Este documento presenta una introducción al análisis forense de dispositivos Android. Explica brevemente conceptos clave como la informática forense, la conservación de evidencia, las versiones de Android, y la arquitectura de Android. También cubre temas como la preparación del laboratorio forense, la identificación de particiones y archivos, y técnicas para obtener y analizar datos forenses de un dispositivo Android.
1. Análisis Forense a sistemas
Android
Pentester: Rafael Gómez Del Ángel
Director de N3XAsec
Docente de la certificación: FDM Forense Investigador de dispositivos móviles.
www.n3xasec.com
info@n3xasec.com
2. ¿Que es la informática forense?
Es una ciencia perteneciente a la seguridad informática, la cual se encarga de
recuperar, recolectar y preservar todo tipo de información ya sea volátil o no volátil.
3. Conservación de la evidencia y su
línea del tiempo
Cuando se realiza un análisis forense de deben tomar en cuanta
los siguientes aspectos
•¿Cuál es la escena del crimen ?
•¿En que condiciones se encuentra ?
•¿Cuál es nuestro objeto de análisis?
LINEA DEL TIEMPO
4. Versiones de Android en el mercado
Celulares Tabletas
•Android 2.2 •Android 3
•Android 2.3 •Android 3.2
•Android 4
•GPS
•Dispositivos de pulso
•Automóviles
•Cámaras fotográficas
•Televisiones
Etc.
6. Tipos de memoria y gestores de
arranque
Memoria RAM: Es la que se encargara de almacenar información volátil como la
cache de inicio de sesión de algún mensajero.
Memoria NAND : Es aquella que trabaja bajo el sistema de archivos yaffs2, y
almacena información valiosa como contraseñas, mensajes sms, información del
GPS etc, se relaciona directamente con información de la actividad del hardware
como la antena 3G, Bluetooth, GPS, conexión a datos.
Memoria SD: es la que almacenara información relacionada con el usuario tales
como, fotografías, videos, historial de conversaciones, backup de configuración
etc.
SIM: Es la que se encarga de almacenar información útil para realizar la conexión
con el proveedor de servicios, también puede almacenar información como
mensajes sms y el directorio telefónico.
7. Preparando nuestro laboratorio
Debemos entender que para analizar el sistema de archivos YAFFS2 debemos
instalar el interprete, pero ¿ como lo logramos ?
1.-Escoger nuestra distribución preferida de Linux, preferentemente una que
este encaminada a la auditoría forense o el pentest, como lo es CAINE o
Backtrack
2.-Recompilar el kernel para agregar el soporte para dicho sistema de archivos.
3.- Instalar un ambiente de desarrollo para Android, como lo es el SDK y Un
Ide como Netbeans.
10. Rooteando la versión de Android
La obtención del acceso root en la terminal es primordial ya que
nos ayudara a la ejecución de comandos arbitrariamente
Terminal
emulator
12. Técnicas para evadir la protección
de pantalla
Smudge Attack
El cuerpo humano en el transcurso del día secreta cierto tipo
de aceites en los dedos, los cuales bajo la luz ultravioleta
estos aceites resaltan
14. Screen lock bypass App
Esta herramienta nos permite realizar un ataque de fuerza bruta para
desbloquear la contraseña numerica del dispositivo.
•Es muy invasiva
•Corremos el riesgo de tronar la memoria RAM
•El dispositivo debe estar rooteado
16. Identificando los puntos de montaje del sistema
/dev/block/mtdblock1 /system, /dev/block/mtdblock9
/data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold
/179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del teléfono montada en /mnt/sdcard.
18. Creando la imagen forense
Una de las reglas de la seguridad informática es la integridad de los datos,
por ende al momento de generar una imagen forense se debe asegurar que
sea una imagen bit a bit del dispositivo, esto con el fin de al momento de
realizar la auditoria sea sea lo menos invasivo posible.
Con el comando “dd” sera posible
obtenerla imagen.
