2damonografia.si

7/23/2019 2daMonografia.si

http://slidepdf.com/reader/full/2damonografiasi 1/8

UNIVERSIDAD NACIONAL DE INGENIERÍAFACULTAD DE INGENIERÍA INDUSTRIAL Y DE

SISTEMASDEPARTAMENTO DE SISTEMAS Y TELEMATICA

Segunda Monografía Aná!"!" foren"e en a red # en o" d!"$o"!%!&o"Andro!d ' A$!(a(!one" de )en"a*ería "o(!a

Cur"o+ Seguridad InformáticaDo(en%e+ Isaac Ernesto Bringas Masgo

INTEGRANTES:

Alcócer Sánchez !red" #$$%#&'()Mamani Monzón *ilfredo +,ctor #$($&((-.

,-./0,



Plantilla de Informe del Paper

Author (s): Daniel Walnycky, Ibrahim Baggili,Andrew Marrington, Jason Moore y Frank

Breitinger

Títle of paper: Network and device forensic analysis of Android socialmessaging a!!lications

Journal: www"elsevier"com#locate#diin

Volume (issue): Digital Investigation $%

pag – pag (year): 77 – 8 (!"#$)

Pro%lema

&a ad'(isici)n y an*lisis forense de los datos almacenados en los dis!ositivos Android y el tr*fico

en la red de a!licaciones de mensa+era instant*nea m*s !o!(lares" -e ha reconstr(ido (na !arte o

la totalidad del contenido de mensa+es en $. de /0 a!licaciones !robados, lo '(e refle+a las ba+as

medidas de seg(ridad y !rivacidad em!leados !or estas a!licaciones, !ero !(eden ser inter!retados

!ositivamente con fines de recolecci)n de !r(eba !or los !rofesionales forenses digitales"

&stado del arte 'ue hae el autor

&os tel1fonos m)viles y s(s a!licaciones !(eden estar invol(crados en (na gran variedad de casos

criminales, incl(yendo fra(de, robo, lavado de activos, la distrib(ci)n ilcita de material con

derechos de a(tor o de im*genes de !ornografa infantil, o incl(so la distrib(ci)n de malware en los

casos de delitos inform*ticos 23aylor, /0$/4"

Incl(so antes de los smart!hones modernos, mensa+es de te5to -M- g(ardados en la tar+eta -IM

6-M eran (n ob+etivo im!ortante !ara los e5aminadores forenses 2Willassen, /0074"

Adem*s de los rastros de las com(nicaciones del sos!echoso, el tel1fono de (n sos!echoso !(ede

contener !r(ebas relacionadas con s( (bicaci)n, y con el advenimiento de los tel1fonos

inteligentes, '(e !(ede contener la misma rica variedad de !r(ebas digitales '(e !(eden ser

encontrados en los sistemas inform*ticos 2&essard y 8essler, /0$04"

A!licaciones m)viles !ara !lataformas de mensa+era instant*nea o redes sociales !o!(lares han

sido ob+eto de n(merosos est(dios en la literat(ra forense digital" 31cnicas forenses inform*ticos

est*n descritos en la literat(ra !ara el e5amen de los artefactos de A9& Instant Messenger

2AIM4 2:e(st, /00.; Dickson, /00.a4, <ahoo= Messenger 2Dickson, /00.b4, otras a!licaciones de

mensa+era instant*nea instalado 2Dickson, /00.c; Dickson , /00>4, los clientes web !ara

a!licaciones de mensa+era instant*nea !o!(lares 28iley et al", /00?4, y las caractersticas de

mensa+era instant*nea de sitios web de redes sociales como Facebook 2Al M(tawa et al", /0$$4"

A medida '(e estas !lataformas de mensa+era instant*nea del m(ndo del @ emigraron al

smart!hone con s(s !ro!ias a!licaciones m)viles, tambi1n lo hio la com(nidad forense digital

