Herramientas forense para ser un buen CSI. Parte XLVII: PhoneScoop

Buenas a todos, en el post de hoy volveremos con una nueva edición de herramientas forense para ser un buen CSI para hablaros sobre una de las fases más importantes que debemos realizar durante el análisis de un terminal móvil, "la búsqueda previa de información".

Cuando vayamos a realizar un análisis forense a un terminal móvil lo primero que deberíamos hacer es identificar el dispositivo con el que vamos a trabajar. Parafraseando a Sun Tzu "Si conoces al enemigo y te conoces a ti mismo, no deberás temer el resultado de cien batallas.  Si te conoces a ti mismo, pero no al enemigo, por cada victoria lograda también sufrirás una derrota.  Si no conoces ni al enemigo ni a ti mismo, sucumbirás en todas las batallas". Esta frase sin duda cobra más importancia en el análisis forense a un dispositivo móvil, ya que cuando realizamos un forense a un PC/Servidor con Windows, Linux, etc. después de unas cuantas periciales veremos que las tareas siempre son muy similares, y acaba siendo un sota, caballo, rey. Pero en el mundo de los smartphones y de las tabletas es otro cantar. Nos vamos a encontrar con infinidad de marcas y modelos, y por cada uno de ellos, versiones específicas del sistema operativo, lo que dificulta enormemente las labores de análisis.

Por tanto, es crucial conocer de antemano toda la información posible del móvil que analizaremos. Para ello yo suelo recurrir al sitio web de PhoneScoop.


En este sitio web podréis buscar las especificaciones de una gran variedad de terminales móviles, incluyendo sistemas operativos y versiones soportadas, lo que nos ayudará, entre otras cosas, a buscar si el terminal se puede rootear para acceder con los permisos suficientes para clonar sus particiones bit a bit y extraer toda la información posible.

También será interesante identificar previamente el software de sincronización y backup del terminal, por si nos hacemos con un backup durante el análisis forense, para poder extraer toda la información posibles del mismo (en Flu Project ya hemos visto algún ejemplo de ello, como por ejemplo para Blackberry o Symbian).

Una vez tengamos el terminal, antes de "meterle mano" debemos seguir recopilando información como posibles números de serie, etiquetas, etc. También debemos anotar la fecha y hora que aparezca en pantalla (si está encendido), así como fotografiar la pantalla.

Recordad que tan importante como el análisis forense, es la labor previa de enumeración de información. Y por supuesto no os olvidéis del fichero de cadena de custodia :)

Saludos!