pinout & flashing a nokia phone · dispositivo móvil con el fin de asegurar, identificar,...

Índice

• Introducción

• Objetivo

• Etapas previas

• Adquisición de las pruebas digitales

• Análisis de la prueba digital

• Herramientas: Cellebrite y comparativa

• Informe pericial

• Preguntas ¿?

/Introducción

La informática forense es la ciencia forense que se encarga de asegurar, identificar, preservar, analizar y presentar la prueba digital, de manera que ésta sea aceptada en un proceso judicial.

El ámbito de actuación de la informática forense es muy diverso, como por ejemplo:

•Persecución criminal.•Litigación civil.•Investigación de seguros.•Temas corporativos.•Finalidad preventiva.•Data recovery.•Network forensics.

/Objetivo

Se pretende mostrar cómo realizar un análisis forense de un dispositivo móvil de la marca Nokia serie 40 (concretamente el modelo 2630 con placa base RM-298), mediante un volcado de la memoria flash en hexadecimal y su posterior análisis.

Este análisis será el resultado de aplicar métodos científicos al dispositivo móvil con el fin de asegurar, identificar, preservar, analizar y presentar la prueba digital, de manera que ésta sea aceptada en un proceso judicial.

/Etapas previas

Antes de comenzar la tarea del mero análisis e informe pericial, hay que tener en consideración las primeras etapas del análisis forense:

Aseguramiento de la escena del suceso

Esta etapa de la metodología del análisis forense consiste, básicamente, en asegurar la escena del suceso, restringiendo su acceso para que nadie la pueda alterar.

Identificación de la prueba digital

Se denomina así al proceso de identificación y localización de las pruebas que se deben recoger para ser analizadas posteriormente.CADENA DE CUSTODIA!!!

/Adquisición de las pruebas digitales

Este apartado es el más crítico de toda la secuencia, ya que un error en este punto podría llegar a invalidar una prueba en el tribunal.

En esta fase trataremos de:

•Documentar e identificar el teléfono móvil.

•Aislar la señal de radiofrecuencia, en caso que el terminal estuviera en funcionamiento.

•Seleccionar la herramienta o técnica de extracción de la evidencia digital.

•Realizar la extracción, preservando la integridad de la evidencia digital.

/Adquisición…/ Flashing a phone

"Flashing a phone" se basa en la utilización de cajas (box) desarrolladas para desbloquear y reprogramar el teléfono, añadiendo métodos forenses, con el fin de obtener una extracción de la memoria flash del teléfono móvil en un fichero hexadecimal, tanto para realizar un análisis lógico como físico.

En nuestro caso utilizaremos una Box Tornado UFS-3 :

http://gsmserver.es/shop/gsm/ufs_3.php

Cuando usar esta técnica:

•El terminal está averiado y no es posible su lectura con las herramientas tradicionales (software propietario de la marca del terminal, soluciones software muy conocidas como MobilED! o dispositivos como Cellebrite UFED).

•El terminal no dispone de SIM (no smartphone!).

•El terminal ha perdido su batería y no se puede, ni se debe conectar.

•El terminal está protegido por una contraseña que no nos permite ponerlo en marcha.

•No existe ningún software de interpretación existente que proporcione los datos que se necesitan.


Primer paso, recolección de información del terminal


• Marca Nokia Corporation Modelo 2630• Tipo de placa RM-298• IMEI: 359559/01/8779090/2


http://www.gsmspain.com/

Terminal de la Serie 40 de Nokia versión 3 (esta serie tiene 6 versiones)

Pinout

Término anglosajón de traducción libre, que significa "asignación de patillaje", es usado en electrónica para determinar la función de cada pin en un circuito integrado, o bien en un dispositivo electrónico discreto, describiendo el propósito de cada pin o patilla.

La siguiente información que necesitamos para acceder al teléfono móvil, es conocer las conexiones que permite el modelo de placa RM-298 que dispone el terminal.


/Adquisición…/ Flashing a phone/Pinout

http://www.cpkb.org

RX: Data receive, conexión para recibir datos.

GND: Ground, conexión a tierra.

