Introducción a la adquisición de datos forenses desde dispositivos móviles Android

El papel que un investigador forense digital (DFI) está lleno de oportunidades de aprendizaje continuo, especialmente a medida que la tecnología se expande y prolifera en todos los rincones de las comunicaciones, el entretenimiento y los negocios. Como DFI, nos enfrentamos a una avalancha diaria de nuevos dispositivos. Muchos de estos dispositivos, como el teléfono celular o la tableta, usan sistemas operativos comunes con los que necesitamos estar familiarizados. Ciertamente, el sistema operativo Android es predominante en la industria de tabletas y teléfonos celulares. Dado el predominio del sistema operativo Android en el mercado de dispositivos móviles, las DFI se ejecutarán en dispositivos Android en el curso de muchas investigaciones. Si bien hay varios modelos que sugieren enfoques para adquirir datos de dispositivos Android, este artículo presenta cuatro métodos viables que la DFI debe considerar al recopilar evidencia de dispositivos Android.

Un poco de historia del sistema operativo Android

El primer lanzamiento comercial de Android fue en septiembre de 2008 con la versión 1.0. Android es el sistema operativo de código abierto y de “uso gratuito” para dispositivos móviles desarrollado por Google. Es importante destacar que, desde el principio, Google y otras compañías de hardware formaron la “Open Handset Alliance” (OHA) en 2007 para fomentar y respaldar el crecimiento del Android en el mercado. La OHA ahora está formada por 84 compañías de hardware que incluyen gigantes como Samsung, HTC y Motorola (por nombrar algunas). Esta alianza se estableció para competir con empresas que tenían sus propias ofertas de mercado, como los dispositivos competitivos ofrecidos por Apple, Microsoft (Windows Phone 10, que ahora se dice que está muerto para el mercado) y Blackberry (que ha creado hardware). Independientemente de si un sistema operativo está inactivo o no, la DFI debe conocer las distintas versiones de múltiples plataformas de sistemas operativos, especialmente si su enfoque forense se encuentra en un ámbito particular, como los dispositivos móviles.

Linux y Android

La iteración actual del sistema operativo Android se basa en Linux. Tenga en cuenta que “basado en Linux” no significa que las aplicaciones Linux habituales siempre se ejecutarán en un Android y, a la inversa, las aplicaciones Android que pueda disfrutar (o con las que esté familiarizado) no se ejecutarán innecesariamente en su escritorio Linux. Pero Linux no es Android. Para aclarar el punto, tenga en cuenta que Google seleccionó el kernel de Linux, la parte esencial del sistema operativo Linux, para administrar el procesamiento del conjunto de chips de hardware para que los desarrolladores de Google no tengan que preocuparse por los detalles de cómo se realiza el procesamiento en un conjunto determinado de hardware. Esto permite que sus desarrolladores se centren en la capa del sistema operativo del navegador y las características de la interfaz de usuario del sistema operativo Android.

Una gran cuota de mercado

El sistema operativo Android tiene una participación de mercado fundamental en el mercado de dispositivos móviles, principalmente debido a su naturaleza de código abierto. A partir del tercer trimestre de 2020, se enviaron más de 328 millones de dispositivos Android. Y, según netwmarketshare.com, el sistema operativo Android tenía la mayor parte de las instalaciones en 2020, casi el 67%, en el momento de esta publicación.

Como DFI, podemos esperar encontrar hardware basado en Android en el curso de una investigación típica. Debido a la naturaleza de código abierto del sistema operativo Android junto con las variadas plataformas de hardware de Samsung, Motorola, HTC, etc., la variedad de combinaciones entre el tipo de hardware y la implementación del sistema operativo presenta un desafío adicional. Tenga en cuenta que Android se encuentra actualmente en la versión 7.1.1, sin embargo, cada fabricante de teléfono y proveedor de dispositivos móviles normalmente modificará el sistema operativo para las ofertas específicas de hardware y servicios, lo que le otorgará una capa adicional de complejidad a la DFI, ya que el enfoque de adquisición de datos puede variar .

Antes de profundizar en los atributos adicionales del sistema operativo Android que complican el enfoque de la adquisición de datos, veamos el concepto de una versión ROM que se aplicará a un dispositivo Android. Como resumen, un programa de ROM (memoria de solo lectura) es una programación de bajo nivel que está cerca del nivel del kernel, y el programa de ROM único a menudo se llama firmware. Si piensa en términos de una tableta en contraste con un teléfono celular, la tableta tendrá una programación ROM diferente a la de un teléfono celular, ya que las características de hardware entre la tableta y el teléfono celular serán diferentes, incluso si ambos dispositivos de hardware son de mismo fabricante de hardware. Para complicar la necesidad de más detalles en el programa de ROM, agregue los requisitos específicos de los operadores de servicios celulares (Verizon, AT & T, etc.).

Si bien hay aspectos comunes en la adquisición de datos desde un teléfono celular, no todos los dispositivos Android son iguales, especialmente en vista de que existen catorce lanzamientos principales de sistemas operativos Android en el mercado (desde las versiones 1.0 a 7.1.1), varios operadores con ROM específicos para cada modelo. , e innumerables ediciones personalizadas adicionales compatibles con el usuario (ROM de clientes). Las ‘ediciones compiladas por el cliente’ también son ROM específicas del modelo. En general, las actualizaciones de nivel de ROM aplicadas a cada dispositivo inalámbrico contendrán aplicaciones básicas y operativas del sistema que funcionan para un dispositivo de hardware en particular, para un proveedor determinado (por ejemplo, su Samsung S7 de Verizon) y para una implementación en particular.

A pesar de que no existe una solución de ‘bala de plata’ para investigar cualquier dispositivo Android, la investigación forense de un dispositivo Android debe seguir el mismo proceso general para la recolección de evidencia, que requiere un proceso estructurado y un enfoque que aborde la investigación, la incautación, el aislamiento, Adquisición, examen y análisis, y reporte de cualquier evidencia digital. Cuando se recibe una solicitud para examinar un dispositivo, el DFI comienza con la planificación y preparación para incluir el método requerido para adquirir dispositivos, el papeleo necesario para respaldar y documentar la cadena de custodia, el desarrollo de una declaración de propósito para el examen, el detalle del modelo de dispositivo (y otros atributos específicos del hardware adquirido), y una lista o descripción de la información que el solicitante está buscando adquirir.

Desafíos únicos de adquisición

Los dispositivos móviles, incluidos los teléfonos celulares, tabletas, etc., enfrentan desafíos únicos durante la incautación de la evidencia. Dado que la vida útil de la batería es limitada en los dispositivos móviles y generalmente no se recomienda que se inserte un cargador en un dispositivo, la etapa de aislamiento de la recolección de evidencia puede ser un estado crítico para adquirir el dispositivo. La confusión de la adquisición correcta, los datos celulares, la conectividad WiFi y la conectividad Bluetooth también deben incluirse en el enfoque del investigador durante la adquisición. Android tiene muchas características de seguridad integradas en el teléfono. La función de pantalla de bloqueo se puede configurar como PIN, contraseña, dibujo de un patrón, reconocimiento facial, reconocimiento de ubicación, reconocimiento de dispositivos de confianza y biometría como huellas dactilares. Se estima que el 70% de los usuarios utilizan algún tipo de protección de seguridad en su teléfono. Críticamente, hay un software disponible que el usuario puede haber descargado, lo que les permite limpiar el teléfono de forma remota, lo que complica la adquisición.

Durante la incautación del dispositivo móvil es ilegal que la pantalla se desbloquee. Si el dispositivo no está bloqueado, el examen del DFI será más fácil porque el DFI puede cambiar las configuraciones en el teléfono rápidamente. Si se permite el acceso al teléfono celular, desactive la pantalla de bloqueo y cambie el tiempo de espera de la pantalla a su valor máximo (que puede ser de hasta 30 minutos para algunos dispositivos). Tenga en cuenta que es de vital importancia aislar el teléfono de cualquier conexión a Internet para evitar la eliminación remota del dispositivo. Coloque el teléfono en modo avión. Conecte una fuente de alimentación externa al teléfono después de colocarlo en una bolsa libre de estática diseñada para bloquear las señales de radiofrecuencia. Una vez que esté seguro, más adelante podrá habilitar la depuración de USB, lo que permitirá el Android Debug Bridge (ADB) que puede proporcionar una buena captura de datos. Si bien puede ser importante examinar los artefactos de la memoria RAM en un dispositivo móvil, esto es ilegal.

