VALDEMIR VIEIRA JUNIOR 
FORENSE DIGITAL EM DISPOSITIVOS 
MÓVEIS COM SISTEMA OPERACIONAL 
ANDROID 
ORIENTADORA: Professora ...
Roteiro 
• Objetivos 
• Justificativa 
• Metodologia 
• A Plataforma Android 
• Segurança no Android 
• Forense Digital 
•...
Objetivos 
• Apresentar métodos de Forense Digital 
aplicados a dispositivos móveis com o sistema 
operacional Android
Justificativa 
• O aumento substancial no número de 
dispositivos móveis com o sistema operacional 
Android 
• As informaç...
Metodologia 
• Pesquisa Bibliográfica 
• Método de Estudo de Caso
A Plataforma Android 
• Em Agosto de 2005 a Google adquiriu a Android Inc 
• Em 2007 é anunciada a Open Handset Alliance 
...
Arquitetura
Sistema de Arquivos 
• FAT32 (SDCard, eMMC) 
• YAFFS2 (memória interna) 
• Partições do Sistema (usuário, sistema, aplicat...
Logs – Uma rica fonte de evidências 
• Logs do Kernel Linux (dmesg) 
• ADB Tools (Android Debug Bridge) 
• Logcat (logs de...
Exemplo de Saída do logcat 
ahoog@ubuntu:~$ adb shell logcat 
I/HtcLocationService( 308): agent - search location by name:...
Segurança no Android
Sistema de Permissões 
• Diretório /data/data 
• Por aplicação 
• Usuário Linux 
• Grupo Linux 
• Processo separado 
• Nov...
Proteção dos Dados 
Dois modos principais: Criptografia dos Dados e Bloqueio de Tela
Malwares 
• Primeiro malware identificado em 2010 
• Similares e ao mesmo tempo muito diferentes 
dos que atacam o Windows...
Forense Digital
Tipos de Investigação 
• Investigações Corporativas 
• Propriedade intelectual e roubo de dados 
• Uso inadequado dos recu...
Preservando o Estado do Dispositivo 
• Não modificar o estado do aparelho 
Isolar da Rede 
• Modo Avião 
• Remover Cartão ...
Conhecendo o Dispositivo – O 
comando lsusb 
luffy@ubuntu:~$ sudo lsusb -v 
Bus 002 Device 004: ID 1004:61a6 LG Electronic...
Como Passar pelo Bloqueio de Tela 
Smudge Attack 
• Estudo realizado 
pela Universidade 
da Pensilvânia 
• Consiste em 
fo...
Como Passar pelo Bloqueio de Tela 
• Login da Conta Google 
• Após um certo número de 
tentativas mal sucedidas o 
Android...
Extração de Dados – O Comando ADB Pull 
luffy@ubuntu:~$ adb pull data/data/ 
// varios outros arquivos 
pull: data/backup/...
Estudo de Caso
Obter relatos do 
usuário sobre 
comportamento 
suspeito 
Telefone ligado? 
É possível extrair 
dados do 
cartão? 
não 
si...
O Malware Zitmo 
• Versão Android do malware Zeus 
• Trabalha em conjunto com o Zeus Banking 
• O objetivo é obter o códig...
Identificação 
• Informações relevantes: 
• Relatos do usuário 
• Quais os últimos aplicativos instalados 
• Visualizar os...
Engenharia Reversa 
• Extrair apk (/data) 
• Instalar o app numa AVD e monitorar as 
atividades de rede (Wireshark)
Engenharia Reversa 
• APKTOOLS 
(desempacotar APK) 
• Dex2jar 
(converter 
“classes.dex” em 
“.jar” 
• JD-GUI (visualizar ...
Considerações Finais
• A literatura sobre a forense digital no Android 
ainda é bastante restrita e não se compara ao 
que se refere aos PCs 
•...
REFERÊNCIAS 
• Morum de L Simão, André; Sícoli, Fábio Caús; Peotta de Melo, Laerte; Deus, Flávio Elias de; 
Sousa Júnior, ...
Muito Obrigado!
Próximos SlideShares
Carregando em…5
×

[Apresentação] FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

612 visualizações

Publicada em

Apresetação do trabalho de graduação interdisciplinar na Universidade Presbiteriana Mackenzie.
Tema: FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

Publicada em: Celular
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
612
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
28
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

