciones privadas, la defensa penal y civil y el descubrimiento electrónico.
Tipos de evidencia
A medida que avanza la tecnología de dispositivos móviles, la cantidad y los tipos de datos que se pueden encontrar en un dispositivo móvil aumentan constantemente. La evidencia que puede recuperarse potencialmente de un teléfono móvil puede provenir de varias fuentes diferentes, incluida la memoria del teléfono, la tarjeta SIM y las tarjetas de memoria adjuntas, como las tarjetas SD.
Tradicionalmente, el análisis forense de teléfonos móviles se ha asociado con la recuperación de mensajes SMS y MMS, así como registros de llamadas, listas de contactos e información de IMEI/ESN del teléfono. Sin embargo, las nuevas generaciones de teléfonos inteligentes también incluyen variedades más amplias de información; desde la navegación web, la configuración de la red inalámbrica, la información de geolocalización (incluidas las geoetiquetas contenidas en los metadatos de la imagen), el correo electrónico y otras formas de medios de Internet enriquecidos, incluidos los datos importantes, como las publicaciones y los contactos de los servicios de redes sociales, que ahora se conservan en las 'aplicaciones' de los teléfonos inteligentes..
Memoria interna
Hoy en día, la mayoría de las memorias flash que consisten en tipos NAND o NOR se utilizan para dispositivos móviles.
Memoria externa
Los dispositivos de memoria externa son tarjetas SIM, tarjetas SD (comúnmente encontradas en dispositivos GPS y teléfonos móviles), tarjetas MMC, tarjetas CF y Memory Stick.
Registros del proveedor de servicios
Aunque técnicamente no forma parte del análisis forense de dispositivos móviles, los registros detallados de las llamadas (y, en ocasiones, los mensajes de texto) de los operadores inalámbricos a menudo sirven como evidencia de "respaldo" obtenida después de que se incautó el teléfono móvil. Estos son útiles cuando el historial de llamadas y/o los mensajes de texto se han eliminado del teléfono, o cuando los servicios basados en la ubicación no están activados. Los registros de detalles de llamadas y volcados del sitio celular (torre) pueden mostrar la ubicación del propietario del teléfono y si estaba estacionario o en movimiento (es decir, si la señal del teléfono rebotó en el mismo lado de una sola torre o en diferentes lados de múltiples torres a lo largo de un determinado ruta de viaje).Los datos del operador y los datos del dispositivo juntos se pueden usar para corroborar información de otras fuentes, por ejemplo, imágenes de videovigilancia o relatos de testigos presenciales; o para determinar la ubicación general donde se tomó una imagen o un video sin etiquetas geográficas.
La Unión Europea requiere que sus países miembros conserven ciertos datos de telecomunicaciones para su uso en investigaciones. Esto incluye datos sobre llamadas realizadas y recuperadas. Se puede determinar la ubicación de un teléfono móvil y estos datos geográficos también se deben conservar. En los Estados Unidos, sin embargo, no existe tal requisito, y no hay estándares que rijan cuánto tiempo los operadores deben retener los datos o incluso qué deben retener. Por ejemplo, los mensajes de texto pueden conservarse solo durante una semana o dos, mientras que los registros de llamadas pueden conservarse desde unas pocas semanas hasta varios meses. Para reducir el riesgo de que se pierdan las pruebas, los agentes del orden público deben enviar una carta de preservación al transportista, que luego deben respaldar con una orden de registro.
Proceso forense
El proceso de análisis forense para dispositivos móviles coincide ampliamente con otras ramas del análisis forense digital; sin embargo, se aplican algunas preocupaciones particulares. En general, el proceso se puede dividir en tres categorías principales: incautación, adquisición y examen/análisis. Todavía se aplican otros aspectos del proceso forense informático, como la admisión, la validación, la documentación/informes y el archivo.
Embargo
La incautación de dispositivos móviles está cubierta por las mismas consideraciones legales que otros medios digitales. Los móviles a menudo se recuperarán encendidos; dado que el objetivo de la incautación es preservar la evidencia, el dispositivo a menudo se transportará en el mismo estado para evitar un apagado, lo que cambiaría los archivos. Además, el investigador o el socorrista correría el riesgo de activar el bloqueo del usuario.
