• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Analisis forense en dispositivos android
 

Analisis forense en dispositivos android

on

  • 6,870 views

Slides de mi presentación en el BugCon 2012 realizado los días 2 y 3 de febrero en la ciudad de México....

Slides de mi presentación en el BugCon 2012 realizado los días 2 y 3 de febrero en la ciudad de México.
Durante mi ponencia hablé sobre los avances que existe en ciencia forense sobre dispositivos con android y cuales serían los procesos a realizar.

Statistics

Views

Total Views
6,870
Views on SlideShare
6,260
Embed Views
610

Actions

Likes
2
Downloads
234
Comments
3

5 Embeds 610

http://www.luisolis.com 588
http://www.slashdocs.com 17
http://luisolis.mentesinquietas.net 2
http://www.luisolis.com. 2
https://si0.twimg.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

13 of 3 previous next Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Analisis forense en dispositivos android Analisis forense en dispositivos android Presentation Transcript

    • 2012 2 y 3 de febrero Análisis Forense en Dispositivos Android UOCENI – FISEIUNIVERSIDAD TÉCNICA DE AMBATO Ambato / Ecuador Luis Alberto Solís @solisbeto
    • Contenido• Introducción• Android• Análisis Forense• Evidencia Digital• Análisis Forense sobre Android 2
    • Introducción
    • Línea histórica de los celulares Smart Phones 4
    • 5
    • Crecimiento en el mercado• Sólo dos años depués del lanzamiento (Octubre 2008), Android captó el 26% del mercado de los smart phones, siendo el segundo más usado. Fuente: Research In Motion Limited (RIM) 6
    • Crecimiento en el mercado• A mediados del 2010 Android fue el segundo SO más popular.• 350,000 dispositivos están siendo activados diariamente en EUA, de acuerdo a Google Investor, febrero de 2010 7
    • AndroidPlataforma open source para dispositivos móvilesbasada en el kernel de Linux 2.6 y mantenida porOpen Handset Alliance – OHA. La OHA es ungrupo de fabricantes de dispositivos móviles,desarrolladores de software, y desarrolladores decomponentes.OHA tiene como objetivos – Productos menos costosos – Innovación tecnológica en móviles – Mejor experiencia en móviles 8
    • Historia de Android11/05/2007 08:09:00 AMPosted by Andy Rubin, Director of Mobile PlatformsAndroid is the first truly open and comprehensive platform for mobiledevices. It includes an operating system, user-interface andapplications -- all of the software to run a mobile phone, but withoutthe proprietary obstacles that have hindered mobile innovation. Wehave developed Android in cooperation with the Open HandsetAlliance, which consists of more than 30 technology and mobile leadersincluding Motorola, Qualcomm, HTC and T-Mobile. Through deeppartnerships with carriers, device manufacturers, developers, andothers, we hope to enable an open ecosystem for the mobile world bycreating a standard, open mobile software platform. We think the resultwill ultimately be a better and faster pace for innovation that will givemobile customers unforeseen applications and capabilities. [1][1] Google blog, “Where’s my Gphone?”, http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html 9
    • Arquitectura Android 10
    • Ciencia Forense“los restos microscópicos que cubren nuestraropa y nuestros cuerpos son testigos mudos,seguros y fieles, de nuestros movimientos y denuestros encuentros”, Edmond LocardAplicada a la informática:“Involves the preservation, identification, extraction,documentation, and interpretation of computer data.”[2][2] Computer Forensics: Incident Response Essentials, Warren Kruse and Jay Heiser. 11
    • Análisis forense digitalSe aplica a: – Investigaciones internas de empresas – Investigaciones criminales – Recopilación de información – Litigios civiles – Relacionados con la seguridad de nacional – Entre otros 12
    • Análisis forense digital• Uso de la ciencia y tecnología para investigar y aclarar los hechos en los tribunales civiles o penales de la ley.• Evitar cualquier tipo de modificación sobre el dispositivo a examinar.• Los teléfonos móviles carecen de discos duros tradicionales, los cuales pueden ser apagados y conectados a un bloqueador de escritura, que permita crear una imagen forense. 13
    • Evidencia Digital• Información almacenada sobre medios electrónicos• Datos en transmisión• Los datos digitales incluyen los formatos: – Audio – Video – Imágenes – etc 14
    • Análisis forense de móvilesTécnicas que sirven paracolectar evidencias queserán presentadas ante unjuzgado. Es el proceso de: – Preservación – Adquisición – Análisis – ReporteGuidelines on Cell PhoneForensics [3] [3] NIST, http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf 15
    • Aplicaciones Forenses para móviles• Software – Oxygen Forensic Suite – MOBILedit! Forensic• Hardware – .XRY, incluye: XRY Communications Unit, SIM Card Reader, Clone SIM Cards, Write-Protected Memory Card Reader & Complete set of Cables. http://www.msab.com/ 16
    • Análisis forense bajo Android• Recolección de la evidencia• Análisis• Presentación 17
    • 18
    • Técnicas forenses en Android• Identificación• SD Card• Adquisición Lógica• Adquisición Física• Chip-off http://juliejin.com/ 19