!asar a investigar los rastros de actividad '(e de+an estas a!licaciones en dis!ositivos

m)viles 2C(sain y -ridhar, /0$0; Al M(tawa et al" , agosto de /0$/4" Adem*s de estas

im!ortaciones desde el @, a!licaciones de redes sociales y mensa+era instant*nea se han

desarrollado !rinci!almente !ara el smart!hone"

Anglano anali) WhatsA!! en los dis!ositivos Android en software em(lado en el traba+o reciente'(e !ro!orciona e5aminadores forenses con informaci)n sobre '(1 datos se almacenan en el



dis!ositivo Android de la a!licaci)n WhatsA!!, facilitando la reconstr(cci)n de las listas de

contactos y conversaciones de te5to 2Anglano, /0$%4"

A(n'(e alg(nos de estos fallos de seg(ridad !(eden ay(dar a la com(nidad forense digital !ararec(!erar la m*s evidencia digital desde estos dis!ositivos, es evidente '(e el !otencial !ara la

e5!lotaci)n de estas v(lnerabilidades !or agentes maliciosos cond(cir* a mayores incidentes de

ciberdelinc(encia focaliados en dis!ositivos m)viles" l traba+o com!lementa la literat(ra

e5istente mediante el em!leo de la ciencia forense de la red, as como an*lisis forense de

dis!ositivos !ara !ro!orcionar (na visi)n m*s integral de lo '(e la evidencia se !(ede obtener de

las a!licaciones de mensa+era en los dis!ositivos Android"

l traba+o tambi1n arro+a l( sobre los !roblemas de !rivacidad !otenciales '(e s(rgen de las

im!lementaciones de seg(ridad d1biles en las a!licaciones !robadas"

Importania

n este traba+o se ha investigado /0 a!licaciones de Android a trav1s del an*lisis del tr*fico de lared y an*lisis almacenamiento del servidor # dis!ositivo" sto se reali) con el fin de e5aminar la

evidencia digital '(e !odra ser de valor !ara los e5aminadores forenses y tambi1n !ara eval(ar la

seg(ridad de las a!licaciones en el envo # rece!ci)n de datos y la a!licaci)n !rivacidad en el

almacenamiento de datos" l traba+o mostr) (na variedad de res(ltados" No f(eron ca!aces de

rec(!erar c(al'(ier informaci)n relacionada con el (s(ario de -NA@CA3, <esca, Wickr o

BBM" n los $. restantes solicit(des, f(eron ca!aces de reconstr(ir al menos alg(na evidencia de

los datos no cifrados '(e f(e enviado y # o rec(!erados !or n(estro dis!ositivo" A !esar de las

venta+as !ara la com(nidad forense digital, estos hallagos son !roblem*ticas desde (na

!ers!ectiva de la !rivacidad del (s(ario" -era m(y f*cil !ara (n (s(ario nefasto !ara sentarse en (n

l(gar !Eblico con WiFi grat(ito, como (n caf1, el aero!(erto o en la biblioteca, y la ca!t(ra de

grandes volEmenes de com(nicaciones !ersonales, tanto en forma de mensa+es de te5to y fotoscom!artidas" l hecho de '(e m(chas de estas a!licaciones almacenan enviados#recibidos en

medios de s(s servidores en (n formato sin cifrar con ningEn m1todo de a(tenticaci)n de (s(ario

tambi1n es !roblem*tico" @arece '(e la Enica !rotecci)n de la !rivacidad del (s(ario en l(gar de

dicho contenido es el anonimato de la :&"

n general, la investigaci)n m(estra '(e m(chas a!licaciones de mensa+era !o!(lares tienen

alg(nas v(lnerabilidades im!ortantes en t1rminos de c)mo se almacenan y transmiten datos" Desde

(na !ers!ectiva forense esto facilita la reconstr(cci)n !otencial de grandes !artes de la actividad de

mensa+era instant*nea de (s(ario, !ero desde (na !ers!ectiva de !rivacidad tambi1n e5!one las

com(nicaciones !ersonales de los (s(arios a !otencialmente mal1volas a terceros"

oti*ai+n del autor (rítias del autor a otros tra%a,os)