Mbus: Data exchange protocol (half duplex). Método de comunicación de teléfonos móviles de Nokia para la transmisión de datos, el servicio y ajustes. Con Mbus es posible realizar una interfaz con casi todos los teléfonos móviles de Nokia para el servicio y con fines de ajuste.

TX: Data send, conexión para enviar datos.

VPP: Programming power supply, Programación de la fuente de alimentación.

BSI: Information about Battery Size Indicator, indicador de batería.GND: Ground, conexión a tierra. Vbat +: Positive battery terminal. Para alimentar el sistema.

Realización de un circuito para conectar el terminal a una box:


1ª parte, preparar un RJ45

2º montar el circuito en una placa protoboard

3º conectar el circuito a los conectores del terminal

1ª parte, preparar un RJ45


Tomamos un típico cable de red ethernet y desmontamos los extremos de cables de par trenzado.

Como podemos ver en el diagrama anterior, tenemos 8 cables de diferentes colores. Una buena práctica es etiquetar los cables, o por orden (PIN1, PIN2, etc.), o por destino (VBAT +, RX, etc.).


2ª parte, preparar el circuito en una placa protoboardResistencia R2.Usamos una resistencia de 5100 (verde, marrón y rojo)

Resistencia R1.Para poder llegar a los 68k, disponemos cuatro resistencias en serie de los valores 22000 (rojo, rojo, naranja) + 22000 (rojo, rojo, naranja) + 22000 (rojo, rojo, naranja) + 2200 (rojo, rojo, rojo).

Debe conectarse al conector BSI del teléfono móvil

Debe conectarse al conector pin3 (white) del conector RJ45

Debe conectarse al conector GND del teléfono móvil


Las resistencias llevan grabadas sobre su cuerpo unas bandas de color que nos permiten identificar el valor óhmico que tienen.

Recordemos la tabla de colores de las resistencias:


Ejemplo con la R2 :

5 1 00 Tolerancia +/- 5


3ª parte. Conectar el circuito a los conectores del terminal

Para poder realizar las conexiones al teléfono móvil, soldaremos un material conductor (estanque o cable) en los pins RX, TX, Mbus y VPP, tal y como se muestra en la siguiente imagen:


Resumen de las conexiones a realizar:

Origen Destino

RJ45 – Pin1 Terminal Vbat+RJ45 – Pin2 Sin conexiónRJ45 – Pin3 placa protoboard, izquierda R2RJ45 – Pin4 Terminal TXRJ45 – Pin5 Terminal RXRJ45 – Pin6 Terminal MBusRJ45 – Pin7 Terminal GND o conexión a tierra. RJ45 – Pin8 Terminal VPP( RX2 en el diagrama)

Terminal – BSI placa protoboard, derecha de R1Terminal – GND o conexión tierra

placa protoboard, izquierda de R1


Finalmente:


Obtener el DUMP:

La interpretación o análisis de este vertido no es una tarea sencilla y depende del fabricante del terminal de telefonía. Por tanto, lo primero que debemos realizar es ampliar la búsqueda de información sobre el terminal, incluso con la web de los fabricantes.

El dump se encuentra en formato hexadecimal, donde la información se estructura en tres items básicos, Key, Sub-Key y Data:

/Análisis de la prueba digital

Técnica utilizada – ingeniería inversa!

- Tener un terminal idéntico.

- Realizar un dump del terminal sin información almacenada, y otros vaciados donde hemos introducido datos en el terminal.

- Realizar una comparación de los dump para encontrar los cambios que se producen en la información contenida en el campo Data anteriormente descrito, y poder ubicar de esta manera en qué Keys y Sub-Keys se guarda la información que hemos introducido previamente en el terminal.

- Podemos utilizar notepad++, Kdiff3, WinMerge, etc.


Código de Seguridad del Teléfono Móvil

Nokia serie 40 Versión 3 Key 308 Sub-Key 5


Tarjetas SIM introducidas

Última SIM insertada en el teléfono móvil -> Key 117, Sub-Key 5 (ICC-ID) y 6 (IMSI).


ICC-ID (Integrated Circuit Card ID) es un número de serie que identifica aspectos tales como el chip, el código del país y el operador de telefonía móvil. Este número está almacenado en la tarjeta SIM, así como grabado o impreso en el cuerpo de plástico de la misma. Está formado por una serie de 19-20 dígitos.

