Forense Movil

8/16/2019 Forense Movil

1/79

Análisis Forense de dispositivos

móviles iOS y Android.

Nombre Estudiante: Marco Antonio Alvarez Murillo

MEMORIA FINAL

Nombre Consultor: Cristina Pérez Solà.

Fecha de Entrega !"#!$#%!$&

$


2/79

A'(esta o)ra est* s()+ecta a (na llic,ncia deReconei-ementNo/omercial/ompartirIg(al 0.!Espanya de /reative /ommons

%

http://creativecommons.org/licenses/by-nc-sa/3.0/es/http://creativecommons.org/licenses/by-nc-sa/3.0/es/http://creativecommons.org/licenses/by-nc-sa/3.0/es/http://creativecommons.org/licenses/by-nc-sa/3.0/es/http://creativecommons.org/licenses/by-nc-sa/3.0/es/http://creativecommons.org/licenses/by-nc-sa/3.0/es/


3/79

1edicatoria.

A mi hi+a 1ayanna lo más grande de mi vida2 a Soraya por s( paciencia2 a mi madre

Mar3a Elena por s(s conse+os2 a mi padre Ren4 5il6rido por s( ense7an8a2 9el est(dio

es mi me+or herencia:2 a mis hermanos ;atricia2 Ma(ricio y


4/79

RESUMEN.

El o)+etivo principal del ?ra)a+o de Fin de @rado es dar (n en6o'(e en la aplicación dem4todos y procesos para el Análisis Forense 1igital en dispositivos móviles '(e(tili8an los sistemas operativos '(e se e+ec(tan )a+o las plata6ormas iOS y Android .

El protocolo '(e se (tili8a para esta investigación se )asa en los estándares ynormas ISO # IE/ %!02 RF/ 0%%2 BNE $C!C y BNE $C!&. La metodolog3a estáestr(ct(rada en cinco 6ases aseg(rar2 identi6icar2 preservar2 anali8ar e in6ormar so)relas evidencias de tal manera '(e p(edan ser aceptadas y 6ormar parte de (n procesolegal.

A la ve82 este doc(mento proporciona t4cnicas cient36icas antes los desa63os '(eanalistas 6orenses p(eden en6rentarse como o)tener privilegios de administrador2acceso completo a los dispositivos de almacenamiento2 con6ig(ración del sistema2desactivar m4todos de seg(ridad '(e implementa el dispositivo.

;or Dltimo2 en las distintas 6ases de este proyecto 6inal de carrera e-isten Pruebas deConcepto para demostrar s( via)ilidad2 para lo c(al2 se (tili8an herramientas de openso(rce como de tipo comercial.

"


5/79

(AS!RAC!".

?he main o)+ective o6 this research is to apply methods and processes 6or the 1igitalForensic Analysis in mo)ile devices (tili8ing operative systems r(nning (nder IOs andAndroid plat6orms. ?he main o)+ective o6 this research is to apply methods andprocesses 6or the 1igital Forensic Analysis in mo)ile devices (tili8ing operativesystems r(nning (nder IOs and Android plat6orms.

?he protocol (tili8ed 6or this investigation is )ased on the 6olloing standards ISO#IE/%!02 RF/ 0%%2 BNE $C!C and BNE $C!&. ?he methodology (sed is str(ct(red in6ive phases as 6ollos Ass(re2 Identi6y2 ;reserve2 Analy8e and Report evidences thatco(ld 6orm part o6 a legal process.

?his doc(ment also provides techni'(es in regards to challenges that ForensicAnalysts co(ld 6ace lie o)taining administrator privileges in order to have completeaccess to storage devices2 system con6ig(ration2 disa)ling the sec(rity on the device.

In addition this st(dy e-plains the (sed o6 hash 6(nctions that can )e (sed to veri6ythe data integrity ith the p(rpose o6 protecting the evidence and ens(ring thecorrect storage or transmission o6 the data.

Lastly thro(gho(t the vario(s phases o6 this 6inal degree pro+ect there are Proofs ofConcept hich is a reali8ation o6 a certain method or idea to demonstrate its6easi)ility2 (tili8ing so6tare 6orensic tools o6 open so(rce code as ell as commercialso6tare licenses.

C


6/79

Índice de contenido/ap3t(lo $ ;lan de ?ra)a+o.............................................................................................G

$.$ ;ropósito y +(sti6icación........................................................................................G$.% O)+etivos.............................................................................................................. G

$.%.$ O)+etivos generales.......................................................................................G$.%.% O)+etivos espec36icos.....................................................................................H

$.0 Metodolog3a.......................................................................................................... H$." Res(ltados esperados.........................................................................................$!$.C Estr(ct(ra del tra)a+o.........................................................................................$$

$.C.$ ;lani6icación ?emporal................................................................................ $%/ap3t(lo % Metodolog3a para el Análisis Forense........................................................$"

$. /iencias Forenses.................................................................................................$"$.$ 1e6inición....................................................................................................... $"$.% ;rincipio de intercam)io de Lorcad. ..............................................................$"$.0 1e6inición de In6ormática Forense..................................................................$"

$." Evidencia digital.............................................................................................$C %. Fases del Análisis Forense...................................................................................$C

%.$ Aseg(rar la escena.........................................................................................$C%.% Identi6icar la evidencia................................................................................... $&%.0 Ad'(isición de las evidencias.........................................................................$

%.0.$ Agentes '(e determinan la ad'(isición de (na investigación en sistemasmóviles.............................................................................................................$%.0.$ 1es)lo'(eo de dispositivos '(e (tili8an passcode2 ;IN2 ;B=..................%!

%." Análisis e investigación de la evidencia..........................................................%$%.".$ erramientas de Análisis.........................................................................%%%.".% L3nea temporal........................................................................................%%%.".0 Análisis virt(ali8ado.................................................................................%%

%.C In6orme ;ericial.............................................................................................. %%/ap3t(lo 0 acing de dispositivos móviles iOS..........................................................%0

0.$ Ar'(itect(ra iOS................................................................................................%00.% Modelo de Seg(ridad de iOS...............................................................................%"0.0 Atacando el passcode en iOS............................................................................. %"

0.0.$ Análisis del passcode en la grasa de la s(per6icie...................................%C0.0.% Ata'(e por F(er8a Jr(ta.........................................................................%C

0."


7/79

".%.& Smart ;hone Flash?ool...........................................................................0G".%. Modi6icación del archivo de6a(lt.prop......................................................0H

"." Ata'(e al passcode de Android.......................................................................... "!".".$ 1es)lo'(eo del passcode por eliminación de archivos..........................."!

/ap3t(lo C Análisis Forense en dispositivos iOS..........................................................."$C.$ Ad'(isición de la evidencia................................................................................ "$C.$.$ /opia )it a )it con la herramienta dd........................................................."$C.$.% /opia de Seg(ridad con i?(nes..................................................................."%

C.% Iphone Analy8er ................................................................................................."0C.0 1S ......................................................................................................................"C

/ap3t(lo & Análisis Forense en dispositivos Android...................................................."&.$ Ad'(isión de la evidencia..................................................................................."G

&.$.$ /opia )it a )it.............................................................................................."&.% AFLogical OSE....................................................................................................."&.0 A(topsy.............................................................................................................."H

&." Andriller.............................................................................................................. C%&.C Análisis Forense de Jase de 1atos SLite..........................................................C0

&.C.$ S'liteman.................................................................................................... C0&.C.% 1J Jroser SLite...................................................................................... C"

&.& Análisis de Metadatos.........................................................................................CC&.&.$ FO/A...........................................................................................................CC

/ap3t(lo In6orme ;ericial.......................................................................................... C&/oncl(siones................................................................................................................ C

?ra)a+o 6(t(ro...............................................................................................................CGJi)liogra63a...................................................................................................................CHAne-os.......................................................................................................................... &$

$ Instalación de 1ro8er............................................................................................&$% /ompilación de los e-ploit 8ergR(sh y ;sne(ter.................................................&%0 In6orme ;ericial.................................................................................................... &"

In6orme ;ericial dispositivos iOS...........................................................................&&In6orme ;ericial dispositivos Android....................................................................0


8/79

Ca#$tulo %: Plan de !raba&o

%.% Pro#'sito &usti)icaci'n.

El Internet es (n gran sistema creado por los seres h(manos2 implica la cone-ión demillones de dispositivos '(e con6orman redes descentrali8adas para 6ormar (na granred glo)al. Los go)iernos en con+(nto con millones de (s(arios y empresas (tili8anesta tecnolog3a para el desarrollo de 6(nciones '(e se desarrollan a diario.

La seg(ridad en Internet se convierte en (na misión cr3tica '(e ca(sa estragos en lavida cotidiana. /ada d3a e-isten miles de ata'(es '(e se materiali8an principalmentepor estados2 naciones2 go)iernos, hacktivistas y ciberdelincuentes. Sin em)argo2 escomDn esc(char en los noticieros a cerca de n(evos s(cesos delictivos violaciones,robos, pornografía infantil, asesinatos, etc.), la investigación digital pasa a 6ormarparte en la aportación de pr(e)as testi6icales para esclarecer dichas in6racciones.

El Análisis Forense es (n proceso 3ntegro '(e est(dia el historial de (n sistema. Está adisposición de los analistas (tili8ar )(enas prácticas2 m4todos y herramientas '(epermita el análisis de evidencias para o)tener in6ormes detallados2 los mismos '(eserán p(estos a disposición +(dicial en la l(cha contra el (so de la tecnolog3a con 6inesdelictivos.

En la act(alidad e-isten millones de dispositivos móviles vendidos2 los SistemasOperativos más (tili8ados son Android e iOS. En partic(lar2 el presente est(diopretende dar (n en6o'(e de (na metodolog3a a seg(ir para reali8ar (n Análisis

Forense so)re estos dispositivos.

%.* +b&etivos.

El o)+etivo principal de este tra)a+o es est(diar las principales herramientas y m4todospara el Análisis Forense en dos dispositivos el primer dispositivo con el SistemaOperativo Android y el seg(ndo con el Sistema Operativo iOS.

%.*.% +b&etivos ,enerales.

a /omprender la de6inición del ám)ito en '(e se desarrolla la In6ormáticaForense.

) Btili8ar las di6erentes 6ases del Análisis Forense.

c Est(diar las metodolog3as a seg(ir en el proceso de (na investigaciónForense aplicando m4todos y herramientas acorde a lo esta)lecido en lasnormas y leyes.

d 1ar (n en6o'(e a cerca de la estr(ct(ra de los sistemas Android e iOS.

G


9/79

e Est(diar las herramientas de Análisis Forense 1igital en más com(nes endispositivos móviles.

6 Investigar el historial detallado de los elementos de evidencia digital '(e seenc(entren en dispositivos móviles '(e (tili8an los sistemas Android e iOS.

g Reali8ar el perita+e e in6orme pericial.

%.*.* +b&etivos es#ec$)icos.

a /onocer ciertos m4todos de (tilidad para el hacing del passcode en iOS yAndroid.

) Investigar herramientas disponi)les para Root en Android y


10/79

➢ R2C -**0: 3uidelines )or Evidence Collection and Arc4ivin,. %P

;roporciona a los administradores de sistemas directrices para larecopilación y archivo de las pr(e)as en (n incidente de seg(ridad./(ando la recopilación de pr(e)as se reali8a de 6orma correcta2 se evitagraves errores y 6acilita la detección del atacante2 lo '(e permite2a(mentar en gran proporción la posi)ilidad de admitir el caso a (nproceso +(dicial.

