5 jul 2013

Herramientas forense para ser un buen CSI. Parte XXVIII: AnálisisForense de navegadores GPS Tomtom (I de IV)


Buenas a todos, volvemos con nuestra cadena Herramientas forense para ser un buen CSI, para hablaros en las próximas cuatro entregas sobre como realizar un peritaje forense a un navegador GPS de marca Tomtom. Para esta labor vamos a necesitar los siguientes elementos:
  1. Lector de tarjetas SD
  2. Jaula de Faraday (podéis construiros una fácilmente con una caja de zapatos y papel de aluminio). Su objetivo es evitar que el GPS se conecte con los satélites y altere los datos de la memoria. Hablaremos de ello más adelante.
  3. Software para adquisición de imágenes de disco. Yo utilizaré la distribución de análisis forense Caine y el software Guymager
  4. Software para abrir imágenes en formato dd. Yo utilizaré la herramienta FTK Imager (para Windows)
  5. Un editor de texto. Yo haré uso de notepad++
¿Sencillo de conseguir verdad?Para que os sirva de ejemplo, a continuación os mostramos la jaula de faraday que hemos construido nosotros. Para ello simplemente hemos forrado una caja de zapatos con papel albal y celo, y hemos hecho un pequeño orificio en la parte inferior para pasar el cable Usb que conectará el GPS al PC. Es importante que sea lo más pequeño posible, para evitar que se pierda el aislamiento del contenido.
Para comprobar que la jaula funciona correctamente, y no deja pasar ninguna onda electromagnética, os recomiendo introducir en ella una radio con una emisora sintonizada. Si tras cerrar la tapa se deja de oír completamente la emisora, es que el papel de aluminio está parando las ondas, y por tanto, la jaula de faraday cumplirá su función.
Bien, ya tenemos todo el material preparado. El siguiente paso será comprender que tipo de información es almacenada en los dispositivos GPS para saber de antemano que nos interesará recuperar durante un peritaje.
A continuación os listamos los datos principales que podremos encontrarnos en un Tomtom:
  • Datos básicos del GPS y del usuario: Como por ejemplo su número de serie y de modelo, versión del firmware y de los mapas.
  • Localizaciones registradas: La casa del dueño del GPS, viajes y destinos.
  • En caso de que el Tomtom se  encontrase instalado en un teléfono móvil, podríamos tener acceso al listado de llamadas y mensajes de texto (aunque no es el caso de nuestro dispositivo)
  • Los GPS Tomtom permiten agregar datos de contactos, y por tanto, podrán ser recuperados durante el peritaje. Aunque no es habitual que estos datos sean rellenados por los usuarios, siempre es importante analizarlos por si acaso.
  • Conexiones Bluetooth realizadas (con sus correspondientes MAC).
Ahora que ya tenemos claro los datos que podemos recuperar, toca plantearnos el tipo de GPS con el que nos encontramos. ¿Tiene memoria interna, o utiliza una tarjeta SD? Si el dispositivo tiene tarjeta SD la tearea se facilita. Es el caso de PDAs, móviles con tarjetas y algunos dispositivos Tomtom. En este caso no se debe encender el dispositivo bajo ningún concepto, ya que sobrescribirá información acerca de su posición, alterando el escenario. Y bastará con extraer la tarjeta SD, bloquearla contra escritura para no alterar su contenido y realizar una imagen (por ejemplo en formato dd, como haremos posteriormente).Si el dispositivo no tiene tarjeta SD, no queda otra alternativa que conectar el GPS a un PC, y encenderlo, para poder realizar la adquisición de la imagen de la memoria. Ahora es cuando utilizaremos nuestra jaula de faraday, donde introduciremos el terminal para evitar que el GPS se conecte a los satélites y actualice su posición.Una vez que tenemos claro el escenario, ¡comencemos!En nuestro caso, teníamos un Tomtom One 3ª edición con 1GB de memoria interna. Por lo que tuvimos que recurrir a la opción de la jaula de faraday.Arrancamos Caine y conectamos el GPS al PC. Deberíamos verlo como si se tratase de un pendrive.

Ahora abriremos Guymager, y seleccionaremos la partición del Tomtom. Pulsaremos sobre ella botón derecho de ratón y seleccionaremos la opción "adquirir imagen":

Ahora se nos desplegará el siguiente menú, donde deberemos indicar que queremos realizar una imagen en formato dd, sin cortes, y finalmente que nos calcule el hash Sha-256:Para adquirir 1GB de imagen a nosotros nos ha llevado 45 minutos:




Una vez realizada la adquisición de la imagen, nos la llevaremos por ejemplo en un pendrive para analizarla desde un Windows con FTK Imager. Para ello recordad que las distribuciones de Linux orientadas a Análisis Forense mapean por defecto los discos como lectura, y no como escritura para evitar contaminar las evidencias. Por lo que os tocará montarlo a mano:


Eso es todo por hoy, el próximo día comenzaremos a analizar nuestro dd.Saludos!

7 comentarios:

  1. [...] Herramientas forense para ser un buen CSI. Parte XXVIII: Análisis Forense de navegadores GPS Tomtom (I de IV):... http://t.co/nL4jZpql4E  [...]

    ResponderEliminar
  2. [...] Buenas a todos, volvemos con nuestra cadena Herramientas forense para ser un buen CSI, para hablaros en las próximas cuatro entregas sobre como realizar un peritaje forense a un navegador GPS de marca Tomtom. Para esta labor vamos a necesitar los siguientes elementos:Lector de tarjetas SDJaula de Faraday (podéis construiros una fácilmente con una caja de zapatos y papel de aluminio). Su objetivo es evitar que el GPS se conecte con los satélites y altere los datos de la memoria. Hablaremos de ello más adelante.Software para adquisición de imágenes de disco. Yo utilizaré la distribución de análisis forense Caine y el software GuymagerSoftware para abrir imágenes en formato dd. Yo utilizaré la herramienta FTK Imager (para Windows)Un editor de texto. Yo haré uso de notepad++  [...]

    ResponderEliminar
  3. Perdón, deben ser las horas. Tengo un GPS Tomtom pero no entiendo la finalidad de realizar este peritaje :/ Normalmente hago un backup de pascuas a ramos para no perder datos. ¿Es para analizar un Tomtom de alguien que haya cometido algún delito, sea víctima de algo o similar?.Si me podéis explicar...Gracias.

    ResponderEliminar
  4. Hola Trinity, ha habido muchos casos investigados por los cuerpos policiales que han sido resueltos gracias al análisis forense de dispositivos GPS. Son muy útiles para ver donde se encontraba el posible delincuente a la hora del crímen, los últimos viajes que ha realizado. También en casos de violencia de género, para ver si se ha acercado a la víctima teniendo una orden de alejamiento. Si el dispositivo GPS tiene posibilidad de llamada, bt, etc. puede registrar contactos como si fuese un móvil, etc. etc. Pero resumiendo, efectivamente su objetivo suele ser una investigación policial en un alto porcentaje de los casossaludos!

    ResponderEliminar
  5. Muchas gracias, perfectamente aclarado!.Chulísima la jaula de Faraday :)P.D.- ¿Habría forma de poder suscribirse a los comentarios? Si no entro expresamente no leo tu respuesta.

    ResponderEliminar
  6. [...] Herramientas forense para ser un buen CSI. Parte XXVIII: Análisis Forense de navegadores GPS Tomtom (I de IV) [...]

    ResponderEliminar