MATERIAL DE REFERENCIA PARA LA EVALUACIN FORENSE SIM HERRAMIENTAS

Paper No. ICCST 2007-74

Wayne A. Jansen Miembro de la IEEE Instituto Nacional de Estndares y Tecnologa 100 Oficina Dr., PARADA 8930 Gaithersburg, MD 20899 EE.U U. Abstracto -Mdulos de identificacin de suscriptor (SIM) son un componente fundamental de la normalizacin mayora de los telfonos celulares usados en todo el mundo. Un SIM puede ser retirado de un auricular de telfono y se inserta en otro, permitiendo a los usuarios a la identidad del puerto, la informacin personal, y el servicio entre los dispositivos. Se espera que todos los telfonos celulares para incorporar algn tipo de mdulo de identidad con el tiempo, en parte, debido a esta propiedad til. Algunos de los de uso general y muy pronto, herramientas forenses para telfonos mviles dirigidos SIMs para recuperar la evidencia digital. Mientras que con el tiempo las capacidades y el nmero de este tipo de herramientas han aumentado, no estn completamente libres de problemas. Validacin de una herramienta SIM forense es una medida esencial de garanta de calidad. Permite a un especialista forense para determinar la manera de compensar las deficiencias detectadas o si se debe utilizar una versin de la herramienta en lugar de otro. Fabricantes de herramientas tambin se benefician de forma rigurosa validacin de sus productos antes de lanzarlos. Sin embargo, la creacin de tarjetas SIM de referencia que contienen los datos de prueba integrales puede consumir tiempo y ser difcil de lograr. En este trabajo se describe un mtodo para la automatizacin de la poblacin de los datos de prueba en SIMs para crear material de referencia para su uso en la validacin de la herramienta. Tambin cubre los detalles de la aplicacin y explica las caractersticas de los Sims que tengan relacin con la solucin. Trminos de indexacin - Forense, telfonos celulares, digitales Prueba. I. INTRODUCCIN El Sistema Global para Comunicaciones Mviles (GSM estndares) para redes celulares fueron desarrollados originalmente por la Conferencia Europea de Administraciones de Correos y Telecomunicaciones, continu por el European Telecommunications Standards Institute y luego por el Proyecto tercero Asociacin Generacin (3GPP), donde ahora estn mantenidos . Servicio GSM comercial se inici a mediados de 1991. En 1993, treinta y seis redes GSM funcionaban en veintids pases [1]. Aunque comenz en Europa, GSM se ha convertido en un estndar internacional ms amplia con grado de redes operativas en ms de 200 pases de todo el mundo, incluyendo Amrica del Norte [2] 0.1

Aurelien Delaitre Instituto Nacional de Estndares y Tecnologa 100 Oficina Dr., PARADA 8930 Gaithersburg, MD 20899 EE.U U.
Mdulos de identificacin de suscriptor (SIM) es sinnimo de telfonos mviles y dispositivos que interactan con las redes celulares GSM. En el marco GSM, un telfono celular se conoce como una estacin mvil y se divide en dos componentes distintos: el mdulo de identidad de abonado (SIM) y el equipo mvil (ME). Como el nombre implica, una tarjeta SIM es un componente extrable que contiene la informacin esencial sobre el suscriptor. El forense, la porcin terminal de radio que queda, no puede funcionar plenamente sin una. La funcin principal del SIM implica la autenticacin del usuario del telfono mvil a la red para tener acceso a los servicios suscritos. La SIM tambin ofrece una tienda para obtener informacin personal, como las entradas de la agenda telefnica y mensajes de texto, as como informacin operativa, como la participacin de ubicacin. SIMs se clasifican de acuerdo a la fase del pliego de apoyo, que se registra en un elemento de su sistema de archivos (por ejemplo, EFPhase) 0,2 Las tres fases son definidos fase 1, fase 2 y fase 2 +, que corresponden ms o menos a primero, segundo, y 2,5 instalaciones de la red de generacin. Otra clase de SIMs est desplegando en la tercera generacin (3G) de servicios de telecomunicaciones mviles universales (UMTS redes) es UMTS SIM (USIM). USIM son versiones mejoradas de SIMs de hoy en da, con informacin compatible con versiones anteriores. Algunos de los, propsito, herramientas forenses primeros generales para telfonos mviles tarjetas SIM especficas, no slo debido a las especificaciones detalladas disponibles para ellos, sino tambin por la evidencia digital altamente relevante y til que podra recuperarse. Una evaluacin reciente de las capacidades de las actuales herramientas forenses das para recuperar la evidencia de SIMs, sin embargo, tom nota de las discrepancias entre los datos de las pruebas puestas en una tarjeta SIM y que recuperado y reportado en todas las herramientas [3]. Ellos incluyen la incapacidad para recuperar los datos de algunas tarjetas SIM, inconsistencias entre los datos que aparecen en pantalla para el usuario y que se genera en los informes de salida, la falta de datos truncados en el producto descrito o mostrado, errores en la decodificacin y la traduccin de los datos recuperados, y la incapacidad para recuperar todos los datos pertinentes. Adems, las actualizaciones o nuevas versiones de la herramienta, en ocasiones, realizan menos hbilmente que una versin anterior. Validacin de una herramienta SIM forense es una medida esencial de garanta de calidad. La ayuda de los resultados para decidir cmo compensar las deficiencias observadas o si se debe cambiar a una nueva versin de la herramienta. La validacin debe llevarse a cabo

Algunos productos comerciales y nombres comerciales son identificados en el presente documento para ilustrar los conceptos tcnicos. Sin embargo, esto no implica una recomendacin o un endoso por el NIST.