Sin embargo, dejar el teléfono encendido conlleva otro riesgo: el dispositivo aún puede establecer una conexión de red/celular. Esto puede traer nuevos datos, sobrescribiendo evidencia. Para evitar una conexión, los dispositivos móviles a menudo se transportan y examinan desde dentro de una jaula (o bolsa) de Faraday. Aun así, hay dos desventajas en este método. En primer lugar, la mayoría de las bolsas inutilizan el dispositivo, ya que no se puede utilizar la pantalla táctil o el teclado. No obstante, se pueden adquirir jaulas especiales que permitan el uso del dispositivo con un cristal transparente y guantes especiales. La ventaja de esta opción es la posibilidad de conectarse también a otros equipos forenses mientras se bloquea la conexión a la red, además de cargar el dispositivo. Si esta opción no está disponible, se recomienda el aislamiento de la red colocando el dispositivo en modo avión,
Cabe señalar que, si bien esta técnica puede evitar la activación de un borrado remoto (o manipulación) del dispositivo, no hace nada contra el interruptor de un hombre muerto local.
Adquisición
El segundo paso en el proceso forense es la adquisición, en este caso generalmente se refiere a la recuperación de material de un dispositivo (en comparación con la imagen de copia de bits utilizada en la informática forense).
Debido a la naturaleza propietaria de los móviles, a menudo no es posible adquirir datos cuando están apagados; la mayoría de las adquisiciones de dispositivos móviles se realizan en vivo. Con los teléfonos inteligentes más avanzados que usan administración de memoria avanzada, conectarlo a un cargador y ponerlo en una jaula de Faraday puede no ser una buena práctica. El dispositivo móvil reconocería la desconexión de la red y, por lo tanto, cambiaría su información de estado que puede hacer que el administrador de memoria escriba datos.
La mayoría de las herramientas de adquisición para dispositivos móviles son de naturaleza comercial y consisten en un componente de hardware y software, a menudo automatizado.
Examen y análisis
Dado que un número cada vez mayor de dispositivos móviles utilizan sistemas de archivos de alto nivel, similares a los sistemas de archivos de las computadoras, los métodos y las herramientas pueden tomarse del análisis forense del disco duro o solo necesitan cambios leves.
El sistema de archivos FAT generalmente se usa en la memoria NAND. Una diferencia es el tamaño de bloque utilizado, que es superior a 512 bytes para discos duros y depende del tipo de memoria utilizada, por ejemplo, tipo NOR 64, 128, 256 y memoria NAND 16, 128, 256 o 512 kilobyte.
Diferentes herramientas de software pueden extraer los datos de la imagen de la memoria. Se podrían usar productos de software forense especializados y automatizados o visores de archivos genéricos, como cualquier editor hexadecimal, para buscar las características de los encabezados de los archivos. La ventaja del editor hexadecimal es la visión más profunda de la gestión de la memoria, pero trabajar con un editor hexadecimal significa mucho trabajo manual y conocimiento del sistema de archivos, así como del encabezado del archivo. Por el contrario, el software forense especializado simplifica la búsqueda y extrae los datos, pero es posible que no encuentre todo. AccessData, Sleuthkit, ESI Analyst y EnCase, por mencionar solo algunos, son productos de software forense para analizar imágenes de memoria.Dado que no existe una herramienta que extraiga toda la información posible, es recomendable utilizar dos o más herramientas para el examen. Actualmente (febrero de 2010) no existe una solución de software para obtener todas las evidencias de las memorias flash.
Tipos de adquisición de datos
La extracción de datos de dispositivos móviles se puede clasificar de acuerdo con un continuo, a lo largo del cual los métodos se vuelven más técnicos y "forensemente sólidos", las herramientas se vuelven más costosas, el análisis lleva más tiempo, los examinadores necesitan más capacitación y algunos métodos pueden incluso volverse más invasivos.
Adquisición manual
El examinador utiliza la interfaz de usuario para investigar el contenido de la memoria del teléfono. Por lo tanto, el dispositivo se usa normalmente, y el examinador toma fotografías del contenido de cada pantalla. Este método tiene la ventaja de que el sistema operativo hace innecesario el uso de herramientas o equipos especializados para transformar datos sin procesar en información interpretable por humanos. En la práctica, este método se aplica a teléfonos móviles, PDA y sistemas de navegación. Las desventajas son que solo se pueden recuperar los datos visibles para el sistema operativo; que todos los datos solo están disponibles en forma de imágenes; y el proceso en sí lleva mucho tiempo.
