Analisis forense en dispositivos android
-
Upload
luis-solis -
Category
Technology
-
view
7.933 -
download
9
description
Transcript of Analisis forense en dispositivos android
![Page 1: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/1.jpg)
Análisis Forense en
Dispositivos Android
UOCENI – FISEI UNIVERSIDAD TÉCNICA DE AMBATO
Ambato / Ecuador
@solisbeto
Luis Alberto Solís
2012 2 y 3 de febrero
![Page 2: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/2.jpg)
Contenido
• Introducción
• Android
• Análisis Forense
• Evidencia Digital
• Análisis Forense sobre Android
2
![Page 3: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/3.jpg)
Introducción
![Page 4: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/4.jpg)
Línea histórica de los celulares
Smart Phones
4
![Page 5: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/5.jpg)
5
![Page 6: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/6.jpg)
Crecimiento en el mercado
• Sólo dos años depués del lanzamiento (Octubre 2008), Android captó el 26% del mercado de los smart phones, siendo el segundo más usado.
Fuente: Research In Motion Limited (RIM) 6
![Page 7: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/7.jpg)
Crecimiento en el mercado
• A mediados del 2010 Android fue el segundo SO más popular.
• 350,000 dispositivos están siendo activados diariamente en EUA, de acuerdo a Google Investor, febrero de 2010
7
![Page 8: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/8.jpg)
Android
Plataforma open source para dispositivos móviles basada en el kernel de Linux 2.6 y mantenida por Open Handset Alliance – OHA. La OHA es un grupo de fabricantes de dispositivos móviles, desarrolladores de software, y desarrolladores de componentes.
OHA tiene como objetivos
– Productos menos costosos
– Innovación tecnológica en móviles
– Mejor experiencia en móviles
8
![Page 9: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/9.jpg)
Historia de Android
11/05/2007 08:09:00 AM Posted by Andy Rubin, Director of Mobile Platforms Android is the first truly open and comprehensive platform for mobile devices. It includes an operating system, user-interface and applications -- all of the software to run a mobile phone, but without the proprietary obstacles that have hindered mobile innovation. We have developed Android in cooperation with the Open Handset Alliance, which consists of more than 30 technology and mobile leaders including Motorola, Qualcomm, HTC and T-Mobile. Through deep partnerships with carriers, device manufacturers, developers, and others, we hope to enable an open ecosystem for the mobile world by creating a standard, open mobile software platform. We think the result will ultimately be a better and faster pace for innovation that will give mobile customers unforeseen applications and capabilities. [1]
[1] Google blog, “Where’s my Gphone?”, http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html
9
![Page 10: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/10.jpg)
Arquitectura Android
10
![Page 11: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/11.jpg)
Ciencia Forense
“los restos microscópicos que cubren nuestra
ropa y nuestros cuerpos son testigos mudos,
seguros y fieles, de nuestros movimientos y de
nuestros encuentros”, Edmond Locard
Aplicada a la informática:
“Involves the preservation, identification, extraction,
documentation, and interpretation of computer data.”[2]
[2] Computer Forensics: Incident Response Essentials, Warren Kruse and Jay Heiser.
11
![Page 12: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/12.jpg)
Análisis forense digital
Se aplica a:
– Investigaciones internas de empresas
– Investigaciones criminales
– Recopilación de información
– Litigios civiles
– Relacionados con la seguridad de nacional
– Entre otros
12
![Page 13: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/13.jpg)
Análisis forense digital
• Uso de la ciencia y tecnología
para investigar y aclarar los
hechos en los tribunales civiles
o penales de la ley.
• Evitar cualquier tipo de
modificación sobre el
dispositivo a examinar.
• Los teléfonos móviles carecen
de discos duros tradicionales,
los cuales pueden ser apagados
y conectados a un bloqueador
de escritura, que permita crear
una imagen forense.