Los nombres normalizados EF y abreviaturas que se encuentran en el 3GPP TS 11.11 Especificacin Tcnica, aunque a veces inusual, se utilizan en todo este debate.

la hora de elegir primero una herramienta forense para asegurar su aceptabilidad y rehacer cuando las actualizaciones o nuevas versiones de la herramienta estn disponibles para mantener la consistencia de los resultados. Validacin de un instrumento implica definir un conjunto de datos de los ensayos, lo carga en el dispositivo, y siguiendo los procedimientos para adquirir y recuperar los datos de prueba [4]. Mientras validacin de la herramienta es esencial, la construccin de tarjetas SIM de referencia que contienen los datos de prueba integrales pueden consumir tiempo y ser difcil de llevar a cabo, lo que requiere el uso de diversas herramientas y los telfonos SIM de edicin para rellenar los datos. Adems, existen diferencias entre las tarjetas SIM de diferentes fabricantes, como las diferentes capacidades de archivos asignados a las entradas (por ejemplo, la agenda) y diferentes campos de datos de tamao soportados (por ejemplo, el nombre de un individuo en una entrada de la agenda). Los diferentes codificaciones de caracteres tambin pueden aplicarse a las distintas lenguas de inters. En este trabajo se describe un mtodo para la automatizacin de la poblacin de los datos de prueba de referencia en SIMs que intenta hacer frente a este tipo de diferencias. Los detalles de la aplicacin tambin estn cubiertos. II. CARACTERSTICAS SIM
El SIM-ME particin de un telfono celular se estipula en las normas GSM ha dado lugar a una forma de transporte. Mover una SIM entre telfonos celulares compatibles transfiere automticamente con l la identidad del suscriptor y la informacin y las capacidades asociadas. Por el contrario, los telfonos de hoy en da en Amrica del Norte que siguen Code Division Multiple Access (CDMA) normas (es decir, TIA/EIA/IS-95-A y B) no emplean un SIM. En su lugar, la funcionalidad SIM anloga se incorpora directamente en el dispositivo. Mientras SIMs son los ms ampliamente utilizados en los sistemas GSM, mdulos similares tambin se utilizan en la red digital mejorado (iDEN) mviles, que utilizan una tecnologa de comunicaciones mviles desarrollada por Motorola, y los telfonos utilizados en las redes UMTS (es decir, un USIM). Debido a la flexibilidad de un SIM ofrece a los usuarios de telfonos GSM para portar su identidad, informacin personal, y el servicio entre los dispositivos, con el tiempo se espera que todos los telfonos mviles para incluir (U) SIM capacidad similar. Por ejemplo, los requisitos para un Mdulo de Identidad de Usuario Extrable (RUIM), como una extensin de las capacidades de SIM, se han especificado para los entornos celulares conformes a TIA/EIA/IS-95A y especificaciones B, que incluyen banda ancha Spread Spectrum basado CDMA [5]. En su esencia, una tarjeta SIM es un tipo especial de tarjeta inteligente que contiene normalmente un procesador y entre 16 y 256 KB de persistente electrnica programable y borrable memoria de slo lectura (EEPROM). Tambin incluye la memoria de acceso aleatorio (RAM) para la ejecucin del programa, y memoria de slo lectura (ROM) para el sistema operativo, la autenticacin de usuario y algoritmos de cifrado de datos, y otras aplicaciones. El sistema de archivos organizado jerrquicamente de un SIM reside en la memoria persistente y almacena cosas tales como nombres y las entradas de nmeros de telfono, mensajes de texto y ajustes de servicio de red. Dependiendo del telfono usado, alguna informacin en la tarjeta SIM puede coexistir en la memoria del telfono. Alternativamente, la informacin puede residir en su totalidad en la memoria del telfono en lugar de la memoria disponible en la tarjeta SIM.

clonar el SIM y obtener acceso a un servicios del suscriptor. Informacin de claves criptogrficas en la tarjeta SIM tambin soporta el cifrado cifrado de flujo para proteger contra las escuchas en la interfaz de aire [6, 7]. Dos tamaos de tarjetas SIM se han estandarizado, pero slo el tamao ms pequeo se muestra en la Figura 1 se utiliza ampliamente hoy en da en los telfonos GSM. El mdulo tiene una anchura de 25 mm, una altura de 15 mm, y un espesor de 0,76 mm, que es ms o menos la huella de un sello de correos. Aunque es similar en dimensin a una tarjeta de memoria extrable miniSD o MMCmobile apoyado por algunos telfonos mviles, tarjetas SIM siguen un conjunto diferente de las especificaciones con caractersticas muy diferentes. Por ejemplo, los conectores de 8 pines no estn alineados a lo largo de un borde inferior que con las tarjetas de medios extrables, pero en su lugar se forman una almohadilla de contacto circular integral al chip de la tarjeta inteligente, que se inserta en un marco de plstico. Adems, la ranura para la tarjeta SIM no es normalmente accesible desde el exterior del telfono para facilitar la insercin y la retirada frecuente como con una tarjeta de memoria, y en su lugar, se encuentra tpicamente en el compartimiento de la batera debajo de la batera.

Figura 1: Mdulo de identidad del abonado Cuando se inserta un SIM en un auricular de telfono y contactos de pasador est hecho, una interfaz en serie se utiliza para la comunicacin entre ellos. Un SIM puede ser retirado de un telfono y leer usando un lector especializado tarjeta SIM y el software a travs de la misma interfaz. Adaptadores de tarjetas inteligentes de tamao estndar tambin estn disponibles para tarjetas SIM, lo que les permite ser insertados en y se leen con un lector de tarjeta inteligente convencional. A. El sistema de archivos SIM Forenses herramientas SIM extraer evidencia digital presente en el sistema de archivos de una tarjeta SIM. El sistema de archivos est organizada en una estructura jerrquica de rbol, como se muestra en la Figura 2. Se compone de los siguientes tres tipos de elementos de [8]: Archivo Maestro (MF) - la raz del sistema de archivos que contiene los archivos dedicados y primaria. Archivo Dedicado (DF) - un directorio subordinado al archivo maestro que contiene los archivos dedicados y primaria. Archivo elemental (EF) - un archivo que contiene varios tipos de datos con formato, estructurados, ya sea como una secuencia de bytes de datos, una secuencia de registros de tamao fijo, o un conjunto determinado de registros de tamao fijo utilizados cclicamente.

