Para justificar un análisis de un dispositivo GPS es necesario saber que información podemos extraer de él. En el caso de TomTom podemos extraer:
* Información del dispositivo: Número de serie del dispositivo, el número de modelo, la versión del programa y la versión del los mapas con sus números de serie.
* Localizaciones: Lugar marcado como casa, una lista de destinos recientes y antiguos viajes.
* Listas de llamadas y mensajes de texto: Cuando está instalado en un teléfono móvil puede contener información sobre: llamadas realizadas, llamadas recibidas y mensajes de texto enviados y recibidos.
* Contactos: Aunque no esté instalado en un teléfono móvil permite agregar datos de contactos. En el caso de estar instalado en un teléfono móvil añadirá la agenda del teléfono como contactos.
* Información conexiones Bluetooth: Nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC.
* Información del usuario.
También hay que tener en cuenta las posibles filosofías de trabajo distintas que puede tener los dispositivos GPS TomTom, que son:
* Modelos TomTom con ranura de tarjeta SD: La información que queremos extraer se guarda en tarjetas de memoria SD. La aplicación y los mapas se almacenan en la tarjeta SD ya que no poseen otro medio de almacenamiento. Dentro de este grupo podemos incluir las PDA y los teléfonos móviles con GPS.
* Modelos de TomTom con disco duro interno: Toda la información se guarda en un disco duro interno y la única forma de acceder es conectando el dispositivo a un PC.
Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del dispositivo, dos metodologías concretas:
Cuando se trata de un TomTom con ranura de tarjeta SD:
* No se debe encender el dispositivo debido a que sobrescribirá datos sobre su posición y se corromperá el escenario. En caso de PDA o teléfonos móviles con no cargar la aplicación es suficiente.
* Retirar la tarjeta SD y protegerla contra escritura, para evitar así que se pueda corromper el escenario.
* Realizar una imagen de la misma.
Cuando se trata de un TomTom con disco duro interno:
* Para extraer la información es necesario encender el dispositivo. Como consecuencia corre el peligro de activar la aplicación y al recibir la señal de los satélites corromper el escenario. Entonces hay que inhibir la señal de los satélites con una jaula de Faraday, se puede emplear para tal efecto, papel de aluminio, envolviendo completamente el dispositivo.
* Realizar una imagen del disco duro.
Después de tener en cuenta estas recomendaciones, la información se extrae de los siguientes archivos:
* *.cfg: Los nombres de los ficheros dependen de la versión y se encuentra en la carpeta del mapa. Suele llamarse ' Mapsettings.cfg' o (nombre del mapa).cfg. Puede haber más de un mapa instalado, el mapa actual se puede encontrar en el archivo ' currentmap.dat'. Estés archivos cfg contienen: localización marcada como casa, favoritos, direcciones manualmente incorporadas, viajes recientes, detalles de antiguos viajes, última posición antes de apagarlo (solo en modelos antiguos).
* CurrentLocation.dat: Última posición antes de apagarlo.
* ttgo.bif o ttnavigator.bif: Información general del dispositivo, número de modelo, número de serie, contraseña de usuario.
* Settings.dat: Conexiones Bluetooth: nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC. Información introducida por el usuario como: nombre, número de teléfono, dirección…
* Called.txt: Llamadas realizadas, en el caso de que se trate de un teléfono móvil GPS. Hechas a través de la aplicación TomTom.
* Callers.txt: Llamadas recibidas, en el caso de que se trate de un teléfono móvil GPS. Recibidas a través de la aplicación TomTom.
* Contacts.txt: Información acerca de los contactos.
* Inbox.txt: Mensajes de texto que ha recibido a través de la aplicación TomTom.
* Outbox.txt: Mensajes de texto enviados a través de la aplicación TomTom, en el caso de que se trate de un teléfono móvil GPS.
La mayoría de los datos son fáciles de interpretar, pero el último viaje realizado tiene una peculiaridad basada en el funcionamiento de la aplicación. Cuando se traza un viaje, existe un punto origen y un punto destino, si se sigue la ruta marcada eses datos quedaran grabados y son fáciles de interpretar. Pero cuando en el viaje el usuario se equivoca y la aplicación recalcula la ruta, el punto origen varia y seria el lugar donde se ha recalculado la ruta. Esta situación puede ser engañosa, a la hora de realizar el análisis forense, porque el punto origen grabado no sería el original. Para evitar esto, hay que recuperar todos los archivos borrados del disco o tarjeta. Gracias a ellos podremos saber la última ruta exactamente y también otras rutas anteriormente realizadas.
Existe una herramienta gratuita para análisis forense de TomTom se trata de TomTology y con ella podemos descifrar: localización marcada como casa, los favoritos, destinos recientes, últimos viajes, guía telefónica, contactos, llamadas recibidas y llamadas enviadas.
TomTology también analiza los archivos borrados para realizar un correcto informe. Además presenta los informes en formato HTML e incluye la posibilidad de exportar los datos ha Google Earth.
Más información y descarga de TomTology:
http://www.forensicnavigation.com/#/products/4527490520Visto en:
http://vtroger.blogspot.com/2008/10/anlisis-forense-de-dispositivos-gps.html
Mostrar Mensajes