    • Identificación del dispositivo• Identificar el dispositivo• http://www.phonescoop.com/phones/finder.php – Marca – Modelo – Proveedor de servicio• Notar también – Interfaz de dispositivo – Etiquetas – Series – Hora desplegada en el fono – Software de sincronización• Seleccionar la herramienta apropiada• Datos extras 20
    • Imágenes exactas 22
    • Técnicas de HASH Las funciones de hash • Herramientas útiles: ayudan a conservar la – Access Data’s Forensic integridad de la evidencia Toolkit adquirida. El resultado es un valor fijo. • MD5: Algoritmo criptografico usado para presevar la integridad • SHA-1[3] S. Danker, R. Ayers, Richard P. Mislan, “Hashing Techniques for Mobile Device Forensics”, in SMALL 23 SCALE DIGITAL DEVICE FORENSICS JOURNAL, VOL. 3, NO. 1, JUNE 2009 ISSN# 1941-6164
    • Técnicas de HASH[a] Secure View Kit for Forensics, 24
    • Analizando la SD Card• Parte de la investigación – Información del sistema no se almacenan en éste medio – Datos de usuario: archivos grandes, multimedia, fotos, etc. – Proceso de extracción simple utilizando las herramientas correctas 25
    • Imagen física de la SD Card 26
    • La importancia de ser rootRooting: “característica de obtener privilegioselevados sobre un teléfono móvil”. 27
    • Android SDKSoftware Development Kit http://developer.android.com – Herramienta de desarrollo – Útil para desarrolladores de aplicaciones – Incluye: librerías de software, APIs, documentación, un emulador, y otras – Soporta: Linux, Windows, y OS X – Herramienta usada para el análisis forense 29
    • Android Virtual Device 30
    • Android Virtual Device 31
    • Android Virtual Device 32
    • Acceso root desde adb 33
    • Usando adbADB (Android Debug Bridge) – Interfaz que permite al usuario acceder a una shell del dispositivo, así como otras características – Ejemplo del comando adb:Archivos de interés a usarse en el AF: – cahe.img: imagen del disco de partición caché – sdcard.img: imgan de la SD card – userdata-quemu.img: imagen de partición de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2. 34
    • Imagen del dispositivo• Respaldo de la memoria – Uso del comando dd – Copiando bit a bit la imagen del disco – Sintaxis: • dd = /dev/sd of = /sdcard/sd.dd – Particiones importantes: • datadata • datasystem 35
    • Adquiriendo la imagen física del dispositivo• Conectar el Smart Phone por medio del cable USB al ordenador.• Requerimientos – Tener el USB del Smart Phone en mode debug. – Drivers del móvil – Usar SDK – Privilegios de superusuario 36
    • Imagen fisca de memoria internaLa memoria del dispositivo puede contenerdatos importantes: – Lista de contactos – Registros de llamadas – Mensajes de texto – Información oculta – Información borrada 37
    • Extracción de datos físicosParticiones de la memoria interna# ls /dev/block – mtdblock0 – mtdblock1 – mtdblock2 38
    • Extracción de datos lógicosInstalación de aplicaciones de terceros – Se necesita tener privilegios de root – Modo USB debe estar habilitado – Extracción de datos lógicos – Se corre el riesgo de alterar la evidencia http://code.google.com/p/android-forensics/ 39
    • Extracción de datos lógicos• Adquisición datos lógicos• Instalando aplicaciones de terceros• DEMO 40
    • Información importante UbicacionDatosContactos /data/data/com.android.providers.contacts/Calendario /data/data/com.android.providers.calendar/SMS & MMS /data/data/com.android.providers.telephony/Download History /data/data/com.android.providers.downloads/Browser Data /data/data/com.android.providers.browser/Gmail /data/data/com.google.android.providers.gmail/Location Cache /data/data/com.google.android.location/ 41
    • Dump de la memoria volatilLive Forensics• Pocos trabajos sobre el tema• Debe ser considerado como al inicio de adquisición de datos• Se puede obtener información muy valiosa: – Procesos, comunicaciones, passwords, etc.• Ejemplo: DMD[4][4] Joe Sylve, Andrew Case, Lodovico Marziale, Golden G. Richard, “Acquisition and analysis of volatile memory from android devices”, in Digital Ivestigation Journal, December 2011 42
    • Otros comandosSubir un fichero$ adb push fichero.ko /sdcard/ficher.koEscuchar en un puerto:$ adb forward tcp:puerto tcp:puerto# logcat -f /sdcard/logs.txt 43
    • En resumen Preservar la evidencia Obtener información del dispositivo Obtener datos de la SDCARD DUMP de la RAM, ej: DMD. Sacar Imagen física de la memoria interna Extraer información lógica de la memoria SD Card interna. Live ForensicsDepende de las circunstancias 44
    • Preguntas? 45
    • AgradecimientosA Todo el staff de BugConCarlos Lozano y Armin GarcíaA Joe Sylve @jtsylve, por su colaboración con elcódigo del DMD 46
    • @solisbetohttp://blog.mentesinquietas.net/ 47
    • Referencias• Joe Sylve, Andrew Case, Lodovico Marziale, Golden G. Richard, “Acquisition and analysis of volatile memory from android devices”, in Digital Ivestigation Journal, December 2011• ViaForensics, www.viaforensics.com• Volatility - An advanced memory forensics framework, http://code.google.com/p/volatility/• Jeff Lessard, “Forensics: Simplifying Cell Phone Examinations”.• Chung-Huang Yang, Shih-Jen Chen, Jain-Shing Wu, “Design and Implementation of Forensic System in Android Smart Phone”. 48