Juan Garrido & Juan Luis García Rambla

Consultores de Seguridad I64

http://windowstips.wordpress.com

http://www.informatica64.com

Introducción

Tecnología Windows Mobile

Estructura Física y Lógica

Adquisición de imágenes

Live Forensics

El auge de los sistemas de movilidad y uso intensivo de los mismospropician el uso fraudulento o criminal con los mismos.

Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.

El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:

Buenas prácticas.

Preservación de la información.

Analisis basados en métodos.

Herramientas forenses.

Arquitectura diferente.

Diversidad en los modelos y tecnologías.

Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.

Software de análisis forense y hardware específico.

La mayoría de software forense es de pago.

SIM.

Memoria interna.

Memorias internas secundarias.

Unidades Flash.

Discos SD.

Es posible aunar ambas tecnologías.

La generación de imágenes de memoria interna se puede realizarcon herramientas específicas para móviles.

Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.

Aun siendo modelos y diseños muy diferentes mantienen la arquitectura incluso entre versiones.

El componente principal en un caso forense es la memoriainterna.

La estructura de la memoria interna es mantenida desde lasversiones Pocket PC 2003.

Los distintos modelos pueden contar con más o menos memoria o diferentes unidades internas.

Adicionalmente al PIN de la SIM algunos terminales pueden tenercódigo de Bloqueo.

Bloquear no cifra, solo bloquea el acceso a datos desde el terminal.

La unidad puede ser extraída y analizada en otro dispositivo o terminal hardware de análisis.

El desbloqueo del mismo solo puede ser llevado por metodologíaHardware o "puertas traseras específicas de dispositivos".

El Hard Reset Hardware anularía dicho mecanismo.

Al igual que la tecnología convencional debemos distinguir entre eliminación lógica de ficheros o contenido o formateo o recuperación de valores de fábrica del dispositivo.

La recuperación de ficheros eliminados puede ser realizada con herramientas forense como OXY-Forensics o Paraben s Device Seizure.

Empresas como DiskLabs permiten la recuperación de datoseliminados aún incluso realizado mediante un Hard Reset.

www.disklabs.com

Los sistemas de Windows Mobile cuenta habitualmente con dos estructuras.

Física.

Lógica.

Los discos aunque pueden ser modificados contienen en combinación de fábrica 4 particiones.

Part 00: Contiene una actualización del Kernell para los procesosde actualización del Sistema Operativo.

Part 01: Contiene el Kernell Primario.

Part 02: Contiene la imagen ROM comprimida en formato LZX.

Part 03 u otro Disco contiene la información de ficheros, Carpetasy otros datos interesantes para una investigación.

Se puede especificar a través del Objeto que crea

Windows

Puede ser utilizado mediante aplicaciones específicas de forense.Herramientas XACT Forensics LTD

Conjunto de utilidades OXY.

Paraben Device Seizure.

Mobiledit Forense de Compelson.

Conjunto de aplicaciones no forense que permiten trabajar con dispositivos.

ITSUtilsBin.

TULP2G (en desarrollo el módulo de obtención de imágenes de disco).

Hay pasarle los datos en HEX

Se hace por problemas de compatibilidad

Especificarle el Disco y la partición a copiar

Offset de Inicio + Offset final

Copia al vuelo

Problema con ficheros abiertos

Tenemos que acatar la ley

Sentar jurisprudencia

Que la prueba sea admisible

Que se pueda “Hashear” (Evidencia fiable)

Se pueda analizar a posteriori

Se puede realizar en la mayoría

Iphone & Android

Hardware… Of Course

SSH

USB

Windows Mobile

Hardware… Of Course

SD Card

Listar directorios

PDIR

Modo Verbose

Recursividad

Procesos en ejecución

PPS

Hilos en ejecución

Ficheros abiertos

PHANDLE

Copiar archivos específicos

PGET

No copia archivos en uso (API!!)

Examinar y copiar el registro

PREGUTL

http://Windowstips.wordpress.com

Suscripción gratuita en technews@informatica64.com

http://elladodelmal.blogspot.com

http://legalidadinformatica.blogspot.com