Autenticacin de un dispositivo a una red de forma segura es una funcin vital realizado a travs de la tarjeta SIM. Claves criptogrficas informacin y algoritmos dentro de la resistente-mdulo de manipulacin indebida proporcionan los medios para el dispositivo de participar en un dilogo de desafo-respuesta con la red y responder correctamente, sin exponer el material de claves y otra informacin que podra ser utilizado para

Figura 2: Sistema de archivos SIM

wife and trying to kill the husband of another Las normas GSM definen varios archivos importantes dedicados inmediatamente debajo del MF: DFGSM, DFDCS1800 y DFTELECOM. Varios EF estn definidos para estos FD y el MF, incluyendo muchos que son obligatorios. Los Fondos Ambientales bajo DFGSM y DFDCS1800 contienen principalmente relacionado con la red de informacin, respectivamente, GSM 900 Sistema Celular Digital (DCS) 1800 Funcionamiento de banda MHz MHz y. EF de 850 MHz y 1900 MHz. Se utiliza en Amrica del Norte se encuentran, respectivamente, en los FD as, y por lo general contienen informacin idntica. Los Fondos Ambientales bajo DFTELECOM contienen informacin relacionada con el servicio. Los contenidos de EF especficos que se recuperan por la mayora de las herramientas forenses y han demostrado su utilidad en las investigaciones se tratan ms adelante en este artculo. Aunque los sistemas de archivos SIM estn altamente estandarizados, las normas permiten una flexibilidad tal que su contenido puede variar entre los operadores de redes y proveedores de servicios. Por ejemplo, un operador de red no se puede usar un elemento opcional del sistema de archivos, puede crear un elemento adicional en la tarjeta SIM para su uso en sus operaciones, o puede instalar una funcin integrada para ofrecer un servicio especializado [9]. B. Controles de acceso a archivos SIMs, como con las tarjetas inteligentes en general, emplean una serie de tcnicas de resistencia a la manipulacin para proteger su contenido. Adems, existen varios niveles de los derechos que son asignados a un DF o EF para controlar las condiciones de acceso [8]: Siempre - El acceso se puede realizar sin ningn tipo de restriccin. Verificacin de la tarjeta Holder 1 (CHV1) - El acceso puede realizarse slo despus de una verificacin de PIN del usuario, o si la verificacin del PIN est desactivado. Verificacin de la tarjeta Holder 2 (CHV2) - El acceso se puede realizar solamente despus de una verificacin exitosa de PIN2 del usuario, o si PIN2 verificacin est desactivada. Administrativo - El acceso puede realizarse slo despus de que se cumplan los requisitos establecidos para el acceso administrativo. Nunca - acceso del archivo a travs de la interfaz SIM / ME est prohibido. El sistema operativo SIM controla el acceso a un elemento de el sistema de archivos basado en su condicin de acceso y el tipo de accin que se intent [8]. Por ejemplo, las acciones de EF incluyen la bsqueda, lectura y actualizacin de los contenidos. Mientras que la lectura y la bsqueda de los contenidos de una EF en particular podra permitirse sin CHV1 verificacin (es decir, una condicin de acceso siempre), la actualizacin probablemente podra exigir como requisito previo CHV1 est correctamente verificada (es decir, una condicin de acceso CHV1). En general, CHV1 protege los datos bsicos de SIM para el usuario de la tarjeta contra la lectura y la actualizacin no autorizado, mientras CHV2 protege los datos de control de marcacin administrativos principalmente por un administrador de tarjetas (por ejemplo, el padre de un nio usuario), si existe tal relacin. Los valores de 4 a 8 dgitos de ambos VSC se pueden restablecer por cualquier persona conocer los valores de PIN o su verificacin totalmente discapacitados. Cdigos Los llamados ADM se requieren para el acceso administrativo y normalmente se mantienen

network operator. The MCC is 3 digits, while the MNC may por el proveedor de servicios u operador de red que emiti la tarjeta SIM. El sistema operativo SIM permite slo un nmero predeterminado de intentos, por lo general tres, para entrar en el CHV correcta antes de que se bloquean ms intentos. Presentar el valor correcto Desbloquear CHV, tambin conocido como una clave de desbloqueo de PIN (PUK), restablece el CHV y el contador de intentos. Si se conoce el identificador de la tarjeta SIM (es decir, su circuito integrado o chip Identificador ICCID), el Desbloquear CHV, ya sea para CHV1 o CHV2 puede obtenerse del proveedor de servicios u operador de red. El ICCID est normalmente impresa en la tarjeta SIM junto con el nombre del proveedor de la red. Si es necesario, el identificador tambin se puede leer con una herramienta SIM de un EF, EFICCID, ya que la condicin de acceso siempre se aplica por definicin. Si el nmero de intentos para introducir un valor de CHV Desbloquear correctamente supera un lmite establecido, normalmente diez intentos, la tarjeta se bloquea de forma permanente.

III. EVIDENCIA DIGITAL Una variedad de pruebas digitales de un SIM mentiras esparcidas a lo largo de varios EF en el sistema de archivos. Artculos de noticias de casos de alto perfil de vez en cuando contienen ejemplos ilustrativos que se us evidencia recuperada de un SIM con xito en una investigacin. Mensaje de texto y llamadas de datos [10] - "Un pastor de la congregacin pentecostal en la pequea comunidad de Knutby fue condenado a cadena perpetua por persuadir a una de sus amantes (la au pair) para disparar y matar a su amante. Dos das despus del asesinato del pastor au pair Sarah S. aleg que lo hizo. A pesar de sus afirmaciones ... la polica crea que tena un cmplice ". "La evidencia ms fuerte contra el pastor era la extensa comunicacin a travs de mensajes de texto y llamadas de voz entre l y la au pair en el da de el asesinato y justo antes de eso. Lo que ellos no saban era que sus mensajes de texto cuidadosamente eliminados (annima enviada y) se puede recuperar ". Datos de Ubicacin [11] - "Sr. Bristowe dijo a la BBC:" Fue la evidencia telfono mvil que hacen los policas miran ms de cerca a Huntley. l haba sido el seor til, ayudndolos a buscar en los terrenos de la universidad, pero cuando nos registramos el telfono de Jessica y descubrieron cundo y dnde se haba apagado las alarmas empezaron a sonar ... (El telfono de Jessica) se desprendi de la red, en efecto, dice adis al 1846 BST el domingo cuando las chicas desaparecieron. El telfono de Jessica en contacto con el mstil Burwell cuando se apaga ". "" La polica nos dio un mapa de la ruta que pensaban habran llevado a las nias, y el nico lugar

