NIST SP 800-101r1 en Es

NIST Special Publication 800-101
revisión 1
Directrices sobre dispositivos móviles

Los forenses
Rick Ayers Sam

hermanos Wayne
Jansen
http://dx.doi.org/10.6028/NIST.SP.800-101r1
NIST Special Publication 800-101
revisión 1
Directrices sobre dispositivos móviles

Los forenses
Rick Ayers
Software y Laboratorio de Sistemas
División de Informática
Sam Hermanos
Departamento de Aduanas y Protección
Fronteriza de Seguridad Nacional
Springfield, VA
Wayne Jansen
Booz Allen Hamilton
McLean, VA
http://dx.doi.org/10.6028/NIST.SP. 800-101r1
mayo de 2014
Departamento de Comercio de los EE.UU.

Penny Pritzker, Secretario
Instituto Nacional de Estándares y Tecnología

Patrick D. Gallagher, subsecretario de Comercio de Estándares y Tecnología y Director
Autoridad
Esta publicación ha sido desarrollado por el NIST, de acuerdo con sus responsabilidades legales bajo la Ley Federal de Gestión de
Seguridad de la Información de 2002 (FISMA), 44 USC § 3541 y siguientes., Ley Pública (PL) 107-347. NIST es responsable del
desarrollo de normas y directrices de seguridad de la información, incluidos los requisitos mínimos para los sistemas de información
federales, pero esas normas y directrices no se aplicará a los sistemas de seguridad nacional sin la aprobación expresa de
Funcionarios federales apropiadas ejercen funciones de autoridad política sobre dichos sistemas. Esta directriz es consistente con
los requisitos de la Oficina de Administración y Presupuesto (OMB) Circular A-130, Sección 8 ter (3), Sistemas de Información de la
Agencia de sujeción, como se analiza en Circular A-
130, Apéndice IV: El análisis de las secciones clave. Se proporciona información complementaria en la Circular A-
130, Apéndice III, Seguridad de los recursos de información automatizados federales.
Nada en esta publicación debe ser tomado en contradicción con las normas y directrices hechas obligatorios y vinculantes para las
agencias federales por el Secretario de Comercio bajo la autoridad legal. Tampoco deben estas pautas deben ser interpretados como
alterar o reemplazando las autoridades existentes de la Secretaría de Comercio, Director de la OMB, o cualquier otro funcionario
federal. Esta publicación puede ser utilizado por las organizaciones no gubernamentales sobre una base voluntaria y no está sujeta a
derechos de autor en los Estados Unidos. Atribución sería, sin embargo, se apreciará por NIST.
Instituto Nacional de Estándares y Tecnología de la publicación especial 800-101r1

Natl. Inst. Estar. Technol. Especulación. Publ. 800-101 Revisión 1, 87 páginas (mayo de 2014)
http://dx.doi.org/10.6028/NIST.SP. 800-101r1
CODEN: NSPUE2
Ciertas entidades comerciales, equipos o materiales pueden ser identificados en este documento con el fin de describir un procedimiento
experimental o concepto de manera adecuada. Tal identificación no se pretende dar a entender recomendación o aprobación por NIST, ni tiene
por objeto dar a entender que las entidades, materiales, o equipo son necesariamente los mejores disponibles para el propósito.
Puede haber referencias en esta publicación a otras publicaciones actualmente en desarrollo por el NIST, de acuerdo con sus responsabilidades
legales asignadas. La información de esta publicación, incluyendo los conceptos y metodologías, puede ser utilizada por las agencias federales,
incluso antes de la finalización de este tipo de publicaciones de compañía. Por lo tanto, hasta que se completa cada publicación, los requisitos
actuales, directrices y procedimientos, cuando existen, siguen siendo operativas. A efectos de planificación y de transición, las agencias federales
pueden desear seguir de cerca el desarrollo de estas nuevas publicaciones por el NIST.
Se anima a las organizaciones a revisar todos los proyectos de publicaciones durante períodos de comentario público y proporcionar información a
NIST. Todas las publicaciones de la División de Seguridad Informática NIST, distintos a los señalados anteriormente, están disponibles en
http://csrc.nist.gov/publications.
II
Los informes sobre los sistemas de tecnología de la computación
El Laboratorio de Tecnología de la Información (DIT) del Instituto Nacional de Estándares y Tecnología (NIST) promueve la
economía estadounidense y el bienestar público, proporcionando liderazgo técnico para la infraestructura de medición y estándares
de la Nación. ITL desarrolla pruebas, métodos de prueba, datos de referencia, la prueba de las implementaciones de concepto y
análisis técnicos para avanzar en el desarrollo y uso productivo de la tecnología de la información. responsabilidades de ITL
incluyen el desarrollo de la gestión, normas y directrices administrativas, técnicas y físicas para la seguridad económica y la
privacidad de otra que la información relacionada con la seguridad nacional en los sistemas de información federales. La
publicación especial los informes de la serie 800 en investigación, directrices, y los esfuerzos de difusión de ITL en la seguridad del
sistema de información, y sus actividades de colaboración con la industria,
Abstracto
análisis forense de dispositivos móviles es la ciencia de la recuperación de la evidencia digital desde un dispositivo móvil en condiciones forense
de sonido mediante métodos aceptados. análisis forense de dispositivos móviles es una especialidad de la evolución en el campo de la ciencia
forense digital. Esta guía trata de cerrar la brecha proporcionando una mirada en profundidad en los dispositivos móviles y explicando las
tecnologías involucradas y su relación con los procedimientos forenses. Este documento cubre los dispositivos móviles con características más
allá de las capacidades de comunicación de voz y mensajes de texto simples. Esta guía también contiene procedimientos para la validación, la
preservación, la adquisición, exploración, análisis y reporte de la información digital.
Palabras clave
forense de teléfonos celulares; herramientas forenses; dispositivos móviles; forense dispositivo móvil; herramientas de dispositivos móviles;
teléfonos inteligentes
III
Expresiones de gratitud
Los autores, Rick Ayers de NIST, Sam hermanos de aduanas y protección de fronteras y Wayne Jansen de
Booz-Allen-Hamilton, desean agradecer a los colegas que revisaron los borradores de este documento. En particular,
nuestro agradecimiento a Barbara Guttman de NIST y Simson Garfinkle de la Naval Postgraduate School por su apoyo
técnico y contribuciones por escrito a este documento.
También agradecemos a Bob Elder de TeelTech Canadá, Gary Kessler de Gary Kessler Asociados, Rick Mislan de
Rochester Institute of Technology y Daren Melson por su ayuda en cuestiones técnicas que surgieron en nuestro trabajo.
Los autores también desean agradecer a todos los que ayudaron en el proceso de revisión.
IV
Directrices sobre el análisis forense de dispositivos móviles
Tabla de contenido
TABLA DE CONTENIDO ............................................... .................................................. ............ V
LISTA DE FIGURAS ............................................... .................................................. ................... VII
LISTA DE MESAS ............................................... .................................................. ................... VIII
RESUMEN EJECUTIVO................................................ .................................................. ......... 1
1. INTRODUCCIÓN ................................................. .................................................. ............... 1
1.1 P Y ROPÓSITO S CAPA PLUVIAL .................................................. .................................................. ..... 1

1.2 A Y úblico UN SSUMPTIONS .................................................. ........................................ 1
1.3 D OCUMENTO S ESTRUCTURA .................................................. .................................................. 1
2. FONDO ................................................. .................................................. ................. 3
2,1 M obile re evice do ARACTERÍSTICAS .................................................. ............................... 3

2,2 M EMORIA do ONSIDERACIONES .................................................. ............................................ 5
2.3 I DENTIDAD METRO ÓDULO do ARACTERÍSTICAS .................................................. ........................... 7
2.4 C ELLULAR norte RED do ARACTERÍSTICAS .................................................. ..................... 10
2,5 O EL R do OMUNICACIONES S ISTEMAS .................................................. ............................ 12
3. Herramientas forenses ................................................ .................................................. ........... 15
3,1 M obile re evice T ERRAMIENTA do CLASIFICACIÓN S SISTEMA .................................................. ........ 15

3.2 T UICC OOLS .................................................. .................................................. ................ 23
3.3 O BSTRUCTED re quipos .................................................. .................................................. 24
3.4 F ORENSIC T ERRAMIENTA do APABILITIES .................................................. ...................................... 25
4. CONSERVACIÓN ................................................. .................................................. ............. 27
4.1 S Y ECURING mi VALUACIÓN DE LA S CENE .................................................. ..................... 27

4.2 D OCUMENTING LA S CENE .................................................. ............................................ 28
4.3 I solation .................................................. .................................................. .................... 28
4.4 P ackaging, T RANSPORTING, Y S HACER SONAR mi RUEBA ................................................ 33
4,5 O NORTE- S ITE T matri- PAG LABORACIÓN .................................................. ....................................... 33
4,6 G ENERIC O NORTE- S ITE re ECISIÓN T REE ................................................. ................................. 35
5. ADQUISICIÓN ................................................. .................................................. ................. 37
5,1 M obile re evice yo DENTIFICACIÓN .................................................. ................................. 37

5.2 T ERRAMIENTA S Y ELECCIÓN mi Xpectations .................................................. ......................... 39
5,3 M obile re evice METRO EMORIA UN CQUISITION .................................................. ...................... 40
5.4 T ANGENTIAL mi QUIPO .................................................. .............................................. 45
5.5 C RUIDOSO segundo AISD S ERVICIOS PARA METRO obile re quipos .................................................. .......... 46
6. EXAMEN Y ANÁLISIS ............................................... ................................... 48
6.1 P OTENCIAL mi RUEBA .................................................. .................................................. . 48

6.2 A PLICACIÓN METRO obile re evice F ORENSIC T OOLS .................................................. .............. 50
6.3 C TODO Y S UBSCRIBER R ECORDS .................................................. ................................. 52
V
7. REPORTE ................................................. .................................................. ..................... 55
8. Referencias ................................................. .................................................. .................. 58
8.1 B IBLIOGRAPHIC do LIMITA- .................................................. ........................................... 58

8.2 F OOTNOTED URL S .................................................. .................................................. ...... 62
ANEXO A. ACRONIMOS .............................................. .................................................. .... 64
ANEXO B. GLOSARIO .............................................. .................................................. ...... 67
Apéndice C. REGISTROS DE LLAMADAS NORMALIZADO ............................................ ............... 72
Apéndice D. RECURSOS EN LINEA para el análisis forense dispositivo móvil ................. 75
VI
Lista de Figuras
Figura 1: Configuraciones de memoria ...................................... 6
Figura 2: Tarjeta SIM Formatos Tamaño [Orm09] ....................... 8
Figura 3: Sistema de archivos SIM (GSM) ..................................... 9
Figura 4: Celular organización de la red ......................... 12
Figura 5: Satélite Red Teléfono .................................... 13
Figura 6: Mobile Sistema de Clasificación Herramienta para dispositivos ...... 17
Figura 7: Generic árbol Triage Decisión ........................... 36
VII
Lista de mesas
Tabla 1: Caracterización Hardware ................................... 4
Tabla 2: Caracterización del software .................................... 5
Tabla 3: Dispositivo móvil herramientas forenses ........................... 21
Tabla 4: tarjetas de memoria ............................................. ........ 46
Tabla 5: Ejemplo Estructura Record .................................. 72
Tabla 6: Sitios de recursos técnicos .................................... 75
Tabla 7: Bases de datos para la identificación de consultas .................. 75
VIII
Resumen ejecutivo
La comunidad forense digital, se enfrenta a un reto constante para estar al tanto de las últimas tecnologías que se pueden utilizar
para exponer pistas relevantes en una investigación. Los dispositivos móviles son comunes en la sociedad actual, utilizado por
muchas personas, tanto para fines personales y profesionales. Los dispositivos móviles varían en diseño y están sometidos
continuamente a cambio como mejorar las tecnologías existentes y se introducen nuevas tecnologías. Cuando se encuentra un
dispositivo móvil durante una investigación, surgen muchas preguntas: ¿Cuál es el mejor método para preservar la evidencia?
¿Cómo se debe manejar el dispositivo? ¿Cómo deben extraer los datos relevantes o potencialmente valiosos contenidos en el
dispositivo? La clave para responder a estas preguntas comienza con un firme entendimiento de las características de hardware
y software de los dispositivos móviles. Esta guía se describen los procedimientos para la preservación, la adquisición,
exploración, análisis y generación de informes de pruebas digitales. El tema de los retrasos cada vez mayores para la mayoría de
los laboratorios forenses digitales se aborda y se ofrece orientación sobre gestión de casos de triaje en el lugar.
El objetivo de la guía es doble: ayudar a las organizaciones evolucionan las políticas y procedimientos adecuados para hacer
frente a los dispositivos móviles y preparar especialistas forenses para llevar a cabo exámenes de vista forense de sonido que
involucran dispositivos móviles. Esta guía no es exhaustiva ni es prescribir cómo hacer cumplir la ley e incidentes comunidades
de respuesta deben manejar los dispositivos móviles durante sus investigaciones o incidentes. proveedores específicos y
orientación adquisición forense móvil no se especifica. Sin embargo, a partir de los principios esbozados y otra información
proporcionada, las organizaciones deben encontrar esta guía útil para establecer sus políticas y procedimientos. Esta publicación
no debe interpretarse como asesoramiento legal. Las organizaciones deben utilizar esta guía como punto de partida para el
desarrollo de una capacidad forense en relación con el entrenamiento técnico adecuado y una amplia orientación proporcionada
por los asesores legales, funcionarios y gestión. Esta guía es la primera revisión a NIST SP800-101. Si bien gran parte de la
información proporcionada en el presente documento se ha realizado sobre de la guía original, el material ha sido actualizada y
aumentada para reflejar el estado actual de la disciplina.
ES-1
1. Introducción
1.1 Propósito y alcance
Esta guía proporciona información básica sobre herramientas forenses móviles y la conservación, la adquisición, el examen y el análisis
y generación de informes de pruebas digitales presentes en los dispositivos móviles. Esta información es relevante para hacer cumplir la
ley, respuesta a incidentes y otros tipos de investigaciones. Esta guía se centra principalmente en las características de los dispositivos
móviles celulares, incluyendo los teléfonos con funciones, teléfonos inteligentes y tabletas con capacidades de voz celulares. También
cubre disposiciones que han de tomarse en consideración durante el curso de una investigación del incidente.
Esta guía está pensada para hacer frente a las circunstancias comunes que se pueden encontrar por los investigadores de la
organización del personal de seguridad y fuerzas policiales con datos electrónicos digitales que residen en los dispositivos móviles
y medios electrónicos asociados. También tiene por objeto complementar las directrices existentes y profundizar en los temas
relacionados con los dispositivos móviles y su examen y análisis.
Procedimientos y técnicas presentadas en este documento son una compilación de las mejores prácticas dentro de la disciplina y las
referencias se han tomado de las directrices existentes forenses. Esta publicación no es para ser utilizado como una guía paso a paso
para la ejecución de una investigación forense adecuado cuando se trata de dispositivos móviles ni interpretarse como asesoramiento
legal. Su propósito es informar a los lectores de las diferentes tecnologías involucradas y las posibles formas de acercarse a ellos desde
un punto de vista forense. Se aconseja a los lectores a aplicar las prácticas recomendadas sólo después de consultar con la
administración y los funcionarios legales para el cumplimiento de las leyes y reglamentos (es decir, locales, estatales, federales e
internacionales) que son aplicables.
1.2 Lectores y supuestos
El público objetivo es muy variada y va desde los examinadores forenses a los miembros del equipo de respuesta de manejo de un
incidente de seguridad informática a los funcionarios de seguridad de la organización que investigan un incidente relacionada con
los empleados. Las prácticas recomendadas en esta guía están diseñados para resaltar los principios técnicos clave asociados con
el manejo y el examen de los dispositivos móviles. Los lectores se supone que tienen un conocimiento básico de los métodos
forenses digitales tradicionales y capacidades que implican equipos independientes. Debido a la naturaleza cambiante de los
dispositivos móviles y sus procedimientos y herramientas forenses relacionados, se espera que los lectores a conocer y utilizar
recursos adicionales para la información más actualizada.
1.3 Estructura del documento
La guía se divide en los siguientes capítulos y apéndices:
• El capítulo 1 explica la autoridad, el propósito y el alcance, la audiencia y supuestos del documento y describe
su estructura.
• Capítulo 2 proporciona un fondo en las características de dispositivos móviles, la memoria interna de los
dispositivos móviles, y las características de los módulos de identidad y redes celulares.
1
• Capítulo 3 analiza el sistema de clasificación de herramienta dispositivo forense móvil, métodos de uso de dispositivos
obstruidos y las capacidades de las herramientas forenses.
• Capítulo 4 discute consideraciones de protección de pruebas digital asociada con los dispositivos móviles y
las técnicas para la prevención de comunicación de red.
• Capítulo 5 examina el proceso de dispositivos móviles y la adquisición de datos del módulo de identidad, equipos
tangencial y servicios basados en la nube para dispositivos móviles.
• Capítulo 6 describe el proceso de examen y análisis, fuentes comunes de pruebas extraídas de los dispositivos móviles y
módulos de identidad, características y capacidades de las herramientas de exploración y registros de llamadas / abonado.
• Capítulo 7 discute una visión general de la creación de informes y la notificación de los resultados.
• El capítulo 8 contiene una lista de referencias utilizadas en esta guía.
• Apéndice A contiene una lista de los acrónimos utilizados en esta guía.
• El Apéndice B contiene un glosario que define los términos utilizados en esta guía.
• Apéndice C proporciona un ejemplo de la estructura de los registros de llamadas mantenidos por operadores de
telefonía celular.
• Apéndice D proporciona enlaces a recursos en línea.
2
2. Fondo
En este capítulo se ofrece una visión general de las capacidades de hardware y software de los dispositivos móviles y sus redes
celulares asociadas. El documento ofrece un resumen de las características generales y, cuando sea útil, se centra en las
características clave de interés para la medicina forense. El desarrollo de una comprensión de los componentes y la organización de los
dispositivos móviles (por ejemplo, organización de la memoria y su uso) es un requisito previo para la comprensión de las complejidades
involucradas al tratar con ellos forense. Por ejemplo, la memoria móvil dispositivo que contiene los datos de usuario pueden ser volátiles
(es decir, DRAM / SRAM) y requiere de energía continua para mantener un contenido similar a la RAM en un ordenador personal. Del
mismo modo, las características de las redes celulares son un aspecto importante de la ciencia forense de dispositivos móviles, ya que
se mantienen los registros de uso, la ubicación geográfica y otros datos. tecnologías de dispositivos móviles y redes celulares están
cambiando rápidamente, con las nuevas tecnologías, productos y características que se están introduciendo con regularidad. Debido a
la rapidez con la que las tecnologías de dispositivos móviles están evolucionando, esta discusión capta una instantánea de la disciplina
de dispositivos móviles en la actualidad.
2.1 Características del dispositivo móvil
Los dispositivos móviles realizan una serie de funciones que van desde un dispositivo de telefonía sencilla a las de un ordenador
personal. Diseñado para la movilidad, que son de tamaño compacto, con motor de la batería, y ligero. La mayoría de los dispositivos
móviles tienen un conjunto básico de características y capacidades comparables. Albergan un microprocesador, memoria de sólo lectura
(ROM), memoria de acceso aleatorio (RAM), un módulo de radio, un procesador de señal digital, un micrófono y un altavoz, una
variedad de teclas y las interfaces de hardware y una pantalla de cristal líquido (LCD). El sistema operativo (OS) de un dispositivo móvil
puede ser almacenado en cualquiera de los dos NAND o NOR de memoria mientras la ejecución de código se produce normalmente en
la RAM.
Actualmente, los dispositivos móviles están equipados con microprocesadores de nivel del sistema que reducen el número de fichas
de apoyo requeridos e incluyen considerable capacidad de memoria interna actualmente hasta 64GB (por ejemplo, NAND apilados).
Incorporado ranuras para tarjetas de memoria Secure Digital (SD), tal como uno para la micro Secure Digital eXtended Capacidad
(microSDXC), puede soportar la memoria extraíble con capacidades que van de 64 GB 2 TB de almacenamiento. comunicaciones
inalámbricas no celulares tales como infrarrojos (es decir, IrDA), Bluetooth, Near Field Communication (NFC), y WiFi también pueden
ser construidos en los protocolos de dispositivos y sincronización de soporte para intercambiar otros datos, por ejemplo, gráficos,
audio, y archivo de vídeo ( formatos).
Diferentes dispositivos móviles tienen diferentes características técnicas y físicas (por ejemplo, tamaño, peso, velocidad del procesador,
capacidad de memoria). Los dispositivos móviles también pueden utilizar diferentes tipos de capacidades de expansión para
proporcionar funcionalidad adicional. Además, las capacidades de dispositivos móviles a veces incluyen los de otros dispositivos tales
como los sistemas portátiles de posicionamiento global (GPS), cámaras (todavía y vídeo) o computadoras personales. En general, los
dispositivos móviles se pueden clasificar como los teléfonos con funciones que son principalmente dispositivos simples comunicación de
voz y de mensajería o teléfonos inteligentes que ofrecen capacidades y servicios más avanzados para multimedia, similares a las de un
ordenador personal. Tabla 1 pone de relieve las características de hardware generales de modelos de características y teléfonos
inteligentes, que subrayan esta diversidad.
El esquema de clasificación es ilustrativa y la intención de dar una idea de la gama de características de hardware actualmente en el
mercado. Con el tiempo, las características que se encuentran en los teléfonos inteligentes tienden a aparecer en los teléfonos con
funciones como la nueva tecnología se introduce a los teléfonos inteligentes. Aunque el
3
líneas de delimitación son algo borroso y dinámica, el esquema de clasificación sirve, sin embargo, como una guía
general.
Tabla 1: Caracterización Hardware
Característica del teléfono Smartphone
Procesador Velocidad limitada (~ 52MHz) velocidad superior (~ 1 GHz de doble núcleo)
Memoria Capacidad limitada (~ 5 MB) capacidad superior (~ 128 GB)
Pequeño tamaño color, 4k -

Monitor Large tamaño color, 16,7 millones (~ 24-bit)
260k (12 bits y 18 bits)
ranuras para tarjetas Ninguno, MicroSD microSDXC
Cámara Aún así, Video Aún así, panorámica y video (HD)
Teclado numérico, Pantalla táctil, Escritura

Entrada de texto
teclado QWERTY Reconocimiento, teclado estilo QWERTY
La entrada de voz Ninguna Reconocimiento de voz (Marcación y Control)
Celda
Voz y Datos Limited Voz y datos de alta velocidad (4G LTE)
Interfaz
posicionamiento Ninguno, receptor GPS receptor GPS
Inalámbrico IrDA, Bluetooth Bluetooth, Wi-Fi y NFC
Fijo / extraíble y
Fijo / extraíble y recargable Li-Ion Polymer
Batería recargable Li-Ion
Polymer
Ambos teléfonos de características y teléfonos inteligentes de voz de apoyo, mensajes de texto, y un conjunto de básica Gestión de
información personal (PIM) y el tipo de aplicaciones que incluyen instalaciones de la agenda y calendario. Los teléfonos inteligentes
agregar la capacidad de una PC para ejecutar una amplia variedad de aplicaciones generales y para fines especiales. Los teléfonos
inteligentes son normalmente más grandes que los teléfonos con funciones, apoyar las resoluciones de vídeo más altas (por ejemplo, ~
300 PPI) y pueden tener un teclado QWERTY integrado o pantalla sensible al tacto. Los teléfonos inteligentes generalmente soporta
una amplia gama de aplicaciones, disponible a través de un escaparate aplicación. La Tabla 2 muestra las diferencias en las
capacidades de software que se encuentran en estas clases de dispositivos.
4
Tabla 2: Caracterización del software
Característica del teléfono Smartphone
Android, BlackBerry OS, iOS, Symbian, WebOS

OS Cerrado
y Windows Phone
PIM
(Personal Agenda, calendario y mostrar Guía telefónica mejorada, calendario y mostrar
Información Recordatorio Recordatorio
Administración)
Minimal (por ejemplo, juegos, bloc Aplicaciones (por ejemplo, juegos, productividad de oficina y medios
aplicaciones
de notas) de comunicación social)
Llamada Voz Voz, vídeo
Texto, texto mejorado, Encuadre de

