PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
Celular, un testigo silencioso
1. 1/40
Celular, un testigo
posible y silencioso
por María Andrea Vignau
Investigación de un caso de
femicidio, realizado con el uso de
tecnología forense.
3. 3/40
Investigación judicial
● Febrero 2017
● Barranqueras, Chaco
● La madre deja a su hija
a las 4:00 AM viva
● A las 10:30, el padrastro
la encuentra muerta
● No se encuentra su
teléfono móvil.
4. 4/40
Investigación judicial
● Se investiga el círculo
íntimo
● El fiscal no sabe en quién
confiar
● Se secuestran teléfonos
móviles
● Se conoce último
número de teléfono de la
víctima.
7. 7/40
Investigación judicial
IMSI
●
International Mobile
Subscriber Identity.
●
Identificador único de un
usuario de telefonía móvil.
Formado por:
– MCC = Mobile Country Code
– MNC = Mobile Network
Code
– MSIN = Seq serial number.
ICCID
● Integrated Circuit
Card ID
● Identificador de la
tarjeta SIM misma, el
“chip”
8. 8/40
Investigación judicial
● Obtenido el IMEI pudo
investigarse qué otros
números telefónicos
impactaron en el
dispositivo.
● Obtenida la
información, se tuvieron
2 sospechosos de
encubrimiento
9. 9/40
Investigación judicial
● Una vez interrogados,
denunciaron haber
adquirido el aparato por
OLX, y brindan nombre
del usuario vendedor.
●
Por OSINT, se determinó
el domicilio del vendedor
del teléfono.
11. 11/40
Pericias dispositivos móviles
● Un dispositivo puede ser
borrado o bloqueado a
distancia o por una app.
● Si está encendido, se lo
deja así, para preservar
evidencia volátil y evitar
bloqueos.
● Si está apagado, se lo
deja así.
13. 13/40
Pericias dispositivos móviles
● Se envuelve en papel
aluminio, al menos 3
capas.
● Efectiva y económica
Jaula de Faraday
● Existen bolsas
especiales, pero resultan
muy costosas.
14. 14/40
Pericias dispositivos móviles
●
Disponemos de UFED, de
la empresa israelí
Cellebrite, para extraer
información
● Hay alternativas como
XRY, Oxygen, Axiom, etc.
●
El sofware libre es escaso
y mal mantenido.
17. 17/40
Pericias dispositivos móviles
Sin presupuesto
usamos:
1)Intentar extracción por
bootloader sin
encender el teléfono
2)Extraer la tarjeta SIM o
usar modo Avión.
18. 18/40
Pericias dispositivos móviles
Extracción Física
● Utiliza un usuario
administrador o ROOT
● Método que más registros
obtiene.
● Puede recuperar registros
borrados y contraseñas,
archivos eliminados no
sobrescritos, etc
19. 19/40
Pericias dispositivos móviles
Extracción de sistema
de archivos
● Utiliza el sistema de
resguardo del dispositivo.
● Puede recuperar registros
borrados y contraseñas.
● Pueden recuperarse
paquetes de resguardo de
la nube.
21. 21/40
Pericias dispositivos móviles
Para asegurar la
integridad de los datos,
se utiliza funciones de
hash con la evidencia.
Función hash:
● Tiene como entrada un
conjunto de elementos,
que suelen ser cadenas, y
los convierte en un rango
de salida finito
● Actúa como una
proyección del conjunto
U sobre el conjunto M.
24. 24/40
Decodificando los datos de OLX
Campo objectKey
● Clave principal
● Similar a:
e4e7142f-04e7-4156-
a05c-d8c99d24e01e
● Sirvió para filtrar los
registros, determinando
los que son ítems
negociados
● Usamos la expresión
regular:
'....-..-..-..-....'
25. 25/40
Decodificando los datos de OLX
Campo objectDate
● Es fecha y hora de
creación del registro
● Es unix epoch* 1000,
localizado a UTC
26. 26/40
Decodificando los datos de OLX
Campo objectData
● Son todos los datos del
ítem negociable y los
chats asociados
● Está en formato JSON
27. 27/40
Decodificando los datos de OLX
● Descubrimos que
teníamos bien
identificadas:
– Latitud y longitud
– Fecha en formato ISO
– Título y descripción
– Varias imágenes
28. 28/40
Decodificando los datos de OLX
● Nos permitió ver los
mensajes.
● IsMine: significa que el
mensaje proviene del
celular donde está
instalada la app.
29. 29/40
Decodificando los datos de OLX
● Son los participantes de
las conversaciones.
● Nos permitió ver qué
usuarios estaban
conversando para
negociar un ítem.
30. 30/40
Decodificando los datos de OLX
● Las fechas de los
ítems estaban en
formato ISO
● Las de los mensajes
en enteros desde
unix epoch
● Y todo localizado en
UTC… no rescató la
biblioteca pytz
31. 31/40
Decodificando los datos de OLX
● Finalmente, para volcar
la información en
formato HTML,
creamos templates
usando JINJA2
32. 32/40
Decodificando los datos de OLX
● Finalmente, usando la
biblioteca pdfkit que
usa la aplicación
wkhtmltopdf,
pudimos generar un
reporte en formato
PDF.
36. 36/40
Investigación judicial
Denuncia del
homicidio
Obtención
del Nº abonado
de la víctima.
Oficio a telefónicas
Obtención del
IMEI
Informan
telefónicas
abonados con
este IMEI
Obtención
últimos
2 usuarios
Informan
usuario OLX
que les vendió
Allanamiento
del revendedor.
Secuestro de
14 teléfonos
móviles
Investigación
sobre cadena de
reventas
37. 37/40
Pericias dispositivos móviles
Secuestro de móviles
NO Encender
NO Apagar
Proteger con
Jaula de Faraday
Laboratorio
Herramientas forenses
UFED Cellebrite Axiom OxygenXRY
Poner modo avión
Extraer SIM
Intentar extracción
con bootloader Extracciones
posibles
Física
de Sistema de Archivos
Lógica{
Asegurar
con HASH
38. 38/40
Decodificando los datos de OLX
Extracción
Física
BBDD SQLite
olxMsgDatabase
Tabla
OBJECTS
3 campos
ObjectKeyObjectData ObjectDate
Selecciono
con
regexp
Convierto de
Unix Epoch a
LocalTime
JSON
Item
Messages
Senders
Conversión
de fechas
strptime
fromtimestamp
pytz.localize().
astimezone()
Genera HTML
usando Jinja2
Genera PDF con
wkhtmltopdf/pdftk
Python
39. 39/40
Celular, un testigo
posible y silencioso
por María Andrea Vignau
Agradecimientos por la
colaboración de mis compañeros:
- Facundo Martín Toledo
- Norma Alicia Lovey
40. 40/40
Celular, un testigo
posible y silencioso
por María Andrea Vignau
Ing en Sistemas de Información
Perito Informático Forense
Poder Judicial Chaco
Twitter: @mavignau
Telegram: @mavignau
GitHub: marian-vignau