Mantenerse al día con la siempre creciente y renovada lista de aplicaciones es un desafío constante. Hasta enero de 2018 había casi 6 millones de aplicaciones en Google Play y Apple Store combinadas. Las aplicaciones populares tales como Facebook o Telegram frecuentemente publican actualizaciones, y en nuestra época moderna, los criminales, e incluso terroristas tecnológicamente hábiles, recurren a aplicaciones de nicho para ocultar sus comunicaciones.

Aunque Cellebrite y otros grandes proveedores invierten en analizadores y decodificadores para las aplicaciones populares, las mayoría de las aplicaciones no tiene compatibilidad alguna. Entonces, ¿cómo superar el obstáculo para encontrar evidencia fundamental en la oscuridad de las aplicaciones desconocidas?
 
El Grupo de Investigación Forense de Cellebrite ofrece a los examinadores una suite de herramientas y métodos para navegar exitosamente lo “desconocido”. Estas herramientas y métodos mejoran con el tiempo y crean un plataforma para manejar las aplicaciones arbitrarias desconocidas a escala, sin poner en riesgo la calidad, precisión y rendimiento.
 
Hay dos presunciones en el corazón de este enfoque de abordar el desafío de las aplicaciones desconocidas. La primera, los desarrolladores de aplicaciones utilizan librerías, métodos y prácticas comunes, que comparten patrones reconocibles que se pueden aprovechar. Las herramientas de carving y el motor fuzzy de Cellebrite están basados en esta presunción. Hablaremos de esto más detalladamente en breve. La segunda presunción es que cualquier aplicación puede decodificar su propia base de datos. La nueva capacidad Virtual Analyzer de Cellebrite utiliza esta presunción en términos prácticos.
 
Antes de concentrarse en herramientas específicas, aquí está suite completa de herramientas de Cellebrite para recolectar lo “desconocido”.
  • Asistente SQLite.. Herramienta de interfaz de usuario para mapear manualmente artefactos, de una base de datos, a evidencia modelada.
  • Carvers de artefactos. Herramientas automáticas basadas en patrones que resaltan la posible ubicación y las cadenas de texto, en el espacio intacto o sin asignar, sin importar la estructura..
  • Motor de modelo fuzzy. Herramienta automática, basada en heurística y aprendizaje automático, que produce evidencia modelada de datos con estructuras desconocidas.
  • Virtual Analyzer.. El primer emulador forense de Android del sector, que permite hacer análisis dinámico de la evidencia de una imagen.
Veamos algunas de estas herramientas para comprender el poder que tienen para iluminar la oscuridad de las bases de datos y aplicaciones desconocidas.
El carving es la práctica que más comúnmente se usa para la recuperación de datos e investigación forense. En la mayoría de los casos, el carving se refiere a carving de un archivo u objeto, por coincidencia de patrón de una cabecera o final de los tipos de datos conocidos.
 
Cellebrite’s UFED Physical Analyzer de Cellebrite contiene carvers de archivos que buscan en todo el espacio sin asignar, pero también buscan archivos embebidos entre otros archivos. Sin embargo, el carving de artefactos sin estructurar es un paseo diferente. Los artefactos únicos no tienen una cabecera para anclarse, cualquiera de los 4 bytes puede ser decodificado como dos números de punto flotante, posiblemente representando una ubicación, si se traduce en una coordenada válida.
 
El desafío, además del rendimiento, es recolectar ubicaciones reales, con un mínimo de detección falsa y errónea. En Cellebrite usamos un conjunto de heurísticas que producen artefactos de ubicación altamente probables, con base en ubicaciones conocidas intactas. Estas ubicaciones adicionales resaltan las aplicaciones y bases de datos que ayudan a los examinadores a ubicar las piezas de evidencia significativas, entre un mar de desorden. Los carvers de artefactos pueden buscar en espacios intactos, eliminados y sin asignar. No asumen a priori una estructura, lo que es una fortaleza al igual que una debilidad: los carvers son resilientes a las estructuras propietarias. Por otro lado, los artefactos fragmentados no pueden ser reconstruidos y recolectados.
 
