Este documento presenta un disclamer indicando que la información compartida es con fines educativos y no se hace responsable por su uso. También menciona que la audiencia debe asumir la información como falsa hasta comprobarla personalmente. Finalmente, aclara que las opiniones vertidas son exclusivamente del expositor.
4. DISCLAIMER
Todo el contenido de esta charla es resultado de investigación
con fines didácticos y educativos. El autor no se hace
responsable por el uso del conocimiento contenido en la
siguiente presentación. La información contenida debe ser
utilizada únicamente para fines éticos y con la debida
autorización.
Todo descubrimiento realizado, ha sido y será usado de forma
legal. La audiencia debe asumir todo lo que se exponga hoy,
como “falso” y “sin fundamento” hasta que lo compruebe
personalmente. Limahack no es el autor directo de ninguno de
los descubrimientos expuestos, ni de las herramientas
demostradas, ni los conoce.
Todas las opiniones vertidas durante esta presentación son
12. Adam J. Aviv, Katherine Gibson,”Smudge Attacks on Smartphone Touch Screens”,
University of Pennsylvania
13.
14. Introducción al análisis forense
Ciencia Forense
“Los restos microscópicos que cubren
nuestra ropa y nuestros cuerpos son
testigos mudos, seguros y fieles, de
nuestros movimientos y de nuestros
encuentros"
Edmond Locard
Aplicada a la informática:
“Involves the preservation, identification,
extraction, documentation, and
interpretation of computer data.” [2]
[2] Warren Kruse and Jay Heiser., Computer Forensics: Incident Response Essentials
Fuente: Lorène, dragibuz.blogspot.com
22. Crecimiento de Android en el mercado 2012
Fuente:http://www.gartner.com/it/page.jsp?id=2120015
23.
24.
25. A dos meses de su lanzamiento
(octubre 2008), Android atrajo el
26% del mercado de
smartphones, resultando ser el
segundo sistema operativo de
dispositivos móviles mas usado.
Incremento en la venta de
smartphones desde el 2011,
siendo Samsung quien lidera.
419 millones de teléfonos
móviles vendidos, 2do trimestre
2012, en el 2011 se vendieron
429 millones.
Crecimiento en el mercado
26. Plataforma open source para dispositivos móviles basada
en el kernel de Linux 2.6 y mantenida por Open Handset
Alliance – OHA. La OHA es un grupo de fabricantes de
dispositivos móviles, desarrolladores de software, y
desarrolladores de componentes.
OHA tiene como objetivos :
● Productos menos costosos
● Innovación tecnológica en móviles
● Mejor experiencia en móviles
Android – historia
28. Android – historia
Mensaje de Andy Rubin
1/05/2007 08:09:00 AM
Posted by Andy Rubin, Director of Mobile Platforms
Android is the first truly open and comprehensive platform for mobiledevices. It includes an
operating system, user-interface andapplications -- all of the software to run a mobile phone,
but withoutthe proprietary obstacles that have hindered mobile innovation. Wehave
developed Android in cooperation with the Open HandsetAlliance, which consists of more
than 30 technology and mobile leadersincluding Motorola, Qualcomm, HTC and T-Mobile.
Through deeppartnerships with carriers, device manufacturers, developers, andothers, we
hope to enable an open ecosystem for the mobile world bycreating a standard, open mobile
software platform. We think the resultwill ultimately be a better and faster pace for
innovation that will givemobile customers unforeseen applications and capabilities. [1]
[1] Google blog, “Where's my Gphone?”, http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html
30. Información almacenada en
medios electrónicos
Datos en transmisión
Puede ser información en varios
formatos:
● Audio
● Video
● Imágenes
● Etc.
Evidencia Digital
32. Laboratorio forense
Distribución Linux Ubuntu, http://www.ubuntu.com/
Yaffs (Yet Another Flash File System), http://www.yaffs.net/
The Android SDK, http://developer.android.com/sdk/index.html
The Sleuth Kit and Autopsy Browser, http://www.sleuthkit.org/
33. SDK
Software Development Kit (SDK)
Conjunto de herramientas útiles para el desarrollo de
aplicaciones Android, incluyen:
● Librerías y APIs,
● Material de referencia,
● Emulador, y
● Otras herramientas.
Funciona en varias plataformas: Linux, Windows, OS X.
El SDK es una gran herramienta para realizar análisis forense
en dispositivos Android.
Se puede descargar desde:
http://developer.android.com/sdk/index.html
39. Android Debug Bridge
ADB forma parte del SDK de Android, el cual permite conectar nuestro
dispositivo al sistema mediante cable USB.
● Requisitos
En windows:
– Tener instalado el driver del cable USB
– La depuración USB del dispositivo debe estar activada
Settings > Applicactions > Development
Chequear USB debugging
40. Emulador de Android
Archivos de interés
● cache.img: imagen del disco de partición caché
● sdcard.img: imagen de la SD card
● userdata-quemu.img: imagen de partición de
datos.
cache.img y userdata-quemu.img usan el sistema
de archivos YAFFS2.
43. Android Debug Bridge
En linux, el adb se encuentra en: /android-sdk-linux/platform-tools/
copiar un fichero al dispositivo:
– $ adb push nombreAplicacion.apk /rutaDispositivo (Ej: AFLogical)
– Ejemplo: $ adb push AFLogical-OSE_1.5.2.apk /sdcard
copiar ficheros del dispositivo al pc:
– $ adb pull /ruta/dispositivo c:/ruta/pc
Ejemplo: $ adb pull /sdcard/forensics c:/evidencias
Instalar una aplicación
– $ adb install nombreAplicacion.apk
44. YAFFS2
Yet Another Flash File System,
Sólo otro sistema de ficheros flash
Para su uso en Linux se necesita compilar el kernel
Con la imagen y sistema de ficheros ya podemos
montar nuestra imágenes YAFFS2
# adb shell su mount -o remount- rw -t yaffs2
/dev/block/mtdblock0 /system
45. Herramientas de
análisis forense
[3] http://www.sleuthkit.org/sleuthkit/index.php
The Sleuth Kit (TSK) is a library and
collection of command line tools that
allow you to investigate disk images.
The core functionality of TSK allows
you to analyze volume and file system
data. The plug-in framework allows you
to incorporate additional modules to
analyze file contents and build
automated systems. The library can be
incorporated into larger digital forensics
tools and the command line tools can
be directly used to find evidence. [1]
Desventajas
Linux aun no soporta YAFFS2
46. Adquisición de datos
● SD Cards: herramientas normales
para crear imágenes
● Almacenamiento Interno:
● NAND flash
● Particion MTDblock montada en
/data
● Particion MTDblock montada en
/cache
47. Adquisición de datos
Importante:
SD card, RAM, SIM card, almacenamiento interno
● Particiones de interes
● Memoria CARD (FAT32)
● Partición user data (YAFFS2)
Todos los datos del usuario almacenados internamente
● Partición cache (YAFFS2)
Temporales
● Sistema (YAFFS2)