Hash MD5
ImgAir
20. Ahora analizaremos las carpetas contenidas en la imagen data.
Realizaremos un ejemplo de una simple búsqueda de strings, en este caso
será el numero 228 el cual es la clave lada de la localidad ,con el siguiente
comando:
strings -a ./mtd9.dd| grep 228 > numeros.txt
La extracción automatiza de archivos nos ayudara en la búsqueda de
correlaciones a archivos de alguna extensión requerida, con esto
podremos seguir con la obtención de metadatos funcionales para nuestra
investigación.
23. Obteniendo datos acerca de cuenta
blogger del celular a auditar
La información de validación de las cuentas de los usuarios así como
su protección esta a cargo del software de las empresas que brindan
dichos servicios, cuando se realiza una auditoría forense el auditor
puede se capaz de obtener información aparentemente
confidencial o privada.
Al analizar el archivo picasa.db de com.cooliris.media, nos
encontramos que hace uso de una llave de autentificación para
acceder a información de imágenes subidas a la cuenta de blogger
vinculada con la cuenta de correo nosferatu.security@gmail.com
24. Nos muestra la vinculación entre la
cuenta de correo y el servidor
picasa o blogger.
25. Apreciamos con un editor hexadecimal la llave de
autentificación vinculada con el blog
“Seguridad e Inseguridad informática”
Empezando a rastrar esta conexión que se realiza a través del
protocolo http se obtuvo que dicha llave de autentificación es usada
para acezar a imágenes subidas por el usuario, con esta llave de
autentificación podemos a acceder a descargar información del
servidor de blogger para saber cuándo y a qué hora fue subida una
foto.
26. Apreciamos con un editor hexadecimal la llave de
autentificación vinculada con el blog
“Seguridad e Inseguridad informática”
Empezando a rastrar esta conexión que se realiza a través del
protocolo http se obtuvo que dicha llave de autentificación es usada
para acezar a imágenes subidas por el usuario, con esta llave de
autentificación podemos a acceder a descargar información del
servidor de blogger para saber cuándo y a qué hora fue subida una
foto.
27. Muestra un archivo .xml que se descargo del
servidor, obteniendo fecha y hora de publicación
,esto nos puede ayudar a una línea del tiempo.
28. Analizando software Wasthapp
Este crea una serie de backups donde de tanta información almacenada conserva
datos como: El momento en el que fue extraída la memoria sd, niveles de batería
críticos, etc. Esto se vuelve útil al momento de realizar una línea del tiempo, claro
en caso de ser pertinente y servible la información.
29. Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .db
wa.db y msgstore. Estos contienen una variedad de información, wa.db
contiene la lista de contactos guardados en la agenda e indica si está
guardado en el teléfono o en la tarjeta sim
mostrando un número telefónico el nombre del contacto y el lugar de
almacenamiento, en este caso esta en tarjeta sim
30. Rompiendo la encriptación AES-192-ECB
whastapp también guarda un backup de este archivo
pero aquí si lo en cripta con un hash AES-192-ECB esta encriptación es
fácil de romper obteniendo la key que en este programa utiliza una
estándar, lamentablemente y afortunadamente no utiliza alguna variante
única en el dispositivo para generar el cifrado como lo puede ser la dirección
mac de la tarjeta de red o el número de serie del teléfono.
openssl enc -d -aes-192-ecb -in “Archivo.db.crypt” -out “Salida.db” -k
346a23652a46392b4d73257c67317e352e3372482177652c
31. Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bits
encriptados.
Archivo SQLITE desencriptado
35. Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en su
defecto permanece casi intacto esto nos sugiere la idea de que existen sectores
de memoria que aun no han sido sobrescritos.
36. Analizando el uso de las Radiofrecuencias.
Bluetooth
Wireless
GSM
GPS
42. Análisis Forense a sistemas
Android
Pentester: Rafael Gómez Del Ángel
Director de N3XAsec
Docente de la certificación: FDM Forense Investigador de dispositivos móviles.
Gracias !!
Informes de la
certificación
info@n3xasec.com www.n3xasec.com