Post has attachment
Forensic Mobile : Solución Privativa vs Open Source

En la actualidad un perito informático forense, tiene como opción para realizar análisis forense a dispositivos móviles un abanico de opciones tanto privativas como open, esto en el ámbito jurídico y tecnológico, nos hacen preguntarnos:

Que diferencia técnica existe realmente si realizas un vaciado de contenido a un teléfono con un equipo UFED “Licenciado” o con la distro de Santoku.

Lo primero que nos viene a la mente seria, que no tiene importancia mientras que trabajemos sobre una imagen del original y generemos un Hash.

Ahora bien, si esto, es tan sencillo tomando en cuenta que actualmente existe una gran variedad de marcas de teléfonos, así como sistemas operativos de los mismos, y el proceso para colectar dicha evidencia es totalmente distinto para cada marca y modelo. ¿Como se puede certificar en un Juicio que no se rompió la debida cadena de custodia y que utilizando una herramienta open no alteraste la evidencia?

Seguidamente si tomamos el mismo equipo y realizamos el mismo proceso con el UFED, pero resulta que dicho equipo es elaborado en china y no está definido dentro de las marcas que trae por defecto el UFED. Lo cual tendremos que utilizar el Chenix para proseguir con el vaciado de contenido. ¿Qué garantía tendremos como perito que no se alteró la evidencia?

En retrospectiva si nos ponemos en los zapatos del Juez, y seguidamente en los zapatos de la contra parte defensora. Y se generan las siguientes interrogantes para el perito, que respuestas argumentarías.


1. ¿Se tiene normado por el poder judicial, que software o Hardware debe ser utilizado para realizar análisis forense pericial a dispositivos móviles ?

2. ¿ Si no tenemos normado dicho software, y esto influye en que los resultados ( Informe ) de dos peritos que utilicen uno la opción privativa y el otro opción open, serán totalmente distintos. Lo cual causará que la contra parte solicite una contra experticia y lo mas seguro que utilice otra solución lo cual dará un tercer resultado distinto. ¡Que informe y resultado será el valido para el juez ?

3. Si bien es sabido que para ingresar a las entrañas de un dispositivo móvil con la finalidad de realizar un vaciado de contenido o recuperación de información o “Desbloqueo “. debemos modificar, alterar y en algunos casos hasta instalar aplicativos extras. Que criterio debe tomar el Juez y el perito para garantizar la cadena de custodia, proceso de análisis forense, la integridad y no repudio de la evidencia?
Photo
Photo
18/8/17
2 Photos - View album
Wait while more posts are being loaded