Ankit Srivastava * e Pratik Vatsal

Instituto de Ciência Forense e Criminologia, Universidade de Bundelkhand, Jhansi, UP, Índia

Autor correspondente:
Srivastava A
Instituto de Ciência Forense e Criminologia
Universidade de Bundelkhand, Jhansi, UP-284128, Índia
Tel: 919415067667
E-mail: [email protected]

Recebido em 03 de dezembro de 2015; Aceito em 29 de abril de 2016; 04 de maio, 2016 publicado

Citação: Srivastava A, Vatsal P (2016) Importância forense dos cartões SIM como evidência digital. J Res Forense 7: 322. doi: 10.4172 / 2157-7145.1000322

Direitos autorais: © 2016 Srivastava A, et al. Este é um artigo de acesso aberto distribuído sob os termos da Creative Commons Attribution License, que permite uso, distribuição e reprodução irrestritos em qualquer meio, desde que o autor e a fonte originais sejam creditados.

Visite para mais artigos relacionados no Journal of Forensic Research

Resumo

O Forense Digital é um ramo da Ciência Forense pertencente a artigos probatórios de natureza digital e eletrônica, dos quais o forense móvel é um grande fluxo. A proliferação de aparelhos celulares portáteis e os crimes envolvendo telefones celulares nos anos anteriores levaram a uma enorme demanda por especialistas no campo da perícia móvel. A parte interessante é que qualquer telefone celular está incompleto sem um cartão SIM. Portanto, os cartões SIM são o tipo mais comum de evidência forense encontrada nos casos em que há dispositivos portáteis, um cartão SIM é imperativo, independentemente de o telefone pertencer à categoria normal de telefones celulares ou ao satélitetelefones que contenham um SIM iDEN (Rede Digital Avançada Integrada). Esses cartões estão à nossa volta e agora estão sendo integrados em carteiras de motorista, cartões de débito, cartões de crédito, cartões ATM, cartões de identidade, etc. A Ciência Forense Digital é a habilidade de um especialista forense em aplicar o conhecimento das ciências da computação e das medidas investigativas por uma causa legal que requer a análise de evidências digitais. É o processo de identificação, preservação, análise e apresentação de evidências digitais de uma maneira que seja legalmente aceitável. O motivo do processo é preservar qualquer evidência digital em sua forma mais original, enquanto realiza uma análise planejada, identificando, coletando e validando as informações digitais com o objetivo de reconstruir eventos passados.

Palavras-chave

Forense digital; Evidência digital; Mobile forense; Cartões SIM; Evidência digital

Introdução

A evidência digital pode ser definida como “Informações e dados de valor para uma investigação que é armazenada, recebida ou transmitida por um dispositivo eletrônico em formato binário”.

O Digital Forensics compreende várias subdivisões relacionadas à investigação de vários tipos de mídia, dispositivos ou artefatos. Alguns deles são:

• Computação forense

• Rede forense

• Análise de dados forenses

• Análise forense de banco de dados

• Análise forense de dispositivos móveis

Computação forense

Diz respeito à condição atual de um artefato digital ; como um sistema de computador, mídia de armazenamento, documento eletrônico etc. É a arte de obter, preservar e documentar evidências de dispositivos de memória eletrônica, como PCs, câmeras digitais, laptops, pen drives, CDs, DVDs e outros dispositivos de armazenamento digital [ 1 ] É usado para investigar uma ampla variedade de crimes, incluindo fraudes financeiras, pornografia infantil, espionagem, perseguição cibernética, etc.

Rede forense

Ele lida com a análise do tráfego da rede de computadores , local e WAN ou Internet, para coleta de evidências, coleta de informações ou detecção de intrusão. O Network Forensics preocupa-se principalmente com a captura, gravação e análise de eventos de rede, a fim de descobrir a fonte dos ataques de segurança.

Análise de dados forenses

Ele examina dados estruturados com o objetivo de descobrir e analisar padrões de atividades fraudulentas resultantes de crimes financeiros. A análise forense de dados pode se concentrar na recuperação de informações sobre o uso de um dispositivo móvel, computador ou outro dispositivo. Os investigadores forenses de dados também podem usar várias metodologias para buscar forense de dados, como descriptografia, pesquisas avançadas de sistema, engenharia reversa ou outras análises de dados de alto nível.

Análise forense de banco de dados

É o estudo forense de bancos de dados e seus metadados. As investigações usam o conteúdo do banco de dados, arquivos de log e dados na RAM para criar uma linha do tempo ou recuperar informações relevantes. A disciplina é semelhante à computação forense, seguindo processo forense normal e aplicando técnicas de investigação ao conteúdo e metadados do banco de dados. As informações em cache também podem existir na RAM do servidor que requer técnica de análise ao vivo.

Análise forense de dispositivos móveis

É um importante sub-ramo da ciência forense digital, relacionado à recuperação de evidências ou dados digitais de um dispositivo móvel. Difere da computação forense, pois um dispositivo móvel teria um sistema de comunicação embutido (por exemplo, GSM) e, geralmente, mecanismos de armazenamento proprietários. As investigações geralmente se concentram em dados simples, como dados de chamadas e comunicações (SMS / E-mail), em vez de uma recuperação profunda dos dados excluídos. Os dispositivos móveis também são úteis para fornecer informações de localização; do rastreamento de GPS / localização embutido ou através dos registros do site da célula, que rastreiam os dispositivos dentro do seu alcance.

Cartões SIM

O chip geralmente chamado de cartão SIM (Subscriber Identity Module) é de fato um UICC, ou seja, Universal Integrated Circuit Card, que é um cartão inteligente que ajuda dispositivos como telefones celulares, decodificadores, etc. , conecte-se à torre de rede de rádio celular mais próxima para fins de comunicação. Em vez de se referir a esses cartões inteligentes como UICC, eles são comumente referidos como cartões SIM no uso diário [ 2 ].

SIM Forensics

O cartão SIM Forensics é uma seção essencial da análise forense de dispositivos móveis . As informações que um cartão SIM pode fornecer ao examinador forense podem ser cruciais para uma investigação. A obtenção de um cartão SIM permite que uma grande quantidade de informações, que o suspeito tenha tratado por telefone, seja investigada.

Em geral, alguns desses dados podem ajudar um investigador a determinar:

• Números de telefone de chamadas feitas / recebidas

• Contatos

• Detalhes do SMS (hora / data, destinatário, etc.)

• texto SMS (a própria mensagem)

Dados do Provedor de Serviços

Algumas informações adicionais que os provedores de serviços podem armazenar:

• Um banco de dados de clientes

• Registros detalhados de chamadas (CDR)

• Registro de Localização Residencial (HLR)

Identidade da área de localização

As redes para dispositivos de telefone celular são distribuídas nas áreas de localização.

Cada local é identificado por seu número de identificação exclusivo, chamado Informações da área de local ou LAI. O LAI será armazenado no cartão SIM para receber serviços da torre de celular mais próxima . Quando o telefone muda para uma área de localização diferente, é criada uma nova LAI na lista das LAIs anteriores. Na condição em que o telefone é desligado, após a reinicialização, ele pode pesquisar na lista de todas as LAIs armazenadas para encontrar as LAIs armazenadas para encontrar a LAI em que está atualmente, para iniciar o serviço novamente [ 3 , 4 ]. Isso economiza tempo, evitando pesquisar na lista completa de todas as torres ao redor.

Esse é um verdadeiro ponto positivo para os investigadores forenses, porque quando um cartão SIM é revisado, eles podem ter uma idéia geral de onde o cartão SIM foi geograficamente. Por sua vez, isso informa a eles onde o telefone esteve e, em seguida, pode se relacionar com o local onde o indivíduo que possui o telefone esteve.

Cartões SIM do ponto de vista técnico

O cartão contém o seu:

• Microprocessador (CPU)

• Memória de programa (ROM)

• memória de trabalho (RAM)

• Memória de dados (EPROM ou E2PROM)

• módulo de comunicação serial

Tecnicamente, o SIM (Módulo de identidade do assinante) é apenas um dos vários aplicativos em execução no cartão inteligente (o UICC). Teoricamente, um único UICC pode conter vários SIMs, o que permite o gerenciamento de vários números de telefone ou contas a serem acessados ​​por um único UICC, mas raramente é visto na prática. Embora hoje em dia o cartão SIM “12 em 1” esteja sendo anunciado, mas seja extremamente raro ou não seja predominante na Índia, pelo menos.

O cartão SIM é na verdade um microcomputador que possui seu próprio microprocessador, interface de entrada e saída, memória volátil e não volátil. Esses componentes inteiros se reúnem para calcular principalmente as respostas aos desafios apresentados. Na próxima figura, podemos ver a estrutura funcional e lógica de um cartão SIM ( Figura 1 ).

Figura

Figura 1: Estrutura funcional e lógica de um cartão SIM.

A maneira como o cartão SIM interage com o dispositivo móvel é por meio de uma conexão serial de entrada / saída que serve como um link para o celular manipular comandos para o cartão SIM e obter uma resposta. O protocolo mais utilizado é o T = 0, que define exatamente a codificação elétrica do APDU (Application Protocol Data Unit) para cada comando e as respostas (Status Words) que o cartão SIM pode retornar (Rankl e Effing, 2000). Deve-se dizer que, nesse nível, o cartão SIM é um elemento totalmente passivo, ou seja, mantém uma posição de escravo e não pode iniciar a comunicação com o aparelho, basta responder as Palavras de Status às perguntas (APDU) do aparelho [ 5 ].

Um cartão SIM possui seis blocos que também correspondem aos seis pinos do conector SIM, mas apenas cinco pinos têm conexão em todo o layout ( Figura 2 ).

Figura

Figura 2: Layout dos pinos do conector SIM.

• Dados do SIM – acessa os dados digitais que estão sendo armazenados na memória do SIM.

• Relógio SIM – Este é um sinal de frequência de relógio que sincroniza com os dados digitais para criar um sinal de dados para transferir ou enviar e receber informações de dados.

• Redefinição do SIM – Este é um sinal de frequência que deve acionar ou redefinir todos os processos de sincronização.

• Tensão de alimentação VSIM B + – É uma tensão de fonte de alimentação usada para ativar o circuito de um cartão SIM.

• Terra do SIM – uma voltagem da linha de terra .

• O sexto não está conectado.

A organização do sistema de arquivos de um cartão SIM

O sistema de arquivos de um cartão SIM é organizado em uma estrutura hierárquica em árvore, conforme indicado abaixo:

Arquivo mestre (MF) – arquivo mestre é a raiz da organização do sistema de arquivos. Ele contém todos os arquivos dedicados e elementares.

Arquivo Dedicado (DF) – arquivos dedicados são diretórios subordinados ao arquivo mestre que contêm arquivos dedicados e elementares.

Arquivo Elementar (EF) – Esses são arquivos que contêm vários tipos de estruturas de dados formatadas, que podem ser uma sequência de bytes de dados, uma sequência de registros de tamanho fixo ou um conjunto fixo de registros de tamanho fixo usado ciclicamente ( Figura 3 ).

Figura

Figura 3: sistema de arquivos SIM.

Geralmente, os cartões UICC mantêm apenas 16 a 64 KB de memória, mas houve uma tendência recente de produzir cartões SIM com capacidades de armazenamento muito maiores, que podem variar de 512 MB a 1 GB de memória.

Iccid

Todo SIM é identificado internacionalmente pelo seu ICC-ID ( Integrated Circuit Card ID). Os IDs ICC são armazenados no cartão SIM e podem até ser gravados ou impressos no corpo do cartão SIM durante um processo chamado de personalização. O número geralmente tem até 18 dígitos, com a adição de um único “dígito de verificação” usado para a detecção de erros. Esse dígito único permite detectar dígitos digitados incorretamente, um erro de entrada de dígitos ou uma permutação de dois dígitos sucessivos. Este dígito é calculado com o uso do algoritmo de Luhn ( Figura 4 ) [ 6 ].

Figura

Figura 4: Cartões SIM mostrando ICCID.

Um exemplo típico de SIM (19 dígitos) 89 91 10 1200 00 320451 0, pode nos fornecer vários detalhes na Tabela 1 .

Posição do dígito Exemplo Descrição das posições dos dígitos
Primeiros dois dígitos 89 Identificador principal da indústria
Próximos dois dígitos 91 Código do país (91 é para a Índia)
Próximos dois dígitos 10 Número de identificação do emissor
Próximos quatro dígitos 1200 Mês e ano de construção
Próximos dois dígitos 0 0 Código de configuração do switch
Próximos seis dígitos 320451 Número SIM
Último dígito 0 0 Dígito CheckSum

Tabela 1: Detalhes de 19 dígitos em um cartão SIM típico.

Esses dígitos podem ser agrupados para obter informações adicionais

• O identificador principal da indústria, o código do país e o número de identificação do emissor compõem o número de identificação do emissor (IIN), que tem no máximo 7 dígitos.

• Os próximos dígitos que podem ter comprimento variável representam o número de identificação da conta individual.

• O último dígito é o dígito da soma de verificação [ 7 ].

O conceito de recuperação de dados de cartões SIM

Cartões SIM que são tecnicamente cartões inteligentes contendo um chip de memória EEPROM incorporado. O chip EEPROM nos cartões inteligentes são os mesmos dispositivos de memória flash que estão presentes em pen drives, SSDs, etc. Portanto, é possível recuperar dados de outros dispositivos de chip de memória eletrônico .

Porém, os cartões SIM em condições danificadas podem ficar irreconhecíveis pelo dispositivo de extração do SIM que está sendo usado. Portanto, o cartão deve ser devidamente limpo antes de ser submetido ao processo de extração. No campo da ciência forense, os laboratórios da Digital Forensics podem receber cartões SIM em várias condições incomuns, de sujos e empoeirados a cartões SIM fisicamente quebrados. As placas de conexão dos cartões SIM podem estar enferrujadas ou ensopadas de sangue.

Valor probatório dos cartões SIM

• cartões SIM podem conter informações cruciais, por exemplo, mensagens que têm IDs de login e senhas relacionadas com um de contas bancárias e social, sites de redes .

• Os cartões SIM também podem conter mensagens pessoais e profissionais, informações importantes de contato, registros de chamadas etc.

• As mensagens excluídas também podem ser recuperadas dos cartões SIM.

• Os dados nos cartões SIM não são destruídos pelo calor, chama, poeira, solo, umidade, manchas ou campos magnéticos. Portanto, as condições ambientais não afetam os dados armazenados nos cartões SIM.

• Somente após sofrer danos físicos, um SIM pode ficar ilegível, mas riscos e estrias não tornam o cartão SIM ilegível.

• Os cartões SIM infligidos por pedras, martelos ou mordidos por dentes que criam marcas de compressão no circuito metálico do cartão ficam ilegíveis.

• Até os cartões SIM que ficaram ilegíveis podem ser lidos após a substituição do chip EEPROM em um novo cartão SIM ou conectando-o às sondas apropriadas.

• As pessoas devem estar cientes de que os cartões SIM não devem ser simplesmente descartados sem dividi-los em dois pedaços, para tornar quase impossível para um estranho ou criminoso roubar dados privados com facilidade, apenas usando um leitor de cartão SIM .

• Os cartões SIM são vitais como evidências forenses, pois contêm informações de localização e uma lista de todas as torres de rede às quais se conectou recentemente. Os registros de chamadas de um suspeito ou criminoso podem ser de imenso valor nos procedimentos de uma investigação.

• Em casos de suicídio, afogamento acidental, acidentes de viação, desastres em massa em que o dispositivo móvel da vítima desconhecida é quebrado ou desligado devido à descarga da bateria , se o cartão SIM for retirado e lido com um leitor de cartão SIM, podemos conheça a vítima extraindo informações do cartão SIM.

Referências