wife and trying to kill the husband of another en esa ruta donde el telfono podra haber iniciado la sesin en Burwell (y desacoplado s mismo) estaba dentro o fuera de la casa de Huntley. Se cree que esa migaja de evidencia crucial que oblig Huntley para cambiar su historia a principios de este ao y de repente admitir a las nias muri en su bao ". Para una referencia SIM para ser til en la validacin de herramientas SIM forenses, su sistema de archivos debe ser poblada con datos de prueba que se recupera normalmente por tales herramientas. Hay varias categoras generales de las pruebas se pueden identificar: Informacin de servicio relacionada con la Agenda y informacin de la llamada Informacin de Mensajera Informacin Ubicacin. Un nmero de EF de cada una de esas categoras cuya informacin es empleado regularmente por especialistas forenses se analizan a continuacin como ejemplos de elementos bsicos para la validacin [7, 12]. A. Informacin relacionada con el servicio La tarjeta de identificacin del circuito integrado (ICCID) es un identificador numrico nico para la SIM que puede ser de hasta 20 dgitos. Se compone de un prefijo de identificador de sector (89 para las telecomunicaciones), seguido de un cdigo de pas, un nmero identificador de emisor, y una cuenta de nmero de identificacin individual [13]. Aparte del prefijo, los componentes de un ICCID son variables, por lo que a veces es difcil de interpretar. El ICCID puede "siempre" puede leer desde la tarjeta SIM sin proporcionar un PIN y nunca se puede actualizar. El cdigo de pas y el identificador de emisor se puede utilizar para determinar el operador de red que proporciona el servicio y obtener los registros de datos de llamada para el abonado. La Identidad de Abonado Mvil Internacional (IMSI) es un identificador numrico de 15 dgitos nico asignado al abonado. Tiene una estructura algo similar a la ICCID: un mvil Cdigo de Pas (MCC), un cdigo de red mvil (MNC), y un Nmero de identificacin del abonado mvil (MSIN) asignado por el ser de 2 o 3 dgitos, con el MSIN asumir el resto. El cuarto byte de otro EF, datos administrativos (AD), da la longitud de las multinacionales [14]. Las redes utilizan IMSI para determinar qu red de propietario de un dispositivo suscribe y, si no es su red, si se permite a los abonados de la red de acceso de servicio. El ICCID y el IMSI se pueden utilizar fiable para identificar el abonado y el operador de red que proporciona el servicio. Desde estos identificadores pueden ser mal interpretados, sin embargo, otros SIM datos pueden ayudar a confirmar el hallazgo. El Directorio de la estacin internacional del abonado mvil Nmero (MSISDN) tiene la intencin de transmitir el nmero de telfono asignado al abonado para recibir llamadas en el telfono. A diferencia de la ICCID y IMSI, sin embargo, el MSISDN es un EF opcional. Si est presente, su valor puede ser actualizado por el abonado, por lo que es una fuente de datos menos fiables, ya que sera entonces incompatible con el nmero real asignado. El nombre del proveedor de servicio (SPN) es un EF opcional que contiene el nombre del proveedor de servicios. Si est presente, slo puede actualizarse por el administrador (es decir, acceso de administrador). Del mismo modo, los nmeros de marcacin de servicio (SDN)

network operator. The MCC is 3 digits, while the MNC may EF contiene los nmeros de servicios especiales, tales como la atencin al cliente y, si est presente, puede ayudar a identificar a los que la red de la tarjeta SIM se ha registrado. El Extension3 (EXT3) EF contiene datos adicionales para una entrada SDN. B. Agenda y informacin de la llamada Los nmeros de marcacin abreviada (ADN) EF mantiene una lista de nombres y nmeros de telfono introducidos por el abonado. El tipo de nmero (TON) y la identificacin de plan de numeracin (NPI) tambin se mantienen en este EF. El almacenamiento permite la operacin agenda rudimentaria, proporcionando los medios para seleccionar los nmeros de telfono marcados comnmente por su nombre y actualizar o llamar mediante un men o ciertas teclas del telfono. Si la capacidad de almacenamiento de ADN no es suficiente para contener toda la informacin de una entrada (por ejemplo, una inusualmente larga secuencia de dgitos), un ndice a un (EXT1) Registro EF extension1 se utiliza para vincular a donde se mantiene la informacin adicional. La mayora de las tarjetas SIM proporcionan alrededor de 100 slots para entradas de ADN. Los nmeros de marcacin fija (FDN) EF es similar al ADN en la medida en una lista de nombres y nmeros de telfono que est involucrado. Sin embargo, esta lista se utiliza slo en situaciones en las que el usuario se limita a slo los nmeros de marcacin prescritos por un administrador de tarjetas. Si la capacidad de almacenamiento de FDN no puede contener toda la informacin de una entrada, un ndice a un registro EF extensin2 (EXT2) se utiliza para indicar que se mantienen los datos adicionales. Los ltimos nmeros de marcado (LND) EF contiene una lista de los nmeros de telfono ms recientes convocadas por el dispositivo. Un nombre tambin puede estar asociada con una entrada (por ejemplo, una entrada llamada agenda de telfonos) y se almacena con el nmero. Aunque un nmero aparece en la lista, una conexin puede no haber sido un xito, slo intent. La mayora de las tarjetas SIM proporcionan slo un nmero limitado de ranuras (por ejemplo, diez) para estas entradas. Si la capacidad de almacenamiento LND no puede contener toda la informacin de una entrada, un ndice a un registro EXT1 EF indica que se mantienen los datos adicionales. Algunos telfonos no tienda llamada nmeros en la SIM y en lugar de confiar en su propia memoria para el almacenamiento.

