Want to make creations as awesome as this one?

More creations to inspire you

Transcript

Toma de evidencias en dispositivos móviles

empezar

Preparación

A diferencia del forense de PC, puede requeriruna actuación más rápida

01

Es más probable encontrar un móvil sumergido enagua que un PC

Meterlo en una jaula de Faraday para aislarlo deseñales externas

Preparación

01

Evitar la modificación o el borrado remoto deevidencias

INFORME TECH

3. Aplicar papel secante (y si no avena, arroz, etc.).

2. Sumergirlo en alcohol isopropílico (isopropanol) o npropanol durante varios minutos para quitar el agua

1. Apagar y quitar la batería si es posible

Preparación

01

Si el móvil está sumergido…

INFORME TECH

- El agua salada es mucho más corrosiva que la dulce,más probable que no podamos hacer nada

- No usar secadores ni otras fuentes de calor

Preparación

01

Y además tener en cuenta…

INFORME TECH

Adquisición

02

Tipos de datos a adquirir y su volatilidad:Memoria, almacenamiento persistente

Configuración del dispositivo:Nivel de desbloqueo: apagado/encendido,bloqueado/desbloqueado, rooteado, etc.

Versión específica de hardware, software

Tipo de dispositivo:Android, iPhone, Windows Phone, BlackBerry

Adquisición

02

Depende mucho de:

INFORME TECH

Desventajas:– Sólo es posible si el dispositivo está desbloqueado– Sólo se puede acceder a datos en pantalla– Posible modificación de la informaciónEspecialmente apps que necesitan conexión a Internet– Lleva más procesar las evidencias

Ventajas:– No requiere herramientas– Información fácil de entender para no expertos

Interactuamos con el dispositivo, tomamoscapturas de pantalla, fotos de la pantalla, etc.

Adquisición

02

Adquisición Manual:

INFORME TECH

Desventajas:– Si usa las APIs del móvil, pasa por el SO comprometido– No copia archivos borrados o información oculta en el sistema de archivos– Depende de los permisos del sistema de ficheros

Ventajas:– Fácil de obtener, no requiere hardware específico– A veces se puede hacer desde otro dispositivo sin emplear las APIs del móvil

Copiar archivos y directorios del sistema

Adquisición

02

Adquisición Lógica:

INFORME TECH

Desventajas:– Muy complejo y no siempre factible– Requiere acceso completo al almacenamiento, el cualno está siempre accesible físicamente– En muchas ocasiones necesitamos emplear exploitspara saltarnos la seguridad y poder acceder

Ventajas:– Se puede acceder a archivos borrados, zonas dealmacenamiento no usadas, etc.

Copia bit a bit

Adquisición

02

Adquisición Física:

INFORME TECH

Acceso según el estado

03

- Ponerlo en modo avión- Extraer la tarjeta SIM- Meterlo en una jaula de Faraday que lo aísle de radiación electromagnética

1. Garantizar alimentación eléctrica y aislarlo de la red

Acceso según el estado

03

Dispositivo desbloqueado (Before First Unlock)

INFORME TECH

- Ponerlo en modo avión- Extraer la tarjeta SIM- Meterlo en una jaula de Faraday que lo aísle de radiación electromagnética

1. Garantizar alimentación eléctrica y aislarlo de la red

Acceso según el estado

03

1. Dispositivo desbloqueado (Before First Unlock)

INFORME TECH

3. Obtener tarjetas SD, backups en PCs asociados, etc.

- Desactivar el código de bloqueo si es posible- Activar el debugging USB- Desactivar o retrasar el bloqueo por inactividad

2. Tratar de garantizar el acceso físico

Acceso según el estado

03

1. Dispositivo desbloqueado (Before First Unlock)

INFORME TECH

3. Obtener tarjetas SD, backups en PCs asociados,etc.

2. Comprobar si el debugging USB está activado- Si lo está, cargar un bootloader para cambiar el inicio y activar el acceso físico al terminal- Si no lo está, tratar de extraer el código de bloqueo (smudge attack, fuerza bruta, vulnerabilidades, etc.)

1. Aislarlo de la red- Modo avión + extraer SIM + jaula de Faraday

Acceso según el estado

03

2. Dispositivo desbloqueado (After First Unlock)

INFORME TECH

Alternativa si el dispositivo está bloqueado: usar una herramienta de pago que nos permita obtener el código de entrada

1. Quitar los dispositivos extraíbles2. Encender el teléfono3. Actuar como en el caso de dispositivo bloqueado

Acceso según el estado

03

2. Dispositivo Apagado

INFORME TECH