➢ UNE 0%515: !ecnolo,$as de la n)ormaci'n (!". Sistema de 3esti'n deEvidencias Electr'nicas (S3EE". Parte %: 6ocabulario #rinci#ios,enerales. 0P

Los logs de actividades proporcionan in6ormación so)re los s(cesos en (nsistema de in6ormación. La parte 6rágil de los logs es la demostración '(elos hechos no se han alterado en la cadena de c(stodia.

1e6ine y descri)e conceptos de seg(ridad '(e se relacionan con laevidencia2 identi6ica las relaciones entre el Sistema de @estión deEvidencias Electrónicas S@EE y el Sistema de @estión de Seg(ridadS@SI2 especi6ica controles de seg(ridad a la gestión de evidencias.

➢ UNE 0%517: !ecnolo,$as de la n)ormaci'n (!". Metodolo,$a #ara elan8lisis )orense de las evidencias electr'nicas. "P

Esta norma de6ine los procesos para el análisis 6orense dentro del ciclo degestión de evidencias electrónicas. /ompleta los procesos '(e con6ormala Norma BNE $C!C a cerca del Sistema de @estión de Evidencias

Electrónicas.Las )(enas prácticas y el seg(imiento de (na metodolog3a2 6acilita2 garanti8a y aportaseg(ridad en la investigación. ;or ende2 se evita cometer errores graves en (nproceso +(dicial2 además aporta a los Jueces !agistrados la interpretación correctade los res(ltados sin entrar en detalles tecnológicos y de di63cil comprensión.

A más2 se necesitan herramientas disponi)les para el análisis. Este tra)a+o se (tili8aráel sistema operativo Santo( Lin(- en con+(nto con herramientas de Open Source"Andriller2 1S de (so comercial2 la mayor3a destinadas al Análisis Forense endispositivos móviles y generación de in6ormes de alto nivel.

%.9 Resultados es#erados

A la 6inali8ación de este tra)a+o se espera o)tener (na metodolog3a para el análisis6orense en dispositivos móviles. Los res(ltados esperados desp(4s de estainvestigación son

A" In6orme pericial de dispositivo móvil con iOS.

" In6orme pericial de dispositivo móvil de Android.

C" Memoria 6inal.

$!


11/79

%.5 Estructura del traba&o

El presente tra)a+o se estr(ct(ra en ocho cap3t(los

I. Ca#$tulo: Elaboraci'n del #lan de #roecto.

La @estión de ;royectos implica la plani6icación de los procesos a seg(ir para6inali8ar con 4-ito los o)+etivos y el alcance dentro de (n l3mite de tiempoesta)lecido. Se presenta (n diagrama de @antt '(e sirve de g(3a para el controlde y avance del tra)a+o en con+(nto con la veri6icación de hitos.

II. Ca#$tulo: Metodolo,$a #ara el An8lisis 2orense

Seg(ir (na metodolog3a es primordial para 6inali8ar con 4-ito el Análisis Forense1igital de c(al'(ier dispositivo. Se pretende dar (n en6o'(e a cerca de lade6inición y 6ases de análisis de la in6ormática 6orense en general.

III. Ca#$tulo: ac;in, de dis#ositivos m'viles i+S.

El est(dio de la ar'(itect(ra y estr(ct(ra del sistema de archivos de (n sistemaiOS es 6(ndamental antes de iniciar el análisis 6orense2 a contin(ación seesta)lecen herramientas con di6erentes m4todos de acceso de administradordel sistema.

IV. Ca#$tulo: ac;in, de dis#ositivos m'viles Android .

1e la misma 6orma '(e en el cap3t(lo anterior se est(dian los mismosprincipios para el sistemas Android.

V. Ca#$tulo: An8lisis 2orense en dis#ositivos iOS.

Se esta)lecen m4todos ad'(isición y herramientas de análisis de tipo comercialy open so(rce para sistemas iOS.

Ca#$tulo: An8lisis 2orense en dis#ositivos Android .

Se e-plica di6erentes m4todos para la 6ase de ad'(isición y análisis desistemas Android2 a la ve82 herramientas de licencia comerciales y openso(rce para el análisis 6orense.

VI. Captulo! n)orme Pericial

Los in6ormes periciales p(eden ser de dos tipos In6orme E+ec(tivo '(e permite

llegar a personas con pocos conocimientos t4cnicos2 y el In6orme ?4cnico contodos los detalles de la investigación. En este tra)a+o se pretende reali8ar (nin6orme '(e com)ina la parte e+ec(tiva y t4cnica como demostración pero conlos principales incisos de)ido a la gran cantidad de in6ormación '(e almacena(n dispositivo

". In6orma pericial dispositivo iOS.

#. In6orme pericial dispositivo Android.

$. Memoria Final.

$$


12/79

%.5.% Plani)icaci'n !em#oral.


13/79


14/79

Ca#$tulo *: Metodolo,$a #ara el An8lisis2orense.

%. Ciencias 2orenses.

%.% identi)icar> #reservar> analizar #resentar la evidenciade manera '(e sea admisi)le como pr(e)a en (n tri)(nal de +(sticia. Este procesonormalmente se e+ec(ta de 6orma sec(encial.

2i,ura *.%: Fases de la Investigación Forense 1igital.

Sin em)argo2 el res(ltado de (n análisis digital en todos los casos no entra a 6ormarparte de (n proceso +(dicial. En n(merosas ocasiones se desea investigar (n sistemapor'(e e-iste cierta sospecha o total seg(ridad alta probabilidad de ha)er sidov3ctima de (n ata'(e o (na intr(sión no a(tori8ada.

;or consig(iente2 se p(ede de6inir a la In6ormática Forense como (na ciencia '(eproporciona (n metodolog3a para la investigación detallada de los s(cesos '(eoc(rren en tiempo real o d(rante el historial de (n sistema2 esto conlleva2 al análisis

$"


15/79

de in6ormación detallada para esclarecer el da7o ca(sado a la v3ctima2 as3 como laidentidad del atacantes y s(s intenciones.

%.9 Evidencia di,ital.

En investigaciones cient36icas es (n o)+eto digital '(e contiene in6ormación con6ia)lecomo soporte para (na hipótesis.

En el ám)ito legal2 la evidencia digital o electrónica es c(al'(ier clase de in6ormaciónpro)atoria2 dicha in6ormación está almacenada o se transmite de manera digital conla 6inalidad de (tili8ar (na de las partes en (n proceso +(dicial. Esto e-plica '(e elproceso a seg(ir se de)e reali8ar con la s(6iciente atención en la recolección2procesamiento y almacenamiento de los o)+etos digitales. A menos '(e est4n m(yseg(ros '(e la evidencia no se (tili8ará en el +(8gado2 se procede a e+ercer la de)idapreca(ción y c(idado de las pr(e)as. En m(chas ocasiones (na investigación '(ecomien8a como (na recopilación y análisis p(ede convertirse en (n análisis criminal.

*. 2ases del An8lisis 2orense.

*.% Ase,urar la escena.

Esta 6ase se )asa en la restricción del acceso para '(e ning(na persona ( o)+etop(eda alterar la escena a investigar. Las personas '(e actDan en la investigaciónde)en garanti8ar act(aciones seg(ras2 dicho de otra manera2 está prohi)ido (tili8arprocesos '(e no est4n completamente seg(ros. Se p(ede citar (na serie normasdentro del protocolo a seg(ir

• Identi6icar la escena y esta)lecer (na per3metro de seg(ridad.• Restringir el acceso de personas y e'(ipos in6ormati8ados en el per3metro

tra8ado.

• Impedir el (so de dispositivos con tecnolog3a inalám)rica.

• ;reservar las h(ellas mediante la (tili8ación de g(antes láte-.

• Kalorar el análisis en red o la posi)ilidad de desconectar los dispositivos. Ladescone-ión p(de acarrear la p4rdida de in6ormación a cerca de (n delito '(ese p(eda cometer en l3nea.

• ;ara los dispositivos de imprenta2 si en el instante del análisis se enc(entrancon tareas de impresión2 se proporciona el tiempo necesario hasta la6inali8ación de los tra)a+os.

• 1oc(mentar por medio de 6otogra63as o v3deos la 6echa y hora del sistema antesde apagarlo2 siempre '(e se enc(entre esta in6ormación en la pantalla.

• Monitori8ar los proceso en l3nea por e+emplo2 descarga de aplicaciones2archivos '(e se comparten2 aplicaciones ;%; etc. y doc(mentar por medio de6otogra63as o v3deos.

• Apagar los dispositivos encendidos se recomienda retirar la alimentación por laparte posterior del e'(ipo.

$C


16/79

*.* denti)icar la evidencia.

El proceso de identi6icación p(ede variar segDn el caso. El investigador de)e con6iscar(na cantidad pe'(e7a de material o al contrario2 en6rentarse a la inca(tación de (nagran cantidad de material. Sin em)argo2 se recomienda veri6icar la calidad y la valide8

de los materiales con6iscados para validar como (na pr(e)a +(dicial.

• /omo p(nto de partida2 se conci)e la eval(ación de las evidencias volátiles yvalorar la necesidad de gra)arlas o no en (n 6ichero. El investigador de)econocer '(e esta acción implica manip(lar el sistema2 as3 p(es2 si se toma (nadecisión de esta 3ndole de)e doc(mentarse especi6icando la ra8ón o lanecesidad2 el analista de)e conocer el riesgo '(e conlleva c(al'(iermanip(lación en el sistema2 con la condición de '(e2 p(ede convertirse en (napr(e)a no válida en (n proceso +(dicial.

• Reali8ar (na lista2 eti'(etar el material inca(tado2 doc(mentar todo lo '(e se

lleva al la)oratorio y lo '(e no.

• Solicitar datos relevantes de las personas implicadas2 como s( doc(mentación2contrase7as del sistema y (s(arios o acciones '(e se prod(cen d(rante elincidente.

• Reali8ar (n es'(ema de la escena del s(ceso2 con 6otogra63as2 v3deo2 topolog3asde red etc.

En c(ánto a los dispositivos móviles2 si no se tratan adec(adamente la evidenciap(ede contaminarse y terminar como inválida.

• La 6(entes '(e incl(yen en las pr(e)as son los dispositivos2 ca)les2adaptadores2 medios e-tra3)les2 BI// CP #$niversal %ntegrated Circuit Card)2ordenadores personales. Los ordenadores personales p(eden ser de m(cha(tilidad incl(sive más '(e (n dispositivo móvil2 de)ido a '(e los (s(ariosreali8an procesos de sincroni8ación para descargar material en dispositivos dealmacenamiento de mayor capacidad2 o a s( ve82 para reali8ar (na copia deseg(ridad del sistema en caso de aver3a. Bn backup almacenado en (n e'(ipop(ede ser de m(cha (tilidad si el proceso de des)lo'(eo de (n terminal sev(elve imposi)le.

• /on los dispositivos inca(tados2 no se de)e permitir al propietario ni ac(al'(ier persona no a(tori8ada manip(lar el tel46ono móvil2 m(chos

dispositivos tienen códigos para )orrar el contenido a las condiciones originalesde 6á)rica. Además2 se p(ede reali8ar (n )orrado de 6orma remota por lo '(ees imprescindi)le (tili8ar medidas de preca(ción como el aislamiento de la redpara '(e no e-ista la posi)ilidad de destr(cción de la evidencia por terceraspersonas a+enas a la investigación.

• Los analistas p(eden en6rentarse a sit(aciones comprometidas como materialdigital dentro de l3'(ido2 (so de e-plosivos2 contaminación con sangre2 etc.2 enestos casos se recomienda cons(ltar a especialistas para o)tener instr(ccionesespec36icas o de asistencia.

$&


17/79

• Los dispositivos p(eden encontrarse da7ados o parcialmente destr(idos pordi6erentes motivos pero '(e no impiden necesariamente la e-tracción de datos.El e'(ipo roto se procede a transportarle al la)oratorio para intentar reparars(s componentes o e-traer la in6ormación en la medida posi)le.