Mensajería Mensaje de texto, MMS
Mensajería Multimedia
Charla Mensajería instantánea Mensajería Instantánea mejorada
Email A través de mensajes de texto A través de POP o IMAP Servidor
Web A través de puerta de enlace WAP HTTP directa
Los teléfonos con funciones suelen utilizar un sistema operativo cerrado sin documentación publicada. Un número de empresas
especializadas en software integrado también ofrecen soluciones de sistema operativo en tiempo real para los fabricantes de
dispositivos móviles. Los teléfonos inteligentes generalmente utilizan o bien una propiedad o un sistema operativo de código abierto.
Casi todos los teléfonos inteligentes utilizan uno de los siguientes sistemas operativos: Android, Blackberry OS, iOS, Symbian, Windows
Phone o WebOS. A diferencia de los núcleos más limitado en los teléfonos con funciones, estos sistemas operativos son multitarea y
fullfeatured, diseñado específicamente para que coincida con las capacidades de los dispositivos móviles de alta gama. Muchos
fabricantes de teléfonos inteligentes sistemas operativos ofrecen un kit de desarrollo de software (SDK) (por ejemplo, el Android 1 o iOS 2 SDK).
2.2 Consideraciones de memoria
Los dispositivos móviles contienen tanto la memoria no volátil y volátil. La memoria volátil (es decir, la RAM) se usa para el
almacenamiento dinámico y su contenido se pierde cuando se drena la alimentación del dispositivo móvil. La memoria no volátil es
persistente como su contenido no se ven afectadas por pérdida de potencia o la sobrescritura de datos después del reinicio. Por
ejemplo, unidades de estado sólido (SSD) que almacena datos persistentes en la memoria flash de estado sólido.
Los dispositivos móviles contienen típicamente uno o dos diferentes tipos de memoria flash no volátil. Estos tipos son NAND y NOR.
Flash NOR tiene veces más rápido de lectura y escritura, tiempos más lentos que NAND y es casi inmune a la corrupción y los bloques
dañados al tiempo que permite el acceso aleatorio a cualquier posición de la memoria. Flash NAND ofrece capacidades de
almacenamiento de memoria más altas, es menos estable y sólo permite el acceso secuencial.
1 Para más información visite: http://developer.android.com/sdk/index.html
2 Para más información visite: https://developer.apple.com/devcenter/ios/index.action
5
Las configuraciones de memoria entre los dispositivos móviles han evolucionado con el tiempo. Los teléfonos con funciones fueron de
los primeros tipos de dispositivos que contenían flash NOR y la memoria RAM. los datos del sistema y de usuario se almacenan en NOR
y copian en la memoria RAM al arrancar la ejecución de código más rápido y el acceso. Esto se conoce como la primera generación de
configuraciones de memoria del dispositivo móvil.
A medida que se introdujeron los teléfonos inteligentes, configuraciones de memoria evolucionaron, la adición de memoria flash NAND.
Esta disposición de NOR, NAND y la RAM de memoria se denomina como la segunda generación. Esta generación de archivos de
sistema de configuraciones de memoria almacena en la memoria flash NOR, NAND en los archivos de usuario y la memoria RAM se
utiliza para la ejecución de código.
Los últimos teléfonos inteligentes contienen sólo NAND y la memoria RAM (es decir, tercera generación), debido a los requisitos para
una mayor velocidad de transacción, una mayor densidad de almacenamiento y menor coste. Para facilitar la falta de espacio en las
placas base de dispositivos móviles y la demanda de espacio de almacenamiento mayor densidad (es decir, 2 GB - 128 GB) los nuevos
chips de estilos incrustada tarjetas MultiMedia (eMMC) están presentes en muchos de los teléfonos inteligentes de hoy en día.
La Figura 1 ilustra las diversas configuraciones de memoria contenidas en todos los dispositivos móviles.
Figura 1: Configuraciones de memoria
RAM es el más difícil de capturar con precisión debido a su naturaleza volátil. Desde RAM se utiliza típicamente para la ejecución del
programa, la información puede ser de valor para el examinador (por ejemplo, archivos de configuración, contraseñas, etc.).
herramientas de captura de RAM dispositivo móvil están empezando a estar disponibles.
Memoria flash NOR incluye los datos del sistema, tales como: código de sistema operativo, el kernel, controladores de dispositivos, las
bibliotecas del sistema, la memoria para ejecutar aplicaciones que operan el sistema y el almacenamiento de instrucciones de ejecución
de aplicaciones de usuario. Flash NOR será la mejor ubicación para la recogida de datos para dispositivos de configuración de memoria
de primera generación.
memoria flash NAND contiene: datos PIM, gráficos, audio, vídeo y otros archivos de usuario. Este tipo de memoria generalmente
proporciona el examinador con la información más útil en la mayoría de los casos. memoria flash NAND puede dejar varias copias de
archivos basados en transacciones (por ejemplo, bases de datos y registros) debido al desgaste de nivelación de algoritmos y rutinas de
recolección de basura. Dado que las células de memoria flash NAND pueden ser reutilizadas por sólo una cantidad limitada de tiempo
antes de que sean poco fiables, de nivelación de desgaste algoritmos se utilizan para aumentar la vida útil de almacenamiento de
memoria flash, mediante la organización de datos para que los borrados y re-escribe se distribuyen de manera uniforme a través de la
SSD.
6
La recolección de basura se debe a que la memoria flash NAND no puede sobrescribir los datos existentes, los datos deben ser
borrados primero antes de escribir a la misma celda [Bel10].
2.3 Características Módulo de Identidad
módulos de identidad (comúnmente conocidos como tarjetas SIM) son sinónimos de los dispositivos
móviles que interactúan con las redes celulares GSM. Bajo el marco de GSM, un dispositivo móvil se
conoce como una estación móvil y se divide en dos componentes distintos: el Universal Integrated Circuit
Card (UICC) y el equipo móvil (ME). A UICC, comúnmente conocida como un módulo de identidad (por
ejemplo, Subscriber Identity Module [SIM], Universal Subscriber Identity Module [USIM], CDMA Subscriber
Identity Module [CSIM]), es un componente extraíble que contiene la información esencial sobre el
suscriptor. El ME y la porción terminal de radio no puede funcionar totalmente sin UICC. El objetivo
principal de la UICC implica la autenticación del usuario del dispositivo móvil a la red que proporciona
acceso a los servicios suscritos. La UICC también ofrece almacenamiento de información personal,
La partición de la UICC de un dispositivo móvil estipulado en las normas GSM ha dado lugar a una forma de portabilidad. Mover
una UICC entre dispositivos móviles compatibles transfiere automáticamente la identidad del abonado y algunos de la
información asociada (por ejemplo, mensajes SMS y contactos) y capacidades. Por el contrario, los dispositivos móviles 2G y 3G
CDMA generalmente no contienen una tarjeta UICC. funcionalidad UICC análogas se incorpora directamente en lugar dentro del
dispositivo. Sin embargo, los nuevos CDMA (es decir, 4G / LTE) dispositivos pueden emplear una aplicación CDMA Subscriber
Identity Module (CSIM) corriendo en una UICC.
Un UICC puede contener hasta tres aplicaciones: SIM, USIM y CISM. UICC utilizados en dispositivos móviles GSM y
UMTS utilizan las aplicaciones SIM y UMTS SIM (USIM), mientras que los dispositivos CDMA utilizan la aplicación CSIM.
A UICC con las tres aplicaciones proporciona a los usuarios la portabilidad adicional a través de la eliminación de la UICC
de un dispositivo móvil y la inserción en otra. Debido a la aplicación SIM fue originalmente sinónimo de la propia tarjeta
física, el término SIM se utiliza a menudo para referirse a la tarjeta física en lugar de UICC. Del mismo modo, los términos
USIM y CSIM pueden referirse tanto a la tarjeta física, así como las respectivas aplicaciones soportadas en la UICC.
En su esencia, una UICC es un tipo especial de tarjeta inteligente que contiene típicamente un procesador y entre el 16 128 kbytes de
persistente electrónicamente borrable, programable memoria de sólo lectura (EEPROM). También incluye RAM para la ejecución del
programa y ROM para el sistema operativo, autenticación de usuarios y algoritmos de cifrado de datos y otras aplicaciones. sistema
de archivos de la UICC reside en datos de la memoria y almacena persistentes tales como: información relacionada con el servicio
como entradas de la agenda, mensajes de texto, los últimos números marcados (LND) y. Dependiendo del dispositivo móvil utilizado,
alguna información gestionada por aplicaciones en la UICC puede coexistir en la memoria del dispositivo móvil. La información
también puede residir en su totalidad en la memoria del dispositivo móvil en lugar de la memoria disponible reservado para ello en el
sistema de archivos de la UICC.
El sistema operativo de la UICC controla el acceso a los elementos del sistema de archivos [3GP07]. Las acciones tales como la lectura
o la actualización pueden ser permitidos o denegados sin condiciones, o se les permite condicionalmente con determinados derechos de
acceso, dependiendo de la aplicación. Los derechos se asignan a un abonado a través de códigos de 4-8 dígitos Número de
Identificación Personal (PIN). PINs protegen los datos relacionados con el abonado básicas y ciertos datos opcionales.
7
Un número preestablecido de intentos (por lo general tres) están permitidos para proporcionar el código PIN correcto para la UICC
antes de intentos adicionales se bloquean completamente, haciendo que las comunicaciones inoperante. Sólo al proporcionar una
clave correcta de desbloqueo PIN (PUK) puede el valor de un PIN y su contador puede restablecer en la UICC. Si el número de
intentos para introducir el valor PUK supera un límite fijado, normalmente diez, la tarjeta se bloquea de forma permanente. El código
PUK para una UICC puede obtenerse del proveedor de servicios u operador de red, proporcionando el identificador de la UICC (es
decir, circuito integrado de la viruta identificador o ICCID). El ICCID normalmente se imprime en la parte delantera de la UICC, pero
también puede ser leído desde un elemento del sistema de archivos.
UICC están disponibles en tres formatos diferentes tamaños. Ellos son: Mini SIM (2FF), Micro SIM (3FF), y Nano SIM
(4FF). El Mini SIM con una anchura de 25 mm, una altura de 15 mm, y un espesor de 0,76 mm, es aproximadamente la
huella de un sello de correos y es actualmente el formato más común utilizado en todo el mundo. Micro (12 mm x 15 mm
x .76mm) y Nano (8,8 mm x
12.3mm x .67mm) SIMs se encuentran en los dispositivos móviles más recientes (por ejemplo, iPhone 5 utiliza la 4FF).
Figura 2: la tarjeta SIM de tamaño se formatea [Orm09]
Aunque similar en dimensión a una tarjeta de memoria extraíble miniSD, UICC siguen un conjunto diferente de las especificaciones con
características muy diferentes. Por ejemplo, sus conectores pin no están alineados a lo largo del borde inferior como con las tarjetas de
medios extraíbles, pero en vez forman una almohadilla de contacto integral al chip de tarjeta inteligente, que se inserta en un marco de
plástico, como se muestra en la Figura 2. UICC también emplear una amplia gama de técnicas de resistencia a la manipulación, para
proteger la información que contienen.
La ranura para la tarjeta UICC no es normalmente accesible desde el exterior del dispositivo móvil para proteger la inserción y
extracción como con una tarjeta de memoria. En lugar de ello, por lo general se encuentra por debajo del compartimento de la batería.
Cuando una UICC se inserta en un teléfono dispositivo móvil y se hace contacto de clavija, una interfaz en serie se utiliza para la
comunicación entre ellos.
En la mayoría de los casos, la UICC debe ser retirado de la primera terminal y leer usando un lector de tarjetas / Smart ordenador
personal (PC / SC). La eliminación de la UICC proporciona el examinador con capacidad de leer datos adicionales que puede ser
recuperado (por ejemplo, mensajes de texto borrados).
Autenticación de un dispositivo a una red segura es una función vital realizado a través de la UICC. información clave de cifrado
y los algoritmos dentro del módulo resistente a la manipulación proporcionan los medios para el dispositivo para participar en un
diálogo de desafío-respuesta con la red y responde correctamente, sin exponer el material de claves y otra información que
podría ser utilizado para clonar el UICC y obtener acceso a los servicios de un abonado. información de clave criptográfica en la
UICC también soporta streaming de encriptación de cifrado para proteger contra las escuchas en la interfaz aérea.
A UICC es similar a un dispositivo móvil, ya que tiene tanto volátil y una memoria no volátil que puede contener las mismas categorías
generales de datos como se encuentra en un dispositivo móvil. Se puede considerar como una sub-procesador de confianza que se
conecta a un dispositivo y obtiene la energía de él. El sistema de archivos reside en la memoria no volátil de un UICC y está organizada
como una estructura de árbol jerárquico.
8
Por ejemplo, el sistema de archivos de aplicaciones SIM se compone de tres tipos de elementos: la raíz del sistema de archivos (MF),
los archivos de directorio subordinados (DF) y los archivos que contienen datos elementales (EF). La Figura 3 ilustra la estructura del
sistema de archivos. Las EF de bajo DF GSM y DF DCS1800

contienen principalmente la red información relacionada para diferentes bandas de frecuencia de operación. Las EF de bajo DF TELECOMUNICACIONES
contienen información relacionada con el servicio.
Figura 3: Sistema de archivos SIM (GSM)
Pueden existir varios tipos de pruebas digitales en archivos de datos elementales repartidos por todo el sistema de archivos y se
recuperó de una UICC. Algunos de la misma información en poder de la UICC se puede mantener en la memoria del dispositivo
móvil y encontró allí también. Además de los archivos estándar definidos en las especificaciones GSM, una UICC puede contener
archivos no estándares establecidos por el operador de red. Varias categorías generales de datos se pueden encontrar en los
archivos de datos elementales estándar de una UICC son los siguientes:
• Información relacionada con el servicio que incluye identificadores únicos para la UICC, la Tarjeta de Identificación de
Circuitos Integrados (ICCID) y el International Mobile Subscriber Identity (IMSI)
• Agenda y llamar a la información conocida, respectivamente, como los números de marcación abreviada (ADN) y
los últimos números marcados (LND)
• Mensajería información que incluye tanto el servicio de mensajes cortos (SMS) y mensajes de texto (servicio de
mensajería EMS) simples mensajes multimedia mejoradas
• La aplicación USIM admite el almacenamiento de enlaces entrantes a (EFICI) y saliente (EFOCI) llama. El EFICI y
EFOCI están cada almacenan utilizando dos bytes. El primer byte
9
apunta a un libro de teléfono específico y el segundo apunta a un número de marcación abreviada de entrada
(EFADN) 3
• incluyendo información sobre la ubicación Información de ubicación en la zona (LAI) para las comunicaciones de
voz y de información de área de encaminamiento (RAI) para comunicaciones de datos.
2.4 Características de la red celular
Dentro de los EE.UU., diferentes tipos de redes celulares digitales siguen conjuntos distintos de normas incompatibles. Las
siguientes secciones discuten las redes celulares digitales, IP móvil y teléfonos satelitales.
Los dos tipos más dominantes de redes celulares digitales son conocidas como Acceso Múltiple por División de
Código (CDMA) y Sistema Global para Comunicaciones Móviles (GSM). Otras redes celulares comunes incluyen Time
Division Multiple Access (TDMA) y de la Red Digital Integrada Mejorada (iDEN). redes iDEN utilizan un protocolo
propietario diseñado por Motorola, mientras que los otros siguen protocolos abiertos estandarizados. Una versión
digital de la norma analógica original para el servicio telefónico de telefonía celular, llamado Avanzado de Teléfono
Móvil Digital (D-AMPS), también existe.
CDMA se refiere a una tecnología diseñada por Qualcomm en los EE.UU., que emplea comunicaciones de amplio espectro
para el enlace de radio. 4 En lugar de compartir un canal como muchas otras interfaces aéreas de red hacen, CDMA difunde los
datos digitalizados sobre todo el ancho de banda disponible, distinguiendo varias llamadas a través de un código de secuencia
único asignado. versiones sucesivas de la norma IS-95 definen convenciones CDMA en los EE.UU., que es la razón por la cual
el término CDMA se utiliza a menudo para referirse a las redes celulares IS-95 conformes. sistemas CDMA IS-95 se denominan
a veces como cdmaOne. El siguiente paso en la evolución de CDMA a servicios 3G fue CDMA2000. CDMA2000 es compatible
hacia atrás con su anterior iteración 2G IS-95 (cdmaOne). El sucesor de CDMA2000 es Evolución a Largo Plazo de Qualcomm
(LTE). LTE añade capacidades de transferencia de datos más rápida para dispositivos móviles y se conoce comúnmente como
4G LTE. Verizon y Sprint son portadores de la red CDMA comunes en los EE.UU.
GSM es un sistema celular utilizado en todo el mundo, que fue diseñado en Europa, principalmente por Ericsson y
Nokia. AT & T y T-Mobile son portadores de la red GSM comunes en el GSM de EE.UU. utiliza una interfaz aire
TDMA. TDMA se refiere a una tecnología de enlace digital mediante el cual varios teléfonos comparten una sola
portadora, el canal de frecuencia de radio por turnos - utilizando el canal exclusivamente para un segmento de
tiempo asignado, a continuación, liberándolo y esperando brevemente mientras otros teléfonos utilizan. Una
conmutación de paquetes de mejora a GSM llama General Packet Radio Service (GPRS) se estandarizó para
mejorar la transmisión de datos. La próxima generación de GSM, comúnmente conocida como la tercera generación
o 3G, se conoce como Universal Mobile Telecommunications System (UMTS) y consiste en la mejora de las redes
GSM con una interfaz aérea de CDMA de banda ancha (WCDMA). 5
3 Para más información visite: http://www.3gpp.org/ftp/Specs/html-info/31102.htm
4 Para más información visite: http://www.qualcomm.com/
5 Para más información visite: http://www.radio-electronics.com
10
TDMA también se utiliza para referirse específicamente a la norma cubierto por IS-136. El uso del término TDMA para
referirse a una técnica general o un tipo específico de red celular puede ser una fuente de confusión. Por ejemplo, aunque
GSM utiliza una interfaz aire TDMA (es decir, la técnica general), como lo hace iDEN, ninguno de estos sistemas es
compatible con redes TDMA celular que siguen IS-136. Muchas de las herramientas forenses móviles se refieren a estos
dispositivos como teléfonos iDEN / TDMA. Los dispositivos móviles que operan en la red iDEN a menudo utilizan una
función pushto-Talk (PTT) proporcionar a los abonados la capacidad de comunicarse entre sí a través de una red celular de
una manera “walkie-talkie”.
Integrado Red Digital Enhanced (iDEN), una tecnología de telecomunicaciones móviles desarrollado por Motorola proporciona
las ventajas de un sistema de radio de dos vías y un teléfono celular. El proyecto comenzó originalmente como iDEN MIRS
(Motorola sistema de radio integrado) a principios de 1991 y fue eliminado el verano de 2013 para los mercados de Estados
Unidos aunque la cobertura todavía existe en México y Canadá.
Digital AMPS (D-AMPS), IS-54 e IS-136 son sistemas de telefonía móvil 2G vez que prevalecen dentro de los Estados Unidos y
Canadá en la década de 1990. Las redes existentes fueron sustituidos en su mayoría por GSM / GPRS o tecnologías CDMA2000.
Los dispositivos móviles funcionan con ciertos subconjuntos de los tipos de redes mencionadas, por lo general aquellas asociadas con
un proveedor de servicios de quien se obtuvo el teléfono y con el que se celebró un contrato de servicio. Los dispositivos móviles
también pueden ser adquiridos sin servicio de cualquier fabricante, proveedor, u otra fuente y, posteriormente, tener su servicio
establecido por separado con un proveedor de servicios u operador de red. Los dispositivos móviles que están permitidos para ser
aprovisionado a más de un portador específico se denominan comúnmente como “desbloqueado”, ya que pueden ser usados en una
variedad de portadores por conmutación de UICC de para dispositivos móviles GSM.
existen dispositivos móviles que proporcionan al usuario con ambas capacidades GSM y CDMA. Tales dispositivos se conocen
como teléfonos celulares híbridas o globales veces. Estos tipos de dispositivos móviles contienen dos tipos de radios celulares
para voz y datos, proporcionando la capacidad de operar a través de o bien la red GSM o CDMA.
Como su nombre lo indica, las redes celulares proporcionan cobertura basada en dividir una gran área geográfica de servicio en
áreas más pequeñas de las células de cobertura de llamada. Células juegan un papel importante en la reutilización de las
frecuencias de radio en el espectro de radio limitado disponible para permitir que se produzca más llamadas de lo que sería posible.
Como un dispositivo móvil se mueve desde una célula a otra, una disposición celular requiere conexiones activas a ser
monitoreados y pasaron con eficacia a lo largo de entre las células para mantener la conexión. Para administrar el sistema de red
celular, proporcionar servicios suscritos, y precisa facturar o cuentas de débito de abonados, datos sobre el contrato de servicio y de
servicios asociados son capturados y mantenidos por el sistema de la red.
A pesar de sus diferencias en la tecnología, las redes celulares están organizados de manera similar a la otra, de la
manera ilustrada en la Figura 4 [Gib02]. Los componentes principales son el equipo de radio transceptor que se comunica
con los dispositivos móviles, el controlador que gestiona el equipo transceptor y lleva a cabo la asignación de canal, y el
sistema de conmutación para la red celular. Los nombres técnicos de estos componentes son, respectivamente, el Nodo
B, lo que representa un transceptor de estación base (BTS), el controlador de red de radio (RNC), y el centro de
conmutación móvil (MSC). Los RNC y las unidades controlado por nodo B a veces se denominan colectivamente como
una Red de Acceso Radio (RAN).
11
Figura 4: Celular Organización Red
Cada MSC controla un conjunto de RNC y gestiona las comunicaciones globales a través de la red celular,
incluyendo el registro, autenticación, actualización de la ubicación, traspasos, y el enrutamiento de llamadas. Una
interfaz de MSC con la red telefónica pública conmutada (PSTN) a través de un MSC de Pasarela (GMSC). Para
llevar a cabo sus tareas, un MSC utiliza varias bases de datos. Una base de datos clave es el sistema de depósito
central de datos de abonado e información de servicio, llamado el Home Location Register (HLR). Otra base de
datos utilizada en conjunción con el HLR es el registro de localización de visitantes (VLR), que se utiliza para los
dispositivos móviles de itinerancia fuera de su área de servicio. Un SGSN (Nodo de Soporte GPRS) realiza una
función similar a la de MSC / VLR, sino que apoya General Packet Radio Service (GPRS) (es decir, los servicios
de conmutación de paquetes) a Internet. Igualmente,
información de la cuenta, como por ejemplo datos sobre el abonado (por ejemplo, una dirección de facturación), los servicios suscritos, y
la actualización de localización última registrado en la red se mantienen en el HLR y utilizados por el MSC a las llamadas y mensajes y
para generar registros de uso de rutas llamados registros detallados de llamadas (CDR). Los datos de la cuenta de abonado, CDRs, e
información técnica relacionada obtenidos a partir del portador de la red a menudo son una valiosa fuente de evidencia en una
investigación [Con09].
2.5 Otros sistemas de comunicaciones
IP móvil es un Grupo de Trabajo de Ingeniería de Internet (IETF) 6 protocolo de comunicaciones estándar que está diseñado para
permitir a los usuarios de dispositivos móviles para pasar de una red a otra mientras
6 Para más información visite: http://www.ietf.org/
12
el mantenimiento de una dirección IP permanente. 7 Con el protocolo IP original, cada vez que un dispositivo móvil se
trasladó a un nuevo punto de conexión a Internet, todas las conexiones de red activas tuvieron que ser reiniciado y
posiblemente sea necesario que el dispositivo se reinicie. IP móvil en lugar permite que un usuario móvil para moverse de
forma transparente sin dejar de utilizar la misma dirección IP ( "domicilio" del usuario), evitando estos problemas y permite
nuevas aplicaciones móviles. IP móvil fue diseñado para soportar la conectividad a Internet completa y continua. IP móvil se
encuentra con mayor frecuencia en entornos inalámbricos donde los usuarios necesitan para llevar a sus dispositivos
móviles a través de múltiples subredes red de área local (LAN). Los ejemplos de la utilización aparecen en la itinerancia
entre sistemas inalámbricos que se solapan por ejemplo, redes inalámbricas de área local inalámbrica (WLAN),
interoperabilidad mundial para acceso por microondas (WiMAX), 8
Las personas que requieren servicios de comunicación desde ubicaciones remotas (por ejemplo, la aviación, los servicios de
emergencia, gobierno, militar, etc.) suelen estar equipados con teléfonos satelitales. Los teléfonos satelitales son dispositivos móviles
que establecen conectividad con los satélites en lugar de torres celulares. Por lo general, los teléfonos por satélite requieren una línea
de visión directa al satélite sin la obstrucción de los objetos (por ejemplo, edificios, árboles, etc.) que afectan a la intensidad de la señal
y la calidad de la llamada. Dependiendo del servicio, la cobertura puede variar de una zona específica de todo el camino a la tierra
entera. Por ejemplo, la constelación de satélites Iridium se compone de 66 satélites de órbita baja (LEO) con piezas de repuesto,
proporcionando comunicaciones de voz y datos en todo el mundo.
Figura 5: Satélite Red de Teléfono
Los teléfonos satelitales se comunican enviando señales de radio a un satélite que transmite una señal de vuelta a la tierra donde las
rutas de una estación de la llamada a la PSTN. En algunos casos, el teléfono vía satélite
7 Para más información visite http://en.wikipedia.org/wiki/Mobile_IP
8 Para más información visite http://nislab.bu.edu/sc546/sc441Spring2003/mobileIP
13
proveedor transmitirá desde un satélite a otro satélite que tiene una conexión con una estación terrestre. Al igual que los dispositivos
móviles basados en GSM, teléfonos satelitales están equipadas con una UICC y proporcionan a los usuarios una amplia variedad de
características (por ejemplo, lista de contactos, mensajes de texto, correo de voz, transferencia de llamadas, etc.).
14
3. Herramientas forenses
La disponibilidad de herramientas de software para dispositivos móviles forenses es considerablemente diferente de la de los
ordenadores personales. Mientras que las computadoras personales pueden ser diferentes de dispositivos móviles desde una
perspectiva de hardware y software, su funcionalidad se ha convertido cada vez más similares. Aunque la mayoría de los sistemas
operativos de dispositivos móviles son de código abierto (es decir, Android), disponen de teléfono de OS son típicamente cerrados.
sistemas operativos cerrados hacen que la interpretación de su sistema de archivos y la estructura asociada difícil. Muchos dispositivos
móviles con el mismo sistema operativo también puede variar ampliamente en su aplicación, lo que resulta en una miríada de sistema
de archivos y permutaciones de estructuras. Estas permutaciones crean desafíos significativos para los fabricantes de herramientas
forenses móviles y examinadores.
Los tipos de software disponibles para su examen dispositivo móvil incluyen herramientas comerciales y de código abierto forenses,
así como herramientas que no forenses destinados a la gestión de dispositivos, pruebas y diagnósticos. herramientas forenses
suelen estar diseñados para adquirir los datos de la memoria interna de los teléfonos y UICC, sin alterar su contenido y para calcular
los hashes de integridad de los datos adquiridos. Ambas herramientas de software forenses y no forenses a menudo utilizan los
mismos protocolos y técnicas para comunicarse con un dispositivo. Sin embargo, las herramientas forenses no pueden permitir sin
restricciones de flujo bidireccional de información y omitir las funciones de hash de integridad de datos. examinadores de dispositivos
móviles normalmente se reúnen una colección de ambas herramientas forenses y no forenses para su caja de herramientas. La
gama de dispositivos a través de los que operan es típicamente estrecharon a: plataformas distintas, una familia específica del
sistema operativo o incluso un solo tipo de arquitectura de hardware. ciclos de lanzamiento de productos cortos son la norma para
dispositivos móviles, que requieren los fabricantes de herramientas para actualizar continuamente sus herramientas forenses
proporcionando examinadores con una solución forense. La tarea es formidable y apoyo fabricantes de herramientas para los
modelos más nuevos puede retrasarse considerablemente tras la introducción de un dispositivo en el mercado. Modelos de
funcionamiento de los dispositivos móviles más viejos, aunque fuera de fecha, pueden permanecer en uso durante años después de
su lanzamiento inicial. modelos de dispositivos móviles introducidas en un mercado nacional también se pueden utilizar en áreas
mediante el intercambio de la UICC de una portadora celular con que de otra compañía. El estado actual es probable que continúe,
3.1 Sistema de Clasificación de la Herramienta para dispositivos móviles
La comprensión de los diversos tipos de herramientas de adquisición de móviles y los datos que son capaces de recuperar es
importante que un médico forense móvil. El sistema de clasificación utilizado en esta sección proporciona un marco para los
examinadores forenses para comparar los métodos de extracción utilizados por diferentes herramientas para la adquisición de datos. El
objetivo del sistema de clasificación de la herramienta es permitir a un examinador para clasificar y comparar el método de extracción de
las diferentes herramientas con facilidad. El sistema de clasificación herramienta se muestra en la Figura 6 [Bro08]. A medida que la
pirámide es atravesado desde la parte inferior, Nivel 1, a la parte superior, el nivel 5, las metodologías implicadas en la adquisición de
llegar a ser más técnico, invasivo, requiere mucho tiempo y es caro.
Nivel 1, los métodos de extracción manual implican grabación de información criado en una pantalla del dispositivo móvil cuando se
emplea la interfaz de usuario. Nivel 2, Métodos de extracción lógicos se utilizan con mayor frecuencia en este momento y son
ligeramente técnica que exijan una formación de nivel principiante. Los métodos para los niveles 3 a 5 conllevan la extracción y la
grabación de una copia o imagen de una tienda física (por ejemplo, un chip de memoria), en comparación con las adquisiciones lógicos
utilizados en el nivel 2 implican la captura de una copia de los objetos de almacenamiento lógico (por ejemplo, los directorios y archivos)
que residen en un almacén lógico (por ejemplo, una
15
partición de sistema de archivos). Nivel 3, Hex Métodos de extracción de dumping / JTAG, conllevan la realización de una “adquisición
física” de la memoria del dispositivo móvil in situ y requieren un entrenamiento avanzado. Nivel 4 métodos Chip-Off implican la
eliminación física de la memoria desde un dispositivo móvil para extraer los datos, lo que requiere una amplia formación en medicina
forense de ingeniería electrónica y del sistema de archivos. Nivel 5, los métodos de Micro Leer implican el uso de un microscopio de alta
potencia para ver el estado físico de puertas. Nivel 5 métodos son los que consumen más invasivo, sofisticado, técnico, caro, y la hora
de todas las metodologías.
Hay pros y los contras de la realización de tipos de extracción en cada capa. Por ejemplo, hex vertido permite que los objetos
eliminados y cualquier remanente de datos presentes para ser examinado (por ejemplo, en la memoria no asignado o el
espacio del sistema de archivos), que de otro modo serían inaccesibles mediante el uso de métodos de adquisición lógicas.
Sin embargo, las imágenes de los dispositivos extraídos requieren análisis sintáctico, la desencriptación y decodificación.
métodos de adquisición lógicos, aunque más limitado que Hex métodos de dumping / JTAG, tienen la ventaja de que las
estructuras de datos del sistema están en un nivel más alto de abstracción y son normalmente más fácil para una
herramienta para extraer y procesar. Estas diferencias se deben a la distinción subyacente entre la memoria como se ve por
un proceso a través de las instalaciones del sistema operativo (es decir, una vista lógica), frente a la memoria como se ve en
forma cruda por el procesador u otro componente de hardware (es decir, una vista físico). Sobre la base de una amplia
variedad de circunstancias (por ejemplo, el tipo de datos necesarios, tiempo disponible, urgencia, herramientas disponibles,
etc.), un examinador puede seleccionar un nivel específico para comenzar su examen. Es importante tener en cuenta que
una vez que se utiliza un nivel, los niveles alternativos no pueden ser posibles. Por ejemplo, después de realizar chipoff (nivel
4) herramientas de nivel inferior pueden no ser físicamente posible. examinadores forenses deben ser conscientes de estas
cuestiones y realizar el nivel adecuado de extracción acorde con su formación y experiencia. Con cada metodología, los
datos pueden ser destruidos o modificados si no se utiliza una herramienta apropiada o procedimiento dado de forma
permanente. El riesgo de alteración y destrucción aumenta a la par con los niveles. Así,
dieciséis
Figura 6: Sistema de Clasificación Herramienta para dispositivos móviles
La siguiente discusión proporciona una descripción más detallada de cada nivel y los métodos utilizados para la extracción de datos.
• La extracción manual de - Un método de extracción manual de implica ver el contenido de datos almacenada en un
dispositivo móvil. El contenido mostrado en la pantalla LCD requiere la manipulación manual de los botones, teclado o
la pantalla táctil para ver el contenido del dispositivo móvil. Información descubierta puede ser grabada con una
cámara digital externo. En este nivel, es imposible recuperar la información eliminada. Algunas herramientas se han
desarrollado para proporcionar al médico forense con la capacidad de documentar y clasificar la información
registrada con mayor rapidez. Sin embargo, si hay una gran cantidad de datos para ser capturado, una extracción
manual se puede consumir mucho tiempo y los datos en el dispositivo puede ser modificado sin darse cuenta, borrado
o sobrescrito como resultado del examen. extracciones manuales se vuelven cada vez más difícil y tal vez
inalcanzable cuando se encuentran con una pantalla rota / faltante LCD o una interfaz de teclado dañado / falta. Otras
dificultades se presentan cuando el dispositivo está configurado para mostrar un idioma desconocido para el
investigador; esto puede causar dificultad en la navegación por los menús éxito.
• Extracción lógica - La conectividad entre un dispositivo móvil y la estación de trabajo forense se consigue con una
conexión utilizando un cable (por ejemplo, USB o RS-232) o inalámbrica conexión (por ejemplo, IrDA, WiFi o Bluetooth).
El examinador debe ser consciente de los problemas asociados al seleccionar un método de conectividad específica,
como diferentes tipos de conexión y protocolos asociados pueden resultar en datos que están siendo modificado (por
ejemplo, SMS no leído) o diferentes cantidades o tipos de datos que están siendo extraídos. herramientas de extracción
lógicas comienzan enviando una serie de comandos a través de la interfaz establecida desde el ordenador al dispositivo
móvil. El dispositivo móvil responde basa en la solicitud de comando. La respuesta (datos del dispositivo móvil) es enviado
de vuelta a la estación de trabajo y presentó al examinador forense para los informes.
• Hex dumping o JTAG - Hex métodos de extracción de dumping y Joint Group Test Acción (JTAG)
ofrezcan el examinador forense acceso más directo a la cruda
17
La información almacenada en la memoria flash. Uno de los retos con estos métodos de extracción es la capacidad de una
herramienta dada para analizar y decodificar los datos capturados. Proporcionar el examinador forense con una visión
lógica del sistema de archivos, e informar sobre otros restos de datos fuera del sistema de archivos que pueden estar
presentes son un reto. Por ejemplo, todos los datos contenidos dentro de un chip de memoria flash determinado no pueden
ser adquiridas, como muchas herramientas, tales como cajas de intermitencia, solamente puede ser capaz de extraer las
secciones específicas de la memoria [Bre07]. Los métodos utilizados en este nivel requieren conectividad (por ejemplo,
cable o WiFi) entre el dispositivo móvil y la estación de trabajo forense.
Hex Dumping - esta técnica es el método más comúnmente utilizado por las herramientas en este nivel. Esto implica la
posibilidad de subir un cargador de arranque modificado (u otro software) en un área protegida de memoria (por ejemplo,
RAM) en el dispositivo. Este proceso de carga se realiza mediante la conexión de puerto de datos del dispositivo móvil a
una caja de luz intermitente y la caja de luz intermitente es a su vez conectado a la estación de trabajo forense. Una serie
de comandos se envía desde la caja de luz intermitente en el dispositivo móvil para colocarlo en un modo de diagnóstico.
Una vez en el modo de diagnóstico, la caja de luz intermitente captura toda (o secciones) de memoria flash y lo envía a la
estación de trabajo forense sobre el enlace mismas comunicaciones utilizado para la carga. Algunos cuadros de luces
intermitentes funcionan de esta manera o pueden utilizar una interfaz propietaria para las extracciones de memoria.
existen casos raros donde extracciones pueden llevarse a cabo usando WiFi (es decir,
JTAG - Muchos fabricantes apoyan la norma JTAG, que define una interfaz de prueba común para el
procesador, la memoria y otros chips semiconductores. examinadores forenses pueden comunicarse
con un componente compatible con JTAG mediante la utilización de dispositivos de programador
independientes de propósito especial para sondear puntos de prueba definidas [Wil05]. La unidad de
prueba JTAG se puede utilizar para solicitar las direcciones de memoria desde el componente
JTAGcompliant y aceptar la respuesta para el almacenamiento y la entrega [Bre06]. JTAG ofrece a
los especialistas otra vía para que los dispositivos de imagen que están bloqueados o dispositivos
que pueden tener daños menores y no se puede interconectar adecuadamente de otra manera. Este
método implica la fijación de un cable (o mazo de cables) desde una estación de trabajo a la interfaz
JTAG y acceso a la memoria del dispositivo móvil a través de microprocesador del dispositivo para
producir una imagen [Bre07].
Flasher cajas son pequeños dispositivos diseñados originalmente con la intención de reparar o actualizar los dispositivos
móviles. adquisiciones físicas con frecuencia requieren el uso de una caja de luz intermitente para facilitar la extracción de
los datos desde un dispositivo móvil. Los ayudantes de la caja de luz intermitente el examinador mediante la comunicación
con el dispositivo móvil utilizando protocolos de diagnóstico para comunicarse con el chip de memoria. Esta comunicación
puede utilizar el sistema operativo del dispositivo móvil o puede omitir por completo y comunicarse directamente al chip
[Jon10]. Flasher cajas suelen ir acompañados de software para facilitar el proceso de extracción de datos de trabajo en
conjunto con el hardware. Muchos paquetes de software de cuadro de luz intermitente proporcionan la funcionalidad
añadida de la recuperación de contraseñas de memoria del dispositivo móvil, así en algunas configuraciones. Aunque los
métodos de adquisición difieren entre las cajas de intermitencia, un proceso general se utiliza [Bre07]. Limitaciones de la
utilización de cajas de intermitencia incluyen los siguientes:
18
• con frecuencia se requiere el reinicio del dispositivo móvil para comenzar el proceso de extracción; esto puede
causar mecanismos de autenticación para activar la prevención de un análisis adicional.
• Muchas cajas de intermitencia se recuperan los datos en un formato cifrado que requieren el examinador a utilizar el
software proporcionado por el fabricante de la caja de luz intermitente para descifrar los datos o puede requerir la
ingeniería inversa de esquema de cifrado de los datos por parte del analista.
• Muchos modelos de teléfonos no proporcionan la adquisición de la totalidad del rango de memoria dentro de un
dispositivo móvil dado. Sólo ciertos rangos pueden estar disponibles para ciertos dispositivos móviles
• El software de servicio al cuadro de luz intermitente a menudo tiene muchos botones que están etiquetados
con nombres casi idénticos. Esta confusión puede llevar fácilmente incluso un examinador experimentado que
pulsar el botón equivocado, borrando el contenido del dispositivo móvil en lugar de volcar la memoria.
• La falta de documentación sobre el uso de las herramientas de la caja de luz intermitente es común. métodos de
extracción son frecuentemente compartidos en los foros soportados por el vendedor y moderados por usuarios más
experimentados. Se debe tener precaución cuando se proporciona asesoramiento, ya que no toda la información
proporcionada es correcta.
• Uso Forense: Casi todos los cuadros de luces intermitentes no fueron diseñados con un uso forense como su
propósito previsto. Los examinadores deben tener experiencia en el uso de cajas de intermitencia y deben entender
el uso y la función de las cajas de intermitencia.
• A pesar de todas estas limitaciones, el uso de una caja de luz intermitente es una opción viable para muchos
casos forenses. formación adecuada, experiencia y subestimación de cómo las herramientas de trabajo son las
claves del éxito.
Se requiere una amplia gama de conocimientos técnicos y una formación adecuada para la extracción y el análisis de
imágenes binarias con estos métodos, incluyendo la localización y la conexión con los puertos JTAG, la creación de
gestores de arranque personalizados y volver a crear sistemas de archivos.
• Chip-Off - métodos Chip-Off se refieren a la adquisición de datos directamente desde la memoria flash de un
dispositivo móvil. Esta extracción requiere la eliminación física de la memoria flash. Chip-Off proporciona
examinadores con la capacidad de crear una imagen binaria del chip eliminado. Con el fin de proporcionar al
examinador de los datos en un archivo de formato binario contigua, el algoritmo de nivelación de desgaste debe ser
ingeniería inversa. Una vez completa, la imagen binaria a continuación, se puede analizar. Este tipo de adquisición
es la más estrechamente relacionados con la imagen física de una unidad de disco duro como en la ciencia forense
digital tradicionales. Una amplia formación es necesaria con el fin de realizar con éxito extracciones a este nivel.
extracciones Chip-Off son un reto basan en una amplia variedad de tipos de chips, una miríada de formatos de
datos en bruto, y el riesgo de causar daño físico a la viruta durante el proceso de extracción.
• micro Leer - A Micro Lee implica el registro de la observación física de las puertas en un NAND o NOR chip con
el uso de un microscopio electrónico. Debido a los aspectos técnicos involucrados extremas cuando se realiza
una micro Read, este nivel de adquisición haría
19
Sólo intento ser para casos de alto perfil que equivale a una crisis de seguridad nacional después de todas las otras
técnicas de adquisición se han agotado. adquisición exitosa a este nivel requeriría un equipo de expertos, equipo
adecuado, el tiempo y el conocimiento en profundidad de la información propietaria. No hay agencias de EE.UU. Ley de
Aplicación conocidos que realizan adquisiciones a este nivel. Actualmente, no existen herramientas Micro Leer
disponibles en el mercado.
La Tabla 3 proporciona una clasificación de algunas herramientas que se utilizan actualmente en las investigaciones de dispositivos
móviles, e identifica las instalaciones que ofrecen: adquisición, exploración, o la presentación de informes. Las herramientas adicionales
existen, pero sólo se discuten los que están familiarizados con los autores. Para una más completa hasta una
fecha lista de forense herramientasreferir a: Herramienta NIST taxonomía
( http://www.cftt.nist.gov/tool_catalog/populated_taxonomy/ ). Las herramientas enumeradas en la Tabla 3 se agrupan por nivel de
partida con el Nivel 1 (Extracción Manual) a través de Nivel 4 (Chip-Off).
A continuación se describe cada uno de los títulos contenidos dentro de la Tabla 3:
• Herramienta - nombre de la herramienta
• † Denota una herramienta que apoya la adquisición lógica de una UICC
• ‡ Denota una herramienta que apoya la adquisición lógica de una UICC y la creación de una tarjeta de
aislamiento de la red celular (CNIC)
• Nivel de adquisición - nivel (s) a la que la herramienta realiza extracciones de datos: 1- extracción Manual, 2 -
extracción Lógico, 3 - extracción física, 4 - Chip-off, 5 - Micro Lee
• Tipo de red - adquisición de dispositivos que operan a través de redes especificadas
• Herramienta forense - es la herramienta diseñada específicamente para la adquisición forense
• Examen / Análisis - proporciona el examinador con la capacidad de realizar el examen o análisis

