Tcnicas Forenses en Medios Inalmbricos

Por: Mauren Alies <m-alies@uniandes.edu.co>, Sergio Garca <serg-gar@uniandes.edu.co>, Fabin Molina <fa-molin@uniandes.edu.co>, Juan Felipe Montoya <juan-mon@uniandes.edu.co>, Maria Isabel Serrano <ma-serra@uniandes.edu.co> Abril del 2002

Resumen
El aumento en el mercado de ofertas de dispositivos de comunicacin mvil, como porttiles, PDAs1 y equipos celulares, y el deseo por parte de los usuarios de conectarse de forma continua a la red sin necesidad de cables, a ocasionado un incremento en la demanda de acceso inalmbrico a redes de informacin (Internet, LAN, etc). Segn Cisco Systems [1], el nmero de dispositivos mviles para el ao 2003 superar el billn y el mercado de las LANs inalmbricas o WLAN2 o WLAN, se proyecta crecer a ms de US$2 billones en el presente ao. Pero con los nuevos avances, llegan nuevas vulnerabilidades que implican riesgos para las personas y las compaas ante la posibilidad de ver expuestos datos sensibles, transmitidos por stos medios. Este documento busca constituirse en una gua para administradores, gerentes e investigadores forenses, que se enfrentan al reto del analizar las ventajas, desventajas y puntos crticos de una red inalmbrica. En l se especifican algunas de las vulnerabilidades que afectan dichas redes, la forma de evitarlas y algunos de los pasos que se deben seguir al realizar una investigacin forense sobre una red que ha sido vulnerada. Palabras Clave: Artculo, Inalmbrico, Movilidad, Internet, Investigacin, Forense, Hackers, PDA, Porttiles, celulares, WLAN, Herramientas.

Introduccin

Con el advenimiento de Internet y de las posibilidades de conexin por parte de usuarios y empresas a informacin que se encuentra localizada en cualquier parte del mundo, los administradores de red se han enfrentado al reto de mantener las redes de las compaas por encima de los niveles de seguridad requeridos por las mismas, en cuanto al tipo de informacin que poseen. Al generarse una ruptura de seguridad, se cuenta con la ayuda de los investigadores forenses, cuyo trabajo consiste no solo en conocer el tipo de informacin que fue comprometida, sino tambin los daos colaterales que se pudieron ocasionar y si es posible, la persona o personas que ocasionaron dicha ruptura. Los nuevos desarrollos tecnolgicos en comunicaciones inalmbricas, han trado consigo, no solo la creacin de nuevos aspectos de seguridad que se deben tener en cuenta al administrar una red, sino tambin un incremento en las posibles formas como personas inescrupulosas, pueden atacar o robar informacin de una compaa, ocasionando con esto adems, un aumento en el nmero de sitios en los que los investigadores forenses deben buscar recuperar la informacin determinante al caso. Como lo menciona Casey, en su libro Handbook of Computer Crime Investigation, La evidencia digital en redes inalmbricas puede estar relacionada a puntos como: Intencin de cometer Crimen El crimen mismo Discusin acerca de un crimen completado Hora y fecha en la que se cometi el crimen

1 2

PDA: Personal Digital Assitant WLAN: Wireless Local Area Network

 Lugar donde el crimen fue cometido La localizacin del criminal cuando el crimen fue cometido La localizacin de la vctima en el momento de cometerse el crimen La locaclizacin del criminal despus de que el crimen fuera cometido. Es por esto, que se hace necesario por parte de los investigadores forenses, un conocimiento profundo de el funcionamiento de las redes inalmbricas, y de los riesgos que ellas enfrentan, para poder prestarle a las empresas, servicios de soporte preventivo y correctivo ante fallas de seguridad. El documento se dividir en tres partes. En la primera se especificarn la estructura, el funcionamiento y las vulnerabilidades para las redes inalmbricas basadas en conmutacin de circuitos y para las WLANs, proporcionando adicionalmente, informacin acerca de las reas y tipos de evidencia que se pueden encontrar en ellas. Posteriormente, se proveer informacin acerca de las herramientas que existen en el mercado que colaboran en las investigaciones forenses en redes inalmbricas. Y finalmente, se desarrollar un demo que soporte la teora descrita.

frecuencias del espectro electromagntico, para su funcionamiento, en el cual establecen una conexin entre los dos puntos que requieren iniciar una llamada, manteniendo dicha conexin por la duracin de la misma [2]. Un ejemplo especfico es la red de telefona celular. Usualmente, estas redes permiten la interconexin del usuario mvil a la red de su empresa, a travs de Internet. Y en el segundo grupo, se analizarn las redes LAN inalmbricas (WLAN), usadas para comunicacin de rea local, e implementada y administrada directamente por la compaa usuaria. Esta divisin obedece a las diferencias en su funcionamiento, en sus componentes constitutivos, en el cubrimiento, entre otras. 2.1 Estructura y Funcionamiento.

Existen diferentes tecnologas de telefona celular, como son [3]: Primera Generacin: con sistemas de conmutacin de circuitos anlogos, como AMPS Segunda Generacin: con sistemas de conmutacin de circuitos digitales, como GSM, IS-136, IS-95 Generacin 2.5: Sistema de conmutacin de paquetes digitales, como GPRS / EGPRS Tercera Generacin: Sistema de conmutacin de paquetes digitales, como UMTS y cdma2000 La figura 1, ilustra los principales componentes de la arquitectura del sistema TDMA (IS-95), comnmente empleado en Colombia.

Redes Inalmbricas basadas en conmutacin de Circuitos

Como punto de partida al proceso de investigacin forense en redes inalmbricas, es necesario conocer la arquitectura de dichas redes, entendiendo su arquitectura y funcionamiento, de forma que se pueda establecer el mapa de conectividad. Con este fin, se dividirn las redes inalmbricas en dos grupos; En el primero, redes inalmbricas basadas en conmutacin de circuitos, se incluyen las redes que requieren asignacin de

AUC BTS MS BTS BTS HLR VLR MSC PSTN

Mobile Station

Base Station Subsystem

Network Subsystem

Figura 1. Arquitectura del sistema TDMA [3]

2.1.1 Componentes Como se muestra en la figura 1, algunos de los componentes de la redes digitales inalmbricas, basadas en conmutacin de de circuitos incluyen [2], [3], [4]: 1. MS: Mobile Station o estacin mvil, es el dispositivo mvil utilizado para comunicarse con la red; por ejemplo, telfonos celulares, mdems inalmbricos para uso con porttiles, o equipos de mano (handsets). Usualmente, los dispositivos mviles cuentan con un nmero de identificacin nica del equipo, que para el caso de TDMA, corresponde al ESN (Electronic Serial Number) impreso en la parte posterior del equipo. Adicionalmente, para IS-95, el dispositivo mvil incluye el nmero de telfono (Mobile Identification Number: MIN) y las llaves de autenticacin. 2. BTS: Base Transceiver Station o estacin base, es el elemento de red que permite la comunicacin entre las estaciones mviles y la red alambrada. Se encarga de las tareas de administracin del radio-enlace. Esta compuesta por las antenas de transmisin/recepcin, traductores de seal y equipo de soporte. En el caso de redes inalmbricas de alto trfico, se cuenta adicionalmente con una estacin base controladora (BSC), encargada de manejar un grupo de estaciones base y de efectuar las tareas de conmutacin de llamadas entre las mismas (handoff), escalando as la red hacia las MSC (Mobile Switching Center). Usualmente la comunicacin entre las BTS y la BSC es de forma inalmbrica y en algunos casos, no encriptada, convirtindose as en un punto vulnerable. 3. MSC: Mobile Switching Center o centro de conmutacin mvil, determina la asignacin de canales, realiza el proceso de inicializacin de llamadas, decide la necesidad de efectuar conmutacin de llamadas entre BTS (handoff) basada en la informacin de medidas de potencia proporcionada por las estaciones base y realiza el proceso de transmisin de mensajes de paging a la estacin base

destino. Adicionalmente, permite la interconexin de llamadas entre dispositivos propios de su red, con otras redes como Internet, PSTN3 y otras redes inalmbricas. Para el caso de interconexin con redes de datos, la conexin se realiza va un IWF o Interworking Function como por ejemplo un ISP4 externo. El IWF es esencialmente un banco de mdems y equipos que desarrollan los protocolos de conversin para conectar el MSC a otras redes de datos. 4. AUC: authentication Center o centro de autenticacin, es usado durante el acceso inicial a la red, para autenticar un usuario (dispositivo mvil), disminuyendo las posibilidades de fraude. Aqu se emplean llaves de cifrado o encripcin, que proporcionan un nivel de seguridad para el subscriptor en las comunicaciones en el radio enlace. 5. HLR : Home Location Register, contiene informacin del subscriptor, referente a sus capacidades mviles contratadas (clase de servicio), la identificacin de la unidad mvil, la ubicacin actual de la misma ya sea en el rea de cubrimiento de la red proveedora o de otras redes celulares (roaming), la informacin de autenticacin, el nombre de la cuenta y la direccin de facturacin. 6. VLR: Visitor Location Register, almacena informacin fsica, electrnica y de radio, acerca de todos los usuarios que estn actualmente autenticados dentro de una red particular del MSC, utilizada en la inicializacin de una llamada; dicha informacin incluye la localizacin actual del dispositivo mvil y el estado del mismo (activo, en espera, etc.). Cuando un usuario est cruzando hacia una nueva MSC, la VLR correspondiente pedir informacin a la HLR del suscriptor, para crearle un registro. Al mismo tiempo, el HLR actualizar su registro con el nombre de la VLR a la que el suscriptor est actualmente asociado. El registro de la
3 4

PSTN: Public Switched Telephone Network ISP: Internet Service Provider

VLR asociada a la MSC abandonada, es borrado, y se notifica dicho proceso a la HLR. Otros componentes de la red inalmbrica incluyen, 7. OMC: Operation and Maintenance Center o Centro de operacin y administracin, que realiza tareas administrativas como obtener datos de la MSC para propositos de facturacin y administra los datos de la HLR. Adems, proporciona una visin del estatus de operacin de la red, la actividad de red y las alarmas. A travs de ste, es posible examinar una o rastrear una llamada mvil particular en progreso (mbile trace). 8. SM-SC: Short Message Service Center o centro de servicio de mensajes cortos (mximo 160 caracteres por ejemplo), permite el envo de mensajes SMS desde un dispositivo mvil a otro, o desde un PC a un dispositivo mvil. Usualmente stos mensajes se envan sobre canales de control, por lo que no requieren el establecimiento de una llamada y por lo tanto no utilizan canales de trfico. 2.1.2 Funcionamiento Una breve descripcin del proceso que tiene lugar en la red inalmbrica, desde el momento en que se enciende el dispositivo mvil, hasta cuando se activa para realizar una llamada y se da por terminada la misma, se realizar a continuacin, teniendo como base la descripcin de los elementos de la red inalmbrica realizada anteriormente. [2], [4]. 1. Encendiendo el dispositivo mvil: Una vez que el dispositivo mvil es encendido, se entra en un estado de no-conversacin, en el cual el equipo busca con la estacin base ms cercana, la frecuencia de control o inicializacin para poder registrarse y autenticarse con la red e informarle a la misma de su rea de localizacin. Para ello, el MSC correspondiente a dicha rea, informa al VLR del rea de localizacin del dispositivo mvil que se ha reportado, y a la vez, verifica si el equipo pertenece a su propia red o se encuentra en estado de

roaming; en caso de no encontrarse en la red propia, se genera una comunicacin entre las redes de los dos operadores, de forma que se transfiere informacin de servicio desde el HLR del suscriptor hacia el VLR de la red visitada. Por ltimo, el HLR del suscriptor es actualizado con el nombre de la VLR en la que el suscriptor esta actualmente registrado, ya sea propia o de una red externa. El anterior proceso no slo se cumple durante el encendido del dispositivo, sino tambin cada vez que el mvil cambia de celda (la seal de control entre el mvil y la estacin base primaria es dbil o tiene bits errados) o cuando un temporizador peridico en la estacin mvil reinicia el proceso de bsqueda y registro. 2. Estado de espera: Una vez cumplido el registro y autenticacin del MS en la red inalmbrica, se entra en un estado de espera en el que la estacin mvil permanece en contacto con la estacin base (al monitorear continuamente el canal de control), de forma que pueda responder en caso de una llamada entrante o que pueda generar una llamada saliente (el usuario la inicia). Adicionalmente, y como se mencion anteriormente, en este estado el dispositivo mvil escana automticamente la red, en bsqueda de una seal de control ms potente (cambio de celda) o se vuelve a registrar con la red, a solicitud de la misma, para actualizarla con su rea de localizacin y dejarle saber que an se encuentra encendido. As, si alguien desea llamar al suscriptor, la red difunde la llamada a todas las estaciones base reportadas en el rea de localizacin y espera la respuesta de aquella que concuerde con el nmero de identificacin incluido en la llamada; una vez recibida la respuesta, se inicia la negociacin de la llamada (asignacin de un canal de trfico para intercambio de informacin). 3. Proceso de Registro: En el ejemplo siguiente para redes GSM, se muestran algunas de las transacciones que ocurren durante el registro del MS con las redes celulares digitales modernas, o sistemas