• En la entrevista al propietario2 es de cometido considerar la solicit(d a cerca detipos de seg(ridad digital '(e (tili8an los dispositivos.

• Bna ve8 inca(tados los dispositivos móviles2 es necesario aislar ante c(al'(iertipo de com(nicación. Se recomienda la (tili8ación de Jolsas o


18/79

El IMEI es (n nDmero de $C d3gitos '(e indica el 6a)ricante2 modelo2 pa3s deapro)ación. Los primeros G d3gitos de6inen el /ódigo de ?ipo de Asignación#AC)2 '(e contiene in6ormación a cerca del modelo y origen2 los sig(ientes )itsespeci6ican el 6a)ricante con (n d3gito de control al 6inal. El ESN es (n

identi6icador de %0 )its gra)ado en en chip2 los primeros G$" )its identi6ican alos 6a)ricantes y el resto el nDmero de serie asignado.

• El modo


19/79

/onsiste en ad'(irir (na imagen del material inca(tado para el análisis2 dichom4todo o)tiene copias necesarias de la imagen original. Bna ve8 se reali8a lacopia2 se lleva a ca)o la investigación 6orense sin necesidad de (tili8ar eldispositivo 63sico.

Reali8ar la copia de )its de los soportes originales es (n proceso '(e se p(edereali8ar por medio de so6tare o hardare2 se de)e tener en c(enta

Los dispositivos o (nidades de almacenamiento en donde se va a reali8arla copia de)en estar )orradas de manera seg(ra. E-iste (na herramientaen Lin(- m(y (tili8ada para )orrado de seg(ro y copia )it a )it. Elcomando para reali8ar el )orrado seg(ro es

dd i6Q#dev#8ero o6Qdispositivo a copiar )sQ$M.

Las copias de)en ser id4nticas a la original. No de)e alterarse )a+oningDn motivo los datos de origen y destino.

La copia tiene '(e estar completa2 se incl(ye el espacio li)re so)re todopara la rec(peración de la in6ormación valiosa '(e ha sido )orrada.

dd i6 Q dispositivo de origen o6Qdispositivo destino )sQ$M

Aplicar la 6(nción hash so)re la in6ormación recopilada para mantener laintegridad. Se p(ede (tili8ar !7 o S1A8.

El análisis de)e reali8arse a partir de (na seg(nda copia para evitar elda7o del dispositivo original2 con esto se logra2 d(plicar c(ando lascirc(nstancias lo re'(iera n(eva copia de la primera.

Bna ve8 e-tra3da la imagen se de)e entrega el original al +(8gado2 ela6ectado p(ede solicitar (n contraperita+e.

En el proceso de copia de la imagen no es necesaria la presencia delSecretario


20/79

2uente: Ayers2 R.2 Jrothers2 S.2


21/79

El propietario en ocasiones s(ele escri)ir passords o ;INs en (n papel '(e sese mantiene cerca del tel46ono2 en (n ordenador para sincroni8ar el dispositivoo2 en materiales de (so comDn e&e'plo9 la cartera del propietario . Si es as32se intentará rec(perar de manera vis(al y (sar la clave para des)lo'(ear el

tel46ono.• 6ulnerabilidades es#ec$)icas.

El m4todo más comDn es (tili8ar v(lnera)ilidades de los sistemas2 Sm(dgeAttacs es (n e+emplo '(e consiste en el análisis de la s(per6icie de la pantallatáctil del dispositivo para determinar los d3gitos o caracteres '(e el propietario(tili8ó $!P. E-isten a disposición de los analistas )ases de datos a cerca de lasv(lnera)ilidades de los sistemas. $$P

• Pre,untar al #roveedor de servicios

La mayor3a de proveedores o6recen la capacidad de rec(perar el ;B= en l3nea2ingresando el nDmero del tel46ono y la in6ormación del a)onado en páginas e)pD)licas. Otro m4todo similar es contactar con el 6a)ricante del dispositivo2 omediante la emisión de (na orden por v3a +(dicial hacia los proveedores deservicios o 6a)ricantes.

Sin em)argo2 los (s(arios eligen contrase7as d4)iles para proteger s(sdispositivos $$$$2 !!!!2 $%0"2 pero no se recomienda intentar des)lo'(ear(tili8ando estos códigos por el riesgo '(e se p(ede ocasionar como p(ede serel )orrado seg(ro del móvil2 limpie8a permanente de la memoria2 etc. Losdispositivos por lo general tienen (n nDmero de intentos antes de )lo'(ear eltel46ono2 el investigador p(ede aceptar este riesgo en los casos en '(e sea la

Dnica opción para la e-tracción de datos.

• Métodos 4ardFare so)tFare.

En los sig(ientes cap3t(los de acing del passcode en iOS y Android sedescri)en alg(nos m4todos so6tare o hardare '(e se (tili8an para o)tener odes)lo'(ear el passcode.

*.9 An8lisis e investi,aci'n de la evidencia.

F(ndamenta el est(dio total del dispositivo2 el analista de)e conocer el6(ncionamiento de los sistemas operativos2 análisis del historial2 6icheros con s(s

metadatos y aplicaciones instaladas en los e'(ipos a investigar.• En los dispositivos móviles se enc(entra in6ormación de importancia en el

análisis de contactos2 geolocali8ación2 mensa+es de com(nicación como #!!S,correo electr+nico, 5hatsapp, ango, Skype, etc)2 registro de eventos2calendario2 historial del navegador2 aplicaciones de redes sociales2 los archivoslogs de actividades.

• El investigador se en6renta a di6erentes inconvenientes en el análisis como6icheros ci6rados2 6icheros in6ectados con troyanos vir(s o malare2 demasiadain6ormación2 datos oc(ltos con estenogra63a2 datos )orrados.

%$


22/79

• En ocasiones2 se de)e tra)a+ar directamente so)re el dispositivos2 para ele6ecto se (tili8an herramientas hardare o so6tare '(e permitan larec(peración del dispositivo sin alterar la evidencia. Esta 6orma de análisis sereali8a c(ando no se dispone de s(6iciente tiempo para el análisis en el

la)oratorio.*.9.% erramientas de An8lisis.

En la act(alidad e-isten herramientas de Open Source como de (so comercial2permiten ad'(irir2 anali8ar y generar reportes de la investigación. Entre lasherramientas más conocidas se p(ede citar open so(rce Sistema Operativos =aliLin(-2 Santo( Lin(- '(e contiene herramientas para el análisis 6orense y a(ditor3adigital de (so comercial O-igen Forensic =it2 Andriller2 1S2 Encase. En /omp(terForensics ?ool /atalog e-iste (na lista detallada de herramientas disponi)les paraAnálisis Forense en dispositivos móviles. $%P.

*.9.* =$nea tem#oral.Es la creación o est(dio de (n evento en (n intervalo de tiempo espec36ico con losdetalles a cerca de los s(cesos oc(rridos. E+emplos de l3neas temporales se solicita alAnalista Forense veri6icar si se reali8ó (na llamada2 se ha conectado a (na e)2 sehi8o (na copia de archivos (na memoria e-terna etc.2 todo esto en (n tiempoespec36ico.

*.9.- An8lisis virtualizado.

Los analistas p(eden contar tan solo con la imagen del dispositivo2 e-isten archivos'(e tienen aplicaciones propias para la apert(ra2 esto genera (na gran di6ic(ltad al

tener '(e instalar aplicaciones en (n ordenador. ;or este motivo se recomiendae+ec(tar la imagen en (na má'(ina virt(al para proceder al análisis. Si el sistema estáin6ectado por so6tare malicioso la virtuali:aci+n o6rece la oport(nidad de anali8ar s(comportamiento. Este 6orma de análisis se le conoce como análisis en vivo.

*.5 n)orme Pericial.

Se doc(menta y se presentan las evidencias relacionadas con el caso2 +(sti6icación delos procesos investigados2 la concl(sión. El leng(a+e (tili8ado de)e ser 6ormal pero nonecesariamente t4cnico2 el lector no tiene por'(4 conocer la parte t4cnica. Sinem)argo el Analista Forense tiene '(e poseer ha)ilidad para com(nicar el res(ltadode la investigación de 6orma clara y concisa.

%%


23/79

Ca#$tulo -: ac;in, de dis#ositivos m'viles i+S.

-.% Ar?uitectura iOS.

La ar'(itect(rade iOS se )asa en capas2 las capas de nivel s(perior interactDan comointermediarias entre el hardare y las aplicaciones '(e se desarrollan. Lasaplicaciones no se com(nican directamente con el hardare2 se com(nican a trav4sde inter6aces de sistemas2 este mecanismo proporciona el desarrollo de aplicaciones'(e tra)a+an constantemente en dispositivos con di6erentes capacidades de hardare.

Las capas de nivel s(perior se )asan en las capas in6eriores2 proporcionan servicios ytecnolog3as más avan8adas para el desarrollo de aplicaciones2 las capas in6erioresposeen el control de los servicios )ásicos.

Cocoa %ouch.

Es la capa principal2 contiene (n con+(nto de 6ra'e-orks para el desarrollo de

aplicaciones. Se recomienda (sar 6ra'e-orks de alto nivel siempre '(e seaposi)le2 por'(e proporcionan a)stracciones orientadas a o)+etos paraconstr(cciones de menor nivel2 esto 6acilita o dismin(ye la cantidad de códigoa escri)ir y permite encaps(lar caracter3sticas comple+as como socets othreads. Se p(eden (tili8ar capas de nivel in6eriores si no e-isten lascaracter3sticas necesarias en los niveles s(periores.

&edia

;rovee los servicios de grá6icos2 a(dio2 v3deo2 animación2 y capacidades grá6icasa la capa s(perior. Esta capa contiene (na serie de marcos '(e se p(eden(tili8ar en del desarrollo de aplicaciones.

Core Services

/ontiene los servicios 6(ndamentales del sistema '(e (san todas lasaplicaciones.

Core OS

Se enc(entra directamente so)re el hardare del dispositivo2 proporcionaservicios de )a+o nivel '(e incl(ye mane+o del sistema de archivos2 gestión dememoria2 seg(ridad2 servicios del sistema operativo2 acceso a accesoriose-ternos2 drivers del dispositivo2 threads.

2i,ura -.%: Ar'(itect(ra de IOS

%0


24/79

-.* Modelo de Se,uridad de iOS.

Secure 0oot Chain2 es el proceso de iniciali8ación del fir'-are y carga de los archivosnecesarios para el arran'(e del sistema además2 se considera la capa principal delde6ensa para la seg(ridad de esta plata6orma.

/(ando (n dispositivo iOS se enciende2 el procesador e+ec(ta el )oot 2O! en modo delect(ra. 0oot 2o' contiene la clave pD)lica para Apple;s 2oot CA '(e (tili8a paraveri6icar la integridad en la sig(iente etapa del proceso el gestor de arran'(e de)a+o nivel Lolevel )ootloader #


25/79

-.-.% An8lisis del #asscode en la ,rasa de la su#er)icie.

Al (tili8ar el dedo para des)lo'(ear (n dispositivo por pantalla se prod(ce (n contactoen el c(al se transmite la grasa corporal al dispositivo. Se p(ede anali8ar esta grasacorporal por medio (na 6otogra63a de calidad o con la t4cnica 9Sm(dge Attacs on

Smartphone ?o(ch Screens: $!P.

-.-.* Ata?ue #or 2uerza ruta.

3ec;o iP4one !ool;it.

erramienta )a+o 5indo-s '(e reali8a (n ata'(e por 6(er8a )r(ta al passcodede (n dispositivo iOS. F(nciona con iPhone 4?S, @ #?S!)2 iPad8, iPod touch 4?2@?.

