android forensics por luis alberto solis solis

DISCLAIMER

Todo el contenido de esta charla es resultado de investigación con fines didácticos y educativos. El autor no se hace responsable por el uso del conocimiento contenido en la siguiente presentación. La información contenida debe ser utilizada únicamente para fines éticos y con la debida autorización.

Todo descubrimiento realizado, ha sido y será usado de forma legal. La audiencia debe asumir todo lo que se exponga hoy, como “falso” y “sin fundamento” hasta que lo compruebe personalmente. Limahack no es el autor directo de ninguno de los descubrimientos expuestos, ni de las herramientas demostradas, ni los conoce.

Todas las opiniones vertidas durante esta presentación son exclusivas del expositor, Limahack no es responsable de ninguna de las opiniones vertidas.

ANDROID FORENSICS

Luis Solís @solisbeto

Agenda

● Introducción

● Creando un laboratorio forense

● Uso de herramientas

● Análisis forense en dispositivos Android

● Otras técnicas forenses

● DEMO

● Pruebas

Contenido

Qué método de bloqueo usa tu smarthPhone?

Patrón de bloqueo

Bloqueo facial

Mediante clave o PIN

1 2 3

4 5 6

7 8 9

sos 0 x

* **

Qué tan seguros son esos métodos?

Adam J. Aviv, Katherine Gibson,”Smudge Attacks on Smartphone Touch Screens”, University of Pennsylvania

Introducción al análisis forense

Ciencia Forense“Los restos microscópicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros"

Edmond Locard

Aplicada a la informática:

“Involves the preservation, identification, extraction, documentation, and interpretation of computer data.” [2]

[2] Warren Kruse and Jay Heiser., Computer Forensics: Incident Response Essentials

Fuente: Lorène, dragibuz.blogspot.com

análisis forense

Ciencia que nos permite:

– Identificar

– Preservar

– Analizar

– Presentar

Android Security Vulnerabilities

http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google-Android.html

Linea del tiempo de la tecnología celular

Android – Introducción

Android – Introducción

Plataforma Nombre Fecha

Android 1.0 S/N 23 Sep, 2008

Android 1.1 Petit Four 9 Feb, 2009

Android 1.5 Cupkake 27 Abr, 2009

Android 1.6 Donut 16, Sep, 2009

Android 2.0 Eclair 5 Oct, 2009

Android 2.0.1 Eclair 11 Dic, 2009

Android 2.1 Eclair 11 Ene, 2010

Android 2.2 FroYo 20 May, 2010

Android 2.3 Gingerbread Dic, 2010

Android 2.3.3 Gingerbread 9 Feb, 2011

Android 3.0 Honeycomb

Android 4.0 Ice Cream

Android 4.1 Jelly Bean

Android – Evolución

Crecimiento de Android en el mercado 2010

Fuente:ResearchInMotionLimited(RIM)

Crecimiento de Android en el mercado 2012

Fuente:http://www.gartner.com/it/page.jsp?id=2120015

A dos meses de su lanzamiento (octubre 2008), Android atrajo el 26% del mercado de smartphones, resultando ser el segundo sistema operativo de dispositivos móviles mas usado.

Incremento en la venta de smartphones desde el 2011, siendo Samsung quien lidera.

419 millones de teléfonos móviles vendidos, 2do trimestre 2012, en el 2011 se vendieron 429 millones.

Crecimiento en el mercado

Plataforma open source para dispositivos móviles basada en el kernel de Linux 2.6 y mantenida por Open Handset Alliance – OHA. La OHA es un grupo de fabricantes de dispositivos móviles, desarrolladores de software, y desarrolladores de componentes.

OHA tiene como objetivos :

● Productos menos costosos

● Innovación tecnológica en móviles

● Mejor experiencia en móviles

Android – historia

Android – historia

Android – historia

Mensaje de Andy Rubin

1/05/2007 08:09:00 AM

Posted by Andy Rubin, Director of Mobile Platforms

Android is the first truly open and comprehensive platform for mobiledevices. It includes an operating system, user-interface andapplications -- all of the software to run a mobile phone, but withoutthe proprietary obstacles that have hindered mobile innovation. Wehave developed Android in cooperation with the Open HandsetAlliance, which consists of more than 30 technology and mobile leadersincluding Motorola, Qualcomm, HTC and T-Mobile. Through deeppartnerships with carriers, device manufacturers, developers, andothers, we hope to enable an open ecosystem for the mobile world bycreating a standard, open mobile software platform. We think the resultwill ultimately be a better and faster pace for innovation that will givemobile customers unforeseen applications and capabilities. [1]

[1] Google blog, “Where's my Gphone?”, http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html

Android - Arquitectura

Información almacenada en medios electrónicos

Datos en transmisión

Puede ser información en varios formatos:

● Audio

● Video

● Imágenes

● Etc.