C.

Messaging Information

La mensajera de texto es un medio de comunicacin en el que los mensajes introducidos en un telfono celular son enviadas a otro a travs de la red de telefona mvil. El servicio de mensajes cortos (SMS) EF contiene el texto y los parmetros asociados a los mensajes recibidos desde o enviados a la red, o han de ser enviado como un mensaje de MS-originado. Entradas SMS contienen otra informacin, adems del propio texto, tales como el tiempo de un mensaje entrante fue enviado, segn lo registrado por la red de telefona mvil, el nmero de telfono del remitente, la direccin del Centro de SMS, y el estado de la entrada. El estado de un mensaje de entrada se puede designar como espacio libre desocupada o como ocupada por uno de los siguientes: un mensaje recibido para ser ledo, un mensaje recibido que se ha ledo, un mensaje de salida para ser enviado, o un mensaje de salida que tiene sido enviado. Los mensajes eliminados a travs de la interfaz del telfono a menudo se denominan simplemente como espacio libre y el contenido retenidos sin cambios en la tarjeta SIM hasta que son sobrescritos. Cuando un mensaje se escribe en una ranura disponible, la parte no utilizada se rellena con el relleno, sobrescribiendo los restos de un mensaje anterior que podra estar all. La capacidad de los mensajes almacenados vara entre SIMs. Muchos telfonos mviles tambin utilizan su propia memoria interna para el almacenamiento de mensajes de texto. La eleccin de la memoria donde se almacenan los mensajes (es decir, la tarjeta SIM o telfono) puede variar dependiendo del software del telfono y la configuracin del usuario [15]. Por ejemplo, una organizacin predeterminada puede ser para todos los mensajes entrantes se almacenan en la memoria de la tarjeta SIM antes de utilizar la memoria interna del telfono, mientras que los mensajes salientes se almacenan slo si lo solicita explcitamente. Modelos de telfonos de una generacin y fabricante en particular a menudo se comportan consistentemente a este respecto [15]. La longitud mxima de una sola entrada de mensajes SMS es de 160 caracteres de texto. Los mensajes que excedan la longitud deben ser divididas en segmentos ms pequeos por el telfono enva y volver a montar el telfono receptor. Esta caracterstica es especialmente til para el carcter de lenguas extranjeras establece como el chino o el rabe cuya codificacin consume considerablemente ms bits por carcter que el Ingls. Un parmetro nmero de referencia identifica las entradas cuyos segmentos requerir montaje. Estos mensajes se denominan mensajes concatenados. Mensajes SMS se pueden originar a travs de otros medios distintos de un telfono celular, tal como desde un servidor de SMS a travs de Internet o correo electrnico. Un mensaje SMS se puede codificar en diferentes maneras. El esquema de codificacin original y ms comn es una red GSMcarcter especfico de 7 bits, todo en un flujo de bits [16]. Tal una codificacin no puede ser interpretado fcilmente por las personas que utilizan un editor hexadecimal, ni puede incorporar todos los idiomas. Se agreg el soporte para otros conjuntos de caracteres, como el Unicode de 16 bits, para los idiomas cuyas alfabetos no se puede representar mediante el juego de caracteres de Europa occidental originales [17]. Un servicio de mensajera mejorada (EMS) se defini como una manera de extender el contenido del mensaje SMS para permitir sencillo mensajes multimedia para ser transportados. Mensajes EMS puede

EMS-enabled devices are backward compatible by definition contener no slo el texto formateado con diferentes estilos de fuentes y tipos de letra, sino tambin imgenes de mapa de bits en blanco y negro y melodas monofnicas [17]. Contenido del mensaje ccsme reside en el EF SMS junto con el contenido del mensaje SMS. Mensajera EMS es esencialmente una extensin de contenido de nivel de aplicacin a SMS, que se ajusta a la estructura de mensaje general SMS y apoyo para los mensajes concatenados. con dispositivos habilitados para SMS. D. Informacin Ubicacin Una red GSM est formado por clulas de radio diferentes utilizados para establecer la comunicacin con los telfonos mviles. Las clulas se agrupan en reas definidas utilizados para gestionar las comunicaciones. Telfonos realizar un seguimiento de la zona de la que dependern de las comunicaciones de voz y datos. La informacin de ubicacin (loci) EF contiene la ubicacin de informacin de rea (LAI) para las comunicaciones de voz. La IAF se compone de la MCC y MNC de la zona de ubicacin y el cdigo de rea Ubicacin (LAC), un identificador para un conjunto de clulas. Cuando el telfono est apagado, el LAI se mantiene, por lo que es posible determinar la configuracin regional general, donde el telfono fue el ltimo operativo. Debido a que una zona de ubicacin puede contener cientos o ms clulas, el local puede ser muy amplia. Sin embargo, puede sin embargo ser til en la reduccin a la regin en la que ocurri el evento. Del mismo modo, la informacin de localizacin GPRS (LOCIGPRS) EF contiene la informacin de rea de encaminamiento (RAI) para comunicaciones de datos sobre el General Packet Radio Service (GPRS). La RAI se compone de la MCC y MNC del rea de encaminamiento y la ALC, as como un cdigo de rea de encaminamiento (RAC), un identificador del rea de encaminamiento dentro del ALC. reas de enrutamiento pueden ser definidos de la misma como reas de ubicacin o pueden implicar un menor nmero de clulas, proporcionando una mayor resolucin. IV. IDENTIDAD mdulo de programacin El Mdulo de Identidad del programador (IMP) se desarroll como una herramienta de propsito general para rellenar varios tipos de mdulos de identidad con los datos de prueba de referencia. La implementacin inicial slo funciona con tarjetas SIM, pero la intencin es apoyar a otros tipos de mdulos de identidad con el tiempo. El resto de esta seccin se analizan las consideraciones de diseo y aspectos de aplicacin de la herramienta. A. Consideraciones de diseo El flujo de datos global del IMP se da en la Figura 3. Conceptualmente, el proceso es sencillo. Los datos de referencia se lee en el programa y se utiliza para rellenar una SIM, una vez que el CHV y cdigos de ADM (es decir, los datos de la tarjeta) se han aplicado y las condiciones adecuadas de acceso permitido. Los errores se registran y se reporta un resumen de los resultados. Los datos de prueba de referencia podran ser generados manualmente o automticamente. En este ltimo caso, un preprocesador producira los casos de prueba, por ejemplo, utilizando tcnicas de cobertura combinatoria para generar todas las combinaciones de dos vas de valores de parmetros para cada categora de pruebas [18]. De lo contrario, los datos de prueba se pueden crear manualmente.

