1/40

Celular, un testigo posible y silencioso

por María Andrea Vignau

Investigación de un caso de femicidio, realizado con el uso de tecnología forense.

2/40

Temas

Investigación judicial.

Pericia de dispositivos móviles

Decodificando los datos de OLX

3/40

Investigación judicial

● Febrero 2017● Barranqueras, Chaco● La madre deja a su hija

a las 4:00 AM viva● A las 10:30, el padrastro

la encuentra muerta● No se encuentra su

teléfono móvil.

4/40

Investigación judicial

● Se investiga el círculo íntimo

● El fiscal no sabe en quién confiar

● Se secuestran teléfonos móviles

● Se conoce último número de teléfono de la víctima.

5/40

Investigación judicial

● Cursan oficios pidiendo información sobre el número de abonado a todas las empresas de telefonía celular

6/40

Investigación judicial

7/40

Investigación judicial

IMSI● International Mobile

Subscriber Identity. ● Identificador único de un

usuario de telefonía móvil. Formado por:– MCC = Mobile Country Code– MNC = Mobile Network

Code– MSIN = Seq serial number.

ICCID● Integrated Circuit

Card ID● Identificador de la

tarjeta SIM misma, el “chip”

8/40

Investigación judicial

● Obtenido el IMEI pudo investigarse qué otros números telefónicos impactaron en el dispositivo.

● Obtenida la información, se tuvieron 2 sospechosos de encubrimiento

9/40

Investigación judicial

● Una vez interrogados, denunciaron haber adquirido el aparato por OLX, y brindan nombre del usuario vendedor.

● Por OSINT, se determinó el domicilio del vendedor del teléfono.

10/40

Investigación judicial

● Se produce allanamiento

● Se secuestran 14 celulares.

11/40

Pericias dispositivos móviles

● Un dispositivo puede ser borrado o bloqueado a distancia o por una app.

● Si está encendido, se lo deja así, para preservar evidencia volátil y evitar bloqueos.

● Si está apagado, se lo deja así.

12/40

Pericias dispositivos móviles

Jaula de Faraday ● Preserva la evidencia

evitando que se conecte a las redes móviles o de wifi.

13/40

Pericias dispositivos móviles

● Se envuelve en papel aluminio, al menos 3 capas.

● Efectiva y económica Jaula de Faraday

● Existen bolsas especiales, pero resultan muy costosas.

14/40

Pericias dispositivos móviles

● Disponemos de UFED, de la empresa israelí Cellebrite, para extraer información

● Hay alternativas como XRY, Oxygen, Axiom, etc.

● El sofware libre es escaso y mal mantenido.

15/40

Pericias dispositivos móviles

Jaula de Faraday ● Dentro del laboratorio

para asegurar la contínua preservación

● Muchas alternativas impagables.

16/40

Pericias dispositivos móviles

17/40

Pericias dispositivos móviles

Sin presupuesto usamos:

1)Intentar extracción por bootloader sin encender el teléfono

2)Extraer la tarjeta SIM o usar modo Avión.

18/40

Pericias dispositivos móviles

Extracción Física● Utiliza un usuario

administrador o ROOT ● Método que más registros

obtiene.● Puede recuperar registros

borrados y contraseñas, archivos eliminados no sobrescritos, etc

19/40

Pericias dispositivos móviles

Extracción de sistema de archivos

● Utiliza el sistema de resguardo del dispositivo.

● Puede recuperar registros borrados y contraseñas.

● Pueden recuperarse paquetes de resguardo de la nube.

20/40

Pericias dispositivos móviles

Extracción lógica● Utiliza un programa

para extraer ● Extrae registros visibles

por un usuario común

21/40

Pericias dispositivos móviles

Para asegurar la integridad de los datos,

se utiliza funciones de hash con la evidencia.

Función hash:● Tiene como entrada un

conjunto de elementos, que suelen ser cadenas, y los convierte en un rango de salida finito

● Actúa como una proyección del conjunto U sobre el conjunto M.

