Análisis forense de teléfonos iPhone 2G/3G

Hola,

Me topé ayer con un paper bastante interesante que habla sobre análisis forense de teléfonos iPhone. Ahora que estos aparatos están tan de moda (algo que yo personalmente jamás comprenderé existiendo teléfonos táctiles muy superiores como el Nokia 5800) creo que puede resultarnos útil saber qué productos existen en el mercado para su análisis.

Otro valor añadido del paper es que el autor, además de probar las diferentes soluciones forenses, ha elaborado su propia matriz de valoración, con lo que aquellos que estén pensando en adquirir alguna de los productos mencionados pueden disponer de una opinión cualificada a tener en cuenta para el proceso de compra. El documento incluye también referencias técnicas para identificar el hardware que conforma estos teléfonos.

Las herramientas valoradas, por desgracia, son todas comerciales, y algunas son particularmente costosas. Se trata de WOLF, Cellbrite, Device Seizure, MacLock Pick, MDBackup Extract, .XRY y CellDEK, así como una técnica conocida como de Jonathan Zdziarski. Algunas están exclusivamente orientadas a iPhone, mientras que otras son genéricas para cualquier tipo de móvil o tarjeta SIM. Los criterios para valorar son más o menos los de siempre. En este caso el autor ha valorado la capacidad de recuperación forense del registro de llamadas, de mensajería corta y multimedia, contactos, correo electrónico, videos, calendario, eventos, imágenes, canciones, historial de navegación, cookies, favoritos, aplicaciones instaladas, correo de voz, datos de Google Maps, claves, ficheros de configuración, conexiones VPN, Bluetooth y alguna que otra característica adicional.

Según el autor, el mejor parado es Cellebrite UFED, opinión que comparto, ya que puede ser usado con más de 2000 dispositivos distintos incluyendo GSM, TDMS, CDMA e iDEN, y tiene un cómodo lector de tarjetas SIM integrado. Entre los muchos modelos que se pueden analizar con este dispositivo están los teléfonos basados en Palm OS, Microsoft, Blackberry, Symbian, iPhone yGoogle Android. Es una solución profesional que tiene como principal virtud no requerir un PC para obtener los datos del terminal, ya que es un toolkit hardware portable, y cuyo principal inconveniente es el precio: sin llegar a ser el juego de herramientas forenses más caro que podamos encontrar (un CellDEK de Logicube ronda los 11.000 euros), el modelo de Cellebrite puede alcanzar los 3.000 euros por unidad.

Entre las soluciones software analizadas me quedo con un clásico: Paraben Device Seizure, que aunque da mejores resultados con el toolkit hardware autónomo, ofrece muy buenas prestaciones cuando usamos el software vía PC de investigador únicamente. Este software es mucho más económico, rondando los 900 dólares por licencia, y tiene una magnífica relación calidad-precio.

Tenéis el documento a vuestra disposición en http://viaforensics.com/wpinstall/wp-content/uploads/2009/03/iPhone-Forensics-2009.pdf

Un saludo, y buen fin de semana.

Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM

Hola,

A través del histórico de diciembre 2008 de CriptoRed (gracias, Jorge) he llegado a un documento que versa sobre el análisis forense en dispositivos móviles. El documento se titula Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM y es un trabajo de grado de Carlos Andrés Castillo Londoño y Rafael Andrés Romero Ramírez, bajo la dirección de un viejo conocido del panorama forense, Jeimy Cano, de la Pontificia Universidad Javeriana de Bogotá, Colombia.

Esta guía (163 páginas, PDF) es de lo mejor que he visto en lengua española, ya que no sólo contiene referencias a la tecnología GSM y a las aplicaciones empleadas en recuperación forense (libres y comerciales), sino que también incluye, para cada parte del proceso de investigación, comentarios sobre las mejores prácticas metodológicas que deben tenerse en cuenta.

No os negaré que el 99% de los papers sobre análisis forense son teóricos y que se echa mucho en falta la producción de contenidos prácticos de calidad, pero las metodologías que deben respetarse en un proceso de investigación son importantes y no siempre están claramente documentadas, con lo que os aconsejo la lectura del documento para fortalecer el conocimiento en esta materia. De todos modos, en este caso particular, existen referencias técnicas interesantes relacionadas con los procesos de investigación que complementan adecuadamente la información teórica.

Como sucede con prácticamente la totalidad de cosas en esta vida, todo es mejorable y esta estupenda guía no es una excepción. Tal y como comentan los propios autores, el documento habla de GSM, y no de tecnologías avanzadas (3.xG), y tampoco contiene referencias completas sobre conectividad inalámbrica vía Wi-Fi, que probablemente suponga, cuando los terminales operen mayoritariamente con estas tecnologías, la generación de nuevos modelos de ataque y amenaza, especialmente en lo que a recuperación maliciosa no autorizada de información concierne.

Podéis descargar la guía en http://www.criptored.upm.es/descarga/PUJ-ForensicsGSM-08.zip

Un saludo,