Академический Документы
Профессиональный Документы
Культура Документы
Resumen
Palabras Clave:
Artculo, Inalmbrico, Movilidad, Internet,
Investigacin, Forense, Hackers, PDA,
Porttiles, celulares, WLAN, Herramientas.
1
2
Introduccin
Estructura y Funcionamiento.
AUC
BTS
MS
BTS
PSTN
MSC
BTS
HLR
Mobile Station
VLR
2
Network Subsystem
Figura 1. Arquitectura del sistema TDMA [3]
2.1.1
Componentes
Como se muestra en la figura 1, algunos de los
componentes
de
la
redes
digitales
inalmbricas, basadas en conmutacin de de
circuitos incluyen [2], [3], [4]:
interconexin
de
llamadas
entre
dispositivos propios de su red, con otras
redes como Internet, PSTN3 y otras redes
inalmbricas.
Para el caso de
interconexin con redes de datos, la
conexin se realiza va un IWF o
Interworking Function como por ejemplo
un ISP4 externo. El IWF es esencialmente
un banco de mdems y equipos que
desarrollan los protocolos de conversin
para conectar el MSC a otras redes de
datos.
3
4
BS
Mensaje
Solicitud de Canal
Asignacin de canal
(portadora, spot, etc.)
Solicita actualizacin de
localizacin (enva IMSI6)
Autentica solicitud
Autentica la respuesta
Solicita entrar en modo
cifrado
Reconoce modo cifrado7
Confirma actualizacin y
asigna TMSI8.
Acepta (Ack)
Libera el canal
En GSM, cuando el modo de cifrado es
establecido, se acuerda una llave de
cifrado entre el mvil y la estacin base
(CKSN: Ciphering Key Sequence
Number). En contactos posteriores, el MS
enva un mensaje con el CKSN a la
estacin base, quien lo compara con el
valor que tiene almacenado, evitando as
que el proceso deba repetirse nuevamente
(si las llaves corresponden), al querer
enviar mensajes. Es importante notar que
tanto en GSM, como en IS-95 e IS-136,
existen durante la comunicacin, mensajes
que no se encuentran cifrados y que
pueden ser capturados para emplearlos en
la clonacin de celulares.
4. Inicializacin de llamadas: Una llamada
con destino el mvil, es ms demorada de
inicializar que una originada por el mvil,
2.2.2
Reglas On/Off:
Si el aparato est encendido (ON), no
apagarlo (OFF)
Registros de Facturacin:
Los registros de facturacin CDR (Charging
Detail Records) son enviados al sistema que
maneja la facturacin en un dispositivo
externo. Estos registros contienen informacin
para cada llamada realizada como nmero que
se llam, el da de la llamada, duracin, entre
otros [2], organizados por clientes para efectos
de facturacin. Estos registros son archivados
y estn disponibles en un periodo aproximado
de varios aos, dependiendo de las polticas de
la operadora.
2.2.3
Redes visitadas
3.1
Tecnologa WLAN
3.2
Funcionamiento
Configuracin de WLANs
10
11
3.5
Servicios de Seguridad
12
Algoritmo WEP
13
Vulnerabilidades en la Seguridad de
WLANs
Visibilidad
Negacin del Servicio
Intercepcin
Manipulacin
Enmascarar
Visibilidad
El trfico de las redes inalmbricas puede ser
capturado y visualizado (Sniffed). Esto
significa, que se pueden capturar todos los
datos que viajan por la red inalmbrica y si
estos no se encuentran encriptados, estos
pueden ser ensamblados y ledos. A diferencia
con las redes cableadas donde un sniffer puede
14
Intercepcin
Tipo de ataque que presenta varias
definiciones. La identidad de un usuario puede
ser interceptada para ser usada por un atacante
en una instancia de tiempo posterior,
hacindose pasar por el usuario legitimo.
Tambin se puede interceptar y desencriptar
informacin, violando la confidencialidad,
integridad y privacidad de la anterior. Los
sistemas inalmbricos hacen uso de
frecuencias de radio para la transmisin de
informacin, Estas pueden ser interceptadas.
Debido a esto, cuando se usan redes
inalmbricas se deben tener en cuenta aspectos
como un fuerte esquema de encriptacin y
autenticacin.
Manipulacin
La manipulacin trata cuando se insertan,
eliminan o modifican datos en un sistema o
durante una transmisin. Este es un ataque a
la integridad de los datos almacenados en el
sistema o a las transmisiones de estos. Un
ejemplo de este tipo de ataque puede ser la
insercin de un Troyano o un Virus a un
dispositivo o a la red. Los mecanismos de
control de acceso proveen seguridad contra
estos tipos de ataque.
