La Comunidad DragonJAR » Móviles

Análisis Forense en Teléfonos Celulares – Parte 2

Jorge Alberto Cuervo — Fri, 04 Mar 2011 21:31:06 +0000

Continuamos con la segunda parte del articulo Análisis Forense en Teléfonos Celulares escrito por Jorge Alberto Cuervo para La Comunidad DragonJAR, si aun no has visto la primera parte de este articulo puedes encontrarla en este enlace.

En esta parte del proceso, nos aparece otra ventana donde nos da tres opciones para continuar, la primera opción, que es la que debemos seleccionar si es la primera conexión del teléfono, es el instalar el programa cliente de oxigen forensics 2010 en el celular. Pueden surgir muchos comentarios e interrogantes en esta parte del proceso, y es, “se invalida la evidencia obtenida?”; si analizamos un poco, los datos a examinar o evaluar en un dispositivo móvil, en este caso un celular, es la información referente a contactos, llamadas realizadas o recibidas, tiempos y fecha de duración, números telefónicos entrantes y salientes, mensajes, fotografías, etc. Por lo tanto, no debería invalidarse ya que se conserva la integridad de los datos de interés para la investigación.

La segunda opción, es cuando ya se ha instalado previamente el programa cliente, y queremos revisar o cambiar los criterios de extracción de datos.
Y la tercera y ultima opción, es cuando no queremos instalar nada en el móvil y proceder a la desconexión.

Existen otras alternativas para la extracción de datos sin instalación de programa cliente, que se tratara en futuros artículos y de acuerdo al interés particular sobre el mismo.

Para nuestro ejemplo, hemos seleccionado la primera opción

De clic en next (siguiente), en la ventana a continuación se iniciará el proceso de transferencia en el momento que le de click en el botón Upload, como toda aplicación, primero se transfiere el setup al celular, una vez finaliza la transferencia, aparecerá en pantalla del móvil un mensaje indicándole si desea instalar la aplicación, permítale instalarla y siga los pasos a continuación.

En la próxima entrega de este articulo, veremos como utilizar el cliente que acabamos de instalar en el teléfono celular que estamos examinando, para extraer toda la información del teléfono que nos pueda ser útil en nuestro proceso de investigación.

IMPORTANTE!! Antes de continuar con el siguiente paso, Ejecute la aplicación en el celular, y en “opciones”, seleccione la conexión para transferencia que esté utilizando, en nuestro caso, modo transferencia bluetooth. Una vez haya realizado este paso, en la siguiente ventana, seleccionamos el recuadro donde le confirmamos que ya hemos instalado el software en el móvil.Una vez le damos en siguiente (next), en la siguiente ventana nos muestra los datos del equipo al cual nos hemos conectado, observe que nos da el modelo del celular y su IMEI.

A partir de este momento se inicia el asistente para la extracción de datos.

Damos clic en siguiente (next), en la siguiente ventana se colocan los datos de información para identificar el caso.

Una vez hemos llenado los campos con la información requerida, pasamos a la siguiente ventana. En esta, se nos permite seleccionar los datos a extraer, seleccione la casilla de cada uno de ellos, si lo desea personalizar. También puede realizar una extracción completa seleccionando “full Reading”, con esta opción, se leerán todos los datos de la memoria interna y externa del dispositivo en análisis.

Se nos da en el siguiente cuadro un informe de confirmación, damos en siguiente (next).

Y le damos clic en el botón extract (extraer) y listo, se inicia el proceso de extracción, el tiempo de duración es directamente proporcional a la cantidad de información a extraer y al medio de transmisión que utilicemos.

Para no extender mucho el artículo, y dejar tema para otro post, mostrare algunas pantallas de la información que se puede extraer con esta aplicación, que si bien, analizaremos luego algunas potentes herramientas de software libre, es válido mostrar algunas de las mejores opciones comerciales, en este caso, como lo mencione en un principio, es una aplicación usada por los cuerpos de seguridad de más de 50 países en el mundo.
Veamos los pantallazos.

Directorio de Contactos con su respectiva foto.

Listado de Mensajes SMS

Opciones por categorías.

