En este artículo, vamos a hablar de la
utilización de los programas que se utilizan en el día a día en la informática
forense y la exanimación para el análisis de los dispositivos móviles que
ejecutan el sistema operativo Android con ayuda de expertos de pruebas de
penetración.
INTRODUCCIÓN
La
mayoría de los dispositivos móviles en el mundo ejecutan el sistema operativo
Android. Durante la exanimación de los dispositivos móviles que ejecutan el
sistema operativo Android (en adelante, dispositivos móviles) expertos de informática forense se enfrentan a las siguientes
dificultades:
1.
No hay un programa de informática forense que soporte la extracción
de datos de todos los dispositivos móviles existentes en el mundo.
2.
Hay un gran número de programas diseñados para el sistema
operativo Android, en los cuales los datos podrían ser potencialmente
interesantes para los investigadores de pruebas de penetración. Hasta
el momento, no existe un programa de apoyo de análisis forense de los registros
y los datos de todos esos programas.
3.
El tiempo, cuando los investigadores estaban interesados en los
datos de una libreta de teléfonos, llamadas, mensajes SMS que fueron extraídos
por el experto de pruebas de penetración, ha pasado. Ahora también están
interesados en la historia de los recursos de la red (datos de navegadores), la
historia de los programas de intercambio de mensajes cortos, los archivos
eliminados (archivos gráficos, vídeos, bases de datos SQLite, etc.) y otra
información criminalística valiosa acuerdo una encuesta de empresas de pruebas
de penetración.
4.
Los delincuentes a menudo eliminan los archivos de la memoria de
sus dispositivos móviles, tratando de ocultar información sobre el crimen
cometido.
5.
Los laboratorios de informática forense y subdivisiones de
pruebas de penetración que examinan no pueden permitirse el lujo de comprar
paquetes de software especializado, debido al alto costo.
SOLUCIÓN PARA ESTO
EXTRACCIÓN DE DATOS FÍSICOS DE LOS
DISPOSITIVOS MÓVILES
Teniendo
en cuenta el hecho de que los investigadores también están interesados en los
archivos borrados que se encuentran en la memoria de los dispositivos móviles,
los expertos de informática forense tienen que hacer la extracción de datos
físicos de la memoria del dispositivo móvil. Eso significa que los expertos de
análisis forense tienen que obtener una copia completa del dispositivo
examinado. Un experto de análisis forense puede hacer un volcado de memoria
física utilizando los métodos siguientes:
1.
Extracción de los datos directamente de los chips de memoria del
dispositivo móvil utilizando el método de Chip-off. Según empresa de pruebas de
penetración, este método más difícil de extracción de datos, pero a veces es la
única manera de extraer los datos desde el dispositivo.
2.
La extracción de datos desde la memoria del dispositivo móvil
utilizando la interfaz JTAG de depuración. Este método permite extraer datos de
los dispositivos que tengan insignificantes daños en hardware y software.
3.
Extracción de los datos de a través de programas especializados
(por ejemplo,Oxygen Forensic Suit) y complejos hardware-software (.XRY (Micro
Systemation), UFED (CellebriteForensics), Secure View 3.
4.
Creación de copia de la memoria del dispositivo móvil
manualmente.
Métodos
combinados según expertos de informática forense y pruebas de penetración.
EXTRACCIÓN DE DATOS LÓGICOS
2.1.
Ganando un acceso a los datos que se encuentran en copia de una memoria del
dispositivo móvil
No
importa qué método los expertos análisis forense utilicen para obtener la copia
de memoria del dispositivo móvil, al final un experto de análisis forense va a
recibir un archivo (o varios archivos), los cuales tienen que ser examinados de
alguna manera y lo que necesita es extraer los datos necesarios.
En este
caso, la tarea del experto de análisis forense es la extracción solamente de datos
lógicos que se encuentran en la copia de la memoria de un dispositivo móvil que
ejecuta el sistema operativo Android, se puede montar una imagen recibida en
FTK Imager o UFS Explorer. Según expertos de pruebas de penetración, copias de
memoria de los dispositivos móviles que ejecutan el sistema operativo Android
por lo general contienen un gran número de particiones lógicas. Los datos del
usuario de dispositivos móviles están en la partición lógica, que se nombra
USERDATA. De esta partición, puedes extraer datos tales como bases de datos,
vídeos, archivos gráficos, archivos de audio, etc.