Enmascarar
Se refiere al acto de hacerse pasar por un
usuario legtimo para obtener acceso al sistema
o a la red inalmbrica.
[10] [14]
10
15
Puntos de Acceso
16
Redes visitadas
Microprocesador: Es el cerebro de la
PDA, el microprocesador coordina todas
las funciones internas y externas de
acuerdo
con
las
instrucciones
17
Seguridad en PDA.
18
Sino
se
posee
alguna
de
estas
recomendaciones, este podra ser un buen
comienzo para implementar una poltica de
seguridad de la compaa o pueden convertirse
en pautas propias para el manejo de su propio
dispositivo PDA.
struct {
UInt8 header[4];
UInt8 exec_buf[6];
Int32 userID;
Int32 viewerID;
Int32 lastSyncPC;
time_t successfulSyncDate;
time_t lastSyncDate;
UInt8 userLen;
19
UInt8 passwordLen;
UInt8 username[userLen+1];
UInt8 password[passwordLen+1];
};
Figura 12. Estructura enviada durante el
proceso de la sincronizacin, conteniendo el
bloque de codificacin de la palabra clave
Palabras claves de 4 caracteres o menos:
comparando los bloques de codificacin de
varias palabras claves con estas caractersticas,
se puede determinar que la constante de 32
bytes (Figura 14) es solamente un XOR al
bloque de la palabra clave:
A = Palabra Clave
B = Bloque constante de 32 bytes
C = Bloque codificado con la palabra clave
El ndice de inicio (j) dentro del bloque de
codificacin constante donde la operacin del
XOR debe iniciar, es calculado de la siguiente
manera: [16]
56 8C D2 3E 99 4B 0F 88 09 02 13 45 07 04
13 44 0C 08 13 5A 32 15 13 5D D2 17 EA D3
B5 DF 55 63
Figura 13. Bloque codificado con la palabra
clave test. [16]
B1 56 35 1A 9C 98 80 84 37 A7 3D 61 7F 2E
E8 76 2A F2 A5 84 07 C7 EC 27 6F 7D 04 CD
52 1E CD 5B B3 29 76 66 D9 5E 4B CA 63
72 6F D2 FD 25 E6 7B C5 66 B3 D3 45 9A
AF DA 29 86 22 6E B8 03 62 BC
Figura 15: Bloque constante de 64 bytes que
es usado en la codificacin de la palabra
clave. [16]
09 02 13 45 07 04 13 44 0C 08 13 5A 32 15 13
5D D2 17 EA D3 B5 DF 55 63 22 E9 A1 4A
99 4B 0F 88
Figura 14: Bloque constante de 32 bytes que
es usado en la codificacin de la palabra
clave [16].
Palabras claves mayores a 4 caracteres:
A = Palabra Clave
B = Bloque constante de 64 bytes
20
18 0A 43 3A 17 7D A3 CA D7 9D 75 D2 D3
C8 A5 CF F1 71 07 03 5A 52 4B B9 70 2D B2
D1 DF A5 54 07
Figura 16. Bloque codificado con la palabra
clave testa.
21
4.3
22
Herramientas Forenses
5.1.1
Herramientas Forenses
5.1.2
Airopeek
23
Filtrado de paquetes
La configuracin de filtros sobre un nodo o
protocolo sospechoso permite aislar y enfocar
un trfico anormal. Un filtro restringe el flujo
de paquetes con base en algn parmetro del
paquete
especificado
como
direccin,
protocolo, puerto, valor o longitud.
24
AirSnort
25
Figura 1. Panel de visualizacin
@Stake Pdd
Detalles [33]
26
Figura 23. Diagrama de flujo del proceso efectuado por la funcin pdd() [12]
5.4
5.4.1
27
28
Demo
Ver Anexo 1
Conclusiones
29
Referencias
30
http://microasist.com.mx/noticias/mo/fromo23
08.shtml
[26] Allan Hollowell, A Virus in the Palm of
My
Hand,
September
,
2000
http://rr.sans.org/PDAs/virus_in_hand.php
[28] Airopeek,
http://www.wildpackets.com/products/airopee
k
[29]
Airopeek,
http://www.wildpackets.com/elements/AiroPee
k_Quick_Tour.pdf
[30] AirSnort,
http://airsnort.sourceforge.net/
[31] AirSnort,
http://www.be-secure.com/airsnort.html
[32]
@Stake
Pdd,
http://www.atstake.com/research/tools/index.ht
ml
[19]
PDAs
[33]
@Stake
Pdd,
http://www.atstake.com/research/reports/pdd_
palm_forensics.pdf
Susan
Guerrero
A
Security
Primer
Mayo
2001
http://rr.sans.org/PDAs/sec_primer.php
-
[34] Paraben,
http://www.paraben-forensics.com/pda.html
31
Autores
32
ANEXO I.