13
![Page 14: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/14.jpg)
Evidencia Digital
• Información almacenada
sobre medios electrónicos
• Datos en transmisión
• Los datos digitales
incluyen los formatos:
– Audio
– Video
– Imágenes
– etc
14
![Page 15: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/15.jpg)
Análisis forense de móviles
Técnicas que sirven para
colectar evidencias que
serán presentadas ante un
juzgado. Es el proceso de:
– Preservación
– Adquisición
– Análisis
– Reporte
Guidelines on Cell Phone
Forensics [3]
[3] NIST, http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf 15
![Page 16: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/16.jpg)
Aplicaciones Forenses para móviles
• Software – Oxygen Forensic Suite
– MOBILedit! Forensic
• Hardware – .XRY, incluye: XRY Communications
Unit, SIM Card Reader, Clone SIM Cards, Write-Protected Memory Card Reader & Complete set of Cables. http://www.msab.com/
16
![Page 17: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/17.jpg)
Análisis forense bajo Android
• Recolección de la evidencia
• Análisis
• Presentación
17
![Page 18: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/18.jpg)
18
![Page 19: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/19.jpg)
Técnicas forenses en Android
• Identificación
• SD Card
• Adquisición Lógica
• Adquisición Física
• Chip-off
19
http://juliejin.com/
![Page 20: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/20.jpg)
Identificación del dispositivo
• Identificar el dispositivo • http://www.phonescoop.com/phones/finder.php
– Marca – Modelo – Proveedor de servicio
• Notar también – Interfaz de dispositivo – Etiquetas – Series – Hora desplegada en el fono – Software de sincronización
• Seleccionar la herramienta apropiada • Datos extras
20
![Page 21: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/21.jpg)
Imágenes exactas
22
![Page 22: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/22.jpg)
Técnicas de HASH
Las funciones de hash ayudan a conservar la integridad de la evidencia adquirida. El resultado es un valor fijo.
• MD5: Algoritmo criptografico usado para presevar la integridad
• SHA-1
• Herramientas útiles:
– Access Data’s Forensic Toolkit
[3] S. Danker, R. Ayers, Richard P. Mislan, “Hashing Techniques for Mobile Device Forensics”, in SMALL
SCALE DIGITAL DEVICE FORENSICS JOURNAL, VOL. 3, NO. 1, JUNE 2009 ISSN# 1941-6164 23
![Page 23: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/23.jpg)
Técnicas de HASH
[a] Secure View Kit for Forensics,
24
![Page 24: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/24.jpg)
Analizando la SD Card
• Parte de la investigación
– Información del sistema no se almacenan en éste medio
– Datos de usuario: archivos grandes, multimedia, fotos, etc.
– Proceso de extracción simple utilizando las herramientas correctas
25
![Page 25: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/25.jpg)
Imagen física de la SD Card
26
![Page 26: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/26.jpg)
La importancia de ser root
Rooting: “característica de obtener privilegios
elevados sobre un teléfono móvil”.
27
![Page 27: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/27.jpg)
Android SDK
Software Development Kit – Herramienta de desarrollo
– Útil para desarrolladores de aplicaciones
– Incluye: librerías de software, APIs, documentación, un emulador, y otras
– Soporta: Linux, Windows, y OS X
– Herramienta usada para el análisis forense
http://developer.android.com
29
![Page 28: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/28.jpg)
Android Virtual Device
30
![Page 29: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/29.jpg)
Android Virtual Device
31
![Page 30: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/30.jpg)
Android Virtual Device
32
![Page 31: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/31.jpg)
Acceso root desde adb
33
![Page 32: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/32.jpg)
Usando adb
ADB (Android Debug Bridge) – Interfaz que permite al usuario acceder a una shell del dispositivo, así como otras
características – Ejemplo del comando adb:
Archivos de interés a usarse en el AF: – cahe.img: imagen del disco de partición caché – sdcard.img: imgan de la SD card – userdata-quemu.img: imagen de partición de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2.
