Artículos

PERITO INFORMATICO – COMO REALIZAR UN ANALISIS FORENSE A UN DRON

Fruto al gran auge que en los últimos años ha experimentado el uso de drones en aplicaciones civiles, y a los distintos incidentes en los que estas aeronaves se han visto involucradas, el perito informatico de la actualidad se ha visto obligado a crear nuevas técnicas de análisis forense especialmente enfocadas en aeronaves no tripuladas.

¿QUE ES LA INFORMATICA FORENSE?

La informatica forense o también conocida como computación forense es la rama de la informática encargada del estudio, desarrollo y aplicación de técnicas científicas que permitan analizar infraestructura tecnológicas con el objetivo de identificar, preservar, analizar y presentar un conjunto de datos que resulten de interés para un determinado proceso legal.

Las técnicas forenses incluyen la reconstrucción de la infraestructura informática, análisis de datos residuales, autenticación de datos y detallar las características técnicas del uso dado a los datos y objetos informáticos.

¿QUE ES UN PERITO INFORMATICO?

El perito informático es un perito experto en cualquiera de las múltiples áreas de especialización de la informática y las nuevas tecnologías.

El perito informático es un perito judicial experto en cualquiera de las ramas de la informática y nuevas tecnologías. Como auxiliar de la justicia su tarea principal es la de asesorar a las autoridades encargadas de impartir justicia respecto a temas relacionados con la informática. Para ello, el perito informatico realiza un análisis de los elementos informáticos con el objetivo de localizar evidencias que puedan resultar útiles para el curso de un litigio jurídico.

ANALISIS FORENSE DE UN DRON

El análisis forense de los accidentes en los que se encuentran involucrados UAVs puede proporcionar una gran cantidad de información útil que puede ser utilizada para aclarar las circunstancias que rodearon el incidente y a establecer las causas que lo motivaron. Un buen análisis forense puede ser fundamental para decidir el resultado de los casos legales relacionados con incidentes ocasionados por UAVs.

A continuación les mostraremos cuales son los pasos que debemos de dar a la hora de realizar un análisis forense a un drone. Para esto nos basaremos en la presentación titulada «UAV (aka drone) Forensics» realizada por David Kovar para la Conferencia Digital Forensics & Incident Response (DFIR), celebrada durante los días 23 y 24 de junio 2016 en Austin, Texas.

RECONOCIMIENTO Y EXPLORACION DEL CASO

La primera fase para realizar un análisis forense a un UAV es la de reconocimiento y exploración del caso, y para completarla debemos seguir los siguientes pasos:

  • Identificación forense de la evidencia disponible: es el primer paso que debemos llevar a cabo y el cuál determinará la calidad y grado de veracidad del resultado final de nuestro análisis. Existen tres tipos de evidencia, pueden ser físicas, digitales o provenientes de alguna otra naturaleza.

    Evidencia física:

    • El UAV:
      • Autopiloto
      • Sensores
      • Otras evidencias físicas ubicadas en la propia aeronave
    • Estación de control
      • Telemetría
      • El computador que contiene el software para la planificación y monitorización de misiones
      • Emisora de radio control
    • Soporte y post procesado
      • Equipo de mantenimiento
      • Equipo de procesamiento de imágenes
      • Otros

    Evidencia digital:

    • Sistema operativo móvil, en el caso de se haya utilizado un dispositivo móvil para controlar al UAV
    • Sistema operativo de la estación de control en tierra.
    • Sistema operativo embebido en el propio UAV
    • Todos los sistemas de ficheros involucrados
    • Elementos de almacenamiento (discos duros, memorias SD en todas sus variantes, almacenamiento en la nube, etc)
    • Las memorias EEPROMs de los distintos componentes electrónicos
    • El firmware del autopiloto

    Evidencias un poco más tradicionales:

    • Plan de vuelo
    • Registro de mantenimiento
    • Registros de compras
    • Toma de huellas
    • Otras
  • Reunir toda la información posible acerca del caso: los sistemas basados en UAVs pueden alcanzar un elevado grado de complejidad debido a los distintos tipos de tecnologías y componentes que pueden ser implementados, por lo que nos será de mucha ayuda realizar una amplia recopilación de información que nos permita entender cada uno de los elementos que intervienen en el caso.
  • Determinar el tipo de problema que se está tratando de resolver: este paso es crucial para decidir cual será nuestro proceder. Los tipos de problemas más frecuentes a la hora de realizar el análisis forense a un UAV son:
    • Impacto del UAV con una persona, animal o elemento de valor
    • Vuelo dentro del espacio aereo controlado
    • Invasión de la privacidad
    • Actividades ilegales

Una vez terminada la fase de reconocimiento y exploración ya habremos definido todos los elementos necesarios para continuar con la realización del análisis.

Ahora imaginemos el siguiente escenario:

Un drone modelo DJI Phantom 3 es encontrado en el patio de un edificio gubernamental.