&a e5istencia de (na variedad de a!licaciones !ara envo de mensa+es instant*neos en (na

!lataforma abierta y con+(ntamente con la falta de c(lt(ra de seg(ridad !or !arte de los (s(arios, la

oferta cada ve m*s creciente de a!licaciones grat(itas !o!(lares, la sofisticaci)n de !ersonas sin

escrE!(los en a!oderarse de la informaci)n !rivada de (s(arios con fines delinc(enciales son

motivos m*s '(e s(ficientes !ara los a(tores en realiar este traba+o"

-esripi+n del aporte del autor

Desde la !ers!ectiva de la !rivacidad del (s(ario los res(ltados son obviamente !roblem*ticos,

desde (na !ers!ectiva legal de vigilancia y an*lisis forense, es bienvenida" on la combinaci)n de

an*lisis de tr*fico de red y el an*lisis de almacenamiento del dis!ositivo, se ha creado (na vista de

7.0 grados de las interacciones de (n (s(ario dentro de estas a!licaciones a trav1s de la

observaci)n de los datos"



A !esar de '(e no se ha creado (n n(evo m1todo !ara el an*lisis de tr*fico, se sostiene '(e los

hallagos son m(y relevantes !ara la com(nidad forense" stos hallagos sirven como comentario

sobre el estado de las a!licaciones de mensa+era en el Mercado de Android hoy" l ob+etivo de

a(mentar la sensibiliaci)n de los (s(arios al mostrar (na ca!a de trans!arencia !ara las

a!licaciones !robadas !ara eliminar las s(!osiciones acerca de la seg(ridad y la !rivacidad dentro

de ellos, sino tambi1n !ara mostrar c)mo alg(nos investigadores !(eden reconstr(irse f*cilmente

evidencia digital" ste tr*fico de red sin cifrar y el almacenamiento de datos sin cifrar ha

demostrado ser (na rica f(ente de evidencia digital !ara los casos !osibles" &os !rotocolos

(tiliados !or estas a!licaciones de+an a los (s(arios e5!(estos a esc(chas telef)nicas debido a '(e

s(s desarrolladores no ofrecen cifrado de e5tremo a e5tremo"

Proeso para o%tener el aporte 'ue onsidera el autor

omo m(estra el sig(iente grafico consiste en ca!t(rar las seGales trasmitidas !or las victimas

23arget Android Device4 en (na red abierta !or (n tercero 29ther !artici!ant4 de las a!licaciones de

mensa+era instant*nea los c(ales envan datos '(e no est*n cifrados"

.igura #/

Proeso para resol*er el pro%lema onsiderado por el autor

&os a(tores seleccionaron /0 a!licaciones de mensa+era # mensa+era instant*nea sociales de la

tienda @lay 6oogle basado en dos factoresH res(ltados de !alabras clave y el nEmero de

descargas" &as !alabras clave (tiliadas en la bEs'(eda de la tienda @lay 6oogle f(eronH chat,

chat, fecha, citas, mensa+e y mensa+es !ara seleccionar las /0 a!licaciones" Dentro de

estos res(ltados se ha seleccionado (na am!lia gama de a!licaciones basado en (n es!ectro de

!o!(laridad" &as a!licaciones seleccionadas son las '(e tienen m*s de 00"000 descargas de m*sde /00 millones de descargas" -e han centrado en las secciones de estas a!licaciones con (no en



(na com(nicaci)n" @or e+em!lo, s)lo se est(di) el Instagram caracterstica directa y no la f(nci)n

de alimentaci)n Instagram" 9tro e+em!lo es '(e s)lo est(diamos los mensa+es directos en

-NA@CA3 y no en el Cistorial de -NA@CA3" -e reali) an*lisis forense de redes !ara

e5aminar el tr*fico de red hacia y desde el dis!ositivo d(rante el envo de mensa+es y el (so de las

diversas caractersticas de estas a!licaciones" sta !r(eba se reali) en (n entorno de laboratorio

controlado !ara red(cir la variabilidad de red debido a dis!ositivos smart!hone men(do o!eran enel cambio de lmites de la red" 3ambi1n se reali) (n e5amen forense del dis!ositivo Android en s

