Análisis Forense a sistemas                                 AndroidPentester: Rafael Gómez Del ÁngelDirector de N3XAsecDoc...
¿Que es la informática forense?Es una ciencia perteneciente a la seguridad informática, la cual se encarga derecuperar, re...
Conservación de la evidencia y su                         línea del tiempo   Cuando se realiza un análisis forense de debe...
Versiones de Android en el mercado  Celulares                         Tabletas•Android 2.2                      •Android 3...
Arquitectura de Android
Tipos de memoria y gestores de                              arranqueMemoria RAM: Es la que se encargara de almacenar infor...
Preparando nuestro laboratorioDebemos entender que para analizar el sistema de archivos YAFFS2 debemosinstalar el interpre...
Laboratorio
Ventaja de emular la imagen de Android         AFLogicalLogs
Rooteando la versión de AndroidLa obtención del acceso root en la terminal es primordial ya quenos ayudara a la ejecución ...
La conocen?
Técnicas para evadir la protección                     de pantalla                   Smudge AttackEl cuerpo humano en el t...
Ataque de fuerza bruta
Screen lock bypass AppEsta herramienta nos permite realizar un ataque de fuerza bruta paradesbloquear la contraseña numeri...
Identificación de particiones          y ficheros
Identificando los puntos de montaje del sistema/dev/block/mtdblock1 /system, /dev/block/mtdblock9/data, /dev/block/mtdbloc...
Puntos de montaje
Creando la imagen forense Una de las reglas de la seguridad informática es la integridad de los datos, por ende al momento...
Búsqueda por línea de comandos
Ahora analizaremos las carpetas contenidas en la imagen data.Realizaremos un ejemplo de una simple búsqueda de strings, en...
Obtención de datos de la cuenta asociada    con la búsqueda de strings “@”
Obteniendo datos acerca de cuenta                blogger del celular a auditarLa información de validación de las cuentas ...
Nos muestra la vinculación entre lacuenta de correo y el servidorpicasa o blogger.
Apreciamos con un editor hexadecimal la llave de       autentificación vinculada con el blog       “Seguridad e Insegurida...
Apreciamos con un editor hexadecimal la llave de           autentificación vinculada con el blog           “Seguridad e In...
Muestra un archivo .xml que se descargo delservidor, obteniendo fecha y hora de publicación,esto nos puede ayudar a una lí...
Analizando software WasthappEste crea una serie de backups donde de tanta información almacenada conservadatos como: El mo...
Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .dbwa.db y msgstore. Estos contienen una variedad de i...
Rompiendo la encriptación AES-192-ECBwhastapp también guarda un backup de este archivopero aquí si lo en cripta con un has...
Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bitsencriptados.Archivo SQLITE desencriptado
Contactos
ObteniendoSMS Borrados
SMS Borrado hace meses
Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en sudefecto permanece casi intacto esto nos sugie...
Analizando el uso de las Radiofrecuencias.BluetoothWirelessGSMGPS
Meta datosInformación almacenada en una evidencia, donde nosproporciona una pista de donde o con que fue cometido elDELITO
Rastreando Longitud y Latitud
Análisis Forense a sistemas                                   Android  Pentester: Rafael Gómez Del Ángel  Director de N3XA...
Forense android
Forense android
Forense android
Forense android
Upcoming SlideShare
Loading in …5
×

Forense android

1,616 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,616
On SlideShare
0
From Embeds
0
Number of Embeds
130
Actions
Shares
0
Downloads
98
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Forense android

  1. 1. Análisis Forense a sistemas AndroidPentester: Rafael Gómez Del ÁngelDirector de N3XAsecDocente de la certificación: FDM Forense Investigador de dispositivos móviles. www.n3xasec.cominfo@n3xasec.com
  2. 2. ¿Que es la informática forense?Es una ciencia perteneciente a la seguridad informática, la cual se encarga derecuperar, recolectar y preservar todo tipo de información ya sea volátil o no volátil.
