Vous êtes sur la page 1sur 33

LOGO

www.themegallery.com
Analisis Forense a Celulares
www.eiidi.com
LOGO
www.themegallery.com
Tipos de de Evidencia
Subscriber Identity Module (SIM) en GSM/UMTS
Una tarjeta SIM (acrnimo de Subscriber Identity Module, Mdulo de
Identificacin del Suscriptor) es una tarjeta inteligente desmontable
usada en telfonos mviles que almacena de forma segura la clave
de servicio del suscriptor usada para identificarse ante la red, de
forma que sea posible cambiar la lnea de un terminal a otro
simplemente cambiando la tarjeta.
El uso de la tarjeta SIM es obligatorio en las redes GSM.
Las tarjetas SIM est disponibles en dos tamaos. El primero es
similar al de una tarjeta de crdito (85,60 53,98 0,76 mm). El
segundo y ms popular es la versin pequea (25 15 0,76 mm).
LOGO
www.themegallery.com
Tipos de de Evidencia
Phone Internal Memory
La mayora de la informacin del telfono esta almacenada en la
memoria interna.
Flash memory cards
Las memory cards o tarjetas de memoria, son dispositivos de
almacenamiento que funcionan como memorias adicionales para
telfonos, cmaras digitales, consolas de videojuegos y
reproductores mp3 entre otros.
Su funcin principal es la posibilidad de guardar ms informacin
necesaria de la que es posible en la memoria interna del dispositivo.
LOGO
www.themegallery.com
Metodologia
1. Apagar el telfono para evitar que se contamine.
2. Examinar los medios de forma separada para evitar
que se contaminen.
3. Adquirir los cdigos de acceso del usuario o del
proveedor de servicio para examinar el SIM.
4. Examinar las tarjetas de memoria flash.
5. Examinar los nmeros internos del telfono
obteniendo un backup bit stream de la memoria del
telfono.
LOGO
www.themegallery.com
Examinando el SIM
Podemos analizarlo utilizando cualquier lector de memorias
smart card.
Herramienta: MOVILEdit, SIMCon - SIM Content Controller.
Permiten a los usuarios realizar una imagen de todos los
archivos de una tarjeta SIM utilizando un lector de smart
card.
El usuario puede luego examinar el contenido de la tarjeta,
incluyendo nmeros y mensajes de texto almacenados.
Permite al usuario leer todos los archivos que se
encuentran en la tarjeta SIM y almacenarlos en un archivo.
Examina e interpretar el contenido de archivos incluyendo
mensajes de texto y nmeros almacenados.
Recupera los mensajes de texto eliminados que se
almacenan en la tarjeta.
Maneja cdigos PIN y PUK.
LOGO
www.themegallery.com
Que podemos Encontrar
IMSI (Clave identificativa para cada dispositivo en el sistema),
informacin sobre idiomas preferidos,
Informacin sobre la localizacin: La SIM guarda la ltima
rea en donde el dispositivo se registr ante el sistema.
MSISDN el cual puede ser usado para recuperar las llamadas
originadas por el usuario a otros nmeros de telfono.
Informacin sobre el trfico SMS: Es posible leer mensajes
enviados y recibidos fuera de la tarjeta SIM y saber si fue ledo
o no cada mensaje
Informacin sobre el proveedor: Es posible obtener el
nombre del proveedor y la red celular comnmente usada para
la comunicacin, junto con las redes que estn prohibidas para
el dispositivo.
Informacin sobre llamadas: Los ltimos nmeros marcados
son guardados en un archivo en el sistema de ficheros de la
SIM. La clave usada para cifrar la ltima llamada tambin es
guardada all.
LOGO
www.themegallery.com
Que podemos Encontrar
IMSI (Clave identificativa para cada dispositivo en el sistema),
informacin sobre idiomas preferidos,
Informacin sobre la localizacin: La SIM guarda la ltima
rea en donde el dispositivo se registr ante el sistema.
MSISDN el cual puede ser usado para recuperar las llamadas
originadas por el usuario a otros nmeros de telfono.