!ara rec(!erar informaci)n desde el dis!ositivo corres!ondiente a n(estras actividades (tiliando

cada (na de las a!licaciones"

&a tabla m(estra (na lista de las a!licaciones !robadas en el orden en '(e f(eron !robados, s(s

nEmeros de versi)n y las caractersticas ellos a!oyan"

onfig(raci)n e5!erimental del an*lisis de redes"

n la investigaci)n se ha (tiliado (n C3 no M? 2Modelo KH C3./&LW, corriendo Android

%"%"/4, as como (n i@ad / 2Modelo KH M%&& # A, con i9- >"$"/4" -e ha creado dos c(entas !ara

cada a!licaci)n con el Android y el i@ad / a la semana antes de la recogida de datos" l dis!ositivo

Android f(e ob+eto de n(estro e5amen, y el i@ad se (tilia sim!lemente como (n interloc(tor de

com(nicaci)n !ara el intercambio de mensa+es con el dis!ositivo de destino" -e (tili) (n e'(i!o

con Windows > con WiFi y (na cone5i)n thernet a Internet !ara config(rar (n !(nto de acceso

inal*mbrico" ste @ se (tilia !ara ca!t(rar el tr*fico de red enviado a trav1s de WiFi desde y

hacia ambos dis!ositivos m)viles"

-e ha (tiliado Wireshark !ara ca!t(rar y g(ardar el tr*fico de red" &a tabla $ contiene la

relaci)n com!leta de a!licaciones (tiliadas !ara realiar la investigaci)n"

3abla $

Des!(1s de ad'(irir la ca!t(ra del tr*fico de archivos, se e5aminaron con Wireshark,

NetworkMiner y NetWitness Investigator" 2n diagrama com!leto de esta config(raci)n se m(estra

en la Fig" $4, !osteriormente se reali) (na serie de acciones, !ara reconstr(ir a trav1s del an*lisis

forense del dis!ositivo Android y el tr*fico de la red" Dado '(e cada a!licaci)n en n(estro banco de

!r(eba tena diferentes ca!acidades 2como se indica en la 3abla 4, las acciones '(e realia vari)

entre cada a!licaci)n !or'(e '(eramos e5aminar todos los ti!os de mensa+es so!ortados"

-e (tili) (n gr(!o de ti!os de !r(ebas !ara seleccionar a !artir deH fotos, videos y !alabras de

te5to sin formato" &os mensa+es enviados y recibidos f(eron seleccionados de este gr(!o !or'(e

tienen '(e ver con el as!ecto de la com(nicaci)n, '(e los a(tores sostienen debe ser !rivado, y es

(na rica f(ente de evidencia digital" &as evidencias encontradas en el seg(imiento realiado

f(eron doc(mentadas inmediatamente" tiliamos Microsystemation de :< !ara realiar (na

ad'(isici)n l)gica del dis!ositivo Android" :< es de confiana !ora la !olica, militares y

laboratorios forenses en m*s de $00 !ases !ara ay(dar en las investigaciones forenses digitales"

-e ha realiado la validaci)n cr(ada (tiliando la alternativa libreH Celi(m back(! !ara



rec(!erar informaci)n de los archivos "db archivos, a contin(aci)n, (tiliando e5tractor de co!ia de

seg(ridad de Android y el navegador de base de datos -O&ite !ara ver el contenido del "db

archivos"

&as evidencias encontradas en los archivos "db '(e contiene registros de chat y#o

informaci)n de (s(ario f(e doc(mentada"

De las a!licaciones seleccionadas la tabla / m(estra las '(e no tienen v(lnerabilidades !ara el

gr(!o de !r(ebas realiada"

