En este artículo, vamos a hablar de la utilización de los programas que se utilizan en el día a día en la informa tica forense y la exanimación para el ana lisis de los dispositivos móviles que ejecutan el sistema operativo Android con ayuda de expertos de pruebas de penetración.
INTRODUCCIÓN
La mayoría de los dispositivos móviles en el mundo ejecutan el sistema operativo Android. Durante la exanimación de los dispositivos móviles que ejecutan el sistema operativo Android (en adelante, dispositivos móviles) expertos de informa tica forense se enfrentan a las siguientes dificultades:
- No hay un programa de informa tica forense que soporte la extracción de datos de todos los dispositivos móviles existentes en el mundo.
- Hay un gran número de programas diseñados para el sistema operativo Android, en los cuales los datos podrían ser potencialmente interesantes para los investigadores de pruebas de penetración. Hasta el momento, no existe un programa de apoyo de ana lisis forense de los registros y los datos de todos esos programas.
- El tiempo, cuando los investigadores estaban interesados en los datos de una libreta de teléfonos, llamadas, mensajes SMS que fueron extraídos por el experto de pruebas de penetración, ha pasado. Ahora también esta n interesados en la historia de los recursos de la red (datos de navegadores), la historia de los programas de intercambio de mensajes cortos, los archivos eliminados (archivos gra ficos, vídeos, bases de datos SQLite, etc.) y otra información criminalística valiosa acuerdo una encuesta de empresas de pruebas de penetración.
- Los delincuentes a menudo eliminan los archivos de la memoria de sus dispositivos móviles, tratando de ocultar información sobre el crimen cometido.
- Los laboratorios de informa tica forense y subdivisiones de pruebas de penetración que examinan no pueden permitirse el lujo de comprar paquetes de software especializado, debido al alto costo.
SOLUCIÓN PARA ESTO
EXTRACCIÓN DE DATOS FÍSICOS DE LOS DISPOSITIVOS MÓVILES
Teniendo en cuenta el hecho de que los investigadores también esta n interesados en los archivos borrados que se encuentran en la memoria de los dispositivos móviles, los expertos de informa tica forense tienen que hacer la extracción de datos físicos de la memoria del dispositivo móvil. Eso significa que los expertos de ana lisis forense tienen que obtener una copia completa del dispositivo examinado. Un experto de ana lisis forense puede hacer un volcado de memoria física utilizando los métodos siguientes:
- Extracción de los datos directamente de los chips de memoria del dispositivo móvil utilizando el método de Chip-off. Según empresa de pruebas de penetración, este método ma s difícil de extracción de datos, pero a veces es la única manera de extraer los datos desde el dispositivo.
- La extracción de datos desde la memoria del dispositivo móvil utilizando la interfaz JTAG de depuración. Este método permite extraer datos de los dispositivos que tengan insignificantes daños en hardware y software.
- Extracción de los datos de a través de programas especializados (por ejemplo,Oxygen Forensic Suit) y complejos hardware-software (.XRY (Micro Systemation), UFED (CellebriteForensics), Secure View 3.
- Creación de copia de la memoria del dispositivo móvil manualmente.
Métodos combinados según expertos de informa tica forense y pruebas de penetración.
EXTRACCIÓN DE DATOS LÓGICOS
2.1. Ganando un acceso a los datos que se encuentran en copia de una memoria del dispositivo móvil
No importa qué método los expertos ana lisis forense utilicen para obtener la copia de memoria del dispositivo móvil, al final un experto de ana lisis forense va a recibir un archivo (o varios archivos), los cuales tienen que ser examinados de alguna manera y lo que necesita es extraer los datos necesarios.
En este caso, la tarea del experto de ana lisis forense es la extracción solamente de datos lógicos que se encuentran en la copia de la memoria de un dispositivo móvil que ejecuta el sistema operativo Android, se puede montar una imagen recibida en FTK Imager o UFS Explorer. Según expertos de pruebas de penetración, copias de memoria de los dispositivos móviles que ejecutan el sistema operativo Android por lo general contienen un gran número de particiones lógicas. Los datos del usuario de dispositivos móviles esta n en la partición lógica, que se nombra USERDATA. De esta partición, puedes extraer datos tales como bases de datos, vídeos, archivos gra ficos, archivos de audio, etc.