2i,ura -.-: ;antalla inicio @eco i;hone ?oolit.

P+G cra?uea el #asscode de i+S H.%.%

Bna v(lnera)ilidad '(e e-iste en iOS es la (tili8ación " d3gitos para passcode en s(sdispositivos. La herramienta de hardare %P 0o permite reali8ar (n ata'(e de 6(er8a)r(ta al passcode del iPhone2 se p(ede o)tener el código en (n tiempo de & seg(ndoshasta $ horas. El analista de)e entender '(e los dispositivos IOS por seg(ridadactivan el )orrado del dispositivo tras $! intentos 6allidos2 a(n'(e los 6a)ricantesaseg(ran '(e 6(nciona a(n'(e el dispositivo tenga activada esta opción. El dispositivoimplementa la v(lnera)ilidad CB=38@@@78 $0P.

2i,ura -.9: I;JO> i;hone ;assord Bnloc.

/omo se descri)e en la sección de Jailbreak 2 Apple en todas las act(ali8acionescorrige las v(lnera)ilidades conocidas en s( sistema iOS. ;or tanto2 depende de losinvestigadores en seg(ridad encontrar n(evas v(lnera)ilidades para aplicar (nm4todo y e-plotar di6erentes 6ormas de reali8ar (n Jailbreak o des)lo'(ear o crauearel passcode de iOS.

E-isten herramientas de (so comercial como se ha)la en este tra)a+o como 1S de

;ara)en ( O-igen Forensic S(ite. /a)e destacar '(e no siempre 6(nciona en todas las

%C


26/79

versiones de)ido a las constantes act(ali8aciones por parte de Apple. ;ara encontrarv(lnera)ilidades a cerca de iOS se p(ede cons(ltar en el National Instit(te o6 Standardand ?echnology. $$P.

-.9 'ail(rea).En iOS el acceso al dispositivo o al Sistema Operativo por parte del (s(ario está)lo'(eado. La instalación de las aplicaciones se )asa en la App Store de Apple. Sinem)argo2 com(nidades online reali8an est(dios para proveer de acceso 2oot en losdispositivos.

E-isten di6erentes ra8ones para (tili8ar Jailbreak 2 la principal ra8ón por parte de los(s(arios de o)tener acceso 2oot desde el dispositivo se )asa en inc(mplir loscontroles imp(estos por la App Store para las aplicaciones. Jailbreak 2 permite instalaraplicaciones no 6irmadas desde sitios no o6iciales como por e+emplo Cydia.

Sin em)argo2 reali8ar (n Jailbreak tiene gran incidencia en la seg(ridad deldispositivo2 para (n analista 6orense permite reali8ar la investigación con menordi6ic(ltad2 la escalada de privilegios permite el acceso directo a los datos '(e sealmacenan en la memoria del dispositivo.

-.9.% !i#os de 'ail(rea).

• *ntethered 'ail(rea).

Es el más deseado por los (s(arios pero tiene (na mayor di6ic(ltad deconseg(ir. Este desaparece c(ando el dispositivo se reinicia el sistema. Esto selogra (tili8ando dos t4cnicas la primera consiste en el (so de la imagen

modi6icada en el


27/79

proceso de


28/79

vasin /.

A6ecta a las versiones iOS .! hasta las .& )eta a e-cepción del Apple ?K. Btili8a lav(lnera)ilidad /KE%!$"$%0 $&P y /KE%!$"$%% $P.

2i,ura -.7: ;roceso


29/79

Oct()re del %!$C2 Apple en s( versión H.$ sol(ciona las v(lnera)ilidades '(e permiteelevar privilegios y e+ec(tar el código no o6icial con privilegios de /ernel.

;ara reali8ar esta pr(e)a de concepto se necesita tener el dispositivo en modo avión2desactivar find !y phone y conectar al ordenador.

1escargar y e+ec(tar como administrador la aplicación de ;ang(.

2i,ura -.H: ;roceso Jailbreak con Pangu.

Si el proceso de reali8ar el 'ap o directamente en el router cons(ltando la dirección asignada. Elnom)re de (s(ario por de6ecto es root y el pasordalpine

El comando (tili8ado es ssh rootTipdispositivoiOS

2i,ura -.I: /one-ión de dispositivos iOS por SS

E-isten herramientas como File8illa para esta)lecer la cone-ión por medio de entornográ6ico.

2i,ura -.%1: File8illa2 cone-ión por SS a de dispositivos iOS.

%H

mailto:root@ipdispositivoiOSmailto:root@ipdispositivoiOS


30/79

Apple no o6rece in6ormación de s(s dispositivos y sistemas2 p(es se rec(rre a lae-ploración del sistema de archivos mediante la cone-ión por S2 se p(edeespeci6icar (na lista de locali8aciones de inter4s en la investigación 6orense.

#Applications Sistema de aplicaciones.

#var#mo)ile#Applications Aplicaciones de ?erceros.

#private#var#mo)ile#Li)rary#Koicemail Koicemail.

#private#var#mo)ile#Li)rary#SMS Mensa+es de SMS.

#private#var#mo)ile#Media#1/MI Fotos.

#private#var#mo)ile#Media#Kideos Kideos

#private#var#mo)ile#Li)rary#AddressJoo.s'lited)

Jase de datos de contactos

2i,ura -.%%: File8illa2 locali8ación del demonio 6ind My phone.

-.5 Atacar la < de A##le.

El I1 de Apple es el nom)re de (s(ario para las actividades en iOS. La mayor3a de(s(arios no cierran las aplicaciones instaladas ni eliminan la cach4 en s(s dispositivos

-.5.% 6ulnerabilidad #or mensa&es en la #antalla.

El (s(ario p(ede con6ig(rar el sistema a (tili8ar de alertas para los mensa+es2 losestilos p(eden ser ning(no2 tiras o alertas. Bna v(lnera)ilidad conocida en lossistemas IOS es la alerta de los mensa+es de alertas por pantalla2 '(e permite ver losmensa+es reci)idos en la pantalla por cada (na de las aplicaciones. Si es lacon6ig(ración '(e tiene el (s(ario2 e-iste (na 6orma similar a la citada en

anteriormente 9e olvidado mi contrase7a:. Bna opción es enviar (n SMS al nDmero

0!


31/79

de tel46ono '(e se enviará (n mensa+e '(e será re6le+ado en la pantalla. ;ara esto esnecesario conocer el nDmero de tel46ono.

-.5.* 6ulnerabilidad #or a#licaciones abiertas.

Esta pr(e)a se reali8a en dispositivos '(e no (tili8an passcode2 pero es necesarioreali8ar el Jailbreak o 0ackup para la e-tracción 63sica o lógica de los datos. Los(s(arios tienen las aplicaciones de correo electrónico a)iertas para la cons(lta de s(smensa+es normalmente de Outlook o ?'ail.

;ara c(al'(ier modi6icación el sistema iOS pedirá la clave asociada a la c(enta2 seopta por la opción F1a olvidado su %d de Apple o la contrase*aG 2 a contin(ación seactiva la opción de enviar la contrase7a por correo electrónico2 la seg(nda opción es

por medio de (na preg(nta de seg(ridad. Se elige la primera y a(tomáticamenteenviará (na mensa+e a la c(enta de correo para reactivar la clave.

2i,ura -.%*: Resta)lecimiento de contrase7a m4todo 9a olvidado s( I1 de Apple:

Se procede a veri6icar el mensa+e '(e se reci)e por correo electrónico desde eldispositivo a investigar. 1icho correo electrónico especi6ica las instr(cciones paramodi6icar la contrase7a de I1 de Apple.

2i,ura -.%-: /orreo electrónico resta)lecer la de contrase7a IdApple.

Se modi6ica la n(eva contrase7a y a contin(ación se accede al dispositivo.

0$


32/79

2i,ura -.%9: /am)io de contrase7a para el Id de Apple.

Si el proceso se reali8a con 4-ito2 se hace (n )ac(p del sistema para s( posterioranálisis

0%


33/79

Ca#$tulo 9: ac;in, de dis#ositivos m'vilesAndroid.

9.% Ar?uitectura de los Sistemas Android.

En Android el 6l(+o de datos se )asa en las sig(ientes capas

• Aplications.

Es la capa s(perior de Android. Las aplicaciones instaladas de 6á)rica oaplicaciones personales gra)adas en el dispositivo se enc(entran en esta.

• 2rameFor; A#lications.

En esta capa se enc(entran los servicios y )i)liotecas '(e (tili8an lasaplicaciones para llamar a s(s 6(nciones.

• Android Runtime.

?odas las aplicaciones2 el código


34/79

9.* Sistema de Arc4ivos Android.

1esp(4s de dar (n en6o'(e general a la ar'(itect(ra de Android2 se entiende '(e es(n Sistema Operativo )asado Lin(-2 s( estr(ct(ra de sistema de archivos no es (nae-cepción. Android emplea varias particiones para organi8ar los archivoscarpetas en

el dispositivo cada (no con s( 6(ncionalidad. ;rincipalmente e-isten seis particiones2sin em)argo2 se de)e contar con la e-istencia de particiones adicionales '(e di6ierenentre (n modelo y otro.

0(oot. Arran'(e.

0system. El p(nto de monta+e es HdevH'tdH'tblock4 yaffs3, en HdevHblockHbootdeviceHbyna'eHsyste' para et@, 6ormatos de archivos '(e seemplean en la mayor3a de dispositivos. Incl(ye )i)liotecas del sitema yaplicaciones preinstaladas.

0recovery. Rec(peración

0data. Bser1ata. #dev#mtd#mt)locC para ya66s%2 en HdevHblockHbootdeviceHbyna'eHuserdata para et@. El sistema de archivos tiene el p(nto demonate+sistema de archivos2 montado en # data contiene las aplicaciones y losdatos instalados por el (s(ario2 incl(yendo los datos de personali8ación

0cache. /ach4. HdevH'tdH'tblock@ yaffs3, en HdevHblockHbootdeviceHbyna'eHcache. Se utili:a para al'acenar datos te'porales de cachI.

H'isc. Misceláneos.

Además2 se presenta la tar+eta S1 de particiones del sistema de archivos.

0sd card . El p(nto de monta+e HdevH'tdH'tblock@ yaffs3. Android %CS o laversión J0 (sa el directorio HdataH'edia para la memoria interna sd card2además (tili8a fuse para el monta+e del em(lador interno HdevHfuse para et@.

#sde-t.

Bna de las mDltiples alternativas para veri6icar el sistema de archivos es (tili8ar elSistema Operativo Santo( Lin(- para esta)lecer cone-ión por medio de Ad). %!P

2i,ura 9.*: /omando d6. Sistema de archivos Android dispositivo A'(ari(s EC "@

Nota el sistema de arran'(e y partición no se m(estra en la imagen ".%. Se p(ede

(tili8ar el comando mo(nt para veri6icar los sistemas mencionados.

0"


35/79

2i,ura 9.-: Res(ltado delcomando mo(nt.

9.- An8lisis de 6ulnerabilidad #ara Root en Android.

El nDcleo de Android se )asa en Lin(-2 para el analista 6orense es importante escalarprivilegios so)re todo c(ando se enc(entra con (n dispositivo con passcode. Se p(edeaplicar algDn m4todo como los descritos en el tra)a+o para llegar a o)tener dichaclave2 o a s( ve82 )(scar e intentar e-plotar algDn tipo de v(lnera)ilidad en el sistema.

9.-.%


36/79

2i,ura 9.9: ;a'(etes instalados en el dispositivo.

El comando app.package.info no'bredelpauete2 dev(elve in6ormación a cerca de laaplicación instalada. En la sig(iente imagen se o)tiene in6ormación a cerca delpa'(ete de Face)oo.

