Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Análisis Forense de teléfonos Android y tarjeta SIM

3,272 views

Published on

Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

  • Be the first to comment

  • Be the first to like this

Análisis Forense de teléfonos Android y tarjeta SIM

  1. 1. Android + SIM<br /><ul><li>Juan Garrido & Juan Luis García Rambla
  2. 2. Consultores de Seguridad I64
  3. 3. http://windowstips.wordpress.com
  4. 4. http://www.informatica64.com</li></li></ul><li>Agenda<br />Introducción.<br />Analizando la SIM.<br />Android. Estructura física y lógica<br />Adquisición de imágenes.<br />Forense de dispositivos móviles.<br />
  5. 5. INTRODUCCIÓN<br />
  6. 6. El auge de los sistemas de movilidad y usointensivo de los mismospropician el usofraudulento o criminal con los mismos.<br />Las empresasempiezan a tener en consideración el control de dispositivosporriesgos de usosmaliciosos o fuga de información.<br />El forense de dispositivosmóvilessiguelasmismasdirectrices y métodosque los forensesconvencionales:<br />Buenasprácticas.<br />Preservación de la información.<br />Analisisbasados en métodos.<br />Herramientasforenses.<br />Introducción<br />
  7. 7. Arquitecturadiferente.<br />Diversidad en los modelos y tecnologías.<br />Diseño de aplicacionesespecificadosparatecnología e inclusodeterminadostipos de terminales.<br />Software de análisisforense y hardware específico.<br />La mayoría de software forensees de pago.<br />Diferencias con el forense digital tradicional<br />
  8. 8. SIM.<br />Memoriainterna.<br />Memoriasinternassecundarias.<br />Unidades Flash.<br />Discos SD.<br />¿Quéanalizar?<br />
  9. 9. Esposibleaunarambastecnologías.<br />La generación de imágenes de memoriainterna se puederealizar con herramientasespecíficasparamóviles.<br />Herramientas con EnCase o FTK permitenanalizar a posteriori la informaciónrecogida en lasimágenescapturadas.<br />Forensetradicional + Forense de móviles<br />
  10. 10. ANALIZANDO LA SIM<br />
  11. 11. Generadoporlasespecificaciones de European Posts and Telecommnications (CEPT) hansidocontinuadaspor European Telecommunications Standas Institute (ETSI) para GSM. <br />Es una SMART Card quecontiene entre 16 y 64 Kb de memoria un procesador y sistemaoperativo.<br />Identifica al subscritor, el número de teléfono y contiene el algoritmoparaautenticar al subscriptor en la red.<br />Dependiendo de la tecnologíapuedeencontrarsetoda la información en el terminal o en la memoria SIM.<br />La SIM GSM<br />
  12. 12. El acceso se realizamedianteuna clave denominada PIN.<br />Cuando la SIM recibeenergía, lo primeroquesolicitaes el PIN quedesbloqueará el accesológico al contenido de la tarjeta.<br />Sin el PIN el accesológico a la tarjeta no esfactible. Esposibleaunque no de forma predeterminadaque la tarjeta no presente PIN.<br />El bloqueo de la tarjeta se realizarátras un número de intentosfallidos de acceso.<br />El desbloqueo solo seráfactiblemediante la introducción del código PUK facilitadopor el proveedor de servicios.<br />Acceso a la SIM<br />
  13. 13. Son dos procedimientossimilares en conceptoaunquederivan en dos procesos y resultadosdiferentes.<br />El identificador y autenticación de la tarjetaderiva de la generaciónalgoritmica de dos valoreshexadecimalespresentes en la SIM: IMSI y KI.<br />Copiares el procesollevadohabitualmentepor el fabricantedonde genera un nuevo IMSI y KI de la tarjeta. Proporcionapor lo tanto un procedimientopara genera unanuevatarjetacopiandocontenido de la anterior.<br />Clonar, reproduce exactamente la mismatarjeta con el mismo IMSI y KI de la original. El procedimientomásartesanalpermiteincluso la cohexistencia en una sola SIM de información de varias.<br />Copiar o clonaruna SIM<br />