LA DESCODIFICACIÓN DE LA BASE DE DATOS SQLIT
Como regla general, bases de datos SQLite extraídas de la memoria de copia del dispositivo móvil son de sumo interés para los expertos de ana lisis forense. En primer lugar, esta conectado con el hecho de que la información criminalística valiosa se almacena en este formato. Según expertos de pruebas de penetración, en bases de datos SQLite se almacenan los datos siguientes: una agenda de teléfonos, llamadas, mensajes SMS, mensajes MMS, diccionarios, los datos de los dispositivos móviles de los navegadores web, registros de sistema del dispositivo móvil y etc.
№ | Tipo de data | Nombre del archivo |
1 | Phone book | \data\data\com.android.providers.contacts\ databases\contacts2.db |
2 | SMS, MMS messages | \data\data\com.android.providers.telephony\ databases\mmssms.db |
3 | Calendar | \data\com.android.providers.calendar\databases\ calendar.db |
4 | Log | \data\com.sec.android.provider.logsprovider\ databases\logs.db |
5 | User’s data | \data\system\users\accounts.db |
6 | Web-browser history | \data\data\com.android.browser\databases\ browser2.db |
7 | Dictionary | \data\user\comc.android.providers.userdictionary\ databases\user_dict.db |
Algunos investigadores proponen utilizar dos programas para decodificar los archivos de bases de datos SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. En caso de que nosotros usemos la combinación de estos programas, todavía hay un problema en la recuperación y el ana lisis de los archivos borrados.
Una de las herramientas que solucionan este problema Oxygen Forensic SQLite Viewer.
RECUPERACIÓN DE DATOS Y ARCHIVOS BORRADOS
La recuperación de los datos y los archivos borrados de los dispositivos móviles es un proceso complicado. No es común, pero la mayor parte de los programas de ana lisis forense no son compatibles con el sistema de archivos YAFFS2. Por eso el experto de informa tica forense puede encontrarse a sí mismo en una situación en que su programa no es capaz de recuperar algo de la descarga de memoria del dispositivo móvil durante el examen de copia física de los dispositivos móviles que ejecutan el sistema operativo Android. Como muestra experiencia de ana lisis forense pra ctica, es difícil recuperar vídeos borrados y archivos de gran tamaño de esas copias.
UFS Explorer, R-Studio mostró los mejores resultados en la esfera de la recuperación de datos borrados de dispositivos móviles que ejecutan el sistema operativo Android.
Para la recuperación de datos borrados y los archivos de dispositivos móviles que ejecutan el sistema operativo Android los cuales contienen archivos de YAFFS2, se recomienda utilizar los siguientes programas: Encase Forensic version 7, The Sleuth Kit o Belkasoft Evidence Center.
ANa LISIS DE THUMBNAILS BASES
Al igual que en los sistemas operativos Microsoft Windows, en el sistema operativo Android hay archivos que son thumbnails bases y que contienen ima genes en miniatura de los archivos gra ficos y de vídeo, creados por el usuario (incluyendo archivos borrados). En el sistema operativo Microsoft Windowss thumbnails bases tiene nombres: Thumbs.DB o thumbcache_xxx.db (donde xxx es el tamaño de la imagen en miniatura en la base). En el sistema operativo Android no hay un nombre unificado de tales bases según expertos de pruebas de penetración . Adema s, vale la pena señalar que estas bases se pueden encontrar como en el almacenamiento interno al igual que en la tarjeta de memoria instalada en el dispositivo móvil. Para buscar thumbnails bases nosotros utilizamos Thumbnail Expert Forensic. Por regla general, este tipo de archivos permiten recibir información criminalística valiosa, si las principales evidencias son archivos gra ficos (fotos) o videos que fueron tomados por el dispositivo móvil examinado.
CONCLUSIÓN
La combinación de los programas tradicionales para el ana lisis de los dispositivos móviles y los programas tradicionales que se utilizan en forense cibernética da los mejores resultados de ana lisis de copia de los dispositivos móviles que ejecutan el sistema operativo Android.