| |
| |
|
Análisis Forense en dispositivos móviles con Symbian OS |
| C. Agualimpia y R. Hernández. |
Maestría en Ingeniería Electrónica, Pontificia Universidad Javeriana
Colombia |
|
PARTE I de III
El presente artículo describe algunos métodos de análisis forenses aplicados a dispositivos móviles. Adicionalmente se plantean diferentes alternativas de análisis forense con el objetivo de evaluar el alcance que se puede tener con algunos de los software forenses más comunes del mercado. Los dispositivos móviles actualmente están desbancando, literalmente, a las estaciones de trabajo del tipo PC´s o Mac’s en tareas que hasta hace muy poco tiempo eran pensadas únicamente para ser realizadas por medio de estaciones computacionales fijas. Los equipos móviles, tienen la principal ventaja de ser portables y cada vez con una mayor capacidad de cómputo y almacenamiento por vía de su memoria interna o por tarjetas extraíbles, estas últimas, de un uso en verdad masivo por su fácil nivel de integración con dispositivos electrónicos como cámaras digitales de video, de fotos, MP3 - Moving Picture Experts Group-1 Layer 3, MP4 - Moving Picture Experts Group-4 Part 14, entre otros.
Palabras clave— Computación forense (computer forensic), evidencia digital (digital evidence), herramientas forenses (forensics toolkits), ME (Mobile Equipment), SIM (Subscriber Identity Module), sistema operativo symbian (symbian os), teléfonos inteligentes (SmartPhones).
INTRODUCCIÓN
En la actualidad, la mayoría de las personas tiene como prioridad poseer o utilizar un teléfono celular con el fin inicial de saciar la necesidad de comunicarse, propia de todo ser humano; gracias a la convergencia en las telecomunicaciones, ese mismo dispositivo móvil que inicialmente se utilizaba básicamente para comunicaciones de voz, ya está brindando otra serie de servicios o funcionalidades que las mismas redes prestadoras del servicio, están promocionando masivamente con el objetivo de darle al usuario mayores ventajas de movilidad; quién se iba a imaginar que uno se lograra conectar a la Internet desde un teléfono móvil o acceder remotamente a su portal, correo corporativo, o mejor aún, poder manejar todo tipo de software contable, empresarial, administrativo, de gestión y hasta un ERP - Enterprise Resource Planning, tener relaciones con los clientes mediante estrategias de CRM - Customer Relationship Management, conectividad inalámbrica formando redes no solamente GSM – Global System for Mobile Communications- y CDMA – Code Division Multiple Accsess, las cuales históricamente han sido las redes que masificaron la comunicación celular, sino también redes PAN – Personal Area Network, con tecnología Bluetooth IEEE 802.15x, WLAN – Wireless Local Area Network, con tecnología WI-FI - Wireless Fidelity, IEEE 802.11x y WMAN – Wireless Metropolitan Area Network, o WWAN - Wireless Wide Area Network, con tecnología WIMAX – Worldwide Interoperability for Microwave Access, IEEE 802.16x, y todo esto en un mismo dispositivo móvil; las funciones que anteriormente estaban solamente diseñadas para ser utilizadas en PC’s o Mac’s de escritorios y laptops sobre redes LAN - Local Area Network, alambradas privadas o corporativas, utilizando plataformas con sistemas operativos Windows o Unix y realizando conectividad remota por medio de módems telefónicos fijos (hasta 56Kbps), sistemas del tipo RADIUS - Remote Authentication Dial-In User Server, o VPN – Virtual Private Network, a través de la Internet, están prácticamente quedando atrás y olvidadas por la masiva penetración en el mercado de los teléfonos móviles, dentro de los cuales se está convergiendo a los llamados SmartPhones. Se estima que para el año 2009 las ventas de teléfonos móviles supere la cifra de un billón de ventas al año.
Bien es sabido que las nuevas tecnologías crean nuevas vulnerabilidades, y en los teléfonos móviles, de hecho, se tiene una arquitectura y software totalmente diferente al de los computadores que estamos tan acostumbrados. Aunque sus características pueden ser relativamente simples, los fabricantes de teléfonos móviles (NOKIA, MOTOROLA, SONY ERICSSON, PALM, BLACKBERRY, HP, SAMSUNG, LG, APPLE, entre otros importantes) emplean muy heterogéneos sistemas operativos y estructuras de almacenamiento que además dependen del modelo en particular (por ejemplo: Nokia 3220, Nokia 6620, Nokia N95, Motorola V3, etc.). Dentro de esta diversidad, surge el Sistema operativo Symbian, como ente unificador para muchos dispositivos, en especial aquellos que tienen características asociadas a los SmartPhones (Symbian está presente en más del 60% de los teléfonos inteligentes del mercado actual), los cuales son diseñados para adaptarse a ambientes de movilidad, siendo estos herederos de las PDA’s – Personal Digital Assistant; en los trabajos de campo realizados para la evaluación de desempeño de los software forenses concerniente a este documento, se trabajó con dos teléfonos, el primero un Siemens C66 (un dispositivo que lleva en el mercado más de 5 años), el segundo un NOKIA N73 (un SmartPhone que lleva en el mercado menos de 2 años) el cual trabaja con el sistema operativo SYMBIAN, que es utilizado de manera general por los equipos NOKIA Serie 60, Serie E y Serie N y es muy aceptado a nivel general por los toolkits que se evaluaron.