Herramienta para realizar imgenes de memoria en dispositivos Palm para anlisis forense.
Para la realizacin del demo se selecciono la herramienta pdd (palm dd) la cual es una herramienta
para Windows que realiza imgenes de la memoria de una Palm para la adquisicin de evidencia para
una investigacin Forense. El modo de consola se utiliza para adquirir informacin de la tarjeta de
memoria y para la creacin de una imagen bit a bit de la regin de memoria seleccionada.
Adems de la informacin contenida en la memoria, pdd recupera y despliega la siguiente informacin
sobre el dispositivo:
Nombre del archivo de salida
Hora actual
Nmero de tarjeta
Nombre del productor
Versin de la tarjeta
Fecha de creacin
Tamao de la ROM, RAM
Bytes disponibles en RAM
Versin del sistema operativo
Tipo de procesador
Identificacin de la Flash (Si hay)
Listado 1: Informacin sobre la PDA
Proceso
Inicialmente Pdd recupera y escribe la informacin sobre el dispositivo en un archivo llamado Pdd.txt
(Listado 1), durante el proceso los errores crticos son enviados al error estndar. La imagen en bruto
de la memoria es escrita en un archivo de salida estndar a menos que se especifique un nombre de
archivo en la lnea de comando. Pdd contina recibiendo la informacin hasta que la memoria es
copiada por completo. Solamente cuando la imagen se ha completado, el software pdd
automticamente reinicia el dispositivo para salir del modo de depuracin. El comando <ctrl>C se
puede utilizar para finalizar en cualquier momento la copia de la informacin, cuando se utiliza este
mtodo, es necesario salir del modo de depuracin, ya que el dispositivo contina en este modo.
Una re-arrancada del software es el nico mtodo para deshabilitar el modo de consola de la Palm una
vez este es permitido. Esto puede ser un problema en algunas instancias, ya que una re-arrancada del
software reinicia el rea dinmica, variables globales y limpia y compacta el rea de almacenamiento.
Potencialmente, registros eliminados de la base de datos pueden ser destruidos. Debido a esto se tiene
nicamente una oportunidad para obtener una captura limpia, por lo tanto se debe tener mucho cuidado
al llevar a cabo la descarga inicial de memoria para que la captura y el anlisis de los resultados sean
los esperados.
Haciendo uso de una funcin hash para encriptar la informacin tal como MD5 o SHA-1, sobre la
imagen de memoria generada por el Pdd proporciona una huella digital y una verificacin de
integridad; si se realiza otra imagen de la ram de la Pda, y al utilizar alguna de las funciones descritas
anteriormente para verificacin, podemos determinar que son diferentes debido a que la Palm tubo que
ser re-arrancada cuando se finalizo la primera adquisicin de la imagen de sta. En el caso de la
memoria ROM el valor del hash siempre ser idntico (a menos que el usuario all realizado cambios).
Diagrama de flujo de la funcionalidad del Pdd
La figura 22 ilustra las rutinas internas que se ejecutan al utilizar el programa Pdd
33
El software Pdd se puede ejecutar con las siguientes opciones, si ninguna es definida, el opta por
realizar las opciones que son declaradas por defecto.
Las opciones son las siguientes:
-c cardno: Numero de la tarjeta de la Palm [por defecto = 0 para la tarjeta incorporada]
-d displaytype: 1 = informacin o 2 = tranquila [por defecto = 0 para normal]
-h: ayuda en recursos adicionales
-o filename: la imagen de salida al archivo [por defecto = a.out]
-p port: nombre del puerto serial de comunicaciones [por defecto = COM1]
-t memorytype: RAM o ROM [por defecto = RAM]
A continuacin se puede encontrar una serie de ejemplos que pueden ilustrar la ejecucin y el retorno
realizado por el programa Pdd.
Ejemplo 1:
pdd o outfile.bin d 2
Imagen que contiene toda la informacin contenida en la RAM usando la definicin
de los valores por defecto, escribe la imagen binaria al archivo outfile.bin, El tipo
en que se muestra la informacin es en modo tranquilo, la informacin no es enviada
a la salida estndar.
Ejemplo 2:
pdd -p COM2 -c 1 -d 1
Muestra la tarjeta y la informacin para la tarjeta nmero 1, adems el dispositivo se
encuentra conectado al puerto Com2.
Ejemplo 3:
pdd -t ROM > outfile.txt
Realiza una imagen de la informacin contenida en la ROM, la salida estndar es escrita a el
archivo outfile.txt.
34