Herramientas para realizar análisis forenses a dispositivos

 Inicio / Blog / Herramientas para realizar análisis forenses a dispositivos móviles

Herramientas para realizar análisis forenses a dispositivos móviles

Publicado el 23/02/2016, por Asier Martínez (INCIBE)

El artículo Introducción al análisis forense en móviles realiza una aproximación a diferentes aspectos relacionados con esta temática como metodologías, fases del proceso o las complicaciones inherentes al mismo. A la hora de llevarlo a cabo, teniendo en cuenta principalmente las fases de adquisición y análisis de las evidencias, es necesario conocer un amplio abanico de métodos, técnicas y herramientas así como los criterios necesarios para poder evaluar la idoneidad de utilización de unas respecto a otras. En el presente artículo se van a dar respuesta a estas cuestiones.

A grandes rasgos existen 3 métodos distintos de extracción de evidencias: adquisición física, adquisición del sistema de ficheros y adquisición lógica.

• Adquisición física: es el método más utilizado habitualmente. Consiste en realizar una réplica idéntica del original por lo que se preservan la totalidad de las evidencias potenciales. Este procedimiento presenta la ventaja de que es posible buscar elementos eliminados. Su desventaja principal es su complejidad respecto a los otros métodos y el tiempo que lleva su realización.
• Adquisición lógica: consiste en realizar una copia de los objetos almacenados en el dispositivo. Para ello, se utilizan los mecanismos implementados de manera nativa por el fabricante, es decir, aquellos que son utilizados de manera habitual para sincronizar el terminal con un ordenador. de modo que se solicita la información deseada al sistema operativo del dispositivo móvil. Presenta la ventaja de que es un proceso mucho más sencillo que el anterior, si bien no permite acceder a multitud de información.
• Adquisición del sistema de ficheros: permite obtener todos los ficheros visibles mediante el sistema de ficheros, lo que no incluye ficheros eliminados o particiones ocultas. Dependiendo del tipo de investigación puede resultar suficiente utilizar este método lo que supone una complejidad menor que la adquisición física. Para llevarlo a cabo se aprovecha de los mecanismos integrados en el sistema operativo para realizar el copiado de los ficheros, Android Device Bridge (ADB) en el caso de Android. Mediante este método es posible recuperar cierta información eliminada ya que algunos sistemas operativos como es el caso de Android e iOS se valen de una estructura que utiliza bases de datos SQLite para almacenar gran parte de la información. De este modo, cuando se eliminan registros de los ficheros, únicamente se marcan como disponibles para sobrescritura, por lo que temporalmente siguen estando disponibles y por tanto es posible recuperarlos.

A la hora de seleccionar el método más adecuado, se tienen en cuenta multitud de aspectos como por ejemplo: el nivel de exhaustividad requerido, la limitación de tiempo para realizar el proceso, qué tipo de información es necesario obtener: información volátil, información que ha sido previamente eliminada, información de aplicaciones de terceros, etc.

Otro método más práctico que puede servir de ayuda en el momento de elegir la manera más adecuada / posible de adquirir las evidencias es el siguiente diagrama, en el que se tienen en cuenta diferentes aspectos como por ejemplo si está activada la depuración USB, si el terminal está bloqueado o si se tiene acceso, etc.

Fuente: ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android

A la hora de realizar el proceso de extracción existe un número notable de herramientas que se deben tener en consideración. Dependiendo de su funcionamiento interno pueden ser catalogadas de diferentes maneras. Como base para su clasificación se puede utilizar la pirámide propuesta por Sam Brothers en la U.S. Cybercrime Conference de 2011.

Fuente: Pirámide de clasificación de herramientas de análisis forense para dispositivos móviles

Esta pirámide pretende servir de guía para clasificar las herramientas de análisis forense de acuerdo a diferentes criterios como: complejidad, tiempo de análisis requerido, riesgo de pérdida o destrucción de evidencias, nivel invasivo y lo que se conoce como "forensically sound" que viene a significar algo similar al nivel de fiabilidad, si bien se trata únicamente de una percepción ya que todas las herramientas y técnicas utilizadas deben tener una fiabilidad contrastada. La manera de interpretar el esquema es desde abajo de la pirámide hacia arriba, de modo que las capas superiores poseen una complejidad técnica mayor, un mayor tiempo requerido y más "forensically sound".

A continuación, se van a presentar una serie de herramientas de gran utilidad a la hora de realizar la extracción de información:

Herramientas gratuitas genéricas

• AFLogical OSE - Open source Android Forensics app and framework es una aplicación en formato APK que debe ser previamente instalada en el terminal Android. Una vez finalizado el proceso permite extraer información variada a la tarjeta SD (registro de llamadas, listado de contactos y de aplicaciones instaladas, mensajes de texto y multimedia) y posteriormente ésta debe ser recuperada o bien conectando la tarjeta a un dispositivo externo o mediante el ADB.
• Open Source Android Forensics es un framework que se distribuye mediante una imagen de máquina virtual que reúne varias herramientas que permiten analizar aplicaciones para dispositivos móviles, incluyendo análisis tanto estático como dinámico o incluso para realizar un análisis forense.
• Andriller es una aplicación para sistemas operativos Windows que reúne diferentes utilidades forenses. Permite obtener multitud de información de interés relacionada, entre otras cosas, tanto con redes sociales como con programas de mensajería (Skype, Tinder, Viber, WhatsApp, etc.).
• FTK Imager Lite permite trabajar con volcados de memoria de dispositivos móviles para poder analizarlos y obtener evidencias.
• NowSecure Forensics Community Edition se distribuye como una imagen virtual que reúne varias herramientas para realizar un análisis forense, pudiendo realizar diferentes tipos de extracción de evidencias o incluso file carving en su versión comercial.
• LIME- Linux Memory Extractor es un software que permite la obtención de un volcado de memoria volátil de un dispositivo basado en Linux como es el caso de los teléfonos móviles Android. Así mismo, presenta la ventaja de que puede ser ejecutado remotamente vía red.

Herramientas gratuitas específicas

• Android Data Extractor Lite (ADEL) es una herramienta desarrollada en Python que permite obtener un flujograma forense a partir de las bases de datos del dispositivo móvil. Para poder realizar el proceso, es necesario que el dispositivo móvil esté rooteado o tener instalado un recovery personalizado.
• WhatsApp Xtract permite visualizar las conversaciones de WhatsApp en el ordenador de una manera sencilla y amigable. Para ello, se deben obtener previamente las diferentes bases de datos que almacenan la información correspondiente a los mensajes.
• Skype Xtractor es una aplicación, soportada tanto en Windows como Linux, que permite visualizar la información del fichero main.db de Skype, el cuál almacena información referente a los contactos, chats, llamadas, ficheros transferidos y mensajes eliminados, etc.

Herramientas de pago

• Cellebrite Touch es uno de los dispositivos de extracción de evidencias más famoso y completo del mercado. Permite trabajar con más de 6.300 terminales distintos con los principales sistemas operativos móviles. Así mismo, es muy sencillo e intuitivo.
• Encase Forensics, al igual que Cellebrite, es un referente en el mundo del análisis forense. Entre su amplio abanico de funcionalidades incluye la de identificar ficheros cifrados y la de intentar descifrarlos mediante Passware Kit Forensic, una utilidad que incorpora algoritmos específicos para tal fin.
• Oxygen Forensic Suite es capaz de obtener información de más de 10.000 modelos diferentes de dispositivos móviles e incluso obtener información de servicios en la nube e importar backups o imágenes.
• MOBILedit! Forensic permite obtener multitud de información y realizar operaciones avanzadas como obtener un volcado completo de memoria, sortear las medidas de bloqueo del terminal, generación flexible de reportes.
• Elcomsoft iOS Forensic Toolkit permite realizar la adquisición física sobre dispositivos iOS como iPhone, iPad o iPod. Así mismo, incluye otras funcionalidades de utilidad como la descifrar el llavero que almacena las contraseñas del usuario del terminal analizado o registrar cada acción que se realiza durante todo el proceso para dejar constancia de las mismas.

Para poder realizar el proceso de toma de evidencias en un dispositivo móvil Android muchas de las herramientas requieren tener habilitada la opción de "Depuración de USB", preferiblemente la de "Permanecer activo" y deshabilitar cualquier opción de bloqueo de pantalla por tiempo. En el caso de que el terminal tenga configurada alguna opción de bloqueo de pantalla es necesario sortearla.