PCS5. Hay que notar que el proceso de encripcin no se lleva a cabo durante todo el proceso de registro en los sistemas IS136 y es opcional en el tiempo de llamada. MS BS Mensaje Solicitud de Canal Asignacin de canal (portadora, spot, etc.) Solicita actualizacin de localizacin (enva IMSI6) Autentica solicitud Autentica la respuesta Solicita entrar en modo cifrado Reconoce modo cifrado7 Confirma actualizacin y asigna TMSI8. Acepta (Ack) Libera el canal En GSM, cuando el modo de cifrado es establecido, se acuerda una llave de cifrado entre el mvil y la estacin base (CKSN: Ciphering Key Sequence Number). En contactos posteriores, el MS enva un mensaje con el CKSN a la estacin base, quien lo compara con el valor que tiene almacenado, evitando as que el proceso deba repetirse nuevamente (si las llaves corresponden), al querer enviar mensajes. Es importante notar que tanto en GSM, como en IS-95 e IS-136, existen durante la comunicacin, mensajes que no se encuentran cifrados y que pueden ser capturados para emplearlos en la clonacin de celulares.
5 6

4. Inicializacin de llamadas: Una llamada con destino el mvil, es ms demorada de inicializar que una originada por el mvil, puesto que es necesario que el sistema divulgue en el rea de localizacin conocida del mvil, un llamado en busca de la localizacin exacta del mismo. Una vez establecida comunicacin entre la MS y la BS, se generan registros temporales en el MSC indicando dicha localizacin (por mximo 72 horas, dependiendo del operador de red) y se actualizan los datos de el HLR y de los registros de facturas (incluye los nmeros telefnicos transmisores y receptores, la hora de la llamada y duracin de la tarifa, entre otros). Es posible conocer una ubicacin aproximada del mvil (100 metros a la redonda, segn la tecnologa empleada), durante el tiempo en que la llamada este en progreso; esta es una caracterstica que aprovechan los servicios basados en ubicacin (durante el proceso de registro normal, repetido o forzado, se puede conocer tambin la localizacin aproximada del mvil, segn los acuerdos entre el operador, el usuario y otras empresas). 5. Recepcin de mensajes cortos (SMS: Short Messanging Service): con este servicio, un suscriptor puede intercambiar mensajes alfanumricos entre el dispositivo mvil, la red inalmbrica y cualquier dispositivo capaz de enviar o recibir mensajes (otro mvil o un computador). Si el mvil esta reportado como inactivo en el HLR, y dependiendo del contrato existente con el suscriptor, los mensajes pueden ser almacenados cierto tiempo por la red, en el centro de servicio de mensajes cortos (SM-SC), de forma que se garantice la entrega al suscriptor. Usualmente, la entrega de mensajes cortos no requiere la asignacin de canales de trfico (se hacen por el canal de control), luego no se genera reporte de facturacin, aunque si se debe realizar el proceso de ubicacin del MS y actualizacin del VLR y del HLR. 6. Envo de datos o faxes: Adicional al servicio de voz, los sistemas celulares

PCS: Personal Communication System IMSI: Internacional Mobile Suscriber Identity. 7 Mensajes en azul negrilla, estn encriptados. 8 TMSI: Temporary Mobile Suscriber Identity.

digitales proporcionan el servicio de circuitos conmutados de datos y FAX, que permiten al suscriptor el envo de datos por la red inalmbrica, empleando para ello adaptadores especiales conectados o incorporados a la MS, que se encargan de la traduccin de seales9. Actualmente este servicio es ofrecido a velocidades de 22.4 kbps para GSM y 13 kbps para IS136, lo que limita las transmisiones de imgenes o video. Se espera que las redes inalmbricas de tercera generacin, permitan a los dispositivos mviles permanecer en un estado de siempre encendido y conectado a la red, listo para enviar o recibir datos cuando sea necesario y con la capacidad de distribuir el ancho de banda de forma dinmica segn los requerimientos. Esto ocasionara, en cuanto a las investigaciones forenses, que nuevos elementos de red deban ser monitoreados en bsqueda de informacin, incluyendo dispositivos de las redes alambradas como enrutadores, que la bsqueda y localizacin de los dispositivos mviles pueda ser ms aproximada y que se puedan implementar opciones para la intercepcin legal de suscriptores, por parte del personal de la fuerza pblica. 7. Servicios basados en localizacin: Las tecnologas de posicionamiento de equipos permiten calcular la ubicacin y direccin (si est en movimiento) de un suscriptor con cierto grado de exactitud (usualmente en un rango de 100 metros). Basado en ello, los operadores pueden ofrecer a los suscriptores, servicios basados en localizacin, como ofertas publicitarias cercanas, informacin de trfico, de clima, servicios de emergencia (911), etc. En ste ltimo caso, el operador puede ayudar en el proceso de socorrer a una vctima, al proporcionar su ubicacin aproximada. Hay que tener en cuenta que la
9

informacin de ubicacin es voltil en el tiempo, dependiendo en muchos casos de la batera del dispositivo. Una vez se cuenta con el conocimiento bsico de la estructura y el funcionamiento de las redes inalmbricas, se puede proseguir en el anlisis forense, con la bsqueda e incautacin de evidencia y con el descubrimiento de informacin dentro de un caso de investigacin forense [5]. Para ello, se indicar a continuacin el tipo de informacin que almacena cada elemento en la red inalmbrica y las vulnerabilidades que contiene la misma. 2.2 Tipo de Informacin que contiene la red y se encuentra en cada elemento.

En el caso de que se presente un incidente y sea necesario llevar a cabo una investigacin o para realizar auditorias en el sistema, se requiere un previo conocimiento de dnde ir a buscar la informacin requerida. En una red inalmbrica de circuitos conmutados la informacin se encuentra distribuida, generalmente en tres reas: las estaciones mviles y/o equipos en dnde se encuentren conectados, los componentes que conforman la red y, en algunos casos, las redes a las que se acceden a travs de la red inalmbrica. No est de ms recordar que el tiempo es una variable esencial en la recoleccin de la informacin, debido a los niveles de volatilidad de la misma. 2.2.1 Estacin Mvil [2][35]

Los sistemas modernos (GPRS, CDPD, CDMA2000, etc), se estn habilitando para realizan conmutacin de paquetes, de forma que emplean un enlace de radio compartido por muchos usuarios, para las comunicaciones de datos.

Las estaciones mviles pueden contener evidencia asociada a las actividades del titular, que puede estar siendo investigado. Se debe evitar utilizar el aparato. Si es necesario accederlo, todas las acciones asociadas con la manipulacin del aparato deben ser documentadas en orden y, adems, mantener el documento de la cadena de custodia, para pueda ser admitido en un juicio como prueba. Algunas estaciones mviles incluyen la funcionalidad de ser conectadas a otros

equipos, como porttiles y handheld (Palm o Pocket PC). En estos equipos es factible encontrar informacin como fechas, horas, logs de sesin, contactos, entre otros. Por ejemplo, al utilizar un mdem inalmbrico en un porttil para conectarse a travs de una red inalmbrica a otras redes de computadores, en este ltimo reside informacin de la sesin con la nueva red, nmero marcados para realizar la conexin, etc. Esta informacin resulta til para relacionar los eventos ocurridos en las redes involucradas y los pasos realizados por el usuario e informacin de sus actividades. Por otro lado se encuentran la informacin en las estaciones mviles. Dependiendo del tipo, las estaciones mviles manejarn diferentes datos que pueden resultar muy tiles al momento de la investigacin. La informacin es almacenada en la memoria de estos equipos, alguna de ella es voltil. Evidencia potencial encontrada en los equipos, dependiendo de su funcionalidad, se descubren llamadas realizadas, recibidas y perdidas, listas de telfonos, nmeros de marcado rpido, informacin de acceso a Internet o e-mail, calendario de citas, lenguaje preferido, nmero de tarjetas prepagadas. Otra informacin que se almacena en la memoria es la llave de cifrado, nmero PIN (Person Identification Number), IMSI y el nmero del telfono. Con estos datos se pueden obtener fcilmente la identificacin del suscriptor (posiblemente el dueo del aparato), ubicacin de dnde se hicieron las ltimas llamadas, hacer un rastreo del suscriptor con la informacin almacenada en los componentes de la red inalmbrica. Los mensajes SMS ofrecen otra fuente de informacin, generalmente en los equipos mviles guardan los mensajes de entrada y los enviados. Existen herramientas en el mercado especializada en la extraccin de la evidencia de las estaciones mviles. Reglas On/Off: Si el aparato est encendido (ON), no apagarlo (OFF)

Apagarlo puede activar la opcin de bloqueo. Escriba toda la informacin en el display del aparato, fotografelo si es posible. Verificar la carga antes de transportarlo, recargarlo. Si el aparato est apagado (OFF), djelo apagado (OFF) Encenderlo podra alterar la evidencia en el aparato, al igual que en los computadores. Si no es un experto, llvelo a uno para que realice el anlisis. Es recomendable tener los manuales correspondientes al aparato.