Adquisición lógica
La adquisición lógica implica una copia bit a bit de los objetos de almacenamiento lógico (p. ej., directorios y archivos) que residen en un almacenamiento lógico (p. ej., una partición del sistema de archivos). La adquisición lógica tiene la ventaja de que las estructuras de datos del sistema son más fáciles de extraer y organizar para una herramienta. La extracción lógica adquiere información del dispositivo utilizando la interfaz de programación de aplicaciones del fabricante del equipo original para sincronizar el contenido del teléfono con una computadora personal. Por lo general, es más fácil trabajar con una extracción lógica, ya que no produce una gran mancha binaria. Sin embargo, un examinador forense experto podrá extraer mucha más información de una extracción física.
Adquisición del sistema de archivos
La extracción lógica generalmente no produce ninguna información eliminada, debido a que normalmente se elimina del sistema de archivos del teléfono. Sin embargo, en algunos casos, particularmente con plataformas basadas en SQLite, como iOS y Android, el teléfono puede mantener un archivo de base de datos de información que no sobrescribe la información, sino que simplemente la marca como eliminada y disponible para sobrescribirla más tarde. En tales casos, si el dispositivo permite el acceso al sistema de archivos a través de su interfaz de sincronización, es posible recuperar la información eliminada. La extracción del sistema de archivos es útil para comprender la estructura del archivo, el historial de navegación web o el uso de la aplicación, además de proporcionar al examinador la capacidad de realizar un análisis con herramientas informáticas forenses tradicionales.
Adquisición física
La adquisición física implica una copia bit a bit de un almacenamiento físico completo (por ejemplo, memoria flash); por lo tanto, es el método más parecido al examen de una computadora personal. Una adquisición física tiene la ventaja de permitir que se examinen los archivos eliminados y los restos de datos. La extracción física adquiere información del dispositivo mediante el acceso directo a las memorias flash.
En general, esto es más difícil de lograr porque el fabricante del equipo original del dispositivo necesita protegerse contra la lectura arbitraria de la memoria; por lo tanto, un dispositivo puede estar bloqueado para un determinado operador. Para eludir esta seguridad, los proveedores de herramientas forenses móviles a menudo desarrollan sus propios cargadores de arranque, lo que permite que la herramienta forense acceda a la memoria (y, a menudo, también eluda los códigos de acceso de los usuarios o los bloqueos de patrones).
Generalmente, la extracción física se divide en dos pasos, la fase de volcado y la fase de decodificación.
Adquisición de fuerza bruta
La adquisición de fuerza bruta se puede realizar mediante herramientas de fuerza bruta de código de acceso de terceros que envían una serie de códigos de acceso/contraseñas al dispositivo móvil. Este es un método que requiere mucho tiempo, pero no obstante es efectivo. Esta técnica utiliza prueba y error en un intento de crear la combinación correcta de contraseña o PIN para autenticar el acceso al dispositivo móvil. A pesar de que el proceso toma una gran cantidad de tiempo, sigue siendo uno de los mejores métodos para emplear si el profesional forense no puede obtener el código de acceso. Con el software y el hardware disponibles actualmente, se ha vuelto bastante fácil descifrar el archivo de contraseña de un dispositivo móvil para obtener el código de acceso. Dos fabricantes se han hecho públicos desde el lanzamiento del iPhone5,Cellebrite y GrayShift. Estos fabricantes están destinados a los organismos encargados de hacer cumplir la ley y los departamentos de policía. La unidad Cellebrite UFED Ultimate cuesta más de $40,000 dólares estadounidenses y el sistema Grayshifts cuesta $15,000. Las herramientas de fuerza bruta están conectadas al dispositivo y enviarán físicamente códigos en dispositivos iOS desde 0000 hasta 9999 en secuencia hasta que se ingrese correctamente el código correcto. Una vez que la entrada del código ha sido exitosa, se otorga acceso total al dispositivo y puede comenzar la extracción de datos.
Instrumentos
Las primeras investigaciones consistieron en análisis manual en vivo de dispositivos móviles; con examinadores fotografiando o escribiendo material útil para usar como evidencia. Sin equipos de fotografía forense como Fernico ZRT, EDEC Eclipse o Project-a-Phone, esto tenía la desventaja de arriesgar la modificación del contenido del dispositivo, además de dejar inaccesibles muchas partes del sistema operativo propietario.
En los últimos años han surgido una serie de herramientas de hardware/software para recuperar evidencia lógica y física de dispositivos móviles. La mayoría de las herramientas constan de partes de hardware y software. El hardware incluye una serie de cables para conectar el dispositivo móvil a la máquina de adquisición; el software existe para extraer la evidencia y, en ocasiones, incluso para analizarla.
Más recientemente, se han desarrollado herramientas forenses de dispositivos móviles para el campo. Esto es en respuesta tanto a la demanda de las unidades militares de inteligencia antiterrorista rápida y precisa, como a la demanda de las fuerzas del orden público de capacidades de vista previa forense en la escena del crimen, ejecución de órdenes de allanamiento o circunstancias exigentes. Tales herramientas forenses móviles a menudo están reforzadas para entornos hostiles (p. ej., el campo de batalla) y un trato rudo (p. ej., caídas o inmersión en agua).
En general, debido a que es imposible que una sola herramienta capture toda la evidencia de todos los dispositivos móviles, los profesionales forenses móviles recomiendan que los examinadores establezcan juegos de herramientas completos que consisten en una combinación de herramientas forenses comerciales, de código abierto, de soporte amplio y de soporte limitado, junto con accesorios. como cargadores de batería, bolsos de Faraday u otros equipos de interrupción de señal, etc.
Herramientas forenses comerciales
Algunas herramientas actuales incluyen Belkasoft Evidence Center, Cellebrite UFED, Oxygen Forensic Detective, Elcomsoft Mobile Forensic Bundle, Susteen Secure View, MOBILEdit Forensic Express y Micro Systemation XRY.
Además, se han desarrollado algunas herramientas para hacer frente al creciente uso delictivo de teléfonos fabricados con conjuntos de chips chinos, que incluyen MediaTek (MTK), Spreadtrum y MStar. Dichas herramientas incluyen CHINEX de Cellebrite y XRY PinPoint.
Fuente abierta
La mayoría de las herramientas forenses móviles de código abierto son específicas de la plataforma y están orientadas al análisis de teléfonos inteligentes. Aunque originalmente no se diseñó para ser una herramienta forense, BitPim se ha utilizado ampliamente en teléfonos CDMA, así como en LG VX4400/VX6000 y muchos teléfonos celulares Sanyo Sprint.
Herramientas físicas
Desoldadura forense
Comúnmente conocida como técnica "Chip-Off" dentro de la industria, el último y más intrusivo método para obtener una imagen de memoria es desoldar el chip de memoria no volátil y conectarlo a un lector de chip de memoria. Este método contiene el peligro potencial de destrucción total de datos: es posible destruir el chip y su contenido debido al calor requerido durante la desoldadura. Antes de la invención de la tecnología BGA, era posible conectar sondas a los pines del chip de memoria y recuperar la memoria a través de estas sondas. La técnica BGA une los chips directamente a la PCB a través de bolas de soldadura fundidas, de modo que ya no es posible conectar sondas.
El desoldado de los chips se realiza con cuidado y lentamente, para que el calor no destruya el chip o los datos. Antes de desoldar el chip, la PCB se cuece en un horno para eliminar el agua restante. Esto evita el llamado efecto palomitas de maíz, en el que el agua restante volaría el paquete de chips al desoldar.
Existen principalmente tres métodos para derretir la soldadura: aire caliente, luz infrarroja y fase de vapor. La tecnología de luz infrarroja funciona con un haz de luz infrarroja enfocado en un circuito integrado específico y se usa para chips pequeños. Los métodos de aire caliente y vapor no pueden enfocar tanto como la técnica infrarroja.
Re-balling de fichas
Después de desoldar el chip, un proceso de re-balling limpia el chip y agrega nuevas bolas de estaño al chip. El reballing se puede hacer de dos maneras diferentes.
- La primera es usar una plantilla. La plantilla depende del chip y debe encajar exactamente. Luego, la soldadura de estaño se coloca en la plantilla. Después de enfriar la lata, se retira la plantilla y, si es necesario, se realiza un segundo paso de limpieza.