[Apresentação] FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

  1. 1. VALDEMIR VIEIRA JUNIOR FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID ORIENTADORA: Professora Drª Maria Ines Lopes Brosso Pioltine
  2. 2. Roteiro • Objetivos • Justificativa • Metodologia • A Plataforma Android • Segurança no Android • Forense Digital • Estudo de Caso • Considerações Finais • Referências
  3. 3. Objetivos • Apresentar métodos de Forense Digital aplicados a dispositivos móveis com o sistema operacional Android
  4. 4. Justificativa • O aumento substancial no número de dispositivos móveis com o sistema operacional Android • As informações pessoais salvas nestes dispositivos • Diferença em relação as técnicas de forense digital aplicadas à Desktops • Tema pouco presente nas literaturas sobre o sistema operacional Android
  5. 5. Metodologia • Pesquisa Bibliográfica • Método de Estudo de Caso
  6. 6. A Plataforma Android • Em Agosto de 2005 a Google adquiriu a Android Inc • Em 2007 é anunciada a Open Handset Alliance (inserindo o Android no mundo opensource) • Em 2008 é lançada a primeira versão do SDK e o primeiro smartphone com o sistema, o G1 da HTC • A partir de 2009, com as versões 1.5, 1.6 e 2.x viu-se uma proliferação de dispositivos que rodam o sistema
  7. 7. Arquitetura
  8. 8. Sistema de Arquivos • FAT32 (SDCard, eMMC) • YAFFS2 (memória interna) • Partições do Sistema (usuário, sistema, aplicativos) • Formas de persistência – Preferências compartilhadas – Armazenamento interno – SQLite – Rede
  9. 9. Logs – Uma rica fonte de evidências • Logs do Kernel Linux (dmesg) • ADB Tools (Android Debug Bridge) • Logcat (logs de atividade do Android) • Dumpsys (serviços em execução) • Dumpstate (Combina a saída dos outros comando com informações do sistema) • Logs de atividades dos apps
  10. 10. Exemplo de Saída do logcat ahoog@ubuntu:~$ adb shell logcat I/HtcLocationService( 308): agent - search location by name: oak park, country: united states, state: illinois I/HtcLocationService( 308): agent - no location was found, total: 0 D/AutoSetting( 308): service - CALLBACK - onGetTimeZoneOffset, result: failed, zoneId: , offset: 0 D/LocationManager( 308): removeUpdates: listener = com.htc.htclocationservice.HtcLocationServiceAgent$7@45dfc770 V/AlarmManager( 97): Adding Alarm{463aea28 type 2 com.google.android.location} Jan 05 05:05:25 pm I/HtcLocationService( 308): agent - send current location notify intent, name: Oak Park, state: Illinois, country: United States, lat: 41.8786, lng: -87.6359,tzid:
  11. 11. Segurança no Android
  12. 12. Sistema de Permissões • Diretório /data/data • Por aplicação • Usuário Linux • Grupo Linux • Processo separado • Nova instância da Dalvik VM
  13. 13. Proteção dos Dados Dois modos principais: Criptografia dos Dados e Bloqueio de Tela
  14. 14. Malwares • Primeiro malware identificado em 2010 • Similares e ao mesmo tempo muito diferentes dos que atacam o Windows • Usuário tem mais informações pessoais salvas no smartphone do que no PC • Procuram enganar o usuário para obter permissões de acesso a serviços do sistema e as informações de outros aplicativos
  15. 15. Forense Digital
  16. 16. Tipos de Investigação • Investigações Corporativas • Propriedade intelectual e roubo de dados • Uso inadequado dos recursos da empresa • Ataques bem sucedido ou tentativa contra os sistemas da empresa • Investigação sobre um empregado, incluindo a discriminação, assédio sexual, etc • Auditoria de segurança
  17. 17. Preservando o Estado do Dispositivo • Não modificar o estado do aparelho Isolar da Rede • Modo Avião • Remover Cartão SIM • Suspender Conta Diretamente na Operadora (mandado judicial) • Gaiola de Faraday • Desligar o Dispositivo Sem Bloqueio de Tela • Aumentar o tempo de espera • Habilitar a depuração por USB • Habilitar a opção “Permanecer acordado”
  18. 18. Conhecendo o Dispositivo – O comando lsusb luffy@ubuntu:~$ sudo lsusb -v Bus 002 Device 004: ID 1004:61a6 LG Electronics, Inc. Device Descriptor: bLength 18 bDescriptorType 1 bcdUSB 2.00 bDeviceClass 239 Miscellaneous Device bDeviceSubClass 2 ? bDeviceProtocol 1 Interface Association bMaxPacketSize0 64 idVendor 0x1004 LG Electronics, Inc. idProduct 0x61a6 bcdDevice 2.16 iManufacturer 2 LGE iProduct 3 LG Android iSerial 4 7DF600229FFC0000016395910A01600F bNumConfigurations 1
  19. 19. Como Passar pelo Bloqueio de Tela Smudge Attack • Estudo realizado pela Universidade da Pensilvânia • Consiste em fotografar a tela do dispositivo touch screen de diversos ângulos verticais