2.2.2

Componentes de la red [36][2]

Para la recoleccin y anlisis de informacin en esta rea necesita un profundo conocimiento de las redes inalmbricas, los radio-enlaces, experticia en mtodos forenses. Cada uno de los elementos que componen la red son la ms valiosa fuente de informacin si estn configurados para que registren los eventos o existen herramientas o mecanismos que lo hagan. Es de especial cuidado el tiempo; un da ms en la recoleccin de la informacin puede afectar toda la investigacin. El volumen de los logs que generan los elementos de una red crece a gran velocidad, por lo que la informacin es almacenada a corto, mediano y largo tiempo. Es necesario que los administradores de la red definan los datos y el tiempo que se van a mantener almacenados. Otro aspecto delicado son las implicaciones legales, se debe ser cuidadoso con la informacin que se est monitoreando y registrando. Esta informacin pertenece a los usuarios y debera ser privada. La informacin que se encuentra en una red inalmbrica de circuitos virtuales se puede encontrar encriptada en ciertos sectores, la cual debe ser procesada para su posterior interpretacin. Dependiendo de las caractersticas de los SBSC, como la capacidad de almacenamiento y/o

algn mecanismo de vaciado en disco (en otro equipo), es posible mantener los mensajes SMS por un corto periodo de tiempo para su posterior recoleccin y anlisis. En este componente se encuentran los mensajes que no han sido recuperados por el suscriptor, convirtindose en informacin potencial para la investigacin. Elementos como HLR, VLR, AuC contienen informacin relevante al suscriptor. Se pueden relacionar el contenido o la informacin que generan estos componentes, relacionarla con los valores de las estaciones mviles encontradas y/o analizadas y hacer el seguimiento. Estos elementos y el resto dentro de la red (MSC, BTS, etc) deben estar conectados a un OMC o a un servidor para la recoleccin de los datos de cada uno y reportar eventos anormales y alarmas. Un operador OMC o el servidor designado puede almacenar estadsticas del sistema, informacin en tiempo real de las actividades de un suscriptor, conocer la ubicacin de este (los sitios dnde y dnde no el aparato funciona) puede ser muy til para la investigacin. La mayora de la informacin es generada por los MSC y otra informacin valiosa est recopilada en los componentes conectados a ellos. La informacin es enviada a un sistema en para analizar la informacin, la procesan y por ltimo la registran. Esta informacin es recolectada por cualquier operadora de servicios de telefona celular y conforman una buena fuente de datos. La informacin es organizada en registros, en los que se incluyen los registros de facturas, de fraudes, de seguridad y de datos de operacin, principalmente, Registros de Facturacin: Los registros de facturacin CDR (Charging Detail Records) son enviados al sistema que maneja la facturacin en un dispositivo externo. Estos registros contienen informacin para cada llamada realizada como nmero que se llam, el da de la llamada, duracin, entre otros [2], organizados por clientes para efectos de facturacin. Estos registros son archivados y estn disponibles en un periodo aproximado

de varios aos, dependiendo de las polticas de la operadora. Un aspecto importante en este proceso es la facturacin de las llamadas que afectan varias redes, por ejemplo el roaming. Se genera un CDR en el primer MSC que recibe la llamada y otro por cada MSC que pasa perteneciente a otras operadoras. De los registros de facturacin se pueden obtener patrones de comportamiento de los usuarios, hacer seguimiento a las llamadas y en que rea las realiza. Registros de Fraudes: El sistema que maneja las posibles actividades fraudulentas, tambin recibe los CDR, los analiza para detectar patrones inusuales o poco normales en los suscriptores, como el nmero de telfonos a los que usualmente marca (menos de 20 nmeros) y el rea donde se realizan las llamadas. De esta forma los registros que indiquen comportamientos extraos son retenidos y almacenados. Registros de Seguridad: Son recolectados en caso de requerimientos solicitados especialmente por ciertos organismos, como entidades oficiales, polica, o cualquier otra entidad competente legalmente para hacerlo. Se debe supervisar las acciones que se realicen en la recoleccin y manejo y eliminacin de la informacin. Una vez terminado el proceso de investigacin y entregada la informacin requerida, este debe ser borrada. Registros de Datos de Operacin: Son los registros de ms bajo nivel de desagregacin, describen los detalles de las operaciones en la red. Estos registros contienen campos como intento de llamada al telfono del suscriptor, si el intento fue exitoso, si la llamada termin normal o abruptamente, fecha y hora de la llamada, potencia de la seal entre el aparato mvil y el BTS, el sitio de la clula dnde fue realizada la llamada, el canal utilizado, y mucha ms informacin dependiendo del sistema [2]. Tales niveles de detalle producen un alto crecimiento en el espacio de almacenamiento,

ocasionando volatilidad de la informacin, debido a que no puede estar siempre almacenada y disponible. De aqu la fragilidad del procedimiento, se necesita una rpida reaccin del investigador, el tiempo es oro. 2.2.3 Redes visitadas En algunas ocasiones cuando el usuario utiliza estaciones mviles para conectarse a otras redes, mucha de la informacin se encontrar en estas. Esto tambin sucede, por ejemplo, en las redes de telefona inalmbrica en caso de roaming. La informacin en esta rea es, quizs, la ms complicada de obtener, debido a que la red visitada puede estar en otra ciudad, en otro pas, adems de la distancia, existen obstculos como la disponibilidad de la informacin por falta de contacto entre las partes involucradas (redes accedidas y la red en cuestin).

Tambin se hace importante el uso de este tipo de redes con la implementacin de los nuevos dispositivos porttiles con extensiones de interconexin a WLANs. Actualmente este mercado est teniendo gran aceptacin por muchos motivos, como ser la movilidad, el bajo costo y la facilidad de uso. De todo esto, es claro que la tecnologa inalmbrica (wireless) dar mucho que hablar y cambiar la forma de acceder a la informacin. Actualmente es necesario sentarse frente a una computadora o una mquina esttica dedicada a esta tarea. En un futuro (ser hoy?) a dems de escuchar el walkman se podrn leer las noticias, leer el correo electrnico o configurar el servidor de la empresa directamente desde una PDA o un celular. [6] 3.1 Tecnologa WLAN

Redes Inalmbricas de rea Local o WLAN

Segn el diseo requerido se tienen distintas tecnologas aplicables: [13] Banda estrecha: Se transmite y recibe en una especfica banda de frecuencia lo ms estrecha posible para el paso de informacin. Los usuarios tienen distintas frecuencias de comunicacin de modo que se evitan las interferencias. As mismo un filtro en el receptor de radio se encarga de dejar pasar nicamente la seal esperada en la frecuencia asignada. Banda ancha: Es el usado por la mayor parte de los sistemas sin cable. Fue desarrollado por los militares para una comunicacin segura, fiable y en misiones crticas. Se consume ms ancho de banda pero la seal es ms fcil de detectar. El receptor conoce los parmetros de la seal que se ha difundido. En caso de no estar en la correcta frecuencia el receptor, la seal aparece como ruido de fondo. Infrarrojos: No es una tcnica muy usada, donde se usan frecuencias muy altas para el transporte de datos. Como la luz, los infrarrojos no pueden traspasar objetos opacos.

WLAN son las siglas en ingls de Wireless Local Area Network. Es un sistema de comunicacin de datos flexible muy utilizado como alternativa a la LAN cableada o como una extensin de sta. Utiliza tecnologa de radio frecuencia que permite mayor movilidad a los usuarios al minimizarse las conexiones cableadas. [6] Una LAN inalmbrica es un sistema de comunicacin flexible y dinmico que transmite y recibe informacin por el aire. Por lo general, las redes inalmbricas hacen parte de redes ms grandes fijas (Cableadas). Los Puntos de Acceso (AP) actan como interfaz para la integracin con las redes LAN cableadas. Las estaciones inalmbricas poseen tarjetas de red (NIC) que funcionan como interfaz entre las estaciones y los APs a travs de transmisiones de frecuencias de radio (RF). [7] Cada da se reconocen ms este tipo de redes en un amplio nmero de negocios y se augura una gran extensin de las mismas y altas ganancias.

Sistemas directos baratos se utilizan en redes personales de rea reducida y ocasionalmente en LAN's especficas.

3.3

Configuracin de WLANs

Pueden ser simples o complejas. La ms bsica se da entre dos computadores equipados con tarjetas adaptadoras para WLAN, de modo que pueden poner en funcionamiento una red independiente siempre que estn dentro del rea que cubre cada uno. Esto es llamado red de igual a igual o Punto Punto. Cada cliente tendra nicamente acceso a los recursos de otro cliente pero no a un servidor central. Este tipo de redes no requiere administracin o preconfiguracin. [7]

3.2

Funcionamiento

Se utilizan ondas de radio o infrarrojos para llevar la informacin de un punto a otro sin necesidad de un medio fsico. [6] Las ondas de radio son normalmente referidas a portadoras de radio ya que stas nicamente realizan la funcin de llevar la energa a un receptor remoto. Los datos a transmitir se superponen a la portadora de radio y de este modo pueden ser extrados en el receptor final. Esto es llamado modulacin de la portadora por la informacin que est siendo transmitida. Varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas, si las ondas son transmitidas a distintas frecuencias de radio. Para extraer los datos el receptor se sita en una determinada frecuencia ignorando el resto. En una configuracin tpica de LAN sin cable, los puntos de acceso (transceiver) conectan la red cableada de un lugar fijo mediante cableado normalizado. El punto de acceso recibe la informacin, la almacena y transmite entre la WLAN y la LAN cableada. Un nico punto de acceso puede soportar un pequeo grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. El punto de acceso (o la antena conectada al punto de acceso) es normalmente colocado en alto pero podra colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN a travs de adaptadores. Estos proporcionan una interfaz entre el sistema operativo de red del cliente (NOS: Network Operating System) y las ondas, va una antena. La naturaleza de la conexin sin cable es transparente al sistema del cliente. [6] [8]

Figura 2. Red Punto - Punto Instalando un Punto de Acceso (APs) se puede doblar el rango al cul los dispositivos pueden comunicarse, pues actan como repetidores. Una vez conectado el punto de acceso a la red cableada, cualquier cliente tiene acceso a los recursos del servidor y adems actan como mediadores en el trfico de la red en la vecindad ms inmediata. Cada punto de acceso puede servir a varios clientes, segn la naturaleza y nmero de transmisiones que tienen lugar. Los puntos de acceso tienen un rango finito, del orden de 150m en lugares cerrados y 300m en zonas abiertas. En zonas grandes como por ejemplo un Campus Universitario o un edificio es necesario ms de un punto de acceso. La meta es cubrir el rea con clulas que solapen sus reas de modo que los clientes puedan moverse sin cortes entre un grupo de puntos de acceso. Esto es llamado "Roaming". [6]

10

Figura 5. Uso de un Antenas de Direccin Figura 3. Mltiples Puntos de Acceso Para resolver problemas particulares de topologa, el diseador de la red puede elegir usar un Punto de Extensin (EPs) para aumentar el nmero de puntos de acceso a la red, de modo que funcionan como tales pero no estn enganchados a la red cableada como los puntos de acceso. Los puntos de extensin funcionan como su nombre indica: extienden el rango de la red retransmitiendo las seales de un cliente a un punto de acceso o a otro punto de extensin. Los puntos de extensin pueden encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de modo que se construye un "puente" entre ambos. [6] [7] 3.4 Ventajas de las WLANs

Es clara la alta dependencia en los negocios de la actualidad de la redes de comunicacin. Por ello la posibilidad de compartir informacin sin que sea necesario buscar una conexin fsica permite mayor movilidad y comodidad. As mismo la red puede ser ms extensa sin tener que mover o instalar cables. Utilizando una WLAN se puede acceder a informacin compartida sin necesidad de buscar un lugar para enchufar el computador, y los administradores de la red pueden poner a punto o aumentar la red sin instalar o mover cables. Veamos ms ampliamente sus beneficios. Frente a las redes tradicionales se tienen las siguientes ventajas en cuanto a productividad, comodidad y costes: [6] [13] Movilidad: Permite el acceso a informacin en tiempo real desde cualquier lugar para todo usuario de la red. Brindando mayor productividad y posibilidades de servicio. Facilidad de instalacin: Al evitar obras para extensin de cables por muros y techos. Flexibilidad: Permite llegar donde el cable no puede. Realizar cambios por motivos de ergonoma o simplemente decorativos sin necesidad de tener que reestructurar o rehacer el cableado.

Figura 4. Uso de un Punto de Extensin Uno de los ltimos componentes a considerar en el equipo de una WLAN es la Antena Direccional. Por ejemplo: se quiere una LAN sin cable a otro edificio a 1Km de distancia. Una solucin puede ser instalar una antena en cada edificio con lnea de visin directa. La antena del primer edificio est conectada a la red cableada mediante un punto de acceso. Igualmente en el segundo edificio se conecta un punto de acceso, lo cul permite una conexin sin cable en esta aplicacin. [6]

11

Reduccin de costes: Cuando se dan cambios frecuentes o el entorno es muy dinmico el coste inicialmente ms alto de la red sin cable es significativamente ms bajo, adems de tener mayor tiempo de vida y menor gasto de instalacin. Escalabilidad: Hacer cambios en la topologa de red es sencillo, tratando de forma igual tanto redes pequeas como grandes. Estndar IEEE 802.11

El rango de requerimientos de usuario impedan el soporte simultneo de estaciones fijas, mviles y estaciones vehiculares. El permitir mltiples medio de transmisin, especialmente en la tecnologa de radio frecuencia, la cual requiere de complicadas estrategias para cubrir la variacin del tiempo en el canal de transmisin.

3.5

El grupo IEEE, desarrollo el estndar 802.11 de LANS inalmbricas para asegurar compatibilidad y disponibilidad en los productos. [8] El estndar 802.11, se enfoca en las dos ltimas capas del modelo OSI; la capa fsica y la capa de enlace de datos.

Debido a esto, las WLAN, nicamente son compatibles con las LANs cableadas existentes (incluyendo Ethernet) en la Subcapa de Control de Enlaces Lgicos (LLC). [8] Sin embargo por restricciones, el rango de aplicaciones de stas, requieren estaciones fijas y por reordenamiento, para la tecnologa infrarroja, es posible rehusar cualquiera de las Subcapas MAC. [8] Una LAN 802.11 est basada en una arquitectura celular donde el sistema est subdivido en celdas. Cada celda (llamada Basic Service Set, o BBS en la nomenclatura 802.11) es controlada por una Base Station (llamada Access Point). Aunque una WLAN puede ser formada por una simple celda, con un simple AP, muchas instalaciones estarn formadas por varias celdas, donde los APs son conectados a travs de alguna clase de backbone (llamado Distribution System o DS). Este backbone es tpicamente Ethernet y en algunos casos, es la wireless misma. La WLAN completa interconectada, incluyendo las diferentes celdas, sus respectivos APs y el DS, es visto como una simple red 802 para las capas superiores del modelo OSI y es conocido en el estndar como el "Extended Service Set "(ESS). [7]

Figura 6. Estndar 802.11 Vs. Modelo OSI La subcapa de Control de Acceso al Medio (MAC) tiene capacidad de acceder varios medios de transmisin y con un rango aceptable para los requerimientos del usuario. [6] En sus comienzos el protocolo tuvo estos inconvenientes, por parte del usuario:

12

Valor de identificacin programado en el punto de acceso o grupo de puntos de acceso para identificar un cliente en un segmento de red. La segmentacin de una red inalmbrica en mltiples redes proporciona un mecanismo de autenticacin. Si una estacin inalmbrica no conoce el SSID, el acceso a un punto es denegado. Cuando un cliente se conecta a un punto de acceso, el SSID acta como contrasea proporcionando un mecanismo bsico de seguridad. Por si solo, el SSID es un mecanismo de seguridad bastante dbil ya que su valor es conocido por todas las tarjetas de red y puntos de acceso. Adicionalmente, porque es transmitido a travs del aire y ondas de radio sin encriptacin y puede ser capturado fcilmente. Los puntos de acceso envan sus SSIDs haciendo uso de multidifusin. Los clientes reciben los SSIDs y los usan para acceder a los Puntos de Acceso. [8] 3.6.1 Algoritmo WEP

Figura 7. WLAN 802.11 Tpica 3.6 Servicios de Seguridad

A medida que las WLANs se hacen ms populares, la seguridad, el roaming y la configuracin de estas se hacen cada vez ms complicadas. Al igual que en redes LAN (cableadas), las redes inalmbricas deben poseer caractersticas de seguridad y confiabilidad. El trfico inalmbrico es transmitido a travs de un medio compartido como es el aire o mas precisamente, sobre ondas de radio. Debido a esto, la red es ahora accesible no solo desde a dentro del edificio, sino tambin desde afuera. Se deben implementar nuevos esquemas de seguridad para prevenir potenciales robos de datos. Algunos mtodos para asegurar el acceso a los Puntos de Acceso (AP), son: Configuracin de los Puntos de Acceso IEEE 802.11 con un servicio de identificacin (SSID: Service Set Identifier). Haciendo uso del algoritmo WEP (Wired Equivalent Privacy). Filtraje de direcciones MAC. Configuracin de VPNs (Virtual Private Networks) a travs de LANs de radio frecuencia. Nota: Se recomienda la implementacin de los cuatro mtodos de control de acceso para garantizar mayor robustez en la seguridad de la arquitectura IEEE 802.11. SSID

El protocolo de seguridad WEP fue desarrollado para garantizar la seguridad con respecto a atributos fsicos de la red. El WEP es el estndar de encriptacin especificado por la arquitectura IEEE 802.11. WEP encripta los paquetes y su contenido para garantizar la privacidad de la informacin de los usuarios autorizados. WEP hace uso de una llave secreta (de 40 bits o de 104 bits) para llevar a cado la autenticacin y la encriptacin. Esta llave es concatenada con un vector de inicializacin de 24 bits resultando en una llave de 64 o 128 bits. Los puntos de acceso envan paquetes cifrados de desafo a los clientes que se desean conectar. Los clientes encriptan su respuesta y las envan de regreso al punto de acceso para autenticarse y obtener acceso a la red. La estacin cliente y el punto de acceso usan la misma llave para encriptar y desencriptar los datos.

13

3.6.3 VPNs Redes de alta seguridad deben incorporar soluciones VPN en su comunicacin con redes inalmbricas. Las VPNs proveen un canal dedicado y seguro a travs de redes no seguras como son el Internet y las redes inalmbricas. Una VPN se conforma por un servidor VPN y una VLAN entre puntos de acceso y el servidor VPN. El servidor VPN acta como una puerta de enlace a redes privadas, proporcionando autenticaron y total encriptacin sobre la red inalmbrica. Se puede obtener acceso a redes inalmbricas IEEE 802.11 estableciendo conexiones seguras VPN haciendo uso de protocolos de tunneling. [8] Figura 8. Intercambio de Llaves [13] En una WLAN, todas las llaves WEP deben ser administradas manualmente, ya que no existen protocolos de administracin para la distribucin de estas. Esto con lleva a una de las debilidades de WEP; est es vulnerable a ataques. Las llaves WEP son estticas, lo que las hace susceptibles a ataques de respuesta de contraseas, inyeccin de trfico y ataques estadsticos. El cambiar las llaves WEP regularmente puede reducir los riesgos en la seguridad. Hackers pueden explotar la vulnerabilidad al interceptar trfico, cambiar bits e inyectar los paquetes modificados en la red. [13] 3.6.2 Filtro de Direcciones MAC 3.7 Vulnerabilidades en la Seguridad de WLANs

La tecnologa WLAN esta siendo adoptada por infraestructuras corporativas de IT (Tecnologa de Informtica), cada vez ms y ms; convirtindose en una pieza clave de cada organizacin. Los desarrolladores de dispositivos porttiles son los principales responsables de la alta tasa de adopcin de esta tecnologa an inmadura, al incorporar en sus dispositivos con tarjetas de red inalmbricas. La comunidad de usuarios esta respondiendo a las tendencias del mercado al incluir en sus redes fsicas acceso por medio de redes inalmbricas. Una vez pase la novedad de esta nueva tecnologa, la mayora de corporaciones comenzarn a tener en cuenta los riesgos que pueden implicar el uso de un medio con tan poco control. Tradicionalmente, los dispositivos de red siempre se han conectado fsicamente a la red antes de obtener acceso a sus recursos. Esto ha permitido a las organizaciones el poder restringir fsicamente el acceso a la red. Este no es el caso cuando se trata con redes inalmbricas. Debido a la inherente naturaleza abierta de las redes inalmbricas y al anonimato de sus conexiones; stas, cada da, se estn convirtiendo ms y ms en puertas traseras para acceso a las redes. Se debe tener en cuenta que el rango efectivo de las redes inalmbricas puede abarcar espacios fuera de

Cada cliente posee una direccin MAC nica en su tarjeta de red IEEE 802.11. Para asegurar los Puntos de Acceso se puede hacer uso del filtraje de direcciones MAC. Para ello, cada punto de acceso debe tener una lista (Lista de Control de Acceso) con direcciones MAC autorizadas. El filtraje de direcciones MAC es una tcnica bastante efectiva pero consume tiempo ya que las listas de control deben ser llenadas manualmente; y el mantener actualizadas las tablas puede llevar a una gran cantidad de trabajo. [8]

14

los limites fsicos de una corporacin, dificultando la restriccin de acceso a la red. [9] Todos los sistemas de computacin y canales de comunicacin se enfrentan diariamente a amenazas de seguridad que comprometen dichos sistemas, los servicios que proporcionan y los datos almacenados o transmitidos entre los sistemas. Las amenazas ms comunes son para los sistemas inalmbricos son: Visibilidad Negacin del Servicio Intercepcin Manipulacin Enmascarar

Debido a esto, cuando se usan redes inalmbricas se deben tener en cuenta aspectos como un fuerte esquema de encriptacin y autenticacin. Manipulacin La manipulacin trata cuando se insertan, eliminan o modifican datos en un sistema o durante una transmisin. Este es un ataque a la integridad de los datos almacenados en el sistema o a las transmisiones de estos. Un ejemplo de este tipo de ataque puede ser la insercin de un Troyano o un Virus a un dispositivo o a la red. Los mecanismos de control de acceso proveen seguridad contra estos tipos de ataque. Enmascarar Se refiere al acto de hacerse pasar por un usuario legtimo para obtener acceso al sistema o a la red inalmbrica. [10] [14] Las redes inalmbricas son inherentemente inseguras. Cuando se hace uso de redes inalmbricas, se deben tener varios niveles de defensa a travs de la red para prevenir amenazas de seguridad. [15] La mayora de corporaciones, por lo general, poseen diferentes estrategias de defensa del permetro. Alunas se limitan al simple uso de un enrutador con NAT (Network Address Translation) para las conexiones a Internet, otras al uso de estrategias de defensa ms robustas. La siguiente es una lista de puntos mnimos que se deben tener en cuenta para el desarrollo de una estratega de defensa: Filtraje de los puertos del Firewall. Hacer uso de conexiones encriptadas. Autenticacin Doble (Para acceso remoto). Hacer uso de IDS's (a ambos lados del firewall). La estrategia de defensa debe ser implementada haciendo uso de componentes y tecnologa que sea compatible entre s. Una caracterstica importante en el diseo es que se debe tener en cuenta la modularidad ya que se trata de una tecnologa en proceso de maduracin la cual, en un futuro no muy

Visibilidad El trfico de las redes inalmbricas puede ser capturado y visualizado (Sniffed). Esto significa, que se pueden capturar todos los datos que viajan por la red inalmbrica y si estos no se encuentran encriptados, estos pueden ser ensamblados y ledos. A diferencia con las redes cableadas donde un sniffer puede ser detectado, en redes inalmbricas, un atacante visualizando trfico puede permanecer completamente no detectado. Negacin del Servicio (Denial-Of-Service (DOS)) Se presentan cuando un atacante trata de demorar o interrumpir la prestacin de servicios de un sistema al atentar contra la disponibilidad del mismo. En medios inalmbricos, un ejemplo de este tipo de ataque puede ser el uso de una seal externa para interferir el canal inalmbrico. Intercepcin Tipo de ataque que presenta varias definiciones. La identidad de un usuario puede ser interceptada para ser usada por un atacante en una instancia de tiempo posterior, hacindose pasar por el usuario legitimo. Tambin se puede interceptar y desencriptar informacin, violando la confidencialidad, integridad y privacidad de la anterior. Los sistemas inalmbricos hacen uso de frecuencias de radio para la transmisin de informacin, Estas pueden ser interceptadas.

15

lejano, puede ser bastante cambiante y llevar al rediseo completo de la estrategia. [9] Una posible solucin de seguridad sera: Ubicar los puntos de acceso dentro de la zona desmilitarizada, asegurando que todo tenga que pasar por el firewall. Se deben incorporar soluciones VPN desde los clientes a los puntos de acceso. Los computadores de los clientes deben estar equipados con firewalls personales y con sistemas de deteccin de intrusos (IDSs). Los IDSs deben estar instalados entre los puntos de acceso y el firewall para denegar cualquier conexin no autorizada. Adicionalmente, se deben cambiar las contraseas administrativas por defecto de los puntos de acceso, cambiar el valor de los SSIDs 10, deshabilitar la multidifusin de SSIDs, habilitar la encriptacin en los puntos de acceso y evitar la instalacin de estos puntos cerca de paredes y ventanas donde las seales puedan ser interceptadas fcilmente. [8] Figura 9. Ejemplo de una implementacin de Seguridad para una WLAN. [15] 3.8 Tipo de Informacin que contiene la red.

10

SSID: Service Set Identifier: Carcter de 32 bits incluido en la cabecera de los paquetes enviados sobre una WLAN, que actua como un password cuando un dispositivo mbil trata de conectarse a la estacin base. Tomado de Webopedia.com

Las WLAN requieren el mismo tipo de tratamiento de la informacin , su recoleccin, anlisis y documentacin que para cualquier LAN, se deben utilizar herramientas especializadas para redes inalmbricas pero con las mismas funciones que para las redes cableadas. Para la recoleccin de la informacin en las WLAN se debe tener amplio conocimiento en ellas, conocer los elementos con los que se cuentan, la arquitectura de la red, las

16

herramientas disponibles y conocimientos en computacin forense para el proceso de la investigacin y la manipulacin de la evidencia. Hay que anotar que el estndar 802.11b WLAN cuenta con ms datos en el paquete, es decir, ms campos que analizar que cualquier otro miembro de la familia de protocolos 802 y son pocos los especialistas en este rea. Las WLAN son ms sencillas con respecto a las redes inalmbricas de circuitos conmutados en canto a componentes que la integran. 3.8.1 Porttiles y tarjetas WLAN

documentacin del procedimiento utilizado, paso por paso, con el fin de, en caso de ser necesario, sea admitida la evidencia como prueba ante una corte. 3.8.3 Redes visitadas

La informacin en esta rea aplica igual que en las redes inalmbricas de circuitos conmutados. Es decir que el usuario puede conectarse a otras redes a travs de la WLAN en la que se encuentra y en estas redes accedidas es muy posible encontrar informacin relevante para la investigacin que reflejen el comportamiento del usuario como son los logs de sesiones de red. Estas redes se pueden encontrar en cualquier lugar del mundo, desde una Intranet hasta Internet y desde redes locales hasta redes en otros pases. En el caso de que la red sea local, es posible que existan servidores web, firewalls, servidores de DHCP (Dynamic Host Configuration Protocol), entre otros. En este caso obtener los registros o logs de sesin es sencillo si se conoce la arquitectura de la red y se aplican tcnicas de logging. En los servidores de firewall y DHCP se pueden encontrar relacionadas las direcciones IP y MAC asignadas a los equipos mviles posibilitando el seguimiento de las actividades de un usuario.

De igual forma que en las redes inalmbricas de circuitos conmutados , la informacin que se puede obtener de un porttil es informacin personal del usuario, como las actividades, contactos, calendario, cookies, redes accedidas, etc. 3.8.2 Puntos de Acceso

Un Punto de Acceso debe registrar logs de los usuarios y el trfico en su dominio, asociaciones basadas en la direccin MAC, debe permitir o negar trficos especficos y conceder permisos a usuarios. Dependiendo de la marca de los Puntos de Acceso pueden registrar el trfico por direccin IP o mtodos de autenticacin utilizados en la comunicacin establecida con la red. El estudio de los logs son crticos en una investigacin para establecer relaciones y rastrear el comportamiento establecer patrones de comportamiento de la red [38][2]. Es til la utilizacin de herramientas especializadas para el anlisis y recoleccin automtico de trfico. Herramientas como AirSnort y Airopeek son ampliamente utilizadas, permite monitorear las transmisiones que utilicen el protocolo WEP y anlisis del trfico transmitido por los canales, para detectar problemas y detectan problemas dela red y emiten alarmas, respectivamente. Se debe aplicar las tcnicas forenses para la preservar la integridad de los datos, la recoleccin de la informacin y la

PDA (Personal Digital Assistant)

Las PDAS son una herramienta de uso personal que se dividen en dos categoras principalmente: de tipo hand-held y tipo Palm [11], la diferencia fundamental radica en el tamao que posee cada una de ellas. A continuacin se dar una breve descripcin de cmo se encuentran conformadas:

Microprocesador: Es el cerebro de la
PDA, el microprocesador coordina todas las funciones internas y externas de acuerdo con las instrucciones programadas. EL microprocesador que utilizan actualmente todas las PDA es el Motorola DragonBall MC68328-family, dentro de esta familia se pueden destacar

17

los siguientes microprocesadores: DragonBall, DragonBall EZ, DragonBall VZ, DragonBall MX1.

apaga, los datos se mantienen debido a las bateras. Todos los PDA tienen 2 megabytes de memoria adicional.

Sistema de archivos: El OS de la palma no

utiliza un sistema de archivos "plano" al igual que muchos sistemas operativos tradicionales. RAM Battery-backed es utilizada para el almacenamiento permanente y esta es dividida lgicamente en: rea dinmica y rea de almacenamiento, en la Figura 10 se puede observar como se muestra el funcionamiento de estas.

Figura 10. Vista conceptual de la localizacin en el vector de interrupcin del rea dinmica y del rea de almacenamiento [12].

Memoria: Los PDA no suelen tener disco

duro en el dispositivo, se almacenan programas bsicos, como agenda de direcciones, calendario o el sistema operativo gracias a una memoria de solo lectura (ROM) Los datos o programas que agregues posteriormente, se almacenarn en la memoria RAM del dispositivo, esto tiene gran ventaja ya que cuando enciendes tu PDA tienes tu informacin disponible y al instante sin tener que esperar que carguen las aplicaciones. Cuando hacemos cambio en un archivo las modificaciones quedan almacenadas automticamente, sin necesidad salvar tu informacin y cuando el dispositivo se

18

Existen procedimientos para retornar los PDA encontrados a la compaa?

Sino se posee alguna de estas recomendaciones, este podra ser un buen comienzo para implementar una poltica de seguridad de la compaa o pueden convertirse en pautas propias para el manejo de su propio dispositivo PDA. Una poltica de seguridad en un sentido amplio cubre probablemente el cuidado y la alimentacin de los PDAs. Si su compaa tiene polticas especficas el Hardware, se deben modificar y tener en cuenta este tipo de dispositivos. La gente tiende a ser ms responsable de sus acciones cuando estn a cargo de stos. S en algn momento la PADs es extraviada, unas simples practicas pueden hacer que esta sea devuelta, se debe contener un mnimo de informacin, cada dispositivo debe incluir el nombre de la compaa, direccin y un nmero telefnico. stos se pueden escribir en los campos del propietario en la opcin de preferencias que viene incluida en las PDAs. El habilitar la caracterstica de la utilizacin de la palabra clave cuando la PDA es activada. Crear copias de seguridad del dispositivo y guardarlas en un lugar seguro. La clave es tener un proceso, utilizarlo rigurosa y constantemente y informar al as personas de su responsabilidad. 4.1.2 Copias de respaldo y opciones de seguridad

Figura 11. Direcciones de memoria base relevantes dependiendo del procesador [12]. 4.1 Seguridad en PDA.

El principal segmento en el que se esta implantando el uso de las PDA es en el de apoyo en los negocios, es por esto que se deben implantar unas estrategias de seguridad para el manejo de esta informacin. 4.1.1 Polticas Bsicas y algunas prcticas a tener en cuenta

Si se utilizan dispositivos PDAs en su compaa, y si se maneja informacin relevante para la misma, es importante plantearle la importancia de implantar unas polticas de seguridad sobre los dispositivos y las conexiones que estos realizan, a continuacin se enumerar una lista de preguntas que servirn de base para determinar que sugerencias se deben realizar al sistema actual de seguridad implantado por la compaa. La compaa debe sustituir un PDA perdido o el empleado debe hacerlo? Si el dispositivo contiene la informacin sensible de la compaa, esta tiene estndares mnimos de seguridad? Existen procedimientos para informar la perdida de las PDA?

Modifique los programas para incluir recomendaciones especificas para los PDAs. Un comportamiento es el de realizar una sincronizacin de la informacin diariamente. Las sincronizaciones diarias se realizan para dos cosas: primero, esto no es solo salvar los datos que son creados, sino cualquier cosa que a sucedido en la PDA, en la mayora de los casos, usted solamente ha perdido la informacin de un solo da. Segundo, estableciendo una rutina, se va entrenando a los usuarios de la importancia de la informacin que se esta almacenando en estos dispositivos. El reto ms grande en la seguridad es para las personas que utilizan los PDAs de manera aislada, estos pueden ver ste dispositivo como un juguete de alta

19

tecnologa, esto puede traducirse en descuido en la utilizacin de los mismos. S no se puede realizar la sincronizacin diaria, existen unas herramientas que permites hacer copias de seguridad en los dispositivos PDAs, entre las cuales podemos nombrear: BackUpBuddy, BackupPro y JackBack. [19] 4.1.3 Claves y software de encripcin };

UInt8 userLen; UInt8 passwordLen; UInt8 username[userLen+1]; UInt8 password[passwordLen+1]; Figura 12. Estructura enviada durante el proceso de la sincronizacin, conteniendo el bloque de codificacin de la palabra clave Palabras claves de 4 caracteres o menos: comparando los bloques de codificacin de varias palabras claves con estas caractersticas, se puede determinar que la constante de 32 bytes (Figura 14) es solamente un XOR al bloque de la palabra clave: A = Palabra Clave B = Bloque constante de 32 bytes C = Bloque codificado con la palabra clave El ndice de inicio (j) dentro del bloque de codificacin constante donde la operacin del XOR debe iniciar, es calculado de la siguiente manera: [16] j = (A[0] + strlen(A)) % 32; El bloque de codificacin que contiene la palabra clave es creado de la siguiente forma: for (i = 0; i < 32; ++i, ++j) { if (j == 32) { j = 0; } C[i] = A[i] XOR B[j]; } 56 8C D2 3E 99 4B 0F 88 09 02 13 45 07 04 13 44 0C 08 13 5A 32 15 13 5D D2 17 EA D3 B5 DF 55 63 Figura 13. Bloque codificado con la palabra clave test. [16] 09 02 13 45 07 04 13 44 0C 08 13 5A 32 15 13 5D D2 17 EA D3 B5 DF 55 63 22 E9 A1 4A 99 4B 0F 88 Figura 14: Bloque constante de 32 bytes que es usado en la codificacin de la palabra clave [16]. Palabras claves mayores a 4 caracteres:

La palabra utilizada como clave es fijada por el dueo con la aplicacin de seguridad del dispositivo. La longitud mxima de la palabra clave en caracteres ASCII es de 31. Sin importar la longitud de la clave, el bloque codificado resultante es siempre de 32 bytes. Dos mtodos se utilizan para codificar la clave, estos mtodos dependen de la longitud de la misma. Para las claves que poseen una longitud de cuatro caracteres o menos, un ndice es calculado basado en la longitud de la palabra clave y se realiza un XOR con un bloque de memoria de 32 bytes. Para las palabras claves de ms de cuatro caracteres, la cadena se completa hasta obtener los 32 bytes, ejecutndose a travs de cuatro redondeos de la funcin y se realiza un XOR con un bloque constante de 64 bytes. Entendiendo el esquema de codificacin, es posible ejecutar las rutinas al revs para decodificar la palabra clave. El software de escritorio de una Palm hace uso del SLP (Serial Link Protocol) para transferir la informacin entre este y la Palm. Cada paquete SLP esta conformado por un encabezado de paquete, Informacin del cliente de un tamao variable, y un pie de paquete [23]. Durante el proceso de negociacin de la sincronizacin, un paquete SLP en particular de informacin contenida en la Palm del cliente esta formado por una estructura que contiene el bloque de codificacin de la palabra clave (Figura 12). struct { UInt8 header[4]; UInt8 exec_buf[6]; Int32 userID; Int32 viewerID; Int32 lastSyncPC; time_t successfulSyncDate; time_t lastSyncDate;

20

A = Palabra Clave B = Bloque constante de 64 bytes C = Bloque codificado con la palabra clave Primero, la palabra utilizada como clave es transformada a una cadena de 32 bytes de la siguiente manera: [16] j = strlen(A); while (len < 32) { for (i = j; i < j * 2; ++) A[i] = A[i - j] +j; j = j * 2; } El bloque de la palabra clave resultante es de 32 bytes. A, es pasado a travs de los cuatro redondeos de la funcin y se realiza el XOR con un bloque constante de 64 bytes (Figura 15). k es un ndice que empieza en {2,16,24,8} para cada uno de los cuatro redondeos. [16] j = (A[k] + A[k+1]) & 0x3F; shift = (A[k+2] + A[k+3]) & 0x07; for (i = 0; i < 32; ++i, ++j, ++k) { if (j == 64) j = 0; if (k == 32) k = 0; temp = B[j]; temp <<= 8; temp |= B[j] temp >>= shift; C[k] XOR= (unsigned char) temp; } El bloque resultante de la palabra calve de 32 bytes (Figura 16) no tiene ninguna caracterizacin inmediatamente visible referente al bloque constante como s lo hace la codificacin del bloque de la palabra clave para las palabras claves de menos de 4 caracteres. Sin embargo, este es reversible con unos mnimos recursos computacionales. B1 56 35 1A 9C 98 80 84 37 A7 3D 61 7F 2E E8 76 2A F2 A5 84 07 C7 EC 27 6F 7D 04 CD 52 1E CD 5B B3 29 76 66 D9 5E 4B CA 63 72 6F D2 FD 25 E6 7B C5 66 B3 D3 45 9A AF DA 29 86 22 6E B8 03 62 BC Figura 15: Bloque constante de 64 bytes que es usado en la codificacin de la palabra clave. [16]

18 0A 43 3A 17 7D A3 CA D7 9D 75 D2 D3 C8 A5 CF F1 71 07 03 5A 52 4B B9 70 2D B2 D1 DF A5 54 07 Figura 16. Bloque codificado con la palabra clave testa. Despus de la descripcin dada anteriormente, se realizar una breve descripcin de alguna variedad de software que ayudan al aseguramiento de tu dispositivo PDA y la informacin que se maneja en los mismos. PDABOMB ($20,00): realza la proteccin invalidando todas las transferencias de datos hasta que se proporcione la palabra clave. OnlyMe ($10.00): bloquea la Palm cuando se va apagar. La palabra clave es requerida para acceder a los datos. TealLock ($17.00): Tiene en cuenta las configuraciones personales, Incluye la activacin, la costumbre de bloquear la pantalla, el texto e imgenes, la opcin de bloqueo automtico. Capacidad de ocultar archivos para ser vistos. JotLock ($12.00): proteccin a travs del reconocimiento de la palabra clave. MemoSafe ($7.00): reemplaza los memos de las aplicaciones por los mismos encriptados. MaxSecret ($20.00): Aplicacin con encripcin PGP. JAWZSDataGator ($40.00-$50.00.): Encripcin de datos dependiente de la aplicacin. 4.2 Virus y Trajanos en PDAs

Ahora en este momento no se encuentran muchos virus y Trojanos para este tipo de dispositivos, pero debido al auge de esta tecnologa, se puede observar que en el futuro existirn ms virus o Trojanos para este tipo de dispositivos. En la actualidad se conoce el PalmOS/Phage que es uno de los primeros virus para el sistema operativo de una Palm, adems se conoce el Trojano Liberty. El virus PalmOS/Phage sobrescribe la parte inicial de los programas ejecutables del dispositivo. Los archivos host son destruidos en el proceso. Una vez que el archivo PRC infectado, se transfiere a la Palm, el virus comienza a copiarse a los dems programas infectndolos, hasta que todos quedan

21

infectados y despus de ser infectados todos son destruidos. En la figura 17 se muestra como se ha infectado el Phage que es el virus de la Palm.

Al activarse infecta y destruye todas las aplicaciones, pero no se ha encontrado que dae los archivos de datos. LIBERTY es un trojano que es muy engaoso para aquellas personas que les encanta utilizar cracks, es conocido tambin como Palm trojan, PALM/Liberty, Liberty Crack, PalmOS/Liberty Warez.prc, Crack 1.1. LIBERTY es un trojano muy simple escrito para la plataforma del PALM de 3COM. Cuando se activa, borra todas las aplicaciones del dispositivo. El trojano pretende ser una crack para el emulador 1.1 de GameBoy. En la Figura 18 se muestra el icono del programa que corre el trojano Liberty.

Figura 17. Visualizacin de una Palm infectada [24] Este virus no hace otra cosa que replicarse y destruir el host infectado y contiene los siguientes textos: FindVictim PhageMain Es factible reconocer los sntomas, ya que al ejecutar una aplicacin infectada la pantalla aparece en blanco por algunos segundos y el programa finaliza inmediatamente, durante este proceso el programa infecta ms archivos del sistema. Despus de replicarse este virus por toda la Palm, esta queda sin ninguno de los programas instalados. No ha sido encontrado todava en forma comn entre los usuarios y por lo tanto no se le da el grado de amenaza. Sin embargo es prudente tomar precauciones Figura 18. Icono de cmo se muestra el Trojano para ser ejecutado en la Palm [25] En la Pc el troyano aparece como un archivo llamado "liberty_1_1_crack.prc" que mide 2,663 bytes. Cuando el usuario trata de ejecutar la aplicacin se activa liberty y comienza a borrar la aplicaciones para luego re-iniciar el sistema. Para removerlo, slo hay que eliminar el archivo: "liberty_1_1_crack.prc" .

22

Un virus o un trajano se pueden instalar en nuestro dispositivo de muchas formas, a continuacin se muestra una lista de las posibles fuentes donde se puede obtener algo de este tipo: [25] Descargado de la computadora durante la operacin de sincronizacin. Esto permite una manera fcil para introducir cdigo malicioso. Puede ser enviado de un dispositivo Palm a otro por va infla roja durante una sesin de intercambio de informacin. Usando la comunicacin infrarroja, los programas maliciosos pueden potencialmente hablar con el dispositivo infectado, intercambiando informacin sin su propio conocimiento. Es posible por comunicaciones satelitales inalmbricas para usuarios de Internet recibir el trojano a travs de un archivo adjunto de un correo electrnico. Esto significa la introduccin del virus o trojano directamente a tu PDA. Usando el protocolo estndar TCP/IP, una PDA conectada a una red puede establecer conexin con otro dispositivo conectado en la red. Este cdigo malicioso puede abrir puertos que escuchen y permitan un acceso remoto. Cmo prevenir que esto nos pase a nosotros, y/o se ha mas complicado en un futuro cercano? [25] Obtener el Software legtimamente. Registrar su software libre y use solamente los cdigos de registro de las versiones. Obtener tu software legtimamente. Registrar las versiones libres y use solamente los cdigos de registro o el software registrado directamente de los desarrolladores. Los sitios que distribuyen software, generalmente prueban las aplicaciones antes de que sean distribuidas al pblico. Probar las aplicaciones en un emulador de la Palm (POSE) antes de instalarla y correrla en tu Palm.

Realizar copias de seguridad de la Palm

antes de realizar cualquier tipo de instalacin. 4.3 Herramientas Forenses

Se disea en el OS de la Palm un depurador, que proporciona y pone a punto de fuente y a nivel de ensamblador los ejecutables del OS de la Palm en el dispositivo fsico. Al introducir la combinacin (Figura 19) que cambia la Palm al modo de depuracin. El depurador de la Palm, una vez que est permitido, escucha en el serial RS232 y en el USB las comunicaciones del ordenador principal. Una restauracin del software de la Palm permitir al dispositivo salir del depurador de la Palm. El consumo de energa se aumenta perceptiblemente cuando se permite el modo de depuracin de la Palm, as que se asegura de que el dispositivo de la Palm tiene capacidad completa de las bateras antes de comenzar el proceso de adquisicin.

