android forensics por luis alberto solis solis

Download Android forensics por Luis Alberto Solis Solis

Post on 12-Jun-2015

353 views

Category:

Technology

4 download

Embed Size (px)

DESCRIPTION

Android el sistema numero uno de dispositivos móviles, se a hecho muy popular en los últimos anos, al ser un sistema reciente y que usa un sistema de ficheros YAFFS2 existen pocas utilidades de análisis forense hasta el momento. El objetivo de charla es demostrar como podemos montarnos nuestro propio laboratorio de análisis forense para dispositivos Android (tables, smarthphones, etc). En el cual se puede hacer desde la extracción de imágenes, volcado de memoria RAM, análisis de la SD Card, se puede extraer información importante del dispositivo: usuarios y claves, contactos, mensajes de texto, historial de llamadas y todo lo que necesita un forense. De todo esto se hara una demo. Finalmente la presentación de una utilidad para Android con demo.

TRANSCRIPT

  • 1. DISCLAIMER Todo el contenido de esta charla es resultado de investigacin con nes didcticos y educativos. El autor no se hace responsable por el uso del conocimiento contenido en la siguiente presentacin. La informacin contenida debe ser utilizada nicamente para nes ticos y con la debida autorizacin. Todo descubrimiento realizado, ha sido y ser usado de forma legal. La audiencia debe asumir todo lo que se exponga hoy, como falso y sin fundamento hasta que lo compruebe personalmente. Limahack no es el autor directo de ninguno de los descubrimientos expuestos, ni de las herramientas demostradas, ni los conoce. Todas las opiniones vertidas durante esta presentacin son