LA DESCODIFICACIÓN DE LA BASE DE DATOS
SQLIT
Como
regla general, bases de datos SQLite extraídas de la memoria de copia del
dispositivo móvil son de sumo interés para los expertos de análisis forense. En
primer lugar, está conectado con el hecho de que la información criminalística
valiosa se almacena en este formato. Según expertos de pruebas de penetración,
en bases de datos SQLite se almacenan los datos siguientes: una agenda de
teléfonos, llamadas, mensajes SMS, mensajes MMS, diccionarios, los datos de los
dispositivos móviles de los navegadores web, registros de sistema del dispositivo
móvil y etc.
|
№
|
Tipo
de data
|
Nombre
del archivo
|
|
1
|
Phone
book
|
\data\data\com.android.providers.contacts\
databases\contacts2.db
|
|
2
|
SMS,
MMS messages
|
\data\data\com.android.providers.telephony\
databases\mmssms.db
|
|
3
|
Calendar
|
\data\com.android.providers.calendar\databases\
calendar.db
|
|
4
|
Log
|
\data\com.sec.android.provider.logsprovider\
databases\logs.db
|
|
5
|
User’s
data
|
\data\system\users\accounts.db
|
|
6
|
Web-browser
history
|
\data\data\com.android.browser\databases\
browser2.db
|
|
7
|
Dictionary
|
\data\user\comc.android.providers.userdictionary\
databases\user_dict.db
|
Algunos
investigadores proponen utilizar dos programas para decodificar los archivos de
bases de datos SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. En caso de
que nosotros usemos la combinación de estos programas, todavía hay un problema
en la recuperación y el análisis de los archivos borrados.
Una de
las herramientas que solucionan este problema Oxygen Forensic SQLite Viewer.
RECUPERACIÓN DE DATOS Y ARCHIVOS
BORRADOS
La
recuperación de los datos y los archivos borrados de los dispositivos móviles
es un proceso complicado. No es común, pero la mayor parte de los programas de
análisis forense no son compatibles con el sistema de archivos YAFFS2. Por eso
el experto de informática
forense puede
encontrarse a sí mismo en una situación en que su programa no es capaz de
recuperar algo de la descarga de memoria del dispositivo móvil durante el
examen de copia física de los dispositivos móviles que ejecutan el sistema
operativo Android. Como muestra experiencia de análisis forense práctica, es
difícil recuperar vídeos borrados y archivos de gran tamaño de esas copias.
UFS
Explorer, R-Studio mostró los mejores resultados en la esfera de la
recuperación de datos borrados de dispositivos móviles que ejecutan el sistema
operativo Android.
Para la
recuperación de datos borrados y los archivos de dispositivos móviles que
ejecutan el sistema operativo Android los cuales contienen archivos de YAFFS2,
se recomienda utilizar los siguientes programas: Encase Forensic version 7, The
Sleuth Kit o Belkasoft Evidence Center.
ANÁLISIS DE THUMBNAILS BASES
Al
igual que en los sistemas operativos Microsoft Windows, en el sistema operativo
Android hay archivos que son thumbnails bases y que contienen imágenes en
miniatura de los archivos gráficos y de vídeo, creados por el usuario
(incluyendo archivos borrados). En el sistema operativo Microsoft Windowss
thumbnails bases tiene nombres: Thumbs.DB o thumbcache_xxx.db (donde xxx es el
tamaño de la imagen en miniatura en la base). En el sistema operativo Android
no hay un nombre unificado de tales bases según expertos de pruebas de
penetración . Además, vale la pena señalar que estas bases se pueden encontrar
como en el almacenamiento interno al igual que en la tarjeta de memoria
instalada en el dispositivo móvil. Para buscar thumbnails bases nosotros
utilizamos Thumbnail Expert Forensic. Por regla general, este tipo de archivos
permiten recibir información criminalística valiosa, si las principales
evidencias son archivos gráficos (fotos) o videos que fueron tomados por el
dispositivo móvil examinado.
CONCLUSIÓN
La
combinación de los programas tradicionales para el análisis de los dispositivos
móviles y los programas tradicionales que se utilizan en forense cibernética da
los mejores resultados de análisis de copia de los dispositivos móviles que
ejecutan el sistema operativo Android.
0 comments:
Post a Comment