C. Messaging Information En un nivel concreto, varios factores deben ser considerados al momento de decidir cmo rellenar una tarjeta SIM o un tipo similar de identitymodulewithreferencetestdata.These consideraciones incluyen los siguientes: Un mtodo para representar los datos de la tarjeta y la prueba Los datos de las pruebas de referencia a poblarse Un medio para escribir datos en el mdulo de identidad

EMS-enabled devices are backward compatible by definition

Figura 3: IMP Informacin general XML es el mtodo utilizado para representar los datos de prueba para la entrada en IMP. XML es una sintaxis popular para la representacin de datos, capaces de ser procesados por las computadoras y, con un poco de esfuerzo, capaz de ser interpretada y entendida por los usuarios. Existen muchos editores XML, as como herramientas para definir descripciones de los tipos de datos y los esquemas contra la cual las representaciones de datos se pueden construir y verificar automticamente. La ltima propiedad es extremadamente til en el perfeccionamiento de la sintaxis de los conjuntos de datos de referencia, en particular cuando se produce manualmente. Estas caractersticas motivaron su eleccin. La figura 4 muestra un ejemplo de entrada de la agenda para un nombre de Asia y un nmero de telfono internacional codificado en XML.

<phonebookentry> <description enc="ucs2"> </ description> <direccin> <ton> internacional </ t> <npi> telfono </ npi> <nmero> 1444412345678 </ number> </ Address> </ Phonebookentry> Figura 4: Ejemplo XML entrada de la agenda Los datos de referencia se pueden rellenar en un SIM slo cuando se cumplen las condiciones de acceso correctos para realizar operaciones de actualizacin (es decir, escribir). La Tabla 1 identifica las condiciones de acceso necesarios para los Fondos Ambientales discutidos anteriormente. Tabla 1:
CHV1 ADN EXT1 LND SMS LOCI LOCIGPRS MSISDN Actualizacin de Condiciones de Acceso CHV2 ADM FDN IMSI EXT2 SDN EXT3 SPN AD FASE NUNCA ICCID

Two classes of SIMs generally available for use in tool validacin son SIMs produccin y Sims prueba. Valores de CHV estn generalmente disponibles para la mayora de tarjetas SIM de produccin, sin embargo, los cdigos de administrador se mantienen normalmente por la compaa de red y no disponibles. Para tarjetas SIM de prueba, que estn disponibles para fines de desarrollo de la mayora de los fabricantes de SIM, los valores de CHV y cdigos ADM son prestados normalmente junto con las tarjetas SIM de prueba. Como se puede ver en la Tabla 1, los SIM de prueba permiten un mayor rango de datos de referencia para ser poblada. Sin embargo, SIMs de produccin an puede formar una referencia til para la validacin, siempre y cuando las EF que no pueden ser poblada por la herramienta se observan y se tendrn en cuenta durante la validacin de la herramienta. El primer conjunto de datos de referencia se obtuvo de los escenarios de prueba utilizados recientemente en las evaluaciones forenses de herramientas SIM participacin bsica, la ubicacin, el EMS, y los datos de lenguas extranjeras [19]. Datos bsicos incluye abonado (es decir, el IMSI, ICCID, SPN, y los archivos elementales PT), PIM (es decir, el fichero elemental ADN), llamada (es decir, el fichero elemental LND) y SMS mensaje de informacin relacionada. Adems de los datos de entrada comunes, de entrada problemtica conocida, tales como el uso de un carcter especial para una entrada de nombre de directorio telefnico, se incluy. Datos de lengua extranjera implica mensajes SMS y datos PIM que se expresan en un idioma que no sea Ingls. EMS Data incluye mensajes EMS ms de 160 caracteres de longitud, y tambin con contenido no textual, como imgenes de mapa de bits en blanco y negro o monofnicos melodas. Mensajes EMS tambin pueden contener texto con formato con diferentes estilos de fuentes y tipos de letra. Los datos de localizacin incluye informacin relacionada con la localizacin, tales como la ltima rea de localizacin o rea de encaminamiento, donde el telfono desengancha de la red (es decir, los loci y LOCIGPRS archivos elementales). Un telfono mvil se comunica con una tarjeta SIM directivas de comandos utilizando llamadas Unidades de datos de protocolo de aplicacin (APDU) [8]. APDU utilizadas por tarjetas SIM tienen exactamente el mismo formato que aquellos con tarjetas inteligentes y siguen el mismo protocolo. El protocolo APDU es un simple intercambio de comandos de respuesta, con una sola respuesta para cada comando emitido. Cada elemento del sistema de archivos tiene un identificador nico numrico asignado, que se puede utilizar para hacer referencia al elemento y realizar una operacin, tales como la lectura de los contenidos, en el caso de una herramienta forense [9]. El mismo protocolo APDU se puede utilizar para hacer referencia a un elemento y realizar una operacin de actualizacin para rellenar un EF con datos de prueba. B. Aspectos de la aplicacin Herramientas SIM ms forenses se ejecutan bajo el sistema operativo Windows, lo que hace que una eleccin lgica para la aplicacin IMP. Para permitir que otros sistemas operativos adems de Windows que se apoyan tambin, IMP fue programado en el lenguaje de programacin Java. IMP utiliza una interfaz de cdigo abierto de programacin de aplicaciones (API) llamado Java Card Access Communication Library (JACCAL) para intercambiar APDU con la tarjeta SIM. Una API simple para XML (SAX) se utiliza para interpretar los codificados, los datos de prueba de referencia XML. Para IMP para poblar una tarjeta SIM, que debe ser eliminado de un telfono y se coloca en un lector apropiado.

