Fruto al gran auge que en los últimos años ha experimentado el uso de drones en aplicaciones civiles, y a los distintos incidentes en los que estas aeronaves se han visto involucradas, se ha convertido en una necesidad la creación de técnicas de análisis forense especialmente enfocadas en RPAS.
El análisis forense de los accidentes en los que se encuentran involucrados RPAS puede proporcionar una gran cantidad de información útil que puede ser utilizada para aclarar las circunstancias que rodearon el incidente y a establecer las causas que lo motivaron. Un buen análisis forense puede ser fundamental para decidir el resultado de los casos legales relacionados con incidentes ocasionados por RPAS.
A continuación les mostraremos cuales son los pasos que debemos de dar a la hora de realizar un análisis forense a un dron. Para esto nos basaremos en la presentación titulada “UAV (aka drone) Forensics” realizada por David Kovar para la Conferencia Digital Forensics & Incident Response (DFIR), celebrada durante los días 23 y 24 de junio 2016 en Austin, Texas.
La primera fase para realizar un análisis forense a un RPAS es la de reconocimiento y exploración del caso, y para completarla debemos seguir los siguientes pasos:
Identificación forense de la evidencia disponible: es el primer paso que debemos llevar a cabo y el cuál determinará la calidad y grado de veracidad del resultado final de nuestro análisis. Existen tres tipos de evidencia, pueden ser físicas, digitales o provenientes de alguna otra naturaleza.
Evidencia física:
- El RPAS:
– Autopiloto
– Sensores
– Otras evidencias físicas ubicadas en la propia aeronave - Estación de control
– Telemetría
– El computador que contiene el software para la planificación y monitorización de misiones
– Emisora de radio control - Soporte y post procesado
– Equipo de mantenimiento
– Equipo de procesamiento de imágenes
– Otros
Evidencia digital:
- Sistema operativo móvil, en el caso de se haya utilizado un dispositivo móvil para controlar al RPAS
- Sistema operativo de la estación de control en tierra
- Sistema operativo embebido en el propio RPAS
- Todos los sistemas de ficheros involucrados
- Elementos de almacenamiento (discos duros, memorias SD en todas sus variantes, almacenamiento en la nube, etc)
- Las memorias EEPROMs de los distintos componentes electrónicos
- El firmware del autopiloto
Evidencias un poco más tradicionales:
- Plan de vuelo
- Registro de mantenimiento
- Registros de compras
- Toma de huellas
- Otras
Reunir toda la información posible acerca del caso: Los sistemas basados en RPAS pueden alcanzar un elevado grado de complejidad debido a los distintos tipos de tecnologías y componentes que pueden ser implementados, por lo que nos será de mucha ayuda realizar una amplia recopilación de información que nos permita entender cada uno de los elementos que intervienen en el caso.
Determinar el tipo de problema que se está tratando de resolver: Este paso es crucial para decidir cual será nuestro proceder. Los tipos de problemas más frecuentes a la hora de realizar el análisis forense a un RPAS son:
- Impacto del RPAS con una persona, animal o elemento de valor
- Vuelo dentro del espacio aereo controlado
- Invasión de la privacidad
- Actividades ilegales
Una vez terminada la fase de reconocimiento y exploración ya habremos definido todos los elementos necesarios para continuar con la realización del análisis.
Ahora imaginemos el siguiente escenario:
Un dron modelo DJI Phantom 3 es encontrado en el patio de un edificio gubernamental.
Las preguntas a responder son las siguientes:
- ¿Quien es el dueño de la aeronave?
- ¿Cómo ha llegado allí el RPAS?
- ¿Dónde estaba antes de estrellarse?
- ¿Hacia donde se dirigía?
- ¿Cuál era su propósito?
Con el aparato en la mano lo primero que debemos hacer es buscar su número de serie y cualquier otro tipo de código identificador. En el presente caso de estudio, tenemos los siguientes identificadores:
Luego conectamos el dron a un OpenWRT AP, y con la ayuda de la herramienta automática de recolección de datos volátiles Live Response Collection extraemos más información del Sistema Linux embebido en el DJI Phantom:
Gracias a que la mayoría de los RPAS disponibles en el mercado poseen APIs y SDKs, debemos estar preparados para crear nuestras propias herramientas de extracción de datos, ya que al día de hoy no existe un único paquete software que permita extraer todos los datos que necesitamos. En la siguiente imagen se presenta la información extraída utilizando la SDK de DJI:
Análisis de los archivos logs.
Los drones de la serie Phantom 3 (Professional, Advanced y Standart) crean archivos de logs muy similares. Los archivos logs guardados en la propia aeronave son nombrados FLY???.DAT, mientras los logs generados ya sea por la estación de control en tierra o la app DJI Go no nombrados DJIFLightRecord_date/time.TXT.
Los archivos FLY???.DAT son almacenados en una memoria micro SD de 4Gb ubicada en la parte de abajo de la Main board situada en el interior del RPAS. Para poder acceder a la micro SD, debemos de desarmar el aparato.
Después debemos extraer de la micro SD el archivo .DAT más reciente y con la ayuda del software gratis DatCon.exe, extraeremos la información que necesitamos. DATCON es una aplicación capaz de leer archivos .DAT y luego extraer información valiosa (GPS, nivel de batería, velocidad de los motores, altitud, etc) que pude ser consultada utilizando Excel, Dashware y Google Earth.
Tras realizar un análisis de la data entregada por DatCon.exe, hemos llegado a la conclusión de que el RPAS se ha estrellado por un fallo del sistema.
Análisis de la data generada por los sensores
Luego, debemos prestar atención a los sensores ubicados en el dron, ya que dependiendo del tipo de sensor utilizado podemos establecer el propósito del vuelo. A continuación les presento los sensores más utilizados en aplicaciones con RPAS:
- LiDar
- Óptico
- NVIR
- Termográfica
De los 4 sensores anteriormente citados, el sensor óptico es el más popular, y generalmente consiste en una cámara fotográfica cuyas características variarán significativamente dependiendo el tipo de aplicación para la cual ha sido seleccionada. De la cámara fotográfica podemos extraer las imágenes captadas durante el vuelo y los datos EXIF (Exchangeable image file format). Estos últimos contienen información sobre la hora y fecha en la que se ha tomado la fotografía, la apertura, la velocidad de obturación, el ISO utilizado o la distancia focal, entre otros muchos datos. Podemos localizar esta información fácilmente con solo extraer la memoria SD utilizada para el almacenamiento de dichos datos. En las siguientes figuras le mostramos los datos que se pueden obtener:
Con ayuda de todos estos datos podemos determinar el punto de lanzamiento y con suerte la identidad del piloto.
Recolección utilizando los dispositivos de control
Un lugar que también es muy importante a la hora de buscar evidencias es la estación de control en tierra. Para este escenario en particular necesitarnos conectar entre sí al RPAS, la emisora de radio control y un dispositivo móvil con la app DJI GO. Una vez hemos conectado todo, vamos a la sección de ajustes avanzados de la aplicación DJI GO y seleccionamos FLIGHT DATA MODE.
Una vez realizado esto podemos conectar el RPAS a nuestro PC utilizando para ello un USB Write Blocker. Una vez conectado el RPAS se montará lo que nos permitirá acceder directamente a las imágenes de la tarjeta microSD. Con este paso podremos acceder a mucha información de utilidad.
Con estas evidencias más la suma de otras tomadas de una forma más tradicional, podríamos dar por finalizado nuestro trabajo de análisis forense a un RPAS.
Fuente: http://www.xdrones.es/
Deja tu comentario