SlideShare uma empresa Scribd logo

Análisis forense de dispositivos android 03

Transferir como PPTX, PDF
Eventos Creativos
Eventos Creativos
1 de 68
Análisis Forense de Dispositivos Móviles
Tema 1: Introducción
Introducción Introducción a la telefonía móvil • El crecimiento exponencial de las tecnologías móviles y su uso intensivo ha propiciado el uso fraudulento o criminal de los mismos. • Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información. • El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:  Buenas prácticas.  Preservación de la información.  Análisis basados en métodos.  Herramientas forenses.
Análisis Forense Delitos informáticos o Variable según el país. o Múltiples ejemplos, como la estafa, extorsión, ataque a la propiedad intelectual, la pornografía infantil, apoyo al terrorismo (ciberterrorismo)… o Localizar el dispositivo culpable no involucra necesariamente a su usuario habitual. o La presunción de inocencia debe regir como norma fundamental. o Si los delitos son graves, pueden darse otro tipo de actuaciones complementarias.
Análisis Forense Principio de Locard o Edmon Locard fue un criminalista francés de principios del siglo XX. o Desarrolló ciertas metodologías que, aplicadas a las pruebas, convertían a éstas en evidencias irrefutables ante un juez. o Fue famoso también por sus frases y principios:  “escribir la historia de la identificación es escribir la historia de la criminología”  “los restos microscópicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros” o El más famoso es el llamado “Principio de Locard”:  “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. o Esto también es valido en el mundo del análisis forense digital, (una foto guarda metadatos, una IP queda guardada en servidores, …
Análisis Forense ¿Qué es el análisis forense? o El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. o El objetivo del análisis forense será obtener evidencias que puedan certificar lo ocurrido. o La información obtenida puede ser de suma utilidad en todo tipo de investigaciones. Ejemplo de ello fue la captura de Nanysex.
Análisis Forense ¿Qué es el análisis forense? o Aspectos útiles de una investigación:  El método utilizado por el atacante para introducirse en el sistema.  Las actividades ilícitas realizadas por el intruso en el sistema.  El alcance y las implicaciones de dichas actividades.  Las “puertas traseras”(backdoors) instaladas por el intruso.  Otras actividades realizadas por el sistema. o Algunas cuestiones fundamentales de un análisis forense son:  ¿En qué momento exacto se ha producido el daño?  ¿Quién ha sido el sujeto que ha realizado la acción?  ¿Qué metodología o técnica se ha utilizado para ello?  ¿Qué daños y modificaciones ha producido en el sistema?
Análisis Forense Respuesta a incidentes o Según estadísticas, un gran porcentaje de los ataques que se producen en un sistema informático provienen del interior de los organismos y empresas. o El otro importante foco de riesgos de seguridad son los ataques externos, en todas sus variantes. o El análisis forense digital de la incidencia puede aportar un gran valor al conocimiento de las fortalezas y debilidades de los sistemas propios. o La protección del entorno corporativo depende de asegurar sistemas y redes, aunque para ello intervengan muchos factores
Análisis Forense Incidentes más comunes o Accesos no autorizados. Tiene el peligro de que puede acceder a información privilegiada. o Código malicioso. Ataques realizados mediante virus, troyanos, gusanos, rootkits y demás tipos de malware. Además de SQLInjection o XSS o Interrupción del servicio. Esta categoría de incidentes se produce cuando el ob-jetivo es saturar o interrumpir un servicio determinado. o Utilización no autorizada de servicios. Incorrecta aplicación de permisos sobre un usuario, usurpación de cuentas o la elevación de privilegios.
Análisis Forense Evidencia digital o Es cualquier información contrastable encontrada en un sistema. o Una tarea fundamental es la captura de evidencias. o Casi cualquier elemento digital se puede considerar una evidencia. Ejemplos son:  Fecha del último acceso a un fichero o aplicación.  Un registro de acceso en un fichero.  Una cookie de navegación web almacenada.  Un fichero en disco.  Un proceso en ejecución.  Archivos temporales.  Restos de la instalación de un software.  Un dispositivo de almacenamiento. o Deben ser recogidas todas las evidencias posibles y deben ser tratadas de forma responsable no perturbando el contenido que almacenan.
Análisis Forense RFC 3227. Recolección y manejo de evidencias o A la hora de recoger las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y útil. o Los artículos RFC o “Request for Comments” son documentos públicos sometidos al debate de la comunidad, para estandarizar procesos. o El correspondiente al análisis forense es el RFC 3227, que trata entre otros los siguientes aspectos:  Principios para la recolección de  Metodologías de almacenamiento de evidencias evidencias.  Orden de volatilidad.  Comprometer al personal para la  Acciones que deben ser evitadas. aplicación de la ley y la adecuada operativa frente a los incidentes  Consideraciones relativas a la privacidad de los datos.  Capturar una imagen tan exacta del sistema como sea posible.  Consideraciones legales.  Almacenar toda la información posible  Procedimientos de recolección. del proceso de investigación en curso.  Técnicas y herramientas transparentes  Recolectar las evidencias en función de  Cadena de custodia de la información. la volatilidad de las mismas
Análisis Forense Buenas prácticas para la recogida y el análisis de datos o El conocimiento de la arquitectura de lo que se está investigando es la primera base del análisis forense. o ¿Qué evidencia se necesita capturar? o Puntos clave de la recogida de evidencias:  Estudio preliminar de la situación  Qué hacer con los equipos afectados  Utilización de herramientas para el análisis  Tipo de copia del sistema
Forense de Dispositivos Móviles Proceso forense: Guías de buenas prácticas o Guía de la IOCE: “Guidelines for the Best Practices in the Forensics Examination of Digital Technology”. http://www.enfsi.eu/uploads/files/ENFSI_Forensic_IT_Best_Practice_GUIDE _5%5B1%5D.0.pdf o Guía DoJ1:“Electronic Crime Scene Investigation: A Guide for First Responders” : http://nij.gov/nij/pubs-sum/219941.htm o Guía DoJ2: “Forensic Examination of Digital Evidence: A Guide for Law Enforcement”: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Forense de Dispositivos Móviles Proceso forense: Guías de buenas prácticas • Guía de la ISFS (Honk-Kong): “Computer Forensics – Part2: Best Practices”. http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf • Guía de SWGDE: “Special Consideration when Dealing with Cellular Phone v1.0”. http://www.swgde.org/documents/current-documents/2007-04- 05%20SWGDE%20Special%20Consideration%20When%20Dealing%20With%20Cel lular%20Phone%20v1.0.pdf