Two classes of SIMs generally available for use in tool Ya sea un lector especializado que acepta una tarjeta SIM directa o un general- lector propsito para una tarjeta inteligente de tamao completo se puede utilizar, siempre que sea compatible con el PC / SC (Personal Computer / Smart Card) especificacin [20], un popular general

<xs:group name="groupPhoneBookEntry"> <xs:choice> <- Entrada de la agenda > name="phonebookentry"> <xs:element <xs:complexType> <xs:sequence> <- Nombre del contacto -> name="description"> <xs:element <xs:complexType mixed="true"> <- Codificacin del nombre -> <xs:attribute name="enc" type="typeEncoding"/> </ Xs: complexType> </ Xs: element> <-! Direccin del contacto, es decir, el nmero de telfono -> <xs:element nombre="direccion" type="typeAddress"/> </ Xs: secuencia> </ Xs: complexType> </ Xs: element> <xs:element name="empty" type="typeEmpty"/> </ Xs: choice> </ Xs: Grupo> Figura 5: Esquema XML Extracto

arquitectura propsito para tarjetas inteligentes. Para los lectores de tarjetas de tamao completo, es necesario un adaptador de tarjetas inteligentes de tamao estndar para albergar el SIM para su insercin en el lector. Es posible que los datos de prueba de referencia definidos pueden exceder la capacidad de una EF o el tamao del campo. Los intentos para superar cualquier tipo de lmite son detectados por el propio SIM. Fuera de los lmites referencias se tienen en cuenta los datos y excesivamente largos se truncan en el espacio disponible. IMP registra las desviaciones entre los datos de poblacin y datos de referencia a medida que ocurren. Un resumen de todos los datos de las pruebas de referencia de poblacin tambin aparece en el informe de salida. Adems, tambin se presentan los contenidos de ciertos EF que IMP no es capaz de llenar de proporcionar una lnea de base para la validacin definitiva conocida herramienta. V. CONCLUSIN Una consideracin en la construccin del esquema XML para los datos de prueba es la definicin de formas de representar las entradas eliminadas. Porque no existe una operacin de eliminacin de SIM, la eliminacin se lleva a cabo en la mayora de los casos mediante la actualizacin de la informacin en un archivo elemental con las cadenas de hexadecimal "FF". La nica excepcin consiste en el contenido del mensaje SMS, por el cual se utiliza un indicador de estado que representa una entrada eliminada en lugar de " FF "sobrescribir. SIMs utilizan tres estructuras de archivos elementales, que tambin afectan a cmo se almacena la informacin y actu. Archivos transparentes son una secuencia de bytes que se puede acceder a travs de un desplazamiento. Archivos fijos lineales son una lista de registros de la misma longitud que se puede acceder por nmero de registro absoluta, a travs de un puntero de registro, o mediante la bsqueda de un registro por el patrn. Archivos cclicos comprenden una cola circular de registros mantenidos por orden cronolgico, que son accesibles lo mismo que con los registros fijos lineales, por el ms antiguo sobrescribe si el almacenamiento est lleno. Por ejemplo, para los archivos fijos lineales de un nmero de registro podra ser utilizado para especificar el contenido del registro indicado, mediante el cual una entrada de borrado simplemente no aparece. Sin embargo, eso podra dar lugar a errores en el conjunto de datos de referencia, tales como las entradas duplicadas, que no seran detectables de forma automtica por una herramienta de validacin XML. En lugar de nmeros de registro, los datos de las entradas de registro se listan secuencialmente y se rellenan en el orden de aparicin. Entradas borradas luego se pueden designar con una etiqueta especial de "vaco". Un extracto de la versin actual del esquema para la definicin de la agenda, la cual especifica la alternativa para designar una entrada vaca, se muestra en la figura 5. Examen forense de telfonos celulares es un tema cada vez ms en los mdulos forensics.Identity informticos juegan un importante papel en este proceso. Herramientas de Reconocimiento Mdico Legal para telfonos y mdulos de identidad traducen los datos a un formato y la estructura que sea comprensible por el examinador y se puede utilizar con eficacia para identificar y recuperar la evidencia. Sin embargo, las herramientas pueden contener un cierto

grado de inexactitud. Por ejemplo, la aplicacin de la herramienta puede contener un error de programacin; una especificacin utilizado por la herramienta para traducir bits codificados en datos comprensibles por la examinador puede ser inexacta u obsoleta, o el protocolo utilizado para acceder a la tarjeta SIM puede ser incorrecta, haciendo que la herramienta para funcionar incorrectamente en determinadas situaciones. El fracaso de una herramienta forense para recuperar correctamente y reportar los datos pertinentes SIM dificulta en gran medida la capacidad de la medicina forense especialista y pone en peligro la credibilidad de los resultados generales. Si bien la experiencia con una herramienta de anlisis proporciona una comprensin de sus limitaciones, que no reemplaza la necesidad de validar las capacidades de la herramienta, sobre todo para las versiones iniciales y posteriores de una herramienta seleccionada para su uso, y cuando se aplican los parches o actualizaciones a la herramienta o entorno de funcionamiento de la herramienta. Las medidas de calidad se harn siempre a asegurar que los resultados sean coherentes y cualquier variacin comprendidos. Este principio se aplica tanto a los especialistas forenses que utilizan este tipo de herramientas y fabricantes de herramientas forenses que los producen. Materiales de referencia adecuados son esenciales para la validacin de una herramienta forense. Sin embargo, la creacin de materiales de referencia adecuados puede ser problemtica y consume tiempo. La tcnica descrita en este documento proporciona un medio para crear material de referencia de forma automtica para la validacin de la herramienta SIM, sobre la base de conjuntos seleccionados de datos de prueba. La tcnica se aplic en el lenguaje de programacin Java y los datos de prueba con representacin en XML para proporcionar un alto grado de independencia de la plataforma. El programa resultante es relativamente fcil de usar y slo requiere una cantidad mnima de equipo adicional (por ejemplo, un PC / lector de tarjetas compatible SC) para llenar una tarjeta SIM para su uso en la validacin de la herramienta. VI. REFERENCIAS [1] C. Dechaux, R. Scheller, Cules son GSM y DECT, Comunicacin Elctrica, segundo trimestre de 1993, pp 118? 127. [2] GSM mundial, GSM Global Redes de Aire, marzo 2006, <URL: http://www.gsmworld.com /news/estadsticas / networks_co mplete.shtml>. [3] Wayne Jansen, Rick Ayers, herramientas forenses para mvil Telfono suscriptor Los Mdulos de identificacin, Journal of Digital Forensics, Seguridad y Derecho, abril de 2006. [4] Amanda Goode, de extraccin forense de pruebas electrnicas de los telfonos mviles GSM, Seminario EEI sobre Secure GSM & Beyond, Resumen N 2003/10059, 11 de febrero de 2003. [5] Mdulo de identidad del usuario extrable para Spread Spectrum Systems, tercera Generation Partnership Program 2, 3GPP2 C.S0023-0, Version 4.0, 15 de junio de 2001. [6] Klaus Vedder, aspectos de seguridad de