La mayoría de las utilidades anteriormente descritas, principalmente las de pago, incluyen mecanismos para saltarse estas protecciones por lo que únicamente habrá que seguir los pasos que indiquen, aunque no siempre es posible. Si el proceso se va a realizar de manera manual se tendrá que realizar alguna de las siguientes acciones:

• Si el dispositivo esté rooteado se podrá intentar eliminar el fichero gesture.key o password.key según el modo de protección establecido, los cuales, se almacenan en /data/system/ o copiarlos y descifrar el patrón mediante algún diccionario de hashes como AndroidGestureSHA1, utilizando para ello alguna herramienta como Android Pattern Lock Cracker.
• Instalar algún recovery personalizado como ClockWorkMod o Team Win Recovery Project (TWRP) y posteriormente desactivar el bloqueo de acceso al dispositivo.
• El problema de la fragmentación en las plataformas móviles provoca que la gran mayoría de los dispositivos estén afectados con vulnerabilidades que no van a ser solucionadas para esos modelos por lo que dependiendo de la versión de Android es posible utilizar alguna de ellas para obtener acceso al dispositivo, como por ejemplo CVE-2013-6271.
• Utilizar fuerza bruta. En el caso de se utilice un pin de 4 dígitos como mecanismo de seguridad se ha demostrado que es posible obtenerlo en un breve periodo de tiempo, alrededor de 16 horas como máximo.
• Incluso podría llegar a utilizarse alguna técnica más sofisticada como demostraron varios miembros del departamento de informática de la Universidad de Pennsylvania en lo que nombraron como «Smudge Attack», que consiste en obtener el patrón de bloqueo a partir de las huellas que quedan en la pantalla del dispositivo móvil, utilizando para ello fotografías desde distintos ángulos modificando las propiedades de luz y color.

 

Wacrypt, software para la extracción de conversaciones de WhatsApp

Ciberseguridad / marzo 10, 2019 / 6 comentarios

¿En qué situaciones una persona necesita extraer las conversaciones de WhatsApp para recuperarlas? Pues en muchas. En ocasiones de manera personal y en otras muchas de manera profesional porque se esté ejerciendo un análisis forense de un dispositivo porque haya una necesidad de revisar conversaciones, imágenes o mensajes incluso borrados pero que dejan huella.

En el artículo que recogía las tres fases fundamentales del proceso del análisis forense quedó en evidencia la importancia que tiene la preservación de las pruebas y la analítica posterior de las mismas antes de extraer unas conclusiones para elaborar un informe.

Pues en las pasadas Jornadas de Seguridad Informática TomatinaCON, Matías Moreno explicó detalladamente una herramienta que ha desarrollado personalmente para extraer y recuperar las conversaciones de WhatsApp que están encriptadas y que facilita sobremanera el trabajo a las personas que no tienen grandes conocimientos técnicos.

Se trata de Wacrypt un software en terminales Android para el tratamiento de las evidencias recogidas en WhatsApp que, nos guste más o menos, es la aplicación de mensajería instantánea más usada en todo el mundo con un cálculo aproximado de más de 60.000 millones de mensajes enviados a diario. Casi nada. Esto da una idea de la importancia que puede tener en ciertas circunstancia buscar de manera sencilla los mensajes, desencriptar las conversaciones y guardarlas en un dispositivo para revisarlas o analizarlas.

Matías Moreno (@mmorenodev) es consultor de Seguridad TI y hacking ético, desarrollador de Software Multiplataforma full-stack. DevOp con más de 10 años de experiencia en el sector TI, profesor en diversos cursos orientados a la iniciación al hacking ético y a técnicas de desarrollo seguro S-SDLC. Se puede consultar a su desarrollador para ampliar la información sobre Wacrypt y pedirle si puede facilitar una versión de prueba de la herramienta ya que en este caso no estoy hablando de una herramienta de código abierto como suele ser habitual. A continuación está el vídeo y podcast de su charla en la que explica su funcionamiento.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

 

Cómo certificar un chat de WhatsApp para que funcione como prueba en un proceso judicial

GUARDAR

Agregue a sus temas de interés

• Proceso judicial
• Judicial
• Juez
• Audiencias digitales

Administre sus temas

• Laura Vita Mesa lvita@larepublica.com.co

viernes, 27 de noviembre de 2020

Para garantizar la validez del mensaje de datos es necesario un análisis pericial, que certifique que no ha sido manipulado

Una de las consecuencias de la aceleración digital que trajo la pandemia es que prácticamente todo está alojado en este ecosistema. Esto es válido, también, para las pruebas de los delitos, pues en la eventualidad de que se quieran denunciar situaciones como, por ejemplo, amenazas recibidas por correo electrónico, el material probatorio es virtual.

Lo anterior ha hecho que cobre cada vez más importancia la certificación de evidencia digital y prueba de eso es el crecimiento de compañías dedicadas a ello como Adalid, Ratsel, FTI o Investigaciones Estratégicas.

La evidencia digital, como está definida en la Ley 527 de 1.999, es toda la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Es decir, entran en esta categoría los chats, correos electrónicos, mensajes de texto o notas de voz.

Podría pensarse que hacer un pantallazo de Whatsapp o imprimir un correo electrónico es suficiente para probar ante un juez la existencia de la conducta delictiva denunciada. Sin embargo, explicó el penalista Alejandro Mejía, de Cáez Muñoz Mejía, que en Colombia se debe garantizar que las pruebas alojadas en el entorno digital sean auténticas e inalterables.

“Hay muchos programas para editar y modificar todo, por eso, a diferencia de lo que sucede en países como Ecuador, la evidencia en Colombia solamente se admite como prueba directa confirmatoria si hay un análisis pericial que garantice que la huella digital del documento no ha sido alterada y se conserva su autenticidad”, explicó Mejía.

Esto, en otras palabras, quiere decir que un pantallazo de Whatsapp puede dar al juez indicios de que se cometió la conducta, pero solo se admite como prueba si un perito certifica que no ha sido modificado.

Para cumplir con los requisitos de validez jurídica, un mensaje de datos debe tener las siguientes condiciones: estar escrito, es decir, que se pueda acceder para su posterior consulta en su formato original; y estar firmado.

“Todos tenemos identificadores en los sistemas de información, como son las contraseñas, huellas, o los correos electrónicos. Estos son nuestra firma digital, y para que los mensajes cumplan con este requisito de validez debe poder verificarse de quién viene la evidencia. Por ejemplo, para un chat sería nuestro número de celular”, explicó Axel Díaz, director del laboratorio de informática forense de Adalid Corp.

Además, el mensaje de datos aportado como evidencia debe mantenerse original e íntegro, lo que quiere decir que debe estar completamente inalterada la información que contiene. Esto se hace a través de un hash, que es algoritmo que extrae del interior del mensaje un código alfanumérico que cumple las veces de huella y este permite demostrar si la evidencia fue modificada de alguna manera.

DENEGACIÓN DE JUSTICIA

 DENEGACIÓN DE JUSTICIA

Abstención o negligencia por parte de los tribunales de su obligación de impartir justicia. Es una conducta contraria a los deberes y obligaciones que le impone la Ley a los jueces al no decidir cuándo deben hacerlo, y si lo hacen, tanta es su tardanza que es inútil a los fines de la justicia. Ejemplo: «El tribunal le dio la razón a mi padre después de su muerte, una injusticia sustituyó a la otra, incurriéndose en denegación de justicia”.

Segundo aparte del artículo 255 de la CRBV: “(…) Los jueces o juezas son personalmente responsables, en los términos que determine la ley, por error, retardo u omisiones injustificados, por la inobservancia sustancial de las normas procesales, por denegación, parcialidad, y por los delitos de cohecho y prevaricación en que incurran en el desempeño de sus funciones”.

 

Otrosí en los contratos

El otrosí es un documento anexo al contrato principal en el que se aclaran, adicionan o cambian condiciones del contrato principal. Se utiliza para modificar un contrato.

Otrosí.

La real academia de la lengua española define el otrosí como las peticiones que se ponen después de la principal, además o adicional a lo principal.

En la realidad contractual del día a día se ha ampliado la connotación del otrosí, que se entiende como una enmienda o modificación de un contrato.

En consecuencia, el Otrosí lo que hace es modificar el contrato agregando cláusulas que incluso pueden afectar el objeto principal del contrato.

El uso del Otrosí.

Se supone que el otrosí es para adicionar una pretensión luego de la principal, pero las partes suelen utilizarlo para mucho más que eso, incluso para modificar sustancialmente un contrato, donde el principal llega a ser el otrosí y no lo inverso que se supone es.

Lo anterior no hace que el contrato sea nulo ni mucho menos, siempre que haya acuerdo expreso de las partes en el contenido del otrosí, y en lo que ese contenido cambia la obligación principal.

No obstante, lo anterior, el otrosí no debe novar la obligación principal, pues en tal caso lo que hay que hacer es precisamente un contrato de novación.