  3. 3. Conservación de la evidencia y su línea del tiempo Cuando se realiza un análisis forense de deben tomar en cuanta los siguientes aspectos •¿Cuál es la escena del crimen ? •¿En que condiciones se encuentra ? •¿Cuál es nuestro objeto de análisis?LINEA DEL TIEMPO
  4. 4. Versiones de Android en el mercado Celulares Tabletas•Android 2.2 •Android 3•Android 2.3 •Android 3.2•Android 4 •GPS •Dispositivos de pulso •Automóviles •Cámaras fotográficas •Televisiones Etc.
  5. 5. Arquitectura de Android
  6. 6. Tipos de memoria y gestores de arranqueMemoria RAM: Es la que se encargara de almacenar información volátil como lacache de inicio de sesión de algún mensajero.Memoria NAND : Es aquella que trabaja bajo el sistema de archivos yaffs2, yalmacena información valiosa como contraseñas, mensajes sms, información delGPS etc, se relaciona directamente con información de la actividad del hardwarecomo la antena 3G, Bluetooth, GPS, conexión a datos.Memoria SD: es la que almacenara información relacionada con el usuario talescomo, fotografías, videos, historial de conversaciones, backup de configuraciónetc.SIM: Es la que se encarga de almacenar información útil para realizar la conexióncon el proveedor de servicios, también puede almacenar información comomensajes sms y el directorio telefónico.
  7. 7. Preparando nuestro laboratorioDebemos entender que para analizar el sistema de archivos YAFFS2 debemosinstalar el interprete, pero ¿ como lo logramos ?1.-Escoger nuestra distribución preferida de Linux, preferentemente una queeste encaminada a la auditoría forense o el pentest, como lo es CAINE oBacktrack2.-Recompilar el kernel para agregar el soporte para dicho sistema de archivos.3.- Instalar un ambiente de desarrollo para Android, como lo es el SDK y UnIde como Netbeans.
  8. 8. Laboratorio
  9. 9. Ventaja de emular la imagen de Android AFLogicalLogs
  10. 10. Rooteando la versión de AndroidLa obtención del acceso root en la terminal es primordial ya quenos ayudara a la ejecución de comandos arbitrariamente Terminal emulator
  11. 11. La conocen?
  12. 12. Técnicas para evadir la protección de pantalla Smudge AttackEl cuerpo humano en el transcurso del día secreta cierto tipode aceites en los dedos, los cuales bajo la luz ultravioletaestos aceites resaltan
  13. 13. Ataque de fuerza bruta
  14. 14. Screen lock bypass AppEsta herramienta nos permite realizar un ataque de fuerza bruta paradesbloquear la contraseña numerica del dispositivo.•Es muy invasiva•Corremos el riesgo de tronar la memoria RAM•El dispositivo debe estar rooteado
  15. 15. Identificación de particiones y ficheros
  16. 16. Identificando los puntos de montaje del sistema/dev/block/mtdblock1 /system, /dev/block/mtdblock9/data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold/179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del teléfono montada en /mnt/sdcard.
  17. 17. Puntos de montaje
  18. 18. Creando la imagen forense Una de las reglas de la seguridad informática es la integridad de los datos, por ende al momento de generar una imagen forense se debe asegurar que sea una imagen bit a bit del dispositivo, esto con el fin de al momento de realizar la auditoria sea sea lo menos invasivo posible. Con el comando “dd” sera posible obtenerla imagen.Hash MD5 ImgAir
  19. 19. Búsqueda por línea de comandos
  20. 20. Ahora analizaremos las carpetas contenidas en la imagen data.Realizaremos un ejemplo de una simple búsqueda de strings, en este casoserá el numero 228 el cual es la clave lada de la localidad ,con el siguientecomando: strings -a ./mtd9.dd| grep 228 > numeros.txt La extracción automatiza de archivos nos ayudara en la búsqueda de correlaciones a archivos de alguna extensión requerida, con esto podremos seguir con la obtención de metadatos funcionales para nuestra investigación.