Figura 19. Informacin a introducir para iniciarse el modo de depuracin. [12]

Herramientas Forenses

Aunque en el mercado actual el nmero de herramientas para el anlisis forense en redes y dispositivos wireless es muy limitado con respecto a las existentes para el anlisis de redes cableadas comunes, es posible encontrar algunas casas de software o grupos de investigacin que han adelantado desarrollos importantes enfocados hacia la construccin de herramientas de este tipo. A continuacin se presentan algunas de las ms importantes que ya se encuentran en distribucin y que son actualmente empleadas por los investigadores forenses para efectuar los anlisis necesarios en medios inalmbricos: 5.1 Airopeek

Este software para plataformas Windows desarrollado por la empresa WildPackets, permite efectuar anlisis de paquetes en redes

23

inalmbricas de rea local WLANs basadas en IEEE 802.11b y soportadas por cualquiera de los protocolos de red de alto nivel ms comunes como TCP/IP, AppleTalk, NetBEUI e IPX. 5.1.1 Caractersticas principales [28] Decodificacin total de todos los protocolos inalmbricos 802.11b as como de todos los protocolos de red de alto nivel Scanning de canales y seleccin de canales por frecuencia (numero de canal), BSSID, o ESSID. Soporte para un gran nmero de adaptadores de red entre los cuales figuran Nortel, Cisco y 3Com entre otros. Captura de todas las tramas de control, datos y manejo de 802.11b. Soporte para tiempo real y para poscaptura del desciframiento de WEP. Visualizacin de la tasa de datos, del canal, y de la fuerza de la seal para cada paquete. Resolucin de problemas en complejas instalaciones de WLAN incluyendo mltiples estaciones base y sistemas de distribucin inalmbricos. Identificacin de transmisores intrusos incluyendo puntos de acceso y usuarios. Anlisis estadstico de trfico y de conjuntos filtrados de paquetes capturados. Tabla de nombres avanzada (nombres almacenados en grupos, listado de puertos y sockets, tipos de nodos). Alarmas, triggers y notificaciones definibles por el usuario. Formatos de salida de portes estadsticos personalizables (HTML, XML, texto). Funcionalidades destacadas [29]

informacin detallada contenida en cada paquete. Adems incluye caractersticas adicionales del paquete que permiten identificar y resolver anomalas en la red, entre las que se encuentran: Longitud y estampilla de tiempo (timestamp). Velocidad de transmisin. Fuerza de la seal de la transmisin en la que fue enviado. Filtrado de paquetes La configuracin de filtros sobre un nodo o protocolo sospechoso permite aislar y enfocar un trfico anormal. Un filtro restringe el flujo de paquetes con base en algn parmetro del paquete especificado como direccin, protocolo, puerto, valor o longitud. Bsqueda y seleccin de canales

5.1.2

Resolucin de problemas en WLANs El analizador de protocolos establece claramente la fuente de los problemas de la red y de las fallas de seguridad revelando la

24

Esta herramienta permite efectuar una bsqueda o scanning de canales sobre una WLAN y detectar cuales canales se encuentran en uso y cuales son los ms activos. Una vez seleccionado un canal (preferiblemente con alta actividad) Airopeek permite efectuar la captura del trfico. Alternativamente permite

Figura 20. Panel de visualizacin [29] seleccionar BSSID (Basic Service Set) o ESSID (Extended Service Set) para la captura de paquetes. Decodificacin y visualizacin de paquetes Airopeek puede decodificar todos los protocolos 802.11b, as como tambin, todos los protocolos de red alto nivel, visualizando paquetes de administracin, control y datos. Por medio de un panel de visualizacin permite desplegar una lista de paquetes capturados, la decodificacin de un paquete sencillo o su codificacin hexadecimal (Ver figura 20). Adems ofrece la posibilidad de navegar a travs de mltiples paquetes

25

seleccionados para reconstruir fragmentos de comunicaciones en la red. Estadsticas en tiempo real Por medio de componentes estadsticos esta herramienta permite analizar el desempeo de una red inalmbrica, tomado como base informacin recolectada a partir de una amplia variedad de fuentes tales como: nodos, datos histricos, tamaos, errores y protocolos. Airopeek permite adems visualizar el comportamiento de toda la red y el porcentaje de utilizacin de la misma. En la figura 21 se puede observar un indicador estadstico en el que se despliega el porcentaje actual de utilizacin de la red y el trfico promedio en paquetes por segundo. Otra opcin importante que se ofrece, es la de poder descifrar trfico WEP capturado y almacenado en forma anterior (desencripcin pos-captura). 5.2 AirSnort Herramienta de libre distribucin (GPL) que permite obtener llaves de encripcin en WLANs. El desarrollo del software original fue efectuado por Jerremy Bruestle y Bloque Hederle, Ojee Weiss y el equipo de BeSecure.com han continuado con esta labor desde entonces [31]. El modo de operacin de este programa se basa principalmente en monitorear de forma pasiva transmisiones inalmbricas realizadas a travs del protocolo WEP y una vez que ha recolectado suficientes paquetes calcula la llave de encripcin. Para esto aprovecha la alta vulnerabilidad del protocolo WEP empleado por 802.11b en su capa de enlace, para redes wireless de rea local, explotando principalmente las debilidades del algoritmo de generacin de llaves RC4 usado por el estndar WEP con algunos errores de diseo [31]. El equipo de desarrollo afirma que AirSnort necesita capturar aproximadamente de 5 a 10 millones de paquetes encriptados, para obtener la llave de encripcin en menos de un segundo [30]. Este software funciona bajo plataforma Linux con Kernel 2.4, aunque los desarrolladores indican que es posible (pese a no estar probado) que funcione tambin con Kernel 2.2 [31]. AirSnort usa el chipset Prism2, slo en ste puede efectuar el sniffing necesario. Las tarjetas de red wireless que actualmente utilizan este chipset son las siguientes [30]: Addtron AWP-100 Bromax Freeport Compaq WL100 D-Link DWL-650 GemTek (Taiwan) WL-211 Linksys WPC11 Samsung SWL2000-N

Figura 21. Indicador estadstico [29] Seguridad en redes inalmbricas Esta herramienta permite a los administradores de redes inalmbricas identificar problemas de seguridad potenciales a travs de continuos mecanismos de scannings de eventos sospechosos, por ejemplo: mltiples intentos fallidos de autenticacin podran detectarse y a travs del trfico capturado intercambiado durante los diferentes intentos, sera posible identificar a un potencial atacante. Airopeek permite adems que los usuarios puedan especificar el conjunto de llaves compartidas WEP de una red, lo cual habilita a la herramienta para que decodifique y desencripte paquetes cifrados con dichas llaves y pueda identificar transmisores maliciosos incluyendo sus Access Points y cuentas de usuario. Empleando un sistema de filtrado avanzado es posible tambin monitorear trfico WEP cifrado a 128-bits o desde cualquier direccin MAC para las cuales existan usuarios asociados desconocidos por el sistema.

26 Figura 1. Panel de visualizacin

SMC 2632W Z-Com XI300 Zoom Telephonics ZoomAir 4100 LeArtery Solutions SyncbyAir LN101

5.3.1

Detalles [33]

Actualmente AirSnort se encuentra en la versin 2.0, la cual posee algunas mejoras con respecto a la versin inicial. Algunas de estas caractersticas nuevas son presentadas a continuacin [31]: Los paquetes son ordenados con base en el SSID del Access Point asociado, permitiendo que paquetes de varios APs puedan ser capturados simultneamente sin la molestia de la operacin de Crack. La operacin de Cracking es efectuada en paralelo con la operacin de captura. No es necesario adivinar si se tienen suficientes paquetes para efectuar un Crack exitoso. La captura de un AP especificado termina cuando un AP es Crackeado. Algunos parmetros para el Crackeo son configurables desde un cuadro de preferencias. AirSnort establece el canal para efectuar el sniffing a travs de comunicacin directa con la tarjeta de interfaz de red. No hay necesidad de colocar la tarjeta en modo promiscuo antes de iniciar AirSnort. Tambin tiene incorporada la capacidad de scanning de canales. Es posible iniciar una sesin con una tarjeta Prism2, pausar, cambiar a una tarjeta Orinoco, y continuar la sesin sin necesidad de cerrar AirSnort. 5.3 @Stake Pdd

Pdd es una herramienta de lnea de comandos basada en Windows que permite por medio de operandos efectuar las labores de recuperacin y almacenamiento de la informacin contenida en la memoria de un dispositivo PDA. La sintaxis de pdd es similar a el del comando dd en Unix, en el cual una entrada de informacin y una salida se especifican junto con operandos opcionales (e.j., nmero de tarjeta y tipo de memoria en vez del tamao de bloque, del tipo de datos, y de otras variables de dd.). Puesto que pdd no tiene actualmente ayuda del USB, el dispositivo Palm debe estar conectado con un PC a travs de la base del dispositivo via cable serial. Una vez que la Palm se encuentra conectada, por lnea de comandos se solicita la ejecucin del proceso, el cual inicialmente extrae y escribe la informacin bsica del dispositivo en un archivo llamado pda.txt. En la figura 22 puede observarse un ejemplo de los datos almacenados en este archivo luego de ejecutar el proceso en un PDA de prueba.

Pdd (Palm dd) es una herramienta basada en Windows para efectuar imgenes de la memoria de Palm OS y realizar recoleccin de informacin relevante para procesos forenses [32] desarrollada por la firma @Stake. Para obtener la informacin de la tarjeta de memoria y crear una imagen bit a bit de la regin de memoria seleccionada, es empleado el modo consola de Palm OS [32].

Figura 22. Informacin del archivo pda.txt [33] Una vez que la informacin inicial es guardada, el proceso pdd comienza a extraer todos los datos de la regin de memoria de la Palm, especificada a travs de la lnea de comandos con los operandos card= y type=. La imagen de la memoria es guardada en el

27

archivo especificado por medio del operando of=. De esta manera pdd extrae todos los datos de la memoria hasta que toda la regin es completada. Una vez que toda la informacin es recolectada satisfactoriamente la herramienta pdd automticamente reinicia el dispositivo con el fin de salir del modo debug en el que realiza las operaciones. La figura 23 muestra el diagrama de flujo del proceso que 5.4 Parabens Pda Seizure

sigue la herramienta pdd para garantizar la exitosa recoleccin de toda la informacin contenida en la memoria del dispositivo Pda.

Esta herramienta desarrollada por la casa de software Paraben como parte de su lnea de

grfica permite adquirir, visualizar y generar reportes con el fin de facilitar la labor de los analizadores forenses [34]. La figura 24 muestra la interfaz principal de esta herramienta, en la cual se puede observar el

Figura 23. Diagrama de flujo del proceso efectuado por la funcin pdd() [12] herramientas forenses, esta diseada para capturar y analizar datos de un dispositivo Pda y presentar reportes con base en esta informacin. Por medio de este software es posible efectuar el proceso de recoleccin de evidencia almacenada en Pdas, necesaria para procesos forenses, ya que permite recuperar toda la informacin contenida en cada uno los componentes de almacenamiento de este tipo de dispositivos [34]. Parabens Pda Seizure esta desarrollada para ambientes Windows y a travs de una interfaz resultado de un proceso de recoleccin de archivos. 5.4.1 Caractersticas principales [34] Adquisicin de informacin desde un dispositivo PDA en dos pasos a saber: Paso 1: Recolectar todos los archivos en su estructura original. Paso 2: Extraccin de toda la informacin de la tarjeta de memoria.

28

Interfaz de fcil uso. Bsqueda y referenciacin de informacin a partir de los resultados de la extraccin. Visualizacin de datos en formatos de texto o hexadecimal. Generacin de reportes en HTML. Verificacin de integridad de las imgenes Visualizacin interna de archivos de datos. Funciona en Pdas de los fabricante Palm y Visor.

29

Figura 24. Interfaz gr ica [34]

Demo

Ver Anexo 1

Conclusiones

La ventaja competitiva que brindan las redes inalmbricas y que radica en sus inmejorables condiciones de flexibilidad, movilidad e interoperabilidad con redes convencionales existentes, hace que este tipo de tecnologas sea cada da mas atractiva y tenga mayor acogida dentro del mercado, no slo para uso personal, como son ampliamente empleados los dispositivos Pdas en la actualidad, sino para uso empresarial, en la construccin y ampliacin de redes corporativas. Es as como este auge de las redes inalmbricas o wireless no slo ha llamado la atencin de los administradores de infraestructuras tecnolgicas y directivos de las empresas, sino tambin de aquellos

usuarios maliciosos, que por medio de mltiples tcnicas de intrusin que explotan las innumerables vulnerabilidades de los protocolos existentes para la comunicacin de este tipo de redes, tienen la enorme posibilidad tanto de obtener informacin vital y clasificada de las compaas, como de atentar contra sus infraestructuras de red o contra alguno de sus componentes, pudiendo causarles muy graves daos. Es aqu donde las ciencias de la seguridad informtica y la computacin forense entran a jugar un papel muy importante en la proteccin de la informacin y de las infraestructuras, as como tambin en la deteccin, rastreo, identificacin e inculpamiento de intrusos, con base en evidencias digitales recolectadas y analizadas en forma clara y con procedimientos legalmente vlidos. Este proceso mencionado anteriormente, bsicamente hace referencia al trabajo de un investigador forense.