Por ejemplo, si se firma una promesa de compraventa para comprar un apartamento y luego las partes no quieren negociar un apartamento sino un vehículo, el otrosí no es la figura adecuada, sino que se debe o bien terminar por mutuo acuerdo el contrato de promesa de compraventa y firmar otro como si nada hubiera pasado, o firmar un contrato de novación.

Requisitos del Otrosí.

No existe una regulación especial sobre la materia, por lo tanto los requisitos del otrosí no pueden ser diferentes a los del contrato principal ni cumplir formalidades adicionales.

Lo ideal es que el otrosí sea por escrito, y si el contrato principal fue autenticado, el otrosí también debe serlo para que luego no sea cuestionado, pues el otrosí puede ser tan importante como el principal.

Autenticar contratos, documentos y títulos valores ¿Por qué hacerlo?.Un documento o contrato por regla general no requiere ser autenticado, pero es más seguro si se autentica.

Efectos jurídicos del Otrosí.

Un otrosí tiene la capacidad de modificar el contrato en lo que se haya acordado en el otrosí, de manera que el otrosí se integra o incorpora al contrato principal y entre los dos se conforma una sola obligación, de manera que las partes deben cumplir con lo que diga el contrato visto como un solo con lo que diga el otrosí.

¿Qué pasa si no hay acuerdo entre las partes sobre el Otrosí?

Si las partes no se ponen de acuerdo con el otrosí, no puede existir otrosí, y el contrato principal no se ve modificado o afectado.

En los contratos bilaterales y consensuales las dos partes deben ponerse de acuerdo para que el contrato sea válido, de modo que si no hay acuerdo, no hay otrosí.

Se repite, si no hay consenso y por consiguiente no hay otrosí, el contrato principal sigue su curso con las obligaciones que en él se integran, tanto para la parte que propuso el otrosí como para la parte que no lo aceptó.

Al respecto es importante referir lo que dijo la Corte suprema de justicia en sentencia SC2307-2018 del 25 de junio de 2018 con ponencia del magistrado Aroldo Wilson Quiroz Monsalve:

«Efectivamente, el accionante parte de la base de que la sociedad demandada incumplió la promesa de venta ajustada entre ellos, al pretender su modificación mediante otrosí que finalmente no llegó a buen término porque no fue suscrito.

Sin embargo, como ya anotó la Corte, el que los negociantes no llegaran a un convenio respecto del aludido otrosí generaba, ni más ni menos, que la promesa de venta suscrita se mantenía sin ninguna modificación y, por contera, que ambos debían honrar las prestaciones allí plasmadas.»

El claro que el contrato principal sigue vigente si una de las partes no acepta el otrosí, y la parte que no lo acepta no debe interpretar que la otra parte incumplió con el contrato, porque ello tiene un efecto importante en la acción de cumplimiento de contrato.

Acción de cumplimiento de contrato.La acción de cumplimiento de contrato permite a la parte cumplida exigir por vía judicial el cumplimiento del contrato.

Recordemos que quien debande el cumplimiento o la resolución del contrato debe haber cumplido con su parte, pero si las partes se quedan convencidas que con el rechazo del otrosí se considera incumplido el contrato principal, incumplirán el contrato por inacción y luego no podrán demandar.

Contratos en los que se puede incluir un Otrosí.

El otrosí aplica a cualquier tipo contrato como en el contrato de arrendamiento, de compraventa, e incluso en un contrato de trabajo.

Es probable que en algunos casos particulares no sea procedente pero no porque la ley lo prohíba sino por políticas de alguna de las partes, como puede suceder en un contrato que se firma con una entidad estatal.

Cuántos otrosí se pueden hacer en un contrato.

No existe un límite al número de otrosíes que pueden hacer a un contrato, así que todo de pende de las necesidades particulares y la voluntad de las partes.

Los contratos a medida que se ejecutan van requiriendo ajustes, ajustes que se hacen medio de un otrosí, y serán tantos como las circunstancias particulares de cada contrato lo requieran.

Otrosí para modificar un otrosí.

Un otrosí se hace para modificar un contrato, y se integra a ese contrato principal, por lo tanto, es perfectamente fiable hacer otro otrosí para modificar ese otrosí.

La ley otorga a las partes libertad contractual, así que no existe impedimento legal para modificar tanto el contrato principal como los otrosíes existentes.