Como podrán haber visto, son muchas posibilidades que tenemos con esta suite para extraer la información de los móviles. Mas información sobre el producto http://www.oxygen-forensic.com/en/

Escrito por Jorge Alberto Cuervo Director de SITEC Networks para La Comunidad DragonJAR

También puede interesarte...

Análisis Forense en Teléfonos Celulares – Parte 1

Jorge Alberto Cuervo — Thu, 03 Mar 2011 07:06:08 +0000

El celular se ha convertido en el medio masivo de comunicación por excelencia gracias a su portabilidad, servicios y bajos costos en las tarifas. Esta explosión tecnológica que no da tregua, nos sorprende con la gran variedad de sofisticados equipos y la frecuencia vertiginosa con la que unos modelos dejan en la obsolescencia a los modelos anteriores.

Nuevos servicios como la transmisión de vídeo digital, fotografía, posicionamiento global, wi-fi, capacidad para ejecutar una gran variedad de aplicaciones, han hecho de este medio de comunicación, un dispositivo que se utiliza hoy en día por millones de personas en el mundo para algo mas que hacer una llamada.

Pero como todos sabemos, la tecnología no es buena ni mala, solo depende del uso que le demos; así es que este maravilloso invento que nos ha proporcionado grandes satisfacciones, también ha sido de gran utilidad para cometer una gran variedad de delitos…. Entre los más conocidos, la clonación de las simcard, la intercepción de mensajes en transacciones bancarias, el secuestro, narcotráfico, el intercambio de imágenes de pedofilia, la extorsión y un largo etcétera.

El uso de estos dispositivos para la comisión de diferentes delitos, han llevado a diferentes gobiernos a tomar medidas extremas, y por cierto muy polémicas, como la de México y Perú que decretaron una ley para el registro de los celulares y sus usuarios, abriendo posiblemente la puerta a delitos mayores como el secuestro de sus propietarios durante el tiempo necesario para cometer el delito de mayor rentabilidad para los delincuentes.

Las compañías y organismos de seguridad estatales, reúnen sus esfuerzos para crear nuevas técnicas de análisis forense, esta vez orientadas a los dispositivos móviles, entre ellos los celulares. Aunque si bien es cierto, la dificultad para que estas técnicas sean exitosas en la investigación criminal, no se puede considerar como un medio para frenar el avance que como herramienta, viene siendo utilizado el celular.

A continuación, veremos una herramienta de gran popularidad entre los organismos de seguridad de muchos gobiernos, utilizada para la investigación forense en celulares, oxigen forensic suite 2010, que pueden descargar una versión trial de http://www.oxygen-forensic.com/en/.

Entre las características mas importantes de este software está la gran variedad de equipos que soporta, más de 1550 modelos, y un pack de drivers (más de 300 mb) que se puedes descargar en este enlace.

En post anteriores en este sitio, ya se han publicado las técnicas para el análisis forense en un celular, solo agregare que deben crear una cámara de Faraday donde colocar al celular, para que no se alteren accidentalmente los datos del mismo, al tratar de ingresar una llamada o mensaje. Quienes no sepan como construir una cámara de faraday utilizando el papel de aluminio Reynolds, que todos conocemos, en el siguiente link pueden ver un video en youtube.

Voy a omitir los detalles de instalación y de activación del software, cabe anotar, que cuando te registras para realizar la descarga del trial, te envían un serial al correo electrónico de registro, y te da la posibilidad de ejecutar la aplicación 30 veces, tiempo suficiente para conocer las bondades de esta aplicación.

En nuestro ejemplo, utilizaremos un celular marca Nokia modelo 5530 XpressMusic y lo enlazaremos con oxigen forensic suite 2010, usando una conexión bluetooth, IMPORTANTE!!! No deben tener en ejecución ningún software como pc suite, u otro de celulares, esto impide la conexión, de igual forma, como observaran, no activaremos el celular en modo conexión de transferencia de datos, usaremos según el modelo, la opción de conexión con pc suite, pero recuerden no tenerlo ejecutando en el sistema.

Primeros pasos para realizar el análisis forense de un celular

Conectamos el celular al PC, oxigen forensic suite 2010 nos da la posibilidad de usar tres modos de conexión, vía cable, bluetooth o infrarrojos; en nuestro ejemplo, utilizaremos una conexión bluetooth, ya que los celulares de gama media/alta, cuentan generalmente con este medio de comunicación, y es una ventaja frente a la gran variedad de cables de conexión existente de acuerdo al modelo o marca del equipo de comunicaciones.