Evidencia Digital

Creando el laboratorio

Laboratorio forense

Distribución Linux Ubuntu, http://www.ubuntu.com/ Yaffs (Yet Another Flash File System), http://www.yaffs.net/The Android SDK, http://developer.android.com/sdk/index.html The Sleuth Kit and Autopsy Browser, http://www.sleuthkit.org/

SDK

Software Development Kit (SDK)Conjunto de herramientas útiles para el desarrollo de aplicaciones Android, incluyen:● Librerías y APIs,● Material de referencia,● Emulador, y● Otras herramientas.Funciona en varias plataformas: Linux, Windows, OS X.El SDK es una gran herramienta para realizar análisis forense en dispositivos Android.Se puede descargar desde:

http://developer.android.com/sdk/index.html

Emulando Android

Emulando Android

Emulando Android

Android Debug Bridge

Directorios de almacenamiento del AVD

● Ubuntu Linux:

/home/<usuario>/.android

Ej: /home/luis/.android

● Windows:

C:\Usuarios\<usuario>\.android

Ej: C:\Usuarios\luis\.android

ADB

Android Debug Bridge

Android Debug Bridge

ADB forma parte del SDK de Android, el cual permite conectar nuestro dispositivo al sistema mediante cable USB.

● Requisitos

En windows:

– Tener instalado el driver del cable USB

– La depuración USB del dispositivo debe estar activada

Settings > Applicactions > Development

Chequear USB debugging

Emulador de Android

Archivos de interés

● cache.img: imagen del disco de partición caché

● sdcard.img: imagen de la SD card

● userdata-quemu.img: imagen de partición de datos.

cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2.

Importante

Android SDK

se necesita:

– Dispositivo rooteado

– Depuración de USB activado

Modo Root

Modo Root

Android Debug Bridge

En linux, el adb se encuentra en: /android-sdk-linux/platform-tools/

copiar un fichero al dispositivo:

– $ adb push nombreAplicacion.apk /rutaDispositivo (Ej: AFLogical)

– Ejemplo: $ adb push AFLogical-OSE_1.5.2.apk /sdcard

copiar ficheros del dispositivo al pc:

– $ adb pull /ruta/dispositivo c:/ruta/pc

Ejemplo: $ adb pull /sdcard/forensics c:/evidencias

Instalar una aplicación

– $ adb install nombreAplicacion.apk

YAFFS2

Yet Another Flash File System, Sólo otro sistema de ficheros flash

Para su uso en Linux se necesita compilar el kernelCon la imagen y sistema de ficheros ya podemos montar nuestra imágenes YAFFS2# adb shell su mount -o remount- rw -t yaffs2 /dev/block/mtdblock0 /system

Herramientas de análisis forense

[3] http://www.sleuthkit.org/sleuthkit/index.php

The Sleuth Kit (TSK) is a library and collection of command line tools that allow you to investigate disk images. The core functionality of TSK allows you to analyze volume and file system data. The plug-in framework allows you to incorporate additional modules to analyze file contents and build automated systems. The library can be incorporated into larger digital forensics tools and the command line tools can be directly used to find evidence. [1]

Desventajas

Linux aun no soporta YAFFS2

Adquisición de datos

● SD Cards: herramientas normales

para crear imágenes

● Almacenamiento Interno:

● NAND flash

● Particion MTDblock montada en

/data

● Particion MTDblock montada en

/cache

Adquisición de datos

Importante:

SD card, RAM, SIM card, almacenamiento interno

● Particiones de interes

● Memoria CARD (FAT32)

● Partición user data (YAFFS2)

Todos los datos del usuario almacenados internamente

● Partición cache (YAFFS2)

Temporales

● Sistema (YAFFS2)

Herramientas de extracción

Pocas herramientas que ayuden en el proceso forense de Android.

Hardware

Hardware,

ejemplo: .XRY

SIMCardReader,CloneSIMCards,Write-Protected

Memory Card Reader & Complete set of Cables.

http://www.msab.com/

Hardware

● BitPIM

● LogiCube CellExtract [F]

● MobilEdit Forensic [L]

● Secure View – Susteen [L]

● Oxygen Forensic

● Radio Tactics Aceso

● viaForensics viaExtract

Otras técnicas forenses

JTAG

Distros forenses

Distros forenses

Demo

- Live DVD: Android Forensics (dyablu)

- Extracción de datos

Medidas de seguridad

Medidas de protección

● Cifrado de datos

● Comunicaciones cifradas (SSH Tunel)

Mayor información

@solisbeto, info@luisolis.com

GRACIAS!!

a ustedes por asistir

y en especial a los organizadores