Adquiriendo los datos de Android

Copiar un disco duro de una computadora de escritorio o portátil de manera forense es trivial en comparación con los métodos de extracción de datos necesarios para la adquisición de datos de dispositivos móviles. Normalmente, las DFI tienen acceso físico listo a un disco duro sin barreras, lo que permite crear una copia de hardware o una imagen de flujo de bits de software. Los dispositivos móviles tienen sus datos almacenados dentro del teléfono en lugares difíciles de alcanzar. La extracción de datos a través del puerto USB puede ser un desafío, pero puede lograrse con cuidado y suerte en los dispositivos Android.

Una vez que el dispositivo Android ha sido localizado y está seguro, es hora de examinar el teléfono. Hay varios métodos de adquisición de datos disponibles para Android y difieren drásticamente. Este artículo presenta y analiza cuatro de las principales formas de abordar la adquisición de datos. Estos cinco métodos se describen y resumen a continuación:

1. Envíe el dispositivo al fabricante: puede enviar el dispositivo al fabricante para la extracción de datos, lo que le costará tiempo y dinero adicionales, pero puede ser necesario si no tiene las habilidades específicas para un dispositivo determinado ni el tiempo para aprender. En particular, como se señaló anteriormente, Android tiene una gran cantidad de versiones de sistema operativo basadas en el fabricante y la versión ROM, lo que aumenta la complejidad de la adquisición. Por lo general, el fabricante pone este servicio a disposición de las agencias gubernamentales y de la policía para la mayoría de los dispositivos domésticos, por lo que si usted es un contratista independiente, deberá consultar con el fabricante con el que está trabajando. Además, es posible que la opción de investigación del fabricante no esté disponible para varios modelos internacionales (como los muchos teléfonos chinos sin nombre que proliferan en el mercado, piense en el ‘teléfono desechable’).

2. Adquisición física directa de los datos. Una de las reglas de una investigación de DFI es nunca alterar los datos. La adquisición física de datos desde un teléfono celular debe tener en cuenta los mismos procesos estrictos de verificación y documentación de que el método físico utilizado no alterará ningún dato en el dispositivo. Además, una vez que el dispositivo está conectado, es necesario ejecutar los totales de hash. La adquisición física le permite a la DFI obtener una imagen completa del dispositivo mediante un cable USB y un software forense (en este punto, debe pensar en bloques de escritura para evitar cualquier alteración de los datos). Conectarse a un teléfono celular y capturar una imagen no es tan limpio y claro como extraer datos de un disco duro en una computadora de escritorio. El problema es que, dependiendo de la herramienta de adquisición forense seleccionada, la marca y el modelo del teléfono, el operador, la versión del sistema operativo Android, la configuración del usuario en el teléfono, el estado raíz del dispositivo, el estado de bloqueo, si el PIN el código es conocido, y si la opción de depuración USB está habilitada en el dispositivo, es posible que no pueda adquirir los datos del dispositivo bajo investigación. En pocas palabras, la adquisición física termina en el ámbito de ‘solo intentarlo’ para ver lo que se obtiene y puede aparecer ante el tribunal (o el lado opuesto) como una forma no estructurada de recopilar datos, lo que puede poner en riesgo la adquisición de datos.

