Menú principal

lunes, 25 de abril de 2011

Los datos de tu iPhone copiados en 2 minutos, como hacen la policia, los espías, los malos y los analistas forenses

La empresa Cellebrite Mobile Data Secured ha lanzado al mercado una solución que permite extraer y analizar la información de más de 2500 teléfonos móviles y dispositivos GPS. La tecnología de Cellebrite ofrece un servicio con las mayores prestaciones en materia de análisis forense en dispositivos móviles y es utilizada, entre otros, por militares, las fuerzas del orden y las administraciones públicas de todo el mundo.

La historia de este tipo de tecnología en la luz pública aparece cuando se comprueba que la Policía Estatal de Michigan ha estado utilizando este dispositivo móvil, denominado UFED, de alta tecnología forense que puede extraer información de los dispositivos móviles, todo en menos de 2 minutos.

UFED es un dispositivo de mano que los funcionarios de Michigan utilizan desde Agosto de 2008, con ello copian la información de los teléfonos móviles pertenecientes a los automovilistas que se detuvo por violaciones de tráfico de importancia baja. El dispositivo puede eludir restricciones de contraseña y extraer los datos del teléfono, ya sean ocultos o no, historial de llamadas, mensajes de texto, contactos, imágenes y etiquetas geográficas. Las copias pueden ser almacenadas en tarjetas SD o en memorias Flash USB.

Productos de análisis forense

Existen distintos modelos de UFED, cada uno con distintas funciones. El primero del que hablaremos es UFED Physical Pro. Es un potente módulo de software que mejora el sistema UFED con capacidades de extracción física y análisis. Aplica los métodos de extracción y las técnicas de análisis de última generación de Cellebrite. El motor de Physical Pro es capaz de clasificar y recuperar datos críticos como los códigos de bloqueo de los usuarios y datos borrados, como por ejemplo, mensajes de texto, historial de llamadas, imágenes y video.

El segundo trata de UFED ruguerizado que es portátil, rápido y de fácil manejo. Incorpora su propio maletín para poder transportarlo de manera rápida y oculta. Cuenta con una batería recargable interna para alimentación autónoma, que facilita trabajar con total liberta e incluso en los lugares más dinstantes. El kit UFED ruguerizado de Cellebrite es una solución integral incorporada en un maletín robusto para su transporte seguro y que incluye: un dispositivo UFED ruguerizado, un rápido cargador universal de teléfono, más de 85 cables para datos, una unidad flash USB y otros accesorios de misión crítica. Los datos se extraen a una unidad flash USB o a una tarjeta SD y se organizan en informes claros y concisos. Los datos pueden exportarse fácilmente a los formatos de las principales herramientas de prospección de datos y análisis de enlaces, constituyéndose así en el sistema de obtención y análisis de datos más rápido y eficaz existente.

El tercero trata del kit estándar de UFED. El sistema UFED es capaz de extraer datos fundamentales del 95% de todos los teléfonos móviles actuales del mercado, incluidos los smartphones y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian, iPhone y Google Android). El UFED resulta sencillo de utilizar sobre el terreno sin necesidad de ordenador y puede almacenar centenares de agendas telefónicas y contenidos en una tarjeta SD o una unidad flash USB.

El UFED es compatible con todas las interfaces de dispositivos móviles conocidas, incluidas las interfaces serie, USB, de infrarrojos y Bluetooth. El material extraído puede llevarse posteriormente al laboratorio forense para su examen y verificación mediante la herramienta de exportación y análisis. Cellebrite trabaja exclusivamente con la mayoría de operadoras del mundo, como son Verizon Wireless, AT&T, Sprint/Nextel, T-Mobile, Orange France y Telstra Australia, así como otras ochenta operadoras más. De este modo garantizamos la compatibilidad de los futuros dispositivos antes de su comercialización.

A quién va dirigido

UFED puede ser adquirido, a priori, por cualquier persona dispuesta a invertir su dinero en este dispositivo. Pero normalmente, son las fuerzas de seguridad del estado, cuerpos militares, administraciones públicas quienes los adquieren. Además, puede ser interesante para una empresa de vigilancia contar con este tipo de dispositivos, o por qué no, una empresa de seguridad que ofrezca servicio de backup externo a sus empleados en los dispositivos móviles.

También, podría utilizarse como dispositivo de backup a los móviles de una empresa, y de este modo poder restaurar de manera sencilla y rápida los móviles de los empleados o móviles corporativos.

Apple el primero de la lista 

Dentro de la web del fabricante, es posible acceder a unos vídeo-tutoriales que explican como funciona el producto.

En la siguiente imagen se puede observar como el dispositivo nos da la posibilidad de elegir el fabricante del dispositivo que se va a copiar o realizar el proceso forense. Y en primer lugar se puede observar que Apple, como era de esperar debido a la importancia de hoy en día en el sector, están contemplados en la lista de dispositivos soportados por UFED.

