30 abr 2020

Oxygen Forensics: Automatizando el análisis forense de dispositivos móviles

Buenas a todos, hace algunos meses os hablamos desde Flu Project de UFED Cellebrite, una potente herramienta para automatizar, dentro de lo posible, el análisis forense de todo tipo de dispositivos móviles. En el artículo de hoy queríamos repetir este mismo ejercicio, pero con otra tecnología diferente, en este caso, con la alternativa que nos ofrece el fabricante ruso Oxygen Forensics.

En Zerolynx disponemos de una unidad de este fabricante, con el kit completo de cables, del cual os compartimos un par de fotografías a continuación:



Si bien, a nivel de nº de cables, no trae todos los que incluye su rival Cellebrite, hemos de decir que trae todos los suficientes para realizar casi el 100% de los forenses que realizamos desde cualquier empresa privada. Entendemos que para las fuerzas y cuerpos de seguridad pueda faltar algún cable, en especial los referidos a móviles chinos antiguos, aunque esa circunstancia está cambiando desde hace varios años por la imposición del USB tipo C

Así mismo, el kit incluye el dongle de autenticación, de forma similar al que usa Cellebrite, y otras herramientas que os serán de utilidad en el día a día, como los adaptadores de tarjetas SIM, un BT, un enchufe con adaptador para 2 USBs y un alambre para abrir la tapa de los móviles.

El software que provee este fabricante es bastante visual e intuitivo, en la línea de Cellebrite. Podremos descargar la última versión, y mantenerlo actualizado, desde su sitio web, utilizando los códigos que os facilitarán vía email:




Hoy veremos un ejemplo sencillo, analizando un iPhone XR a través de iTunes backup. Podéis hacer la extracción a través de la propia Oxygen, o con el software iTunes. Os recomendamos cifrarlo, además de por las razones obvias de seguridad, porque así el backup contendrá "más información", que seguro que nos será de utilidad durante el análisis forense.

Una vez realizado el backup, podremos importarlo desde el botón de Apple > iTunes Backup:



Y en unos pocos minutos, dispondremos de acceso al análisis completo, con una interfaz que os recordará a la del software Autopsy o la de la propia Cellebrite. Si algo funciona, ¿para qué reinventar la rueda?:



Si navegamos por los diferentes menús, tendremos acceso a todos los datos que contenía el teléfono, credenciales, mensajes, historial de navegación, APPs... en definitiva, al 99% de las cosas que precisaréis extraer durante un análisis forense pericial. Lo que os ahorrará sin duda la tediosa tarea de rootear teléfonos, clonar a mano, buscar las evidencias con Autopsy y el plugin oportuno, o incluso manualmente si no es factible la automatización, y tratar de defender en el informe pericial el motivo de porque ha sido necesario seguir un camino tan complejo, que podría derivar en una guerra de preguntas, muchas veces sin sentido, con el abogado de la parte contraria durante el juicio, o incluso con el juez, si estima preguntar algún detalle que crea oportuno.

Sobre este tipo de utilidades os seguiremos hablando en Flu Project más adelante, por lo que estad atentos :)

Saludos!

No hay comentarios:

Publicar un comentario