30

Hay que tener muy en cuenta que como paso preliminar a toda investigacin forense, es necesario conocer la estructura y funcionamiento general de la red a investigar, de forma que los procesos de bsqueda, aseguramiento e incautamiento de evidencia, puedan realizarse de forma gil y cuidadosa. Este requerimiento, como se especific en el artculo, es an ms importante en las redes inalmbricas, puesto que las caractersticas de movilidad de la red, pueden conducir al xito o fracaso de una investigacin, segn se actu a tiempo o no; adems, y como sucede en muchas redes, la informacin almacenada tanto por la red, como la generada durante una comunicacin, es voltil y no permanece por periodos de tiempo prolongados (segn el tipo de informacin) en los registros de lo equipos. Adicionalmente, el conocimiento de las vulnerabilidades que atacan a la red, tanto por parte de los administradores como de los investigadores forenses, pueden ayudar a evitar posibles fraudes o delitos y a guiar una investigacin en bsqueda de evidencia. Con base en el artculo presentado podemos concluir que las ciencias de la computacin forense, las cuales en un momento determinado pueden efectuar este tipo de anlisis, an se encuentran en evolucin para estas nuevas tecnologas inalmbricas y que hace falta mucho camino por recorrer antes de alcanzar el alto grado de madurez que hoy en da tienen los procedimientos, tcnicas y herramientas empleados para el control y anlisis de las redes convencionales cableadas. El reto para todos aquellos que hacen parte del mundo de la seguridad informtica an es grande y se refiere principalmente en disear y desarrollar ms y mejores tcnicas y herramientas de las que hoy en da se encuentran para las computacin forense en medios wireless, y construir con base en una investigacin seria y dedicada un discurso metodolgico procedimental, que sirva como base para todos aquellos analistas que en un futuro tengan que afrontar anlisis forenses sobre infraestructuras tecnolgicas basadas en medios o componentes inalmbricos.

Referencias

[1] Cisco Systems Inc, Wireless LAN Security, 2001 [2] Casey E., Handbook of Computer Crime Investigation, 2001. [3] David Watkins, Wireless Networks, Noviembre del 2001. [4] Richard Levine, Digital Switching, Abril del 2001. [5] Timothy E. Wright, The Field Guide for Investigating Computer Crime, Enero del 2000. [6] Redes Inalmbricas http://www. jeuazarru.com/html/wireless_lan.html, 2002 [7] Daryl Stargel, Wireless Lans and 802.1X, Diciembre 12, 2001 http://rr.sans.org/wireless/8021X.php [8] Alicia Laing, The Security Mechanism For Ieee 802.11 Wireless Networks, Noviembre 24 de 2001, http://rr.sans.org/wireless/netsec.php [9] Daniel Owen ,Wireless Networking Security: As Part Of Your Perimeter Defense Strategy, Enero 23, 2002, http://rr.sans.org/wireless/IEEE_80211.php [10] Robert E. Mahan, Security In Wireless Networks, Noviembre 14, 2001,http://rr.sans.org/wireless/wireless_net3. php [11] Gloria Soto Prez, De qu esta hecha tu PDA? http://microasist.com.mx/ noticias/mo/gspmo0711.shtml [12] Joseph Grand, pdd: Memory Imaging and Forensic Analysis of Palm OS Devices, http://www.atstake.com/research/reports/pdd_ palm_forensics.pdf [13] Katholieke Universiteit Leuven, Greles LAN, 2001, http://www.esat.kuleuven.ac.be/~brodiers/h23 9/

31

[14] Asma Jamsin, Known Vulnerabilities in WLANS Security, Noviembre 10 de 1999, http://www.tml.hut.fi/Studies/Tik110.300/1999/Wireless/vulnerability_4.html [15] Gerg Redder, , Octubre 29, Implementation of a Secure Wireless Network on a University Campus 2001, http://rr.sans.org/wireless/wireless_univ.php [16] KingPing y Mudge, Security of the Palm Operating System and its Weaknesses Agaunst Malicious Code Threats, http://www.atstake.com/research/reports/securi ty_analysis_palm_os.pdf [17] Gloria Soto Prez, De qu esta hecha tu PDA?, http://microasist.com.mx/noticias/mo/gspmo07 11.shtml [18] Matthew McDermott, PDA (Personal Digital Assistant) Security, Abril 2002 http://its.med.yale.edu/security/PDA/ [19] PDAs Susan Guerrero A Security Primer Mayo 2001 http://rr.sans.org/PDAs/sec_primer.php [20] Davin Czukoski, Palm Security, http://palmtops.about.com/library/weekly/aa06 042000a.htm [21] Kingpin, Palm OS Password Lockout Bypass, Marzo 2001, http://www.@stake.com/research/advisories/2 001/a030101-1.txt [22] Kingpin, PalmOS Password Retrieval and Decoding, Septiembre 2000, http://www.atstake.com/research/advisories/20 00/a092600-1.txt [23] Palm OS Programmer's Companion, pg. 255 [24] Francisco Ramos OReilly, EL PRIMER VIRUS REAL PARA PALM http://microasist.com.mx/noticias/mo/fromo13 04.shtml

[25] Francisco Ramos OReilly, LIBERTY, un troyano para PALM http://microasist.com.mx/noticias/mo/fromo23 08.shtml [26] Allan Hollowell, A Virus in the Palm of My Hand, September , 2000 http://rr.sans.org/PDAs/virus_in_hand.php [28] Airopeek, http://www.wildpackets.com/products/airopee k [29] Airopeek, http://www.wildpackets.com/elements/AiroPe ek_Quick_Tour.pdf [30] AirSnort, http://airsnort.sourceforge.net/ [31] AirSnort, http://www.be-secure.com/airsnort.html [32] @Stake Pdd, http://www.atstake.com/research/tools/index.h tml [33] @Stake Pdd, http://www.atstake.com/research/reports/pdd_ palm_forensics.pdf [34] Paraben, http://www.paraben-forensics.com/pda.html [35] International Association of Chiefs of Police and the United States Secret Service, Best Practices for Seizing Electronic Evidence, http://www.netconcept.com/forensics/electroni c_evidence.htm [36] John Scourias, Overview of the Global System for Mobile Communications, http://ccnga.uwaterloo.ca/~jscouria/GSM/gsmr eport.html [37] Michel Barbeau, Wireless LAN (WLAN) Protocol [38] Intel, IEEE 802.11b High Rate Wireless Local Area Networks [39] WildPackets, WildPackets Guide Analysis to Wireless LAN

32

Autores

Mauren Alies, Ingeniera de Sistemas, Estudiante de Magster en Ingeniera de Sistemas con nfasis en Ingeniera de Informacin. Sergio Garca, Ingeniero de Sistemas, Estudiante de Magster en Ingeniera de Sistemas con nfasis en Redes. Fabin Molina, Ingeniero de Sistemas, Estudiante de Magster en Ingeniera de Sistemas con nfasis en Ingeniera de Informacin. Juan Felipe Montoya, Ingeniero de Sistemas, Estudiante de Magster en Ingeniera de Sistemas con nfasis en Informtica Grfica Maria Isabel Serrano, Ingeniera Electrnica, Estudiante de Magster en Ingeniera de Sistemas con nfasis en Redes.

33

ANEXO I.
Herramienta para realizar imgenes de memoria en dispositivos Palm para anlisis forense. Para la realizacin del demo se selecciono la herramienta pdd (palm dd) la cual es una herramienta para Windows que realiza imgenes de la memoria de una Palm para la adquisicin de evidencia para una investigacin Forense. El modo de consola se utiliza para adquirir informacin de la tarjeta de memoria y para la creacin de una imagen bit a bit de la regin de memoria seleccionada. Adems de la informacin contenida en la memoria, pdd recupera y despliega la siguiente informacin sobre el dispositivo: Nombre del archivo de salida Hora actual Nmero de tarjeta Nombre del productor Versin de la tarjeta Fecha de creacin Tamao de la ROM, RAM Bytes disponibles en RAM Versin del sistema operativo Tipo de procesador Identificacin de la Flash (Si hay) Listado 1: Informacin sobre la PDA Proceso Inicialmente Pdd recupera y escribe la informacin sobre el dispositivo en un archivo llamado Pdd.txt (Listado 1), durante el proceso los errores crticos son enviados al error estndar. La imagen en bruto de la memoria es escrita en un archivo de salida estndar a menos que se especifique un nombre de archivo en la lnea de comando. Pdd contina recibiendo la informacin hasta que la memoria es copiada por completo. Solamente cuando la imagen se ha completado, el software pdd automticamente reinicia el dispositivo para salir del modo de depuracin. El comando <ctrl>C se puede utilizar para finalizar en cualquier momento la copia de la informacin, cuando se utiliza este mtodo, es necesario salir del modo de depuracin, ya que el dispositivo contina en este modo. Una re-arrancada del software es el nico mtodo para deshabilitar el modo de consola de la Palm una vez este es permitido. Esto puede ser un problema en algunas instancias, ya que una re-arrancada del software reinicia el rea dinmica, variables globales y limpia y compacta el rea de almacenamiento. Potencialmente, registros eliminados de la base de datos pueden ser destruidos. Debido a esto se tiene nicamente una oportunidad para obtener una captura limpia, por lo tanto se debe tener mucho cuidado al llevar a cabo la descarga inicial de memoria para que la captura y el anlisis de los resultados sean los esperados. Haciendo uso de una funcin hash para encriptar la informacin tal como MD5 o SHA-1, sobre la imagen de memoria generada por el Pdd proporciona una huella digital y una verificacin de integridad; si se realiza otra imagen de la ram de la Pda, y al utilizar alguna de las funciones descritas anteriormente para verificacin, podemos determinar que son diferentes debido a que la Palm tubo que ser re-arrancada cuando se finalizo la primera adquisicin de la imagen de sta. En el caso de la memoria ROM el valor del hash siempre ser idntico (a menos que el usuario all realizado cambios). Diagrama de flujo de la funcionalidad del Pdd La figura 22 ilustra las rutinas internas que se ejecutan al utilizar el programa Pdd

34

El software Pdd se puede ejecutar con las siguientes opciones, si ninguna es definida, el opta por realizar las opciones que son declaradas por defecto. Las opciones son las siguientes: -c cardno: Numero de la tarjeta de la Palm [por defecto = 0 para la tarjeta incorporada] -d displaytype: 1 = informacin o 2 = tranquila [por defecto = 0 para normal] -h: ayuda en recursos adicionales -o filename: la imagen de salida al archivo [por defecto = a.out] -p port: nombre del puerto serial de comunicaciones [por defecto = COM1] -t memorytype: RAM o ROM [por defecto = RAM] A continuacin se puede encontrar una serie de ejemplos que pueden ilustrar la ejecucin y el retorno realizado por el programa Pdd. Ejemplo 1: pdd o outfile.bin d 2 Imagen que contiene toda la informacin contenida en la RAM usando la definicin de los valores por defecto, escribe la imagen binaria al archivo outfile.bin, El tipo en que se muestra la informacin es en modo tranquilo, la informacin no es enviada a la salida estndar. Ejemplo 2: pdd -p COM2 -c 1 -d 1 Muestra la tarjeta y la informacin para la tarjeta nmero 1, adems el dispositivo se encuentra conectado al puerto Com2. Ejemplo 3: pdd -t ROM > outfile.txt Realiza una imagen de la informacin contenida en la ROM, la salida estndar es escrita a el archivo outfile.txt.

35