En este orden de ideas, es preciso tener presente que el riesgo de la muy bien llamada inseguridad informática es mucho más latente y como si fuera poco, más vulnerable gracias a la movilidad que puede poseer un atacante a la hora de violentar alguna plataforma bien sea esta del tipo móvil o fija por medio del uso de estos dispositivos móviles, tema que ya era de importancia en el año 2002. Adicionalmente también hay que tener muy en cuenta, que no únicamente se trata de los posibles riesgos que genera un atacante, sino de la importancia de poder examinar detalladamente la información que sea relevante y que pueda estar almacenada, escondida, cifrada o suprimida en un dispositivo móvil, como llamadas realizadas o perdidas, imágenes, videos, mensajes de texto, entre otros, ya que por medio de estos, muy seguramente se logrará encontrar evidencia y conectar al sospechoso de algo, con la o las personas afectadas.
Esta breve introducción, pretende mostrar la importancia, la relevancia y la necesidad de tener técnicas forenses de la más alta calidad desde el punto de vista científico y técnico, con el fin de poder interactuar de una manera más directa con una posible evidencia física del tipo digital, que con respecto a la triada del principio de intercambio de Locard, la cual plantea la necesidad de interactuar entre la víctima, la escena del crimen y el sospechoso se da la posibilidad que a partir de esa evidencia digital se puedan plantear hipótesis concretas que indaguen sobre respuestas a un acto delictivo que bien puede tocarnos directa o indirectamente a nosotros.
RECOMENDACIONES PARA EL ANÁLISIS FORENSE EN MÓVILES
En todo tipo de análisis forense, se deben realizar ciertos procedimientos que están enfocados a garantizar la integridad del proceso.
La recuperación de datos en móviles es usualmente realizada de forma lógica en lugar de una adquisición física, usando uno o más protocolos soportados por el dispositivo.
En este artículo al igual que en otros, se apoya la hipótesis de hacer análisis forense en teléfonos móviles diferenciando los dos módulos que conforman al dispositivo: por un lado el ME (Equipo Móvil) y por otro el módulo que identifica al suscriptor, el cual es llamado SIM – Subscriber Identity Module, en redes GSM [6], RUIM - Removable User Identity Module, en redes CDMA [7,18], y USIM – Universal Subscriber Identity Module o UICC - Universal Integrated Circuit Card, para redes UMTS - Universal Mobile Telecommunications System [8]. De ahora en adelante, por simplicidad independiente del tipo de red, se llamará SIM al módulo que identifica al suscriptor.
Análisis del SIM
El objetivo inicial del SIM es proporcionar un ambiente seguro y resistente al saboteo (extremadamente difícil de violar bajo una variedad de ataques) que identifique a un usuario móvil particular, lo cual se logra manejando claves digitales cifradas (de uso de los operadores de telefonía) que autentican a los usuarios en la conexión a la red y rastrean aquellas actividades que realizan una vez están “al aire”. El SIM mantiene conexión permanente con la red desde que el ME se enciende; sin el SIM el ME no se conecta a la red.
El SIM, en la mayoría de los casos, se asocia a un chip o tarjeta inteligente (Smart Card). Las principales características del chip, desde el punto de vista forense, es su
portabilidad y memoria, capaz de albergar datos con información del suscriptor en un espacio de almacenamiento que esta alrededor de los 64kB (existen de mayor capacidad hasta de 1MB no tan comerciales), allí el usuario puede almacenar información relevante como mensajes de texto y multimedia, directorios telefónicos, fechas de calendario, entre otros según la capacidad que se tenga.
Una segunda funcionalidad importante del SIM es su capacidad de albergar aplicaciones, normalmente conocidas como Applets, siendo de interés pericial aquellas aplicaciones que almacenan claves de cifrado o inclusive aquellas que potencian el uso del ME para aplicaciones en Internet, como por ejemplo aplicaciones de comercio electrónico.
El análisis forense de la SIM puede ser muy dispendioso y mostrar pocos avances, debido a las características de seguridad con las que se concibe este módulo. Sin embargo el análisis se facilita si el perito posee un conocimiento básico de
la estructura de archivos, y si además el usuario, ha deshabilitado el uso del PIN o CHV1 [17], para acceder a los datos del chip (o en su defecto si se conoce el PIN).
Un primer acercamiento forense de la SIM debe procurar mostrar los siguientes datos:
- El Cell ID: identificador de dónde está el dispositivo actualmente situado (o dónde estuvo antes de apagarse el celular).
- IMSI (número serial que identifica al suscriptor)
- ICCID (número serial que identifica la SIM)
- Contactos telefónicos
- Mensajes de Texto (o multimedia, si es el caso) recibidos: Usualmente la SIM alcanza a guardar al menos 12 mensajes de texto.
- Mensajes de texto (o multimedia, si es el caso) Borrados
- Mensajes de texto enviados y guardados en la SIM.
- Números marcados (a veces este dato no se guarda en la SIM).
Vale la pena mencionar, que algunos de los datos anteriores pueden ser modificados, sin que el usuario se dé cuenta, mediante un ataque por Bluetooth. Por esto el análisis
forense puede tornarse un poco delicado.
La mayoría de datos mencionados anteriormente, son los que de forma clásica los distintos forensics toolkits se han encargado de encontrar en mayor o menor medida.
Un ciberatacante, con un mínimo de experiencia en dispositivos móviles, sabe que el lugar más “seguro” para almacenar datos de gran importancia es la SIM. Por tal razón puede crear (o pagar para que una tercera entidad lo haga) una aplicación que almacene dichos datos en la SIM. Es en este punto donde el análisis forense se ve gravemente limitado. Las herramientas forenses de la actualidad no están en la capacidad de detectar dichos Applets junto a la información que almacenan, y solamente un profundo análisis mediante software especializado en Smart Cards combinado con alguna pista encontrada en las comunicaciones del ME con el SIM podrían llevar a buen término la investigación.
CONTINÚA EL PRÓXIMO MES…
|
|