Forense de Dispositivos Móviles Introducción al Análisis Forense de Dispositivos Móviles En un análisis forense de dispositivos móviles: o Nueva vuelta de tuerca con los SmartPhones:  Entran de lleno en el OS cliente.  Generalmente en portátiles (Corporative mode).  Conexiones desde el móvil (AP Mode). o Muy chulo…. Pero….. (Siempre hay un pero..)  No tenemos el móvil.  Tenemos el móvil pero no está “rooteado”.  Tenemos el móvil… (Restaurado a valores de fábrica).  ¿?¿?
Forense de Dispositivos Móviles Diferencias: Forense tradicional-Forense de móviles o Arquitectura diferente. o Diversidad en los modelos y tecnologías de los dispositivos. o Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales. o Software de análisis forense y hardware específico. o La mayoría de software forense es de pago.
Forense de Dispositivos Móviles Forense tradicional + Forense de móviles • Es posible aunar ambas tecnologías. • La generación de imágenes de memoria interna se puede realizar con herramientas específicas para móviles. • Herramientas como EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
Forense de Dispositivos Móviles ¿Como iniciar un proceso forense? • Directrices y métodos:  Buenas prácticas.  Preservación de la información.  Análisis basados en métodos.  Herramientas forenses. • Pasos o fases a seguir en un análisis forense:  Verificación del incidente.  Evaluación del caso.  Recogida de las evidencias.  Análisis de las evidencias.  Elaboración de informes y conclusiones.  Almacenamiento de informes y evidencia.
Forense de Dispositivos Móviles Proceso forense: Preguntas previas • ¿El caso se va a denunciar o judicializar? • ¿Cuál es el objetivo final de la toma de datos? • ¿Dónde se encuentran la evidencias? • ¿Cómo se extrae la información? • ¿Cómo salvaguardamos la información? • ¿Quién mantiene las evidencias?
Forense de Dispositivos Móviles Proceso Forense: Analista o ¿Quién es el analista? o ¿Conocimientos? o ¿Quién mantiene evidencias?
Forense de Dispositivos Móviles Proceso forense: Almacenamiento de evidencias o Deben realizarse varias copias de la información. o Deben almacenarse en un lugar seguro y a salvo de accesos no autorizados. o Deben garantizarse los sistemas necesarios para la preservación de las mismas. o Debe establecerse una cadena de custodia.
Forense de Dispositivos Móviles Proceso forense: Evidencias y cadena de custodia • Quién, cuándo, dónde y cómo se han tomado las evidencias. • Quién, cuándo y cómo se han analizado las evidencias. • Quién y durante cuánto tiempo se ha custodiado la evidencia. • Cuándo y entre quién han cambiado la custodia de las evidencias.
Forense de Dispositivos Móviles
Forense de Dispositivos Móviles Proceso forense: Como deben recogerse las evidencias o Las evidencias digitales deben ser tomadas de forma binaria. o Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. o Se recomienda por seguridad la firma SHA-1 frente a MD5.
Consideraciones legales Legislación o Diferentes modelos:  Unión Europea.  Estados Unidos de América. o ¿Quién investiga? o Protección de datos. o Uso judicial de la investigación.
Consideraciones legales Sistemas Legales Se presentan dos sistemas legales: o Derecho Común (Common Law):  UK, Irlanda, Chipre, Malta.  Más basado en la jurisprudencia. o Derecho Civil:  Resto de países de la UE.  Más basado en la ley.
Consideraciones legales Legislación en España o No existe una ley específica sobre el Ciberterrorismo o la Ciencia Forense. o Se recogen a través de diferentes apartados de leyes aspectos legales de los delitos informáticos y las técnicas forense. o En el caso de España cada juicio es diferente. o La legislación española está basada en la interpretación.
Consideraciones legales Legislación en España Las bases de la legislación son:  Código Penal.  Ley de Enjuiciamiento Civil. Objeto y finalidad del dictamen de peritos.  Ley de Servicios para la Sociedad de la Información y de comercio electrónico.  Ley Orgánica de Protección de Datos (LOPD).  Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.  Ley General de Telecomunicaciones.  Ley de Propiedad Intelectual.  Ley de Firma Electrónica.
Consideraciones legales Legislación en España: Diferentes casos • Casos judicializados.  Perito informático.  Personal de cuerpo de seguridad del estado.  Agentes judiciales. • Casos no judicializados.  Personal involucrado.  Investigador.
Consideraciones legales Legislación en España: Diferentes partes o Empresa "víctima", con personal interno o externo  En la UE no se requiere licencia de "investigador" para personal externo (en UK posiblemente en el futuro). o El Estado:  Puede investigar o procesar a los atacantes.  Puede investigar a la empresa por seguridad inadecuada. o Otras personas, físicas o jurídicas, afectadas por el incidente de seguridad.  En el contexto de Protección de Datos.
Consideraciones legales Normativas de seguridad o Algunas redes u operadores no cumplen las normas de seguridad. o PIN y PUK. o Jailbreak. o Bloqueo y desbloqueo de operador (lock/unlock).
Tema 2: Análisis forense de dispositivos móviles
AFDM Fases del proceso forense
AFDM Proceso forense: Fase de evaluación o Los procedimientos realizados en esta fase son poco técnicos, sino más bien documentales. o Tan sólo hay que realizar un proceso técnico en la parte de preparación para la adquisición de pruebas. o Hay que preparar los medios en donde se almacenaran las copias de los medios originales, para su posterior análisis. o Hay muchas herramientas para realizar borrado seguro.
AFDM Proceso forense: Fase de evaluación o Borrado seguro en entornos Windows:  Eraser  SDelete  DiskWipe o Borrado seguro en entornos GNU Linux:  SRM  shred (shred -vzu nombre_archivo)  BleachBit o Borrado seguro en entornos Mac OS:  SRM
AFDM Proceso forense: Fase de evaluación – Eraser (Windows)
AFDM Proceso forense: Fase de evaluación – shred (Linux)
AFDM Proceso forense: Fase de evaluación-DiskUtility (Mac OS X)
AFDM Proceso forense: Fase de adquisición o Construcción de la investigación o Recopilar los datos  Preparar el dispositivo para realizar ciertos procedimientos (que no afectan a la evidencia si se documenta adecuadamente):  Desactivar el bloqueo automático.  Extraer información básica del dispositivo.  Activar el modo avión.  Finalmente se realiza una copia (bit a bit) del dispositivo y firmarla con un hash SHA1 o MD5, que se utilizará en la fase de análisis. o Almacenar y archivar.