IMSI (International Mobile Subscriber Identity) es un número de la identidad internacional de un abonado inscrito en una tarjeta SIM. Las tarjetas SIM se identifican en sus redes móviles individuales mediante un IMSI único. Los operadores de telefonía móvil conectan las llamadas a teléfonos móviles y se comunican con sus tarjetas SIM comercializadas usando su IMSI.



Última SIM insertada en el teléfono móvil -> Key 117, Sub-Key 5 (ICC-ID) y 6 (IMSI).

ICC-ID

IMSI



Técnica "reverse-nibble": alteración del orden de los caracteres o semioctetos

ICC-ID = 8934188211207859876

IMSI = 214180000785987


Histórico de las tarjetas SIM introducidas

Key 66 y buscar las Sub-Keys donde el valor empiece por 98

[66]

88=984381191102067620F7984381191102067620F7984381191102067620F7FFFFFFFFFFFFFFFFFFFF984381191102067630F5984381191102067620F7

88=984381191102067620F7984381191102067620F7984381191102067620F7FFFFFFFFFFFFFFFFFFFF984381191102067630F5984381191102067620F7


Lista de contactos [Key 58]

7 contactos!


Lista de contactos [Key 58] [SubKey 0]

0=02000447010059006F000A0B0300000000099959637350

02 indica núm. de registros que tenemos (metadatos/datos).

00044701 Los 4 primeros caracteres indican la longitud de los datos (0004 indica que tiene un tamaño de 4 bytes, o en nuestro caso 8 caracteres semioctetos). El resto de caracteres hacen referencia al tipo de datos (nombre, apellidos o teléfono).

0=02000447010059006F

0059006F Estos 4 bytes son la primera información que tenemos, y si sacamos los 00 y lo ponemos en un convertidor de hexadecimal a ascii obtenemos "Yo" (nombre del contacto).

000A0B03

000A0B03 Los 4 primeros caracteres indican la longitud de los datos (000A indica que tiene un tamaño de 10 bytes, o en nuestro caso 20 caracteres semioctetos). El resto de caracteres hacen referencia al tipo de datos (nombre, apellidos o teléfono).

00000000099959637350

00000000099959637350 Este campo guarda el número de teléfono del contacto, el cual es 995963735.


Lista de contactos [Key 58]


Lista de llamadas / Llamadas realizadas [Key 59]0=03000A0B010001000009993AA229600008130207DD030C0A0B1B01000544030000000602

0=03000A0B010001000009993AA229600008130207DD030C0A0B1B01000544030000000602

0B01 0B[número de teléfono] / 01[número de registro]0001000009993AA22960 993AA2296[número de teléfono]

1302 13[fecha y hora de la llamada] / 02[número de registro]07DD030C0A0B1B01 12/03/2013 10:11:2707DD030C 07DD (año 2013) 03 (mes 3) 0C (día 12)

0A0B1B01 0A (hora 10) 0B (min. 11) 1B (seg. 27)

4403 44[duración de la llamada] / 03[número de registro]0000000602 6 segundos (no tener en cuenta 02 final)


Lista de llamadas

Codificación de tipos de datos:

1302 fecha y hora de la llamada (pueden ser varios registros)0B01 número de teléfono

4403 duración de la llamada0704 nombre del contacto si esta en la agenda

Codificación de tipos de datos:

Llamadas realizadas [Key 59]

Llamadas perdidas [Key 60]

Llamadas recibidas [Key 61]


Notas en el calendario [Key 51]

0=0000000207D8051B080000000000000000000000000002000000000007BC010100000000800001FBFFFFFFFFFFFF00200000000900000000000000000043007500720073006F0020006100620070

0=0000000207D8051B080000000000000000000000000002000000000007BC010100000000800001FBFFFFFFFFFFFF00200000000900000000000000000043007500720073006F0020006100620070

7D8051B08000000 07D8 (año 2008) 05 (mes 5) 1B (día 27)

43007500720073006F0020006100620070 “Curso abp”


Configuración bluetooth [Key 202]

SubKey 4 Nombre del terminal

SubKey 5 Conexiones guardadas

4=0046006F0075007A00200064006500760000000000000000000000000000000000000000000000000000

Pasar valor hexadecimal a ASCI “Fouz dev”

