Cómputo Forense por qué usar tecnicas del siglo pasado? Copyright 2003/2020 ISEC GLOBAL inc. Todos los derechos reservados -

(1)

Cómputo Forense

¿por qué usar tecnicas del siglo pasado?

(2)

hacker ético forense

digital icia

criminal

#whoami

(3)

Técnicas de cómputo forense hoy

● Algunos ejemplos en Argentina

(4)

hoy los muchachos de ufed hacen:

4

(5)

hoy los muchachos de ufed hacen:

5

● Necesitaban posicionar geográficamente el celular no?

● Utilizaron UFED y el dedo del detenido no?

(6)

técnica de la araña extractora chip off

6

● En recuperación de datos de teléfonos móviles, se utiliza el método “chip-off” (extraer el chip) cuando no se puede acceder a la información a través del interface de usuario.

● NO CUMPLE ISO 27037  Norma de adquisición de evidencia digital.

● “Handbook of Digital Forensics of Multimedia Data and Devices” [Anthony T. S. Ho, Shujun Li]

(7)

Ara San Juan  micrófono submarino

● Modicon M340 CPU 340-20

● https://www.shodan.io/search?query=Modicon+M340+CPU+340-20 (logueate con cvila)

● Vulnerabilidades descubiertas 

https://www.cvedetails.com/vulnerability-list/vendor_id-11651/product_id-45632/Schneider-electric-Bmxp 342020-Firmware.html

(8)

Ara San Juan  micrófono submarino

(9)

NORMATIVA + METODOLOGÍA +

TECNOLOGÍA

(10)

Caso Cielo López

¿POSICIÓN ABSOLUTA TEMPORAL?

● sinergia entre metodología y elementos de  topografía & criminalística & networking

(11)

topografía  Posición absoluta ^temporal

●ubicación es localización geográfica utilizando criterios absolutos de medición:

1. un punto  una coordenada geográfica (Latitud, Longitud) 2. una línea  dos coordenadas geodésicas

3. una superficie  conjunto de coordenadas

11

(12)

cualquiera de los tres criterios que utilice deben ser

delimitados y mensurables.

(13)

criminalística Posición absoluta temporal

●temporal  se refiere al rango de tiempo en el que el dispositivo móvil se mantuvo en la posición absoluta:

○todos los fechados  inicial, final y todos los intermedios

○fecha según UTC (Coordinated Universal Time) en la zona de la medición

13

(14)

networking  Posición absoluta temporal

●entrega toda la metodología [Kaveh PAHLAVAN - 2000]:

1. triangulación (direction based)

2. multilateralización (distance based) 3. proximidad (signal strength)

14

(15)

pero antes pregunta: POR QUE usar antenas de

telefonía (GSM) en vez de SECUESTRAR Y PERICIAR EL CELULAR?

15

(16)

¿Mapas de Google como valor

probatorio?

-femicidio en lago Marimenuco-

(17)

triangulación (direction based method)

● AOA (Angle of Arrival): Es el ángulo de llegada de una señal a una antena receptora con respecto al azimut*

*azimut  ángulo de orientación del centro

de la antena sobre la superficie plana

(18)

-los dispositivos móviles se

“anuncian” en todas las celdas del alcance < 4 km (aprox.)

- y el sistema decide cual es la mejor antena a usar

- siempre habrá datos de AOA en al menos dos celdas

18

(19)

triangulación (direction based method)

(20)

triangulación (direction based method)

(21)

multilateralización (distance based)

● la señal desde el emisor hacia el receptor viaja a la velocidad de la luz (3 x10 ⁸ m/s)

● TOA (Time of Arrival): si conozco el TOA - tiempo de arribo- desde un nodo a otro puedo calcular la distancia entre ellos **fórmula  d=c*TOA**

● se genera una circunferencia con la distancia como radio  serían las posibles posiciones del dispositivo móvil

TOA dist ancia  radio

(22)

multilateralización (distance based)

TOA (Time of Arrival):

● ¿y si puedo obtener dos distancias de dos celdas distintas?

● se genera la intersección de dos circunferencias con la distancia como radio  habría entonces dos posiciones posibles

(23)

multilateralización (distance based)

TOA (Time of Arrival):

trilateración

● ¿y si puedo obtener tres distancias de tres celdas distintas?

● se genera la intersección de tres circunferencias con la distancia como radio  habría entonces una posición posible!

(24)

proximidad (signal strength)

● “si la potencia de transmisión es conocida se puede calcular la distancia desde el transmisor y el receptor usando modelos conocidos matemáticos para radio

señales” Kaveh PAHLAVAN -2000

● entonces la forma de cálculo es idéntica a la de multilateración, pero…

(25)

¿de donde obtener la información?

AOA, TOA, TDOA, Signal Strength todos estos datos son necesarios para que el sistema de comunicaciones funcione  por ejemplo para decidir cual es la mejor antena, si está en

movimiento cuando traspasar el móvil de una celda a otra…

25

(26)

arquitectura típica de telefonía móvil

●y todos estos datos están guardados al menos en los BSC (Base Station

Controlers) y los MSC

(Mobile Switching Center)

●y también en los SOC´S (centros de operaciones!!!!!!

26

(27)

Telefónica apuesta con

SmartCare SOC de Huawei por un modelo de gestión de su red basado en la

experiencia del cliente (link)

27

(28)

¿y si no te quieren dar ni el ángulo ni el tiempo de

arribo?