  21. 21. Obtención de datos de la cuenta asociada con la búsqueda de strings “@”
  22. 22. Obteniendo datos acerca de cuenta blogger del celular a auditarLa información de validación de las cuentas de los usuarios así comosu protección esta a cargo del software de las empresas que brindandichos servicios, cuando se realiza una auditoría forense el auditorpuede se capaz de obtener información aparentementeconfidencial o privada.Al analizar el archivo picasa.db de com.cooliris.media, nosencontramos que hace uso de una llave de autentificación paraacceder a información de imágenes subidas a la cuenta de bloggervinculada con la cuenta de correo nosferatu.security@gmail.com
  23. 23. Nos muestra la vinculación entre lacuenta de correo y el servidorpicasa o blogger.
  24. 24. Apreciamos con un editor hexadecimal la llave de autentificación vinculada con el blog “Seguridad e Inseguridad informática”Empezando a rastrar esta conexión que se realiza a través delprotocolo http se obtuvo que dicha llave de autentificación es usadapara acezar a imágenes subidas por el usuario, con esta llave deautentificación podemos a acceder a descargar información delservidor de blogger para saber cuándo y a qué hora fue subida unafoto.
  25. 25. Apreciamos con un editor hexadecimal la llave de autentificación vinculada con el blog “Seguridad e Inseguridad informática”Empezando a rastrar esta conexión que se realiza a través delprotocolo http se obtuvo que dicha llave de autentificación es usadapara acezar a imágenes subidas por el usuario, con esta llave deautentificación podemos a acceder a descargar información delservidor de blogger para saber cuándo y a qué hora fue subida unafoto.
  26. 26. Muestra un archivo .xml que se descargo delservidor, obteniendo fecha y hora de publicación,esto nos puede ayudar a una línea del tiempo.
  27. 27. Analizando software WasthappEste crea una serie de backups donde de tanta información almacenada conservadatos como: El momento en el que fue extraída la memoria sd, niveles de bateríacríticos, etc. Esto se vuelve útil al momento de realizar una línea del tiempo, claroen caso de ser pertinente y servible la información.
  28. 28. Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .dbwa.db y msgstore. Estos contienen una variedad de información, wa.dbcontiene la lista de contactos guardados en la agenda e indica si estáguardado en el teléfono o en la tarjeta simmostrando un número telefónico el nombre del contacto y el lugar dealmacenamiento, en este caso esta en tarjeta sim
  29. 29. Rompiendo la encriptación AES-192-ECBwhastapp también guarda un backup de este archivopero aquí si lo en cripta con un hash AES-192-ECB esta encriptación esfácil de romper obteniendo la key que en este programa utiliza unaestándar, lamentablemente y afortunadamente no utiliza alguna varianteúnica en el dispositivo para generar el cifrado como lo puede ser la direcciónmac de la tarjeta de red o el número de serie del teléfono. openssl enc -d -aes-192-ecb -in “Archivo.db.crypt” -out “Salida.db” -k 346a23652a46392b4d73257c67317e352e3372482177652c
  30. 30. Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bitsencriptados.Archivo SQLITE desencriptado
  31. 31. Contactos
  32. 32. ObteniendoSMS Borrados
  33. 33. SMS Borrado hace meses
  34. 34. Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en sudefecto permanece casi intacto esto nos sugiere la idea de que existen sectoresde memoria que aun no han sido sobrescritos.
  35. 35. Analizando el uso de las Radiofrecuencias.BluetoothWirelessGSMGPS
  36. 36. Meta datosInformación almacenada en una evidencia, donde nosproporciona una pista de donde o con que fue cometido elDELITO
  37. 37. Rastreando Longitud y Latitud
  38. 38. Análisis Forense a sistemas Android Pentester: Rafael Gómez Del Ángel Director de N3XAsec Docente de la certificación: FDM Forense Investigador de dispositivos móviles. Gracias !!Informes de lacertificacióninfo@n3xasec.com www.n3xasec.com

×