¿Qué modelos de Apple soporta?

En la página web del producto se puede acceder a la lista completa de terminales soportados. Centrándonos en los modelos de Apple, la lista es larga, y solo se echa en falta iPad 2.


No es esta la única solución profesional que existe para realizar análisis forense a los dispositivos móviles, pero viendo las herramientas disponibles hoy en día, la posibilidad de poder contar con soluciones de cifrado de disco completo, ayudaría a la privacidad de los usuarios, sobretodo, visto que se guardan sin cifrar contraseñas de servicios y datos GPS de movimientos de los usuarios.

16 comentarios:

  1. "Y en primer lugar se observa a Apple, si señor, quieren ser los primeros en todo, y ahi los tienen dispuestos a dejarse 'meter mano' con UFED."

    O, simplemente, están los primeros porque es una lista ordenada alfabeticamente. :)

    ResponderEliminar
  2. @Maria Rosa, si miras el link, verás que hay muchos antes que Apple. Sin embargo, iPhone es el primero, "metafóricamente hablando", porque es el que más cuota de mercado tiene, no porque sea peor que los demás... ¡Aunque debería permitir cifrar el disco ya!

    Saludos!

    ResponderEliminar
  3. Para lectores incautos.

    Lo de lo "2 minutos", es reuniendo una serie de "condiciones" que el "redactor", se "olvida" mencionar.

    La condición fundamental, es tener acceso físico al ordenador de sincronización iTunes, del terminal (si existe), nada una tontería, al alcance de estos CSI ilustrados...
    Y claro rezar, en el caso de conocerlo o encontrarlo, que no este el backup del terminal, encriptado.

    Es más, si esas "condiciones" no se dan, el Cellebrite no puede hacer absolutamente nada con el terminal, bloqueado con código. Como todos los productos de este tipo.

    Por cierto, la mayoría de estas herramientas, no tienen ningún problema, con terminales iOS jailbrekeados. Otra "razón", para justificar y aconsejar su realización....

    Existe un método, valido, para realizar un análisis forense, para de ciertos terminales iOS, pero aunque los lectores de este "blog", se merecerían esta información, no la merecen sus propietarios.

    Lo de este "blog", prefiero no calificarlo. Las "piruetas" dialécticas para justificar el "jailbreak", sin que se note la contradicción con el termino "seguridad", las diferencias de trato con los productos Microsoft (del que Informática64 son distribuidores), del que nos "informan" como comprarlos, pero no, como "jailbrekearlos", etc.

    Me he contenido en otros, digamos "artículos", pero este no lo podía pasar, lo siento..

    ResponderEliminar
  4. Esto de acuerdo contigo. ¿Y los PDA basados en Windows permiten cifrado?

    ResponderEliminar
  5. @dekkar. Con acceso físico, tal y como se hace siempre un análisis forense, se puede acceder siempre al disco, aunque sea haciendo jailbreak. No es necesario acceder al backup de iTunes. En el caso de la policía, tienes que desbloquearlo.

    Hacer un jailbreak significa explotar una vulnerabilidad, algo que está dentro de nuestros objetivos. En ningún momento recomendamos hacer o no el jailbreak, como hablamos en el articulo de pros y contras.

    Recomendar no hacer el jailbreak también tiene problemas de seguridad. A todos los usuarios iPhone 3G le conviene hacer jailbreak e instalar antid0te después del abandono de Apple.

    A los que quieran parar el registro GPS en consolidares.mdbd les conviene hacer jailbreak, y a los que quieren instalar hacking y pentesting tools también.

    Este blog no hablande Microsoft porque está centrado en Apple.

    Si no te gusta algo, puedes seguir comentando.

    Saludos.

    ResponderEliminar
  6. @Maria rosa, quieres una lista de smartphones que cifran?

    ResponderEliminar
  7. @Maligno, sólo un sí o un no, gracias :)

    ResponderEliminar
  8. "@dekkar. Con acceso físico, tal y como se hace siempre un análisis forense, se puede acceder siempre al disco, aunque sea haciendo jailbreak. No es necesario acceder al backup de iTunes. En el caso de la policía, tienes que desbloquearlo. "

    El "jailbreak" invalida la prueba forense, ya que varias sentencias judiciales de cortes americanas, lo consideran "manipulación de prueba."
    Sino nadie se tomaria, las molestias, de investigar "métodos" como el del "Cellebrite".

    Sobre lo de Microsoft, me referia a los blogs de Informatica64, a la que este blog pertenece.

    A ver, ¿que costaría, hacer este articulo, pero sin olvidar esos "detalles"?

    Es que no lo acabo de entender, o si??? MS WinPho 7 ???? quizás por ahí van los tiros...

    ResponderEliminar
  9. "@dekkar. Con acceso físico, tal y como se hace siempre un análisis forense, se puede acceder siempre al disco, aunque sea haciendo jailbreak. No es necesario acceder al backup de iTunes. En el caso de la policía, tienes que desbloquearlo. "

    Releyendo este párrafo no acabo de entenderlo..., eso, o los del Cellebrite, son unos inútiles, mira que no saber lo del "jalbreak".....