Mobile Comunicaciones, en Seguridad Informtica e Industrial Criptografa - Estado del Arte y Evolucin, Conferencia Notes in Computer Science, vol. 741, 1991, pp 193 210. [7] Svein Willassen, Forense y el sistema de telefona mvil GSM, Revista Internacional de Evidencia Digital, Volume 2, Issue 1, Spring 2003 <URL: http://www.UTICa.edu / acanuncioemic/ Institutos / ECII /publicatio ns/articles/A0658858-BFF6-C537 7CF86A78D6DE746D.pdf>. [8] Especificaciones del Mdulo de Identidad del Suscriptor equipo mvil (SIM - ME) de la interfaz, 3rd Generation Partnership Project, TS 11.11 V8.13.0 (versin 1999), Especificacin Tcnica, junio de 2005. [9] Fabio Casadei et al SIMbrush,:. Una herramienta de cdigo abierto para GSM y UMTS Anlisis Forense, Primera Taller Internacional sobre enfoques sistemticos para Ingeniera Forense Digital (SADFE'05), 7 de noviembre 9, 2005, pp 105-119. [10] Robert Burnett, Ylva Hrd af Segerstad, The Murder Mystery SMS: el lado oscuro de la tecnologa, la proteccin y seguridad en un mundo interconectado: Balancing cibernticos Derechos Y responsabilidades, septiembre 2005, <URL: http://www.oii.ox.ac.uk / microsyoTES / cybersafety / extensio ns / pdfs / papers/robert_burnett.pdf>. [11] Chris Summers, Telfonos mviles - las nuevas huellas digitales, BBC News Online, 18 de diciembre de 2003, <URL: http://newsvote.bbc.co.uk / mpapps / pagetools /print / news .bbc.co.uk/1/hi /uk/3303637.stm>. [12], Tony Dearsley, Forensics del telfono mvil - Solicitando al Preguntas correctas, Nueva Ley Journal, 29 de julio de 2005, pginas 1164-65. [13] La tarjeta de carga Internacional de Telecomunicaciones de la Unin Internacional de Telecomunicaciones, Sector de Normalizacin de las Telecomunicaciones (UIT-T), Recomendacin E.118, mayo de 2006. [14] Numeracin, direccionamiento e identificacin, tercera Generacin Asociacin Proyecto, TS 23.003, V6.9.0 (Release 6), Pliego de Prescripciones Tcnicas, marzo de 2006. [15] Svein Willassen, Anlisis forense de telfonos mviles Memoria interna, IFIP Conferencia Internacional sobre Digital Forensics, Centro Nacional de Ciencias Forenses, Orlando, Florida, 13-16 de febrero de 2005, en Advances in Digital Forensics, vol. 194, Pollitt, M.; Shenoi, S. (Eds.), XVIII, 313 p., 2006. [16] alfabetos e informacin especfica del lenguaje, tercero Generacin Asociacin Proyecto, TS 03.38, versin 7.2.0 (versin 1998), Especificacin Tcnica, julio 1999. [17] Realizacin tcnica del servicio de mensajes cortos (SMS), el Proyecto de Asociacin de 3 Generacin, TS 23.040 V6.6.0 (Release 6), Pliego de Prescripciones Tcnicas, Diciembre 2005.

[18] David Cohen et al, El enfoque combinatorio Diseo de generacin de la prueba automtica, IEEE Software, septiembre de 1996, pp 83-87, <URL.: http:///www.research.telecordia.com / papers / BPC / AETGi ssre06.shtml>. [19] Rick Ayers et al, telfono celular forenses Herramientas:. Un Descripcin y Anlisis Update, NIST informe interagencial 7387, <URL: http://csrc.nist.gov / publications/ Nistir/nistir-7387.pdf>. [20] PC / SC Workgroup (2005) Especificacin de Interoperabilidad de los CCI y los sistemas de computadoras personales, Parte 1 Introduccin y Generalidades de la Arquitectura, Revisin 2.01.00, junio de 2005, URL: http://www.pcscworkgroup.com / especificons / files / pcsc 1_v2.010.0. Pdf>. VII. VITA Wayne Jansen, BS y MS Informtica, MS Engineering Management, es un Informtico Principal en el Instituto Nacional de Estndares y Tecnologa de la Divisin de Seguridad Informtica, en Gaithersburg, Maryland. Sus intereses de investigacin se centran en las comunicaciones, aplicaciones distribuidas, y seguridad informtica. Actualmente, dirige el Proyecto de Seguridad Mvil, centrado en software mvil y los dispositivos porttiles. Aurlien Delaitre es investigador invitado en el Laboratorio de Tecnologa de la Informacin en el Instituto Nacional de Estndares y Tecnologa (NIST) de Gaithersburg, MD. Se gradu con un M.S. en Informtica por ESIAL, Francia. Su investigacin actual se centra en los dispositivos mviles de herramientas forenses y materiales de referencia para la validacin de la herramienta.