3. JTAG forensics (una variación de la adquisición física señalada anteriormente). Como definición, JTAG (Joint Test Action Group) Forensics es una forma más avanzada de adquisición de datos. Es esencialmente un método físico que involucra el cableado y la conexión a los puertos de acceso de prueba (TAP) en el dispositivo y el uso de instrucciones de procesamiento para invocar una transferencia de los datos sin procesar almacenados en la memoria. Los datos sin procesar se eliminan directamente del dispositivo conectado mediante un cable especial JTAG. Esto se considera una adquisición de datos de bajo nivel, ya que no hay conversión o interpretación y es similar a una copia de bits que se realiza al adquirir pruebas de un disco duro de computadora de escritorio o portátil. La adquisición de JTAG a menudo se puede hacer para dispositivos bloqueados, dañados e inaccesibles (bloqueados). Dado que se trata de una copia de bajo nivel, si el dispositivo fue cifrado (ya sea por el usuario o por el fabricante en particular, como Samsung y algunos dispositivos Nexus), los datos comprados aún deberán ser descifrados. Pero dado que Google decidió eliminar el cifrado de todo el dispositivo con la versión de Android OS 5.0, el límite de cifrado de todo el dispositivo se reduce un poco, a menos que el usuario haya decidido cifrar su dispositivo. Una vez que los datos JTAG se adquieren desde un dispositivo Android, los datos identificables se pueden detectar y analizar aún más con herramientas como 3zx (enlace: http://z3x-team.com/ ) o Belkasoft (enlace: https://belkasoft.com ) / ). El uso de herramientas JTAG extraerá automáticamente artefactos forenses digitales clave, incluidos registros de llamadas, contactos, datos de ubicación, historial de navegación y mucho más.

4. Adquisición chip-off. Esta técnica de adquisición requiere la eliminación de los chips de memoria del dispositivo. Produce vertederos binarios crudos. Nuevamente, esto se considera una adquisición avanzada de bajo nivel y requerirá la desoldadura de los chips de memoria utilizando herramientas altamente especializadas para eliminar los chips y otros dispositivos especializados para leer los chips. Al igual que los análisis forenses de JTAG mencionados anteriormente, la DFI corre el riesgo de que el contenido del chip esté cifrado. Pero si la información no está encriptada, una copia de bits se puede extraer como una imagen en bruto. La DFI deberá lidiar con la reasignación de direcciones de bloque, la fragmentación y, si está presente, el cifrado. Además, varios fabricantes de dispositivos Android, como Samsung, aplican el cifrado que no se puede omitir durante o después de que se haya completado la adquisición del chip off, incluso si se conoce el código de acceso correcto. Debido a los problemas de acceso con los dispositivos cifrados, el chip off se limita a los dispositivos no cifrados.

5. Adquisición de datos por aire. Todos somos conscientes de que Google ha dominado la recopilación de datos. Google es conocido por mantener cantidades masivas de teléfonos celulares, tabletas, computadoras portátiles, computadoras y otros dispositivos de varios tipos de sistemas operativos. Si el usuario tiene una cuenta de Google, la DFI puede acceder, descargar y analizar toda la información para el usuario dado bajo su cuenta de usuario de Google, con el permiso adecuado de Google. Esto implica descargar información de la cuenta de Google del usuario. Actualmente, no hay copias de seguridad completas en la nube disponibles para los usuarios de Android. Los datos que se pueden examinar incluyen Gmail, información de contacto, datos de Google Drive (que pueden ser muy reveladores), pestañas sincronizadas de Chrome, marcadores del navegador, contraseñas, una lista de dispositivos Android registrados (donde se puede revisar el historial de ubicación de cada dispositivo) y mucho más.

Los cinco métodos mencionados anteriormente no son una lista completa. Una nota reiterada a menudo surge sobre la adquisición de datos: cuando se trabaja en un dispositivo móvil, es esencial contar con una documentación adecuada y precisa. Además, la documentación de los procesos y procedimientos utilizados, así como el cumplimiento de los procesos de la cadena de custodia que usted estableció, asegurarán que la evidencia recopilada sea “forense”.

Conclusión

Como se analiza en este artículo, los dispositivos forenses para dispositivos móviles, y en particular el sistema operativo Android, son diferentes de los procesos forenses digitales tradicionales utilizados para computadoras portátiles y de escritorio. Si bien la computadora personal se puede asegurar fácilmente, el almacenamiento se puede copiar fácilmente y el dispositivo se puede almacenar, la adquisición segura de dispositivos móviles y datos puede ser, y con frecuencia, problemática. Es necesario un enfoque estructurado para adquirir el dispositivo móvil y un enfoque planificado para la adquisición de datos. Como se señaló anteriormente, los cinco métodos introducidos permitirán que la DFI obtenga acceso al dispositivo. Sin embargo, hay varios métodos adicionales que no se tratan en este artículo. Será necesaria una investigación adicional y el uso de herramientas por el DFI.

Dejar respuesta

Please enter your comment!
Please enter your name here