Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Herramientas para realizar análisis forenses a dispositivos móviles

Fecha de publicación 23/02/2016
Autor
Asier Martínez (INCIBE)
Realizar análisis forenses a dispositivos móviles

El artículo Introducción al análisis forense en móviles realiza una aproximación a diferentes aspectos relacionados con esta temática como metodologías, fases del proceso o las complicaciones inherentes al mismo. A la hora de llevarlo a cabo, teniendo en cuenta principalmente las fases de adquisición y análisis de las evidencias, es necesario conocer un amplio abanico de métodos, técnicas y herramientas así como los criterios necesarios para poder evaluar la idoneidad de utilización de unas respecto a otras. En el presente artículo se van a dar respuesta a estas cuestiones.

A grandes rasgos existen 3 métodos distintos de extracción de evidencias: adquisición física, adquisición del sistema de ficheros y adquisición lógica.

  • Adquisición física: es el método más utilizado habitualmente. Consiste en realizar una réplica idéntica del original por lo que se preservan la totalidad de las evidencias potenciales. Este procedimiento presenta la ventaja de que es posible buscar elementos eliminados. Su desventaja principal es su complejidad respecto a los otros métodos y el tiempo que lleva su realización.
  • Adquisición lógica: consiste en realizar una copia de los objetos almacenados en el dispositivo. Para ello, se utilizan los mecanismos implementados de manera nativa por el fabricante, es decir, aquellos que son utilizados de manera habitual para sincronizar el terminal con un ordenador. de modo que se solicita la información deseada al sistema operativo del dispositivo móvil. Presenta la ventaja de que es un proceso mucho más sencillo que el anterior, si bien no permite acceder a multitud de información.
  • Adquisición del sistema de ficheros: permite obtener todos los ficheros visibles mediante el sistema de ficheros, lo que no incluye ficheros eliminados o particiones ocultas. Dependiendo del tipo de investigación puede resultar suficiente utilizar este método lo que supone una complejidad menor que la adquisición física. Para llevarlo a cabo se aprovecha de los mecanismos integrados en el sistema operativo para realizar el copiado de los ficheros, Android Device Bridge (ADB) en el caso de Android. Mediante este método es posible recuperar cierta información eliminada ya que algunos sistemas operativos como es el caso de Android e iOS se valen de una estructura que utiliza bases de datos SQLite para almacenar gran parte de la información. De este modo, cuando se eliminan registros de los ficheros, únicamente se marcan como disponibles para sobrescritura, por lo que temporalmente siguen estando disponibles y por tanto es posible recuperarlos.

A la hora de seleccionar el método más adecuado, se tienen en cuenta multitud de aspectos como por ejemplo: el nivel de exhaustividad requerido, la limitación de tiempo para realizar el proceso, qué tipo de información es necesario obtener: información volátil, información que ha sido previamente eliminada, información de aplicaciones de terceros, etc.

Otro método más práctico que puede servir de ayuda en el momento de elegir la manera más adecuada / posible de adquirir las evidencias es el siguiente diagrama, en el que se tienen en cuenta diferentes aspectos como por ejemplo si está activada la depuración USB, si el terminal está bloqueado o si se tiene acceso, etc.

Diagrama de flujo

Fuente: ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android

A la hora de realizar el proceso de extracción existe un número notable de herramientas que se deben tener en consideración. Dependiendo de su funcionamiento interno pueden ser catalogadas de diferentes maneras. Como base para su clasificación se puede utilizar la pirámide propuesta por Sam Brothers en la U.S. Cybercrime Conference de 2011.

Pirámide de clasificación de herramientas de análisis forense

Fuente: Pirámide de clasificación de herramientas de análisis forense para dispositivos móviles

Esta pirámide pretende servir de guía para clasificar las herramientas de análisis forense de acuerdo a diferentes criterios como: complejidad, tiempo de análisis requerido, riesgo de pérdida o destrucción de evidencias, nivel invasivo y lo que se conoce como "forensically sound" que viene a significar algo similar al nivel de fiabilidad, si bien se trata únicamente de una percepción ya que todas las herramientas y técnicas utilizadas deben tener una fiabilidad contrastada. La manera de interpretar el esquema es desde abajo de la pirámide hacia arriba, de modo que las capas superiores poseen una complejidad técnica mayor, un mayor tiempo requerido y más "forensically sound".

A continuación, se van a presentar una serie de herramientas de gran utilidad a la hora de realizar la extracción de información:

Herramientas gratuitas genéricas

  • AFLogical OSE - Open source Android Forensics app and framework es una aplicación en formato APK que debe ser previamente instalada en el terminal Android. Una vez finalizado el proceso permite extraer información variada a la tarjeta SD (registro de llamadas, listado de contactos y de aplicaciones instaladas, mensajes de texto y multimedia) y posteriormente ésta debe ser recuperada o bien conectando la tarjeta a un dispositivo externo o mediante el ADB.
  • Open Source Android Forensics es un framework que se distribuye mediante una imagen de máquina virtual que reúne varias herramientas que permiten analizar aplicaciones para dispositivos móviles, incluyendo análisis tanto estático como dinámico o incluso para realizar un análisis forense.
  • Andriller es una aplicación para sistemas operativos Windows que reúne diferentes utilidades forenses. Permite obtener multitud de información de interés relacionada, entre otras cosas, tanto con redes sociales como con programas de mensajería (Skype, Tinder, Viber, WhatsApp, etc.).
  • FTK Imager Lite permite trabajar con volcados de memoria de dispositivos móviles para poder analizarlos y obtener evidencias.
  • NowSecure Forensics Community Edition se distribuye como una imagen virtual que reúne varias herramientas para realizar un análisis forense, pudiendo realizar diferentes tipos de extracción de evidencias o incluso file carving en su versión comercial.
  • LIME- Linux Memory Extractor es un software que permite la obtención de un volcado de memoria volátil de un dispositivo basado en Linux como es el caso de los teléfonos móviles Android. Así mismo, presenta la ventaja de que puede ser ejecutado remotamente vía red.

Herramientas gratuitas específicas

  • Android Data Extractor Lite (ADEL) es una herramienta desarrollada en Python que permite obtener un flujograma forense a partir de las bases de datos del dispositivo móvil. Para poder realizar el proceso, es necesario que el dispositivo móvil esté rooteado o tener instalado un recovery personalizado.
  • WhatsApp Xtract permite visualizar las conversaciones de WhatsApp en el ordenador de una manera sencilla y amigable. Para ello, se deben obtener previamente las diferentes bases de datos que almacenan la información correspondiente a los mensajes.
  • Skype Xtractor es una aplicación, soportada tanto en Windows como Linux, que permite visualizar la información del fichero main.db de Skype, el cuál almacena información referente a los contactos, chats, llamadas, ficheros transferidos y mensajes eliminados, etc.

Herramientas de pago

  • Cellebrite Touch es uno de los dispositivos de extracción de evidencias más famoso y completo del mercado. Permite trabajar con más de 6.300 terminales distintos con los principales sistemas operativos móviles. Así mismo, es muy sencillo e intuitivo.
  • Encase Forensics, al igual que Cellebrite, es un referente en el mundo del análisis forense. Entre su amplio abanico de funcionalidades incluye la de identificar ficheros cifrados y la de intentar descifrarlos mediante Passware Kit Forensic, una utilidad que incorpora algoritmos específicos para tal fin.
  • Oxygen Forensic Suite es capaz de obtener información de más de 10.000 modelos diferentes de dispositivos móviles e incluso obtener información de servicios en la nube e importar backups o imágenes.
  • MOBILedit! Forensic permite obtener multitud de información y realizar operaciones avanzadas como obtener un volcado completo de memoria, sortear las medidas de bloqueo del terminal, generación flexible de reportes.
  • Elcomsoft iOS Forensic Toolkit permite realizar la adquisición física sobre dispositivos iOS como iPhone, iPad o iPod. Así mismo, incluye otras funcionalidades de utilidad como la descifrar el llavero que almacena las contraseñas del usuario del terminal analizado o registrar cada acción que se realiza durante todo el proceso para dejar constancia de las mismas.

Para poder realizar el proceso de toma de evidencias en un dispositivo móvil Android muchas de las herramientas requieren tener habilitada la opción de "Depuración de USB", preferiblemente la de "Permanecer activo" y deshabilitar cualquier opción de bloqueo de pantalla por tiempo. En el caso de que el terminal tenga configurada alguna opción de bloqueo de pantalla es necesario sortearla.

La mayoría de las utilidades anteriormente descritas, principalmente las de pago, incluyen mecanismos para saltarse estas protecciones por lo que únicamente habrá que seguir los pasos que indiquen, aunque no siempre es posible. Si el proceso se va a realizar de manera manual se tendrá que realizar alguna de las siguientes acciones:

  • Si el dispositivo esté rooteado se podrá intentar eliminar el fichero gesture.key o password.key según el modo de protección establecido, los cuales, se almacenan en /data/system/ o copiarlos y descifrar el patrón mediante algún diccionario de hashes como AndroidGestureSHA1, utilizando para ello alguna herramienta como Android Pattern Lock Cracker.
  • Instalar algún recovery personalizado como ClockWorkMod o Team Win Recovery Project (TWRP) y posteriormente desactivar el bloqueo de acceso al dispositivo.
  • El problema de la fragmentación en las plataformas móviles provoca que la gran mayoría de los dispositivos estén afectados con vulnerabilidades que no van a ser solucionadas para esos modelos por lo que dependiendo de la versión de Android es posible utilizar alguna de ellas para obtener acceso al dispositivo, como por ejemplo CVE-2013-6271.
  • Utilizar fuerza bruta. En el caso de se utilice un pin de 4 dígitos como mecanismo de seguridad se ha demostrado que es posible obtenerlo en un breve periodo de tiempo, alrededor de 16 horas como máximo.
  • Incluso podría llegar a utilizarse alguna técnica más sofisticada como demostraron varios miembros del departamento de informática de la Universidad de Pennsylvania en lo que nombraron como «Smudge Attack», que consiste en obtener el patrón de bloqueo a partir de las huellas que quedan en la pantalla del dispositivo móvil, utilizando para ello fotografías desde distintos ángulos modificando las propiedades de luz y color.