Celular, un testigo posible y silencioso · 2018-11-18 · Jaula de Faraday Laboratorio...
Transcript of Celular, un testigo posible y silencioso · 2018-11-18 · Jaula de Faraday Laboratorio...
1/40
Celular, un testigo posible y silencioso
por María Andrea Vignau
Investigación de un caso de femicidio, realizado con el uso de tecnología forense.
2/40
Temas
Investigación judicial.
Pericia de dispositivos móviles
Decodificando los datos de OLX
3/40
Investigación judicial
● Febrero 2017● Barranqueras, Chaco● La madre deja a su hija
a las 4:00 AM viva● A las 10:30, el padrastro
la encuentra muerta● No se encuentra su
teléfono móvil.
4/40
Investigación judicial
● Se investiga el círculo íntimo
● El fiscal no sabe en quién confiar
● Se secuestran teléfonos móviles
● Se conoce último número de teléfono de la víctima.
5/40
Investigación judicial
● Cursan oficios pidiendo información sobre el número de abonado a todas las empresas de telefonía celular
6/40
Investigación judicial
7/40
Investigación judicial
IMSI● International Mobile
Subscriber Identity. ● Identificador único de un
usuario de telefonía móvil. Formado por:– MCC = Mobile Country Code– MNC = Mobile Network
Code– MSIN = Seq serial number.
ICCID● Integrated Circuit
Card ID● Identificador de la
tarjeta SIM misma, el “chip”
8/40
Investigación judicial
● Obtenido el IMEI pudo investigarse qué otros números telefónicos impactaron en el dispositivo.
● Obtenida la información, se tuvieron 2 sospechosos de encubrimiento
9/40
Investigación judicial
● Una vez interrogados, denunciaron haber adquirido el aparato por OLX, y brindan nombre del usuario vendedor.
● Por OSINT, se determinó el domicilio del vendedor del teléfono.
10/40
Investigación judicial
● Se produce allanamiento
● Se secuestran 14 celulares.
11/40
Pericias dispositivos móviles
● Un dispositivo puede ser borrado o bloqueado a distancia o por una app.
● Si está encendido, se lo deja así, para preservar evidencia volátil y evitar bloqueos.
● Si está apagado, se lo deja así.
12/40
Pericias dispositivos móviles
Jaula de Faraday ● Preserva la evidencia
evitando que se conecte a las redes móviles o de wifi.
13/40
Pericias dispositivos móviles
● Se envuelve en papel aluminio, al menos 3 capas.
● Efectiva y económica Jaula de Faraday
● Existen bolsas especiales, pero resultan muy costosas.
14/40
Pericias dispositivos móviles
● Disponemos de UFED, de la empresa israelí Cellebrite, para extraer información
● Hay alternativas como XRY, Oxygen, Axiom, etc.
● El sofware libre es escaso y mal mantenido.
15/40
Pericias dispositivos móviles
Jaula de Faraday ● Dentro del laboratorio
para asegurar la contínua preservación
● Muchas alternativas impagables.
16/40
Pericias dispositivos móviles
17/40
Pericias dispositivos móviles
Sin presupuesto usamos:
1)Intentar extracción por bootloader sin encender el teléfono
2)Extraer la tarjeta SIM o usar modo Avión.
18/40
Pericias dispositivos móviles
Extracción Física● Utiliza un usuario
administrador o ROOT ● Método que más registros
obtiene.● Puede recuperar registros
borrados y contraseñas, archivos eliminados no sobrescritos, etc
19/40
Pericias dispositivos móviles
Extracción de sistema de archivos
● Utiliza el sistema de resguardo del dispositivo.
● Puede recuperar registros borrados y contraseñas.
● Pueden recuperarse paquetes de resguardo de la nube.
20/40
Pericias dispositivos móviles
Extracción lógica● Utiliza un programa
para extraer ● Extrae registros visibles
por un usuario común
21/40
Pericias dispositivos móviles
Para asegurar la integridad de los datos,
se utiliza funciones de hash con la evidencia.