2i,ura 9.5: In6ormación so)re el pa'(ete Face)oo.

En el análisis 6orense se p(ede (tili8ar v(lnera)ilidades para llegar a la escala deprivilegios. 1ro8er permite instalar mód(los '(e permita investigar aspectosrelacionados con Root.

Instalaci1n de m1dulos para +oot.

M'dulo cmdClient.

El repositorio o6icial mód(lo dro8er está alo+ado +(nto al principal proyecto en @ith()%%P de !+dulos para dro:er. ;ara reali8ar )Ds'(eda de mód(los se p(ede (tili8ar elcomando 'odule. La pr(e)a de concepto se reali8a con mód(los para Root enAndroid.

El mód(lo a (tili8ar es el mód(lo F=ploit the setuidroot binary at Hsyste'HbinHc'dclient on certain devices to gain a root shell. %0P2 se procede a lainstalación con la e+ec(ción del comando

mod(le install cmdclient

Se e+ec(ta el mód(lo con

run eploit.root.c'dclient.

0&


37/79

2i,ura 9.7: JDs'(eda de mód(los Root. Instalación y e+ec(ción del mód(lo cmdclient

Si e-iste alg(na v(lnera)ilidad se p(ede escalar privilegios root y e+ec(tar runshell.star para entrar en modo Root del dispositivo.

En la sig(iente pr(e)a de concepto se (tili8a en mód(lo V?ESyncAgent F=ploit thesetuidroot binary at Hsyste'HbinHsyncKagent on certain L= devices to gain a rootshell.M3@N

2i,ura 9.0: Instalación y e+ec(ción del mód(lo V?ESyncAgent.

9.-.* ED#loit de la vulnerabilidad CV2#"32$"4$. %CP

Se descarga el archivo cubeKto-el. ;ara esta el archivo '(e contiene el código del

e-ploit en leng(a+e /UU es root.c2 se e+ec(ta el comandogcc no'bredelarchivo.c o no'bredeleploit lpthread.

2i,ura 9.H: /omando ,cc root.c o eD#loit l#t4read

/on el comando adb push eploit HdataHlocalHt'p y e+ec(tar con .#e-ploit

2i,ura 9.I: E+ec(ción del e-ploit en Android.

9.-.- !oFelroot.

S( creador aseg(ra '(e este e-ploit lograr conseg(ir privilegios de Root en todos los=ernels compilados antes de $& de


38/79

Aplicación '(e permite hacer 2oot a (n terminal Android2 siempre y c(ando elsistema Android est4 en la versión ".%.% y C.$

2i,ura 9.%%: Instalación de =ingoRoot.

9.*.5 Su#er+neClic.

Es (na herramienta '(e a(tomati8a el proceso de instalación de los eploits :erg2ush%P o psneuter %GPen Android.

;ara (tili8ar esta herramienta2 se e+ec(ta como administrador el archivo .e-e.

2i,ura 9.%*: ;antalla de inicio S(perOne/lic.

Se conecta el dispositivo por medio de $S0, a contin(ación se presiona en el )otón a2oot o Shell 2oot, y la herramienta empe8ará a (tili8ar los eploits para la escala deprivilegios.

2i,ura 9.%- E+ec(ción de Root en (n dispositivo Android.

9.*.7 Smart P4one 2las4!ool.

;ara esta pr(e)a de concepto se (tili8a (n tel46ono 07 @?. ay '(e tener en c(enta'(e es (n proceso '(e conlleva peligro y p(ede perderse datos del terminal. ;ara esteproceso se sig(en las recomendaciones descritas en el v3deo de la página o6icial de0 %HP2 pero con alg(nas modi6icaciones.

• 1escargar el fir'-are, drivers y herramientas necesarias desde la página o6icialde 0. 0!P

0G


39/79

• E+ec(tar como administrador la herramienta 6lashool. El móvil de)e estarapagado2 sin conectar al ordenador.

2i,ura 9.%9: Flash ?ool 1onload Only2 Scatterloading2 Recovery.

• Se p(lsa Scatterloading2 seleccionando el archivo!7QEKAndroidKscatterKe''c.tt '(e se enc(entra en el 6irmare2 modoo-nload Only y 2ecovery.

• A contin(ación p(lsar o-nload y2 conectar el dispositivo al ordenador.

2i,ura 9.%5: Flash ?ool 1onload Recovery.

• Ingresar al modo 2ecovery '(e se instaló2 p(lsando el )otón de encendido#Po-er) y el )otón vol(men #R) hasta '(e apare8ca las letras )'2 entonces sede+a de presionar.

• Seleccionar Phil: Settings 2eroot Syste' #superSu) D es D Apply SuperS$.

• Encender el tel46ono2 descargar e instalar S(perSB. A contin(ación reiniciar eldispositivo.

9.*.0 Modi)icaci'n del arc4ivo de)ault.#ro#

;ara o)tener privilegios root2 se p(ede modi6icar el archivo default.prop. El primerpaso es e-traer el archivo al ordenador con el comando adb pull default.prop, a

continuaci+n 'odificar las instrucciones.

0H


40/79

2i,ura 9.%7: E-tracción del archivo de6a(lt.prop.

2i,ura 9.%0: Archivo de con6ig(ración de6a(lt.prop.

Se cam)ia las l3neas de con6ig(ración por las sig(ientero.sec(reQ$

ro.de)(gga)leQoEn el dispositivo se e+ec(ta el m4todo fastboot, desde ad) con comando adb rebootbootloader 2 a contin(ación se copia el archivo modi6icado2

2i,ura 9.%H: /on6ig(ración de6a(lt.prop para o)tener privilegios root.

9.9 Ata?ue al #asscode de Android.

9.9.%


41/79

Ca#$tulo 5: An8lisis 2orense en dis#ositivos i+S.

5.% Ad?uisici'n de la evidencia.

Al aplicar el protocolo descrito2 la 6ase de ad'(isición o)tiene (na copia de losdispositivos para el análisis2 reali8ar (n )ac(p de iOS es (na de las me+oresalternativas como recomendación se p(ede (tili8ar iunes para !AC y 5indo-s2


42/79

2i,ura 5.*: /opia herramienta dd en (n dispositivo iOS.

/on la imagen '(e se o)tiene y el (so de herramientas comerciales o de open so(rcese inicia el proceso de investigación. En el pró-imo cap3t(lo se est(dian ciertas pa(tas

para el análisis de imágenes con la herramienta Autopsy.

5.%.* Co#ia de Se,uridad con i!unes.

iunes es (n reprod(ctor y tienda de contenido m(ltimedia desarrollado por Apple2 se(tili8a para sincroni8ar i?(nes con i;hones2 i;ads2 i;ods. Las plata6ormas compati)lescon iunes son !ac y 5indo-s.

Además2 iunes emplea (tilidades para reali8ar copias de seg(ridad de 6orma local oen la n()e act(ali8ar las n(evas versiones de los sistemas Apple. ;ara la copia deseg(ridad de (n sistema iOS se recomienda (tili8ar iunes.

2i,ura 5.-: Jac(p local con i?(nes.

Estructura de un ac;u# de +S.

Los 6icheros '(e se almacenan en la copia de seg(ridad se mantienen intactos2 ladi6erencia radica en '(e i?(nes rempla8a el nom)re real del archivo por (n valorhe-adecimal '(e corresponde a (n ash SA$ del nom)re del dominio al '(epertenece cada 6ichero. ;ero2 e-isten otros archivos con in6ormación general delsistema2 '(e está sin ci6rar y es de m(cha (tilidad.

%nfo.Plist . Fichero '(e contiene caracter3sticas del terminal como el modelo2 IMEI2aplicaciones instaladas2 6echa de creación del )ac(p2 nDmero de serie.

!anifest.Plist . Archivo con detalles de las r(tas de las aplicaciones2 el nDmero deserie2 el tipo de dispositivo2 BBI12 e in6ormación a cerca de la seg(ridad.

Status.list . In6ormación de la copia como la hora al '(e se reali8ó2 si la copia ese6ect(ó de 6orma completa 2 terminó de 6orma satis6actoria2 el BBI1.

"%


43/79

2i,ura 5.9: Estr(ct(ra del backup de iOS.

Ubicaci'n de la co#ia de se,uridad.

Sistema +#erativo PA!.

5indos /WXOME;A?XWApplicationW1ataWApple/omp(terWMo)ileSyncWJac(pWYB1I1Z.

5indos G2 $! /WBsersWBs(arioWApp1ataWRoamingWApple/omp(terWMo)ileSyncWJac(pWYB1I1Z.

Mac OS [#Li)rary#Aplication S(pport#Mo)ileSync#Jac(p#YB1I1Z.

5.* Iphone Analy:er J-9K.

Es (na herramienta de open so(rce '(e tra)a+a principalmente con las copias deseg(ridad '(e reali8a iunes o so6tare de terceros2 la inter6a8 grá6ica 6ac(lta lainvestigación en (n 6ormato legi)le. %phone Analy:er es m(ltiplata6orma !AC,


44/79

La pesta7a 0oor'arks es la (tilidad '(e proporciona (na inter6a8 con relativa6acilidad para anali8ar archivos de gran importancia en la investigación como p(edenser la li)reta de direcciones con la lista de todos los contactos2 el mapa de ()icacióny los ?S! recientes2 el acceso 5%6% p(ntos '(e proporcionan (na historia )ásica de

geolocali:acion2 los mensa+es de correo2 mensa+es de te-to2 llamadas de vo8entrantessalientes2 las imágenes almacenadas.

2i,ura 5.7: %phone Analy:er estr(ct(ra en ár)ol de la copia de seg(ridad de iOS.

;roporciona en s( inter6a8 el sistema de archivos en 6orma de ár)ol2 de esta manerase consig(e seleccionar los directorios o a)rir archivos de 6orma int(itiva. Losprincipales directorios en iOS son doc(ments2 li)rary2 media2 system con6ig(ration2sin em)argo los archivos de mayor inter4s almacenan in6ormación en las )ases dedatos de SLite '(e (tili8a como parte integral de la aplicación.

2i,ura 5.0: I phone Analy:er análisis de mensa+es.

/omo desventa+a se p(ede decir '(e esta aplicación carece de (tilidades paragenerar in6ormes2 el analista reali8a el tra)a+o man(almente lo '(e p(ede generar

retrasos en la investigación.

""


45/79

5.9


46/79

1S presenta (na estr(ct(ra en 6orma de ár)ol para el recorrido de archivos o carpetas2lo '(e 6acilita al analista la investigación2 además permite generar a(tomáticamentereportes de alta calidad.

2i,ura 5.%%: @enerar in6ormes con 1S.

En el sig(iente cap3t(lo se est(dia el (so de las herramientas A(topsy y FO/A2 '(etam)i4n son de (tilidad en sistemas iOS.

"&


47/79

Ca#$tulo 7: An8lisis 2orense en dis#ositivosAndroid.

7.% Ad?uisi'n de la evidencia.

7.%.% Co#ia bit a bit

En los sistemas Android2 es comDn encontrar los p(ntos de monta+e ha)it(ales a los)lo'(es ! 0CPMemory Technology Devices). Los p(ntos de monta+e para system2 data2cach4 están asociados a distintos mtd)los en #devHblock . Ber figura @.3 y @.4.

2i,ura 7.%: /omando d6 en Android.

;or tanto2 para reali8ar la copia )it a )it como primer paso es veri6icar '(e parte delsistema se va a reali8ar la copia2 se o)tiene valiosa in6ormación de system2 data2cach4 y sd card. /on la herramienta dd se e+ec(ta el comando

ifUHdevHblockHbootdeviceHbyna'eHsyste' ofUHsdcardHsyste'.dd bsU8!