de los datos adquiridos
• informes - proporciona el examinador con la capacidad de generar informes
• Herramienta de Análisis de Imágenes 3rd Party (3PIA) - compatible con la importación de los datos brutos producidos
a partir de la herramienta de otro fabricante
• Soporte para el chipset de China (CCS) - dispositivos móviles que contienen conjuntos de chips chinos están
aumentando a medida que continúan a inundar el mercado internacional. Algunas herramientas forenses móviles
proporcionan ya sea una solución de extracción lógica y / o física.
• Cables / hardware disponible (C / HW) - Se proporcionan cables
20
Tabla 3: Dispositivo móvil Herramientas Forenses
Tipo de red
Nivel de adquisición
Examen / Análisis
Herramienta forense
informes
iDEN / TDMA
GSM
CDMA
Herramienta MISC
ART 1 • • • • • • • N/A• N/A
Eclipse 1 • • • • • • • N/A• N/A
• • • • • • •
t actual o lis ol t disponible a: http://www.cftt.nist.gov/tool_catalog/populated_taxonomy/

Proyecto-A-Phone 1 N/A• N/A
STE3000 FAV 1 • • • • • • • N/A• N/A
ZRT2 1 • • • • • • • N/A• N/A
aceso † 2 • • • • • • • • • C / HW
Athena † 2 • • • • • • • • • C / HW
9
Bitpim 2 • • • • • • • • • •
CPA SIM
2 • • • • • • • • • C / HW
Analizador 10 ‡
FinalMobile
2 • • • • • • • • • 3PIA
Los forenses
Ixam 9 2 • • • • • • • • • N/A
Luz negra 2 • • • • • • • • • • • • 3PIA
MOBILedit!
2 • • • • • • • • • C / HW
Forense ‡
Forense de oxígeno
2 • • • • • • • • • CCS
Suite (Analista)
iPhone SD
2 • • • • • • • • • N/A
Recuperación 12
SecureView † 2 • • • • • • • • • 3PIA, C / HW
SIMIS † 2 • • • • • • • • • C / HW
9 Cuando se activa el modo de sólo lectura
10 Esta herramienta sólo realiza una extracción lógico y análisis de UICC.
21
Tipo de red
Examen / Análisis
Herramienta forense
informes
iDEN / TDMA
GSM
CDMA
Herramienta MISC
SIMCon † 2 • • • • • • • • • • • • C / HW
SIMiFOR ‡ 2 • • • • • • • • • C / HW
UFED Classic
2 • • • • • • • • • C / HW
Lógico ‡
UFED Touch
Corriente una lista de herramientas v AILA ble en: http://www.cftt.nist.gov/tool_catalog/populated_taxonomy/

2 • • • • • • • • • C / HW
Lógico ‡
El detective USIM † 2 • • • • • • • • • C / HW
WinMoFo 2 • • • • • • • • • •
XRY Logical ‡ 2 • • • • • • • • • C / HW
Zdziarski
2 • • • • • • • • • N/A
Método 11
CellXtract † 2/3 • • • • • • • • • C / HW
CellXtract
2/3 • • • • • • • • • CCS, C / HW
TNT †
Device Seizure ‡ 2/3 • • • • • • • • 3PIA, C / HW
Encerrar
Smartphone 2/3 • • • • • • • • 3PIA, C / HW
Examinador †
Linterna 2/3 • • • • • • • • 3PIA
3PIA, CCS,
MPE + ‡ 2/3 • • • • • • • •
C / HW
Tarántula
2/3 • • • • • • • • CCS, C / HW
UFED Classic 3PIA, CCS,

2/3 • • • • • • • • •
Último ‡ C / HW
UFED Touch 3PIA, CCS,

último ‡ 2/3 • • • • • • • •
C / HW
CCS, C / HW
XRY completa ‡ 2/3 • • • • • • • •
11 adquisición dispositivo iOS solamente.
22
Tipo de red
Examen / Análisis
Herramienta forense
informes
iDEN / TDMA
GSM
CDMA
Herramienta MISC
Taller CDMA • • • • • • • • • • •
3
http://www.cftt.nist.gov/tool_catalog/populated_taxonomy/
Analizador de
teléfono celular 12 † 3 • • • • • • • • 3PIA
BeeProg2 4 • • • • • •
FlashPak III 4 • • • • • •
memoria NFI
Toolkit 4 • • • • • • •
PC 3000 de Flash 4 • • • • • C / HW •
FlashDoctor SD 4 • • • • • C / HW
Soft-Centro
Flash NAND
4 • • • • • •
Lector
UP-828
4 • • • • • • • • • •
† Denota una herramienta que apoya la adquisición lógica de una UICC
‡ Denota una herramienta que apoya la adquisición lógica de una UICC y la creación de un CNIC
MISC: 3 rd Herramienta de Análisis de Imágenes del partido (3PIA), Soporte chipset Chino (CCS), Cables / hardware disponible (C / HW)
3.2 Herramientas de la UICC
Unas herramientas forenses móviles ocupan exclusivamente de UICC. Estas herramientas realizan una lectura directa del contenido de
un UICC a través de un lector / Smart Card ordenador personal (PC / SC), en oposición a una lectura indirecta a través del dispositivo
móvil. La riqueza y el alcance de los datos adquiridos varía con las capacidades y características de la herramienta. La mayoría de la
UICC herramientas exclusivas adquirir los siguientes datos: Internacional identidad de abonado móvil (IMSI), tarjetas de identificación de
circuito integrado (ICCID), números de marcación abreviada (ADN), los últimos números marcados (LND), mensajes SMS, e información
de localización (LOCI) [Aye12].
La mayoría de las herramientas proporcionan información adicional, como los mensajes SMS borrados, debidamente dictada idioma
extranjero SMS y mensajes EMS. También tratan de traducir ciertos datos, tales como códigos de país y operador de red en
nombres significativos, y proporcionan otros servicios como la administración de PIN.
particiones en CSIM UICC están siendo utilizados con mayor frecuencia para LTE habilitado dispositivos móviles. En este momento,
pocas herramientas de apoyo a la extracción de datos de la partición como la mayoría sólo CSIM
12 Esta herramienta sólo realiza el análisis de datos.
23
apoyar la extracción de particiones GSM y USIM. CSIM de datos puede llegar a ser cada vez más importancia forense ya que
esta tecnología evoluciona.
3.3 Dispositivos obstruidos
Las siguientes secciones discuten técnicas para pasar por un IE dispositivo obstruido, un dispositivo móvil que requiere
autenticación con éxito utilizando una contraseña o algún otro medio para obtener el acceso al dispositivo. Existe un
número de maneras de recuperar datos de dispositivos obstruidos. Estos métodos caen en una de tres categorías:
basada en software, y de investigación basada en hardware. obstruidos dispositivos comunes incluyen aquellos con
módulos que faltan identidad, UICC habilitados para PIN, o un bloqueo del dispositivo móvil habilitado. Contraseña
bloqueada y tarjetas de memoria cifrados proporcionan un usuario con medios adicionales para proteger los datos. Esta
protección puede hacer que la recuperación de estos datos más complejos. las capacidades de cifrado de contenido se
ofrecen como una característica estándar en muchos dispositivos móviles o pueden estar disponibles a través de
aplicaciones adicionales.
Como herramientas forenses móviles han evolucionado, han comenzado a proporcionar funciones automatizadas que permiten
examinadores de pasar por alto muchos mecanismos de seguridad como parte de sus productos. Por ejemplo, algunas herramientas
proporcionan una función automatizada para recuperar contraseñas desde dispositivos móviles bloqueados. En el desarrollo de un
método, las siguientes secciones proporcionan las acciones que se deben considerar para determinar posibles enfoques.
3.3.1 Software y Métodos hardware basado
métodos basados en el software utilizado para romper o mecanismos de autenticación de derivación han comenzado a aparecer. Por
ejemplo, algunas herramientas proporcionan una función automatizada para recuperar contraseñas desde dispositivos móviles
bloqueados. Este tipo de funcionalidad es muy variable entre las herramientas forenses móviles y los modelos de dispositivos que son
compatibles.
métodos basados en hardware implican una combinación de software y hardware para romper o evitar la autenticación mecanismos y
tener acceso al dispositivo. Por ejemplo, el valor de un bloqueo del dispositivo móvil puede ser recuperado fácilmente a partir de un
volcado de memoria de ciertos dispositivos, lo que permite una adquisición lógica de seguimiento. cajas de JTAG y luces intermitentes
se utilizan a menudo esta forma de eludir los mecanismos de autenticación. ataques específicos del dispositivo, tales como ataque de
arranque en frío, existen para eludir los mecanismos de autenticación. ataque de arranque en frío tienen la capacidad de recuperar las
contraseñas de los dispositivos basados en Android bloqueados por enfriamiento del dispositivo 10 grados por debajo de Celsius,
seguido de desconectar y volver a conectar la batería en 500 ms intervalos [Mül12].
Algunos métodos basados en hardware de propósito general se aplican a una clase general de dispositivos móviles. La mayoría de las
técnicas se adaptan para un modelo específico dentro de una clase.
3.3.2 Métodos de investigación
Los métodos de investigación son procedimientos que el equipo de investigación puede aplicar, que no requieren herramientas de
software o hardware forenses. Los métodos más obvios son los siguientes:
• Solicitar al propietario - Si un dispositivo está protegido con una contraseña, PIN u otro mecanismo de autenticación que
involucra la autenticación basada en el conocimiento, el propietario puede consultarse esta información durante una
entrevista.
24
• Revisión tomó el material de - Las contraseñas o PIN se pueden escribir en un pedazo de papel y se mantuvieron con o
cerca del teléfono, en una computadora de escritorio se utiliza para sincronizar con el dispositivo móvil, o con el dueño,
como en la billetera, y pueden ser recuperados a través de Visual inspección. material de envasado para una UICC o un
dispositivo móvil puede revelar una clave de desbloqueo PIN (PUK) que puede ser usado para restablecer el valor de la
PIN. vulnerabilidades específicas de dispositivos también pueden ser explotadas, tales como ataques de tinta corrida.
ataques de tinta corrida involucrados análisis cuidadoso de la superficie de un dispositivo de pantalla táctil para determinar
la más reciente bloqueo gesto utilizado [Avi10].
• Pedir al proveedor de servicios - Si un dispositivo móvil GSM está protegido con una UICC PIN habilitado, el
identificador (es decir, el ICCID) se pueden obtener a partir de ella y se utiliza para solicitar el PUK del proveedor de
servicios y restablecer el PIN. Algunos proveedores de servicios ofrecen la posibilidad de recuperar el PUK en línea,
ingresando el número de teléfono del dispositivo móvil y la información específica del abonado en páginas web públicas
creadas para este fin. Además, la información puede ser obtenida poniendo en contacto el fabricante del dispositivo (por
ejemplo, Apple).
Los usuarios de dispositivos móviles pueden elegir contraseñas débiles para asegurar su dispositivo, como: 1-1-1-1, 1-2-3-4 o 0-00-0.
Algunas de estas combinaciones numéricas son las claves de acceso predeterminada del dispositivo, proporcionadas por el fabricante.
No se recomienda para intentar desbloquear un dispositivo que utiliza estas combinaciones debido a varios factores de riesgo. Pueden
incluir limpieza permanente de memoria del dispositivo móvil, lo que permite mecanismos de seguridad adicionales (por ejemplo, PIN /
PUK) o inicializar aplicaciones destructivas. Los dispositivos móviles tienen generalmente un número definido de intentos antes de
habilitar más precauciones de seguridad. Antes de hacer cualquier intento de desbloqueo de un dispositivo móvil, se recomienda tener
en cuenta el número de intentos que quedan. Puede haber un caso en que un examinador puede optar por aceptar estos riesgos en los
casos en que esta es la única opción para la extracción de datos.
3.4 Capacidades herramienta forense
herramientas de software forenses se esfuerzan para manejar las necesidades de investigación convencionales, abordando una amplia
gama de dispositivos aplicables. situaciones más difíciles, tales como la recuperación de datos borrados de la memoria de un
dispositivo, pueden requerir herramientas más especializadas y la experiencia y el desmontaje del dispositivo. La gama de apoyo,
incluyendo cables de los dispositivos móviles y los conductores, documentación de productos, lectores de PC / SC, y la frecuencia de
las actualizaciones, puede variar significativamente entre los productos. Las características que se ofrecen, tales como la búsqueda,
marcadores, y generación de informes también pueden variar considerablemente.
Las discrepancias en la recuperación y el informe de los datos que residen en un dispositivo se han observado en las pruebas que había
de medios. Ellos incluyen la incapacidad para recuperar los datos residentes, inconsistencias entre los datos que se muestran en la
estación de trabajo y que generan en los informes de salida, datos truncados en la producción reportado o se muestra, los errores en la
decodificación y la traducción de los datos recuperados, y la incapacidad para recuperar todos los datos pertinentes. En ocasiones,
también se encontraron actualizaciones o nuevas versiones de una herramienta a ser menos capaces en algunos aspectos que una
versión anterior fue [Aye11, Jan09].
Las herramientas deben ser validados para asegurar su aceptabilidad y volver a aplicar cuando las actualizaciones o nuevas versiones
de la herramienta estén disponibles. Estos resultados juegan un factor para decidir la idoneidad de la herramienta, la forma de
compensar las deficiencias observadas, y si se debe considerar el uso de una versión diferente o actualización de la herramienta. La
validación de una herramienta implica la definición y la identificación de un conjunto completo de datos de prueba, siguiendo los
procedimientos de adquisición para recuperar los datos de las pruebas y la evaluación de los resultados [Aye11, Jan09]. herramientas
de hoy en día rara vez proporcionan los medios
25
para obtener registros detallados de extracción de datos y otras operaciones que ayudaría en la validación. Un examinador puede
comparar la salida de varias herramientas para verificar la consistencia de los resultados. Si bien la validación de herramientas consume
tiempo, es una práctica necesaria para seguir. Como una medida de calidad, especialistas forenses también deben recibir una formación
adecuada arriba-hasta la fecha en las herramientas y procedimientos que emplean.
Una característica importante de una herramienta forense es su capacidad para mantener la integridad de la fuente de datos original de
ser adquirido y también el de los datos extraídos. El primero se hace mediante el bloqueo o de otra manera eliminar las peticiones de
escritura en el dispositivo que contiene los datos. Este último se realiza calculando un hash criptográfica sobre el contenido de los
archivos de evidencia creados y recurrentemente comprobar que este valor se mantiene sin cambios a lo largo del curso de la vida de
esos archivos. La preservación de la integridad no sólo mantiene la credibilidad de un punto de vista jurídico, pero también permite que
cualquier investigación posterior para utilizar la misma línea base para replicar el análisis.
Forense Validación Hash: Un hash forense se utiliza para mantener la integridad de una adquisición por el cálculo de un valor
criptográficamente fuerte, no reversible en los datos adquiridos. Después de la adquisición, los cambios realizados en los datos pueden ser
detectados, ya que un nuevo valor hash calculado a partir de los datos será incompatible con el valor antiguo. Para herramientas que no
forenses, valores hash se deben crear utilizando una herramienta tal como sha1sum y retenidos para la verificación de integridad. Incluso las
herramientas etiquetados como herramientas forenses no pueden calcular un hash criptográfica, y en estos casos un hash integridad deben ser
computados separadamente.
Tenga en cuenta que los dispositivos móviles están en constante actividad y actualizar la información (por ejemplo, el reloj del dispositivo) de forma
continua. Por lo tanto, las adquisiciones de regreso a la parte trasera de un dispositivo serán ligeramente diferentes y producir diferentes valores de hash
cuando calculada sobre todos los datos. Sin embargo, los valores hash calculado sobre elementos de datos seleccionados, como los archivos y
directorios individuales, por lo general se mantienen consistentes. inconsistencias Hash pueden ocurrir que requiere el examinador para llevar a cabo una
verificación de elemento por elemento de asegurar la integridad de datos. la validación de hash a través de múltiples herramientas es un reto debido a los
formatos de informes de propiedad.
26
4. Preservación
Secciones 4 a 7 describen el proceso forense que se aplica a los dispositivos móviles. preservación de pruebas es el proceso de
mantener segura la custodia de los bienes sin alterar o cambiar el contenido de los datos que residen en los dispositivos y medios
extraíbles. Es el primer paso en la recuperación de la evidencia digital. El capítulo comienza con una introducción genérica a la
preservación, y luego proporciona una orientación más específica acerca de cómo lidiar con los dispositivos móviles.
Preservación implica la búsqueda, reconocimiento, documentación y recopilación de pruebas electronicbased. Con el fin de utilizar
pruebas con éxito, ya sea en un tribunal de justicia o un procedimiento menos formal, que debe ser preservado. El fracaso para
preservar las pruebas en su estado original podría poner en peligro una investigación de todo, lo que podría perder información valiosa
relacionada con el caso.
Las secciones restantes de este capítulo proporcionan información complementaria relacionada con los dispositivos móviles,
siguiendo el paradigma de asegurar y Evaluación de la escena, la documentación de la escena, Aislamiento, envasado,
transporte, y almacenamiento de Prueba, y Triage / On-sitio de procesamiento.
4.1 Asegurar y Evaluación de la Escena
procedimientos incorrectos o manipulación inadecuada de un dispositivo móvil durante la convulsión pueden causar la pérdida de datos
digitales. Por otra parte, las medidas forenses tradicionales, tales como huellas dactilares o las pruebas de ADN, pueden necesitar ser
aplicado para establecer un enlace entre un dispositivo móvil y su propietario o usuario. Si el dispositivo no se maneja correctamente, la
evidencia física puede estar contaminado y vuelve inútil.
Alerta de características de dispositivos móviles y los problemas (por ejemplo, la volatilidad de la memoria) y la familiaridad con el
equipo tangencial (adaptadores por ejemplo, los medios de comunicación, cables y energía) son esenciales. Para los dispositivos
móviles, fuentes de pruebas incluyen el dispositivo, la UICC y los medios asociados. periféricos asociados, cables, adaptadores de
alimentación y otros accesorios son también de interés. Todas las áreas de la escena se deben buscar asegurar completamente la
evidencia relacionada no se pasa por alto.
Equipo asociado con el dispositivo móvil, como un medio extraíble, UICC, o computadoras personales, puede resultar más valioso que
el propio dispositivo móvil. Los medios extraíbles varía en tamaño y puede ser fácilmente escondido y difícil de encontrar. Muy a
menudo, las tarjetas de memoria extraíbles son identificables por su forma distintiva y la presencia de contactos eléctricos situados en
sus cuerpos que se utilizan para establecer una interfaz con el dispositivo. Las computadoras personales pueden ser particularmente
útiles en el acceso posterior un dispositivo móvil bloqueado, si el ordenador personal se ha establecido una relación de confianza con él.
Por ejemplo, Apple incorpora un proceso de emparejamiento por el que un archivo de registro de sincronización existente puede ser
utilizado por algunas herramientas [Zdz12] para acceder al dispositivo móvil, mientras que todavía está bloqueado.
Al entrevistar al propietario o usuario de un dispositivo móvil, considere solicitar ningún tipo de seguridad códigos, contraseñas o gestos
necesarios para poder acceder a su contenido. Por ejemplo, los dispositivos GSM pueden tener códigos de autenticación establecidos
para la memoria interna y / o la UICC.
Mientras asegurar un dispositivo móvil, se debe tener cuidado cuando se permite que un individuo para manejar el dispositivo móvil.
Muchos dispositivos móviles tienen códigos de restablecimiento maestro que borrar el contenido del dispositivo a las condiciones
originales de fábrica. Maestros se restablece se pueden realizar de forma remota que requieren precauciones adecuadas, tales como el
aislamiento de la red para asegurar que las pruebas no está modificado o destruido.
27
Los dispositivos móviles pueden encontrarse en un estado comprometido que puede complicar las convulsiones, tales como la
inmersión en un líquido. En estas situaciones, los examinadores forenses deben adherirse a los procedimientos específicos de la
agencia. Un método consiste en la extracción de la batería prevenir el cortocircuito eléctrico, mientras que el resto del dispositivo móvil
está sellado en un recipiente adecuado lleno con el mismo líquido para el transporte al laboratorio, siempre que el líquido no es cáustico.
Algunos estados comprometidos, tales como contaminación de la sangre o el uso de explosivos (es decir, como un componente de
bomba) pueden suponer un peligro para la recogida de pruebas técnico. En tales situaciones, un especialista debe ser consultado para
obtener instrucciones específicas o asistencia.
Los dispositivos móviles y los medios asociados pueden encontrarse en un estado dañado, causada por la acción accidental o
deliberada. Dispositivos o medios con daños visibles desde el exterior no necesariamente impiden la extracción de datos. El equipo
dañado debe ser llevado de vuelta al laboratorio para una inspección más cercana. Reparación de componentes dañados en un
dispositivo móvil y restaurar el dispositivo a la orden de trabajo para el examen y el análisis puede ser posible.
componentes de memoria no dañadas también pueden ser removidos de un dispositivo dañado y su contenido se recuperaron de
forma independiente. Este método debe utilizarse con precaución, ya que no es posible con todos los dispositivos.
4.2 La documentación de la escena
La evidencia debe ser identificado con precisión y representaron. Los materiales no electrónicos, tales como facturas, manuales
y material de embalaje pueden proporcionar información útil acerca de las capacidades del dispositivo, la red utilizada,
información de la cuenta, y el desbloqueo de códigos para el PIN. Fotografiar la escena del crimen junto con la documentación
de un informe sobre el estado de cada dispositivo digital y todos los equipos que se encuentran pueden ser útiles en la
investigación, si surgen preguntas más tarde por el medio ambiente.
Un registro de todos los datos visibles debe ser creado. Todos los dispositivos digitales, incluyendo los dispositivos móviles, que
pueden almacenar datos, deben ser fotografiados junto con los cables de todos los periféricos, los conectores de alimentación,
medios extraíbles y conexiones. Evitar tocar o contaminar el dispositivo móvil cuando se fotografía y el entorno donde se encuentra.
Si la pantalla del dispositivo está en un estado visible, el contenido de la pantalla debe ser fotografiados y, si es necesario, registran
manualmente, capturando el momento, el estado del servicio, nivel de batería, y otros iconos que aparecen.
4.3 Aislamiento
Muchos dispositivos móviles ofrecen al usuario la posibilidad de realizar ya sea un bloqueo a distancia o eliminación remota de datos
simplemente enviando un comando (por ejemplo, mensajes de texto) al dispositivo móvil.
razones adicionales para deshabilitar la conectividad de red incluyen datos entrantes (por ejemplo, las llamadas o mensajes de texto)
que pueden modificar el estado actual de los datos almacenados en el dispositivo móvil. los datos salientes también pueden ser
indeseables como la ubicación actual del GPS puede ser entregado a un asesor que proporciona la ubicación geográfica del médico
forense.
Por lo tanto, los examinadores forenses deben ser conscientes y tomar precauciones cuando se asegura dispositivos móviles
atenuantes la posibilidad de modificación de datos. El Grupo Científico de Trabajo sobre Digital Evidencia de (SWGDE) “Mejores
prácticas para el teléfono móvil forense” documento cubre las mejores prácticas para el aislamiento adecuado de los dispositivos
móviles [SWG13]. Algunas implicaciones clave para la correcta recogida se resumen a continuación.
28
Aislando el dispositivo móvil desde otros dispositivos utilizados para la sincronización de datos es importante para mantener los nuevos
datos de la contaminación de los datos existentes. Si se encuentra el dispositivo en una cuna o conectado con un ordenador personal,
tirando de la clavija de la parte posterior del ordenador personal elimina la transferencia de datos o la sincronización sobrescribe. Se
recomienda que una captura de la memoria de la computadora personal se extrae antes de “tirar del enchufe” como memoria adquirida
generalmente resulta ser de valor significativo forense. Se debe tener precaución, ya que la eliminación de un dispositivo que si se
realiza una actualización de software de copia de seguridad o tiene el potencial de sistema de archivos corruptos del dispositivo móvil. El
uso de herramientas de análisis forense de memoria para la captura de la memoria de un ordenador personal debe ser realizado por un
profesional cualificado forense digital. El dispositivo móvil debe aprovecharse junto con el hardware asociado. tarjetas de medios UICC,
y cualquier otro hardware que residen en el dispositivo móvil no deben ser eliminados. Además, aprovechando la computadora que
estaba conectada con el dispositivo móvil ofrece la posibilidad de adquirir los datos sincronizados desde el disco duro que no se podría
obtener desde el dispositivo. Cualquier hardware asociado, tales como tarjetas de memoria, UICC, adaptadores de corriente, mangas de
dispositivos o periféricos, debe aprovecharse junto con los materiales relacionados, tales como manuales de productos, empaques y
software.
El aislamiento de un dispositivo móvil de todas las redes de radio (por ejemplo WiFi, celular y Bluetooth) Es importante tener un
nuevo tráfico, tales como mensajes SMS, sobrescribir los datos existentes. Además del riesgo de sobrescribir las posibles pruebas,
puede plantearse la cuestión de si los datos recibidos en el dispositivo móvil después de la toma está dentro del alcance de la
autoridad otorgada originales. pueden existir vulnerabilidades que pueden explotar una debilidad relacionados con las
vulnerabilidades del software del navegador web y sistema operativo, SMS, MMS, aplicaciones de terceros y redes WiFi. La
posibilidad de tales vulnerabilidades siendo explotada puede permitir el argumento de que los datos pueden haber sido modificados
durante el examen forense.
Tres métodos básicos para aislar el dispositivo móvil de comunicación por radio y la prevención de estos problemas son a cualquiera
de: colocar el dispositivo en modo de avión, apagar el aparato, o por último coloque el dispositivo en un recipiente blindado. Cada
método tiene ciertos inconvenientes.
• Habilitación “Modo Avión” requiere la interacción con el dispositivo móvil a través del teclado, lo que representa algún riesgo
- por lo menos, si el técnico está familiarizado con el dispositivo en cuestión y documenta las acciones tomadas (por
ejemplo, en papel o en vídeo). Nota: el modo avión no impide que el sistema de la utilización de otros servicios tales como
el GPS en todos los casos.
• Apagar el dispositivo móvil puede activar los códigos de autenticación (por ejemplo, el PIN de la UICC y / o códigos de
seguridad de equipos), los cuales son necesarios para acceder al dispositivo, lo que complica la adquisición y retrasar
el examen.
• Mantener el dispositivo móvil, pero la radio aislado, acorta la vida de la batería debido a un mayor consumo de energía
como los dispositivos que no pueden conectarse a una red levantan la intensidad de la señal al máximo. Después de un
período, el hecho de conectarse a la red puede causar ciertos dispositivos móviles para restablecer o datos de red claro
que de otro modo sería útil si recuperado [Smi05]. contenedores de Faraday pueden atenuar la señal de radio, pero no
necesariamente eliminar por completo, lo que permite la posibilidad de comunicaciones está establecida con una antena de
telefonía móvil, si en su proximidad inmediata. El riesgo de sellado inadecuadamente el recipiente Faraday (por ejemplo, la
bolsa de sellado inadecuadamente, cables expuestos conectados a la estación de trabajo forense puede actuar como una
antena) y permitiendo que sin saberlo acceso a también existe la red celular.
Para ahorrar energía, algunos dispositivos móviles están normalmente configurados para entrar en modo de ahorro de energía y apagar
la pantalla después de un breve período de inactividad. Algunos dispositivos también cerraron
29
a sí mismos fuera de si el nivel de la batería cae por debajo de un cierto umbral para proteger los datos almacenados en la memoria
volátil, lo que contradice el propósito original de mantenerla encendida. El mantenimiento de un dispositivo de este tipo en el estado
activo es problemático, lo que requiere la interacción periódica con el dispositivo. Si la energía adicional no puede ser suministrado a un
dispositivo y se apaga para ahorrar energía y preservar contenido de la memoria, es probable el riesgo de encontrarse con un
mecanismo de protección cuando se enciende de nuevo. Por otra parte, los mecanismos de autenticación, tales como contraseñas, por
lo general no pueden ser desactivados sin satisfacer primero el mecanismo (por ejemplo, el suministro de la contraseña correcta).
El tiempo mantenido en el dispositivo móvil puede ajustarse independientemente de que a partir de la red. Siempre anote la fecha y la
hora que aparece en el teléfono, si está activada, y compararlos con un reloj de referencia, teniendo en cuenta cualquier inconsistencia.
Si la pantalla está oscura debido a la administración de energía, puede ser necesario pulsar una tecla de “insignificante”, como por
ejemplo la tecla de volumen, para iluminar la pantalla.
Los mecanismos de seguridad, la reasignación de clave y programas maliciosos pueden estar presentes en los dispositivos móviles.
Ciertos tipos de modificaciones a las aplicaciones de software y sistema operativo del dispositivo podrían afectar la forma en que se
maneja. La siguiente es una lista de ejemplos de algunas clases de modificaciones a tener en cuenta:
• Mejoras en la seguridad - Las organizaciones e individuos pueden mejorar sus dispositivos de mano con mecanismos de
seguridad adicional. Una variedad de inicio de sesión, biométrica, y otros mecanismos de autenticación están disponibles
para los dispositivos móviles pueden ser como sustitutos o complementos de los mecanismos de contraseña. la
interacción inapropiada con un mecanismo podría hacer que el dispositivo para bloquear e incluso destruir su contenido.
Esto es particularmente una preocupación con los mecanismos que utilizan tokens de seguridad cuya presencia se
controla constantemente y cuya desconexión de una ranura de tarjeta u otra interfaz de dispositivo es actuado
inmediatamente después.
• Los programas maliciosos - Un dispositivo móvil puede contener un virus u otro software malicioso. este tipo de malware 13 pueden
intentar propagarse a otros dispositivos a través de las interfaces cableadas o inalámbricas, incluyendo multiplataforma
salta completamente diferentes plataformas. utilidades o funciones comunes también pueden ser reemplazados
intencionalmente con versiones de software diseñado para alterar o dañar los datos presentes en un dispositivo móvil.
Tales programas condicionalmente podrían ser activados o reprimidos en base a condiciones tales como parámetros de
entrada o interrupciones de hardware clave. aplicaciones de vigilancia también se podrían escribir a detectar eventos
específicos (por ejemplo, los acordes clave o sobre los mensajes de aire) y llevar a cabo acciones como borrar el contenido
del dispositivo.
• Reasignación clave - Teclas de hardware pueden ser reasignados para realizar una función distinta de la
predeterminada. Una pulsación de tecla o combinación de pulsaciones de teclas destinados a un propósito podrían lanzar
un programa arbitrario.
• Geo Esgrima - Algunos dispositivos puede ser configurado para borrar todos los datos de forma automática cuando el
GPS en el dispositivo determina que ha dejado (o introducido) un área geográfica específica predeterminada. Este
método también puede emplear torres WiFi para determinación de la ubicación también.
13 Para más información visite: http://appleinsider.com/articles/13/05/14/mobile-malware-exploding-but-only-forandroid
30
• Explosivos y armas trampa - Los dispositivos móviles pueden ser manipuladas para detonar bombas remotamente o
explotar sí mismos si una acción específica se lleva a cabo en el dispositivo (por ejemplo, la recepción de una, mensaje
de texto llamada entrante o pulsando una secuencia de acordes clave específica, etc.). 14
• Alarmas - Muchos dispositivos móviles tienen una función de alarma audible. La función de alarma es capaz de
suministrar energía en un dispositivo inactivo, el establecimiento de la conectividad de red y el potencial para una limpieza
remota.
Las siguientes secciones 4.3.1 a través de 4.3.3 discuten el uso y las características de los contenedores de aislamiento de radio y
técnicas de aislamiento de la red celular.
4.3.1 Contenedores Radio de aislamiento
Una prueba de campo sobre la eficacia de diversos dispositivos de protección móvil (es decir, una herramienta diseñada para actuar
como una jaula de Faraday) se llevó a cabo en la Universidad de Purdue. Hay muchos dispositivos de protección que pretenden aislar a
la radio un dispositivo móvil por desgracia estas herramientas no siempre previenen con éxito la comunicación de red [KAT10]. Las
pruebas realizadas en Purdue utilizan varios dispositivos de protección con dispositivos móviles que opera sobre tres de los mayores
proveedores de Estados Unidos, mientras que la variación de la distancia de las torres del proveedor.
La mayoría de los casos de prueba demostró que los dispositivos de protección probadas no impidió que la comunicación de red en
todos los casos, y mensajes SMS con mayor frecuencia penetraron en el dispositivo mientras blindado, seguidas por las llamadas de
voz y mensajes MMS. Tres razones por las que los dispositivos de protección pueden fallar se deben a: los materiales no proporcionar
suficiente atenuación, fugas o costuras en el escudo o la actuación pantalla conductora como una antena.
Mientras que muchos fabricantes afirman la eficacia de su dispositivo de protección es importante para entender la eficacia del
dispositivo de aislamiento se basa en la atenuación de la señal entre decibelios específicos. Por lo tanto, la eficacia de los
contenedores de aislamiento ensayados no eran 100% eficaz en la mayoría de los casos y los dispositivos utilizados para preservar las
pruebas requerir la verificación.
Algunos de los productos mencionados en el documento anteriormente, ya que se han mejorado para proporcionar una solución más
eficaz aislamiento radio. Los examinadores deben probar sus propios productos para validar que se está trabajando adecuadamente
antes de su uso.
4.3.2 Las técnicas de aislamiento de red celular
Existe un número de técnicas para el aislamiento de un dispositivo móvil de comunicaciones torre celular [INT06]. El dispositivo debe
estar completamente cargada antes del examen y deberían tenerse en cuenta para tener una fuente de alimentación fija o portátil
adjunto. A continuación se proporciona una visión general de varias técnicas de aislamiento de la red celular.
• Tarjeta de Aislamiento de red celular (CNIC) - Un CNIC imita la identidad de la UICC originales e impide el acceso a la red
a / desde el auricular. Estas tarjetas impiden el auricular de borrado de datos del registro de llamadas debido a que se
inserta una tarjeta SIM extranjera. Esta técnica permite la adquisición sin que se produzcan interferencias inalámbricas.
14 Para más información visite: http://www.scientificamerican.com/article.cfm?id=boston-marathon-bomb-attack
31
• Blindado Contenedores - Un contenedor blindado portátil puede permitir que los exámenes se lleven a cabo de manera
segura una vez que el teléfono se encuentra en el interior. Los cables conectados al contenedor deben ser aislados para
evitar totalmente las comunicaciones de red se produzcan. Este método es uno de los más utilizados.
• Áreas de Trabajo - blindados Blindaje toda una zona de trabajo pueden ser una manera costosa pero eficaz para llevar a
cabo exámenes de forma segura en un lugar fijo. Una “tienda de Faraday” es una alternativa más barata que también
permite la portabilidad. La alimentación de los cables dentro de la tienda es problemático, sin embargo, ya que sin un
adecuado aislamiento pueden comportarse como una antena, derrotando el propósito de la tienda. El espacio de trabajo
también puede ser muy restrictiva.
• La desactivación del servicio de red - La compañía celular que proporciona servicio al dispositivo móvil podría ser capaz de
desactivar el servicio. El proveedor de servicios u operador de red deben ser determinados y en contacto con los detalles
que identifican el servicio a ser desactivados (por ejemplo, el identificador de equipo, identificador de abonado, número de
teléfono). Dicha información no siempre está disponible, sin embargo, y el proceso de coordinación y confirmación también
puede imponer retrasos.
• Jamming / Dispositivos Spoofing - Emitir una señal más fuerte que un teléfono celular de o interferir con la señal
haciendo que la comunicación inútil. Otra técnica consiste en engañar al teléfono en el pensamiento de una señal de
“no hay servicio” viene de la torre celular más cercana. Debido a que tales dispositivos pueden afectar las
comunicaciones en el espacio aéreo que rodea pública más allá de la zona de examen, el uso sin licencia puede ser
ilegal en algunas jurisdicciones. [NIJ05]
4.3.3 Tarjetas de aislamiento de la red celular
Algunas herramientas tienen la capacidad de crear una tarjeta de aislamiento de la red celular (CNIC) [SWG13]. CNICs proporcionan
aislamiento de la red celular la prevención de comunicación de red que pueden modificar los datos contenidos en un dispositivo móvil
(por ejemplo, limpieza por frotamiento remoto, mensajes de texto entrantes). A CNIC carece de elementos de datos específicos
requeridos para establecer la conectividad entre el dispositivo móvil y su red asociada. Por ejemplo, CNIC de no contienen una clave de
cifrado, impidiendo así el acceso a una red celular. Un CNIC puede ser necesaria para la extracción de datos del dispositivo móvil, como
algunos teléfonos no son capaces de arrancar sin UICC presente.
Algunos fabricantes de herramientas y los vendedores se refieren a esto como un “clon SIM.” La creación de un CNIC no es un
verdadero clon de la UICC fuente, porque la clave de autenticación y otros datos de usuario no se copian en el proceso de clonación.
A CNIC puede ser creado ya sea por el examinador utilizando la UICC original como una fuente o mediante la introducción de los
datos de forma manual. La entrada manual es útil si la UICC asociada con un dispositivo móvil específico no está presente. CNICs
son herramienta específica; no son intercambiables entre las herramientas de distintos fabricantes. CNICs varían en su eficacia y
apoyo, basado en dispositivos móviles específicos. Por ejemplo, CNICs no puede ser utilizado para la extracción de datos de los
dispositivos TDMA.
Ocasionalmente, una UICC puede no estar presente con un dispositivo móvil, o puede ser dañado intencionadamente, pero necesario
para la adquisición de datos. Uno de los errores más comunes que los examinadores forenses hacen es insertar una UICC extraño en el
dispositivo móvil para facilitar la adquisición de datos. Algunos dispositivos móviles están vinculados a una UICC específica. Cuando
existe este vínculo, el arranque de un dispositivo móvil con una UICC extranjera hace que los elementos de datos tales como: registros
de llamadas (perdidas, entrantes y
32
llamadas salientes) y mensajes SMS presentes dentro de la memoria interna del dispositivo móvil para ser borrados [Rei08].
Un mejor enfoque es crear una UICC sustituto (es decir, CNIC) para utilizar con el dispositivo móvil que imita las características clave de
la UICC original, por engañar al dispositivo a lo aceptan como el original. La mayoría de las herramientas forenses móviles proporcionan
el examinador forense con la capacidad de crear un CNIC.
Sustituyendo UICC, a veces referido como CNICs, puede ser útil en varias situaciones:
• Si UICC de un dispositivo móvil se encuentra o está dañado y es necesario para la adquisición de una herramienta forense,
la creación de un CNIC permite a los datos ser recuperados desde el auricular.
• Si la UICC para un dispositivo está presente, sino que requiere un código PUK, un sustituto de la UICC se puede crear
proporcionar la adquisición de proceder sin tener que contactar con el proveedor de servicios para el PUK.
• Si se requiere aislamiento de la red celular (por ejemplo, evitando las llamadas entrantes o mensajes de texto) un CNIC
proporciona un método que permite la adquisición de datos desde el teléfono al tiempo que niega al mismo tiempo la
autenticación de red celular.
• Si una herramienta forense accede a la UICC durante el proceso de adquisición, utilizando un CNIC en el auricular elimina
la posibilidad de que el original será modificado (por ejemplo, indicador de estado de los mensajes SMS sin leer modificado
a partir de la lectura).
Los valores por que el dispositivo móvil se correlaciona con el UICC insertada previamente son el ICCID y el IMSI [Rei08]. A
menudo sólo se utiliza uno de estos valores. Ambos identificadores son únicos y se usa para autenticar al usuario a la red. Si bien
los datos mínimos necesarios para crear una UICC pueden ser simplemente uno de estos dos valores, algunos dispositivos móviles
pueden requerir datos adicionales a ser pobladas en el CNIC para ser reconocidos correctamente. Existe la posibilidad de que los
datos, distintos de los datos de usuario, pueden cambiar en el auricular como el resultado de la inserción de un CNIC [INT06].
4.4 Envasado, transporte, almacenamiento y Prueba
Una vez que el dispositivo móvil está listo para ser agarrado, el especialista forense debe sellar el dispositivo en un recipiente apropiado
y etiquetar de manera apropiada de acuerdo con las especificaciones de la agencia.
Debido a la naturaleza volátil de algunos dispositivos móviles, que de inmediato se deben comprobar en un laboratorio forense para el
procesamiento y los requisitos de potencia deben ser discutidos con la evidencia custodio. dispositivos alimentados por batería a cabo
en el almacenamiento durante más de una pérdida de cancelación de energía riesgos días y datos, a menos que un proceso está en su
lugar para evitar este resultado.
Las instalaciones de almacenamiento que mantienen pruebas deben proporcionar un lugar fresco, seco entorno apropiado para el
equipo electrónico valioso. Todas las pruebas debe estar en recipientes sellados en un área segura con acceso controlado.
4.5 En las instalaciones de procesamiento de Triage
Actualmente muchas organizaciones se enfrentan al reto con grandes acumulaciones de trabajo de casos forense digital. se está
empleando una solución de triaje en el lugar cada vez más para dar cabida a este crecimiento exponencial del número de casos
forenses digitales en todo el mundo. Triaging implica la realización de un conjunto de datos
33
extracción (es decir, manual o lógico) en la escena seguida inmediatamente por un análisis preliminar de los datos extraídos.
herramientas de extracción lógicas están proporcionando capacidades adicionales para utilizar las palabras clave y los hashes
conocidos específicos que alertan al examinador en la escena inmediatamente a los posibles problemas que necesitan ser abordados.
Siempre que sea posible, los dispositivos de soporte de cifrado, como los dispositivos Android y iOS, debe ser triaje procesado en la
escena si se encuentran en un estado desbloqueado, ya que los datos ya no pueden estar disponibles a un investigador una vez que la
pantalla del dispositivo está bloqueado, o si los tubos de escape de la batería. La implementación de la utilización de herramientas de
análisis forense de campo, ya sea a adquirir el dispositivo, o establecer una relación de confianza con el dispositivo, se asegurará de
que los datos se puede acceder en un momento posterior, después de que el dispositivo se ha bloqueado. [Zdz12].
En el sitio de triaje es especialmente útil en la identificación de:
• Los medios de comunicación con mayor probabilidad de contener pruebas
• Esas investigaciones que requieren un examen más detallado y técnico
• Las investigaciones que podrían ser objeto de examen limitado por los profesionales cualificados
• Material que requiere investigación urgente
• Exámenes adecuados para la contratación externa
• El alcance de la asistencia necesitará la unidad para proporcionar a una investigación [ACP11]
En las instalaciones de procesamiento de beneficios Triage incluyen:
• la carga de trabajo de laboratorio reducida - Comunicaciones de los laboratorios forenses digitales puede reducirse
cuando nada de interés se encuentra en el lugar del siniestro y el nivel de sospecha es baja
• Exigencia - examinadores en la escena tienen acciones concretas los resultados de inmediato
• Mejor aprovechamiento de los recursos existentes - recursos de inteligencia se han mejorado mediante el uso de
palabras clave / listas de hash
• La reducción de los costes de formación - Triage herramientas suelen estar diseñados para requerir menos formación
que más profundos herramientas y técnicas de análisis
• reducción de costos unitarios - herramientas de triaje son con frecuencia más asequible que un análisis más profundo
contrapartes capaces
• En vivo de oportunidad colección - Los dispositivos se presentan a menudo en un estado desbloqueado,

proporcionando el examinador in situ el potencial para extraer más datos antes de que se active el mecanismo de
bloqueo
Las organizaciones podrían desarrollar algún tipo de método de “puntuación” para ayudar con la priorización de los
exámenes de triaje in situ. Todo ello debería hacerse en función de cada organización y debe ser revisado y actualizado
para adaptarse a los cambios.
34
4.6 Árbol de decisión genérica en las instalaciones
La figura 7 ilustra un ejemplo de un árbol de decisión en el lugar que puede ser utilizado como una guía general para las
organizaciones y las agencias. Esto proporciona un punto de partida prevista para la personalización que permite la alineación
con las políticas y procedimientos existentes. La siguiente lista describe algunas de las acciones y los puntos de decisión
contenidos en el árbol.
• Desbloqueado / sin daños - Es el dispositivo en un estado desbloqueado y funcional que permite una extracción manual de
datos o lógica?
• - Hacer urgentes circunstancias existen tal que se requiere la extracción de datos en el sitio?
• Laboratorio de menos de 2 horas de distancia - ¿Puede el dispositivo móvil puede transportar a un laboratorio
forense en menos de 2 horas?
• Herramienta / Formación - ¿Está el dispositivo de apoyo de la herramienta y el examinador ha recibido una formación
adecuada?
• Experto en contacto - El examinador en el lugar debe ponerse en contacto con un experto de asistencia y
orientación adicional.
• Batería Más del 50% - ¿El dispositivo de demostrar que tiene más del 50% de energía restante de la batería?
• Necesitamos más datos - Después de la extracción se realiza correctamente y el examinador ha revisado los
resultados, se requiere información o análisis adicional?
35
Figura 7: árbol de decisión Triage Genérico
36
5. Adquisición
Adquisición es el proceso de formación de imágenes o la información de otro modo la obtención de un dispositivo móvil y sus medios de
comunicación asociada. Realizar una adquisición en la escena tiene la ventaja de que la pérdida de información debido al agotamiento
de la batería, daños, etc., durante el transporte y el almacenamiento se evita. Fuera de las instalaciones adquisiciones a diferencia de
un entorno de laboratorio pueden ser un reto en la búsqueda de un entorno controlado en el que trabajar con el equipo apropiado al
tiempo que satisface los requisitos previos adicionales. A los efectos de esta discusión, un entorno de laboratorio se asume en este
capítulo.
El examen forense comienza con la identificación del dispositivo móvil. El tipo de dispositivo móvil, su sistema operativo,
y otras características a determinar la ruta a tomar en la creación de una copia forense de los contenidos del dispositivo.
El tipo de dispositivo móvil y los datos a ser extraído generalmente dicta qué herramientas y técnicas debe ser usado en
una investigación.
5.1 Identificación del dispositivo móvil
Para realizar con eficacia, los dispositivos móviles deben ser identificados por la marca, el modelo, y el proveedor de servicio. Si el
dispositivo móvil no es identificable, fotografiando la parte delantera, trasera y laterales del dispositivo puede ser útil en la identificación
de la marca, modelo y estado actual (por ejemplo, bloqueo de la pantalla) en un momento posterior. Los individuos pueden intentar
frustrar los especialistas alterando el dispositivo móvil para ocultar su verdadera identidad. alteración dispositivo puede variar desde la
eliminación de las etiquetas del fabricante para la presentación de logotipos. Además, el sistema operativo y las aplicaciones pueden ser
modificados o en raras ocasiones sustituido completamente, y aparecen de manera diferente, así como se comportan de manera
diferente de lo esperado. Estas modificaciones se deben tomar en cuenta sobre una base caso por caso.
Si el dispositivo móvil está encendido, la información que aparece en la pantalla puede ayudar en la identificación de dispositivo móvil.
Por ejemplo, pueden aparecer el nombre del proveedor de servicio del fabricante o en la pantalla, o el diseño de la pantalla pueden
indicar la familia de sistema operativo utilizado. La información tal como la etiqueta del fabricante se puede encontrar en la cavidad de la
batería (por ejemplo, marca, modelo, IMEI, MEID). Extracción de la batería de la cavidad de un dispositivo móvil, incluso cuando
apagado, puede afectar a su estado, en particular los contenidos de la memoria volátil. La mayoría de los dispositivos móviles
mantienen datos de usuario en la memoria no volátil (es decir, NAND). Si el dispositivo móvil está encendido, la eliminación de la batería
se apagará si fuera poco, lo que puede causar un mecanismo de autenticación para disparar cuando se enciende de nuevo.
Otras pistas que permiten la identificación de un dispositivo móvil incluyen cosas tales como: logotipos del fabricante, números de
serie, o características de diseño (por ejemplo, barra de caramelo, concha de almeja). En general, conocer la marca y el modelo
ayuda a limitar los posibles proveedores de servicios, diferenciando el tipo de red que el dispositivo opera sobre (es decir, GSM, que
no sea GSM), y viceversa. software de sincronización descubierto en un equipo asociado también puede ayudar a diferenciar entre
las familias de sistemas operativos. Otros medios de identificación incluyen los siguientes:
• Características del dispositivo - La marca y el fabricante de un dispositivo móvil pueden ser identificados por su
características observables (por ejemplo, peso, dimensiones, y el factor de forma), en particular si existen elementos de
diseño únicos. Varios sitios web contienen bases de datos de dispositivo móvil que puede ser consultada basan en
atributos seleccionados para identificar un determinado
37
dispositivo y obtener sus especificaciones y características. 15 La cobertura es considerable, pero no extensa y

completa, puede requerir consultar más de un repositorio antes de hacer un partido.
• Device Interface - El conector de alimentación puede ser específico de un fabricante y puede proporcionar pistas para la
identificación de dispositivo. Con la familiarización y la experiencia, los fabricantes de ciertos dispositivos móviles pueden
ser fácilmente identificados. Del mismo modo, el tamaño, el número de contactos, y la forma de la interfaz de cable de
datos a menudo son específicos de un fabricante en particular y pueden ser útiles en la identificación.
• Etiqueta dispositivo - Para los dispositivos móviles que están inactivas, la información obtenida desde el interior de la
cavidad de la batería puede ser de ayuda, particularmente cuando se combina con una base de datos apropiada. La
etiqueta del fabricante a menudo listas de la marca y el número de modelo del dispositivo móvil y también identificadores
únicos, tales como el Comunicaciones Número Federal Comisión de Identificación (FCC ID) y un identificador de equipo
(IMEI o MEID). Los identificadores de la FCC y el equipo se pueden encontrar en los dispositivos móviles que se venden en
el mercado nacional estadounidense.
Para todos los dispositivos móviles que utilizan una UICC, el módulo de identidad normalmente se encuentra debajo de
la batería y la imprime con un identificador único llamado la Tarjeta de Identificación de Circuitos Integrados (ICCID).
Para potencia en los teléfonos GSM y UMTS, el identificador de equipo móvil internacional (IMEI) se puede obtener
tecleando * # 06 #. Existen códigos similares para obtener el número de serie electrónico (ESN) o identificador de
equipo móvil (MEID) de potencia en los teléfonos CDMA. Varios sitios en las bases de datos de Internet ofrecen que
proporcionan información sobre el dispositivo móvil basado en un identificador, tal como la siguiente:
• El IMEI es un número de 15 dígitos que indica el fabricante, el tipo de modelo, y el país de homologación de
dispositivos GSM. La porción inicial de 8 dígitos del IMEI, conocido como el código de tipo de Asignación
(TAC), da el modelo y origen. El resto de la IMEI es específico del fabricante, con un dígito de control al final
[GSM04]. Un servicio de búsqueda de base de datos está disponible en el sitio Web de plan de numeración
GSM. dieciséis
• El ESN es un identificador de 32 bits grabado en un chip seguro en un dispositivo móvil por el fabricante. Los
primeros 8-14 bits identifican el fabricante y los bits restantes representan el número de serie asignado. Muchos
dispositivos móviles tienen códigos que se pueden introducir en el auricular para mostrar el ESN. menús ocultas
también pueden ser activados en ciertos dispositivos móviles, colocándolos en “modo de prueba” a través de la
entrada de un código. Además del ESN, otra información útil, como se puede obtener el número de teléfono del
dispositivo. códigos de fabricantes pueden ser consultadas en línea en el sitio web de la Asociación de la Industria de
las Telecomunicaciones. 17
15 Para más información visite: http://www.phonescoop.com/phones/finder.php ,
http://www.gsmarena.com/search.php3 y http://mobile.softpedia.com/phoneFinder .
dieciséis Para más información visite http://www.numberingplans.com/?page=analysis&sub=imeinr .
17 Para más información visite http://www.tiaonline.org/standards/resources/esn/codes.cfm .
38
• El ICCID de la UICC puede ser de hasta 20 dígitos de longitud. Se compone de un prefijo de identificador de
la industria (89 para las telecomunicaciones), seguido de un código de país, un número identificador de
emisor, y un número de identificación de cuenta individual [ITU06]. El nombre del operador país y la red se
puede determinar por el ICCID. Si el ICCID no aparece en la UICC, que se puede obtener con una
herramienta de adquisición de la UICC. El sitio Web de plan de numeración GSM soporta consultas ICCID de
esta información. 18
• Los 3 primeros caracteres de la ID de la FCC son el código de la compañía; el próximo 14 son el código de
producto. La FCC ofrece un servicio de búsqueda de base de datos que se puede utilizar para identificar un
fabricante de dispositivos y recuperar información acerca del dispositivo móvil, incluyendo fotos, manual de usuario,
y los resultados de las pruebas de frecuencia de radio. 19
• MEID consiste en un conjunto de caracteres de 56 bits de longitud (14 dígitos hexadecimales). Contiene tres
campos, incluyendo un código regional de 8 bits (RR), un código de fabricante de 24 bits, y un número de serie
asignado por el fabricante de 24 bits. El dígito de control (CD) no se considera parte de la MEID. El MEID fue
creado para reemplazar SNE, ya que todos estaban exhaustos ESN de noviembre de 2008.
• identificación del transportista - El soporte para un dispositivo móvil puede tener su logotipo impreso en el exterior. Esto
se muestra tradicionalmente un lugar destacado para permitir la publicidad y la marca. Esto puede proporcionar el
examinador con visión sobre cuyo portador opera el dispositivo móvil. Los dispositivos móviles pueden ser desbloqueados y
posiblemente volver a destellaron para operar utilizando un vehículo de la competencia. Un método para hacer esta
determinación es examinar la UICC si está presente. La mayoría de las compañías imprimen su logotipo en la parte
delantera de la UICC. Adicionalmente, la extracción y el análisis de la ICCID proporciona una confirmación adicional.
• búsqueda inversa - El Centro de Administración de la portabilidad de números (CNAP) proporciona un sistema telefónico
automático para las agencias de aplicación de la ley para determinar el proveedor de servicio actual asignado a un número
y obtener información de contacto. 20 Este servicio cubre tanto los números de teléfono de EE.UU. y Canadá. Si se conoce el
número de teléfono del dispositivo móvil, una búsqueda inversa se puede utilizar para identificar el operador de red y la
ciudad de origen y estado. Por ejemplo, FoneFinder ™ es un servicio para obtener dicha información. 21 El sitio web del
operador de red normalmente contiene una lista de los dispositivos compatibles que se pueden utilizar para reducir y
posiblemente identificar el dispositivo móvil en cuestión. Debido a que los números de teléfono se pueden portar entre los
proveedores de servicios, en muchas situaciones se requiere más hasta a la información actualizada.
5.2 Selección de herramientas y Expectativas
Una vez que se conocen la marca y el modelo del dispositivo móvil, manuales disponibles deben ser recuperados y estudiados. El sitio
web del fabricante es un buen lugar para comenzar. Escribiendo el número de modelo en un motor de búsqueda también puede revelar
una cantidad significativa de información sobre el dispositivo móvil. Como se mencionó anteriormente, el dispositivo está adquiriendo
gran medida dicta la elección de
18 Para más información visite http://www.numberingplans.com/?page=analysis&sub=simnr .
19 Para más información visite http://transition.fcc.gov/oet/ea/fccid/ .
20 Para más información visite: http://www.npac.com/the-npac/access/law-enforcement-agencies-psaps .
21 Para más información visite http://www.fonefinder.net/ .
39
herramientas forenses. Los siguientes criterios se han sugerido como un conjunto fundamental de requisitos para herramientas
forenses, y deben ser considerados cuando una selección de herramientas está disponible:
• usabilidad - la capacidad de presentar datos en una forma que sea útil para un investigador
• Exhaustivo - la capacidad de presentar todos los datos a un investigador para que tanto pruebas de cargo
como las de descargo se puede identificar
• Exactitud - la calidad de la salida de la herramienta se ha verificado
• determinista - la capacidad de la herramienta para producir la misma salida cuando se les da el mismo conjunto de
instrucciones y datos de entrada
• Verifiable - la capacidad para asegurar la exactitud de la salida al tener acceso a la traducción

intermedia y presentación de resultados
• probado - la capacidad de determinar si los datos conocidos presentes dentro de la memoria interna del dispositivo
móvil no se modifica y informó con precisión por la herramienta
Experimentar con diferentes herramientas en dispositivos de prueba para determinar qué herramientas de adquisición de trabajar de
manera eficiente con tipos específicos de dispositivos móviles es muy recomendable. Además de ganar familiaridad con las
capacidades de la herramienta, la experimentación permite que los filtros de búsqueda de propósito especial y configuraciones
personalizadas para ser configurado antes de su uso en un caso real. Además, las actualizaciones de software necesarios desde el
fabricante se pueden instalar.
procedimientos establecidos deben guiar el proceso técnico de adquisición, así como la práctica de pruebas. Las nuevas
circunstancias pueden surgir esporádicamente que requieren ajustes a los procedimientos existentes, y en algunas situaciones
requieren nuevos procedimientos y métodos que se ideó. Algunos ejemplos incluyen: UICC estando unidos de forma permanente en
un dispositivo móvil, los dispositivos móviles capaz de soportar múltiples UICC y dispositivos móviles que bloquean los puertos de
adquisición lógicos hasta que se realiza una conexión con una antena de telefonía móvil. Los procedimientos deben ser probados
para asegurar que los resultados obtenidos son válidos e independientemente reproducible. Las pruebas deben realizarse el mismo
modelo de dispositivo móvil antes de intentar procedimientos en el dispositivo caso. El desarrollo y la validación de los
procedimientos deben ser documentadas e incluyen los siguientes pasos [DOJ08]:
• La identificación de la tarea o problema
• Proponiendo posibles soluciones
• Prueba de cada solución en un dispositivo de prueba idéntica y bajo condiciones de control conocidos
• La evaluación de los resultados de la prueba
• Finalización del procedimiento
5.3 Adquisición de memoria del dispositivo móvil
Los dispositivos móviles son sometidos con frecuencia para el procesamiento de laboratorio con sólo los elementos específicos
solicitados para la recuperación, tales como registros de llamadas o gráficos. En caso de duda o preocupaciones existen sobre los datos
solicitados, se recomienda ponerse en contacto con el remitente para su aclaración. A pesar de que no es
40
siempre es necesario para recuperar todos los datos disponibles, una adquisición completa evita tener que volver a hacer el proceso
más tarde si se solicita datos adicionales. Para los exámenes que implican una orden de alcance limitado de búsqueda (por ejemplo,
sólo los mensajes de texto), la extracción de datos de la memoria puede ser completado, pero se debe tener cuidado a sólo elementos
de informe cubiertos por la orden.
Para adquirir datos desde un dispositivo móvil, una conexión se debe establecer en el dispositivo desde la estación de trabajo forense.
Antes de realizar una adquisición, la versión de la herramienta o dispositivo que se utiliza debe ser documentada, junto con todos los
parches aplicables o erratas del fabricante aplicada a la herramienta. Como se mencionó anteriormente, se debe tener cuidado para
evitar alterar el estado de un dispositivo móvil en su manipulación, por ejemplo, mediante la pulsación de teclas que pueden corromper o
borrar los datos. Una vez establecida la conexión, el conjunto de software forense o dispositivo puede proceder a la adquisición de datos
desde el dispositivo móvil.
La fecha y la hora mantenida en el dispositivo móvil es una pieza importante de información. La fecha y hora se pueden haber obtenido
a partir de la red o configurar manualmente por el usuario. Los propietarios pueden establecer manualmente el día o el tiempo para
diferentes valores de las reales que proporcionen valores engañosas en los registros de llamadas y de mensajes que se encuentran en
el dispositivo móvil. Si el dispositivo estaba en cuando fueron capturados, la fecha y la hora y mantienen diferencias con respecto a un
reloj de referencia ya deberían haber sido registrados. Sin embargo, la confirmación de la adquisición de tiempo puede resultar útil. Si el
dispositivo móvil estaba apagado cuando fueron capturados, la fecha y la hora y mantienen diferencias con respecto a un reloj de
referencia deben ser registrados inmediatamente cuando se enciende por primera vez. Las acciones tomadas durante la adquisición,
como la eliminación de la batería para ver la etiqueta del dispositivo, pueden afectar a los valores de fecha y hora.
Los dispositivos móviles pueden proporcionar al usuario una interfaz para una tarjeta de memoria. forense de dispositivos móviles
herramientas que adquieren el contenido de una tarjeta de memoria residente normalmente realizan una adquisición lógico. Si se
encuentra el dispositivo en un estado activo, la memoria interna del dispositivo móvil debe ser adquirido antes de retirar y realizar una
adquisición física de los medios asociados (por ejemplo, tarjeta microSD). De lo contrario, si el dispositivo se encuentra en un estado de
apagado, una adquisición física de los medios extraíbles debe realizarse antes de que se adquiere la memoria del teléfono interna del
dispositivo móvil. Con cualquier tipo de adquisición, la herramienta forense puede o no tener la capacidad de decodificar datos
recuperados almacenados en la tarjeta (por ejemplo, mensajes de texto SMS), que requieren pasos manuales adicionales para ser
tomado.
Una vez finalizada la adquisición, el especialista forense debe confirmar que el contenido de un dispositivo fueron capturados
correctamente. En ocasiones, una herramienta puede fallar sin ninguna notificación de error y requieren el especialista volver a intentar
la adquisición. Es aconsejable tener múltiples herramientas disponibles y estar preparado para cambiar a otro si se presentan
dificultades con la herramienta inicial.
Invariablemente, no todos los datos pertinentes visibles en un dispositivo móvil utilizando los menús disponibles se pueden adquirir y
decodificados a través de una adquisición lógico. escrutar manualmente el contenido a través de los menús de la interfaz del dispositivo
mientras la grabación de vídeo, el proceso no sólo permite que tales artículos sean capturados y reportados, pero también confirma que
los contenidos reportados por la herramienta son consistentes con los datos observables. La extracción manual siempre debe hacerse
con cuidado, la preservación de la integridad del dispositivo en caso de que aún más, las adquisiciones más elaborados son necesarios.
El contenido de la memoria de un dispositivo móvil a menudo contienen información, como datos eliminados, que no es recuperable a
través de ya sea un extracciones lógicas o manuales. A falta de una herramienta de software capaz de realizar una adquisición física,
puede ser necesario recurrir a técnicas basadas en hardware. Dos técnicas de uso común son la adquisición a través de una interfaz
JTAG prueba estandarizada, si
41
apoyado en el dispositivo, y la adquisición por la lectura directamente de memoria que ha sido retirado del dispositivo de
[Bro12].
5.3.1 Consideraciones dispositivo GSM Mobile
Los dispositivos móviles que no requieren una UICC son relativamente sencillas como la adquisición implica un único dispositivo.
Los dispositivos móviles que requieren UICC son más complejas. Hay dos elementos que deben ser examinados: el auricular y la
UICC. Dependiendo del estado del dispositivo móvil (es decir, activo, inactivo) el auricular y UICC puede ser adquirido en forma
conjunta o por separado. En general se acepta para procesar la UICC primero mientras el dispositivo está en un estado inactivo.
Si el dispositivo móvil está activo, una adquisición conjunta del teléfono y el contenido de la UICC se debe adquirir primero. Una
adquisición directa recupera los mensajes presentes en una UICC eliminado, mientras que una adquisición indirecta a través del
auricular no lo hace. La UICC debe ser retirado desde el dispositivo móvil y se inserta en un lector apropiado para la adquisición
directa.
Una cuestión forense bien conocido que surge cuando se realiza una adquisición conjunta es que el estado de los mensajes de texto no
leídos cambiar entre las adquisiciones. La primera adquisición puede alterar el indicador de estado de un mensaje no leído para leer. La
lectura de un mensaje de texto no leído de una UICC indirectamente a través del auricular hace que el sistema operativo del dispositivo
para cambiar los indicadores de estado. UICC que se leen directamente por una herramienta no hacen estas modificaciones. Una forma
de evitar este problema es omitir la selección de la recuperación de la memoria de la UICC al realizar la adquisición conjunta (si la
herramienta permite esa opción) [Rei08].
Si el dispositivo móvil está inactivo, el contenido de la UICC se pueden adquirir de forma independiente antes que la del teléfono. La
adquisición de la UICC debe hacerse directamente a través de un lector PC / SC. La adquisición auricular debe intentarse sin la
UICC presente. Muchos dispositivos permiten una adquisición en tales condiciones, lo que permite la entrada del PIN para la UICC
va a ser excluida, si estuviera habilitada. Si el intento de adquisición tiene éxito, la UICC puede ser reinsertado y un segundo intento
hizo. Realizar adquisiciones separados e independientes (es decir, la adquisición de la UICC antes de adquirir el contenido del
teléfono) evita problemas forenses cualquier sistema operativo relacionado asociados con una lectura indirecta de los datos de la
UICC. Sin embargo, la eliminación de la SIM puede informes, hacer que los datos se eliminarán en algunos dispositivos móviles
[cas11].
5.3.2 Consideraciones dispositivo IOS
Desde mediados de 2009, comenzando con el lanzamiento del iPhone 3G [s], Apple ha enviado todos los dispositivos IOS con un
chip criptográfico dedicado, haciendo posible el hardware de encriptación acelerada. Apple ha incorporado esta criptografía
acelerada en el sistema operativo, que se comercializa como una característica denominada Protección de Datos. Protección de
datos es la combinación de encriptación acelerada por hardware y un esquema criptográfico autenticado, permitiendo a cualquier
archivo o parte de la información a ser cifrados o descifrados con una llave separada.
Los archivos protegidos con la protección de datos se encriptan con una clave de archivo aleatorio, que se cifra a continuación, utilizando
una clave de clase de nivel superior, y se almacena como una etiqueta de archivo con el archivo. Las contraseñas (y otros datos
pequeños sensibles) están almacenados en el dispositivo son encriptados usando un enfoque similar, y se almacenan en el llavero iOS,
un mecanismo de plica dispositivo de llave integrado en el sistema operativo.
Archivos y elementos de llaveros se protegen tanto por uno de una serie de teclas de control de acceso, que también están cifrados de
forma que incorpora el código de acceso del dispositivo del usuario. el código de acceso
42
debe ser conocida con el fin de descifrar la clave de jerarquía de proteger estos archivos seleccionados y los elementos de llavero, y
también para desactivar la interfaz gráfica de usuario de bloqueo del dispositivo.
La aplicación de la protección de datos ha sido criticado por una serie de defectos de diseño y fue explotada originalmente como se
muestra por Zdziarski en 2009 [Zdz12]. Debido a la simplicidad de los PIN de cuatro dígitos o contraseñas cortas, ataques de fuerza
bruta la contraseña del dispositivo es a menudo una tarea computacionalmente factible. En muchos casos, los ataques de fuerza bruta
de un PIN de cuatro dígitos ha demostrado tener como máximo 20 minutos.
No obstante, este esquema de cifrado plantea retos importantes para el investigador forense. El examinador forense debe ser
consciente de estas cuestiones, así como el impacto que esto tiene cifrado en cualquier dispositivo basado en iOS presentado
para su examen. dispositivos compatibles incluyen iPhone 3GS y iPhone 4 (ambos modelos GSM y CDMA), la primera
generación de iPad, y últimas versiones de iPod Touch (3ª y 4ª generación). Todos estos dispositivos tienen la opción de
realizar un borrado remoto de los datos contenidos en ellos. Cuando se activa, el UID se destruye y 256 bits de la clave se
destruye dejando el examinador con un problema de descifrado extremadamente complejo. Para evitar estas situaciones, se
recomienda que las comunicaciones de radio están bloqueadas o desactivadas antes de un examen, así como durante su
transporte al laboratorio para su análisis.
Cuando la protección de datos está activa, la tecla archivo se borra cuando se elimina el archivo, dejando el contenido del archivo
encriptados y generalmente irrecuperables en el espacio no asignado, que hacen que talla técnicas tradicionales para archivos borrados
inútiles. Datos sin embargo a menudo se puede encontrar que reside en el interior de contenedores de datos asignados (es decir, Mesas
SQLite) y no debe descartarse o ignorado como parte de cualquier examen. La recuperación de tales datos puede ser difícil ya que la
recuperación de datos SQLite puede estar algo automatizado (por ejemplo, epílogo), a menudo la recuperación manual puede ser la
única opción. Afortunadamente para el investigador forense, una parte significativa de los datos de usuario se almacena dentro de
contenedores de datos asignados y la recolección de basura no se realiza generalmente en estos contenedores.
Apple también ofrece una función para los usuarios encriptar todos los datos de copia de seguridad al utilizar iTunes (IOS 4 y
posteriores). Esta opción, cuando se utiliza sólo presentará los archivos cifrados de algunas herramientas de extracción forenses. Estas
copias de seguridad se pueden descifrar mediante un ataque de fuerza bruta. Existen herramientas para llevar a cabo este ataque
utilizando la aceleración de GPU para facilitar un ataque de fuerza bruta más rápido. La función de cifrado de copia de seguridad sólo se
aplica a los datos enviados a través del servicio de copia de seguridad del dispositivo, sin embargo, una serie de otros servicios se
ejecutan en el dispositivo que proporcione copias de texto no cifrado de datos, incluso si el cifrado de copia de seguridad está activo. Si
la herramienta de adquisición es capaz de comunicar a estos otros servicios, una cantidad significativa de datos de texto sin cifrar se
puede recuperar, incluso si la contraseña de respaldo no se conoce.
5.3.3 Consideraciones dispositivo Android
Android es un sistema operativo diseñado por Google principalmente para dispositivos móviles como teléfonos inteligentes y algunos
equipos de tableta. Android fue lanzado por primera vez en 2007 y el primer teléfono basado en Android fue lanzado en octubre de
2008. El sistema operativo Android es de código abierto y Google lanza una versión principal aproximadamente una vez por año.
Cada una de las diferentes versiones del sistema operativo requiere ligeras modificaciones para cada familia de dispositivo
para el apoyo. Esto ha llevado a cientos (si no miles) de diferentes distribuciones en la naturaleza.
43
Al igual que la tienda iTunes de Apple, Android tiene un repositorio principal de la aplicación llamada Google Play Store. El análisis
de las solicitudes presentadas para la solidez en la tienda son mucho más bajos y han dado lugar a muchas aplicaciones falsas que
hacen su camino en el grupo de aplicaciones de comunicación. Existen docenas de otros repositorios de aplicaciones Android
también. Esto ha llevado a miles de aplicaciones que se pueden encontrar por el examinador.
La mayor parte de los datos de usuario y de la aplicación Android se encontrarán en las tablas de SQLite en carpetas separadas para
cada aplicación instalada. Esto puede requerir el examinador para volcar todos los datos contenidos en todas las tablas de SQLite y
realizar una búsqueda de los datos resultantes en busca de material relevante como menos del 5% de las aplicaciones son compatibles
con la mayoría de las herramientas forenses móviles.
Dado que el sistema operativo está diseñado para el uso de la pantalla táctil, el esquema de protección por defecto para el dispositivo es
un bloqueo de contraseña gesto. El bloqueo presenta una cuadrícula de 3x3 para el usuario para rastrear su / su dedo conectar varias
células de la parrilla para formar un patrón. Una vez que se traza el patrón correcto, el teléfono está desbloqueado. Existen algunas
herramientas forenses para obtener el archivo gesture.key para desbloquear el dispositivo.
La mayoría de los métodos de acceso para un dispositivo Android bloqueado se basan en el modo de depuración para ser activo en el
dispositivo para iniciar el proceso de extracción de la medicina forense. Algunas herramientas han sido puestos en libertad que se
puede activar el modo de depuración de un dispositivo de bloqueo; Sin embargo, el número de modelos soportados es muy pequeño.
La mayoría de los dispositivos móviles basados en Android tienen tarjetas de memoria extraíbles microSD. Los datos contenidos en la
tarjeta microSD no deben pasarse por alto ya que con frecuencia contienen una gran cantidad de datos sin cifrar y sin protección. Como
mejor práctica, la tarjeta microSD debe writeblocked y fotografiado usando técnicas forenses digitales estándar. La imagen puede
entonces ser examinada usando herramientas forenses digitales tradicionales, como los medios de comunicación es generalmente una
sola partición formateada con exFAT.
Entrar en los dispositivos bloqueados También es posible el uso de métodos y herramientas JTAG para obtener todos los datos de la
memoria del teléfono. Esto no pasa por el puerto USB bloqueado (USB depuración apagado) y sondas de puertos de acceso de
prueba entre el puerto USB y la CPU. JTAG proporciona una comunicación a la memoria NAND a través de la memoria de la CPU que
permite ser leído.
Muchas herramientas son capaces de analizar gran parte de la información presentada en el sistema operativo Android, sin embargo
todas las herramientas sufren el mismo problema que los dispositivos basados en iOS - multitudes de aplicaciones. Cientos de
aplicaciones se añaden cada semana. La comprensión y la ingeniería inversa de cada una de ellas de una en una sola vez es un
proceso que lleva tiempo. Muchos fabricantes han optado por centrarse en analizar los datos de las aplicaciones de comunicación más
populares (por ejemplo, Whatsapp, Facebook, etc.). El examinador más avanzada debe ser consciente de esta deficiencia y estar
preparado para realizar las pruebas y la ingeniería inversa para algunos casos en los que aún no puede existir soporte para aplicaciones
específicas.
5.3.4 Consideraciones de la UICC
Al igual que en un dispositivo móvil, para adquirir datos de una UICC, una conexión se debe establecer desde la estación de
trabajo forense para la UICC, usando un lector PC / SC. Al igual que antes, la versión de la herramienta que se utiliza debe ser
documentada, junto con todos los parches aplicables o erratas del fabricante aplicada a la herramienta. Una vez establecida la
conexión, la herramienta de software forense puede proceder a adquirir datos de la UICC.
44
La captura de una imagen directa de los datos de la UICC no es posible debido a los mecanismos de protección integrados en el
módulo. En su lugar, las herramientas forenses envían directivas de comando llamados unidades de datos de protocolo de aplicación
(APDU) a la UICC para extraer los datos lógicamente, sin modificaciones, de cada archivo de datos elemental del sistema de archivos.
El protocolo APDU es un simple intercambio de respuesta del sistema. Cada elemento del sistema de archivos definido en las normas
GSM tiene un identificador numérico único asignado, que puede ser usado para caminar a través del sistema de archivos y recuperar
datos haciendo referencia a un elemento y realizar alguna operación, como la lectura de su contenido.
Debido UICC son dispositivos altamente estandarizados, existen algunos problemas con respecto a la adquisición de una lógica. La
consideración principal es la selección de una herramienta que informa del estado de los PINs y recupera los datos de interés. Existen
enormes diferencias en los datos recuperados por las herramientas de la UICC, con un poco de recuperar sólo los datos que se cree
que tienen la mayor relevancia en una investigación típica, y otros de realizar una recuperación completa de todos los datos, a pesar de
que gran parte de ella es la red relacionados con poco valor investigativo .
5.4 Equipo tangencial
equipo tangencial incluye los dispositivos que contienen la memoria y están asociadas con un dispositivo móvil. Las tres categorías
principales son tarjetas de memoria, ordenadores host a la que un dispositivo móvil se ha sincronizado sus contenidos y el
almacenamiento basado en la nube.
Los teléfonos inteligentes puede proporcionar una interfaz que soporta medios extraíbles (por ejemplo, microSD o
MMC), que puede contener cantidades significativas de datos. Las tarjetas de memoria son típicamente la memoria flash, utilizado como
almacenamiento de archivos de usuario auxiliar, o como un medio para transmitir archivos desde y hacia el dispositivo. Los datos
pueden ser adquiridos con el uso de un lector de soportes de datos bloqueado y una aplicación forense.
Los datos contenidos en un dispositivo móvil a menudo está presente en un ordenador personal, debido a la capacidad de los
dispositivos móviles para sincronizar o compartir información entre uno o más equipos host de otra manera. Tales ordenadores
personales o estaciones de trabajo se refieren a dispositivos como sincronizados. Debido a la sincronización, una cantidad significativa
de datos en un dispositivo móvil puede estar presente en la computadora portátil del dueño o un ordenador personal y se recuperó
utilizando una herramienta forense ordenador convencional para la adquisición de unidad de disco duro y el examen [Bad10].
5.4.1 Los dispositivos sincronizados
La sincronización se refiere al proceso de resolver diferencias en ciertas clases de datos, tales como el correo electrónico que reside en
dos dispositivos (es decir, un teléfono móvil y un ordenador personal), para obtener una versión que refleja las acciones realizadas por
el usuario (por ejemplo, deleciones o adiciones) en un único dispositivo o la otra. La sincronización de la información puede ocurrir ya
sea a nivel de grabación o el nivel de archivo. Cuando se hace a nivel de archivo, cualquier discrepancia de la última fecha y hora de
sincronización como resultado la versión más reciente reemplazando automáticamente la versión anterior. De vez en cuando puede ser
necesaria una intervención manual si ambas versiones se modificaron de forma independiente desde que se produjo la última
sincronización. sincronización a nivel de registro se realiza de manera similar, pero con mayor nivel de detalle, por lo que solamente
fuera de fecha partes de un archivo se resuelven y se sustituyen.
Los dispositivos móviles están típicamente rellena con datos procedentes del ordenador personal durante el proceso de sincronización.
Una cantidad significativa de datos informativos puede residir localmente en un ordenador personal. Datos desde el dispositivo móvil
pueden también ser sincronizados con el ordenador, a través de las preferencias definidas por el usuario en el software de
sincronización. Debido a que el sincronizada
45
contenido de un dispositivo móvil y el ordenador personal tienden a divergir rápidamente con el tiempo, la información adicional se
puede encontrar en un solo dispositivo o la otra.
El software de sincronización y el tipo de dispositivo determinan dónde se almacenan los archivos de dispositivos móviles en el PC.
Cada protocolo de sincronización tiene un directorio de instalación por defecto, pero la ubicación se puede especificar el usuario.
5.4.2 Tarjetas de memoria
gamas de tarjetas de memoria de capacidad de almacenamiento de 128 MB en adelante. A medida que se hacen avances tecnológicos,
tales medios se vuelve físicamente más pequeño y ofrece densidades de almacenamiento más grandes. Los medios extraíbles se
extiende la capacidad de almacenamiento de los dispositivos móviles permitiendo a los individuos para almacenar archivos adicionales
más allá de la capacidad incorporada en el dispositivo y compartir datos entre dispositivos compatibles.
Algunas herramientas forenses son capaces de adquirir los contenidos de las tarjetas de memoria; muchos no lo son. Si la adquisición
es lógico, borrado de datos presentes en la tarjeta no se recupera. Afortunadamente, tales medios pueden ser tratados de manera
similar a una unidad de disco extraíble y la imagen y se analizaron usando herramientas forenses convencionales con el uso de un
lector de medios de comunicación externa.
Una adquisición física de los datos presentes en un medio extraíble proporciona el examinador el potencial para buscar el contenido de
los medios de comunicación y, potencialmente, recuperar archivos borrados. Un inconveniente es que los datos del dispositivo móvil,
como mensajes de texto SMS pueden requerir decodificación manual o una herramienta de decodificación independiente de interpretar.
Un problema más grave es que las características de protección de contenidos incorporados en la tarjeta pueden bloquear la
recuperación de datos. Por ejemplo, los dispositivos BlackBerry ™ proporcionan al usuario la capacidad de cifrar los datos contenidos
en el medio extraíble asociado con el dispositivo móvil. La Tabla 4 presenta una breve descripción de los diversos medios de
almacenamiento en uso hoy en día.
Tabla 4: Tarjetas de memoria
Nombre características
MMCmicro tamaño Dime (longitud 14 mm, anchura 12 mm, y el espesor-1,1 mm) conector de 10
clavijas y un bus de datos 1 o 4 bits
Requiere un adaptador mecánico para ser utilizado en una ranura MMCplus tamaño completo
Tarjeta Secure Digital (SD) tamaño del sello (longitud-32 mm, anchura 24 mm, y de espesor-
2,1 mm)
conector de 9 pines, 1 o bus de datos de 4 bits características de un
interruptor mecánico de prevención de borrado
Tarjeta MiniSD tamaño miniatura (longitud 21,5 mm, anchura 20 mm, y el espesor-1,4 mm) conector de 9 pines, 1 o
bus de datos de 4 bits
Requiere un adaptador mecánico para ser utilizado en una ranura SD de tamaño completo
MicroSD (anteriormente tamaño Dime (longitud 15 mm, anchura 11 mm, y el espesor-1 mm) conector 6-pin, 1 o
Transflash) y microSDXC bus de datos de 4 bits
Memory Stick Micro tamaño Dime (longitud 12,5 mm, anchura 15 mm, y el espesor-1,2 mm) conector 11-pin, bus
de datos de 4 bits
5.5 Servicios basados en la nube para dispositivos móviles
nube Mobile computing es la combinación de las redes móviles y que permite la computación en nube aplicaciones de usuario y los
datos a ser almacenados en la nube (es decir, los servidores de Internet) en lugar de la memoria del dispositivo móvil. Estos datos
pueden ser almacenados a través de diferentes ubicaciones geográficas.
46
entornos de computación en la nube son complejos en su diseño y con frecuencia se dispersan geográficamente. A menudo, los lugares
de almacenamiento para la computación en nube son elegidos debido a los requisitos de más bajo coste y redundancia de datos. Un
problema puede ser la identificación de la ubicación de los datos. Este es un campo emergente.
almacenamiento en la nube abre numerosas posibilidades para los desarrolladores de aplicaciones de dispositivos móviles más allá de
las limitaciones de memoria del dispositivo móvil. Como las aplicaciones móviles evolucionan recuperación de datos se convierte sin
fisuras para el usuario y no evidente si los datos se almacenan en la nube o la memoria interna del dispositivo móvil.
Hay varios factores dentro de los entornos de computación en nube que desafían forenses examinadores que requieren un enfoque
híbrido para incluir técnicas forenses tanto en vivo como “caja de muertos”. Además, la recuperación de los datos de usuario
almacenados en la nube puede ser más problemática en base a las leyes y reglamentos. datos de recuperación y análisis de la nube
basado deben seguir las pautas específicas de la agencia en la medicina forense en la nube.
El análisis forense de dispositivos móviles examinador no debe descontar los datos basados en la nube dejado atrás (por ejemplo, la
caché del navegador u otros artefactos forense) que puede estar presente en el equipo tangencial que permite un examinador de
reconstruir lo que ha ocurrido en un dispositivo.
47
6. Examen y análisis
El proceso de examen descubre evidencia digital, incluida la que puede estar oculto o en la oscuridad. Los resultados se
obtuvieron mediante la aplicación de métodos basados en la ciencia establecida y deben describir el contenido y estado de los
datos por completo, incluyendo el origen y el significado potencial. La reducción de datos, separando la información relevante de
irrelevante, se produce una vez se expone los datos. El proceso de análisis se diferencia de examen en que se ve en los
resultados del examen por su importancia directa y el valor probatorio del caso. El examen es un proceso técnico que es la
provincia de un especialista forense. Sin embargo, el análisis puede realizarse mediante funciones distintas de un especialista,
como por ejemplo el investigador o el examinador forense.
El proceso de examen comienza con una copia de los datos obtenidos analizando el dispositivo móvil. Afortunadamente, en
comparación con el examen clásica de los ordenadores personales o servidores de red, la cantidad de datos adquiridos a examinar es
mucho menor con los dispositivos móviles. Debido a la prevalencia de los formatos de archivo propietarios caso, el kit de herramientas
forenses utilizado para la adquisición típicamente será el utilizado para el examen y análisis. Si bien es posible la interoperabilidad entre
los servicios de adquisición y de exámenes de diferentes herramientas, sólo unas pocas herramientas compatibles con esta función.
Examen y análisis utilizando 3 rd herramientas de otros fabricantes lo general se logran mediante la importación de un volcado de
memoria del dispositivo móvil generada en una herramienta forense móvil que soporta 3 rd imágenes de los dispositivos móviles de otros
fabricantes.
El examinador forense necesitará información sobre el caso y las partes que intervienen para proporcionar un punto de partida
para posibles pruebas que se pueden encontrar. La realización del examen es una asociación entre el analista o examinador
forense y el investigador. El investigador proporciona información sobre los tipos de información buscada, mientras que el
examinador forense proporciona los medios para encontrar información relevante que pueda estar en el sistema.
El conocimiento adquirido mediante el estudio del caso debe proporcionar ideas sobre el tipo de datos para apuntar y palabras clave o
frases específicas a utilizar al buscar los datos adquiridos. Dependiendo del tipo de caso, la estrategia varía. Por ejemplo, un caso
sobre la pornografía infantil puede comenzar con la navegación todas las imágenes gráficas en el sistema, mientras que un caso
sobre un delito Internetrelated podría comenzar con la navegación todos los archivos del historial de Internet.
6.1 La evidencia potencial
los fabricantes de dispositivos móviles se caracterizan por ofrecer un conjunto similar de características y capacidades de manejo de
información, incluyendo gestión de información personal (PIM) de aplicaciones, mensajería y correo electrónico y navegación web. El
conjunto de características y capacidades varían en función de la época en que se fabricó el dispositivo, la versión del firmware en
funcionamiento, las modificaciones realizadas por un determinado prestador de servicios, y las modificaciones o las aplicaciones
instaladas por el usuario. La evidencia potencial de estos dispositivos puede incluir los siguientes elementos:
48
• identificadores de abonado y • grabaciones de audio y vídeo

equipos
• mensajes multi-media
• Fecha / hora, idioma y otros
ajustes • Mensajería instantánea
• Agenda / información de • actividades de navegación web
contacto
• Los documentos electrónicos
• información de calendario
• los datos relacionados con las redes sociales
• Mensajes de texto
• datos relacionados con las aplicaciones
• , y los registros de llamadas perdidas

entrantes salientes • Información sobre la ubicación
• Correo electrónico • Los datos de geolocalización
• fotos
Incluso la información de red esotérica encontrado en una UICC puede resultar útil en una investigación. Por ejemplo, si
una red rechaza una actualización de la localización de un teléfono intenta registrarse en sí, la lista de entradas de red
prohibidos en las PLMN Prohibidas (redes móviles terrestres públicas) fichero elemental se actualiza con el código del país
y la red involucrada [3GP07] . Esta lista se mantiene en la UICC y se debe al servicio que se está disminuido por un
proveedor extranjero. El dispositivo móvil de un individuo sospechoso de viajar a un país vecino podría ser revisado para
esta información.
Los elementos presentes en un dispositivo dependen no sólo de las características y capacidades del dispositivo móvil, sino también en
los servicios de voz y de datos suscritos por el usuario. Por ejemplo, el servicio de telefonía de prepago puede descartar la posibilidad
de que la mensajería multimedia, correo electrónico y navegación web. Del mismo modo, una suscripción de contrato puede excluir de
forma selectiva determinados tipos de servicio, aunque el propio teléfono puede apoyarlos.
Hay dos tipos de investigaciones forenses informáticos en general se llevan a cabo. El primer tipo es donde se ha producido un
incidente, pero la identidad del infractor es desconocido (por ejemplo, un incidente de piratería informática). El segundo es que el
sospechoso y el incidente son ambos conocidos (por ejemplo, una investigación de pornografía infantil). Preparado con el fondo del
incidente, el examinador forense y analista puede proceder hacia el logro de los objetivos siguientes:
• Recopilar información sobre el individuo (s) que participan {que}.
• Determinar la naturaleza exacta de los acontecimientos que se produjeron {lo}.
• Construir una cronología de los eventos {} cuando.
• Descubrir información que explica la motivación por el delito {qué}.
• Descubre qué herramientas o hazañas fueron utilizadas {} la forma.
En muchos casos los datos es periférica a una investigación o útil en fundamentar o refutar las afirmaciones de un
individuo sobre algún incidente. En ocasiones, el conocimiento directo,
49
la motivación y la intención puede ser establecida. La mayoría de las fuentes de pruebas de los dispositivos móviles son: datos de
contacto, llamadas de los datos, mensajes, imágenes, videos, medios de comunicación social, o la información relacionada con Internet.
Las aplicaciones de usuario potencialmente proporcionan otras fuentes de pruebas. Los archivos de usuario colocados en el dispositivo
para la representación, visualización o edición son otras importantes fuentes de pruebas. Además de los archivos gráficos, archivos de
otros contenidos relevantes incluye grabaciones de audio y vídeo, hojas de cálculo, diapositivas de presentaciones y otros documentos
electrónicos similares.
programas ejecutables instalados también pueden tener relevancia en ciertas situaciones. Muchas veces los datos más importantes
recuperado es el que vincula a la información en poder del proveedor de servicios. Los proveedores de servicios mantienen bases de
datos de cuentas de facturación o adeudando en base a los registros de llamadas, que se pueden consultar utilizando los identificadores
de abonado o equipo. Del mismo modo, los mensajes no entregados de texto SMS, multimedia o mensajes de voz también pueden ser
recuperables. Esto puede permitir que un examinador para validar sus resultados como los datos obtenidos del dispositivo pueden ser
verificados con los datos obtenidos desde el proveedor de servicios.
911 mejorado: Enhanced 911 (E911) es una tecnología avanzada por la Comisión Federal de Comunicaciones (FCC) que permite que los
dispositivos móviles para procesar las llamadas al 911 y para proporcionar la ubicación geográfica del teléfono. Por lo tanto, todos los
dispositivos móviles basados EE.UU. poseen la capacidad de establecer una comunicación de voz celular al marcar 911
independientemente de su estado de servicio (es decir, activo, inactivo). Además, GSM y otros dispositivos dependientes de la UICC
también pueden establecer una comunicación de voz celular marcando 911 sin la presencia de una UICC.
Se requiere que todos los portadores celulares basados en los Estados Unidos para manejar las llamadas independientemente de portadora específica
del cliente de dispositivos móviles. Bajo las reglas, todos los dispositivos móviles fabricados para su venta en los Estados Unidos después del 13 de
febrero del 2000 que son capaces de operar en un modo análogo, incluyendo de modo dual y multi-modo de terminales, deben incluir este método
especial para el procesamiento de las llamadas al 911 22.
En situaciones en las que se ha marcado 911 en un dispositivo móvil, la información de ubicación (es decir, la latitud y longitud de la torre
dispositivo o celular) para la llamada puede ser de interés para un investigador forense. Salientes llamadas al 911 puede o no estar
conectado a la memoria del dispositivo móvil o UICC.
6.2 La aplicación de dispositivos móviles herramientas forenses
Una vez que una copia de los resultados de adquisición están disponibles, los próximos pasos implican la búsqueda de los datos, la
identificación de pruebas, la creación de marcadores, y el desarrollo de los contenidos de un informe final. El conocimiento y la
experiencia con las herramientas que se utilizan para el examen son extremadamente valiosos, ya que el uso hábil de las características
y capacidades de una herramienta forense disponibles puede acelerar enormemente el proceso de examen.
Es importante tener en cuenta que las herramientas forenses tienen el potencial de contener cierto grado de error en su funcionamiento.
Por ejemplo, la aplicación de la herramienta puede tener un error de programación; la especificación de una estructura de archivos que
utiliza la herramienta para traducir los bits en datos comprensibles por el examinador puede ser correcta o no está actualizada; o la
estructura de archivo generado por otro programa como entrada puede ser incorrecta, haciendo que la herramienta funcione
incorrectamente. Los experimentos realizados con herramientas forenses de dispositivos móviles indican una prevalencia de errores en
el formato
22 Para más información visite: http://transition.fcc.gov/pshs/services/911services/enhanced911/archives/factsheet_requirements_012001.pdf
.
50
y visualización de datos [Aye11, Jan09]. Por lo tanto, con un alto grado de confianza y comprensión de la capacidad de la herramienta
para realizar su función es esencial correctamente. El proyecto de Informática Forense Prueba Herramienta (CFTT) en el Instituto
Nacional de Estándares y Tecnología (NIST) produce las especificaciones, métodos de prueba y los informes de las pruebas que
proporcionan una base para fabricantes de herramientas para mejorar las herramientas, los usuarios a tomar decisiones informadas, y
proporcionan las partes interesadas, una visión general de todas las anomalías encontradas. CFTT lleva varios años investigando y
probando herramientas forenses capaces de adquirir los datos de la memoria interna de los dispositivos móviles y módulos de identidad
de abonado (SIM).
Una persona conocedora puede alterar la información del dispositivo, tales como la modificación a propósito una extensión de archivo
para frustrar el funcionamiento de una herramienta, la alteración de la fecha / hora del dispositivo móvil para falsificar marcas de tiempo
asociadas con las actividades registradas, la creación de transacciones falsas en la memoria del móvil dispositivo o de su UICC o la
utilización de una herramienta de limpieza para eliminar o eliminar datos de la memoria. experiencia con experiencia con una
herramienta proporciona una comprensión de sus limitaciones, lo que permite un examinador para compensar por ellos y minimizar los
errores para lograr los mejores resultados posibles.
Para descubrir pruebas, los especialistas deben tener un fondo del sospechoso, la ofensa y determinar un conjunto de términos
para el examen. expresiones de búsqueda se deben desarrollar de una manera sistemática, como el uso de nombres de
contacto que pueden ser relevantes. Al proceder de forma sistemática, el especialista crea un perfil de clientes potenciales que
pueden desvelar conclusiones valiosas. El examen forense de la evidencia digital - Una Guía para Aplicación de la Ley,
producido por el Departamento de Justicia [DOJ08] Estados Unidos, ofrece las siguientes sugerencias para el análisis de los
datos extraídos:
• Propiedad y posesión - Identificar los individuos que crean, modifican o accede a un archivo, y la propiedad y
posesión de los datos interrogados por la colocación del sujeto con el dispositivo a la hora y fecha en particular, la
localización de los archivos de interés en lugares no por omisión, la recuperación de contraseñas que indican posesión
o la propiedad, y la identificación de contenido de los archivos que son específicos para un usuario.
• Aplicación y análisis de archivos - Identificar la información relevante para la investigación al examinar el contenido del
archivo, la correlación de los archivos de las aplicaciones instaladas, la identificación de las relaciones entre los archivos
(por ejemplo, archivos, correo electrónico al correo electrónico archivos adjuntos), determinar la importancia de los tipos
de archivos desconocidos, análisis de los parámetros de configuración del sistema, y examinar los metadatos de
archivos (por ejemplo, los documentos que contengan la identificación autoría).
• El análisis plazo - Determinar cuándo hechos ocurrieron en el sistema para asociar el uso de un individuo mediante la
revisión de cualquier registro actual y los sellos de fecha / hora en el sistema de archivos, como la última vez modificada.
Además de los registros de llamadas, la fecha / hora y el contenido de los mensajes y el correo electrónico pueden
resultar útiles. Estos datos también pueden ser corroborados con los registros de facturación y abonados mantenidos por
el proveedor de servicios.
• análisis de ocultar datos - Detectar y recuperar los datos ocultos que pueden indicar el conocimiento, la propiedad, o la
intención mediante la correlación de los encabezados de archivos para las extensiones de archivo para mostrar la
ofuscación intencional; el acceso a, y archivos comprimidos protegidos con contraseña, cifrados; para acceder a la
información steganographic detectado en imágenes; y el acceso a las áreas reservadas de almacenamiento de datos
fuera del sistema de archivos normal.
Las capacidades de la herramienta y la riqueza de sus características, en comparación con el sistema operativo y el tipo de
dispositivo bajo examen, determina qué información se puede recuperar, identificado,
51
e informó, y la cantidad de esfuerzo necesario. El motor de búsqueda juega un papel importante en el descubrimiento de la información
utilizada para la creación de marcadores y elaboración del informe final. Por ejemplo, algunas de las herramientas utilizadas para buscar
evidencia textual identificar y categorizar archivos en función de extensión de archivo, mientras que otros utilizan una base de firmas de
archivo. Esta última característica es preferible, ya que elimina la posibilidad de datos debido a una extensión de archivo faltante
inconsistentes (por ejemplo, la eliminación de un archivo de texto cuya extensión fue cambiado a la de un archivo gráfico o de imagen).
Del mismo modo, la capacidad de la herramienta para buscar y recopilar imágenes automáticamente en una librería gráfica común para
el examen es extremadamente útil.
La búsqueda de datos para obtener información sobre pruebas de cargo o de descargo requiere paciencia y puede llevar mucho tiempo.
Algunas herramientas tienen un simple motor de búsqueda que coincide con una cadena de texto de entrada exactamente, lo que
permite sólo para búsquedas elementales que se deben realizar. Otras herramientas incorporan más inteligente y rico en características
motores de búsqueda, lo que permite patrones de expresiones regulares generalizadas (GREP) Tipo de búsquedas, incluyendo partidos
comodín, filtrado de archivos por extensión, de directorio y de lote scripts que buscar tipos específicos de contenido (por ejemplo, correo
electrónico direcciones, direcciones URL). La mayor capacidades de la herramienta, la más los forenses examinador se beneficia de la
experiencia y conocimiento de la herramienta.
6.3 Llamar y registros de abonado
Los registros que mantiene la información de captura de proveedor de servicios necesaria para facturar con precisión un abonado o, en
el caso de un plan de servicio de prepago, tarjetas de débito del balance. Los registros recogidos se conocen como registros de detalles
de llamada (CDR), que son generados por la manipulación de una llamada de origen o un mensaje SMS desde un dispositivo móvil
interruptor. Para algunos proveedores de servicios, los registros también pueden incluir la línea, la puerta de enlace internacional y voz a
través de la información de transacciones IP fija. Si bien el contenido y formato de estos registros difieren ampliamente de un proveedor
de servicio a otro, los datos fundamentales necesarios para identificar al abonado / dispositivo que inicia la llamada, la célula inicial
servicio de la llamada, el número marcado, y la duración de la llamada es capturado . La información detallada tal como el identificador
de la célula (es decir, el BTS) y el sector implicado a menudo se incluyen. Apéndice C da un ejemplo de los elementos de datos de una
CDR, que se especifican en las normas GSM [ETS99]. Como se puede ver, una considerable discreción sobre lo que está
implementado se deja abierta a los proveedores de servicios y operadores de red.
El período de retención para mantener el detalle de llamadas y otros tipos de registros varía entre los proveedores de servicios
[GSM05]. Sin embargo, el período es generalmente limitada, lo que requiere una acción inmediata para evitar la pérdida de datos. Uno
debe actuar rápidamente para tener la portadora celular preservar los datos que se puede utilizar para identificar las comunicaciones
que se han producido y están vinculadas a las partes de interés, haciendo hincapié en la no revelación de que la acción a la cuenta de
abonado [Ala03, Ala04]. Los datos disponibles pueden incluir los datos de contactos, el contenido de los servidores de correo electrónico
(es decir, el correo electrónico no entregado), los registros del servidor de correo electrónico, u otros registros de autenticación de
direcciones IP, el contenido del SMS y servidores de mensajes MMS, y el contenido de los servidores de correo de voz. Tenga en
cuenta que ciertos tipos de contenido no entregado, tales como correo de voz, pueden considerarse en tránsito desde un punto de vista
legal en algunas jurisdicciones, y la obtención o escuchar a ellos sin la autorización adecuada puede ser tratada como una
interceptación ilegal de comunicaciones [Ala03]. Si bien la Ley Patriota de los EE.UU. elimina este problema a nivel federal, las leyes
estatales pueden ser más restrictivos intencionadamente o no todavía ser reajustado por completo con la ley federal. 23
23 Para más información visite: http://info.sen.ca.gov/pub/bill/asm/ab_13011350/ab_1305_cfa_20050603_115538_sen_comm.html
.
52
Por ejemplo, CDRs contendrán información como: números de teléfono del remitente y del receptor, el tiempo y duración de la
llamada, el tipo de llamada (es decir, voz, SMS), etc. CDRs pueden obtenerse a partir
proveedores de servicios de Estados Unidos a través de su punto de contacto cumplimiento de la ley, con la documentación legal
correspondiente. Los procedimientos pueden variar entre los estados en los EE.UU., y las nuevas leyes relativas a la incautación
adecuada se legislado continuamente. Los procedimientos también varían para obtener registros de los proveedores de servicios y
operadores de red están ubicados en otros países. Se aconseja estrecha y continua consulta con un abogado. Varios foros de hacer
cumplir la ley en línea también puede ser útil en la identificación de puntos de contacto y compartir consejos sobre los procedimientos
para la obtención de forma precisa los datos requeridos. 24
Además de los registros detallados de llamadas, datos de contactos mantenidos por un proveedor de servicios pueden proporcionar
datos útiles en una investigación. Por ejemplo, para los sistemas GSM, la base de datos por lo general contiene la siguiente información
de cada cliente [Wil03]:
• Nombre y dirección del cliente
• Nombre y dirección de facturación (si no es cliente)
• nombre de usuario y la dirección (si no es cliente)
• detalles de la cuenta de facturación
• Número de teléfono (MSISDN)
• IMSI
• número de serie UICC (ICCID)
• PIN / PUK para la UICC
• servicios permitidos
Otra información útil, incluyendo números de teléfono (es decir, trabajo o el hogar), información de contacto (por ejemplo, dirección de
correo electrónico), y números de tarjetas de crédito utilizados, también puede ser retenido en los registros de abonado. Pay-as-you-go
teléfonos de prepago adquiridos de forma anónima en el mostrador también pueden tener información útil mantenido con sus cuentas,
que fue suministrado por los abonados, tales como los números de tarjeta de crédito utilizada para la compra de tiempo adicional o una
dirección de correo electrónico registrados en línea para recepción de las notificaciones. El acceso a los registros de llamadas de los
teléfonos de prepago no debe ser descartada.
CDRs y otros registros mantenidos por el proveedor de servicios pueden ser solicitados usando abonado o identificador de equipo de
información agarró o adquirido de un dispositivo móvil o UICC. la información de abonado a menudo utilizado para este propósito incluye
la IMSI de la UICC y el número de dispositivo móvil (es decir, MSISDN). identificadores de equipos utilizados son el ESN o IMEI del
teléfono y el número de serie (es decir, ICCID) de la UICC. Los criterios de búsqueda utilizados podrían ser, por ejemplo, todas las
llamadas recibidas por un número determinado de teléfono (por ejemplo, el de una víctima) o todas las llamadas atendidas por una
estación base responsable de una célula particular (es decir, para determinar que estaba en una
24 Para más información visite: http://groups.yahoo.com/group/phoneforensics/ y
https://htcc.secport.com/mailman/listinfo/htcc .
53
área determinada en un momento determinado) [Wil03]. El análisis de la primera serie de registros obtenidos generalmente conduce a
solicitudes adicionales de los registros relacionados de otros abonados y equipos, basados en los datos descubiertos. Por ejemplo, las
llamadas frecuentes al dispositivo móvil de una víctima de uno o varios otros dispositivos móviles antes de un homicidio lógicamente
conducir a interés en obtener los registros de la persona que llama (s).
CDRs pueden ser analizados para una variedad de propósitos. Por ejemplo, un proveedor de servicios puede utilizarlos para entender
los patrones de llamadas de sus abonados y el rendimiento de la red [Aja06]. registros detallados de llamadas también se pueden
utilizar con la información sitio torre celular obtenido del proveedor de servicios para traducir identificadores de celda en ubicaciones
geográficas de las células implicadas e identificar la localización general de la que las llamadas fueron colocados. Mientras que el
trazado de las ubicaciones del registro de llamadas e información sobre un mapa a veces puede ser útil, no necesariamente proporciona
una imagen completa y precisa. las torres de celulares puede dar servicio a los teléfonos a distancias de hasta 35 kilómetros
(aproximadamente 21 millas) y puede dar servicio a varios sectores diferentes. De radio frecuencia de los mapas de cobertura a cargo
del proveedor de servicios se pueden obtener para crear una representación más exacta de los datos correspondientes a los sectores
implicados. Los resultados del análisis de los datos se pueden utilizar para determinar la ubicación del dispositivo móvil en un momento
dado [Oco09]. El análisis también puede ayudar a establecer líneas de tiempo e identificar posibles cómplices [Mil08]. Un cambio de
identificador de celda entre el comienzo y el final de una llamada, a través de una serie de llamadas, también puede indicar una
dirección general de desplazamiento o patrón de comportamiento.
Los límites de una célula son algo variables. Varios factores, tales como el terreno, los cambios estacionales, rendimiento de la antena,
y la carga de llamadas, afectan el área de cobertura de las células y el escenario plausible asociar con un registro de llamada. pruebas y
mediciones de campo detalladas pueden ser necesarios para asegurar un análisis preciso. Existen herramientas para ayudar a la
aplicación de la ley en la realización de análisis del sitio celular y la cartografía de las actividades de forma independiente. En algunas
situaciones, tales como zonas urbanas densamente pobladas que implican microcélulas o picocélulas con un área de cobertura limitada,
determinación de la ubicación puede ser relativamente sencillo por la naturaleza misma de la red.
La identificación de la cobertura geográfica de las células específicas puede proporcionar información valiosa cuando se combina con
registros detallados de llamadas, geográficamente establecer localizaciones plausibles con algún grado de certeza para los tiempos
involucrados. Los criminales profesionales son conscientes de estas capacidades y pueden tratar de convertirlos en su beneficio por
tener a alguien usar su dispositivo móvil para establecer una coartada falsa. También pueden producirse intentos de evasión. Una
estratagema común utilizado es comprar, usar y disponer rápidamente de los teléfonos de prepago pay-as-you-go para minimizar la
exposición o utilizar teléfonos robados. Para ofuscar uso y complicar el análisis de los registros, una variedad de diferentes UICC puede
ser intercambiada entre los diferentes GSM / UMTS dispositivos móviles.
El análisis cuidadoso de los registros de llamadas en conjunto con otras formas de datos disponibles puede ser útil establecer la
relación entre el dispositivo móvil y su propietario. Por ejemplo, registros detallados de llamadas de pago por you-go teléfonos de
prepago son mantenidos por y está disponible de proveedores de la red, lo mismo que para la suscripción del contrato. Mediante el
análisis de los patrones y el contenido de las comunicaciones y la cartografía de la DAT a asociados conocidos de un sospechoso, la
propiedad de estos teléfonos es posible establecer. Otras formas tradicionales de pruebas forenses (por ejemplo, huellas dactilares,
ADN) también se pueden usar para establecer la propiedad.
información sobre el tráfico de red cuantificación de la cantidad de datos transferidos a / desde el dispositivo también se informó con
frecuencia y puede ayudar a un investigador en investigaciones específicas.
54
7. informes
La notificación es el proceso de preparar un resumen detallado de todas las medidas adoptadas y las conclusiones alcanzadas en
la investigación de un caso. Informes depende de mantener un registro cuidadoso de todas las acciones y observaciones, que
describe los resultados de las pruebas y exámenes, y explicar las inferencias extraídas de los datos. Un buen informe se basa en
documentación sólida, notas, fotografías y el contenido generado herramienta.
La presentación de informes se produce una vez que los datos han sido ampliamente buscado y artículos pertinentes
marcada. Muchas de las herramientas forenses vienen con una instalación de informes integrado que por lo general sigue
plantillas predefinidas y pueden permitir la personalización de la estructura del informe. personalizaciones permitidos se
incluye lo que permite logotipos organización y encabezados y selección de estilos y estructura para proporcionar un aspecto
más profesional adaptado a las necesidades de la organización. Los informes generados por una herramienta forense suelen
incluir elementos del archivo caso, como el nombre del especialista, un número de caso, una fecha y título, las categorías de
pruebas, y las pruebas pertinentes encontrado. La generación de informes típicamente da salida a todos los datos obtenidos o
permite examinadores para seleccionar los datos relevantes (es decir, artículos marcados) para el informe final.
Los contenidos generados por software son sólo una parte del informe general. El informe final contiene los contenidos
generados por software junto con los datos acumulados durante toda la investigación que se resumen las medidas
adoptadas, el análisis realizado, y la relevancia de la evidencia descubierta. Idealmente, la documentación de soporte está
en forma electrónica y capaz de ser incorporado directamente en el informe.
instalaciones de informes varían significativamente a través de aplicaciones de adquisición de dispositivos móviles. La generación de
informes normalmente puede rendir un informe completo en uno de varios formatos comunes (por ejemplo, .txt,
. csv, .doc, .html, .pdf) o al menos proporcionan un medio para exportar a cabo elementos de datos individuales para componer un
informe manualmente. Algunas herramientas incluyen ningún medio de generación de informes o exportar datos y en su lugar requieren
examinadores para capturar imágenes individuales de la interfaz de la herramienta para el montaje posterior en un formato de informe.
Independientemente de cómo se generan los informes, comprobando que el informe finalizado es consistente con los datos presentados
en la representación interfaz de usuario es vital para identificar y eliminar las incoherencias posibles que pueden aparecer [Aye11].
La capacidad de modificar un informe pre-existente e incorporar datos (por ejemplo, imágenes, imágenes de video) capturado por
medios alternativos es ventajosa. técnicas de adquisición de algún auxiliares se requieren para recuperar tipos de datos específicos,
como se mencionó anteriormente. Por ejemplo, la grabación de un examen manual video documenta la recuperación de los datos que la
herramienta de análisis automatizado no puede haber adquirido. software de edición de vídeo permite imágenes fijas a ser capturados
para su inclusión en el informe. Las imágenes también podrían tomarse del examen manual utilizando una cámara digital; aunque este
proceso es menos eficiente y no se puede documentar todo el proceso, puede ser el único método disponible.
El tipo de datos determina si es presentable en un formato impreso. Hoy en día, muchos dispositivos móviles más populares son
capaces de capturar audio y vídeo. Tales datos de prueba (por ejemplo, audio, vídeo) no pueden ser fácilmente presentados en un
formato impreso y en su lugar deben ser incluidos en el informe finalizado en medios extraíbles (por ejemplo, CD-R, DVD-R, o una
unidad flash), junto con la aplicación adecuada para una correcta visualización.
55
Los informes de resultados de los exámenes forenses deben incluir toda la información necesaria para identificar el caso y
su fuente, delinear los resultados de las pruebas y los resultados, y llevar la firma de la persona responsable de su
contenido. En general, el informe puede incluir la información siguiente [DOJ08]:
• Identidad de la agencia de informes
• identificador de caso o número de presentación
• investigador del caso
• La identidad del remitente
• Fecha de recepción pruebas
• Fecha de reporte
• lista descriptiva de artículos presentados para su examen, incluyendo el número de serie, marca y modelo
• Identidad y firma del examinador
• El equipo y configurar utilizado en el examen
• Breve descripción de las medidas adoptadas durante el examen, tales como búsquedas de cadenas, las búsquedas de
imágenes de gráficos, y la recuperación de archivos borrados.
• Materiales de apoyo tales como impresiones de los elementos particulares de pruebas, copias digitales de pruebas, y la
cadena de custodia de la documentación
• Los detalles de los resultados:
• archivos específicos relacionados con la solicitud
• Otros archivos, incluyendo archivos borrados, que apoyan los hallazgos
• búsquedas de cadenas, búsquedas de palabras clave y búsquedas de cadenas de texto
• Internet relacionados con pruebas, como análisis de tráfico sitio web, registros, archivos de caché, e-mail, y la
actividad del grupo de noticias chatear
• análisis de imagen gráfica
• Indicadores de la propiedad, que podrían incluir los datos de registro del programa
• Análisis de los datos
• Descripción de los programas pertinentes de los artículos examinados
• Técnicas utilizadas para ocultar o enmascarar los datos, como el cifrado, la esteganografía, atributos ocultos, las
particiones ocultas y las anomalías de nombre de archivo
56
• conclusiones del informe
evidencia digital, así como las herramientas, técnicas y metodologías utilizadas en un examen es sujeta a ser impugnada en un
tribunal de justicia u otros procedimientos formales. La documentación apropiada es esencial para proporcionar a las personas la
capacidad para recrear el proceso de principio a fin. Como parte del proceso de información, hacer una copia del software
utilizado y su inclusión con la salida producida es aconsejable cuando se utilizan herramientas personalizadas para su examen o
análisis, en caso de ser necesario para reproducir los resultados del procesamiento forenses.
57
8. referencias
Las referencias a continuación se dividen en dos secciones. La primera sección contiene citas bibliográficas. La segunda
sección contiene los URLs que fueron al pie de página a lo largo de la guía.
8.1 Las citas bibliográficas
[3GP07] 3GPP (2007), Especificación de la Subscriber Identity Module - Mobile Equipment

(SIM - ME) de interfaz, 3ª Generation Partnership Project, TS 11.11 V8.14.0 (versión 1999),
Especificación Técnica, (2007-06).
[ACP11] Manual de Buena Práctica y asesoramiento a los directivos de Investigación e-Crime, Enero
2011, <URL:
http://www.acpo.police.uk/documents/crime/2011/201103CRIECI14.pdf >.
[Aja06] Ireti Ajala, análisis espacial de GSM Suscriptor los registros de llamadas de datos, llegar
Revista, de Mar 07, 2006 <URL:
http://www.directionsmag.com/article.php?article_id=2112&trv=1 >.
[Ala03] Buscando el correo de voz y correo electrónico, Punto de vista, Distrito del Condado de Alameda
La Oficina del Procurador, Invierno 2003, <URL:
http://www.acgov.org/da/pov/documents/voicemail.pdf >.
[Ala04] teléfono, correo electrónico y registros de Internet, Punto de vista, Distrito del Condado de Alameda
La Oficina del Procurador, Otoño 2004, <URL:
http://www.acgov.org/da/pov/documents/phone.pdf >.
[Alz07] Marwan Al-Zarouni, Introducción a los dispositivos móviles de teléfono y Flasher

Consideraciones para su uso en teléfonos móviles Forense, Australian Digital Forensics
Conferencia, diciembre de 2007, <URL:
http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1015&context=adf >.
[Avi10] Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, y Jonathan M.
Smith, ataques de tinta corrida en las pantallas de los smartphones táctiles, cuarto taller USENIX en
ofensivas Technologies, agosto de 2010, <URL:
https://www.usenix.org/legacy/event/woot10/tech/full_papers/Aviv.pdf >.
[Aye11] Rick Ayers, programa informático forense Testing Tool (CFTT) <URL:
http://www.cftt.nist.gov/mobile_devices.htm >.
[Aye12] Rick Ayers, Forense @ NIST <URL: http://www.nist.gov/oles/upload/6-

Ayers_Richard-Mobile Device-Tool-Testing.pdf >.
[Bad10] Mona Bader, Ibrahim Baggili, iPhone 3GS Forense: análisis lógico mediante el Apple
Utilidad de copia de seguridad de iTunes, de dispositivos Pequeña Escala Digital Forense Journal, vol. 4, Nº 1,
septiembre de 2010, <URL:
http://www.ssddfj.org/papers/SSDDFJ_V4_1_Bader_Bagilli.pdf >.
58
[Bel10] Graeme B. Bell, Richard Boddington, unidades de estado sólido: El principio del fin
para la práctica actual en digital Recuperación Forense ?, El Diario de Digital Forensics de Seguridad y Derecho,
Volumen 5, Número 3, 2010.
[Bre06] Marcel Breeuwsma, Imaging forense de sistemas embebidos utilizando JTAG

(Frontera de exploración), Investigación Digital, Volumen 3, Número 1, 2006, pp.32-42.
[Bre07] Marcel Breeuwsma, Martien de Jongh, Coert Klaver, Ronald van der Knijff, Mark
Roeloffs, forense de recuperación de datos desde la memoria flash, dispositivos Pequeña Escala Digital Forense
Journal, vol. 1, N ° 1, junio de 2007, <URL:
http://www.ssddfj.org/papers/ssddfj_v1_1_breeuwsma_et_al.pdf >.
[Bro08] Sam Hermanos, ¿Cómo teléfono celular “forense” Herramientas realmente funcionan - Herramienta de teléfono celular
Sistema de nivelación, Mundo forense móvil, Chicago, IL, marzo de 2008.
[Bro12] Sam Hermanos, ¿Cómo teléfono celular Forense herramientas de trabajo, AAFS 2012, Washington,
CORRIENTE CONTINUA.
[Cas11] Eoghan Casey, Benjamin Turnbull, Evidencia Digital y delitos informáticos, Tercera
Edición, Elsevier Inc., 2011 <URL:
http://www.elsevierdirect.com/companions/9780123742681/Chapter_20_Final.pdf
>.
[Dan09] Dankar S., Técnicas de Ayers, R., Mislan, R., algoritmos hash para el análisis forense dispositivo móvil,
Pequeña Escala Dispositivo Digital Forense Journal, 2009.
[DOJ08] Electronic Crime Scene Investigation: Una Guía para equipos de respuesta, Segunda
Edición, CNJ 219 941, abril de 2008, <URL:
https://www.ncjrs.gov/pdffiles1/nij/219941.pdf >.
[Eld12] Bob Elder, Chip-Off y Análisis JTAG para Forense dispositivo móvil, Evidencia
Revista Tecnología, mayo-junio de 2012, <URL:
http://www.evidencemagazine.com/index.php?option=com_content&task=view&i d = 922 >.
[] ETS99 sistema celular digital de telecomunicaciones (Fase 2) - Evento y llamada de datos (GSM
12.05 versión 4.3.1), Norma Europea de Telecomunicaciones (ETS), ETSI TS 100 616 V7.0.1, julio de
1999.
[Fio09] Salvatore Fiorillo, Teoría y práctica de la medicina forense móviles de memoria flash,
Australia análisis forense digital Conferencia, diciembre de 2009, <URL:
http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1066&context=adf >.
[For10] Darío Forte, Andrea de Donno, Capítulo 10: Mobile Network Investigaciones,
Manual de análisis forense digital e Investigación, Editado por Eoghan Casey, Elsevier Academic
Press, 2010.
[Gib02] K. Edward Gibbs, David F. Clark, Capítulo 10: Análisis Netowrk inalámbrica,
Manual de análisis forense digital e Investigación, Editado por Eoghan Casey, Academic Press,
2002.
59
[GSM04] Asignación de IMEI y pautas de aprobación, Versión 3.3.0, GSM Association,

Permanente Documento de Referencia TW.06, diciembre de 2004, <URL:
http://www.gsmworld.com/documents/twg/tw06.pdf >.
[GSM05] Posición SGME sobre retención de datos - Implicaciones para la industria móvil, GSM
Europa, GSM Association, el 23 de agosto de 2005, <URL:
http://www.gsmworld.com/gsmeurope/documents/positions/2005/gsme_position_d ata_retention.pdf #
search =% 22GSME% 20POSITION% 20on% 20DATA% 20RET ención% 22 >.
[Haa04] Trabajo de Haas, dispositivos basados en ARM ingeniería inversa, Sombrero Negro Europa, mayo
2004 <URL: https://www.blackhat.com/presentations/bh-europe-04/bh-eu-04dehaas/bh-eu-04-dehaas.pdf
>.
[Hoo11] Andrew Hoog, Katie Strzempka de 2011, iPhone y iOS Forensics: Investigación,
Análisis y Seguridad móvil para el iPhone de Apple, el iPhone y dispositivos iOS, Elsevier, Jul
25, 2011>.
[ITU06] Recomendación UIT-T (2006), Automático Internacional Tarjetas de Crédito Teléfono, Internacional
Unión de Telecomunicaciones, Sector de Normalización de las Telecomunicaciones (UIT-T),
E.118, (02/01).
[INT06] Mobile Phone Forensics, reunión EWPITC 47a - Informe final, Trabajo Europeo
Partido en él la delincuencia, la INTERPOL, 7 de septiembre, 2006.
[Jan09] Wayne Jansen, Aurélien Delaitre, móviles Materiales de Referencia forenses: A

Metodología y cosificación, el NIST Interagencial Informe IR-7617, octubre de 2009, <URL: http://csrc.nist.gov/publications/nistir/ir761
>.
[Jon10] Kevin Jonkers, el uso forense del móvil boxes5 teléfono de intermitencia, digital
investigación 6 (2010) 168-178, <URL: http://www.sciencedirect.com >.
[KAT10] Eric Katz, una prueba de campo del teléfono móvil de blindaje Dispositivos de 2010, Colegio de
Tecnología Tesis de Maestría, Libro 33, <URL:
http: //docs.lib.purdue.eud/techmasters/33 >.
[Kni10] Ronald van der Knijff, Capítulo 8: Embedded Systems Analysis, Manual de
Los forenses digitales e Investigación, Editado por Eoghan Casey, Elsevier Academic Press, 2010.
[Man08] Kevin Mansell, Darren Lole, Fiona Litchfield, recuperando los datos borrados de la grasa
Particiones en el interior terminales de telefonía móvil mediante técnicas de imagen tradicionales, Conferencia Anual
F3, 11-13 de noviembre de 2008 <URL:
http://www.controlf.net/content/uploads/MANSELL-Imaging-FAT-Partitions-onPhone-Handsets-Feb-09.pdf
>.
[Mcc05] Paul McCarthy, análisis forense de dispositivos móviles, BS CIS Tesis, Universidad de
Australia del Sur, Escuela de Informática y Ciencias de la Información, Lagos Mawson, octubre de 2005.
60
[Mcc06] Paul McCarthy, Jill Mata, dispositivos móviles: admisibilidad de forense actual
los procedimientos para la adquisición de datos, la Segunda IFIP WG 11.9 Conferencia Internacional sobre análisis
forense digital, 2006.
[Mel04] Barrie Mellars, examen forense de dispositivos móviles, Investigación Digital,

Vol.1, No. 4, 2004, pp. 266-272.
[Mil08] Christa Miller, La otra cara de la ciencia forense móviles, Cygnus Business Media, el 1 de julio
2008, <URL: http://www.officer.com/article/10248785/the-other-side-of-mobileforensics >.
[Mül12] Tilo Müller, Michael Spreitzenbarth, y Felix C. Freiling, Recuperación Forense de

Teléfonos revueltos, <URL:
http://www1.cs.fau.de/filepool/projects/frost/frost.pdf >.
[Mur13] Cindy Murphy, proceso que se desarrolla para el análisis forense de dispositivos móviles, 2013, <URL:
http://www.mobileforensicscentral.com/mfc/documents/Mobile Dispositivo proceso forense v3.0.pdf >.
[NIJ05] No hay más teléfonos celulares '', TechBeat, Invierno 2005, la Ley Nacional de Aplicación y
Correcciones Centro de Tecnología, <URL:
http://www.nlectc.org/techbeat/winter2005/NoMoreCellPhones.pdf >.
[Oco04] Thomas R. O'Connor, la admisibilidad de la evidencia científica bajo Daubert, Norte

Carolina Wesleyan College, marzo de 2004, <URL:
http://faculty.ncwc.edu/toconnor/daubert.htm >.
[Oco09] Terrence P. O'Connor, Proveedor lateral forense del teléfono celular, Pequeña Escala Digital
Dispositivo Forense Journal, Vol. 3, No. 1, junio de 2009, <URL:
http://www.ssddfj.org/papers/SSDDFJ_V3_1_OConnor.pdf >.
[Orm09] Por Justin Ormont (Trabajo propio) CC-BY-SA-3.0 <URL:

http://creativecommons.org/licenses/by-sa/3.0 > O GFDL <URL:
http://www.gnu.org/copyleft/fdl.html >, Via Wikimedia Commons.
[Rei08] Lee Reiber, tarjetas SIM y de la salsa, MFI Foro, móvil Forense, Inc., septiembre de 2008.
[Smi05] Greg Smith, en Activar actualización ~ = Evidencia perder, Evidencia de Telefonía Móvil
Boletín de noticias, de ÍNDICE: VOL 4-MTE05- 2006, Trew & Co, 2005, <URL:
http://filebucket.org/files/7019_h66bf/Switch%20On%20Update%20Lose%20Evid ENCE >.
[Smi06] Greg Smith, contraseña de desbloqueo del teléfono, teléfono móvil Evidencia Newsletter,
ÍNDICE NO: VOL 4-MTE03- 2006 supp: 002, Trew & Co, 2006.
[SWG13] SWGDE, SWGDE Las mejores prácticas para el teléfono móvil forense, <URL:
https://www.swgde.org/documents/Current%20Documents/2013-0211%20SWGDE%20Best%20Practices%20for%20Mobile%20Ph
iones% 20V2-0 >.
61
[Tha10] John (Zeke) Thackray, Flasher Cajas: Volver a lo básico en teléfono móvil forense,
Investigador Forense Digital News, 13 de Julio de 2010 <URL:
http://www.dfinews.com/article/flasher-boxes-back-basics-mobile-phoneforensics >.
[Wil03] Svein Willassen, medicina forense y el sistema de teléfono móvil GSM, Internacional
Diario de Evidencia Digital, Volumen 2, Número 1, 2003, <URL:
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0658858BFF6-C537-7CF86A78D6DE746D.pdf
>.
[Wil05] Svein Willassen, análisis forense de teléfono móvil de la memoria interna, IFIP WG
11.9 Conferencia Internacional sobre análisis forense digital, Centro Nacional de Ciencias Forenses, Orlando,
Florida, 13-16 de febrero de 2005, en Advances in Digital Forensics, vol. 194, Pollitt, M .; Shenoi, S. (Eds.),
XVIII, 313 p., 2006.
[Zdz12] Jonathan Zdziarski, iOS métodos de investigación forense, 2012, <URL:

http://www.zdziarski.com/blog/wp-content/uploads/2013/05/iOS-ForensicInvestigative-Methods.pdf
>.
[Zim11] de Scott Zimmerman, Dominick Glavach, Ciber Forense en la nube, Diciembre

2011, IAnewsletter, Vol 14, No 1, <URL:
http://iac.dtic.mil/csiac/download/Vol14_No1.pdf >.
8.2 URL a pie de página
http://developer.android.com/sdk/index.html
https://developer.apple.com/devcenter/ios/index.action
http://www.3gpp.org/ftp/Specs/html-info/31102.htm
http://www.qualcomm.com/
http://www.radio-electronics.com
http://www.ietf.org/
http://en.wikipedia.org/wiki/Mobile_IP
http://nislab.bu.edu/sc546/sc441Spring2003/mobileIP
http://appleinsider.com/articles/13/05/14/mobile-malware-exploding-but-only-for-android
http://www.scientificamerican.com/article.cfm?id=boston-marathon-bomb-attack
http://mobile.softpedia.com/phoneFinder
http://www.numberingplans.com/?page=analysis&sub=imeinr
62
http://www.tiaonline.org/standards/resources/esn/codes.cfm
http://www.numberingplans.com/?page=analysis&sub=simnr
http://transition.fcc.gov/oet/ea/fccid/
http://www.npac.com/the-npac/access/law-enforcement-agencies-psaps
http://www.fonefinder.net/
http://transition.fcc.gov/pshs/services/911-
servicios / enhanced911 / archivos / factsheet_requirements_012001.pdf
http://info.sen.ca.gov/pub/bill/asm/ab_13011350/ab_1305_cfa_20050603_115538_sen_comm.html
https://htcc.secport.com/mailman/listinfo/htcc
63
Apéndice A. acrónimos
APDU - Unidad de Datos de Protocolo
API - Interfaz de programación de aplicaciones
ASCII - Código Estándar Americano para Intercambio de Información
BCD - Decimal codificado en binario
BSC - Controlador de Estación Base
BTS - Base Transceiver Station
CDMA - codigo de DIVISION DE ACCESO multiple
CDR - Detalles de Registro de llamadas
CF - Flash compacto
CNIC - Tarjeta de Aislamiento de red celular
CISM - CDMA Subscriber Identity Module
EDGE - Datos Mejoradas para la Evolución de GSM
Ems - Servicio de mensajería mejorado
ESN - Número de Serie Electrónico
ETSI - Instituto Europeo de Estándares de Telecomunicaciones
eUICC - Tarjeta universal de circuito integrado incrustado
ID DE LA FCC - Número de Identificación Comisión Federal de Comunicaciones
GPRS - paquete general de Radio sevicio
GPS - Sistema de Posicionamiento Global
GSM - Sistema global para comunicaciones móviles
HTTP - Protocolo de Transferencia de Hipertexto
ICCID - Tarjeta de Identificación de Circuitos Integrados
IDE - electrónica de unidad integrada
iDEN - Digital Integrada de red mejorada
ESTOY - Mensajería instantánea
64
IMAP - Internet Message Access Protocol
IMEI - La Identidad de Equipo Movil Internationacional
IMSI - International Mobile Subscriber Identity
IrDA - Asociación de datos por infrarrojos
JTAG - JTAG
LCD - Pantalla de cristal líquido
LED - Diodo emisor de luz
LND - Últimos números marcados
MD5 - Message Digest 5
MEID - Identificador de equipos móviles
MMC - Multi-Media Card
MMS - Servicio de Mensajes Multimedia
MSC - Centro de conmutación móvil
MSISDN - Abonado Móvil Red Digital de Servicios Integrados
NFC - Cerca de un campo de comunicación
OS - Sistema operativo
PC - Computadora personal
PC / SC - Personal Computer / Smart Card
PDA - Asistente personal digital
PIM - Gestión de información personal
ALFILER - Número de identificación personal
PPI - Píxeles por pulgada
POP - Protocolo de la Oficina postal
RAM - Memoria de acceso aleatorio
ROM - Memoria de sólo lectura
DAKOTA DEL SUR - Seguro digital
sesenta y cinco
SDK - Kit de desarrollo de software
SHA1 - Secure Hash Algorithm, versión 1
SIM - Módulo de Identidad del Suscriptor
SMS - Servicio de mensajes cortos
SSD - Unidad de estado sólido
TDMA - Time Division Multiple Access
UICC - Tarjeta Universal de Circuito Integrado
UMTS - Sistema Universal de Telecomunicaciones Móviles
URL - Localizador Uniforme de Recursos
USB - Universal Serial Bus
USIM - UMTS Subscriber Identity Module
WAP - Protocolo de Aplicaciones Inalámbricas
Wifi - Wireless Fidelity
66
Apéndice B. Glosario
Adquisición - Un proceso por el cual se duplica la evidencia digital, copiar, o representado.
Análisis - El examen de los datos adquiridos para su significado y valor probatorio al caso.
Mecanismo de autenticación - El hardware o mecanismos basados en software que obligan a los usuarios a probar su identidad antes
de acceder a los datos en un dispositivo.
Bluetooth - un protocolo inalámbrico que permite que dos dispositivos equipados de forma similar para comunicarse entre sí dentro de
una distancia corta (por ejemplo, 30 pies.).
Ataque de fuerza bruta contraseña - Un método de acceso a un dispositivo obstruida por intentar múltiples combinaciones de
contraseñas numéricas / alfanuméricas.
Buffer Overflow Ataque - Un método de sobrecarga de una cantidad predefinida de almacenamiento de memoria en una memoria
intermedia, que puede sobrescribir y corromper la memoria más allá de los límites de la memoria intermedia.
Tarjeta de Aislamiento de red celular (CNIC) - Una tarjeta SIM que aísla el dispositivo de conectividad antena de telefonía móvil.
Cadena de custodia - Un proceso que sigue el movimiento de las pruebas a través de su colección, la salvaguardia, y ciclo de vida
de análisis mediante la documentación de cada persona que maneja la evidencia, la fecha / hora que se recogió o transferido, y el
propósito de las transferencias.
Sistema operativo de código cerrado - El código fuente para un sistema operativo no está disponible públicamente.
Code Division Multiple Access (CDMA) - Una tecnología de espectro ensanchado para redes celulares basadas en la
Norma Provisional-95 (IS-95) de la Asociación de la Industria de Telecomunicaciones (TIA).
Archivo comprimido - Un archivo de tamaño reducido mediante la aplicación de un algoritmo de compresión, comúnmente realiza para
ahorrar espacio en disco. La acción de comprimir un archivo hace que sea ilegible para la mayoría de los programas hasta que el
archivo está comprimido.
Cuna - Una estación de acoplamiento, lo que crea una interfaz entre el PC del usuario y el PDA y permite la
comunicación y recarga de pilas.
CDMA Módulo de Identidad de Abonado (CSIM) - CISM es una aplicación para apoyar a los teléfonos CDMA2000 que se ejecuta
en una UICC, con una estructura de archivos derivados de la tarjeta R-UIM.
archivo eliminado - Un archivo que ha sido lógicamente, pero no necesariamente físicamente, borrados del sistema operativo, tal vez
para eliminar potencialmente pruebas incriminatorias. La eliminación de archivos no siempre necesariamente elimina la posibilidad de
recuperar la totalidad o parte de los datos originales.
Evidencia digital - La información electrónica almacenada o transmitida en forma binaria.
67
Interferencia electromagnetica - Una perturbación electromagnética que interrumpe, obstruye, o de otra manera se
degrada o limita el rendimiento eficaz de la electrónica / equipo eléctrico.
Número de serie electrónico (ESN) - Un número único de 32 bits programado en teléfonos CDMA cuando
se fabrican.
encriptación - Cualquier procedimiento utilizado en la criptografía para convertir texto plano en texto cifrado para evitar que nadie más
que el destinatario de la lectura de los datos.
Datos Mejoradas para la Evolución de GSM (EDGE) - Una actualización a GPRS para proporcionar mayores velocidades de datos
mediante la unión de múltiples ranuras de tiempo.
Servicio de mensajería mejorado (EMS) - Un sistema de mensaje mejorado para dispositivos móviles GSM permitiendo imagen,
sonido, animación y elementos de texto que se desea transmitir a través de uno o más mensajes SMS concatenados.
Examen - Una revisión técnica que hace que la evidencia visible y adecuado para el análisis; así como las pruebas realizadas en
las pruebas para determinar la presencia o ausencia de datos específicos.
La evidencia exculpatoria - La evidencia de que tiende a disminuir la probabilidad de fallo o culpabilidad.
Característica del teléfono - Un dispositivo móvil que principalmente proporcionar a los usuarios con servicios de voz y mensajes de
texto simples.
Anomalía firma del archivo - La falta de concordancia entre la cabecera del archivo interno y su extensión de nombre de archivo
externo; un nombre de archivo incompatible con el contenido del archivo (por ejemplo, cambiar el nombre de un archivo de gráficos con
una extensión no gráficos).
Sistema de archivos - Un mecanismo de software que define la forma en que los archivos se nombran, almacenan, organizan, y se
puede acceder en volúmenes lógicos de memoria con particiones.
flash ROM - La memoria no volátil que se puede escribir.
PLMN prohibidas - Una lista de redes móviles terrestres públicas (PLMN) mantiene en la tarjeta SIM que el teléfono móvil no puede
ponerse en contacto de forma automática, por lo general porque el servicio ha sido rechazada por un proveedor extranjero.
Copia forense - Una reproducción bit a bit de la información contenida en un dispositivo electrónico o medios
asociados, cuya validez y la integridad ha sido verificada utilizando un algoritmo aceptado.
Especialista forense - Localiza, identifica, recoge, analiza, y examina los datos, preservando al mismo tiempo la integridad y el
mantenimiento de una estricta cadena de custodia de información descubierta.
General Packet Radio Service (GPRS) - Una mejora de conmutación de paquetes para redes inalámbricas de GSM y TDMA para
aumentar las velocidades de transmisión de datos.
Sistema de Posicionamiento Global (GPS) - Un sistema para determinar la posición mediante la comparación de señales de radio
desde varios satélites.
68
Sistema Global para Comunicaciones Móviles (GSM) - Un conjunto de normas para la segunda generación, las redes
celulares mantenido actualmente por el 3rd Generation Partnership Project (3GPP).
del controlador de hardware - Aplicaciones responsables de establecer la comunicación entre los programas de hardware y
software.
hash - El proceso de usar un algoritmo matemático contra datos para producir un valor numérico que es
representativo de los datos.
Protocolo de transferencia de hipertexto (HTTP) - Un método estándar para la comunicación entre clientes y servidores Web.
Imagen - Una copia flujo de bits exacta de todos los datos electrónicos en un dispositivo, realizado de una manera que asegura que la
información no se altera.
prueba de cargo - La evidencia de que tiende a aumentar la probabilidad de fallo o culpabilidad.
Mensajería Instantánea (IM) - Una instalación para el intercambio de mensajes en tiempo real con otras personas a través de Internet y
el seguimiento del progreso de una conversación dada.
Integrated Circuit Card ID (ICCID) - El número de serie único asignado a, mantiene dentro, y por lo general impreso
en la tarjeta (U) SIM.
Red Mejorada Digital Integrada (iDEN) - Una tecnología patentada de comunicaciones móviles desarrollado por
Motorola que combina las capacidades de un teléfono celular digital con radio de dos vías.
Identidad Internacional de Equipo Móvil (IMEI) - Un número de identificación único programado en dispositivos
móviles GSM y UMTS.
De identidad del abonado móvil internacional (IMSI) - Un número único asociado con cada GSM de abonados de
telefonía móvil, que se mantiene en un (U) SIM.
Protocolo de acceso a mensajes de Internet (IMAP) - Un método de comunicación utilizado para leer los mensajes electrónicos
almacenados en un servidor remoto.
Acordes clave llaves de hardware específicos de prensado en una secuencia particular en un dispositivo móvil.
Información sobre la ubicación (loci) - El Área de Localización Identificador (LAI) de la ubicación actual del teléfono, mantiene
continuamente en la tarjeta SIM (C / T) cuando el teléfono está activo y se guarda cada vez que el teléfono está apagado.
Dispositivos móviles - Un dispositivo móvil es un pequeño dispositivo de mano que tiene una pantalla de visualización con la entrada
táctil y / o un teclado QWERTY y puede proporcionar a los usuarios con capacidades de telefonía. Los dispositivos móviles se utilizan de
manera intercambiable (teléfonos, tabletas) a lo largo de este documento.
Abonado Móvil de la Red Digital de Servicios Integrados (MSISDN) - El número de teléfono internacional
asignado a un abonado celular.
Servicio de Mensajería Multimedia (MMS) - Un estándar aceptado para la mensajería que permite a los usuarios enviar y
recibir mensajes con formato de texto, gráficos, fotografías, audio y video clips.
69
Near Field Communication (NFC) - Una forma de contacto, estrecha proximidad, las comunicaciones de radio basadas en la
tecnología de identificación por radiofrecuencia (RFID).
Contraseña protegida - La capacidad de proteger el contenido de un archivo o dispositivo desde el que se accede hasta que se
introduzca la contraseña correcta.
Asistente Personal Digital (PDA) - Un ordenador portátil que sirve como una herramienta para la lectura y los documentos de
transporte, correo electrónico y otros medios electrónicos a través de un enlace de comunicaciones, así como para la organización de la
información personal, como una base de datos de nombres y direcciones, una lista de tareas pendientes y un calendario de citas.
Gestión de información personal (PIM) Aplicaciones - Un conjunto básico de aplicaciones que proporcionan los equivalentes
electrónicos de los artículos tales como una agenda, libreta de direcciones, bloc de notas, y la lista de recordatorios.
Gestión de información personal (PIM) de datos - El conjunto de tipos de datos, como contactos, entradas de calendario,
entradas de la agenda, notas, notas, recordatorios y mantenidos en un dispositivo, que se puede sincronizar con un ordenador
personal.
Post Office Protocol (POP) - Un protocolo estándar utilizado para recibir correo electrónico desde un servidor.
Los datos probatorios - La información que revela la verdad de una denuncia.
Push-to-Talk (PTT) - Un método de comunicación en las líneas de comunicación semidúplex, incluyendo radio de dos vías,
usando un botón de “walkie-talkie” para cambiar de recepción de voz al modo de transmisión.
Usuario extraíble Módulo de Identidad (R-UIM) - Una tarjeta desarrollado para teléfonos cdmaOne / CDMA2000 que se
extiende la tarjeta SIM GSM para teléfonos y redes CDMA.
Secure Digital eXtended Capacity (SDXC) - Soporta tarjetas de hasta 2 TB, en comparación con un límite de 32 GB para tarjetas
SDHC en la especificación SD 2.0.
Servicio de mensajes cortos (SMS) - Una instalación de red de telefonía móvil que permite a los usuarios enviar y recibir mensajes de
texto de hasta 160 caracteres alfanuméricos en sus terminales.
chat SMS - Una instalación para el intercambio de mensajes en tiempo real a través de mensajes de texto SMS que permite previamente
intercambió mensajes para ser visto.
esteganografía - El arte y la ciencia de la comunicación de una manera que oculta la existencia de la comunicación. Por ejemplo, una
imagen de pornografía infantil puede estar oculto dentro de otro archivo gráfico de imágenes, archivos de audio, u otro formato de
archivo.
Módulo de Identidad de Abonado (SIM) - Un chip de tarjeta inteligente especializada para su uso en equipos GSM.
Protocolos de sincronización - Protocolos que permiten a los usuarios ver, modificar y transferir datos / actualización entre un teléfono
celular y el ordenador personal.
70
Tarjeta Universal de Circuito Integrado - Una tarjeta de circuito integrado que almacena de forma segura la identidad internacional de
abonado móvil (IMSI) y la clave relacionadas con la criptografía se utiliza para identificar y autenticar a los suscriptores en los
dispositivos móviles. A UICC puede ser denominado como un: SIM, USIM, RUIM o CSIM, y se utiliza de forma intercambiable con estos
términos.
UMTS Subscriber Identity Module (USIM) - Un módulo similar a la SIM en redes GSM / GPRS, pero con capacidades
adicionales adecuados para las redes 3G.
Sistema Universal de Telecomunicaciones Móviles (UMTS) - Una tecnología de telefonía móvil de tercera generación (3G)
estandarizado por el 3GPP como el sucesor de GSM.
Universal Serial Bus (USB) - Una interfaz de hardware para periféricos de baja velocidad, tales como los dispositivos de teclado,
ratón, joystick, escáner, impresora, y telefonía.
Memoria volatil - Memoria que pierde su contenido cuando se apaga o se pierde.
Protocolo de Aplicaciones Inalámbricas (WAP) - un estándar que define la forma en que se proporcionan las comunicaciones por
Internet y otros servicios avanzados en dispositivos móviles inalámbricos.
Fidelidad inalámbrica (WiFi) - Un término que describe una red de área local inalámbrica que observa el protocolo IEEE 802.11.
Bloqueador de escritura - Un dispositivo que permite a los investigadores para examinar los medios de comunicación de datos al
tiempo que evita que se produzcan escribe en los medios de tema.
Protección de escritura - hardware o software métodos de prevención que se escriban datos en un disco u otro medio.
71
Apéndice C. Estandarizados Registro de llamadas
La especificación Instituto Europeo de Normas de Telecomunicaciones para el evento y llamada de datos GSM proporciona
definiciones detalladas para una variedad de registros necesarios en la administración de evento relacionado con el abonado y
llamada de datos [ETS99]. Tabla 5 da la estructura de registro para un intento de llamada mobileoriginated, identificar y describir el
nombre de los diversos campos implicados y una indicación de si el campo es obligatorio (M), condicional (C), u opcional (O).
Otras definiciones de registro también aparecen en la norma. Se le pide al lector que consulte el estándar directamente para una
explicación más detallada del uso de cada campo dado en la Tabla 5 y una mejor comprensión de la gama de registros y datos
involucrados en la administración de la red.
Tabla 5: Estructura Ejemplo Record
Campo Descripción clave
Tipo de registro METRO originado en móvil

servido IMSI METRO IMSI de la parte que llama
servido IMEI do IMEI del que me llama, si está disponible
MSISDN servido O El principal MSISDN del abonado que llama
Número de llamada METRO La dirección de la parte llamada, por ejemplo, el número
marcado por el abonado que llama
Número traducida O El número llamado dígitos después de la traducción dentro del MSC
(en su caso)
Número conectados O El número de la parte conectada si es diferente del
número llamado
Número de itinerancia O El número de itinerancia de estación móvil
empleado para encaminar esta conexión, si se aplica
grabación Entidad METRO El número E.164 del MSC visitado producir el
registro
TKGP entrante O El grupo de enlace MSC en el que se originó la llamada,
por lo general desde el BSS
TKGP saliente O El grupo de enlaces en los que la llamada abandonó el MSC
Ubicación METRO La identidad de la célula en la que se originó la llamada

incluyendo el código de área de ubicación
Cambio de ubicación O Una lista de los cambios en la ubicación del código de área / Cell Id.,
Cada uno con marca de tiempo
Servicio básico METRO Portador o teleservicio empleado

Indicador de transparencia do Sólo proporcionado para aquellos teleservicios que pueden ser
empleados en modo transparente y no transparente
ChangeOfService O Una lista de cambios de servicio básico durante una conexión

cada uno con marca de tiempo
Supp. Servicios do servicios complementarios invocados como resultado de esta

conexión
Parámetros de AOC O Los parámetros de asesoramiento carga enviado a los Estados
miembros en el establecimiento de llamada
Cambio de AOC Parms O Nuevos parámetros AOC enviada a la EM, por ejemplo, como resultado de
un arancel sobre el interruptor, incluyendo el momento en que se aplicó el
nuevo conjunto
MS Marca de Clase METRO La estación móvil de marca de clase empleada en el establecimiento de

llamada
Cambio de Marca de Clase O Una lista de los cambios en la marca de clase durante la conexión,
cada uno con marca de tiempo
72
Fecha y hora de eventos CO Toma del canal de tráfico de entrada (para las llamadas
telefónicas infructuosas) respuesta (para llamadas
exitosas) Liberación de canal de tráfico
Duración de la llamada METRO La duración tasable de la conexión de llamadas con éxito, el

tiempo de retención de intentos de llamada
Radio Chan. Pedido O El tipo de canal de tráfico de radio (completo media etc. /) solicitada
por la MS
Radio Chan. Usado METRO El tipo de canal de radio utilizado realmente (velocidad completa o
media)
Cambio de Rad. Chan. O Una lista de cambios, cada uno con marca de tiempo
Causa de resolución METRO La razón de la liberación de la conexión

Diagnóstico O Una razón más detallado para la liberación de la conexión
Volumen de datos do El número de segmentos de datos transmitido, si está disponible

en el MSC
Secuencia No. do número de secuencia de registro parcial, sólo está presente en caso de
registros parciales
Referencia de llamada METRO Un identificador local distinguir entre

transacciones en el mismo MS
Chg adicional. información O Carga / no indicador de carga y parámetros de carga
adicionales
Extensiones de registro O Un conjunto de extensiones específicas de red /
fabricante para el registro
dirección de gsmSCF do Identifica el servidor de CAMEL servicio al abonado
clave del servicio do La lógica de servicio de CAMEL que se aplicará
Red de referencia de llamada do Un identificador para correlacionar las transacciones en la misma

llamada que tiene lugar en diferentes nodos de la red, deberá estar
presente si se aplica CAMEL
MSC Dirección do Este campo contiene el número E.164 asignado al MSC

que genera la referencia de llamada de red
Gestión de llamadas por defecto O Indica si o no una gestión de llamadas por defecto llamada
CAMEL encontrado - estará presente sólo si la gestión de
llamadas por defecto se ha aplicado
Número de canales do El número máximo de canales solicitados como HSCSD recibido

HSCSD solicitada de la MS en el establecimiento de llamada
Número de canales do El número de canales HSCSD asignado a la MS en el establecimiento

HSCSD Asignado de llamada
El cambio de los parámetros do Una lista de la red o el usuario inicia cambios de número de
HSCSD canales HSCSD durante una conexión, cada vez estampada -
sólo se presente en caso de una llamada HSCSD, si los
parámetros básicos HSCSD se modifican debido a la
usuario o iniciado de red procedimiento de modificación

Red fija Tasa de Usuario O Puede estar presente para las conexiones HSCSD
Interfaz de aire Tasa de usuario do El total Interfaz de aire Tasa de usuario solicitada por la MS en el
solicitado establecimiento de llamada. solamente deberá estar presente para las
conexiones HSCSD no transparentes
Codificación de Canal Aceptado do Una lista de los canales de tráfico codificaciones aceptadas por el
MS - sólo se presente para las conexiones HSCSD
73
Canal de codificación utilizado do Los canales de tráfico codificaciones negociados entre la MS y la red
en el establecimiento de llamada
- sólo podrán estar presentes para las conexiones
HSCSD
Discurso versión utilizada O Versión discurso utilizado para esa llamada
Speech versión compatible O versión Speech apoyado por la MS con la más alta
prioridad indicada por MS
Número de DP se encontró con O Número lo que cuenta con qué frecuencia se encontraron puntos
de detección armado (TDP) y EDP
Nivel de servicio CAMEL O Indicador de la complejidad de la característica CAMEL
utilizado
Formato de datos gratuito do Este campo contiene los datos enviados por el gsmSCF en el
mensaje FCI
CAMEL Llame a la do Conjunto de información IE CAMEL. Cada una de estas entidades
Información de la pierna independientes contiene información relacionada con un tramo de
llamada saliente CAMEL
74
Apéndice D. Recursos en línea para análisis forense de dispositivos móviles
Este apéndice contiene una lista de recursos en línea que pueden ser útiles a las comunidades de respuesta a incidentes y
cumplimiento de la ley cuando se encuentran dispositivos móviles durante un incidente o delito. Los recursos proporcionan información
adicional sobre los aspectos de la medicina forense de teléfonos celulares.
Tabla 6: Sitios de recursos técnicos
Recurso URL
Pruebas y análisis forense digital http://www.nij.gov/topics/forensics/evidence/digital/

Lista de correo de Delitos de Alta Tecnología https://htcc.secport.com/mailman/listinfo/htcc
Consorcio
High Tech Crime Consorcio http://www.hightechcrimecops.org/

Asociación de Investigación del http://www.htcia.org/
Delito alta tecnología
Los forenses central móvil http://www.mobileforensicscentral.com/mfc/
Instituto Nacional de Justicia http://www.nij.gov/topics/forensics/evidence/digital/standa RDS / cftt.htm
Teléfono Grupo Forense http://groups.yahoo.com/group/phoneforensics/

El forense de los procedimientos Instituto Holandés http://www.holmes.nl/MPF/FlowChartForensicMobilePhon
para la preservación eExamination.htm
Asegure Página Digital http://www.Sdcard.org
Grupo de Trabajo Científico sobre Evidencia http://www.swgde.org
Digital
Tecnología móvil y descubrimiento electrónico Blog http://trewmte.blogspot.com/
Tabla 7: Bases de datos para la identificación de consultas
Recurso URL
Características del dispositivo http://www.phonescoop.com/phones/finder.php

http://www.gsmarena.com/search.php3
http://mobile.softpedia.com/phoneFinder
Las consultas de IMEI http://www.numberingplans.com/?page=analysis&sub=im einr
ICCID consultas http://www.numberingplans.com/?page=analysis&sub=si MNR
FCCID consultas http://www.fcc.gov/oet/fccid/

Buscador de teléfono Carrier http://www.fonefinder.net/
Número de teléfono Portador de búsqueda www.npac.com
75

NIST SP 800-101r1 en Es

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NIST SP 800-101r1 en Es

Enviado por

Direitos autorais:

Formatos disponíveis

NIST Special Publication 800-101

Directrices sobre dispositivos móviles

Rick Ayers Sam

Directrices sobre dispositivos móviles

Departamento de Comercio de los EE.UU.

Instituto Nacional de Estándares y Tecnología

Instituto Nacional de Estándares y Tecnología de la publicación especial 800-101r1

TABLA DE CONTENIDO ............................................... .................................................. ............ V

LISTA DE FIGURAS ............................................... .................................................. ................... VII

LISTA DE MESAS ............................................... .................................................. ................... VIII

RESUMEN EJECUTIVO................................................ .................................................. ......... 1

1. INTRODUCCIÓN ................................................. .................................................. ............... 1

1.1 P Y ROPÓSITO S CAPA PLUVIAL .................................................. .................................................. ..... 1

2. FONDO ................................................. .................................................. ................. 3

2,1 M obile re evice do ARACTERÍSTICAS .................................................. ............................... 3

3. Herramientas forenses ................................................ .................................................. ........... 15

3,1 M obile re evice T ERRAMIENTA do CLASIFICACIÓN S SISTEMA .................................................. ........ 15

4. CONSERVACIÓN ................................................. .................................................. ............. 27

4.1 S Y ECURING mi VALUACIÓN DE LA S CENE .................................................. ..................... 27

5. ADQUISICIÓN ................................................. .................................................. ................. 37

5,1 M obile re evice yo DENTIFICACIÓN .................................................. ................................. 37

6. EXAMEN Y ANÁLISIS ............................................... ................................... 48

6.1 P OTENCIAL mi RUEBA .................................................. .................................................. . 48

7. REPORTE ................................................. .................................................. ..................... 55

8. Referencias ................................................. .................................................. .................. 58

8.1 B IBLIOGRAPHIC do LIMITA- .................................................. ........................................... 58

ANEXO A. ACRONIMOS .............................................. .................................................. .... 64

ANEXO B. GLOSARIO .............................................. .................................................. ...... 67

Apéndice C. REGISTROS DE LLAMADAS NORMALIZADO ............................................ ............... 72

Apéndice D. RECURSOS EN LINEA para el análisis forense dispositivo móvil ................. 75

Figura 1: Configuraciones de memoria ...................................... 6

Figura 2: Tarjeta SIM Formatos Tamaño [Orm09] ....................... 8

Figura 3: Sistema de archivos SIM (GSM) ..................................... 9

Figura 4: Celular organización de la red ......................... 12

Figura 5: Satélite Red Teléfono .................................... 13

Figura 6: Mobile Sistema de Clasificación Herramienta para dispositivos ...... 17

Figura 7: Generic árbol Triage Decisión ........................... 36

Tabla 1: Caracterización Hardware ................................... 4

Tabla 2: Caracterización del software .................................... 5

Tabla 3: Dispositivo móvil herramientas forenses ........................... 21

Tabla 4: tarjetas de memoria ............................................. ........ 46

Tabla 5: Ejemplo Estructura Record .................................. 72

Tabla 6: Sitios de recursos técnicos .................................... 75

Tabla 7: Bases de datos para la identificación de consultas .................. 75

1.1 Propósito y alcance

1.2 Lectores y supuestos

1.3 Estructura del documento

La guía se divide en los siguientes capítulos y apéndices:

• El capítulo 8 contiene una lista de referencias utilizadas en esta guía.

• Apéndice A contiene una lista de los acrónimos utilizados en esta guía.

• Apéndice D proporciona enlaces a recursos en línea.

2.1 Características del dispositivo móvil

Tabla 1: Caracterización Hardware

Característica del teléfono Smartphone

Procesador Velocidad limitada (~ 52MHz) velocidad superior (~ 1 GHz de doble núcleo)

Memoria Capacidad limitada (~ 5 MB) capacidad superior (~ 128 GB)

Pequeño tamaño color, 4k -

ranuras para tarjetas Ninguno, MicroSD microSDXC

Cámara Aún así, Video Aún así, panorámica y video (HD)

Teclado numérico, Pantalla táctil, Escritura

La entrada de voz Ninguna Reconocimiento de voz (Marcación y Control)

posicionamiento Ninguno, receptor GPS receptor GPS

Inalámbrico IrDA, Bluetooth Bluetooth, Wi-Fi y NFC