Cuando iniciamos la suite, nos sale un marco de trabajo bastante intuitivo y amigable, no se requiere ser un bilingüe para identificar los menús y su aplicación.

Una vez se inicia la aplicación, debemos proceder a detectar el dispositivo, en el siguiente cuadro, oxigen forensic suite 2010 nos permite seleccionar el medio que estamos utilizando para la conexión del dispositivo.

Seleccionamos la marca y el modelo del celular, recuerden que oxigen forensic suite 2010 puede detectar más de 15.000 dispositivos.

En el siguiente paso seleccionamos el drivers de conexión usb, en nuestro caso, he seleccionado el driver genérico de Microsoft.

En el siguiente paso, iniciamos la detección del dispositivo.

En la siguiente imagen podemos ver como la suite ha detectado el dispositivo

Lo seleccionamos y damos clic en next…

Escrito por Jorge Alberto Cuervo Director de SITEC Networks para La Comunidad DragonJAR

También puede interesarte...

Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad

DragoN — Sun, 01 Aug 2010 08:18:01 +0000

Hace poco vimos como un miembro del Dev-Team mas conocido como @comex nos presentaba un nuevo método de Jailbreak que permitía realizar este procedimiento en cualquier iPhone, iPod Touch e iPad el procedimiento es bastante simple, basta con navegar desde nuestro Safari en una pagina especialmente diseñada, deslizar nuestro dedo y en poco tiempo tendremos el “Jailbrekeado” nuestro dispositivo.

En realidad lo que hace el JailbreakMe es explotar una vulnerabilidad en la forma como maneja los archivos PDF el navegador Safari Mobile, utilizado en los dispositivos móviles de Apple (iPhone, iPod Touch, iPad) para ejecutar código arbitrario, en este caso ejecutar el instalador del Jailbreak.

En esta ocasión han explotado una vulnerabilidad en nuestro sistema, para realizar algo que deseábamos (liberar nuestro dispositivo), pero.. ¿que pasaría si una persona mal intencionada aprovecha esta vulnerabilidad?… la respuesta es que podría tomar total control de tu gadget favorito para hacer con el lo que quiera.

De momento Apple no ha publicado un parche oficial para solucionar este problema de seguridad, pero afortunadamente Will Strafach un colaborador del proyecto Cydia, ha publicado una solución no oficial para resolver este fallo de seguridad, para instalarlo irónicamente tendrías que tener “Jailbreakeado” tu dispositivo y desde Cydia instalar el hack “PDF Loading Warner“, lo que hace este parche es pedirnos una confirmación en el Safari, cada vez que queramos abrir un archivo PDF (en vez de abrirlo sin pedir permiso como lo hace por defecto).

Algunas Recomendaciones:

Utilizar un navegador alternativo a Safari Mobile (recomiendo Opera Mini)
No abrir ningún archivo PDF desde tu dispositivo móvil.
Instalar el hack “PDF Loading Warner” desde Cydia (necesitas realizar el jailbreak en tu equipo)
Actualizar a la ultima versión del iOS (al parecer pronto llegara la versión 4.1 del iOS, donde se soluciona este problema)

Espero que estés pendientes de las nuevas actualizaciones al iOS y de los archivos que abres en el navegador de tu iPhone, iPod Touch o iPad.

También puede interesarte...

Tercer Encuentro Internacional de Seguridad Informática – Día III

DragoN — Fri, 09 Oct 2009 06:03:49 +0000

En este tercer y ultimo día del tercer encuentro internacional de seguridad informática se esperan con ansias 2 charlas la de luciano bello sobre el famoso bug en el openssl que fue presentado en la el defcon 16 y la de chema alonso sobre LDAP Injection & Blind LDAP Injection que presento en la black hat del año pasado, ademas la premiación del wargame (que por segunda vez se lo gana un equipo de La Comunidad DragonJAR) y como no…. el remate

Empezamos el día con david batanero y su charla sobre la tecnología GSM, en la que nos explica como funciona, los posibles ataques que se pueden realizar sobre esta tecnológica y por que debemos poner mas atención a la seguridad de nuestros dispositivos móviles.