22/40

Decodificando los datos de OLX

● Extracción física● BD olxMsgDatabase● Formato SQLite● Tabla objects

23/40

Decodificando los datos de OLX

● Sólo tres campos

● ObjectKey● ObjectData● ObjectDate

24/40

Decodificando los datos de OLX

Campo objectKey● Clave principal ● Similar a:

e4e7142f-04e7-4156-a05c-d8c99d24e01e

● Sirvió para filtrar los registros, determinando los que son ítems negociados

● Usamos la expresión regular:'....-..-..-..-....'

25/40

Decodificando los datos de OLX

Campo objectDate● Es fecha y hora de

creación del registro ● Es unix epoch * 1000,

localizado a UTC

26/40

Decodificando los datos de OLX

Campo objectData● Son todos los datos del

ítem negociable y los chats asociados

● Está en formato JSON

27/40

Decodificando los datos de OLX

● Descubrimos que teníamos bien identificadas:– Latitud y longitud– Fecha en formato ISO– Título y descripción– Varias imágenes

28/40

Decodificando los datos de OLX

● Nos permitió ver los mensajes.

● IsMine: significa que el mensaje proviene del celular donde está instalada la app.

29/40

Decodificando los datos de OLX

● Son los participantes de las conversaciones.

● Nos permitió ver qué usuarios estaban conversando para negociar un ítem.

30/40

Decodificando los datos de OLX

● Las fechas de los ítems estaban en formato ISO

● Las de los mensajes en enteros desde unix epoch

● Y todo localizado en UTC… no rescató la biblioteca pytz

31/40

Decodificando los datos de OLX

● Finalmente, para volcar la información en formato HTML, creamos templates usando JINJA2

32/40

Decodificando los datos de OLX

● Finalmente, usando la biblioteca pdfkit que usa la aplicación wkhtmltopdf, pudimos generar un reporte en formato PDF.

33/40

Decodificando los datos de OLXCapturas de ejemplo del informe pericial conseguido

34/40

Decodificando los datos de OLXCapturas de ejemplo del informe pericial conseguido

35/40

Decodificando los datos de OLXCapturas de ejemplo del informe pericial conseguido

36/40

Investigación judicial

Denuncia del homicidio

Obtención del Nº abonado

de la víctima.

Oficio a telefónicas Obtención del

IMEI

Informan telefónicas

abonados con este IMEI

Obtención últimos

2 usuarios

Informan usuario OLX

que les vendió

Allanamiento del revendedor.

Secuestro de 14 teléfonos

móviles

Investigación sobre cadena de

reventas

37/40

Pericias dispositivos móvilesSecuestro de móviles

NO Encender NO Apagar

Proteger con Jaula de Faraday

Laboratorio

Herramientas forensesUFED Cellebrite Axiom OxygenXRY

Poner modo aviónExtraer SIM

Intentar extracción con bootloader Extracciones

posibles

Física

de Sistema de Archivos

Lógica{Asegurar con HASH

38/40

Decodificando los datos de OLXExtracción

FísicaBBDD SQLite

olxMsgDatabase

Tabla OBJECTS

3 campos

ObjectKeyObjectData ObjectDate

Selecciono con

regexp

Convierto de Unix Epoch a

LocalTime

JSONItemMessagesSenders

Conversión de fechas

strptime

fromtimestamppytz.localize().

astimezone()

Genera HTML usando Jinja2

Genera PDF con wkhtmltopdf/pdftk

Pyth

on

39/40

Celular, un testigo posible y silencioso

por María Andrea Vignau

Agradecimientos por la colaboración de mis compañeros:

- Facundo Martín Toledo- Norma Alicia Lovey

40/40

Celular, un testigo posible y silenciosopor María Andrea Vignau

Ing en Sistemas de InformaciónPerito Informático ForensePoder Judicial Chaco

Twitter: @mavignauTelegram: @mavignauGitHub: marian-vignau