Muy buenas a todos, los procesos de análisis forense digital de dispositivos móviles pueden convertirse en muchas ocasiones en verdaderas odiseas, debido a la gran variedad de marcas y modelos, sus importantes diferencias (aún teniendo el mismo sistema operativo base), y los requerimientos de root/jailbreak para poder acceder a ciertas partes del dispositivo (tal y como os hemos hablado largo y tendido en Flu Project). Por ello, recurrir a tecnologías que nos automaticen todo lo posible esta labor, es una necesidad, sobretodo para las empresas que todas las semanas necesitamos realizar algún forense a algún dispositivo móvil, o recuperar ciertos detalles de smartphones y tablets durante un pentest o Red Team.
Desde Zerolynx trabajamos con varias soluciones, y una de las que más nos gusta tirar es de UFED Cellebrite, del fabricante israelita Cellebrite Mobile Synchronization. Es una de las soluciones punteras del sector, junto a otras tecnologías propietarias como Oxygen Forensic, del fabricante Oxyen Forensics, dirigido bajo el paraguas de Oleg Federov y Oleg Davydov, y XRY, del fabricante sueco MSAB, y el que por cierto es uno de los más longevos, cuya compañía vio la luz hace 35 años. De todas estas soluciones os iremos hablando en posteriores artículos del blog.
Cellebrite ofrece su producto estrella bajo distintas posibilidades, algunas más adaptadas a fuerzas y cuerpos de seguridad, y otras más adaptadas al sector privado. A nosotros, la opción que más interesante nos resulta es la 4PC, ya que puede ser instalada en cualquier ordenador. Por ejemplo, nosotros la tenemos en una máquina portátil muy potente, lo que nos permite clonar y analizar dispositivos en poco tiempo, y desde cualquier lugar, sin depender del hardware limitado ofrecido en las soluciones hardware. Esto también permite cambiar simplemente el portátil cuando se quede obsoleto, sin tener que adquirir de nuevo la solución (la cual por cierto, tiene también un coste de mantenimiento anual).
La solución se compone de 3 partes principales (entre otras muchas), por una lado el software de extracción forense, por otro lado el de análisis (UFED Physical Analyzer) y por otro lado el de lectura (Cellebrite Reader), este último muy útil por si no tenemos el dongle para validar la License Key a mano, por ejemplo, cuando un compañero tiene que llevarse la clonadora a un forense, y en paralelo, otro compañero analizar otro móvil (ya clonado) desde el laboratorio.
Uno de los PROs de este fabricante es la alta velocidad con la que sacan nuevas versiones y nuevos updates para la gran variedad de móviles que salen a la luz cada mes. También cabe destacar su sencillez de uso. Con una interfaz muy similar a la de Autopsy, nos permitirá acceder de forma rápida y sencilla a imágenes, mensajes de whatsapp, emails, contraseñas, y un largo etc. con unos pocos clics.
A continuación, os he dejado algunas capturas de pantalla de los resultados obtenidos tras una extracción lógica de un iPad, para que podáis apreciar las capacidades de análisis de la solución:
En estas capturas puede verse a la izquierda el árbol principal de elementos recuperados del dispositivo, y en la parte derecha, el detalle de los items seleccionados. Por ejemplo, os hemos dejado un par de capturas referentes al apartado de contraseñas y al historial de navegación.
La suite completa de soluciones de Cellebrite puede ser adquirida en España desde el distribuidor OnRetrieval. Para los que nos seguís desde fuera de España, os recomendamos consultar directamente a su central, para que os deriven al partner local.
También tienen un programa formativo muy completo, el cual podéis consultar desde el siguiente enlace:
Por nuestra parte, nos fue sencillo hacernos con el uso de las diferentes soluciones del fabricante, pero siempre es útil formarse con expertos y conocer detalles y trucos (que los tiene), para realizar tareas más rápidamente, o poder resolver problemas sin necesidad de llamar a soporte.
En posteriores posts os presentaremos más detalles de este producto, y os hablaremos de las otras soluciones destacadas que existen en el mercado.
Saludos!
No hay comentarios:
Publicar un comentario