  20. 20. Como Passar pelo Bloqueio de Tela • Login da Conta Google • Após um certo número de tentativas mal sucedidas o Android oferece a opção de desbloqueio por meio da conta Google do usuário • Desabilitar por meio do Google Play • Se o login e senha forem conhecidos é possível utilizar o Google Play para instalar um App e desbloquear a tela • A técnica consiste em instalar dois Apps: o primeiro fará o desbloqueio da tela, o segundo serve de gatilho para iniciar a execução do primeiro
  21. 21. Extração de Dados – O Comando ADB Pull luffy@ubuntu:~$ adb pull data/data/ // varios outros arquivos pull: data/backup/processed -> data/backup/processed pull: data/backup/ancestral -> data/backup/ancestral pull: data/LostFound/Vesta -> data/LostFound/Vesta pull: data/LostFound/Interamnia -> data/LostFound/Interamnia pull: data/LostFound/Hygiea -> data/LostFound/Hygiea pull: data/LostFound/Europa -> data/LostFound/Europa pull: data/LostFound/Davida -> data/LostFound/Davida pull: data/LostFound/Ceres -> data/LostFound/Ceres 1463 files pulled. 0 files skipped. 2050 KB/s (521045345 bytes in 248.121s)
  22. 22. Estudo de Caso
  23. 23. Obter relatos do usuário sobre comportamento suspeito Telefone ligado? É possível extrair dados do cartão? não sim Isolar rede Metodologia Extrair dados do cartão de memória e substituir o cartão sim não É possível isolar fisicamente a Ligar telefone não sim Ligar telefone rede? Telefone bloqueado? sim Obter senha com o usuário Extrair dados do cartão de memória e avaliar sua substituição Shell via ADB com super usuário? não Ativar o modo de depuração Espelhar partições do sistema sim Extrair informações do sistema acessíveis (dmesg, dumpsys, logcat) Listar aplicativos instalados Verificar apps com acesso a rede (3g, wi-fi) Simular o envio de informações por SMS e outras conexões Informações pessoais interceptadas? Listar o app e analisar o IP de destino Aplicativo suspeito identificado? sim Coverter o classes.dex em jar com a ferramenta dex2jar Descompilar o jar e suas classes com JD-GUI sim Analisar o código fonte e arquivos XML do APP Malware encontrado? sim Concluir não Desempacotar com o APKTools não Extrair o arquivo APK e instalar numa AVD (sandbox) não não
  24. 24. O Malware Zitmo • Versão Android do malware Zeus • Trabalha em conjunto com o Zeus Banking • O objetivo é obter o código de transação bancária da etapa de verificação • A infecção ocorre por um ataque de phishing onde após a instalação do aplicativo para PC o usuário é direcionado para o download do app para Android
  25. 25. Identificação • Informações relevantes: • Relatos do usuário • Quais os últimos aplicativos instalados • Visualizar os processos em execução (ADB Tools) • Ver quais deles possuem acesso a serviços de rede
  26. 26. Engenharia Reversa • Extrair apk (/data) • Instalar o app numa AVD e monitorar as atividades de rede (Wireshark)
  27. 27. Engenharia Reversa • APKTOOLS (desempacotar APK) • Dex2jar (converter “classes.dex” em “.jar” • JD-GUI (visualizar o código)
  28. 28. Considerações Finais
  29. 29. • A literatura sobre a forense digital no Android ainda é bastante restrita e não se compara ao que se refere aos PCs • Mesmo com o conhecimento, a forense para o Android ainda carece de ferramentas de análise • Apesar disso, com um base sobre o funcionamento do sistema e conhecimento de sua arquitetura é possível realizar um trabalho de qualidade e obter as informações necessárias
  30. 30. REFERÊNCIAS • Morum de L Simão, André; Sícoli, Fábio Caús; Peotta de Melo, Laerte; Deus, Flávio Elias de; Sousa Júnior, Rafael Timóteo. Aquisição de Evidências Digitais em Smatphones Android. Universidade de Brasília, Brasília, pp 92-99, Outubro de 2011. • Google Inc. Android Fundamentals. Android Developers, 2013. Disponível em: <http://developer.android.com/guide/topics/connectivity/index.html>. Acesso em: 26 março 2013. • Hoog, Andrew. Android Forensics. First Edition. Waltham, MA. Elsevier Inc, 2011. • A Castilho, Carlos. Android Malware Past, Present, and Future. Mobile Security Working Group McAfee. Disponível em: < http://www.mcafee.com/us/resources/white-papers/wp-android- malware-past-present-future.pdf >. Acesso em: 26 de Outubro de 2013. • ACPO Good Pratice for Computer-Based Eletronic Evidence. 7Safe Information Security. Acesso em 15 de Outubro de 2010. Disponível em: < http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf>. • Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, and Jonathan M. Smith. Smudge Attacks on Smartphone Touch Screens. 21 de Fevereiro de 2011. Disponível em: < https://www.usenix.org/legacy/event/woot10/tech/full_papers/Aviv.pdf>. • Six, Jeff. Application Security for the Android Platform. First Edition. Sebastopol, CA. O’Reilly Media, Inc. 2011.
  31. 31. Muito Obrigado!

×