AFDM Proceso forense: Fase de adquisición o Almacenar y archivar:  Documentar adecuadamente la evidencia, con documento de embalaje y cadena de custodia (línea temporal).  Almacenar la evidencia atendiendo a las buenas prácticas y legislación.  Lugar de almacenado: Debe ser seguro, jaula de Faraday, documento de embalaje, cadena de custodia.  El informe y cadena de custodia debe ser completa, correcta, autentica y convincente, para que en caso de proceso legal sea admitida en un juzgado.
AFDM Proceso forense: Fase de adquisición • Evitar bloqueo automático
AFDM Proceso forense: Fase de adquisición • Obtener información básica:
AFDM Proceso forense: Fase de adquisición • Activar modo avión:
AFDM Proceso forense: Fase de adquisición • Jaula de Faraday:
AFDM Proceso forense: Fase de adquisición • Y por fin llega la fase de extracción de la información, es decir la copia bit a bit de la información, que se realiza con herramientas comerciales como Oxygen Forensics, Lantern…
AFDM Proceso forense: Fase de análisis Se debe analizar: • Los datos de la red. • Los datos de los hosts. • Los datos de los medios de almacenamiento.
AFDM Proceso forense: Fase de documentación Pasos para organizar la información en un proceso legal: o Recopilar y Organizar: Se retoma toda la documentación de las fases anteriores. o Escribir el informe: Se escribe el informe con los siguientes parámetros:  Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.  Autor/Autores: Junto con su responsabilidad y su contacto.  Resumen de Incidentes: Explicado de una forma sencilla.  Pruebas: Debe incluir una descripción de las pruebas adquiridas.  Detalles: Debe detallarse concienzudamente cada uno de los pasos realizados.  Justificar: Debe justificarse cada conclusión extraída del análisis  Conclusión: Deben ser claras y resumidas.  Glosario: Recomendable si el organismo destinatario del informe no está versado en cuestiones técnicas
AFDM Proceso forense: Fase de documentación o Tipos de informe  El informe ejecutivo. Características:  Claro y conciso sin lenguaje técnico.  Va destinado a personal cuya especialidad no es la informática en general como gerentes o jueces.  El informe técnico. Características  Debe detallar los procedimientos realizados  La información debe ser técnica  Cualquier persona que siga los pasos descritos en el informe debe llegar a al mismo resultado que ya se ha obtenido  Va destinado al departamento de sistemas u otros investigadores forenses.
AFDM Forense de dispositivos Android
La importancia de ser root Rooting: “característica de obtener privilegios elevados sobre un teléfono móvil”.
Usando adb ADB (Android Debug Bridge) – Interfaz que permite al usuario acceder a una shell del dispositivo, así como otras características – Ejemplo del comando adb: Archivos de interés a usarse en el Análisis Forense: – cahe.img: imagen del disco de partición caché – sdcard.img: imagen de la SD card – userdata-quemu.img: imagen de partición de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2.
• Ejecución de comandos • Se utiliza “shell” para lanzar instrucciones a la aplicación • Como estamos dentro de un Linux los comandos tienen que ser Linux • Una vez que se pueden lanzar comandos se muestran los elementos montados con “mount” • Se buscan los puntos de montaje para /system, /data y /cache • MTD (Memory Technology Devices) es un subsistema Linux utilizado en medios flash. • Los puntos están asociados a distintos mtdblocks presentes en /dev/block/.
• Ejecución de comandos • Con el listado dev/mtd* se muestran las diversas particiones • Cada dispositivo cuenta con un dispositivo ro (read only) asociado • El siguiente paso sería crear una imagen del dispositivo para un posterior análisis
Imagen del dispositivo • Respaldo de la memoria. Debe ser fiel. – Uso del comando dd – Copia bit a bit – Particiones importantes: • datadata • datasystem
Información importante Datos Ubicacion Contactos /data/data/com.android.providers.contacts/ Calendario /data/data/com.android.providers.calendar/ SMS&MMS /data/data/com.android.providers.telephony/ DownloadHistory /data/data/com.android.providers.downloads/ BrowserData /data/data/com.android.providers.browser/ Gmail /data/data/com.google.android.providers.gmail/ LocationCache /data/data/com.google.android.location/
Copia de los datos al equipo del investigador o Hay varias formas de extracción o El más cómodo es usar la funcionalidad pull de ADB o Extrae toda la carpeta de datos al equipo o Los datos pueden guardarse en varias extensiones según como se vayan a leer luego. Las más usadas son img y dd o Disponiendo de un SSH o un servidor FTP se pueden recuperar lo ficheros a través de esos protocolos
Extracción de datos de la imagen o Scalpel  Hay que definirle ciertos parámetros para su utilización. o Foremost  Se pasa el archivo a procesar y se genera una carpeta llamada “output” con los archivos encontrados y un fichero de texto llamado “audit.txt” que es el resumen del proceso. Tiene varios parámetros opcionales.
Extracción de datos de la imagen Extracción con foremost
Extracción de datos de la imagen
AFDM Forense: Análisis de datos Al final del análisis buscamos obtener algo como esto:
Tema 3: Herramientas software
Herramientas Software Software Comercial
Herramientas Software Software Comercial
Herramientas Software Software Comercial
Herramientas Software Software Comercial Requisitos: Tener a mano un UFED (Universal Forensic Extraction Device) por unos 4000$
Fuentes o http://www.ioce.org/core.php?ID=19 o http://foremost.sourceforge.net/ o http://sourceforge.net/projects/iphile/ o http://www.laflecha.net/canales/seguridad/noticias/normas-para-la- seguridad-de-los-dispositivos-moviles o http://www.inteco.es/indicators/Seguridad/Observatorio/Indicadores/Indicado r_INT135 o http://www.xombra.com/go_news.php?nota=5301 o http://www.zonabyte.com/index.php/2011/02/10-normas-de-seguridad-para- un-telefono-movil/ o http://seguridad-informacion.blogspot.com.es/2008/05/herramientas-de- borrado-seguro.html o http://conexioninversa.blogspot.com.es/2009/09/analisis-forenses- dispositivos-android.html o http://www.sahw.com/wp/archivos/2010/05/23/analisis-forense-de-telefonos- basados-en-sistemas-android/ o http://www.slideshare.net/diablosolis/analisis-forense-en-dispositivos-android o http://www.slideshare.net/eventoscreativos/android-8543809
FIN