Informacin sobre el trfico SMS: Es posible leer mensajes
enviados y recibidos fuera de la tarjeta SIM y saber si fue ledo
o no cada mensaje
Informacin sobre el proveedor: Es posible obtener el
nombre del proveedor y la red celular comnmente usada para
la comunicacin, junto con las redes que estn prohibidas para
el dispositivo.
Informacin sobre llamadas: Los ltimos nmeros marcados
son guardados en un archivo en el sistema de ficheros de la
SIM. La clave usada para cifrar la ltima llamada tambin es
guardada all.
LOGO
www.themegallery.com
Que podemos Encontrar
Toda SIM a su vez contiene distintos niveles de
seguridad:
PIN: Al intentar acceder la informacin de la SIM se
requiere introducir el nmero de identificacin personal
de la tarjeta. En caso de que sea introducido ms de tres
veces de forma errnea, esta se bloquea, siendo
necesario el cdigo PUK, suministrado por el fabricante u
operadora.
PUK: Este cdigo sirve para habilitar tarjeta SIM debido
ala introduccin errnea del PIN. En algunos sistemas, si
el PUK es introducido de manera incorrecta determinado
nmero de veces, la informacin de la SIM se elimina de
manera automtica y de manera irrecuperable.
LOGO
www.themegallery.com
Iniciando Un anlisis a Sim
Tener a como hardware bsico un lector de
tarjetas sim y un software para su anlisis.
LOGO
www.themegallery.com
Iniciando Un anlisis a Sim
Una vez iniciado el programa de anlisis en este caso
tenemos en la imagen al MOBLE Edit , me permite cambiar o
deshabilitar el acceso a las contraseas o PIN's.
LOGO
www.themegallery.com
Iniciando Un anlisis a Sim
En la siguiente pantalla puedo acceder a todas
las posiciones de la tarjeta SIM
.
LOGO
www.themegallery.com
Iniciando Un anlisis a Sim
Podemos ver los SMS's enviados y recibidos
(oculto los datos de carcter personal, como es
obvio). No obstante veo que algunos de los
SMS's que he borrado a conciencia no salen en
la lista de 'Deleted Items', mientras que otros si
LOGO
www.themegallery.com
RECUPERANDO SMS'S
Recuperar es algo muy til al momento de
realizar un anlisis forense, para ello debemos
en primera instancia saber como se borra la
informacin del sim.
La tarjeta SIM contiene un archivo especial
donde se guardan los SMS, el archivo tiene
varias "franjas horarias" y en l, existe una zona
para cada mensaje, siendo el nmero de franjas
de forma finita, es decir, una tarjeta SIM puede
almacenar unas 20 o 25 SMS dependiendo de la
capacidad. Las tarjetas ms modernas tienen
ms zonas...
LOGO
www.themegallery.com
RECUPERANDO SMS'S
Cuando todas las zonas estn llenas, hay que
borrar una zona antigua, antes de guardar un
mensaje nuevo. La estructura de una de estas
franjas horarias se compone de varios campos,
tales como:.................................................................
El nmero de telfono del remitente
La fecha y la hora en que se ha recibido el SMS
El texto del mensaje en s.
Existen otros campos que no se muestran para
nosotros, uno de ellos es el estado actual de la
zona, que puede ser tanto "vaco", o "en uso".
LOGO
www.themegallery.com
RECUPERANDO SMS'S
Algunos telfonos eliminan un SMS al establecer
el valor "en uso" a un nuevo valor "vacio", dejando
intactos los otros campos. Cuando se recibe una
nueva recepcin de SMS, el telfono tiene que
verificar si existen espacios libres, y si es as ser
utilizado para almacenar el nuevo SMS.
Los SMS pueden ser recuperados, mediante un
simple cambio de "estado" de "vaco" a en "uso".
Para ello podemos utilizar la herramienta SIM
Manager .
LOGO
www.themegallery.com
RECUPERANDO SMS'S
SIM Manager mostrar los mensajes que fueron
marcados como eliminados en color rojo,
pulsamos con el botn derecho del ratn y
pulsamos recuperar. (Nunca antes fue tan sencillo
recuperar un SMS).