1e la misma manera se reali8a la copia de data, cachI y sd card2 con el comando p(lldesde el ordenador se e-trae la imagen para s( posterior análisis.

ad) p(ll HsdcardHsyste'.dd

2i,ura 7.*: /opia bit a bit syste'2 e-tracción de la imagen.

Se calc(la el hash mdC para el archivo desde lin(- con el comando'd7su' syste'.dd

Wa8d7WQ88W7E3fe7ead8d3EE83b syste'.dd

2i,ura 7.-: /álc(lo de hash mdC archivo system.dd.

7.* A2=o,ical +SE.

"


48/79

;ermite al e-aminador e-traer datos de gran importancia desde (n dispositivoAndroid los datos '(e se p(eden e-traer son logs de llamadas2 nDmeros de tel46onosde contactos2 mensa+es MMS2 SMS2 MMS;arts

;ara reali8ar la pr(e)a de concepto en Android2 BSJ de)(gging de)e estar activado.

2i,ura 7.9: AF Logical OSE en Santo(.

El comando ad) devices2 veri6ica si el sistema reconoce el dispositivo2 en casocontrario se procede a instalarlos drivers de ac(erdo al dispositivo a investigar.

2i,ura 7.9: /omando ad) devices.

A contin(ación2 se e-trae la in6ormación con el comando a6logicalose2 se aprecia'(e la herramienta inicia la e-tracción de los datos2 la carpeta destino es#root#AFLogical Ose y los archivos tienen el 6ormato /KS.

2i,ura 7.5: E-tracción de in6ormación de (n dispositivo Androir con a6logicalose.

/on esta in6ormación2 el analista 6orense procede a investigar e-aminando los datos

e-ta3dos.

2i,ura 7.7: In6ormación e-tra3da con a6logicalose.

La sig(iente ta)la sig(iente especi6ica la in6ormación '(e se o)tiene en cada (no delos procedentes del dispositivo.

"G


49/79

/ontacts ;hones.csv /ontactos almacenados.

/allLog /alls.csv Llamadas e6ect(adasreci)idas2 6echa y tiempo de d(ración.

MMS.csv Mensa+e m(ltimedia.

SMS.csv Mensa+es de te-to.

2i,ura 7.0: In6ormación del archivo in6o.-ml

2i,ura 7.H: In6ormación del archivo SMS.csv.

;ara 6inali8ar se desinstala la aplicación con el comando

adb uninstall co'.viaforensics.android.aflogicalKose

8.$ Autopsy.

Es (na herramienta de open so(rce para Análisis Forense 1igital2 dise7ado para (n(so 6ácil e int(itivo2 permite anali8ar de manera e6iciente discos d(ros o sistemas dearchivos de s'artphones. ;osee (na ar'(itect(ra pl(gin '(e permite encontrarmód(los adicionales o desarrollar mód(los personali8ados en Java o Python.

/ali


50/79

2i,ura 7.I: A(topsy en =ali Lin(-.

La inter6a8 de Autopsy en


51/79

A más2 la versión act(ali8ada de A(topsy #version 4 se e+ec(ta )a+o 5indos2 parasistemas operativos Lin(- y Os e-iste la #version 32 perto tiene como desventa+a '(eno soporta alg(nos sistemas de archivos.

2i,ura 7.%*: N(evo caso A(topsy en 5indos.

;ara iniciar la investigación se crear (n n(evo caso2 con datos de inter4s comonDmero2 investigador2 se agrega la imagen de la copia )it )it y de 6orma a(tomática

A(topsy calc(la los hash de los doc(mentos.

2i,ura 7.%-: Imágen system.dd a investigar.

A(topsy presenta (na estr(ct(ra en 6orma de ár)ol '(e permite navegar por losdirectorios y carpetas2 a s( ve82 permite el análisis de metadatos y la rec(peración dearchivos )orrados indispensa)les en (n análisis.

2i,ura 7.%9: Rec(peración de archivos eliminados.

C$


52/79

8.3 Andriller .0&P

Es (na aplicación de (so comercial '(e contiene (na serie de herramientas 6orensespara dispositivos móviles Android. Reali8a lect(ra2 análisis 6orense2 ad'(isición nodestr(ctiva de los dispositivos2 además2 posee otras caracter3sticas2 como

Locscreen para cra'(eo para el patrón passcode, el c+digo P%> o contrase*a)"decodi6icadores personali8ados para datos de aplicaciones de Android y iOS2 )asesde datos para las com(nicaciones de decodi6icación.

2i,ura 7.%5: E-tracción de datos de (n dispositivo Android.

Andriller genera in6ormes en 6ormato #.lsX 1!< y =cel), con respecto a la

in6ormación del dispositivo2 análisis de contactos2 mensa+es de com(nicación2geolocali8ación de datos2 registros de eventos a plicaciones de 2edes Sociales,>avegadores, Calendario. en con+(nto con las )ase de datos de las aplicacionesdesde las c(ales se o)tiene (na cantidad in6ormación Dtil en la investigación.

Las )ases de datos de las aplicaciones de mensa+er3a 5hatsapp2 Face)oo2 ?itter2etc.2 son de gran importancia para veri6icar si e-iste algDn delito por parte del(s(ario2 Andriller permite o)tener la in6ormación de manera 6ácil e int(itiva..

2i,ura 7.%7: In6orme de Andriller a cerca de los mensa+es de 5hatsapp.

C%


53/79

7.5 An8lisis 2orense de ase de


54/79

;ara administrar )ases de datos S


55/79

/(ando se rec(pera la in6ormación de la )ase de datos2 el analista p(ede tra)a+ar enla investigación.

7.7 An8lisis de Metadatos.

Los metadatos es in6ormación relativa a 6icheros2 como el a(tor2 6echa de creación omodi6icación2 in6ormación oc(lta etc. En los dispositivos móviles es de gran (tilidadpara el análisis de doc(mentos especialmente 6otogra63as2 se p(ede o)tener marca ymodelo de dispositivos2 resol(ción2 coordenadas @;S etc.

7.7.% 2+CA.

=leven Paths de6ine 6OCA 0HP 6ingerprinting Organi:ations -ith Collected Archives)como (na herramienta '(e se (tili8a principalmente para encontrar 'etadatos ein6ormación oc(lta en los doc(mentos. Los doc(mentos '(e esta herramienta escapa8 de anali8ar son m(y variados2 los más com(nes los archivos de !icrosoft Office,Open Office, o 6icheros P6 2 a(n'(e tam)i4n anali8a 6icheros de Adobe %nesign, o

sv g. E-iste la posi)ilidad de a7adir 6icheros locales para e-traer la in6ormación =Y%6 dearchivos grá6icos. /on todos los datos e-tra3dos de todos los 6icheros2 6OCA va a (nirla in6ormación2 tratando de reconocer '(4 doc(mentos han sido creados desde elmismo e'(ipo2 '(4 servidores y clientes se p(eden in6erir de ellos.

;ara anali8ar los archivos )asta con arrastrar hacia la herramienta 6OCA y e-traertodos todos los 'etadatos.

2i,ura 7.*1: E-tracción de los 'etadatos con 6OCA.

A contin(ación se procede al análisis de de cada (no de los archivos.

2i,ura 7.*1: Metadatos de (na imagen.

CC


56/79

Ca#$tulo 0: n)orme Pericial.

Los Analistas Forenses 1igitales son personas a+enas a (n proceso +(dicial2 poseen

conocimientos cient36icos '(e les 6ac(lta para reali8ar (n in6orme como medio depr(e)a. Los Peritos 6orenses tienen '(e ser designados previamente para 6ormarparte de (na investigación digital.

Se p(ede esta)lecer alg(nos criterios para reali8ar in6ormes periciales"!P

+r,anizar la in)ormaci'n

/on la in6ormación ad'(irida en las 6ases anteriores se identi6ica los datos másimportantes2 '(e permita llegar a determinar concl(siones.

1esarrollo del in6orme

Pro#'sito.

1e6inir el o)+etivo de la investigación el personal a '(i4n va dirigido.

Autor.

1atos del A(tores2 e in6ormación de contacto.

ncidente.

1emostrar los s(cesos oc(rridos de 6orma clara pero 6ormal2 sin (tili8ar (n

leng(a+e t4cnico para '(e el personal sin conocimientos t4cnicos +(eces2

a)ogados2 +(rado2 6iscales entienda cómo2 c(ándo y el impacto de los s(cesosoc(rridos.

Pruebas.

Especi6icación de las evidencias2 la 6orma en '(e se ad'(irió2 el personal '(e

inca(tó las evidencias.


57/79

Conclusiones.

En el Análisis Forense 1igital no se p(ede esta)lecer (na metodolog3a estricta a

seg(ir2 esto conlleva a '(e cada Investigador (tilice t4cnicas y ha)ilidades '(e se

p(ede ad'(irir en )ase a la e-periencia. Sin em)argo2 esta investigación pretende dar

alg(nas pa(tas '(e p(eden servir de g(3a para el analista '(e desea reali8ar tra)a+os

6orenses2 cada (na de las 6ases descritas no solo se p(eden (tili8ar para dispositivos

móviles sino para c(al'(ier dispositivo digital.


58/79

!raba&o 2uturo.

La aplicación de t4cnicas cient36icas permiten el análisis e-ha(stivo de (n dispositivo

con contenido digital2 además el analista de)e tener conocimientos avan8ados en en

c(ánto a la ar'(itect(ra del sistema en con+(nto con t4cnicas de a(ditor3a y seg(ridad

in6ormática.

En la act(alidad e-isten millones de dispositivos y sistemas con ar'(itect(ras

di6erentes2 por tanto2 (n tra)a+o 6(t(ro es la investigación en otros dispositivos

digitales '(e permita dar (n en6o'(e a cerca de m4todos a (tili8ar.

CG


59/79

Bibliografía %: Norma: S+/EC *01-0> In6ormation technology ] Sec(rity techni'(es ]@(idelines 6or identi6ication2 collection2 ac'(isition2 and preservation o6 digitalevidence2 %!$%2 En l3neaP2 http##.iso.org#iso#home#store#catalog(e^tc#catalog(e^detail.htm_

csn(m)erQ""0G$.*: R2C: -**0> @(idelines 6or Evidence /ollection and Archiving2 %!!%2 En l3neaPhttp##.r6c)ase.org#t-t#r6c0%%.t-t.

-: Norma: UNE 0%515> ?ecnolog3as de la In6ormación ?I. Sistema de @estión deEvidencias Electrónicas S@EE. ;arte $ Koca)(lario y principios generales2 %!$02 Enl3neaP http##.aenor.es#aenor#inicio#home#home.asp. 9: Norma: UNE 0%517> ?ecnolog3as de la In6ormación ?I. Metodolog3a para elanálisis 6orense de las evidencias electrónicas2 %!$02 En l3neaPhttp##.aenor.es#aenor#inicio#home#home.asp.

5: Universal nte,rated Circuit Card2 En l3neaP https##es.iipedia.org#ii#BI//.7: 3E! ARRA 2 En l3neaP https##es.iipedia.org#ii#@ateârray.

0: +Di,en 2orensic2 O-igen Forensic S(ite2 En l3neaP http##.o-ygen6orensic.com#es#H: Paraben2 1S2 En l3neaP https##.para)en.com#devicesei8(re.html.I: 3U A.O @at4erine> 3.O Mosson> E.O laze> Matt.O Smit4> B . Sm(dge Attacson Smartphone ?o(ch Screens2 En l3neaPhttps##.(seni-.org#legacy#events#oot$!#tech#6(ll^papers#Aviv.pd6.

%%: National nstitute o) Standars and !ec4nolo,2 National K(lnera)ility1ata)ase2 En l3neaP https##e).nvd.nist.gov#vie#v(ln#search.%*: National nstitute o) Standars and !ec4nolo,2 /omp(ter Forensic ?ool/atalog2 En l3neaP http##toolcatalog.nist.gov#inde-.php.

