Download - Analisis forense en dispositivos android
Análisis Forense en
Dispositivos Android
UOCENI – FISEI UNIVERSIDAD TÉCNICA DE AMBATO
Ambato / Ecuador
@solisbeto
Luis Alberto Solís
2012 2 y 3 de febrero
Contenido
• Introducción
• Android
• Análisis Forense
• Evidencia Digital
• Análisis Forense sobre Android
2
Introducción
Línea histórica de los celulares
Smart Phones
4
5
Crecimiento en el mercado
• Sólo dos años depués del lanzamiento (Octubre 2008), Android captó el 26% del mercado de los smart phones, siendo el segundo más usado.
Fuente: Research In Motion Limited (RIM) 6
Crecimiento en el mercado
• A mediados del 2010 Android fue el segundo SO más popular.
• 350,000 dispositivos están siendo activados diariamente en EUA, de acuerdo a Google Investor, febrero de 2010
7
Android
Plataforma open source para dispositivos móviles basada en el kernel de Linux 2.6 y mantenida por Open Handset Alliance – OHA. La OHA es un grupo de fabricantes de dispositivos móviles, desarrolladores de software, y desarrolladores de componentes.
OHA tiene como objetivos
– Productos menos costosos
– Innovación tecnológica en móviles
– Mejor experiencia en móviles
8
Historia de Android
11/05/2007 08:09:00 AM Posted by Andy Rubin, Director of Mobile Platforms Android is the first truly open and comprehensive platform for mobile devices. It includes an operating system, user-interface and applications -- all of the software to run a mobile phone, but without the proprietary obstacles that have hindered mobile innovation. We have developed Android in cooperation with the Open Handset Alliance, which consists of more than 30 technology and mobile leaders including Motorola, Qualcomm, HTC and T-Mobile. Through deep partnerships with carriers, device manufacturers, developers, and others, we hope to enable an open ecosystem for the mobile world by creating a standard, open mobile software platform. We think the result will ultimately be a better and faster pace for innovation that will give mobile customers unforeseen applications and capabilities. [1]
[1] Google blog, “Where’s my Gphone?”, http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html
9
Arquitectura Android
10
Ciencia Forense
“los restos microscópicos que cubren nuestra
ropa y nuestros cuerpos son testigos mudos,
seguros y fieles, de nuestros movimientos y de
nuestros encuentros”, Edmond Locard
Aplicada a la informática:
“Involves the preservation, identification, extraction,
documentation, and interpretation of computer data.”[2]
[2] Computer Forensics: Incident Response Essentials, Warren Kruse and Jay Heiser.
11
Análisis forense digital
Se aplica a:
– Investigaciones internas de empresas
– Investigaciones criminales
– Recopilación de información
– Litigios civiles
– Relacionados con la seguridad de nacional
– Entre otros
12
Análisis forense digital
• Uso de la ciencia y tecnología
para investigar y aclarar los
hechos en los tribunales civiles
o penales de la ley.
• Evitar cualquier tipo de
modificación sobre el
dispositivo a examinar.
• Los teléfonos móviles carecen
de discos duros tradicionales,
los cuales pueden ser apagados
y conectados a un bloqueador
de escritura, que permita crear
una imagen forense.
13
Evidencia Digital
• Información almacenada
sobre medios electrónicos
• Datos en transmisión
• Los datos digitales
incluyen los formatos:
– Audio
– Video
– Imágenes
– etc
14
Análisis forense de móviles
Técnicas que sirven para
colectar evidencias que
serán presentadas ante un
juzgado. Es el proceso de:
– Preservación
– Adquisición
– Análisis
– Reporte
Guidelines on Cell Phone
Forensics [3]
[3] NIST, http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf 15
Aplicaciones Forenses para móviles
• Software – Oxygen Forensic Suite
– MOBILedit! Forensic
• Hardware – .XRY, incluye: XRY Communications
Unit, SIM Card Reader, Clone SIM Cards, Write-Protected Memory Card Reader & Complete set of Cables. http://www.msab.com/
16
Análisis forense bajo Android
• Recolección de la evidencia
• Análisis
• Presentación
17
18
Técnicas forenses en Android
• Identificación
• SD Card
• Adquisición Lógica
• Adquisición Física
• Chip-off
19
http://juliejin.com/
Identificación del dispositivo
• Identificar el dispositivo • http://www.phonescoop.com/phones/finder.php
– Marca – Modelo – Proveedor de servicio
• Notar también – Interfaz de dispositivo – Etiquetas – Series – Hora desplegada en el fono – Software de sincronización
• Seleccionar la herramienta apropiada • Datos extras
20
Imágenes exactas
22
Técnicas de HASH
Las funciones de hash ayudan a conservar la integridad de la evidencia adquirida. El resultado es un valor fijo.