Recomendados

INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
Luis Maduro
 
INFORMÁTICA FORENSE
INFORMÁTICA FORENSEINFORMÁTICA FORENSE
INFORMÁTICA FORENSE
EnmerLR
 
Cloud Forensics
Cloud ForensicsCloud Forensics
Cloud Forensics
sdavis532
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Leidy Johana Garcia Ortiz
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
afgt26
 
Practica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos movilesPractica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos moviles
Data Security
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Analista Forense
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
SCREAM138
 

Recomendados

INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
Luis Maduro
 
INFORMÁTICA FORENSE
INFORMÁTICA FORENSEINFORMÁTICA FORENSE
INFORMÁTICA FORENSE
EnmerLR
 
Cloud Forensics
Cloud ForensicsCloud Forensics
Cloud Forensics
sdavis532
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Leidy Johana Garcia Ortiz
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
afgt26
 
Practica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos movilesPractica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos moviles
Data Security
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Analista Forense
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
SCREAM138
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Nicholas Davis
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkit
Milap Oza
 
Computer Forensic
Computer ForensicComputer Forensic
Computer Forensic
Novizul Evendi
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Mithileysh Sathiyanarayanan
 
Anti forensic
Anti forensicAnti forensic
Anti forensic
Milap Oza
 
Digital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research ChallengeDigital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research Challenge
Aung Thu Rha Hein
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Vidoushi B-Somrah
 
L6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxL6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptx
Bhupeshkumar Nanhe
 
Mobile forensics
Mobile forensicsMobile forensics
Mobile forensics
noorashams
 
Lecture 9 and 10 comp forensics 09 10-18 file system
Lecture 9 and 10 comp forensics 09 10-18 file systemLecture 9 and 10 comp forensics 09 10-18 file system
Lecture 9 and 10 comp forensics 09 10-18 file system
Alchemist095
 
Chfi V3 Module 01 Computer Forensics In Todays World
Chfi V3 Module 01 Computer Forensics In Todays WorldChfi V3 Module 01 Computer Forensics In Todays World
Chfi V3 Module 01 Computer Forensics In Todays World
gueste0d962
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Oldsun
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
Héctor Revelo Herrera
 
Cloud-forensics
Cloud-forensicsCloud-forensics
Cloud-forensics
anupriti
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Kmilo Perez
 
43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig
Academia de Ciencias Forenses del Ecuador
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
Ramesh Ogania
 
Digital forensics Steps
Digital forensics StepsDigital forensics Steps
Digital forensics Steps
gamemaker762
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Leidy Johana Garcia Ortiz
 
Computación forense
Computación forenseComputación forense
Computación forense
marcoacruz12
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
Alonso Caballero
 

Mais conteúdo relacionado

Mais procurados

Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkit
Milap Oza
 
Anti forensic
Anti forensicAnti forensic
Anti forensic
Milap Oza
 
Lecture 9 and 10 comp forensics 09 10-18 file system
Lecture 9 and 10 comp forensics 09 10-18 file systemLecture 9 and 10 comp forensics 09 10-18 file system
Lecture 9 and 10 comp forensics 09 10-18 file system
Alchemist095
 
Chfi V3 Module 01 Computer Forensics In Todays World
Chfi V3 Module 01 Computer Forensics In Todays WorldChfi V3 Module 01 Computer Forensics In Todays World
Chfi V3 Module 01 Computer Forensics In Todays World
gueste0d962
 

Mais procurados (20)

Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkit
 
Computer Forensic
Computer ForensicComputer Forensic
Computer Forensic
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Anti forensic
Anti forensicAnti forensic
Anti forensic
 
Digital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research ChallengeDigital Forensic: Brief Intro & Research Challenge
Digital Forensic: Brief Intro & Research Challenge
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
L6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptxL6 Digital Forensic Investigation Tools.pptx
L6 Digital Forensic Investigation Tools.pptx
 
Mobile forensics
Mobile forensicsMobile forensics
Mobile forensics
 
Lecture 9 and 10 comp forensics 09 10-18 file system
Lecture 9 and 10 comp forensics 09 10-18 file systemLecture 9 and 10 comp forensics 09 10-18 file system
Lecture 9 and 10 comp forensics 09 10-18 file system
 
Chfi V3 Module 01 Computer Forensics In Todays World
Chfi V3 Module 01 Computer Forensics In Todays WorldChfi V3 Module 01 Computer Forensics In Todays World
Chfi V3 Module 01 Computer Forensics In Todays World
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
 
Cloud-forensics
Cloud-forensicsCloud-forensics
Cloud-forensics
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
 
Digital forensics Steps
Digital forensics StepsDigital forensics Steps
Digital forensics Steps
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 

Semelhante a Análisis forense de dispositivos android 03

Computación forense
Computación forenseComputación forense
Computación forense
marcoacruz12
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
Alonso Caballero
 
Computación Forense
Computación ForenseComputación Forense
Computación Forense
Sandrag10
 

Semelhante a Análisis forense de dispositivos android 03 (20)

Computación forense
Computación forenseComputación forense
Computación forense
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Introducción a la Informática Forensemelissa - copia.pptx
Introducción a la Informática Forensemelissa - copia.pptxIntroducción a la Informática Forensemelissa - copia.pptx
Introducción a la Informática Forensemelissa - copia.pptx
 
Computación Forense
Computación ForenseComputación Forense
Computación Forense
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
Informatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel SagardoyInformatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel Sagardoy
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Informaticaforense
InformaticaforenseInformaticaforense
Informaticaforense
 
Trabajo 2 informatica
Trabajo 2 informaticaTrabajo 2 informatica
Trabajo 2 informatica
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digital
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Informática forense
Informática forenseInformática forense
Informática forense
 

Mais de Eventos Creativos

Mais de Eventos Creativos (20)

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y Microsoft
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para it
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit framework
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnet
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
Windows 8
Windows 8Windows 8
Windows 8
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos ios
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivo
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativo
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etc
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móviles
 
Nfc en móviles
Nfc en móvilesNfc en móviles
Nfc en móviles
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 
Malware en dispositivos móviles
Malware en dispositivos móvilesMalware en dispositivos móviles
Malware en dispositivos móviles
 

Análisis forense de dispositivos android 03

  • 3. Introducción Introducción a la telefonía móvil • El crecimiento exponencial de las tecnologías móviles y su uso intensivo ha propiciado el uso fraudulento o criminal de los mismos. • Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información. • El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:  Buenas prácticas.  Preservación de la información.  Análisis basados en métodos.  Herramientas forenses.
  • 4. Análisis Forense Delitos informáticos o Variable según el país. o Múltiples ejemplos, como la estafa, extorsión, ataque a la propiedad intelectual, la pornografía infantil, apoyo al terrorismo (ciberterrorismo)… o Localizar el dispositivo culpable no involucra necesariamente a su usuario habitual. o La presunción de inocencia debe regir como norma fundamental. o Si los delitos son graves, pueden darse otro tipo de actuaciones complementarias.
  • 5. Análisis Forense Principio de Locard o Edmon Locard fue un criminalista francés de principios del siglo XX. o Desarrolló ciertas metodologías que, aplicadas a las pruebas, convertían a éstas en evidencias irrefutables ante un juez. o Fue famoso también por sus frases y principios:  “escribir la historia de la identificación es escribir la historia de la criminología”  “los restos microscópicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros” o El más famoso es el llamado “Principio de Locard”:  “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. o Esto también es valido en el mundo del análisis forense digital, (una foto guarda metadatos, una IP queda guardada en servidores, …
  • 6. Análisis Forense ¿Qué es el análisis forense? o El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. o El objetivo del análisis forense será obtener evidencias que puedan certificar lo ocurrido. o La información obtenida puede ser de suma utilidad en todo tipo de investigaciones. Ejemplo de ello fue la captura de Nanysex.
  • 7. Análisis Forense ¿Qué es el análisis forense? o Aspectos útiles de una investigación:  El método utilizado por el atacante para introducirse en el sistema.  Las actividades ilícitas realizadas por el intruso en el sistema.  El alcance y las implicaciones de dichas actividades.  Las “puertas traseras”(backdoors) instaladas por el intruso.  Otras actividades realizadas por el sistema. o Algunas cuestiones fundamentales de un análisis forense son:  ¿En qué momento exacto se ha producido el daño?  ¿Quién ha sido el sujeto que ha realizado la acción?  ¿Qué metodología o técnica se ha utilizado para ello?  ¿Qué daños y modificaciones ha producido en el sistema?
  • 8. Análisis Forense Respuesta a incidentes o Según estadísticas, un gran porcentaje de los ataques que se producen en un sistema informático provienen del interior de los organismos y empresas. o El otro importante foco de riesgos de seguridad son los ataques externos, en todas sus variantes. o El análisis forense digital de la incidencia puede aportar un gran valor al conocimiento de las fortalezas y debilidades de los sistemas propios. o La protección del entorno corporativo depende de asegurar sistemas y redes, aunque para ello intervengan muchos factores
  • 9. Análisis Forense Incidentes más comunes o Accesos no autorizados. Tiene el peligro de que puede acceder a información privilegiada. o Código malicioso. Ataques realizados mediante virus, troyanos, gusanos, rootkits y demás tipos de malware. Además de SQLInjection o XSS o Interrupción del servicio. Esta categoría de incidentes se produce cuando el ob-jetivo es saturar o interrumpir un servicio determinado. o Utilización no autorizada de servicios. Incorrecta aplicación de permisos sobre un usuario, usurpación de cuentas o la elevación de privilegios.
  • 10. Análisis Forense Evidencia digital o Es cualquier información contrastable encontrada en un sistema. o Una tarea fundamental es la captura de evidencias. o Casi cualquier elemento digital se puede considerar una evidencia. Ejemplos son:  Fecha del último acceso a un fichero o aplicación.  Un registro de acceso en un fichero.  Una cookie de navegación web almacenada.  Un fichero en disco.  Un proceso en ejecución.  Archivos temporales.  Restos de la instalación de un software.  Un dispositivo de almacenamiento. o Deben ser recogidas todas las evidencias posibles y deben ser tratadas de forma responsable no perturbando el contenido que almacenan.
  • 11. Análisis Forense RFC 3227. Recolección y manejo de evidencias o A la hora de recoger las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y útil. o Los artículos RFC o “Request for Comments” son documentos públicos sometidos al debate de la comunidad, para estandarizar procesos. o El correspondiente al análisis forense es el RFC 3227, que trata entre otros los siguientes aspectos:  Principios para la recolección de  Metodologías de almacenamiento de evidencias evidencias.  Orden de volatilidad.  Comprometer al personal para la  Acciones que deben ser evitadas. aplicación de la ley y la adecuada operativa frente a los incidentes  Consideraciones relativas a la privacidad de los datos.  Capturar una imagen tan exacta del sistema como sea posible.  Consideraciones legales.  Almacenar toda la información posible  Procedimientos de recolección. del proceso de investigación en curso.  Técnicas y herramientas transparentes  Recolectar las evidencias en función de  Cadena de custodia de la información. la volatilidad de las mismas
  • 12. Análisis Forense Buenas prácticas para la recogida y el análisis de datos o El conocimiento de la arquitectura de lo que se está investigando es la primera base del análisis forense. o ¿Qué evidencia se necesita capturar? o Puntos clave de la recogida de evidencias:  Estudio preliminar de la situación  Qué hacer con los equipos afectados  Utilización de herramientas para el análisis  Tipo de copia del sistema
  • 13. Forense de Dispositivos Móviles Proceso forense: Guías de buenas prácticas o Guía de la IOCE: “Guidelines for the Best Practices in the Forensics Examination of Digital Technology”. http://www.enfsi.eu/uploads/files/ENFSI_Forensic_IT_Best_Practice_GUIDE _5%5B1%5D.0.pdf o Guía DoJ1:“Electronic Crime Scene Investigation: A Guide for First Responders” : http://nij.gov/nij/pubs-sum/219941.htm o Guía DoJ2: “Forensic Examination of Digital Evidence: A Guide for Law Enforcement”: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
  • 14. Forense de Dispositivos Móviles Proceso forense: Guías de buenas prácticas • Guía de la ISFS (Honk-Kong): “Computer Forensics – Part2: Best Practices”. http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf • Guía de SWGDE: “Special Consideration when Dealing with Cellular Phone v1.0”. http://www.swgde.org/documents/current-documents/2007-04- 05%20SWGDE%20Special%20Consideration%20When%20Dealing%20With%20Cel lular%20Phone%20v1.0.pdf
  • 15. Forense de Dispositivos Móviles Introducción al Análisis Forense de Dispositivos Móviles En un análisis forense de dispositivos móviles: o Nueva vuelta de tuerca con los SmartPhones:  Entran de lleno en el OS cliente.  Generalmente en portátiles (Corporative mode).  Conexiones desde el móvil (AP Mode). o Muy chulo…. Pero….. (Siempre hay un pero..)  No tenemos el móvil.  Tenemos el móvil pero no está “rooteado”.  Tenemos el móvil… (Restaurado a valores de fábrica).  ¿?¿?
  • 16. Forense de Dispositivos Móviles Diferencias: Forense tradicional-Forense de móviles o Arquitectura diferente. o Diversidad en los modelos y tecnologías de los dispositivos. o Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales. o Software de análisis forense y hardware específico. o La mayoría de software forense es de pago.
  • 17. Forense de Dispositivos Móviles Forense tradicional + Forense de móviles • Es posible aunar ambas tecnologías. • La generación de imágenes de memoria interna se puede realizar con herramientas específicas para móviles. • Herramientas como EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
  • 18. Forense de Dispositivos Móviles ¿Como iniciar un proceso forense? • Directrices y métodos:  Buenas prácticas.  Preservación de la información.  Análisis basados en métodos.  Herramientas forenses. • Pasos o fases a seguir en un análisis forense:  Verificación del incidente.  Evaluación del caso.  Recogida de las evidencias.  Análisis de las evidencias.  Elaboración de informes y conclusiones.  Almacenamiento de informes y evidencia.
  • 19. Forense de Dispositivos Móviles Proceso forense: Preguntas previas • ¿El caso se va a denunciar o judicializar? • ¿Cuál es el objetivo final de la toma de datos? • ¿Dónde se encuentran la evidencias? • ¿Cómo se extrae la información? • ¿Cómo salvaguardamos la información? • ¿Quién mantiene las evidencias?
  • 20. Forense de Dispositivos Móviles Proceso Forense: Analista o ¿Quién es el analista? o ¿Conocimientos? o ¿Quién mantiene evidencias?
  • 21. Forense de Dispositivos Móviles Proceso forense: Almacenamiento de evidencias o Deben realizarse varias copias de la información. o Deben almacenarse en un lugar seguro y a salvo de accesos no autorizados. o Deben garantizarse los sistemas necesarios para la preservación de las mismas. o Debe establecerse una cadena de custodia.
  • 22. Forense de Dispositivos Móviles Proceso forense: Evidencias y cadena de custodia • Quién, cuándo, dónde y cómo se han tomado las evidencias. • Quién, cuándo y cómo se han analizado las evidencias. • Quién y durante cuánto tiempo se ha custodiado la evidencia. • Cuándo y entre quién han cambiado la custodia de las evidencias.
  • 24. Forense de Dispositivos Móviles Proceso forense: Como deben recogerse las evidencias o Las evidencias digitales deben ser tomadas de forma binaria. o Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. o Se recomienda por seguridad la firma SHA-1 frente a MD5.
  • 25. Consideraciones legales Legislación o Diferentes modelos:  Unión Europea.  Estados Unidos de América. o ¿Quién investiga? o Protección de datos. o Uso judicial de la investigación.
  • 26. Consideraciones legales Sistemas Legales Se presentan dos sistemas legales: o Derecho Común (Common Law):  UK, Irlanda, Chipre, Malta.  Más basado en la jurisprudencia. o Derecho Civil:  Resto de países de la UE.  Más basado en la ley.
  • 27. Consideraciones legales Legislación en España o No existe una ley específica sobre el Ciberterrorismo o la Ciencia Forense. o Se recogen a través de diferentes apartados de leyes aspectos legales de los delitos informáticos y las técnicas forense. o En el caso de España cada juicio es diferente. o La legislación española está basada en la interpretación.
  • 28. Consideraciones legales Legislación en España Las bases de la legislación son:  Código Penal.  Ley de Enjuiciamiento Civil. Objeto y finalidad del dictamen de peritos.  Ley de Servicios para la Sociedad de la Información y de comercio electrónico.  Ley Orgánica de Protección de Datos (LOPD).  Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.  Ley General de Telecomunicaciones.  Ley de Propiedad Intelectual.  Ley de Firma Electrónica.
  • 29. Consideraciones legales Legislación en España: Diferentes casos • Casos judicializados.  Perito informático.  Personal de cuerpo de seguridad del estado.  Agentes judiciales. • Casos no judicializados.  Personal involucrado.  Investigador.
  • 30. Consideraciones legales Legislación en España: Diferentes partes o Empresa "víctima", con personal interno o externo  En la UE no se requiere licencia de "investigador" para personal externo (en UK posiblemente en el futuro). o El Estado:  Puede investigar o procesar a los atacantes.  Puede investigar a la empresa por seguridad inadecuada. o Otras personas, físicas o jurídicas, afectadas por el incidente de seguridad.  En el contexto de Protección de Datos.
  • 31. Consideraciones legales Normativas de seguridad o Algunas redes u operadores no cumplen las normas de seguridad. o PIN y PUK. o Jailbreak. o Bloqueo y desbloqueo de operador (lock/unlock).
  • 32. Tema 2: Análisis forense de dispositivos móviles
  • 34. AFDM Proceso forense: Fase de evaluación o Los procedimientos realizados en esta fase son poco técnicos, sino más bien documentales. o Tan sólo hay que realizar un proceso técnico en la parte de preparación para la adquisición de pruebas. o Hay que preparar los medios en donde se almacenaran las copias de los medios originales, para su posterior análisis. o Hay muchas herramientas para realizar borrado seguro.
  • 35. AFDM Proceso forense: Fase de evaluación o Borrado seguro en entornos Windows:  Eraser  SDelete  DiskWipe o Borrado seguro en entornos GNU Linux:  SRM  shred (shred -vzu nombre_archivo)  BleachBit o Borrado seguro en entornos Mac OS:  SRM
  • 36. AFDM Proceso forense: Fase de evaluación – Eraser (Windows)
  • 37. AFDM Proceso forense: Fase de evaluación – shred (Linux)
  • 38. AFDM Proceso forense: Fase de evaluación-DiskUtility (Mac OS X)
  • 39. AFDM Proceso forense: Fase de adquisición o Construcción de la investigación o Recopilar los datos  Preparar el dispositivo para realizar ciertos procedimientos (que no afectan a la evidencia si se documenta adecuadamente):  Desactivar el bloqueo automático.  Extraer información básica del dispositivo.  Activar el modo avión.  Finalmente se realiza una copia (bit a bit) del dispositivo y firmarla con un hash SHA1 o MD5, que se utilizará en la fase de análisis. o Almacenar y archivar.
  • 40. AFDM Proceso forense: Fase de adquisición o Almacenar y archivar:  Documentar adecuadamente la evidencia, con documento de embalaje y cadena de custodia (línea temporal).  Almacenar la evidencia atendiendo a las buenas prácticas y legislación.  Lugar de almacenado: Debe ser seguro, jaula de Faraday, documento de embalaje, cadena de custodia.  El informe y cadena de custodia debe ser completa, correcta, autentica y convincente, para que en caso de proceso legal sea admitida en un juzgado.
  • 41. AFDM Proceso forense: Fase de adquisición • Evitar bloqueo automático
  • 42. AFDM Proceso forense: Fase de adquisición • Obtener información básica:
  • 43. AFDM Proceso forense: Fase de adquisición • Activar modo avión:
  • 44. AFDM Proceso forense: Fase de adquisición • Jaula de Faraday:
  • 45. AFDM Proceso forense: Fase de adquisición • Y por fin llega la fase de extracción de la información, es decir la copia bit a bit de la información, que se realiza con herramientas comerciales como Oxygen Forensics, Lantern…
  • 46. AFDM Proceso forense: Fase de análisis Se debe analizar: • Los datos de la red. • Los datos de los hosts. • Los datos de los medios de almacenamiento.
  • 47. AFDM Proceso forense: Fase de documentación Pasos para organizar la información en un proceso legal: o Recopilar y Organizar: Se retoma toda la documentación de las fases anteriores. o Escribir el informe: Se escribe el informe con los siguientes parámetros:  Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.  Autor/Autores: Junto con su responsabilidad y su contacto.  Resumen de Incidentes: Explicado de una forma sencilla.  Pruebas: Debe incluir una descripción de las pruebas adquiridas.  Detalles: Debe detallarse concienzudamente cada uno de los pasos realizados.  Justificar: Debe justificarse cada conclusión extraída del análisis  Conclusión: Deben ser claras y resumidas.  Glosario: Recomendable si el organismo destinatario del informe no está versado en cuestiones técnicas
  • 48. AFDM Proceso forense: Fase de documentación o Tipos de informe  El informe ejecutivo. Características:  Claro y conciso sin lenguaje técnico.  Va destinado a personal cuya especialidad no es la informática en general como gerentes o jueces.  El informe técnico. Características  Debe detallar los procedimientos realizados  La información debe ser técnica  Cualquier persona que siga los pasos descritos en el informe debe llegar a al mismo resultado que ya se ha obtenido  Va destinado al departamento de sistemas u otros investigadores forenses.
  • 50. La importancia de ser root Rooting: “característica de obtener privilegios elevados sobre un teléfono móvil”.
  • 51. Usando adb ADB (Android Debug Bridge) – Interfaz que permite al usuario acceder a una shell del dispositivo, así como otras características – Ejemplo del comando adb: Archivos de interés a usarse en el Análisis Forense: – cahe.img: imagen del disco de partición caché – sdcard.img: imagen de la SD card – userdata-quemu.img: imagen de partición de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2.
  • 52. Ejecución de comandos • Se utiliza “shell” para lanzar instrucciones a la aplicación • Como estamos dentro de un Linux los comandos tienen que ser Linux • Una vez que se pueden lanzar comandos se muestran los elementos montados con “mount” • Se buscan los puntos de montaje para /system, /data y /cache • MTD (Memory Technology Devices) es un subsistema Linux utilizado en medios flash. • Los puntos están asociados a distintos mtdblocks presentes en /dev/block/.
  • 53.
  • 54. Ejecución de comandos • Con el listado dev/mtd* se muestran las diversas particiones • Cada dispositivo cuenta con un dispositivo ro (read only) asociado • El siguiente paso sería crear una imagen del dispositivo para un posterior análisis
  • 55. Imagen del dispositivo • Respaldo de la memoria. Debe ser fiel. – Uso del comando dd – Copia bit a bit – Particiones importantes: • datadata • datasystem
  • 56. Información importante Datos Ubicacion Contactos /data/data/com.android.providers.contacts/ Calendario /data/data/com.android.providers.calendar/ SMS&MMS /data/data/com.android.providers.telephony/ DownloadHistory /data/data/com.android.providers.downloads/ BrowserData /data/data/com.android.providers.browser/ Gmail /data/data/com.google.android.providers.gmail/ LocationCache /data/data/com.google.android.location/
  • 57. Copia de los datos al equipo del investigador o Hay varias formas de extracción o El más cómodo es usar la funcionalidad pull de ADB o Extrae toda la carpeta de datos al equipo o Los datos pueden guardarse en varias extensiones según como se vayan a leer luego. Las más usadas son img y dd o Disponiendo de un SSH o un servidor FTP se pueden recuperar lo ficheros a través de esos protocolos
  • 58. Extracción de datos de la imagen o Scalpel  Hay que definirle ciertos parámetros para su utilización. o Foremost  Se pasa el archivo a procesar y se genera una carpeta llamada “output” con los archivos encontrados y un fichero de texto llamado “audit.txt” que es el resumen del proceso. Tiene varios parámetros opcionales.
  • 59. Extracción de datos de la imagen Extracción con foremost
  • 60. Extracción de datos de la imagen
  • 61. AFDM Forense: Análisis de datos Al final del análisis buscamos obtener algo como esto:
  • 63. Herramientas Software Software Comercial
  • 64. Herramientas Software Software Comercial
  • 65. Herramientas Software Software Comercial
  • 66. Herramientas Software Software Comercial Requisitos: Tener a mano un UFED (Universal Forensic Extraction Device) por unos 4000$
  • 67. Fuentes o http://www.ioce.org/core.php?ID=19 o http://foremost.sourceforge.net/ o http://sourceforge.net/projects/iphile/ o http://www.laflecha.net/canales/seguridad/noticias/normas-para-la- seguridad-de-los-dispositivos-moviles o http://www.inteco.es/indicators/Seguridad/Observatorio/Indicadores/Indicado r_INT135 o http://www.xombra.com/go_news.php?nota=5301 o http://www.zonabyte.com/index.php/2011/02/10-normas-de-seguridad-para- un-telefono-movil/ o http://seguridad-informacion.blogspot.com.es/2008/05/herramientas-de- borrado-seguro.html o http://conexioninversa.blogspot.com.es/2009/09/analisis-forenses- dispositivos-android.html o http://www.sahw.com/wp/archivos/2010/05/23/analisis-forense-de-telefonos- basados-en-sistemas-android/ o http://www.slideshare.net/diablosolis/analisis-forense-en-dispositivos-android o http://www.slideshare.net/eventoscreativos/android-8543809
  • 68. FIN