    ResponderEliminar
  10. @Dekkar, yo he estado en varias investigaciones y como perito y si bien no se pueda tomar como prueba por el principio de "perturbación del entorno", cualquier conexión produce lo mismo. En España se han admitido con informes periciales hechos por peritos y, en los que no, se toma como indicio, que si bien no es una prueba sirve para argumentar el juicio. Esto vivido en primera persona.

    Respecto a este blog, está totalmente centrado en Apple e incluso, en los expedientes de seguridad de Adobe o VLC player ni se linkan las descargars Windows, solo las descargas Apple.

    Y, aprovechando para contestar también a @Maria Rosa. Sé que tu tienes tu guerra declarada personal a Microsoft, pero este blog tiene que ver con Apple.

    Si tienes interés yo tengo un Windows Mobile tuneado con una ROM cambiada y cifrado de disco y en BlackBerry se puede hacer de serie.

    El artículo está centrado en iPhone, porque iPhone es el objetivo de nuestro blog. También sirve para BlackBerry y Nokia esta utilidad, pero el autor del post ha centrado el post a iPhone porque este blog va sobre eso.

    No hemos hablado del tracking GPS de Android ni el jailbreak de WP7 porque no es el target de este blog. Este es un blog vertical.

    Si queréis escribir en este blog, nosotros estaremos encantados de publicaros vuestros artículos. Solo hay que cumplir dos requisitos: Hablar de seguridad y tener que ver con Apple.

    Solo hay una excepción... que sea divertido.

    @Dekkar, quieres escribir algo sobre porqué no hacer jailbreak? Tienes abierto nuestro espacio.

    @Maria Rosa, ¿quieres una comparativa de Seguridad de móviles? Haz una entre Andorid, iPhone, BlackBerry y WP7 y te la publicamos.

    Saludos!

    ResponderEliminar
  11. @Dekkar, hemos cambiado la frase que no os gustaba, ya que no aportaba nada al artículo más que una opinión, quizá poco acertadametne expresada.

    Saludos!

    ResponderEliminar
  12. @Maligno

    La pregunta es clara: ¿los PDA basados en Windows permiten cifrado?

    Sí o no, por favor. No se por qué no me respondes...

    Gracias.

    ResponderEliminar
  13. @Maligno

    "Y, aprovechando para contestar también a @Maria Rosa. Sé que tu tienes tu guerra declarada personal a Microsoft, pero este blog tiene que ver con Apple."

    La diferencia es que a mi no me paga Apple :-)

    ResponderEliminar
  14. @Maria Rosa, perdona, creía que te había contestado con suficiente claridad, pero te lo vuelvo a contestar. Windows Mobile viene con cifrado de datos desde las primeras versiones y permite instalar aplicaciones de cifrado de disco desde hace tiempo:
    - Cifrado de datos: http://msdn.microsoft.com/en-us/library/bb416357.aspx

    - Cifrado de discos virtuales: http://www.wikihow.com/Encrypt-Data-on-Your-Windows-CE-or-Windows-Mobile-PDA. Como esta tienes bastantes.

    - Securebox: http://www.aikosolutions.com/encryption/secubox-encryption-vs-windows-mobile-encryption/

    El mío, sin ser un experto en dispostivos móviles está cifrado entero. De WindowsPhone7 no tengo ni puta idea porque aún no lo he usado y los BlackBerry lo traen también.

    De nuevo, vuelves a actuar como los políticos intentando convertir esto en un guerra troll de "y tú más", cuando realmente lo que hagan los demás nos trae al pairo en este blog, que está centrado en Apple y solo nos interesa iPhone.

    Si me pides mi opinión personal, creo que BlackBerry, tiene muchas mejores opciones de seguridad para entornos corporativos que iPhone, pero es una opinión personal y no escribimos SecuridadBlackberry porque no nos interesa.

    Ahora que te he contestado ¿querías sacar alguna conclusión o solo leerme un rato más?

    Saludos!

    Saludos!

    ResponderEliminar
  15. Entonces, si tiene cifrado, ¿por qué se cita en el artículo esto?

    "El sistema UFED es capaz de extraer datos fundamentales del 95% de todos los teléfonos móviles actuales del mercado, incluidos los smartphones y dispositivos PDA (Palm OS, Microsoft,"

    Te lo creas o no, mi interés no es llevarte la contraria, sino aprender.

    ResponderEliminar
  16. @Maria Rosa, símplemente porque necesita tener unos conectores, ajustar el software y reconocer el formato de sistema de ficheros, pero si el teléfono está cifrado es como si se copia un disco en un equipo con TrueCrypt.

    En el futuro Apple cifrará el HD porque es el camino correcto. ¿Apostamos?

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares