Introducción al análisis forense en móviles
El ecosistema de los dispositivos móviles ha evolucionado de una manera vertiginosa en los últimos años provocado principalmente por su adopción masiva por parte de los usuarios, los cuales llegan a tener de manera simultánea varios terminales con diferentes objetivos: uso profesional, uso personal, etc. Hay estimaciones que indican que en la actualidad hay más de 7.500 millones de dispositivos móviles, lo que supone una cifra superior al de la población mundial.
En ellos se almacena multitud de información que puede resultar determinante a la hora de resolver un incidente como por ejemplo: historial de llamadas tanto entrantes como salientes, mensajes de texto y multimedia, correos electrónicos, historial de navegación, fotos, videos, documentos, información en redes sociales, información en servicios de almacenamiento online, etc. e incluso es posible recuperar información eliminada previamente.
El artículo se centra precisamente en una aproximación a la metodología del proceso forense en dispositivos móviles, ya que pese a que tiene aspectos comunes con otro tipo de análisis forense como por ejemplo el de ordenadores, también tiene diferencias que se deben tener en cuenta.
Pese a que no existe una metodología estandarizada que se centre de manera específica el análisis forense de dispositivos móviles, hay una serie de guías que pueden servir de pauta a seguir para una correcta realización del proceso:
En ellos se almacena multitud de información que puede resultar determinante a la hora de resolver un incidente como por ejemplo: historial de llamadas tanto entrantes como salientes, mensajes de texto y multimedia, correos electrónicos, historial de navegación, fotos, videos, documentos, información en redes sociales, información en servicios de almacenamiento online, etc. e incluso es posible recuperar información eliminada previamente.
El artículo se centra precisamente en una aproximación a la metodología del proceso forense en dispositivos móviles, ya que pese a que tiene aspectos comunes con otro tipo de análisis forense como por ejemplo el de ordenadores, también tiene diferencias que se deben tener en cuenta.
Pese a que no existe una metodología estandarizada que se centre de manera específica el análisis forense de dispositivos móviles, hay una serie de guías que pueden servir de pauta a seguir para una correcta realización del proceso:
- Guidelines on Mobile Device Forensics del NIST.
- Developing Process for Mobile Device Forensics del SANS.
- Best Practices for Mobile Phone Forensics del Scientific Working Group on Digital Evidence (SWGDE).
- Good Practice Guide for Mobile Phone Seizure & Examination de la Interpol.
- ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence.
- RFC 3227, pese a que no haga mención expresa de los dispositivos móviles, es un estándar de facto en el proceso forense de ordenadores por lo que sus directrices básicas pueden servir para hacerse una idea global del proceso, independientemente del tipo de dispositivos en los que se centre.
- Preservación: corresponde a la fase en la que se deben identificar los dispositivos a analizar y garantizar que no se pierdan las evidencias que deben ser recopiladas para su posterior análisis. El desconocimiento puede provocar la invalidación automática de las pruebas por ejemplo por no solicitar una autorización expresa por escrito para poder realizar el proceso o que se pierda información relevante que puede resultar decisiva para la resolución del incidente. Aspectos tan sencillos como preservar el dispositivo en una jaula de Faraday con el fin de aislarlo de cualquier tipo de señal o activar el modo avión evita por ejemplo la posibilidad de realizar un borrado remoto del terminal. Así mismo, se debe mantener un registro continuo del tratamiento realizado sobre el material con el fin de mantener la validez jurídica del proceso, en el caso de que sea necesario. Para ello, se requiere la presencia de un fedatario público: secretario judicial o notario que de fe la cadena de custodia, es decir, que garantice la integridad física y lógica de las pruebas. Este aspecto abarca desde la identificación y obtención de las mismas, pasando por el registro, almacenamiento, traslado, análisis final, y la entrega de éstas a las autoridades en caso de que sea necesario.
Por otra parte, si los materiales deben ser transportados, se debe realizar con sumo cuidado, evitando que la información sea alterada o que se vea expuesta a temperaturas extremas o campos electromagnéticos.
- Adquisición: Una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal. Es por ello que debe tener las siguientes características:
- Auténtica: debe ser verídica y no haber sufrido manipulación alguna.
- Completa: debe representar la prueba desde un punto de vista objetivo y técnico, sin valoraciones personales, ni prejuicios.
- Creíble: debe ser comprensible.
- Confiable: las técnicas utilizadas para la obtención de la evidencia no deben generar ninguna duda sobre su veracidad y autenticidad.
- Admisible: debe tener valor legal.
