Toma evidencias

Toma de evidencias en dispositivos móviles

empezar

01

Preparación

A diferencia del forense de PC, puede requeriruna actuación más rápida

01

Preparación

Evitar la modificación o el borrado remoto deevidencias

Meterlo en una jaula de Faraday para aislarlo deseñales externas

Es más probable encontrar un móvil sumergido enagua que un PC

INFORME TECH

01

Preparación

Si el móvil está sumergido…

1. Apagar y quitar la batería si es posible

2. Sumergirlo en alcohol isopropílico (isopropanol) o npropanol durante varios minutos para quitar el agua

3. Aplicar papel secante (y si no avena, arroz, etc.).

INFORME TECH

01

Preparación

Y además tener en cuenta…

- No usar secadores ni otras fuentes de calor

- El agua salada es mucho más corrosiva que la dulce,más probable que no podamos hacer nada

INFORME TECH

02

Adquisición

02

Adquisición

Depende mucho de:

Tipo de dispositivo:Android, iPhone, Windows Phone, BlackBerry

Versión específica de hardware, software

Configuración del dispositivo:Nivel de desbloqueo: apagado/encendido,bloqueado/desbloqueado, rooteado, etc.

Tipos de datos a adquirir y su volatilidad:Memoria, almacenamiento persistente

INFORME TECH

02

Adquisición

Interactuamos con el dispositivo, tomamoscapturas de pantalla, fotos de la pantalla, etc.

Adquisición Manual:

Ventajas:– No requiere herramientas – Información fácil de entender para no expertos

Desventajas:– Sólo es posible si el dispositivo está desbloqueado – Sólo se puede acceder a datos en pantalla – Posible modificación de la informaciónEspecialmente apps que necesitan conexión a Internet – Lleva más procesar las evidencias

INFORME TECH

02

Adquisición

Copiar archivos y directorios del sistema

Adquisición Lógica:

Ventajas:– Fácil de obtener, no requiere hardware específico – A veces se puede hacer desde otro dispositivo sin emplear las APIs del móvil

Desventajas:– Si usa las APIs del móvil, pasa por el SO comprometido – No copia archivos borrados o información oculta en el sistema de archivos – Depende de los permisos del sistema de ficheros

INFORME TECH

02

Adquisición

Copia bit a bit

Adquisición Física:

Ventajas:– Se puede acceder a archivos borrados, zonas dealmacenamiento no usadas, etc.

Desventajas:– Muy complejo y no siempre factible– Requiere acceso completo al almacenamiento, el cualno está siempre accesible físicamente– En muchas ocasiones necesitamos emplear exploitspara saltarnos la seguridad y poder acceder

INFORME TECH

Acceso según el estado

03

03

Acceso según el estado

Dispositivo desbloqueado (Before First Unlock)

1. Garantizar alimentación eléctrica y aislarlo de la red

- Ponerlo en modo avión- Extraer la tarjeta SIM - Meterlo en una jaula de Faraday que lo aísle de radiación electromagnética

INFORME TECH

03

Acceso según el estado

1. Dispositivo desbloqueado (Before First Unlock)

1. Garantizar alimentación eléctrica y aislarlo de la red

- Ponerlo en modo avión- Extraer la tarjeta SIM - Meterlo en una jaula de Faraday que lo aísle de radiación electromagnética

INFORME TECH

03

Acceso según el estado

1. Dispositivo desbloqueado (Before First Unlock)

2. Tratar de garantizar el acceso físico

- Desactivar el código de bloqueo si es posible- Activar el debugging USB - Desactivar o retrasar el bloqueo por inactividad

3. Obtener tarjetas SD, backups en PCs asociados, etc.

INFORME TECH

03

Acceso según el estado

2. Dispositivo desbloqueado (After First Unlock)

1. Aislarlo de la red- Modo avión + extraer SIM + jaula de Faraday

2. Comprobar si el debugging USB está activado- Si lo está, cargar un bootloader para cambiar el inicio y activar el acceso físico al terminal - Si no lo está, tratar de extraer el código de bloqueo (smudge attack, fuerza bruta, vulnerabilidades, etc.)

3. Obtener tarjetas SD, backups en PCs asociados,etc.

INFORME TECH

03

Acceso según el estado

2. Dispositivo Apagado

1. Quitar los dispositivos extraíbles 2. Encender el teléfono 3. Actuar como en el caso de dispositivo bloqueado

Alternativa si el dispositivo está bloqueado: usar una herramienta de pago que nos permita obtener el código de entrada

INFORME TECH