sábado, 22 de julio de 2006

Las barreras del análisis forense en dispositivos móviles

En análisis de dispositivos telefónicos móviles puede ser, en muchas
ocasiones, una labor ardua. Bajo muchas circunstancias, el estudio se
puede volver incluso imposible.

La imposibilidad no siempre viene determinada por la capacidad técnica,
sino por los requisitos legalmente exigibles a las evidencias que
procedan de este tipo de dispositivos. Por ejemplo, una de las
condiciones clave en la recolección de evidencias es la asepsia,
práctica que asegura que las pruebas recogidas no están contaminadas, y
que por tanto, son válidas para ser utilizadas en procesos judiciales.
En otras ocasiones, las dificultades sí están causadas por aspectos
técnicos, ya que para poder conservar adecuadamente una prueba, ésta ha
tenido que ser previamente recolectada con éxito.

Las primeras señales de alarma sobre estas problemáticas técnicas fueron
las que el investigador de Cambridge Tyler Moore volcó en un "white
paper", sobre procedimientos policiales a la hora de gestionar los
dispositivos móviles en tareas de análisis forense. En un amplio y
elaborado estudio titulado "Economics of digital forensics", Moore
realizó un completo barrido por las limitaciones presupuestarias a las
que se enfrentan las Fuerzas de Seguridad.

Este estudiante de postgrado resaltó en su documento que existen
infinidad de modelos de móviles, con diversos sistemas operativos, y que
no existen herramientas de análisis suficientes para cubrir para todas
las variedades. Pese a que siempre es posible la inspección forense
manual, el estudio determinó que el modus operandi de las fuerzas de
seguridad incluía mayoritariamente el uso de herramientas automatizadas
de análisis, con lo que la opción de analizar manualmente los
dispositivos sólo podía aplicarse en determinadas condiciones, y no
siempre.

El empleo de herramientas automatizadas para este tipo de tareas puede
tener diversas justificaciones: tiempo disponible para analizar,
cantidades de unidades a inspeccionar de modo preliminar, formación y
capacidad de los agentes e incluso, la responsabilidad en la
manipulación de las pruebas, ya que muchos productos policiales de
análisis automatizado están certificados para cumplir determinados
aspectos legislativos, y por tanto, son preferibles ante la inspección
manual. No menos importante es el factor económico, ya que los
presupuestos siempre son limitados y por tanto, el número de horas de
auditoría no automatizada lo es también.

Partiendo de esta premisa, lo más lógico era pensar que las Fuerzas de
Seguridad en general tenían en esta falta de medios técnicos un talón de
Aquiles de considerable envergadura. Este extremo ha sido confirmado
oficialmente por Kevin Mansell, formador del CENTREX británico, la
autoridad encargada de la formación de los efectivos policiales en el
Reino Unido.

Mansell apunta a la escasa estandarización de sistemas operativos como
la causa fundamental del problema. Ante tanta heterogeneidad, los
fabricantes de productos analíticos optan por los sistemas mayoritarios,
quedando muchas soluciones móviles desatendidas. A este factor se añade
el hecho de que los fabricantes de telefonía móvil tampoco contemplan
estándares a la hora de almacenar y tratar la información contenida en
los dispositivos, lo que añade aún más dificultad a la extracción de
evidencias, muy mermada cuando se emplean formatos propietarios que, por
ejemplo, pueden contener métodos de cifrado exclusivos que no han sido
suficientemente investigados ni documentados.

El creciente uso de aparatos de telefonía móvil los está convirtiendo en
piezas clave en las investigaciones policiales. Sin embargo, las dos
curvas principales quedan claramente desequilibradas: el aumento de
modelos comercializados es directamente proporcional a la baja de
rendimiento en técnicas forenses de los mismos, lo que resulta en un
problema bastante serio para los investigadores. Adicionalmente, lo que
para las autoridades es un problema, es una ventaja para los usuarios
finales, que ven en la diversificación una reducción probabilística de
que se puedan recuperar datos de dispositivos móviles sustraídos o
perdidos. Esta ventaja es aprovechada por los criminales, muchos de los
cuales son conocedores de estas limitaciones y las aprovechan para
entorpecer al máximo las trazas de sus actividades delictivas.

Una balanza difícil de equilibrar y que tiende, cada día más, a un mayor
desequilibrio. La privacidad, la estandarización, los intereses
contrapuestos de operadores de telefonía, fabricantes, autoridades y
usuarios convierten a este cóctel en una bebida poco miscible.

Aquellos lectores que estén interesados en experimentar este tipo de
análisis, pueden recurrir a alguna aplicación de forensia de tarjetas
SIM, como por ejemplo, TULP2G, un desarrollo del Netherlands Forensic
Institute y que se ofrece en modalidad de código abierto, para ser bien
descargado directamente como ejecutable, bien como código compilable con
.NET 2.0 Framework SDK.


Sergio Hernando
shernando@hispasec.com


Más información:

Police expert admits mobile phone forensics barrier
http://www.theregister.co.uk/2006/07/07/mobile_phone_forensics_barrier/

Tyler Moore: Economics of digital forensics
http://www.cl.cam.ac.uk/users/twm29/weis06-moore.pdf

Fighting Crime With Cellphones' Clues
http://www.textually.org/textually/archives/2006/05/012258.htm

CENTREX Británico
http://www.centrex.police.uk/

TULP2G
http://tulp2g.sourceforge.net/