Función hash:● Tiene como entrada un
conjunto de elementos, que suelen ser cadenas, y los convierte en un rango de salida finito
● Actúa como una proyección del conjunto U sobre el conjunto M.
22/40
Decodificando los datos de OLX
● Extracción física● BD olxMsgDatabase● Formato SQLite● Tabla objects
23/40
Decodificando los datos de OLX
● Sólo tres campos
● ObjectKey● ObjectData● ObjectDate
24/40
Decodificando los datos de OLX
Campo objectKey● Clave principal ● Similar a:
e4e7142f-04e7-4156-a05c-d8c99d24e01e
● Sirvió para filtrar los registros, determinando los que son ítems negociados
● Usamos la expresión regular:'....-..-..-..-....'
25/40
Decodificando los datos de OLX
Campo objectDate● Es fecha y hora de
creación del registro ● Es unix epoch * 1000,
localizado a UTC
26/40
Decodificando los datos de OLX
Campo objectData● Son todos los datos del
ítem negociable y los chats asociados
● Está en formato JSON
27/40
Decodificando los datos de OLX
● Descubrimos que teníamos bien identificadas:– Latitud y longitud– Fecha en formato ISO– Título y descripción– Varias imágenes
28/40
Decodificando los datos de OLX
● Nos permitió ver los mensajes.
● IsMine: significa que el mensaje proviene del celular donde está instalada la app.
29/40
Decodificando los datos de OLX
● Son los participantes de las conversaciones.
● Nos permitió ver qué usuarios estaban conversando para negociar un ítem.
30/40
Decodificando los datos de OLX
● Las fechas de los ítems estaban en formato ISO
● Las de los mensajes en enteros desde unix epoch
● Y todo localizado en UTC… no rescató la biblioteca pytz
31/40
Decodificando los datos de OLX
● Finalmente, para volcar la información en formato HTML, creamos templates usando JINJA2
32/40
Decodificando los datos de OLX
● Finalmente, usando la biblioteca pdfkit que usa la aplicación wkhtmltopdf, pudimos generar un reporte en formato PDF.
33/40
Decodificando los datos de OLXCapturas de ejemplo del informe pericial conseguido
34/40
Decodificando los datos de OLXCapturas de ejemplo del informe pericial conseguido
35/40
Decodificando los datos de OLXCapturas de ejemplo del informe pericial conseguido
36/40
Investigación judicial
Denuncia del homicidio
Obtención del Nº abonado
de la víctima.
Oficio a telefónicas Obtención del
IMEI
Informan telefónicas
abonados con este IMEI
Obtención últimos
2 usuarios
Informan usuario OLX
que les vendió
Allanamiento del revendedor.
Secuestro de 14 teléfonos
móviles
Investigación sobre cadena de
reventas
37/40
Pericias dispositivos móvilesSecuestro de móviles
NO Encender NO Apagar
Proteger con Jaula de Faraday
Laboratorio
Herramientas forensesUFED Cellebrite Axiom OxygenXRY
Poner modo aviónExtraer SIM
Intentar extracción con bootloader Extracciones
posibles
Física
de Sistema de Archivos
Lógica{Asegurar con HASH
38/40
Decodificando los datos de OLXExtracción
FísicaBBDD SQLite
olxMsgDatabase
Tabla OBJECTS
3 campos
ObjectKeyObjectData ObjectDate
Selecciono con
regexp
Convierto de Unix Epoch a
LocalTime
JSONItemMessagesSenders
Conversión de fechas
strptime
fromtimestamppytz.localize().
astimezone()
Genera HTML usando Jinja2
Genera PDF con wkhtmltopdf/pdftk
Pyth
on
39/40
Celular, un testigo posible y silencioso
por María Andrea Vignau
Agradecimientos por la colaboración de mis compañeros:
- Facundo Martín Toledo- Norma Alicia Lovey
40/40
Celular, un testigo posible y silenciosopor María Andrea Vignau
Ing en Sistemas de InformaciónPerito Informático ForensePoder Judicial Chaco
Twitter: @mavignauTelegram: @mavignauGitHub: marian-vignau