Por contra tambin podemos asegurarnos que no
se va a poder recuperar definitivamente con tan
solo indicarle borrar. La siguiente captura de
pantalla muestra una tarjeta SIM con 20 ranuras
de SMS, 4 de los cuales contienen mensajes,
pero slo los dos primeros estn en uso, los dos
ltimos son marcados como eliminados.
LOGO
www.themegallery.com
RECUPERANDO SMS'S
LOGO
www.themegallery.com
RECUPERANDO SMS'S
A continuacin se muestra otra imagen, con una
herramienta de anlisis forense llamada SIM
Explorer, que muestra los datos de la tarjeta SIM.
La herramienta se utiliza para reunir las pruebas
electrnicas de tarjetas SIM, pero en nuestro caso
vamos a utilizarlo para para echar un vistazo a las
entraas de la tarjeta y entender cmo funciona la
recuperacin de la tarjeta SIM.
Hay dos conceptos, el "00" que siginifica "Libre" y el
07 que significa "ocupado".
LOGO
www.themegallery.com
RECUPERANDO SMS'S
LOGO
www.themegallery.com
Para analizar un telfono celular
.
Veremos una herramienta de gran popularidad entre los
organismos de seguridad de muchos gobiernos, utilizada
para la investigacin forense en celulares, oxigen forensic
suite 2010, que pueden descargar una versin trial de
http://www.oxygen-forensic.com/en/.
Entre las caractersticas mas importantes de este software
est la gran variedad de equipos que soporta, ms de
1550 modelos, y un pack de drivers (ms de 300 mb) que
se puedes descargar en este enlace.
LOGO
www.themegallery.com
Para analizar un telfono celular
.
Para iniciar la anlisis tenemos que conectar el celular con
el computador en el que vamos a realizar el anlisis.
LOGO
www.themegallery.com
Para analizar un telfono celular
Luego seleccionamos la marca y el modelo del
celular, recuerden que oxigen forensic suite 2010
puede detectar ms de 15.000 dispositivos.
LOGO
www.themegallery.com
Herramientas de Hardware
.
LOGO
www.themegallery.com
Para analizar un telfono celular
.
LOGO
www.themegallery.com
Para analizar un telfono celular
.
LOGO
www.themegallery.com
Para analizar un telfono celular
.
LOGO
www.themegallery.com
Para analizar un telfono celular
.
LOGO
www.themegallery.com
Para analizar un telfono celular
.
LOGO
www.themegallery.com
HADRWARE UFED PRO
http://www.cellebrite.com/
.
Con la ampliacin de cobertura que ahora incluye ms de
3000 telfonos y una lista cada vez mayor de dispositivos
GPS, UFED Fsica Pro ofrece la solucin mvil ms
completa forenses disponibles en el mercado.
UFED Pro proporciona acceso a los datos
inaccesibles Datos Eliminados los datos,
incluyendo: Historial de llamadas, mensajes de texto,
imgenes, videos y entradas de la agenda
SOFTWARE INTELIGENTE PARA investigaciones ms
profundas
El volcado de memoria de cada telfono es una
estructura de datos compleja pero UFER Pro hace un
fcil acceso.
LOGO
www.themegallery.com
HADRWARE Device Seizure
http://www.paraben.com
.
LOGO
www.themegallery.com
HADRWARE Device Seizure
http://www.paraben.com
.
Obtenga ms informacin de ms dispositivos.
Dependiendo del modelo, la incautacin de
dispositivos pueden adquirir los siguientes datos:
Historia de SMS (mensajes de texto)
SMS eliminados (mensajes de texto)
Directorio telefnico (tanto almacenados en la
memoria del telfono y en la tarjeta SIM)
Historial de llamadas
Llamadas recibidas
Nmeros marcados
Llamadas perdidas
Fechas de llamadas y duraciones
LOGO
www.themegallery.com
HADRWARE Device Seizure
http://www.paraben.com
.
Agenda
Programador
Calendario
Lista de tareas
Sistema de archivos (vertederos de memoria fsica)
Los archivos de sistema
De archivos multimedia (imgenes, vdeos, etc)
Archivos Java
Datos eliminados
QuickNotes
LOGO
www.eiidi.com