Descargar Charla de David Batanero sobre GSM

Después martín rubio nos presenta su charla en la que habla de como ser un hacker realmente, que necesitamos saber y hacer para realmente ser catalogado como un hacker.

Descargar Charla de Martin Rubio sobre Como ser un Hacker Realmente

Leonardo Huertas, también conocido como SamuraiBlanco, moderador global en nuestra comunidad, compartió con nosotros su charla sobre Equipos Gubernamentales de respuesta a incidentes de seguridad de la información (CSIRT), en la que explica como crear un CSIRT, para que sirve y como va el proceso de la creación de un CSIRT colombiano.

Descargar Charla de Leonardo Huertas sobre CSIRT

Después de leonardo una de las charlas mas esperadas del EISI, Luciano Bello nos explica el famoso fallo del openssl que afecto a la distribución Debian y sus derivadas, nos habla sobre la historia del fallo, como fue descubierto y nos enseña de una forma practica y amena como se explota esta vulnerabilidad.

Descargar Charla de Luciano Bello sobre predicción de números aleatorios en openssl

Después de luciano seguía mi charla sobre Amenazas y Contramedidas de seguridad Web, en ella explicaba los fallos mas comunes que encontramos en aplicaciones o sitios web (algunas se encuentran en el top 10 del proyecto OWASP) y cómo evitar ser victima de estos ataques a nivel de usuario y desarrollador, como les prometí comparto con ustedes la charla y todo un entorno portable para aumentar sus conocimientos en esta área.

Descargar Charla de Jaime Andrés Restrepo sobre Amenazas y Contramedidas de Seguridad Web

Después de mi charla, chema alonso nos presentaría su charla sobre LDAP Injection & Blind LDAP Injection pero decidió darnos una sorpresa que no esperábamos, en vez de dar la charla que tenia programada, en esta ocasión nos hablaría de una nueva técnica descubierta por el equipo de informatica64 llamada Connection String Attacks, la cual permite inyectar parámetros arbitrarios a la configuración de conexión en un servidor ):-D, esta charla fue expuesta por primera vez en la pasada ekoparty y nos trajo el tema “fresquito” a Colombia .

En su blog (un informático del lado del mal) chema nos explica mas en detalle las Connection String Attacks

Descargar Charla de Chema Alonso sobre Connection String Attacks

La ultima charla del EISI, titulada “Falsos Antivirus (El negocio detrás de estos)” estuvo a cargo de Marcelo Rivero, en ella nos relata una historia verídica de una infección y poco a poco nos explica como funcionan los falsos antivirus y cual es el negocio de delincuencia organizada que opera detrás de ellos, seguimos a la espera de las memorias que pronto nos enviara marcelo rivero para todos nuestros visitantes.

Después de la ultima charla se pasa a realizar la premiación del wargame (el cual explicaremos en detalle en un próximo post) los equipos “DragonJAR” y “PST” ocuparon el primer y segundo lugar respectivamente, desde aquí una sinceras felicitaciones a los 2 equipos por el trabajo realizado.

En el foro de cierre los ponentes darían su opinión sobre el pasado, presente y futuro de la seguridad informática y después se pasaría a las preguntas del publico, fue un excelente espacio para aclarar algunas dudas y compartir con todos los asistentes del evento.

Como no podía faltar en un evento de este tipo un excelente remate en el reconocido bar-c de la ciudad de Manizales.

Revisa el reporte de los otros 2 días:

También puede interesarte...

Bloquear telefonos celulares Nokia con un SMS

DragoN — Tue, 13 Jan 2009 05:09:43 +0000

En l último congreso CCC (Chaos Computer Club) se ha publicado una vulnerabilidad que afecta Teléfonos Móviles de la empresa finlandesa Nokia que permite dejar un teléfono celular sin poder recibir o enviar SMS (mensajes de texto) o MMS (mensajes multimedia).

El bug consiste en enviar un mensaje de texto con un formato específico a un celular que utilice el Sistema Operativo Symbian S60, usado por la mayoría de móviles Nokia, algunos Panasonic y Samsung.