28

(29)

-femicidio-

Datos conocidos:

● lugar de hallazgo de la víctima

● también se encontraba el automóvil

● fechado de la data del deceso

● info de las celdas de enlace durante el rango horario de la víctima y del sospechoso Se trabajó sobre la siguiente data:

● ángulo de apertura , posición y registros temporales de las antenas de cada celda que registró a cada móvil

● análisis de cámaras de seguridad del entorno desde el domicilio de la víctima hasta el lugar de hallazgo

29

(30)

Cómputo Forense por qué usar tecnicas del siglo pasado? Copyright 2003/2020 ISEC GLOBAL inc. Todos los derechos reservados -

Cómputo Forense

¿por qué usar tecnicas del siglo pasado?

hacker ético forense

digital icia

criminal

#whoami

Técnicas de cómputo forense hoy

● Algunos ejemplos en Argentina

hoy los muchachos de ufed hacen:

hoy los muchachos de ufed hacen:

● Necesitaban posicionar geográficamente el celular no?

● Utilizaron UFED y el dedo del detenido no?

técnica de la araña extractora chip off

● En recuperación de datos de teléfonos móviles, se utiliza el método “chip-off” (extraer el chip) cuando no se puede acceder a la información a través del interface de usuario.

● NO CUMPLE ISO 27037  Norma de adquisición de evidencia digital.

● “Handbook of Digital Forensics of Multimedia Data and Devices” [Anthony T. S. Ho, Shujun Li]

Ara San Juan  micrófono submarino

● Modicon M340 CPU 340-20

● https://www.shodan.io/search?query=Modicon+M340+CPU+340-20 (logueate con cvila)

● Vulnerabilidades descubiertas 

https://www.cvedetails.com/vulnerability-list/vendor_id-11651/product_id-45632/Schneider-electric-Bmxp 342020-Firmware.html

Ara San Juan  micrófono submarino

NORMATIVA + METODOLOGÍA +

TECNOLOGÍA

Caso Cielo López

¿POSICIÓN ABSOLUTA TEMPORAL?

● sinergia entre metodología y elementos de  topografía & criminalística & networking

topografía  Posición absoluta temporal

●ubicación es localización geográfica utilizando criterios absolutos de medición:

1. un punto  una coordenada geográfica (Latitud, Longitud) 2. una línea  dos coordenadas geodésicas

3. una superficie  conjunto de coordenadas

cualquiera de los tres criterios que utilice deben ser

delimitados y mensurables.

criminalística Posición absoluta temporal

●temporal  se refiere al rango de tiempo en el que el dispositivo móvil se mantuvo en la posición absoluta:

○todos los fechados  inicial, final y todos los intermedios

○fecha según UTC (Coordinated Universal Time) en la zona de la medición

networking  Posición absoluta temporal

●entrega toda la metodología [Kaveh PAHLAVAN - 2000]:

1. triangulación (direction based)

2. multilateralización (distance based) 3. proximidad (signal strength)

pero antes pregunta: POR QUE usar antenas de

telefonía (GSM) en vez de SECUESTRAR Y PERICIAR EL CELULAR?

¿Mapas de Google como valor

probatorio?

-femicidio en lago Marimenuco-

triangulación (direction based method)

● AOA (Angle of Arrival): Es el ángulo de llegada de una señal a una antena receptora con respecto al azimut*

*azimut  ángulo de orientación del centro

de la antena sobre la superficie plana

-los dispositivos móviles se

“anuncian” en todas las celdas del alcance < 4 km (aprox.)

- y el sistema decide cual es la mejor antena a usar

- siempre habrá datos de AOA en al menos dos celdas

triangulación (direction based method)

triangulación (direction based method)

multilateralización (distance based)

● la señal desde el emisor hacia el receptor viaja a la velocidad de la luz (3 x10 8 m/s)

● TOA (Time of Arrival): si conozco el TOA - tiempo de arribo- desde un nodo a otro puedo calcular la distancia entre ellos fórmula  d=c*TOA

● se genera una circunferencia con la distancia como radio  serían las posibles posiciones del dispositivo móvil

TOA dist ancia  radio

multilateralización (distance based)

TOA (Time of Arrival):

● ¿y si puedo obtener dos distancias de dos celdas distintas?

● se genera la intersección de dos circunferencias con la distancia como radio  habría entonces dos posiciones posibles

multilateralización (distance based)

TOA (Time of Arrival):

trilateración

● ¿y si puedo obtener tres distancias de tres celdas distintas?

● se genera la intersección de tres circunferencias con la distancia como radio  habría entonces una posición posible!

proximidad (signal strength)

● “si la potencia de transmisión es conocida se puede calcular la distancia desde el transmisor y el receptor usando modelos conocidos matemáticos para radio

señales” Kaveh PAHLAVAN -2000

● entonces la forma de cálculo es idéntica a la de multilateración, pero…

¿de donde obtener la información?

AOA, TOA, TDOA, Signal Strength todos estos datos son necesarios para que el sistema de comunicaciones funcione  por ejemplo para decidir cual es la mejor antena, si está en

movimiento cuando traspasar el móvil de una celda a otra…

arquitectura típica de telefonía móvil

●y todos estos datos están guardados al menos en los BSC (Base Station

topografía  Posición absoluta ^temporal

● la señal desde el emisor hacia el receptor viaja a la velocidad de la luz (3 x10 ⁸ m/s)

● TOA (Time of Arrival): si conozco el TOA - tiempo de arribo- desde un nodo a otro puedo calcular la distancia entre ellos **fórmula  d=c*TOA**