34
![Page 33: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/33.jpg)
Imagen del dispositivo
• Respaldo de la memoria
– Uso del comando dd
– Copiando bit a bit la imagen del disco
– Sintaxis:
• dd = /dev/sd of = /sdcard/sd.dd
– Particiones importantes:
• \data\data\
• \data\system\
35
![Page 34: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/34.jpg)
Adquiriendo la imagen física del dispositivo
• Conectar el Smart Phone por medio del cable USB al ordenador.
• Requerimientos
– Tener el USB del Smart Phone en mode debug.
– Drivers del móvil
– Usar SDK
– Privilegios de superusuario
36
![Page 35: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/35.jpg)
Imagen fisca de memoria interna
La memoria del dispositivo puede contener datos importantes:
– Lista de contactos
– Registros de llamadas
– Mensajes de texto
– Información oculta
– Información borrada
37
![Page 36: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/36.jpg)
Extracción de datos físicos
Particiones de la memoria interna
# ls /dev/block
– mtdblock0
– mtdblock1
– mtdblock2
38
![Page 37: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/37.jpg)
Extracción de datos lógicos
Instalación de aplicaciones de terceros
– Se necesita tener privilegios de root
– Modo USB debe estar habilitado
– Extracción de datos lógicos
– Se corre el riesgo de alterar la evidencia
http://code.google.com/p/android-forensics/
39
![Page 38: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/38.jpg)
Extracción de datos lógicos
• Adquisición datos lógicos
• Instalando aplicaciones de terceros
• DEMO
40
![Page 39: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/39.jpg)
Información importante
Datos Ubicacion
Contactos /data/data/com.android.providers.contacts/
Calendario /data/data/com.android.providers.calendar/
SMS & MMS /data/data/com.android.providers.telephony/
Download History /data/data/com.android.providers.downloads/
Browser Data /data/data/com.android.providers.browser/
Gmail /data/data/com.google.android.providers.gmail/
Location Cache /data/data/com.google.android.location/
41
![Page 40: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/40.jpg)
Dump de la memoria volatil
Live Forensics
• Pocos trabajos sobre el tema
• Debe ser considerado como al inicio de adquisición de datos
• Se puede obtener información muy valiosa:
– Procesos, comunicaciones, passwords, etc.
• Ejemplo: DMD[4]
[4] Joe Sylve, Andrew Case, Lodovico Marziale, Golden G. Richard, “Acquisition and analysis of volatile memory from android devices”, in Digital Ivestigation Journal, December 2011
42
![Page 41: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/41.jpg)
Otros comandos
Subir un fichero
$ adb push fichero.ko /sdcard/ficher.ko
Escuchar en un puerto:
$ adb forward tcp:puerto tcp:puerto
# logcat -f /sdcard/logs.txt
43
![Page 42: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/42.jpg)
En resumen
Preservar la evidencia
Obtener información del dispositivo
Obtener datos de la SDCARD
DUMP de la RAM, ej: DMD.
Sacar Imagen física de la memoria interna
Extraer información lógica de la memoria SD Card interna.
Live Forensics
Depende de las circunstancias
44
![Page 43: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/43.jpg)
Preguntas?
45
![Page 44: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/44.jpg)
Agradecimientos
A Todo el staff de BugCon
Carlos Lozano y Armin García
A Joe Sylve @jtsylve, por su colaboración con el código del DMD
46
![Page 45: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/45.jpg)
47
@solisbeto http://blog.mentesinquietas.net/
![Page 46: Analisis forense en dispositivos android](https://reader034.fdocuments.in/reader034/viewer/2022042602/558e02af1a28ab786c8b462e/html5/thumbnails/46.jpg)
Referencias
• Joe Sylve, Andrew Case, Lodovico Marziale, Golden G. Richard, “Acquisition and analysis of volatile memory from android devices”, in Digital Ivestigation Journal, December 2011
• ViaForensics, www.viaforensics.com
• Volatility - An advanced memory forensics framework, http://code.google.com/p/volatility/
• Jeff Lessard, “Forensics: Simplifying Cell Phone Examinations”.
• Chung-Huang Yang, Shih-Jen Chen, Jain-Shing Wu, “Design and Implementation of Forensic System in Android Smart Phone”.
48