Análisis Forense de teléfonos Android y tarjeta SIM

Android + SIM
Juan Garrido & Juan Luis García Rambla
Consultores de Seguridad I64
http://windowstips.wordpress.com
http://www.informatica64.com

Agenda
Introducción.
Analizando la SIM.
Android. Estructura física y lógica
Adquisición de imágenes.
Forense de dispositivos móviles.

INTRODUCCIÓN

El auge de los sistemas de movilidad y usointensivo de los mismospropician el usofraudulento o criminal con los mismos.
Las empresasempiezan a tener en consideración el control de dispositivosporriesgos de usosmaliciosos o fuga de información.
El forense de dispositivosmóvilessiguelasmismasdirectrices y métodosque los forensesconvencionales:
Buenasprácticas.
Preservación de la información.
Analisisbasados en métodos.
Herramientasforenses.
Introducción

Arquitecturadiferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicacionesespecificadosparatecnología e inclusodeterminadostipos de terminales.
Software de análisisforense y hardware específico.
La mayoría de software forensees de pago.
Diferencias con el forense digital tradicional

SIM.
Memoriainterna.
Memoriasinternassecundarias.
Unidades Flash.
Discos SD.
¿Quéanalizar?

Esposibleaunarambastecnologías.
La generación de imágenes de memoriainterna se puederealizar con herramientasespecíficasparamóviles.
Herramientas con EnCase o FTK permitenanalizar a posteriori la informaciónrecogida en lasimágenescapturadas.
Forensetradicional + Forense de móviles

ANALIZANDO LA SIM

Generadoporlasespecificaciones de European Posts and Telecommnications (CEPT) hansidocontinuadaspor European Telecommunications Standas Institute (ETSI) para GSM.
Es una SMART Card quecontiene entre 16 y 64 Kb de memoria un procesador y sistemaoperativo.
Identifica al subscritor, el número de teléfono y contiene el algoritmoparaautenticar al subscriptor en la red.
Dependiendo de la tecnologíapuedeencontrarsetoda la información en el terminal o en la memoria SIM.
La SIM GSM

El acceso se realizamedianteuna clave denominada PIN.
Cuando la SIM recibeenergía, lo primeroquesolicitaes el PIN quedesbloqueará el accesológico al contenido de la tarjeta.
Sin el PIN el accesológico a la tarjeta no esfactible. Esposibleaunque no de forma predeterminadaque la tarjeta no presente PIN.
El bloqueo de la tarjeta se realizarátras un número de intentosfallidos de acceso.
El desbloqueo solo seráfactiblemediante la introducción del código PUK facilitadopor el proveedor de servicios.
Acceso a la SIM

Son dos procedimientossimilares en conceptoaunquederivan en dos procesos y resultadosdiferentes.
El identificador y autenticación de la tarjetaderiva de la generaciónalgoritmica de dos valoreshexadecimalespresentes en la SIM: IMSI y KI.
Copiares el procesollevadohabitualmentepor el fabricantedonde genera un nuevo IMSI y KI de la tarjeta. Proporcionapor lo tanto un procedimientopara genera unanuevatarjetacopiandocontenido de la anterior.
Clonar, reproduce exactamente la mismatarjeta con el mismo IMSI y KI de la original. El procedimientomásartesanalpermiteincluso la cohexistencia en una sola SIM de información de varias.
Copiar o clonaruna SIM

Componente Hardware :
Grabadora de PIC tipo LUDIPIPO.
Grabadora EEPROM. Las máshabituales Phoenix.
Tarjeta con microprocesadordondegrabar. Se utilizancomunmentetarjetas COOLWAFER.
Componente Software:
Sim Scan: Permiteobtener los códigos IMSI y KI.
ICPRO: Graba el PIC.
Winexplorer: Graba la EEPROM.
Clonado de una SIM

Permiteclonaruna SIM aun no teniendo el PIN y generandounanueva SIM con toda la informacióndisponible.
Esrequeridopara el clonado :
ICCID = Integrated Circuit Card Identity
IMSI = International Mobile Subscriber Identity
Hardware clonado XACT

No esfactiblemediante Software.
Se puederealizarmediante la aplicación de corriente, segúndiseño.
El riesgo de dejarinservible la tarjetaeselevado.
Mejortenerclonada la tarjeta.
Borrando el PIN

Mantieneinformacióncríticapara la resolución de casos:
Números de teléfonos.
Ultimasllamadasefectuadas.
SMS recibidos.
Existenherramientasforensesespecificadasparaello:
Paraben SIM Size.
SIM-Card.
OXY-Forensics.
SIMSpy.
Requiere de un componente Hardware: lector de tarjetas SIM.
Análisis de la SIM

SLOTS de almacenamiento finitos
Dependiente de la tarjeta (Ej: 20-25 SMS)
Campos específicos
Estado del SLOT
Identificador de datos
SIM Data Carving

Cuando se elimina un SMS o un contacto
El estado del SLOT cambia a un estado libre
En teléfonos antiguos sólo se modifica el estado del SLOT (No los datos)
Los teléfonos de hoy día pueden modificar toda la información del SLOT
SIM Data Carving

Análisis de SIM

Android. Estructura lógica y física

OS Android
Basado en Linux
OS portado a varios procesadores
Estructura de datos basado en SQLite
YAFFS /EXT2 como sistema de ficheros

Adquisición de imágenes

MTD (MemoryTechnologyDevice)
Provee soporte para Flash en Linux
Provee funciones de lectura y escritura en la flash
Cada partición basada en MTD se puede exportar de forma unitaria

Formas de extracción
A través de DD
dd if=/dev/mtd/mtd<number>ro of=/sdcard/mtd<number>ro.dd bs=4096
A través de CAT
Cat /dev/mtd/mtd<number>ro > /sdcard/mtd<number>ro.dd
Herramientascomerciales
Device Seizure

Forense de dispositivos móviles

Live Forensics
A través de adb
Proporciona shell interactiva con el dispositivo
Muchos comandos específicos
Copiar ficheros
Procesos
Disposivitos
Etc…

Por donde empezar
Directorio DATA
Estructura con mucha información de sistema y usuario
Ficheros abiertos por el sistema
Datos de aplicaciones
Conexiones
Post Recogida
Data carving

TechNews de Informática 64
Suscripción gratuita en http://www.informatica64.com/boletines.html

http://Windowstips.wordpress.com

http://legalidadinformatica.blogspot.com

http://elladodelmal.blogspot.com

Gracias!;-)

Análisis Forense de teléfonos Android y tarjeta SIM

by Eventos Creativos on Jul 08, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Análisis Forense de teléfonos Android y tarjeta SIM — Presentation Transcript