3abla /

&a tabla 7 m(estra la relaci)n de archivos de (s(ario o a!licaciones de servidor '(e no estaban

encri!tados al momento de realiar las !r(eba"

3abla 7

:egistro de chat en las bases de datos de las a!!s se m(estran la tabla %



3abla %

&a tabla m(estra la relaci)n de las a!licaciones sometidas a las !r(ebas, s(s ca!acidades,

actividades realiadas y dem*s"

3abla

0trias 'ue el autor usa y resultado 'ue o%tiene/

(atro de las a!licaciones de veinte, a saber, -NA@CA3, <esca, Wickr y BBM, cifran s( tr*fico

de red mediante C33@- cifrado mediante certificados --&" &os a(tores no f(eron ca!aces de

reconstr(ir los datos de estas a!licaciones a trav1s de an*lisis de tr*fico, el an*lisis dealmacenamiento de datos, y el an*lisis de almacenamiento del servidor debido a la



encri!taci)n" &os res(ltados globales se m(estran en la 3abla /" &a ins!ecci)n de !a'(etes no era

!osible con estas a!licaciones cifrados" -in embargo, d(rante la investigaci)n se ha encontrado '(e

$. de las /0 a!licaciones !robadas tenan sin encri!tar el tr*fico en la red y # o almacenamiento de

datos sin cifrar de algEn ti!o" &a falta de cifrado de e5tremo a e5tremo !(ede ser debido a los

rec(rsos dis!onibles !ara los desarrolladores o !or'(e las com!aGas consideran estos datos como

no invasiva a la !rivacidad" &os a(tores as(men '(e las organiaciones '(e no gastan rec(rsos !aracifrar s( tr*fico est*n creando !otenciales ag(+eros de seg(ridad # !rivacidad"

No hay t1rminos de !olticas de servicio o la seg(ridad # !rivacidad '(e se leyeron antes de la

investigaci)n" &as !*ginas de a!licaci)n en la 6oogle @lay -tore o bien no reconocen la seg(ridad #

!rivacidad o de referencia de seg(ridad # !rivacidad como (n elemento clave" &a Enica e5ce!ci)n

f(e Wickr, '(e hio hinca!i1 en la seg(ridad # !rivacidad" 3ambi1n los a(tores seGalan '(e los

falsos !ositivos se !rod(+eron c(ando los an(ncios y !erfil de im*genes en miniat(ra estaban sin

cifrar, !ero se cifran el contenido del (s(ario" stos casos no f(eron doc(mentados como

evidencia" &os falsos negativos tambi1n oc(rrieron c(ando encontramos rastros de actividad

(tiliando (na herramienta, !ero no en otro" @or lo tanto, !ara la reconstr(cci)n del tr*fico, los

a(tores realiaron (na validaci)n cr(ada de los res(ltados (tiliando Wireshark, NetworkMiner y NetWitness Investigator"

1%ser*aiones y2o rítias suyas al artíulo

l est(dio se basa en e5!oner las a!licaciones de mensa+era instant*nea '(e no tienen

im!lementado mecanismos de encri!taci)n o desencri!taci)n"

No e5!one (n n(evo m1todo de v(lneraci)n de seg(ridad 2(n n(evo algoritmo4, se a!oya en

a!licaciones de terceros licenciados los c(ales son contrastados con a!licaciones de an*lisis forense

de c)digo abierto"

@or otro lado, los a(tores no hallaron el medio de notificar a las em!resas ( organiaciones '(e

desarrollan dichas a!licaciones de las v(lnerabilidades de s(s !rod(ctos"

stas v(lnerabilidades de la seg(ridad y !rivacidad no est*n masivamente dif(ndidas, sino en

!e'(eGos crc(los acad1micos"

n este ti!o de investigaci)n es im!ortante im!(lsar a los desarrolladores y (s(arios a !reoc(!arse

m*s !or la seg(ridad y la !rivacidad" na am!lia gama de a!licaciones '(e se ha !robado fracas)

!ara cifrar s(s datos en (na forma ( otra"

2damonografia.si

Documents