- Análisis: a la hora de realizar el análisis de la información recopilada se debe considerar el tipo de incidente al que se pretende ofrecer respuesta, ya que dependiendo del caso puede resultar necesario realizar un análisis más profundo de determinados aspectos.
- Documentación: un aspecto fundamental en el proceso del análisis forense es el de la documentación por lo que se debe realizar dicha fase de una manera muy metódica y detallada. Se pueden realizar, entre otras, las siguientes acciones:
- Fotografiar los dispositivos móviles y anotar su marca, modelo e información identificativa como el IMEI o IMSI, y su estado inicial: encendidos o apagados, bloqueados o no, etc.
- Documentar todos los pasos realizados durante el proceso, manteniendo una bitácora con fechas y horas de cada acción realizada sobre las evidencias e incluyendo las herramientas utilizadas.
- Elaborar dos tipos de informe de conclusiones: uno ejecutivo y uno técnico.
En este sentido es posible utilizar alguna plantilla como la propuesta en la Guía de Toma de Evidencias en Entornos Windows.
- Presentación: la fase de presentación de la información es tan importante o más que las anteriores ya que se deben hacer accesibles y comprensibles las conclusiones que se han obtenido del proceso del análisis forense. Para ello, es recomendable seguir las siguientes pautas:
- Preparar una presentación de manera pedagógica que sea fácilmente comprensible.
- Detallar las conclusiones.
- Explicar de manera clara el proceso que se ha llevado para la obtención de las evidencias.
- Evitar las afirmaciones no demostrables o los juicios de valor.
- Elaborar las conclusiones desde un punto de vista objetivo.
Al igual que ocurre con el análisis forense de cualquier otro dispositivo, una vez finalizado el proceso se debe procurar haber dado respuesta a las siguientes cuestiones: ¿qué?, ¿quién?, ¿cuándo?, ¿por qué? y ¿cómo?
- Adquisición: Una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal. Es por ello que debe tener las siguientes características:
- ¿Qué? - Se debe haber concretado de una manera clara y objetiva los hechos acaecidos.
- ¿Quién? - Se debe haber recopilado y anotado la información de las personas involucradas en el incidente.
- ¿Cuándo? - Es fundamental llevar una línea de tiempo de todo lo sucedido durante el proceso.
- ¿Por qué? - Aunque en ocasiones es complicado, hay que intentar identificar las motivaciones de los responsables del incidente.
- ¿Cómo? - Dar respuesta a esta pregunta es un aspecto fundamental. Conseguir identificar por ejemplo cómo se ha visto comprometido un terminal o cómo ha sido utilizado para sustraer información es de una relevancia muy alta para la resolución del incidente.
- Multitud de modelos distintos: un informe de la empresa OpenSignal certifica la existencia de más de 24.000 modelos distintos de terminales que incluyen sistema operativo Android, lo que supone un incremento de más del 30% con respecto al año 2014. A estos datos hay que añadirle los diferentes modelos de fabricantes de dispositivos con otros sistemas operativos. La mayoría de ellos con distinto hardware y tecnología, lo que dificulta significativamente el trabajo del analista forense y provoca que deba adaptarse constantemente a nuevas técnicas o procedimientos.
- Diferentes sistemas operativos: pese a que Android es el sistema operativo móvil de uso mayoritario existen otros que también tienen una importante cuota de mercado y que por tanto deben ser conocidos en profundidad para poder llevar a cabo el proceso de toma de evidencias, iOS, Windows Phone y BlackBerry OS son algunos de ellos.
- Todos los sistemas operativos tienen sus propias medidas de seguridad que, en ocasiones, pueden dificultar el proceso como por ejemplo el bloqueo con patrón, pin o contraseña, por lo que es necesario conocer los mecanismos para sortear esas protecciones.
- Aplicaciones instaladas: la gran cantidad de aplicaciones que instalan de manera habitual los usuarios: clientes de redes sociales, programas de mensajería instantánea, juegos, aplicaciones de salud y bienestar, etc.
- Consideraciones legales: durante el proceso es fundamental cumplir en todo momento con la normativa vigente con el fin de mantener la validez legal de las pruebas. Como se ha comentado con anterioridad la presencia de un fedatario público al tomar las evidencias a analizar y el mantenimiento de la cadena de custodia son aspectos fundamentales en este sentido.
- Técnicas anti-forense: al igual que sucede con otros dispositivos como en el caso de los ordenadores, es posible realizar diferentes acciones para dificultar la identificación de pruebas en un proceso forense, como por ejemplo: destrucción, ocultación o falsificación de las evidencias.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!