6 jun 2013

Herramientas forense para ser un buen CSI. Parte XXV: Forense en SIM II de IV

Buenas a todos, hoy continuaremos con la segunda parte de nuestra cadena sobre Forense en SIM. En el pasado artículo hablamos sobre la información almacenada en las tarjetas SIM. Hoy nos centraremos en la clonación de las mismas, y en el acceso a los datos almacenados en ellas.

Es importante tener claro el concepto de que copiar una SIM no es lo mismo que clonarla. Al igual que no es lo mismo realizar una imagen de un disco duro, que un clon bit a bit :)

  • Copiar: es el proceso realizado por el fabricante donde genera un nuevo IMSI (International Mobile Subscriber Identity) y KI (clave de autenticación) de una tarjeta. Procedimiento para generar una nueva tarjeta copiando contenido de la anterior.
  • Clonar: es la reproducción exacta de una tarjeta con el mismo IMSI y KI de la original.

Existen en el mercado muchas clonadoras de tarjetas SIM, y no son caras. Estos aparatos nos permitirán clonar una SIM sin el PIN y generando una nueva SIM con toda la información disponible. Pero para este proceso necesitaremos lo siguiente:

  • ICCID: Integrated Circuit Card Identity
  • IMSI: International Mobile Subscriber Identity

Sin embargo, el acceso a estos identificadores no requieren que dispongamos del PIN de la tarjeta SIM, por lo que no hay que preocuparse, y obtenerlos es tan sencillo como leer una tarjeta sim con un lector USB. Lo iremos viendo proximamente.

Una de las clonadoras más conocidas del mercado es la XRY SIM id-Cloner, como veis no tiene un aspecto muy diferente al de un lector de tarjetas SIM común.

Os dejo a continuación con la presentación que realiza el fabricante:

XRY SIM id-Cloner

When examining GSM based mobile phones the forensic examiner is faced with two challenges:

1) Under the original GSM standards a mobile phone is required to have a SIM card inserted before it will allow full access to the operating system and function normally.

2) If a GSM device is turned on with a live SIM card inserted, then it will attempt to make a network connection and the risk of data contamination occurs.

The SIM id-Cloner card system solves these problems. It will prevent a GSM network connection without effecting the normal operation of the device allowing an examiner to perform a logical extraction. It will also be of assistance to examiners faced with a mobile phone which does not have the original SIM card present.

Under the GSM standards a mobile device should delete the call history if it detects that a new SIM card has been inserted into it. An examiner who has a mobile without a SIM card can use SIM id-Cloner to create a duplicate SIM card containing the same critical information as the original SIM, which will then give access to the handset without causing the device to delete the call history list. Please note that the examiner needs either the ICCID or IMSI, which normally requires a contact with the mobile network operator to perform this function.

This product is supplied as part of the XRY Logical system as standard, it can however be purchased separately if required.

Una vez que ya tengamos la SIM clonada, utilizaremos una serie de herramientas para analizarla. Yo suelo hacer uso de las siguientes:

  • MOBILedit!
  • SIM Manager
  • SIMSpy

Hay muchas otras en el mercado, pero estas son algunas de las más sencillas de utilizar. Las iremos explicando en los próximos artículos, pero antes es necesario que aprendamos unos conceptos previos.

¿Qué es el ICCID (Integrated Circuit Card ID)?

Es el número de serie que el fabricante da al chip (formado por hasta 19 dígitos)

  • Dirección del Expedidor (IIN): (7). País, operador y red. Se desglosa en:
    • Identificador de Actividad Industrial (MII): (2). Industria. (Telecomunicaciones: 89).
    • Código de país: (1-3). País. (España: +34).
    • Identificador del emisor: (1-4). Expedidor. (España: 2 dígitos).
  • Numero de identificación de cuenta individual
  • Cifra de control de Luhn: (1). Checksum control de errores

¿Qué es el IMSI (International Mobile Subscriber Identity)?

Es el código de identificación único para identificarse en redes GSM y UMTS y está formado por hasta 15 dígitos:

  • Código de país (MCC): (3). País. (España: 214).
  • Código de operador de red (MNC): (2-3). Operador de red.
  • Código de estación móvil (MSIN): (9-10). Identificador del operador para cada línea de sus clientes
Cuando el teléfono se enciende envía su IMSI al operador de la red solicitando acceso y autenticación. Entonces el operador de la red busca en su base de datos el IMSI y la clave de autenticación (Ki) relacionada. El operador de la red genera un número aleatorio y lo firma con la Ki de la SIM, generando así un número conocido como SRES_1 (Signed Response 1, ‘Respuesta Firmada 1’). El móvil cliente de la red envía el RAND a la tarjeta SIM, que también lo firma con su Ki y envía el resultado (SRES_2) de vuelta al operador de la red. El operador de la red compara su SRES_1 con el SRES_2 generado por la tarjeta SIM. Si los dos números coinciden, la SIM es autenticada y se le concede acceso a la red.

¿Qué es el Location Area Identify (LAI)?

Las redes de operadores se dividen en áreas locales, cada una tiene un LAI único. Si el móvil cambia de área, registra el LAI en la SIM y la envía al operador. Cuando se apaga y se enciende, lo recupera de la SIM y busca el LAI donde estaba.
Consta de:
  • Código de país (MCC): 3 dígitos. País. (España: 214).
  • Código de operador de red (MNC): 2-3 dígitos. Operador de red
  • Código de área de localización (LAC): 5 dígitos. Zona de ubicación.

Eso es todo por hoy, en el próximo artículo veremos como recuperar toda esta información de una tarjeta SIM :)

Saludos!

1 comentario:

  1. [...] En primer lugar veremos como extraer el código ICCID, del que hablamos la pasada semana: http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xxv-forense-en-sim-ii-de-... [...]

    ResponderEliminar