Adquisición de Evidencias en Dispositivos Android [I]
Cuando hablamos de las fases de análisis forense, el proceso de adquisición de evidencias me parece uno o quizás el más importante, no quiero decir que las otras fases no sean importantes, lo que menciono es que de las evidencias colectadas dependerá la información a analizar. En el proceso de adquisición de evidencias es importante tener un procedimiento balanceado que incluya información técnica, metodológicas (RFC, NIST, ISO) y contar con un conocimiento básico del marco regulatorio del país donde se realiza el peritaje.
Existen diferentes metodologías y buenas prácticas que se pueden utilizar para la generación del procedimiento:
Puntos a tener en cuenta con la adquisición
Lo primero a tomar en cuenta previo a realizar el proceso de adquisición en dispositivos móviles:
Para este post, el dispositivo móvil tiene implementado:
Existen diferentes metodologías y buenas prácticas que se pueden utilizar para la generación del procedimiento:
- NIST 800-88r1, para el purgado del disco copia donde se analizará la evidencia
- RFC 3227, Guía para recolectar y archivar evidencias
- ISO 27037, Directrices para la identificación, recolección, consolidación y preservación de evidencia digital
- Y no olvidar Principio del árbol envenenado y el ya conocido Principio de intercambio de Locard.
Puntos a tener en cuenta con la adquisición
Lo primero a tomar en cuenta previo a realizar el proceso de adquisición en dispositivos móviles:
- Utilizar un inhibidor o bolsa Faraday.
- Mantener el dispositivo con una carga alta de batería (Recomendamos 90%).
- No apagar el dispositivo, al menos que sea necesario.
- Tecnologías inalámbricas.
- Distintos equipos (conexiones, SO, personalizaciones).
- Discontinuidad del producto (ejemplo SYMBIAN u otros).
- Tecnología "NUBE".
- Datos volátiles.
- Software con contenido malicioso.
- Problemas de software en el equipo del analista.
- Wiping remoto.
- Modificación de información de celdas, ingresos de llamadas, mensajes, etc.
Para este post, el dispositivo móvil tiene implementado:
- Root.
- La tools BusyBox, la cual nos va a permitir poder contar con la mayoría de los comandos GNU/Linux.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!