  14. 14. Componente Hardware :<br />Grabadora de PIC tipo LUDIPIPO.<br />Grabadora EEPROM. Las máshabituales Phoenix.<br />Tarjeta con microprocesadordondegrabar. Se utilizancomunmentetarjetas COOLWAFER.<br />Componente Software:<br />Sim Scan: Permiteobtener los códigos IMSI y KI.<br />ICPRO: Graba el PIC.<br />Winexplorer: Graba la EEPROM.<br />Clonado de una SIM<br />
  15. 15. Permiteclonaruna SIM aun no teniendo el PIN y generandounanueva SIM con toda la informacióndisponible. <br />Esrequeridopara el clonado :<br />ICCID = Integrated Circuit Card Identity<br />IMSI = International Mobile Subscriber Identity<br />Hardware clonado XACT<br />
  16. 16. No esfactiblemediante Software.<br />Se puederealizarmediante la aplicación de corriente, segúndiseño.<br />El riesgo de dejarinservible la tarjetaeselevado.<br />Mejortenerclonada la tarjeta.<br />Borrando el PIN<br />
  17. 17. Mantieneinformacióncríticapara la resolución de casos:<br />Números de teléfonos.<br />Ultimasllamadasefectuadas.<br />SMS recibidos.<br />Existenherramientasforensesespecificadasparaello:<br />Paraben SIM Size.<br />SIM-Card.<br />OXY-Forensics.<br />SIMSpy.<br />Requiere de un componente Hardware: lector de tarjetas SIM.<br />Análisis de la SIM<br />
  18. 18. SLOTS de almacenamiento finitos<br />Dependiente de la tarjeta (Ej: 20-25 SMS)<br />Campos específicos<br />Estado del SLOT<br />Identificador de datos<br />SIM Data Carving<br />
  19. 19. Cuando se elimina un SMS o un contacto<br />El estado del SLOT cambia a un estado libre<br />En teléfonos antiguos sólo se modifica el estado del SLOT (No los datos)<br />Los teléfonos de hoy día pueden modificar toda la información del SLOT<br />SIM Data Carving<br />
  20. 20.
  21. 21. Análisis de SIM<br />
  22. 22. Android. Estructura lógica y física<br />
  23. 23. OS Android<br />Basado en Linux<br />OS portado a varios procesadores<br />Estructura de datos basado en SQLite<br />YAFFS /EXT2 como sistema de ficheros<br />
  24. 24. Adquisición de imágenes<br />
  25. 25. Adquisición de imágenes<br />MTD (MemoryTechnologyDevice)<br />Provee soporte para Flash en Linux<br />Provee funciones de lectura y escritura en la flash<br />Cada partición basada en MTD se puede exportar de forma unitaria<br />
  26. 26. Adquisición de imágenes<br />Formas de extracción<br />A través de DD<br />dd if=/dev/mtd/mtd<number>ro of=/sdcard/mtd<number>ro.dd bs=4096<br />A través de CAT<br />Cat /dev/mtd/mtd<number>ro > /sdcard/mtd<number>ro.dd<br />Herramientascomerciales<br />Device Seizure<br />
  27. 27. Forense de dispositivos móviles<br />
  28. 28. Live Forensics<br />A través de adb<br />Proporciona shell interactiva con el dispositivo<br />Muchos comandos específicos<br />Copiar ficheros<br />Procesos<br />Disposivitos<br />Etc…<br />
  29. 29. Por donde empezar<br />Directorio DATA<br />Estructura con mucha información de sistema y usuario<br />Ficheros abiertos por el sistema<br />Datos de aplicaciones <br />Conexiones<br />Post Recogida<br />Data carving<br />
  30. 30. TechNews de Informática 64<br />Suscripción gratuita en http://www.informatica64.com/boletines.html<br />
  31. 31. http://Windowstips.wordpress.com<br />
  32. 32. http://legalidadinformatica.blogspot.com<br />
  33. 33. http://elladodelmal.blogspot.com<br />
  34. 34. Gracias!;-)<br />

×