Toma evidencias
Gonzalo Mattos Gomez
Created on March 23, 2024
More creations to inspire you
Transcript
Toma de evidencias en dispositivos móviles
empezar
Preparación
A diferencia del forense de PC, puede requeriruna actuación más rápida
01
Es más probable encontrar un móvil sumergido enagua que un PC
Meterlo en una jaula de Faraday para aislarlo deseñales externas
Preparación
01
Evitar la modificación o el borrado remoto deevidencias
INFORME TECH
3. Aplicar papel secante (y si no avena, arroz, etc.).
2. Sumergirlo en alcohol isopropílico (isopropanol) o npropanol durante varios minutos para quitar el agua
1. Apagar y quitar la batería si es posible
Preparación
01
Si el móvil está sumergido…
INFORME TECH
- El agua salada es mucho más corrosiva que la dulce,más probable que no podamos hacer nada
- No usar secadores ni otras fuentes de calor
Preparación
01
Y además tener en cuenta…
INFORME TECH
Adquisición
02
Tipos de datos a adquirir y su volatilidad:Memoria, almacenamiento persistente
Configuración del dispositivo:Nivel de desbloqueo: apagado/encendido,bloqueado/desbloqueado, rooteado, etc.
Versión específica de hardware, software
Tipo de dispositivo:Android, iPhone, Windows Phone, BlackBerry
Adquisición
02
Depende mucho de:
INFORME TECH
Desventajas:– Sólo es posible si el dispositivo está desbloqueado– Sólo se puede acceder a datos en pantalla– Posible modificación de la informaciónEspecialmente apps que necesitan conexión a Internet– Lleva más procesar las evidencias
Ventajas:– No requiere herramientas– Información fácil de entender para no expertos
Interactuamos con el dispositivo, tomamoscapturas de pantalla, fotos de la pantalla, etc.
Adquisición
02
Adquisición Manual:
INFORME TECH
Desventajas:– Si usa las APIs del móvil, pasa por el SO comprometido– No copia archivos borrados o información oculta en el sistema de archivos– Depende de los permisos del sistema de ficheros
Ventajas:– Fácil de obtener, no requiere hardware específico– A veces se puede hacer desde otro dispositivo sin emplear las APIs del móvil
Copiar archivos y directorios del sistema
Adquisición
02
Adquisición Lógica:
INFORME TECH
Desventajas:– Muy complejo y no siempre factible– Requiere acceso completo al almacenamiento, el cualno está siempre accesible físicamente– En muchas ocasiones necesitamos emplear exploitspara saltarnos la seguridad y poder acceder
Ventajas:– Se puede acceder a archivos borrados, zonas dealmacenamiento no usadas, etc.
Copia bit a bit
Adquisición
02
Adquisición Física:
INFORME TECH
Acceso según el estado
03
- Ponerlo en modo avión- Extraer la tarjeta SIM- Meterlo en una jaula de Faraday que lo aísle de radiación electromagnética
1. Garantizar alimentación eléctrica y aislarlo de la red
Acceso según el estado
03
Dispositivo desbloqueado (Before First Unlock)
INFORME TECH
- Ponerlo en modo avión- Extraer la tarjeta SIM- Meterlo en una jaula de Faraday que lo aísle de radiación electromagnética
1. Garantizar alimentación eléctrica y aislarlo de la red
Acceso según el estado
03
1. Dispositivo desbloqueado (Before First Unlock)
INFORME TECH
3. Obtener tarjetas SD, backups en PCs asociados, etc.
- Desactivar el código de bloqueo si es posible- Activar el debugging USB- Desactivar o retrasar el bloqueo por inactividad
2. Tratar de garantizar el acceso físico
Acceso según el estado
03
1. Dispositivo desbloqueado (Before First Unlock)
INFORME TECH
3. Obtener tarjetas SD, backups en PCs asociados,etc.
2. Comprobar si el debugging USB está activado- Si lo está, cargar un bootloader para cambiar el inicio y activar el acceso físico al terminal- Si no lo está, tratar de extraer el código de bloqueo (smudge attack, fuerza bruta, vulnerabilidades, etc.)
1. Aislarlo de la red- Modo avión + extraer SIM + jaula de Faraday
Acceso según el estado
03
2. Dispositivo desbloqueado (After First Unlock)
INFORME TECH
Alternativa si el dispositivo está bloqueado: usar una herramienta de pago que nos permita obtener el código de entrada
1. Quitar los dispositivos extraíbles2. Encender el teléfono3. Actuar como en el caso de dispositivo bloqueado
Acceso según el estado
03
2. Dispositivo Apagado
INFORME TECH