- El segundo método es el reballing láser. Aquí, la plantilla se programa en la unidad de rebobinado. Un cabezal de enlace (parece un tubo/aguja) se carga automáticamente con una bola de estaño de un tanque de singularización de bolas de soldadura. Luego, la bola se calienta con un láser, de modo que la bola de soldadura de estaño se vuelve fluida y fluye hacia el chip limpio. Instantáneamente después de derretir la bola, el láser se apaga y una nueva bola cae en el cabezal de unión. Mientras se recarga, el cabezal de unión de la unidad de rebobinado cambia la posición al siguiente pin.
Un tercer método hace que todo el proceso de re-balling sea innecesario. El chip está conectado a un adaptador con resortes en forma de Y o pines pogo con resorte. Los resortes en forma de Y deben tener una bola en el pasador para establecer una conexión eléctrica, pero los pasadores pogo se pueden usar directamente en las almohadillas del chip sin las bolas.
La ventaja de la desoldadura forense es que no es necesario que el dispositivo funcione y que se puede realizar una copia sin cambios en los datos originales. La desventaja es que los dispositivos de rebobinado son costosos, por lo que este proceso es muy costoso y existen algunos riesgos de pérdida total de datos. Por lo tanto, el desoldado forense solo debe ser realizado por laboratorios experimentados.
JTAG
Las interfaces estandarizadas existentes para leer datos están integradas en varios dispositivos móviles, por ejemplo, para obtener datos de posición del equipo GPS (NMEA) o para obtener información de desaceleración de las unidades de bolsas de aire.
No todos los dispositivos móviles ofrecen una interfaz tan estandarizada ni existe una interfaz estándar para todos los dispositivos móviles, pero todos los fabricantes tienen un problema en común. La miniaturización de las partes del dispositivo abre la pregunta de cómo probar automáticamente la funcionalidad y la calidad de los componentes integrados soldados. Para este problema, un grupo de la industria, el Joint Test Action Group (JTAG), desarrolló una tecnología de prueba llamada exploración de límites.
A pesar de la estandarización, hay cuatro tareas antes de que se pueda usar la interfaz del dispositivo JTAG para recuperar la memoria. Para encontrar los bits correctos en el registro de exploración de límites, se debe saber qué procesador y circuitos de memoria se utilizan y cómo están conectados al bus del sistema. Cuando no se puede acceder desde el exterior, se deben encontrar los puntos de prueba para la interfaz JTAG en la placa de circuito impreso y determinar qué punto de prueba se usa para qué señal. El puerto JTAG no siempre está soldado con conectores, por lo que a veces es necesario abrir el dispositivo y volver a soldar el puerto de acceso. Se debe conocer el protocolo de lectura de la memoria y finalmente se debe determinar el voltaje correcto para evitar daños al circuito.
El escaneo de límites produce una imagen forense completa de la memoria volátil y no volátil. Se minimiza el riesgo de cambio de datos y no es necesario desoldar el chip de memoria. La generación de la imagen puede ser lenta y no todos los dispositivos móviles están habilitados para JTAG. Además, puede ser difícil encontrar el puerto de acceso de prueba.
Herramientas de línea de comandos
Comandos del sistema
Los dispositivos móviles no brindan la posibilidad de ejecutar o arrancar desde un CD, conectarse a un recurso compartido de red u otro dispositivo con herramientas limpias. Por lo tanto, los comandos del sistema podrían ser la única forma de salvar la memoria volátil de un dispositivo móvil. Con el riesgo de modificar los comandos del sistema, se debe estimar si la memoria volátil es realmente importante. Un problema similar surge cuando no hay conexión de red disponible y no se puede conectar una memoria secundaria a un dispositivo móvil porque la imagen de la memoria volátil debe guardarse en la memoria interna no volátil, donde se almacenan los datos del usuario y lo más probable es que se eliminen los datos importantes. estar perdido. Los comandos del sistema son el método más económico, pero implican algunos riesgos de pérdida de datos. Cada uso de comando con opciones y salida debe documentarse.
Comandos AT
Los comandos AT son comandos de módem antiguos, por ejemplo, el conjunto de comandos Hayes y los comandos AT del teléfono Motorola y, por lo tanto, solo se pueden usar en un dispositivo compatible con módem. Con estos comandos solo se puede obtener información a través del sistema operativo, por lo que no se pueden extraer datos eliminados.
