Análisis Forense en Dispositivos Móviles by El HackLab

An谩lisis Forense en Dispositivos M贸viles Descripci贸n + Metodolog铆a + PoC

@BarCamp_SE @4v4t4r #BCSE

Muchas Gracias :D • • • • • • • • • • • • •

Sebastián Velásquez - @xpam24 - ( Coordinador Desconferencias) Astrid Sánchez - @astrid_eliana - (Logística) Daniela Zapata - @p4dm3 - (Logística) Carlos Fernando Arismendy (Patrocinador y Reto sophos/kronux) Fredy Ríos - @lechona17 - (Patrocinador y Reto sophos/kronux) Johanna Arismendy (Patrocinador y Reto Qualys/kronux) Lucas Duarte - @p4dawan - (Logística y Reto de Cartas) Fernando Giraldo - @Fercho_Giraldo - (Logística) Camilo Zapata - @dumacx - (Reto sophos/kronux) Alexander Álvarez - @alexalvarez0310 - (Logística) Jeniffer Murillo - @jh3n1 - (Logística) Fernando Quintero - @nonroot - (Coordinación general) Giovanni Cruz Forero @fixxx3r

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Definición Son los procesos de aseguramiento, protección y adquisición de datos desde un dispositivo móvil de manera que estos una vez analizados sean aceptados en instancias legales como evidencias/pruebas. Siguiendo una correcta metodología que combina procedimientos y técnicas acompañada del uso de software y hardware especializado para estos fines.

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Reglas • Lo único constante con los dispositivos móviles es precisamente el cambio constante de los mismos. • Más de 5000 modelos de teléfonos. • Los teléfonos mantienen nuestro ADN (huellas digitales, marcas, sudor, etc). • Gustos, preferencias, secretos, personalidades, vicios, etc.

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Datos • Contactos (Con quién se tiene relación). • Registros de llamadas (Tu eres con quién hablas). • Mensajes de texto (SMS)(tu eres como escribes). • Correos electrónicos (Si tenemos los emails, tenemos la persona). • Calendarios/Agendas (Hábitos, reuniones). • Fotografías/Imágenes (Una imagen vale más que mil palabras). @BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Datos • • • • • • •

Videos (Igual que las imágenes… esteroides). Predicción de texto (Cómo habla un persona). Memos (como piensa la persona). URLs (Webs a investigar). GPS (Sitios y lugares). Datos de enrutamiento (Proveedores, lugares). Otros datos (Chats/IM, logs, Apps, etc)

@BarCamp_SE @4v4t4r #BCSE

orense en Móviles- ¿Dónde se almacena la información?

Dentro del propio teléfono - 3 lugares: • Chip de memoria Flash (Imágenes antiguas, textos, coordenadas, S.O, Programas).

@BarCamp_SE @4v4t4r #BCSE

orense en Móviles- ¿Dónde se almacena la información?

Dentro del propio teléfono - 3 lugares: • La SIM Card (Datos de texto: SMS, lista de contactos, historial de llamadas)

@BarCamp_SE @4v4t4r #BCSE

orense en Móviles- ¿Dónde se almacena la información? Dentro del propio teléfono - 3 lugares: • Micro SD Card (99% de toda la información!!!)

@BarCamp_SE @4v4t4r #BCSE

orense en Móviles- ¿Dónde se almacena la información? Fuera del teléfono - 3 lugares: • La nube (google, amazon, dropbox, hotmail, etc.) • Proveedores de telefonía (historial de llamadas, tiempos, planes, contactos, etc) • El computador (Backups, Software, multimedias, etc)

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Proteger la evidencia

Antes de tocar el teléfono: Dos tipos de evidencia… Debemos protegerlas ambas!!! • Físicas (huellas digitales, sangre, fluidos corporales, etc.) • Digitales (listadas anteriormente)

@BarCamp_SE @4v4t4r #BCSE

Forense en M贸viles- Proteger la evidencia Utilizar guantes!!!

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Proteger la evidencia

Mantener la evidencia – Protección FARADAY

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Proteger la evidencia • Si no tenemos una bolsa FARADAY debemos habilitar el “modo vuelo” en el teléfono. • Una bolsa FARADAY de bajo costo es utilizar varias capas de papel aluminio. • Utilizar los respectivos formularios/formatos de cadena de custodia y de procedimientos.

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Líneas Guías Escenario 1 - Si el teléfono está apagado. • Mantenerlo apagado. • Asegurar el dispositivo de acuerdo al debido proceso. • Asegurar los cables y cajas (si los hay). • Transportar al laboratorio forense (en bolsa FARADAY).

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Líneas Guías Escenario 2 - Si el teléfono está encendido. • Asegurar el teléfono de acuerdo al debido proceso. • Resguardar el teléfono en la bolsa FARADAY con una fuente de energía. • Asegurar los cables y cajas (si los hay). • Transportar al laboratorio forense (en bolsa FARADAY)

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Líneas Guías

Escenario 3 - Si el teléfono está bloqueado. • NO intentar desbloquearlo con posibles passwords!!! Intentos fallidos=Wipe. • Mantener bloqueado y llevar al laboratorio forense en la bolsa FARADAY.

@BarCamp_SE @4v4t4r #BCSE

Forense en M贸viles- Analizando

Registrar todo el proceso con una c谩mara.

@BarCamp_SE @4v4t4r #BCSE

Forense en M贸viles- Analizando Verificar que corresponde el tel茅fono

*#06#

@BarCamp_SE @4v4t4r #BCSE

Forense en M贸viles- Analizando Fotografiar e inventariar el dispositivo A: Fabricante B: SIM Card C: Memory Card

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Analizando

Los datos finalmente están presentes de manera Física y Lógica: • Física: File System, Datos eliminados, etc. • Lógica: La información que obtenemos de manera directa con la simple interacción con el dispositivo.

@BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- S.P.E.A.R

S - Survey: Analizar en detalle la escena. P - Protect: Proteger el dispositivo de agentes contaminante (físicos & lógicos). E - Evaluate: Evaluar el dispositivo y el área (¿Algo en pantalla, wallpaper, password, encendido, apagado?). A - Acquire: Recolección de evidencia. R - Report: Generación de reportes de todos y cada uno de los procedimientos realizados (iniciofin) @BarCamp_SE @4v4t4r #BCSE

Forense en Móviles- Conclusiones

• Siempre Proteger y Preservar la evidencia. • Utilizar una cámara para llevar el registro de los procedimientos. • Dejar que lo analicen los expertos.

@BarCamp_SE @4v4t4r #BCSE