%-: National nstitute o) Standars and !ec4nolo, 2 K(lnera)ility S(mmary 6or/KE%!$"""C$2 %!$"2 En l3neaP https##e).nvd.nist.gov#vie#v(ln#detail_v(lnIdQ/KE%!$"""C$.%9: National nstitute o) Standars and !ec4nolo, 2 K(lnera)ility S(mmary 6or/KE%!$0!HH2 %!$"2 En l3neaP https##e).nvd.nist.gov#vie#v(ln#detail_v(lnIdQ/KE%!$0!HH.%5: National nstitute o) Standars and !ec4nolo, 2 K(lnera)ility S(mmary 6or/KE%!$0!HG$2 %!$02 En l3neaP https##e).nvd.nist.gov#vie#v(ln#detail_v(lnIdQ/KE%!$0!HG$.%7: National nstitute o) Standars and !ec4nolo,> K(lnera)ility S(mmary 6or/KE%!$"$%02 %!$"2 En l3neaP https##e).nvd.nist.gov#vie#v(ln#detail_v(lnIdQ/KE%!$"$%0.%0: National nstitute o) Standars and !ec4nolo, 2 K(lnera)ility S(mmary 6or/KE%!$"$%%2 %!$"2 En l3neaP https##e).nvd.nist.gov#vie#v(ln#detail_v(lnIdQ/KE%!$"$%%.%H: !ai3 6*.9.9 2 En l3neaP http##.taig.com#en#.

%I: Pan,u> *1%52En l3neaP http##en.pang(.io#.*1: Android dro8er Bser @(ide2 %!$C2 En l3neaP https##la)s.mrin6osec(rity.com#system#assets#C!%#original#mri^dro8er(sersg(ide^%!$0!%C.pd6.**: M'dulos #ara drozer2 En l3neaP https##gith().com#mrla)s#dro8ermod(les*-:radberr> !. En l3neaP https##gith().com#mrla)s#dro8ermod(les#)lo)#master#metall!id#root#cmdclient.py.

*9: radberr> O Erasmus> !. È-ploit the set(idroot )inary at#system#)in#syncâgent on certain V?E devices to gain a root shell2 En l3neaPhttps##gith().com#mrla)s#dro8ermod(les#)lo)#master#metall!id#root#8tesyncagent.py

*5: National nstitute o) Standars and !ec4nolo,2 K(lnera)ilidad /KE%!$"0$C02 %!$"2 En l3neaP https##gith().com#timr#/KE%!$"0$C0.*7: !oFelRoot> En l3neaP https##toelroot.com#

CH

http://www.aenor.es/aenor/inicio/home/home.asphttp://www.aenor.es/aenor/inicio/home/home.asphttp://www.aenor.es/aenor/inicio/home/home.asp


60/79

*0: Bos4ua> . E-ploited )y reriting a Frameor/ommand o)+ect maing ther(n/ommand point to o(r 6irst RO; gadge2 En l3neaPhttps##gith().com#revol(tionary#8ergR(sh#)lo)#master#8ergR(sh.c

*H: Psneuter t4e Android #ro#ert service2 En l3neaP https##gith().com#tm8t#g%rootmod#tree#master#scotty%#psne(ter.

*I: L!62 Reinstalación del 6irmare para smartphone )' A'(aris # A'(aris E2 Enl3neaP https##.yo(t()e.com#atch_vQ\Id(1aImdA.-1: L2 Mi)'yyo1escargas2 En l3neaP http##.mi)'yyo.com#descargas#-%: ACCES En l3neaP2 https##.)lac)agtech.com#so6tareprod(cts#)laclight)laclight.html.

--: Com#elson2 MOJILedit2 En l3nea> http##.mo)iledit.com#6orensic-9: iP4one Analzer2 En l3neaP2 http##.cryptic)it.com#8en#prod(cts#iphoneanaly8er.-5: Memor !ec4nolo,


61/79

AneDos.

%: nstalaci'n de


62/79

2i,ura H.%.-: Instalación de 1ro8er.

;ara veri6icar la instalación2 en la terminal se e+ec(ta dro8er

2i,ura H.%.9: /omando '(e veri6ica la instalación de 1ro8er.

nstalaci'n del A,ente


63/79

Si se desea compilar estos e-ploit directament2 se p(ede reali8ar desde Santo( conla (tili8ación de ad)2compilando los archivos.c2 y a contin(ación e+ec(tar los e-ploits.

@erg+ush.gcc 8ergR(sh.c o 8ergR(sh ldiscon6ig lc(tils

ad) shell #data#local#tmp# 8ergR(sh

#data#local#tmp# .#8ergR(sh

Psneuter.

gcc psne(ter.c o psne(ter

ad) shell #data#local#tmp#psne(ter

ad) p(sh psne(ter #data#local#tmp

sleep C

ad) shell

&0


64/79

$! I?>O+& 6+ICIA=.

DELITOS CONTRA LA SALUD DE LAS PERSONAS

A?%C?%S.

El Juzgado de Instrucción nº 4 de Tarragona instruy ó Diligencias Previas con el nº 849/2015 y

una vez conclusas las remitió a la Audiencia Provincial de Tarragona, Sección Sé ptima, que con

fecha 01 de octubre de 2015, dictó orden de investigación por denuncias por fuertes olores que

induce a una supuesta plantación y trá fico de estupefacientes en el Piso ubicado en la CALLE

XXXXX de Salou: " Se declara probado que MARCO, mayor de edad y sin antecedentes penales ,

viven en la CALLE XXXXX , NUM XX de la localidad de Salou, portal en el que recaí an sospechas

que podí an existir personas dedicadas a la plantación y trá fico de sustancias estupefacientes,

por lo que autorizada una entrada y registro por el Juzgado de Instrucción, el dí a 10 de octubre

de 2015. La Policí a Local de Salou y Mossos d'Esquadra proceden el allanamiento del

domicilio, y a la detención de Marco y Francisco, en el domicilio no se encontró ningún indicio

de plantación o material para un supuesto tr

á fico de estupefacientes, sin embargo, se

intervienen dos dispositivos mó viles para la investigación de supuestos delitos. El primer

telé fono BQ B5 4G y el segundo un dispositivo Iphone 6 que se introducen en Cajas Faraday y

se entrega el Juzgado de Instrucción de Tarragona para su análisis.

A= '*@GAO I?S%+*CCIO? ?º 3 %A++AGO?A.

ENRIQUE RODRIGUEZ FIGUEROLA , abogado, con despacho profesional en 43480 Tarragona, C/

XXXXXX, telé fono 97.XXXX, en defensa y representación de don MARCO XXXXX -FRANCISCO

XXXXX, ante el Juzgado comparezco y DIGO:

– PRIMERO.- En fecha 01 de noviembre de 2015, cuando mi representado se encontraba en su

domicilio sufrió un allanamiento, le registraron sus pertenencias sin motivo alguno, sin

encontrarse ninguna plantación ni material que atente contra la salud.

– SEGUNDO.- El Control, registro y cacheo efectuado no fueron legales. Las presuntas sustancias

estupefacientes no existen en el domicilio ni en ningún lugar í ntimo o de mi representado.

&"


65/79

– TERCERA.- Si de otra forma se interpreta el artí culo 25.1 de la ley 1/92, quiere decir que el

legislador ha promulgado una Norma que atenta a la libertad, justicia, igualdad, es arbitraria,

deja de promover las condiciones para que la libertad y la igualdad del individuo sean reales y

efectivas, ha vulnerado el derecho al libre desarrollo de la personalidad, la dignidad, los

derechos inviolables que le son inherentes, incurran en discriminación por razón de sus gustos o

circunstancias personales sin hacer daño a nadie, atenten a su libertad ideoló gica, de expresión,

al derecho a la intimidad, a la educación y a la salud.

– CUARTA.- Articulo 24.2 de la Constitución Española, que establece la presunción de inocencia.

Siendo, conforme reiterada jurisprudencia, en el ámbito sancionador administrativo, estando

tambié n establecido en el artí culo 137.1 de la Ley 30/92 de Ré gimen Jurí dico de las

Administraciones Públicas y procedimiento Administrativo Común. Solicito el Análisis Forense

Digital de los dispositivos incautados para descartar cualquier indicio de trá fico deestupefacientes.

SOLICITO AL JUZGADO, admita este escrito, confiera plazo para el apoderamiento apud acta, reclame

el expediente y dicte sentencia en su d í a estimatoria de la presente demanda, anulando la resolución

recaí da, con expresa condena en costas.

El Juzgado de Instrucción nº 4 de Tarragona admite a trámite el escrito formulado por ENRIQUE

RODRIGUEZ FIGUEROLA. En el plazo de 5 dí as se comunica a Marco Antonio Alvarez Murillo la

designación de Perito informático titular y se le requiere para que en el plazo de 15 dí as manifieste si

acepta el cargo.

Marco Antonio Alvarez Murillo acepta el nombramiento como perito informático hará en la forma que

considere oportuno manifestación mediante juramento o promesa según ordena el apartado 2 del

artí culo 335-342.1.

&C


66/79

N2+RME PERCA=


67/79

Sumario del incidente.

• En la entrevista '(e se reali8a al Sr. Francisco el %! de Oct()re del %!$C2 se

preg(nta a cerca del código de des)lo'(eo de s( dispositivo2 s( resp(esta es

9no e-iste ningDn sistema de )lo'(eo en el dispositivo:.

• La copia de seg(ridad se reali8a con la aplicación de i?(nes.

• Se inicia la investigación e-ha(stiva de los doc(mentos y aplicaciones

instaladas en el dispositivo para veri6icar s(p(estos delitos.

• Las aplicaciones de mensa+er3a instaladas en el dispositivo son 6acebook 2

!essenger, 5hatsapp, Skype. Los mensa+es enviadosreci)idos2 imágenes

geolocali:aci+n en dichas aplicaciones as3 como S!S !!S p(eden esclarecer al

e-istencia de algDn delito.• Si e-isten mensa+es '(e comprometen a otros individ(os2 se anali8a en la lista

de contactos a los invol(crados a contin(ación2 se reali8a )Ds'(edas en

internet siendo la 6(ente principal de in6ormación las redes sociales2 la 6inalidad

es o)tener in6ormación de las personas invol(cradas y poner en conocimiento

+(dicial.

• Se rec(peran las imágenes tomadas con el dispositivo as3 como las '(e se ha

reci)ido en redes sociales o mensa+er3a. 1ichas imágenes p(eden ser de

plantaciones2 la)oratorios clandestinos2 geolocali8ación o llevar in6ormación

oc(lta para la com(nicación entre individ(os.

• El historial de navegación p(ede aportar in6ormación a cerca de c(idados de

plantaciones ilegales y esclarecer si se )(sca 6ormas de tratamiento de

est(pe6acientes.

Pruebas.

Los Mossos dbEs'(adra inca(taron (n dispositivo móvil de propiedad del Sr Francisco

las sig(ientes caracter3sticas.;rogram ?imestamp $$#$C#%!$C %%"0 AM

Man(6act(rer Apple

1evice model i;hone

J(ild Kersion $%

1evice Name i;hone %

I//I1 GH

IMEI 0C

&


68/79

Last Jac(p 1ate $$#G#%!$C !00H$" AM B?/

;hone N(m)er %!$&&


69/79

La c(enta de correo '(e (tili8a el dispositivo como la I1 de Apple esThotmail.com

Mensa&es.

S!S.

Se anali8an los mensa+es2 en res(men los temas '(e se tratan es a cerca de seg(ros2

compra de alimentos2 sal(dos entre contactos2 6Dt)ol2 in6ormación a cerca de empleo.