Dd
Para la memoria externa y la unidad flash USB, se necesita el software adecuado, por ejemplo, el comando dd de Unix, para realizar la copia a nivel de bits. Además, las unidades flash USB con protección de memoria no necesitan hardware especial y se pueden conectar a cualquier computadora. Muchas unidades USB y tarjetas de memoria tienen un interruptor de bloqueo de escritura que se puede usar para evitar cambios en los datos mientras se realiza una copia.
Si la unidad USB no tiene un interruptor de protección, se puede usar un bloqueador para montar la unidad en modo de solo lectura o, en un caso excepcional, se puede desoldar el chip de memoria. Las tarjetas SIM y de memoria necesitan un lector de tarjetas para realizar la copia. La tarjeta SIM se analiza profundamente, de modo que es posible recuperar datos (borrados) como contactos o mensajes de texto.
El sistema operativo Android incluye el comando dd. En una publicación de blog sobre técnicas forenses de Android, se demuestra un método para generar una imagen en vivo de un dispositivo Android usando el comando dd.
Herramientas comerciales no forenses
Herramientas intermitentes
Una herramienta flasher es hardware y/o software de programación que puede usarse para programar (flashear) la memoria del dispositivo, por ejemplo, EEPROM o memoria flash. Estas herramientas provienen principalmente del fabricante o de los centros de servicio para servicios de depuración, reparación o actualización. Pueden sobrescribir la memoria no volátil y algunos, según el fabricante o el dispositivo, también pueden leer la memoria para hacer una copia, originalmente pensada como respaldo. La memoria se puede proteger contra la lectura, por ejemplo, mediante comando de software o destrucción de fusibles en el circuito de lectura.
Tenga en cuenta que esto no evitaría que la CPU escriba o use la memoria internamente. Las herramientas flasher son fáciles de conectar y usar, pero algunas pueden cambiar los datos y otras tienen opciones peligrosas o no hacen una copia completa.
Controversias
En general, no existe un estándar para lo que constituye un dispositivo compatible en un producto específico. Esto ha llevado a la situación en la que diferentes proveedores definen un dispositivo compatible de manera diferente. Una situación como esta hace que sea mucho más difícil comparar productos según las listas de dispositivos compatibles proporcionadas por el proveedor. Por ejemplo, un dispositivo donde la extracción lógica que usa un producto solo produce una lista de llamadas realizadas por el dispositivo puede aparecer como compatible con ese proveedor, mientras que otro proveedor puede producir mucha más información.
Además, diferentes productos extraen diferentes cantidades de información de diferentes dispositivos. Esto conduce a un panorama muy complejo cuando se trata de obtener una visión general de los productos. En general, esto conduce a una situación en la que se recomienda encarecidamente probar un producto exhaustivamente antes de comprarlo. Es bastante común utilizar al menos dos productos que se complementen entre sí.
La tecnología de telefonía móvil está evolucionando a un ritmo acelerado. El análisis forense digital relacionado con los dispositivos móviles parece estar estancado o evolucionar lentamente. Para que el análisis forense de teléfonos móviles se ponga al día con los ciclos de lanzamiento de los teléfonos móviles, se debe desarrollar un marco más completo y profundo para evaluar los conjuntos de herramientas forenses móviles y los datos sobre las herramientas y técnicas apropiadas para cada tipo de teléfono deben estar disponibles de manera oportuna.
Anti-forense
El análisis forense antiinformático es más difícil debido al pequeño tamaño de los dispositivos y la accesibilidad restringida de los datos del usuario. Sin embargo, existen desarrollos para asegurar la memoria en hardware con circuitos de seguridad en la CPU y el chip de memoria, de modo que el chip de memoria no se puede leer incluso después de desoldar.
- Te puede interesar
- Te puede interesar
Criminología radical
La criminología radical establece que la sociedad funciona en términos de los intereses generales de la clase dominante en lugar de la sociedad en su... (leer más)
- Te puede interesar
Patología Forense
La patología forense es la patología que se centra en determinar la causa de la muerte mediante el examen de un cadáver. Un examen post mortem lo realiza... (leer más)
Más resultados...