Lista de Modelos NOKIA Afectados:

S60 3rd Edition, Feature Pack 1 (S60 3.1):

Nokia E90 Communicator
Nokia E71
Nokia E66
Nokia E51
Nokia N95 8GB
Nokia N95
Nokia N82
Nokia N81 8GB
Nokia N81
Nokia N76
Nokia 6290
Nokia 6124 classic
Nokia 6121 classic
Nokia 6120 classic
Nokia 6110 Navigator
Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):

Nokia E70
Nokia E65
Nokia E62
Nokia E61i
Nokia E61
Nokia E60
Nokia E50
Nokia N93i
Nokia N93
Nokia N92
Nokia N91 8GB
Nokia N91
Nokia N80
Nokia N77
Nokia N73
Nokia N71
Nokia 5500
Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):

Nokia N90
Nokia N72
Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):

Nokia 6682
Nokia 6681
Nokia 6680
Nokia 6630

Para ver la lista completa de los dispositivos afectados click aquí.

Después de enviar este mensaje el destinatario no podrá recibir ni enviar mensajes de texto o mensajes multimedia; esta técnica recibe como nombre “Curse Of Silence” que en español sería algo así como “Maldición del Silencio”‘.

Para que un equipo se vea afectado es necesario enviar un SMS en formato e-mail que comience con:

123456789@123456789.1234567890123 <=(con un espacio final)

Para enviar un SMS en formato Email (en teléfonos Nokia modernos):

abriendo el editor de SMS
Ir a “Opciones”
luego “Opciones de envió”
“Mens. enviado como”
“Correo”

Si has sido víctima de este tipo de ataque puedes desbloquear tu teléfono realizando un “Hard Reset” o reseteo de hardware (aunque perderás la configuración de tu teléfono), también puedes instalar el CurseSMS en tu celular, es una herramienta gratuita que te permite desbloquear tu teléfono del ataque “Curse of Silcense” sin realizar un “Hard Reset”.

Descargar el CurseSMS
CurseSMS en Ingles para (S60 Symbian 7/8)
CurseSMS en Ingles para (S60 Symbian 9)

Más Información:
Remote SMS/MMS Denial of Service – “Curse Of Silence” for Nokia S60 phones

Security By Default: Silenciando Nokias a mensajes

También puede interesarte...

Herramientas para realizar Análisis forense en teléfonos móviles y tarjetas SIM

DragoN — Mon, 23 Jul 2007 22:36:23 +0000

Visitando la web de Sergio Hernando, me encuentro con un articulo titulado Análisis forense de teléfonos móviles y tarjetas SIM. Herramientas en el que comparte con todos este documento publicado por el National Institute of Standards and Technology, donde describen las principales características de las herramientas de recuperación forense en móviles más comunes.

El documento en cuestión es un IR (Interagency Report) de NIST, y se titula Cell Phone Forensic Tools: An Overview and Analysis Update. Son 165 páginas en las que, como hemos comentado, se hace un análisis sobre las principales herramientas de recuperación forense en telefonía móvil. Las herramientas de las que se habla son:

Mobiledit! (C), versión lite disponible.
Bitpim
Tulp2g
Secureview ®
Celldek ®
Device Seizure ®
Pilot-Link
Gsm .Xry ®
Oxygen Phone Manager ®, versión lite disponible.
Simis2 ®
Forensicsim ®
Forensic Card Reader ®
Simcon ®
Phonebase2 ®
Usimdetective ®

Las herramientas con el símbolo ® al lado implican software comercial de pago.

IMPORTANTE: Para todos los que quieren recuperar SIMs, mensajes borrados, agendas borradas, listas de llamadas borradas, contactos borrados, etc.

Algunas empresas que lo hacen, y bastante bien, son:

http://www.recoverylabs.com/servicios/recuperacion_datos.asp
http://www.ontrack.es/recuperaciondedatos/
http://www.onretrieval.com/
http://www.intermic.com/recovery.htm
http://www.infodata.es
http://www.serman.com
http://www.datarecsa.com/pressroom/noticias_4.htm
http://www.inforiberica.com/
http://www.aigon.com.es/

Todas estas organizaciones están a vuestra entera disposición para ayudaros a recuperar los datos perdidos.