A más2 los mensa+es '(e env3a en s( mayor3a proceden de la ci(dad de =erny

&H


70/79

istorial de Nave,aci'n en Sa)ari.

El historial proporciona (na visión de los temas de inter4s '(e se )(sca en elpospositivo2 en res(men son eliminatorias s(damericanas2 compras online2in6ormación a cerca de dispositivos2 in6ormación 6amiliar2 clima2 deportes en general.

Mensa&es #or 4asta##.

La )ase de datos de 5hatsApp aporta mensa+es y 6otogra63as2 la imágenes se )asan

en deportes2 rivalidad entre e'(ipos de 6Dt)ol de Ec(ador2 Espa7a e Inglaterra2 citas

personas2 deportes2 via+es2 est(dios2 salidas con amigos2 re(niones la)orales2

mensa+es 6amiliares.

Mensa&es #or 2aceboo; o Messen,er S;#e.

Los mensa+es '(e se intercam)ian se aprecia '(e son con 6amiliares y amigos2 en las

6otogra63as de per6il de los contactos en la mayor3a de casos se enc(entran ni7os con

!


71/79

ad(ltos2 lo '(e hace pensar '(e son 6amiliares. Se tratan temas de sal(dos2

)ienestar2 citas o planes. Los principales contactos son personas '(e viven en

Ec(ador2 Italia2 Espa7a y los EEBB.

m8,enes

Las imágenes o)tenidas son principalmente personas ad(ltas con ni7os

aparentemente son s(s hi+os en )ase a las m(estras de a6ecto y repetición en la

mayor3a de 6otogra63as.

Resultados Conclusiones.

1esp(4s de (n análisis detallado de la evidencia digital2 en con+(nto con la aplicaciónm4todos cient36icos para el Análisis Forense en dispositivos móviles se o)tienen los

sig(ientes res(ltados

• No e-iste ningDn tipo de com(nicación oral o escrita a cerca de (n posi)le

trá6ico de est(pe6acientes.

• El historial de navegación no constata )Ds'(edas a cerca de c(idado y

tratamiento de est(pe6acientes plantaciones2 6ertili8antes2 m4todos de c(ltivo2

p(ri6icación etc.2 '(e determinen algDn inter4s para o)tener in6ormación y (so

para 6ines delictivos.

• Las imágenes '(e se anali8aron ind(cen a ser material de tipo personal

6amiliar sin contenido oc(lto '(e proporcione algDn dato a cerca de (n posi)le

trá6ico de est(pe6acientes. Además2 no se enc(entra archivos con contenido de

la)oratorios clandestinos o m4todos de alteración de material il3cito.

$


72/79

• Los archivos )orrados '(e se rec(peraron2 no contienen in6ormación '(e

prom(eva inter4s en los temas relacionados con los incisos anteriores2

• No se encontró archivos protegidos con (n sistema de ci6rado o protegido con

algDn sistema de seg(ridad.

• /on la cookie de la aplicación O(tloo se p(ede acceder a la c(enta de correo

de hotmail '(e tiene sincroni8ada.

• SegDn el nDmero de tel46ono2 la geolocali:aci+n y los mensa+es '(e se veri6ica

con s( se p(ede concl(ir '(e s( dirección ha)it(al se enc(entra en la ci(dad

=erny.

En conclusi'n:

Se concl(ye '(e el Sr Francisco2 tiene s( domicilio ha)it(al en la /i(dad de =erny

Ne


73/79

N2+RME PERCA=


74/79

Email malvare8m(T(oc.ed(

Notas Reporte ;ericial ?ra)a+o de Fin de @rado

Sumario del incidente

• En la entrevista '(e se reali8a al Sr. Marco el %! de Oct()re del %!$C2 se le

preg(nta a cerca del código de des)lo'(eo de s( dispositivo 9negándose por

completo a la resp(esta:.

• Se procede a des)lo'(ear el dispositivo con t4cnicas digitales y herramientas

6orenses '(e permiten escalar privilegios para llevar a ca)o la copia intacta

del dispositivo.

• Se reali8a (na investigación e-ha(stiva de los doc(mentos y aplicaciones

instaladas en el dispositivo para veri6icar s(p(estos delitos.

• Las aplicaciones de mensa+er3a instaladas en el dispositivo son Face)oo2

?itter2 Messenger2 5hatsapp2 ?ango. En los mensa+es enviadosreci)idos2

imágenes2 geolocali8ación en dichas aplicaciones2 as3 como2 SMS MMS se p(ede

esclarecer al e-istencia de algDn delito.

• Si e-isten mensa+es '(e comprometan a otras personas2 se )(scará en la lista

de contactos a los invol(crados2 per6iles en las redes sociales2 con la 6inalidad

de o)tener in6ormación y poner en conocimiento +(dicial.

• Se e-traen las imágenes '(e se tomaron con el dispositivo as3 como las

reci)idas en redes sociales o mensa+er3a. 1ichas imágenes p(eden ser de

plantaciones2 la)oratorios clandestinos2 geolocali:aci+n o llevar in6ormación

oc(lta para la com(nicación entre individ(os.

• El historial de navegación se e-amina in6ormación a cerca de c(idados de

plantaciones ilegales2 p(ede esclarecer si se )(sca 6ormas de tratamiento de

est(pe6acientes.

Pruebas.

Los Mossos dbEs'(adra inca(taron (n dispositivo móvil de propiedad del Sr. Marco

con las sig(ientes caracter3sticas.

A1J serial

Shell permissions shell

"


75/79

Man(6act(rer J

Model A'(aris EC

IMEI

Android version "."."

J(ild name $.G."^%!$C!%$%"&G@

5i6i MA/

;hone N(m)er !!0"

Cuentas Sincronizadas.

Acco(nts

com.'(alcomm.'ti.calendarlocalacco(nt Localcom.android.localphone ;ONEcom.android.sim SIM%com.google Tgmail.comcom.hatsapp 5hatsApp

com.6ace)oo.a(th.loginThotmail.comcom.titter.android.a(th.login mcom.sgiggle.prod(ction.acco(nt Sincroni8aramigos de ?ango

Sec(rity @est(re ash da0Ha

Sec(rity Locscreen ;attern None

Sec(rity Locscreen ash C/AFJE

Sec(rity Locscreen Salt

System Synchronised Acco(nts G

System 5iFi ;assords $0

System Android 1onload istory %

5e) )roser @oogle /hrome ;assords %

5e) )roser @oogle /hrome istory C0

/omm(nications data /ontacts C2H$C

/omm(nications data /all logs C!!

/omm(nications data SMS Messages $0$

Applications data Face)oo Messages H2$0!

Applications data 5hatsApp /ontacts $!

Applications data 5hatsApp /alls &H

Applications data 5hatsApp Messages %02%C%


76/79

Los mensa+es se )asan en avisos de llamadas perdidas o p()licidad de empresas (

operadoras móviles. En dichos mensa+es se aprecia '(e el nDmero asignado al

dispositivo es el !!0" &H! asignado código de pa3s Espa7a y la operadora

'(e tiene contratado para proveer el servicio de tele6on3a es MOKIS?AR.

MMS.

No e-isten mensa+es con este 6ormato.

$!0$JBVON MOKIS?AR vie2 !% $"C% $ mensa+e n(evo de ;ara esc(charlo2llame gratis al $%0 ;ersonalice s( )(8on 6acilmente llamando gratis al %%$%&

%!$C$!!% $%C%"G B?/U!!!! In)o-

$0!LLAMA1AS ;ER1I1AS vie2 !% $"0G $ llamada de Si desea devolver lallamada2 p(lse la tecla verde de s( movil

%!$C$!!% $%0H! B?/U!!!! In)o-

$%H

JBVON MOKIS?AR vie2 !% $0!& $ mensa+e n(evo de ;ara

esc(charlo2 llame gratis al $%0 ;ersonalice s( )(8on 6acilmente llamandogratis al %%$%&

%!$C$!!% $$!!$ B?/U!!!! In)o-

$%GLLAMA1AS ;ER1I1AS vie2 !% $0!C $ llamada de Si desea devolverla llamada2 p(lse la tecla verde de s( movil

%!$C$!!% $$!CC& B?/U!!!! In)o-

Mensa&es de la a#licaci'n BhastApp.

Se han rec(perado %0%C% mensa+es '(e se anali8an y se enc(entra in6ormación

acerca de deportes2 via+es2 est(dios2 salidas con amigos2 re(niones la)orales2

mensa+es 6amiliares.

Number Messa,e !ime !#e

0H"GH ;or 6(t)ol %!$C$$!% %$"%! B?/U!!!! Sent

0H"GG Me preg(nta)N %!$C$$!% %$"$& B?/U!!!! Sent

0H"G >d %!$C$$!% %$"&0$ B?/U!!!! In)o-

0H"G& ;erdón %!$C$$!% %$%$" B?/U!!!! Sent

0H"GC Me-ico %! %!$C$$!% %$%$0G B?/U!!!! Sent

0H"G" $!$C gradid %!$C$$!% %$$H0$ B?/U!!!! Sent

0H"G0 ?emperat(ra_ %!$C$$!% %$$CCC B?/U!!!! In)o-

0H"G% Está )ien %!$C$$!% %!$G0& B?/U!!!! Sent

0H"G$ MAbs o menos %!$C$$!% %!$G0% B?/U!!!! Sent

Mensa&es #or 2aceboo; o Messen,er.

Se anali8an H$0! mensa+es. Los mensa+es son de 6amiliares y de amigos2 en la

6otogra63as de per6il de los contactos en la mayor3a de casos se enc(entran ni7os con

ad(ltos2 lo '(e hace pensar '(e son 6amilia. Se tratan temas de sal(dos2 )ienestar2

citas o planes.

&


77/79

Sender ma,e Messa,e Reci#ient(s" !ime

Marco Me-ico %! Francisco I1CG" %!$C$$!% %$%%!B?/U!!!!

(e no me entero Me d(ele la ca)e8a Me va aestallar

Marco I1$&" %!$C$$!% %$!G0%B?/U!!!!

Marco me dices lo '(e esta)as diciendo Marco I1$&"G %!$C$$!% %$!$HB?/U!!!!

Marco No se Francisco I1CG" %!$C$$!% %$!CCGB?/U!!!!

1ime Marco I1$&" %!$C$$!% %$!!"HB?/U!!!!

______ Marco A I1$&" %!$C$$!% %!CG"&B?/U!!!!

(e no se oye Marco I1$&" %!$C$$!% %!C"G

B?/U!!!!

istorial en 3oo,le C4rome.

La in6ormación '(e se desea averig(ar se )asa en deportes2 noticias2 tecnolog3a

principalmente in6ormática2 clima2 mariscos2 via+es2 canciones y cons(lados.

?rad(ctor de @oogle https##translate.google.es#m#translate_hlQes %!$C$$!% $"C!! B?/ 00

@ooglehttps##.google.es#e)hp_o(tp(tQsearcht)mQischt)oQ(

%!$C$$!% $"0$" B?/ %

@oogle https##.google.es#_gs^rdQssl %!$C$$!% $"0$!C B?/ !

@oogle http##google.es# %!$C$$!% $"0$!C B?/ CG

@oogle http##.google.es# %!$C$$!% $"0$!C B?/ C&

https##translate.google.es#m#translate_hlQesen#es#6all %!$C$$!% $"%G!$ B?/ $

https##m.yo(t()e.com#atch_vQcO("F


78/79

de estas personas en las di6erentes 6otogra63as.

Contactos.

Se rec(peran CH$C contactos2 con (n C!H registros de llamadas. Al no e-istir indicios

d

Forense Movil

Documents

Transcript of Forense Movil