Las preguntas que el perito informatico deberá responder son las siguientes:

  1. ¿Quien es el dueño de la aeronave?
  2. ¿Cómo ha llegado allí el UAV?
  3. ¿Dónde estaba antes de estrellarse?
  4. ¿Hacia donde se dirigía?
  5. ¿Cuál era su propósito?

Con el aparato en la mano lo primero que debemos hacer es buscar su número de serie y cualquier otro tipo de código identificador. En el presente caso de estudio, tenemos los siguientes identificadores:

 

Luego conectamos el UAV a un OpenWRT AP, y con la ayuda de la herramienta automática de recolección de datos volátiles Live Response Collection extraemos más información del Sistema Linux embebido en el DJI Phantom:

Analisis forense - UAV - extraccion de informacion

 Gracias a que la mayoría de los UAVs disponibles en el mercado poseen APIs y SDKs, debemos estar preparados para crear nuestras propias herramientas de extracción de datos, ya que al día de hoy no existe un único paquete software que permita extraer todos los datos que necesitamos. En la siguiente imagen se presenta la información extraída utilizando la SDK de DJI:

Analisis forense - UAV - extraccion de informacion 2

ANALISIS FORENSE DE LOS ARCHIVOS LOG

Los drones de la serie Phantom 3 (Professional, Advanced y Standart) crean archivos de logs muy similares. Los archivos logs guardados en la propia aeronave son nombrados FLY???.DAT, mientras los logs generados ya sea por la estación de control en tierra o la app DJI Go no nombrados DJIFLightRecord_date/time.TXT.

Los archivos FLY???.DAT son almacenados en una memoria micro SD de 4Gb ubicada en la parte de abajo de la Main board situada en el interior del UAV. Para poder acceder a la micro SD, debemos de desarmar el aparato.

Analisis forense - UAV - extraccion de informacion - DAT file

Después debemos extraer de la micro SD el archivo .DAT más reciente y con la ayuda del software gratis DatCon.exe, extraeremos la información que necesitamos. DATCON es una aplicación capaz de leer archivos .DAT y luego extraer información valiosa (GPS, nivel de batería, velocidad de los motores, altitud, etc) que pude ser consultada utilizando Excel, Dashware y Google Earth.

Analisis forense - UAV - extraccion de informacion - DatCon - 2

Analisis forense - UAV - extraccion de informacion - DatCon

Tras realizar un análisis de la data entregada por DatCon.exe, hemos llegado a la conclusión de que el UAV se ha estrellado por un fallo del sistema.

ANALISIS FORENSE DE LA DATA GENERADA POR LOS SENSORES

Luego, debemos prestar atención a los sensores ubicados en el UAV, ya que dependiendo del tipo de sensor utilizado podemos establecer el propósito del vuelo. A continuación les presento los sensores más utilizados en aplicaciones con UAVs:

  • LiDar
  • Óptico
  • NVIR
  • Termográfica

De los 4 sensores anteriormente citados, el sensor óptico es el más popular, y generalmente consiste en una cámara fotográfica cuyas características variarán significativamente dependiendo el tipo de aplicación para la cual ha sido seleccionada. De la cámara fotográfica podemos extraer las imágenes captadas durante el vuelo y los datos EXIF (Exchangeable image file format). Estos últimos contienen información sobre la hora y fecha en la que se ha tomado la fotografía, la apertura, la velocidad de obturación, el ISO utilizado o la distancia focal, entre otros muchos datos. Podemos localizar esta información fácilmente con solo extraer la memoria SD utilizada para el almacenamiento de dichos datos. En las siguientes figuras le mostramos los datos que se pueden obtener:

Analisis forense - UAV - extraccion de informacion - EXIF

Analisis forense - UAV - extraccion de informacion - imagenes-2

Con ayuda de todos estos datos podemos determinar el punto de lanzamiento y con suerte la identidad del piloto.

RECOLECCION DE DATOS GENERADOS POR LOS DISPOSITIVOS DE CONTROL

Un lugar que todo perito informatico nunca debería pasar por alto a la hora de buscar evidencias es la estación de control en tierra. Para este escenario en particular necesitarnos conectar entre sí al UAV, la emisora de radio control y un dispositivo móvil con la app DJI GO. Una vez hemos conectado todo, vamos a la sección de ajustes avanzados de la aplicación DJI GO y seleccionamos FLIGHT DATA MODE.

Analisis forense - UAV - extraccion de informacion - DJI GO

Una vez realizado esto podemos conectar el UAV a nuestro PC utilizando para ello un USB Write Blocker. Una vez conectado el UAV se montará lo que nos permitirá acceder directamente a las imágenes de la tarjeta microSD. Con este paso podremos acceder a mucha información de utilidad.

Analisis forense - UAV - extraccion de informacion - DJI GO 2

Con estas evidencias más la suma de otras tomadas de una forma más tradicional, podríamos dar por finalizado nuestro trabajo de análisis forense a un UAV.

Ernesto Santana

Soy editor y administrador de XDrones.es, un portal web especializado en todo lo referente al mundo de las aeronaves no tripuladas (UAVs por su sigla en inglés) y/o drones.

1 Comentario

Da un click para dejar un comentario

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies