SlideShare uma empresa Scribd logo

Forense android

Transferir como ODP, PDF
Rafael Seg
Rafael Seg

Este documento presenta una introducción al análisis forense de dispositivos Android. Explica brevemente conceptos clave como la informática forense, la conservación de evidencia, las versiones de Android, y la arquitectura de Android. También cubre temas como la preparación del laboratorio forense, la identificación de particiones y archivos, y técnicas para obtener y analizar datos forenses de un dispositivo Android.

1 de 42
Análisis Forense a sistemas Android Pentester: Rafael Gómez Del Ángel Director de N3XAsec Docente de la certificación: FDM Forense Investigador de dispositivos móviles. www.n3xasec.com info@n3xasec.com
¿Que es la informática forense? Es una ciencia perteneciente a la seguridad informática, la cual se encarga de recuperar, recolectar y preservar todo tipo de información ya sea volátil o no volátil.
Conservación de la evidencia y su línea del tiempo Cuando se realiza un análisis forense de deben tomar en cuanta los siguientes aspectos •¿Cuál es la escena del crimen ? •¿En que condiciones se encuentra ? •¿Cuál es nuestro objeto de análisis? LINEA DEL TIEMPO
Versiones de Android en el mercado Celulares Tabletas •Android 2.2 •Android 3 •Android 2.3 •Android 3.2 •Android 4 •GPS •Dispositivos de pulso •Automóviles •Cámaras fotográficas •Televisiones Etc.
Arquitectura de Android
Tipos de memoria y gestores de arranque Memoria RAM: Es la que se encargara de almacenar información volátil como la cache de inicio de sesión de algún mensajero. Memoria NAND : Es aquella que trabaja bajo el sistema de archivos yaffs2, y almacena información valiosa como contraseñas, mensajes sms, información del GPS etc, se relaciona directamente con información de la actividad del hardware como la antena 3G, Bluetooth, GPS, conexión a datos. Memoria SD: es la que almacenara información relacionada con el usuario tales como, fotografías, videos, historial de conversaciones, backup de configuración etc. SIM: Es la que se encarga de almacenar información útil para realizar la conexión con el proveedor de servicios, también puede almacenar información como mensajes sms y el directorio telefónico.
Preparando nuestro laboratorio Debemos entender que para analizar el sistema de archivos YAFFS2 debemos instalar el interprete, pero ¿ como lo logramos ? 1.-Escoger nuestra distribución preferida de Linux, preferentemente una que este encaminada a la auditoría forense o el pentest, como lo es CAINE o Backtrack 2.-Recompilar el kernel para agregar el soporte para dicho sistema de archivos. 3.- Instalar un ambiente de desarrollo para Android, como lo es el SDK y Un Ide como Netbeans.
Laboratorio
Ventaja de emular la imagen de Android AFLogical Logs
Rooteando la versión de Android La obtención del acceso root en la terminal es primordial ya que nos ayudara a la ejecución de comandos arbitrariamente Terminal emulator
La conocen?
Técnicas para evadir la protección de pantalla Smudge Attack El cuerpo humano en el transcurso del día secreta cierto tipo de aceites en los dedos, los cuales bajo la luz ultravioleta estos aceites resaltan
Ataque de fuerza bruta
Screen lock bypass App Esta herramienta nos permite realizar un ataque de fuerza bruta para desbloquear la contraseña numerica del dispositivo. •Es muy invasiva •Corremos el riesgo de tronar la memoria RAM •El dispositivo debe estar rooteado
Identificación de particiones y ficheros
Identificando los puntos de montaje del sistema /dev/block/mtdblock1 /system, /dev/block/mtdblock9 /data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold /179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del teléfono montada en /mnt/sdcard.
Puntos de montaje
Creando la imagen forense Una de las reglas de la seguridad informática es la integridad de los datos, por ende al momento de generar una imagen forense se debe asegurar que sea una imagen bit a bit del dispositivo, esto con el fin de al momento de realizar la auditoria sea sea lo menos invasivo posible. Con el comando “dd” sera posible obtenerla imagen. Hash MD5 ImgAir
Búsqueda por línea de comandos
Ahora analizaremos las carpetas contenidas en la imagen data. Realizaremos un ejemplo de una simple búsqueda de strings, en este caso será el numero 228 el cual es la clave lada de la localidad ,con el siguiente comando: strings -a ./mtd9.dd| grep 228 > numeros.txt La extracción automatiza de archivos nos ayudara en la búsqueda de correlaciones a archivos de alguna extensión requerida, con esto podremos seguir con la obtención de metadatos funcionales para nuestra investigación.
Obtención de datos de la cuenta asociada con la búsqueda de strings “@”
Obteniendo datos acerca de cuenta blogger del celular a auditar La información de validación de las cuentas de los usuarios así como su protección esta a cargo del software de las empresas que brindan dichos servicios, cuando se realiza una auditoría forense el auditor puede se capaz de obtener información aparentemente confidencial o privada. Al analizar el archivo picasa.db de com.cooliris.media, nos encontramos que hace uso de una llave de autentificación para acceder a información de imágenes subidas a la cuenta de blogger vinculada con la cuenta de correo nosferatu.security@gmail.com
Nos muestra la vinculación entre la cuenta de correo y el servidor picasa o blogger.
Apreciamos con un editor hexadecimal la llave de autentificación vinculada con el blog “Seguridad e Inseguridad informática” Empezando a rastrar esta conexión que se realiza a través del protocolo http se obtuvo que dicha llave de autentificación es usada para acezar a imágenes subidas por el usuario, con esta llave de autentificación podemos a acceder a descargar información del servidor de blogger para saber cuándo y a qué hora fue subida una foto.
Apreciamos con un editor hexadecimal la llave de autentificación vinculada con el blog “Seguridad e Inseguridad informática” Empezando a rastrar esta conexión que se realiza a través del protocolo http se obtuvo que dicha llave de autentificación es usada para acezar a imágenes subidas por el usuario, con esta llave de autentificación podemos a acceder a descargar información del servidor de blogger para saber cuándo y a qué hora fue subida una foto.
Muestra un archivo .xml que se descargo del servidor, obteniendo fecha y hora de publicación ,esto nos puede ayudar a una línea del tiempo.
Analizando software Wasthapp Este crea una serie de backups donde de tanta información almacenada conserva datos como: El momento en el que fue extraída la memoria sd, niveles de batería críticos, etc. Esto se vuelve útil al momento de realizar una línea del tiempo, claro en caso de ser pertinente y servible la información.
Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .db wa.db y msgstore. Estos contienen una variedad de información, wa.db contiene la lista de contactos guardados en la agenda e indica si está guardado en el teléfono o en la tarjeta sim mostrando un número telefónico el nombre del contacto y el lugar de almacenamiento, en este caso esta en tarjeta sim
Rompiendo la encriptación AES-192-ECB whastapp también guarda un backup de este archivo pero aquí si lo en cripta con un hash AES-192-ECB esta encriptación es fácil de romper obteniendo la key que en este programa utiliza una estándar, lamentablemente y afortunadamente no utiliza alguna variante única en el dispositivo para generar el cifrado como lo puede ser la dirección mac de la tarjeta de red o el número de serie del teléfono. openssl enc -d -aes-192-ecb -in “Archivo.db.crypt” -out “Salida.db” -k 346a23652a46392b4d73257c67317e352e3372482177652c
Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bits encriptados. Archivo SQLITE desencriptado
Contactos
Obteniendo SMS Borrados
SMS Borrado hace meses
Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en su defecto permanece casi intacto esto nos sugiere la idea de que existen sectores de memoria que aun no han sido sobrescritos.
Analizando el uso de las Radiofrecuencias. Bluetooth Wireless GSM GPS
Meta datos Información almacenada en una evidencia, donde nos proporciona una pista de donde o con que fue cometido el DELITO
Rastreando Longitud y Latitud
Análisis Forense a sistemas Android Pentester: Rafael Gómez Del Ángel Director de N3XAsec Docente de la certificación: FDM Forense Investigador de dispositivos móviles. Gracias !! Informes de la certificación info@n3xasec.com www.n3xasec.com

Recomendados

Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Eventos Creativos
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)Lore Valderrama
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
crackers
crackers crackers
crackersmaria_belen
 

Recomendados

Android forensics
Android forensicsAndroid forensics
Android forensicslimahack
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Eventos Creativos
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)Lore Valderrama
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
crackers
crackers crackers
crackersmaria_belen
 
Taller de hardware y software
Taller de hardware y softwareTaller de hardware y software
Taller de hardware y softwareextensivolilo8
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJuan Valacco
 
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software LibreOscar Javier Gentilezza Arenas
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
Estrategias de Ataque y Defensa
Estrategias de Ataque y DefensaEstrategias de Ataque y Defensa
Estrategias de Ataque y DefensaSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidadeslamugre
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieeearodri7703
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques InformáticosJose Manuel Acosta
 
Seguridad inalámbrica
Seguridad inalámbricaSeguridad inalámbrica
Seguridad inalámbricatena10
 
Seguridad informática. 15 12 (2)
Seguridad informática. 15 12 (2)Seguridad informática. 15 12 (2)
Seguridad informática. 15 12 (2)Jorge Millan
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirusprimeros_pasos
 
Virus
VirusVirus
Virusing_eliali4748
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaTm-CS
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forensemelida19
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informáticamilkstern
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...RootedCON
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activosAlexander Velasque Rimac
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiPancho Bbg
 
Respuestas
RespuestasRespuestas
RespuestasHadassa HAdassa
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 

Mais conteúdo relacionado

Mais procurados

Taller de hardware y software
Taller de hardware y softwareTaller de hardware y software
Taller de hardware y softwareextensivolilo8
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJuan Valacco
 
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software LibreOscar Javier Gentilezza Arenas
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidadeslamugre
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieeearodri7703
 
Seguridad inalámbrica
Seguridad inalámbricaSeguridad inalámbrica
Seguridad inalámbricatena10
 
Seguridad informática. 15 12 (2)
Seguridad informática. 15 12 (2)Seguridad informática. 15 12 (2)
Seguridad informática. 15 12 (2)Jorge Millan
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaTm-CS
 

Mais procurados (15)

Taller de hardware y software
Taller de hardware y softwareTaller de hardware y software
Taller de hardware y software
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Estrategias de Ataque y Defensa
Estrategias de Ataque y DefensaEstrategias de Ataque y Defensa
Estrategias de Ataque y Defensa
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidades
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieee
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques Informáticos
 
Seguridad inalámbrica
Seguridad inalámbricaSeguridad inalámbrica
Seguridad inalámbrica
 
Seguridad informática. 15 12 (2)
Seguridad informática. 15 12 (2)Seguridad informática. 15 12 (2)
Seguridad informática. 15 12 (2)
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 
Virus
VirusVirus
Virus
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 

Semelhante a Forense android

Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forensemelida19
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informáticamilkstern
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...RootedCON
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiPancho Bbg
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
Unidad III Métodos de cifrado
Unidad III Métodos de cifradoUnidad III Métodos de cifrado
Unidad III Métodos de cifradoLisby Mora
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Malware steglaoder soluciones de seguridad informatica
Malware steglaoder soluciones de seguridad informaticaMalware steglaoder soluciones de seguridad informatica
Malware steglaoder soluciones de seguridad informaticaDavid Thomas
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Sistema operativo p31p 3c
Sistema operativo p31p 3cSistema operativo p31p 3c
Sistema operativo p31p 3cchynyz98
 

Semelhante a Forense android (20)

Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informática
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
 
Respuestas
RespuestasRespuestas
Respuestas
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Unidad III Métodos de cifrado
Unidad III Métodos de cifradoUnidad III Métodos de cifrado
Unidad III Métodos de cifrado
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
373362872-Diapositivas-Autopsy.pptx
373362872-Diapositivas-Autopsy.pptx373362872-Diapositivas-Autopsy.pptx
373362872-Diapositivas-Autopsy.pptx
 
Malware steglaoder soluciones de seguridad informatica
Malware steglaoder soluciones de seguridad informaticaMalware steglaoder soluciones de seguridad informatica
Malware steglaoder soluciones de seguridad informatica
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
TRABAJO EN CLASE CARLOS MONTERO
TRABAJO EN CLASE CARLOS MONTEROTRABAJO EN CLASE CARLOS MONTERO
TRABAJO EN CLASE CARLOS MONTERO
 
Sistema operativo p31p 3c
Sistema operativo p31p 3cSistema operativo p31p 3c
Sistema operativo p31p 3c
 

Mais de Rafael Seg

C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015Rafael Seg
 
Precios y fechas 2015 certificaciones mile2 online
Precios y fechas 2015 certificaciones mile2 onlinePrecios y fechas 2015 certificaciones mile2 online
Precios y fechas 2015 certificaciones mile2 onlineRafael Seg
 
Computer forensics investigator & incident response windows[cfi ir]
Computer forensics investigator & incident response windows[cfi ir]Computer forensics investigator & incident response windows[cfi ir]
Computer forensics investigator & incident response windows[cfi ir]Rafael Seg
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Ccfiw computer forensic investigations windows
Ccfiw computer forensic investigations windowsCcfiw computer forensic investigations windows
Ccfiw computer forensic investigations windowsRafael Seg
 
Testimonios de Agencias militares
Testimonios de Agencias militaresTestimonios de Agencias militares
Testimonios de Agencias militaresRafael Seg
 
Casestudy us army military, Mile2
Casestudy us army military, Mile2Casestudy us army military, Mile2
Casestudy us army military, Mile2Rafael Seg
 
N3XAsec CPTE plan de estudios detallado
N3XAsec CPTE plan de estudios detalladoN3XAsec CPTE plan de estudios detallado
N3XAsec CPTE plan de estudios detalladoRafael Seg
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Plan de estudios
Plan de estudiosPlan de estudios
Plan de estudiosRafael Seg
 
Taller pentest android
Taller pentest androidTaller pentest android
Taller pentest androidRafael Seg
 
Intrucion a bases de datos
Intrucion a bases de datosIntrucion a bases de datos
Intrucion a bases de datosRafael Seg
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasRafael Seg
 

Mais de Rafael Seg (13)

C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
Precios y fechas 2015 certificaciones mile2 online
Precios y fechas 2015 certificaciones mile2 onlinePrecios y fechas 2015 certificaciones mile2 online
Precios y fechas 2015 certificaciones mile2 online
 
Computer forensics investigator & incident response windows[cfi ir]
Computer forensics investigator & incident response windows[cfi ir]Computer forensics investigator & incident response windows[cfi ir]
Computer forensics investigator & incident response windows[cfi ir]
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Ccfiw computer forensic investigations windows
Ccfiw computer forensic investigations windowsCcfiw computer forensic investigations windows
Ccfiw computer forensic investigations windows
 
Testimonios de Agencias militares
Testimonios de Agencias militaresTestimonios de Agencias militares
Testimonios de Agencias militares
 
Casestudy us army military, Mile2
Casestudy us army military, Mile2Casestudy us army military, Mile2
Casestudy us army military, Mile2
 
N3XAsec CPTE plan de estudios detallado
N3XAsec CPTE plan de estudios detalladoN3XAsec CPTE plan de estudios detallado
N3XAsec CPTE plan de estudios detallado
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios
 
Plan de estudios
Plan de estudiosPlan de estudios
Plan de estudios
 
Taller pentest android
Taller pentest androidTaller pentest android
Taller pentest android
 
Intrucion a bases de datos
Intrucion a bases de datosIntrucion a bases de datos
Intrucion a bases de datos
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemas
 

Forense android

  • 1. Análisis Forense a sistemas Android Pentester: Rafael Gómez Del Ángel Director de N3XAsec Docente de la certificación: FDM Forense Investigador de dispositivos móviles. www.n3xasec.com info@n3xasec.com
  • 2. ¿Que es la informática forense? Es una ciencia perteneciente a la seguridad informática, la cual se encarga de recuperar, recolectar y preservar todo tipo de información ya sea volátil o no volátil.
  • 3. Conservación de la evidencia y su línea del tiempo Cuando se realiza un análisis forense de deben tomar en cuanta los siguientes aspectos •¿Cuál es la escena del crimen ? •¿En que condiciones se encuentra ? •¿Cuál es nuestro objeto de análisis? LINEA DEL TIEMPO
  • 4. Versiones de Android en el mercado Celulares Tabletas •Android 2.2 •Android 3 •Android 2.3 •Android 3.2 •Android 4 •GPS •Dispositivos de pulso •Automóviles •Cámaras fotográficas •Televisiones Etc.
  • 6. Tipos de memoria y gestores de arranque Memoria RAM: Es la que se encargara de almacenar información volátil como la cache de inicio de sesión de algún mensajero. Memoria NAND : Es aquella que trabaja bajo el sistema de archivos yaffs2, y almacena información valiosa como contraseñas, mensajes sms, información del GPS etc, se relaciona directamente con información de la actividad del hardware como la antena 3G, Bluetooth, GPS, conexión a datos. Memoria SD: es la que almacenara información relacionada con el usuario tales como, fotografías, videos, historial de conversaciones, backup de configuración etc. SIM: Es la que se encarga de almacenar información útil para realizar la conexión con el proveedor de servicios, también puede almacenar información como mensajes sms y el directorio telefónico.
  • 7. Preparando nuestro laboratorio Debemos entender que para analizar el sistema de archivos YAFFS2 debemos instalar el interprete, pero ¿ como lo logramos ? 1.-Escoger nuestra distribución preferida de Linux, preferentemente una que este encaminada a la auditoría forense o el pentest, como lo es CAINE o Backtrack 2.-Recompilar el kernel para agregar el soporte para dicho sistema de archivos. 3.- Instalar un ambiente de desarrollo para Android, como lo es el SDK y Un Ide como Netbeans.
  • 9. Ventaja de emular la imagen de Android AFLogical Logs
  • 10. Rooteando la versión de Android La obtención del acceso root en la terminal es primordial ya que nos ayudara a la ejecución de comandos arbitrariamente Terminal emulator
  • 12. Técnicas para evadir la protección de pantalla Smudge Attack El cuerpo humano en el transcurso del día secreta cierto tipo de aceites en los dedos, los cuales bajo la luz ultravioleta estos aceites resaltan
  • 14. Screen lock bypass App Esta herramienta nos permite realizar un ataque de fuerza bruta para desbloquear la contraseña numerica del dispositivo. •Es muy invasiva •Corremos el riesgo de tronar la memoria RAM •El dispositivo debe estar rooteado
  • 16. Identificando los puntos de montaje del sistema /dev/block/mtdblock1 /system, /dev/block/mtdblock9 /data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold /179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del teléfono montada en /mnt/sdcard.
  • 18. Creando la imagen forense Una de las reglas de la seguridad informática es la integridad de los datos, por ende al momento de generar una imagen forense se debe asegurar que sea una imagen bit a bit del dispositivo, esto con el fin de al momento de realizar la auditoria sea sea lo menos invasivo posible. Con el comando “dd” sera posible obtenerla imagen. Hash MD5 ImgAir
  • 19. Búsqueda por línea de comandos
  • 20. Ahora analizaremos las carpetas contenidas en la imagen data. Realizaremos un ejemplo de una simple búsqueda de strings, en este caso será el numero 228 el cual es la clave lada de la localidad ,con el siguiente comando: strings -a ./mtd9.dd| grep 228 > numeros.txt La extracción automatiza de archivos nos ayudara en la búsqueda de correlaciones a archivos de alguna extensión requerida, con esto podremos seguir con la obtención de metadatos funcionales para nuestra investigación.
  • 21.
  • 22. Obtención de datos de la cuenta asociada con la búsqueda de strings “@”
  • 23. Obteniendo datos acerca de cuenta blogger del celular a auditar La información de validación de las cuentas de los usuarios así como su protección esta a cargo del software de las empresas que brindan dichos servicios, cuando se realiza una auditoría forense el auditor puede se capaz de obtener información aparentemente confidencial o privada. Al analizar el archivo picasa.db de com.cooliris.media, nos encontramos que hace uso de una llave de autentificación para acceder a información de imágenes subidas a la cuenta de blogger vinculada con la cuenta de correo nosferatu.security@gmail.com
  • 24. Nos muestra la vinculación entre la cuenta de correo y el servidor picasa o blogger.
  • 25. Apreciamos con un editor hexadecimal la llave de autentificación vinculada con el blog “Seguridad e Inseguridad informática” Empezando a rastrar esta conexión que se realiza a través del protocolo http se obtuvo que dicha llave de autentificación es usada para acezar a imágenes subidas por el usuario, con esta llave de autentificación podemos a acceder a descargar información del servidor de blogger para saber cuándo y a qué hora fue subida una foto.
  • 26. Apreciamos con un editor hexadecimal la llave de autentificación vinculada con el blog “Seguridad e Inseguridad informática” Empezando a rastrar esta conexión que se realiza a través del protocolo http se obtuvo que dicha llave de autentificación es usada para acezar a imágenes subidas por el usuario, con esta llave de autentificación podemos a acceder a descargar información del servidor de blogger para saber cuándo y a qué hora fue subida una foto.
  • 27. Muestra un archivo .xml que se descargo del servidor, obteniendo fecha y hora de publicación ,esto nos puede ayudar a una línea del tiempo.
  • 28. Analizando software Wasthapp Este crea una serie de backups donde de tanta información almacenada conserva datos como: El momento en el que fue extraída la memoria sd, niveles de batería críticos, etc. Esto se vuelve útil al momento de realizar una línea del tiempo, claro en caso de ser pertinente y servible la información.
  • 29. Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .db wa.db y msgstore. Estos contienen una variedad de información, wa.db contiene la lista de contactos guardados en la agenda e indica si está guardado en el teléfono o en la tarjeta sim mostrando un número telefónico el nombre del contacto y el lugar de almacenamiento, en este caso esta en tarjeta sim
  • 30. Rompiendo la encriptación AES-192-ECB whastapp también guarda un backup de este archivo pero aquí si lo en cripta con un hash AES-192-ECB esta encriptación es fácil de romper obteniendo la key que en este programa utiliza una estándar, lamentablemente y afortunadamente no utiliza alguna variante única en el dispositivo para generar el cifrado como lo puede ser la dirección mac de la tarjeta de red o el número de serie del teléfono. openssl enc -d -aes-192-ecb -in “Archivo.db.crypt” -out “Salida.db” -k 346a23652a46392b4d73257c67317e352e3372482177652c
  • 31. Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bits encriptados. Archivo SQLITE desencriptado
  • 35. Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en su defecto permanece casi intacto esto nos sugiere la idea de que existen sectores de memoria que aun no han sido sobrescritos.
  • 36. Analizando el uso de las Radiofrecuencias. Bluetooth Wireless GSM GPS
  • 37. Meta datos Información almacenada en una evidencia, donde nos proporciona una pista de donde o con que fue cometido el DELITO
  • 38.
  • 39.
  • 41.
  • 42. Análisis Forense a sistemas Android Pentester: Rafael Gómez Del Ángel Director de N3XAsec Docente de la certificación: FDM Forense Investigador de dispositivos móviles. Gracias !! Informes de la certificación info@n3xasec.com www.n3xasec.com