Un enfoque complementario al carving, diseñado e implementado por Cellebrite, es el motor de modelo fuzzy. La hipótesis básica del motor fuzzy es que las aplicaciones almacenan datos en bases de datos estructuradas: SQLite, Realm, LevelDB o incluso json, plist, o bplist. Una vez que se ha reconocido la base de datos móvil, el motor fuzzy intenta desentrañar automáticamente el tipo y estructura de evidencia que puede contener.
 
El motor se basa en heurística y aprendizaje automático. Por ejemplo, si se encuentra un campo llamado “Ion”, debe haber en otro lugar un “lat”. Si los dos están relacionados con un objeto, muy probablemente estos campos representan la ubicación geográfica del objeto.
 
El núcleo y la heurística del motor representan efectivamente el conocimiento detrás de las prácticas comunes para almacenar información. El cuerpo de conocimiento se actualiza y optimiza constantemente para mejorar la precisión de la evidencia modelada, que se recolecta de cualquier base de datos arbitraria. Ejecutar la herramienta de modelo fuzzy sobre la imagen de un teléfono revela los posibles contactos, ubicaciones, mensajes, contraseñas y otros artefactos ocultos en todas las bases de datos estructuradas de la imagen. Estos artefactos se exponen inmediatamente, ahorrando tiempo y esfuerzo a los examinadores.
 
El enfoque final es Virtual Analyzer, la primera y única herramienta del sector que ofrece análisis dinámico de datos forenses de Android. En su núcleo, Virtual Analyzer ejecuta la aplicación junto con sus datos de usuario privados en un entorno emulado, utilizando el código del proveedor para decodificar la base de datos en cuestión. La aplicación se ejecuta en un entorno en cuarentena, que evita poner en riesgo la cuenta o la imagen del teléfono.
 
Como se describió, la presunción subyacente es que todos los datos necesarios para el proceso de decodificación están presentes en la imagen: los artefactos, las claves de desencriptación, etc. La aplicación puede desencriptar, bloquear y decodificar la información, presentándola al usuario a pedido y mostrándola de la forma exacta como se hubiera mostrado en el dispositivo móvil. Al considerar un enfoque general, este puede funcionar con cualquier aplicación Android, siempre que los datos estén en la imagen y no se necesiten entradas específicas del usuario. La principal desventaja de este enfoque es que solo puede expresar los datos de la forma en que se pretende mostrarlos. Por ejemplo, no es posible presentar artefactos eliminados.
 
Los principales desafíos de implementar el Virtual Analyzer surgen de la inyección de código y datos en un dispositivo móvil diferente de aquel en que fueron creados. Los problemas van desde identificadores faltantes, hasta diferencias en los sistemas operativos. El Grupo de Investigación Forense de Cellebrite ha producido un sistema que mitiga la mayoría de las diferencias y no arriesga la integridad de los datos. Sin embargo, aún quedan desafíos.
 
Por ejemplo, aunque los motores de emulación de Android abundan, no hay una verdadera emulación pública de iOS. Hay bastantes emuladores que imitan la apariencia y uso de iOS, pero el código binario de la aplicación está compilado para un sistema operativo y arquitectura específicos y no puede ejecutarse en otro. Aun así, Virtual Analyzer es una poderosa herramienta que permite decodificar casi cualquier aplicación Android arbitraria, lo que empodera a los examinadores para que sigan y exploren cualquier pista investigativa en poco tiempo.
 
Para concluir, el Grupo de Investigación Forense de Cellebrite está evolucionando constantemente las herramientas y métodos existentes, y desarrollando nuevos para recolectar evidencia valiosa y significativa del lado oscuro del dispositivo móvil. En este artículo, hemos explorado técnicas y herramientas complementarias que pueden arrojar luz sobre esta oscuridad. Un enfoque es automatizar inteligentemente el proceso de análisis y producir evidencia de calidad asumida, proporcionando al examinador nuevas fuentes de evidencia potencial. El otro enfoque es permitir que el examinador explore efectivamente todo el teléfono, sin arriesgar la integridad de las cuentas o la evidencia.  
 
Para obtener la respuesta a otras preguntas sobre lo último en ciencia forense digital, esté pendiente de las próximas noticias de Cellebrite y UFED.
Share this post