2. ANDROID FORENSICS Luis Sols @solisbeto 3. Agenda Introduccin Creando un laboratorio forense Uso de herramientas Anlisis forense en dispositivos Android Otras tcnicas forenses DEMO Pruebas Contenido 4. Qu mtodo de bloqueo usa tu smarthPhone? 5. Patrn de bloqueo 6. Bloqueo facial 7. Mediante clave o PIN 1 2 3 4 5 6 7 8 9 sos 0 x * ** 8. Qu tan seguros son esos mtodos? 9. Adam J. Aviv, Katherine Gibson,Smudge Attacks on Smartphone Touch Screens, University of Pennsylvania 10. Introduccin al anlisis forense Ciencia Forense Los restos microscpicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros" Edmond Locard Aplicada a la informtica: Involves the preservation, identification, extraction, documentation, and interpretation of computer data. [2] [2] Warren Kruse and Jay Heiser., Computer Forensics: Incident Response Essentials Fuente: Lorne, dragibuz.blogspot.com 11. anlisis forense Ciencia que nos permite: Identificar Preservar Analizar Presentar 12. Android Security Vulnerabilities http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google-Android.html 13. Linea del tiempo de la tecnologa celular Android Introduccin 14. Android Introduccin 15. Plataforma Nombre Fecha Android 1.0 S/N 23 Sep, 2008 Android 1.1 Petit Four 9 Feb, 2009 Android 1.5 Cupkake 27 Abr, 2009 Android 1.6 Donut 16, Sep, 2009 Android 2.0 Eclair 5 Oct, 2009 Android 2.0.1 Eclair 11 Dic, 2009 Android 2.1 Eclair 11 Ene, 2010 Android 2.2 FroYo 20 May, 2010 Android 2.3 Gingerbread Dic, 2010 Android 2.3.3 Gingerbread 9 Feb, 2011 Android 3.0 Honeycomb Android 4.0 Ice Cream Android 4.1 Jelly Bean Android Evolucin 16. Crecimiento de Android en el mercado 2010 Fuente:ResearchInMotionLimited(RIM) 17. Crecimiento de Android en el mercado 2012 Fuente:http://www.gartner.com/it/page.jsp?id=2120015 18. A dos meses de su lanzamiento (octubre 2008), Android atrajo el 26% del mercado de smartphones, resultando ser el segundo sistema operativo de dispositivos mviles mas usado. Incremento en la venta de smartphones desde el 2011, siendo Samsung quien lidera. 419 millones de telfonos mviles vendidos, 2do trimestre 2012, en el 2011 se vendieron 429 millones. Crecimiento en el mercado 19. Plataforma open source para dispositivos mviles basada en el kernel de Linux 2.6 y mantenida por Open Handset Alliance OHA. La OHA es un grupo de fabricantes de dispositivos mviles, desarrolladores de software, y desarrolladores de componentes. OHA tiene como objetivos : Productos menos costosos Innovacin tecnolgica en mviles Mejor experiencia en mviles Android historia 20. Android historia 21. Android historia Mensaje de Andy Rubin 1/05/2007 08:09:00 AM Posted by Andy Rubin, Director of Mobile Platforms Android is the rst truly open and comprehensive platform for mobiledevices. It includes an operating system, user-interface andapplications -- all of the software to run a mobile phone, but withoutthe proprietary obstacles that have hindered mobile innovation. Wehave developed Android in cooperation with the Open HandsetAlliance, which consists of more than 30 technology and mobile leadersincluding Motorola, Qualcomm, HTC and T-Mobile. Through deeppartnerships with carriers, device manufacturers, developers, andothers, we hope to enable an open ecosystem for the mobile world bycreating a standard, open mobile software platform. We think the resultwill ultimately be a better and faster pace for innovation that will givemobile customers unforeseen applications and capabilities. [1] [1] Google blog, Where's my Gphone?, http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html 22. Android - Arquitectura 23. Informacin almacenada en medios electrnicos Datos en transmisin Puede ser informacin en varios formatos: Audio Video Imgenes Etc. Evidencia Digital 24. Creando el laboratorio 25. Laboratorio forense Distribucin Linux Ubuntu, http://www.ubuntu.com/ Yaffs (Yet Another Flash File System), http://www.yaffs.net/ The Android SDK, http://developer.android.com/sdk/index.html The Sleuth Kit and Autopsy Browser, http://www.sleuthkit.org/ 26. SDK Software Development Kit (SDK) Conjunto de herramientas tiles para el desarrollo de aplicaciones Android, incluyen: Libreras y APIs, Material de referencia, Emulador, y Otras herramientas. Funciona en varias plataformas: Linux, Windows, OS X. El SDK es una gran herramienta para realizar anlisis forense en dispositivos Android. Se puede descargar desde: http://developer.android.com/sdk/index.html 27. Emulando Android 28. Emulando Android 29. Emulando Android 30. Android Debug Bridge Directorios de almacenamiento del AVD Ubuntu Linux: /home//.android Ej: /home/luis/.android Windows: C:Usuarios.android Ej: C:Usuariosluis.android ADB 31. Android Debug Bridge 32. Android Debug Bridge ADB forma parte del SDK de Android, el cual permite conectar nuestro dispositivo al sistema mediante cable USB. Requisitos En windows: Tener instalado el driver del cable USB La depuracin USB del dispositivo debe estar activada Settings > Applicactions > Development Chequear USB debugging 33. Emulador de Android Archivos de inters cache.img: imagen del disco de particin cach sdcard.img: imagen de la SD card userdata-quemu.img: imagen de particin de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2. 34. Importante Android SDK se necesita: Dispositivo rooteado Depuracin de USB activado Modo Root 35. Modo Root 36. Android Debug Bridge En linux, el adb se encuentra en: /android-sdk-linux/platform-tools/ copiar un fichero al dispositivo: $ adb push nombreAplicacion.apk /rutaDispositivo (Ej: AFLogical) Ejemplo: $ adb push AFLogical-OSE_1.5.2.apk /sdcard copiar ficheros del dispositivo al pc: $ adb pull /ruta/dispositivo c:/ruta/pc Ejemplo: $ adb pull /sdcard/forensics c:/evidencias Instalar una aplicacin $ adb install nombreAplicacion.apk 37. YAFFS2 Yet Another Flash File System, Slo otro sistema de ficheros flash Para su uso en Linux se necesita compilar el kernel Con la imagen y sistema de ficheros ya podemos montar nuestra imgenes YAFFS2 # adb shell su mount -o remount- rw -t yaffs2 /dev/block/mtdblock0 /system 38. Herramientas de anlisis forense [3] http://www.sleuthkit.org/sleuthkit/index.php The Sleuth Kit (TSK) is a library and collection of command line tools that allow you to investigate disk images. The core functionality of TSK allows you to analyze volume and file system data. The plug-in framework allows you to incorporate additional modules to analyze file contents and build automated systems. The library can be incorporated into larger digital forensics tools and the command line tools can be directly used to find evidence. [1] Desventajas Linux aun no soporta YAFFS2 39. Adquisicin de datos SD Cards: herramientas normales para crear imgenes Almacenamiento Interno: NAND flash Particion MTDblock montada en /data Particion MTDblock montada en /cache 40. Adquisicin de datos Importante: SD card, RAM, SIM card, almacenamiento interno Particiones de interes Memoria CARD (FAT32) Particin user data (YAFFS2) Todos los datos del usuario almacenados internamente Particin cache (YAFFS2) Temporales Sistema (YAFFS2) 41. Herramientas de extraccin Pocas herramientas que ayuden en el proceso forense de Android. 42. Hardware Hardware, ejemplo: .XRY SIMCardReader,CloneSIMCards,Write-Protected Memory Card Reader & Complete set of Cables. http://www.msab.com/ 43. Hardware BitPIM LogiCube CellExtract [F] MobilEdit Forensic [L] Secure View Susteen [L] Oxygen Forensic Radio Tactics Aceso viaForensics viaExtract 44. Otras tcnicas forenses JTAG 45. Distros forenses 46. Distros forenses 47. Demo - Live DVD: Android Forensics (dyablu) - Extraccin de datos 48. Medidas de seguridad 49. Medidas de proteccin Cifrado de datos Comunicaciones cifradas (SSH Tunel) 50. Mayor informacin @solisbeto, info@luisolis.com GRACIAS!! a ustedes por asistir y en especial a los organizadores