• MD5: Algoritmo criptografico usado para presevar la integridad
• SHA-1
• Herramientas útiles:
– Access Data’s Forensic Toolkit
[3] S. Danker, R. Ayers, Richard P. Mislan, “Hashing Techniques for Mobile Device Forensics”, in SMALL
SCALE DIGITAL DEVICE FORENSICS JOURNAL, VOL. 3, NO. 1, JUNE 2009 ISSN# 1941-6164 23
Técnicas de HASH
[a] Secure View Kit for Forensics,
24
Analizando la SD Card
• Parte de la investigación
– Información del sistema no se almacenan en éste medio
– Datos de usuario: archivos grandes, multimedia, fotos, etc.
– Proceso de extracción simple utilizando las herramientas correctas
25
Imagen física de la SD Card
26
La importancia de ser root
Rooting: “característica de obtener privilegios
elevados sobre un teléfono móvil”.
27
Android SDK
Software Development Kit – Herramienta de desarrollo
– Útil para desarrolladores de aplicaciones
– Incluye: librerías de software, APIs, documentación, un emulador, y otras
– Soporta: Linux, Windows, y OS X
– Herramienta usada para el análisis forense
http://developer.android.com
29
Android Virtual Device
30
Android Virtual Device
31
Android Virtual Device
32
Acceso root desde adb
33
Usando adb
ADB (Android Debug Bridge) – Interfaz que permite al usuario acceder a una shell del dispositivo, así como otras
características – Ejemplo del comando adb:
Archivos de interés a usarse en el AF: – cahe.img: imagen del disco de partición caché – sdcard.img: imgan de la SD card – userdata-quemu.img: imagen de partición de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2.
34
Imagen del dispositivo
• Respaldo de la memoria
– Uso del comando dd
– Copiando bit a bit la imagen del disco
– Sintaxis:
• dd = /dev/sd of = /sdcard/sd.dd
– Particiones importantes:
• \data\data\
• \data\system\
35
Adquiriendo la imagen física del dispositivo
• Conectar el Smart Phone por medio del cable USB al ordenador.
• Requerimientos
– Tener el USB del Smart Phone en mode debug.
– Drivers del móvil
– Usar SDK
– Privilegios de superusuario
36
Imagen fisca de memoria interna
La memoria del dispositivo puede contener datos importantes:
– Lista de contactos
– Registros de llamadas
– Mensajes de texto
– Información oculta
– Información borrada
37
Extracción de datos físicos
Particiones de la memoria interna
# ls /dev/block
– mtdblock0
– mtdblock1
– mtdblock2
38
Extracción de datos lógicos
Instalación de aplicaciones de terceros
– Se necesita tener privilegios de root
– Modo USB debe estar habilitado
– Extracción de datos lógicos
– Se corre el riesgo de alterar la evidencia
http://code.google.com/p/android-forensics/
39
Extracción de datos lógicos
• Adquisición datos lógicos
• Instalando aplicaciones de terceros
• DEMO
40
Información importante
Datos Ubicacion
Contactos /data/data/com.android.providers.contacts/
Calendario /data/data/com.android.providers.calendar/
SMS & MMS /data/data/com.android.providers.telephony/
Download History /data/data/com.android.providers.downloads/
Browser Data /data/data/com.android.providers.browser/
Gmail /data/data/com.google.android.providers.gmail/
Location Cache /data/data/com.google.android.location/
41
Dump de la memoria volatil
Live Forensics
• Pocos trabajos sobre el tema
• Debe ser considerado como al inicio de adquisición de datos
• Se puede obtener información muy valiosa:
– Procesos, comunicaciones, passwords, etc.
• Ejemplo: DMD[4]
[4] Joe Sylve, Andrew Case, Lodovico Marziale, Golden G. Richard, “Acquisition and analysis of volatile memory from android devices”, in Digital Ivestigation Journal, December 2011
42
Otros comandos
Subir un fichero
$ adb push fichero.ko /sdcard/ficher.ko
Escuchar en un puerto:
$ adb forward tcp:puerto tcp:puerto
# logcat -f /sdcard/logs.txt
43
En resumen
Preservar la evidencia
Obtener información del dispositivo
Obtener datos de la SDCARD
DUMP de la RAM, ej: DMD.
Sacar Imagen física de la memoria interna
Extraer información lógica de la memoria SD Card interna.
Live Forensics
Depende de las circunstancias
44
Preguntas?
45
Agradecimientos
A Todo el staff de BugCon
Carlos Lozano y Armin García
A Joe Sylve @jtsylve, por su colaboración con el código del DMD
46
47
@solisbeto http://blog.mentesinquietas.net/
Referencias
• Joe Sylve, Andrew Case, Lodovico Marziale, Golden G. Richard, “Acquisition and analysis of volatile memory from android devices”, in Digital Ivestigation Journal, December 2011
• ViaForensics, www.viaforensics.com
• Volatility - An advanced memory forensics framework, http://code.google.com/p/volatility/
• Jeff Lessard, “Forensics: Simplifying Cell Phone Examinations”.
• Chung-Huang Yang, Shih-Jen Chen, Jain-Shing Wu, “Design and Implementation of Forensic System in Android Smart Phone”.
48