Pasar valor hexadecimal a ASCI “Ford Audio”

0046006F0072006400200041007500640069006F


Lista de mensajes SMS - OS s40

[Key 140] mensajes SMS, el mensaje codificado en PDU (Protocol Data Unit)

[Key 143] Status del SMS

01 = leído02 = carpeta de entrada (inbox)03 = enviado04 = carpeta borrador (saved)05 = carpeta enviado07 = No enviado

[143]1=0102

mensaje leído (01) y ubicado en la carpeta de entrada (02)



[140]1=02025B000101004C0400008011602152134055555503820C01080B914399999031F4820C020807914399999998F580241E22D337FB0DA29741F17A599E0E83C8613988FD9E83C4F5B2FB3D0791D361395555

02025B000101004C0400008011602152134055555503820C01080B914399999031F4820C020807914399999998F580241E22D337FB0DA29741F17A599E0E83C8613988FD9E83C4F5B2FB3D0791D361395555

Dos partes diferenciadas, cabecera (98 caracteres) + mensaje codificado:



02025B000101004C0400008011602152134055555503820C01080B914399999031F4820C020807914399999998F580241E

801160215213 fecha y hora del SMS “reverse-nibble”

081106122531 06/11/2008 12:25:31

914399999031F4 teléfono del remitente “reverse-nibble”

1934999909134F +34999909134

914399999998F5 telefono SMSC (Short Message Service Center) “reverse-nibble”

914399999998F5 +34999999895

SMSC = http://es.wikipedia.org/wiki/Short_Message_Service_Center



22D337FB0DA29741F17A599E0E83C8613988FD9E83C4F5B2FB3D0791D361395555

Para poder ver el texto asociado a este mensaje, podemos usar cualquier herramienta online para hacer esta tarea, como por ejemplo "Online PDU Encoder and Decoder" en la dirección http://twit88.com/home/utility/sms-pdu-encode-decode

Antes de la información a decodificar, cabecera de 9 campos:01 11 11 11 02 1111 00 00 11, donde:01 = 1 º campo, corresponde a la longitud del SMSC en bytes.11 = 2 º campo, corresponde al teléfono SMSC.11 = 3 º campo, tipo de PDU.11 = 4 º campo, número de referencia, es un valor indiferente.02 = 5 º campo, longitud del teléfono en nibbles y sin los 2 primeros.1111 = 6 º campo, teléfono.00 = 7 º campo, protocolo de identificación.00 = 8 º campo, codificación.11 = 9 º campo, periodo de vigencia del SMS.



0111111102111100001122D337FB0DA29741F17A599E0E83C8613988FD9E83C4F5B2FB3D0791D361395555


Multimedia ( imágenes, videos, sonidos, etc… )

NO se ha podido extraer la información multimedia realizando dumps lógicos del terminal!!

/Herramientas cellebrite i comparativa

Existen herramientas comerciales, como UFED, que permiten realizar la extracción de información forense de diferentes terminales.

/Informe pericial

El elemento central de nuestra función como perito es la realización de la prueba pericial, que comprende tanto el informe pericial como las variadas intervenciones procesales de los peritos.

El informe se ha de centrar en los conceptos clave según los extremos solicitados, y debe ser muy objetivo, sin caer en la tentación de hacer disertaciones sobre teorías no probadas o sin base suficiente.

/Informe pericial

• El estudio previo de la documentación e identificación de las pruebas periciales solicitadas.

• La búsqueda de información, datos y otras pruebas asociadas a cada pericial.

• El desarrollo de las conclusiones.

Características

Metodología estándar

• Preciso, sencillo y conciso.• Estructurado.• Técnico.• Imparcial.• Fundamentado.

/Informe pericial

Forma y contenido

• Portada.• Índice.• Presentación y partes implicadas.• Antecedentes.• Objeto del informe.• Fundamentos teóricos y métodos o procedimientos aplicados.• Resultados de las actuaciones.• Conclusiones.• Anexos.

/sudo shutdown –h now

Preguntas ¿?

pinout & flashing a nokia phone · dispositivo móvil con el fin de asegurar, identificar,...

Documents