Análisis forense de dispositivos android 03

  • Published on
    28-May-2015

  • View
    2.960

  • Download
    5

Transcript

  • 1. Anlisis Forense deDispositivos Mviles

2. Tema 1:Introduccin 3. Introduccin Introduccin a la telefona mvil El crecimiento exponencial de las tecnologas mviles y su uso intensivoha propiciado el uso fraudulento o criminal de los mismos. Las empresas empiezan a tener en consideracin el control de dispositivospor riesgos de usos maliciosos o fuga de informacin. El forense de dispositivos mviles sigue las mismas directrices y mtodosque los forenses convencionales: Buenas prcticas. Preservacin de la informacin. Anlisis basados en mtodos. Herramientas forenses. 4. Anlisis ForenseDelitos informticoso Variable segn el pas.o Mltiples ejemplos, como la estafa, extorsin,ataque a la propiedad intelectual, la pornografainfantil, apoyo al terrorismo (ciberterrorismo)o Localizar el dispositivo culpable no involucranecesariamente a su usuario habitual.o La presuncin de inocencia debe regir comonorma fundamental.o Si los delitos son graves, pueden darse otro tipode actuaciones complementarias. 5. Anlisis Forense Principio de Locardo Edmon Locard fue un criminalista francs de principios del siglo XX.o Desarroll ciertas metodologas que, aplicadas a las pruebas, convertana stas en evidencias irrefutables ante un juez.o Fue famoso tambin por sus frases y principios: escribir la historia de la identificacin es escribir la historia de la criminologa los restos microscpicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentroso El ms famoso es el llamado Principio de Locard: Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.o Esto tambin es valido en el mundo del anlisis forense digital, (una fotoguarda metadatos, una IP queda guardada en servidores, 6. Anlisis Forense Qu es el anlisis forense?o El proceso de estudio exhaustivo de un sistemadel que se desea conocer su historia.o El objetivo del anlisis forense ser obtenerevidencias que puedan certificar lo ocurrido.o La informacin obtenida puede ser de sumautilidad en todo tipo de investigaciones. Ejemplode ello fue la captura de Nanysex. 7. Anlisis ForenseQu es el anlisis forense?o Aspectos tiles de una investigacin: El mtodo utilizado por el atacante para introducirse en elsistema. Las actividades ilcitas realizadas por el intruso en elsistema. El alcance y las implicaciones de dichas actividades. Las puertas traseras(backdoors) instaladas por el intruso. Otras actividades realizadas por el sistema.o Algunas cuestiones fundamentales de un anlisis forense son:En qu momento exacto se ha producido el dao?Quin ha sido el sujeto que ha realizado la accin?Qu metodologa o tcnica se ha utilizado para ello?Qu daos y modificaciones ha producido en el sistema? 8. Anlisis Forense Respuesta a incidenteso Segn estadsticas, un gran porcentaje de los ataques quese producen en un sistema informtico provienen delinterior de los organismos y empresas.o El otro importante foco de riesgos de seguridad son losataques externos, en todas sus variantes.o El anlisis forense digital de la incidencia puede aportar ungran valor al conocimiento de las fortalezas y debilidadesde los sistemas propios.o La proteccin del entorno corporativo depende de asegurarsistemas y redes, aunque para ello intervengan muchosfactores 9. Anlisis ForenseIncidentes ms comuneso Accesos no autorizados. Tiene el peligro deque puede acceder a informacinprivilegiada.o Cdigo malicioso. Ataques realizadosmediante virus, troyanos, gusanos, rootkits ydems tipos de malware. Adems deSQLInjection o XSSo Interrupcin del servicio. Esta categorade incidentes se produce cuando el ob-jetivoes saturar o interrumpir un serviciodeterminado.o Utilizacin no autorizada de servicios.Incorrecta aplicacin de permisos sobre unusuario, usurpacin de cuentas o la elevacinde privilegios. 10. Anlisis ForenseEvidencia digitalo Es cualquier informacin contrastable encontrada en un sistema.o Una tarea fundamental es la captura de evidencias.o Casi cualquier elemento digital se puede considerar una evidencia.Ejemplos son: Fecha del ltimo acceso a un fichero o aplicacin. Un registro de acceso en un fichero. Una cookie de navegacin web almacenada. Un fichero en disco. Un proceso en ejecucin. Archivos temporales. Restos de la instalacin de un software. Un dispositivo de almacenamiento.o Deben ser recogidas todas las evidencias posibles y deben ser tratadas deforma responsable no perturbando el contenido que almacenan. 11. Anlisis Forense RFC 3227. Recoleccin y manejo de evidenciaso A la hora de recoger las evidencias digitales hay que seguir ciertosprocedimientos para que este proceso sea eficiente y til.o Los artculos RFC o Request for Comments son documentos pblicossometidos al debate de la comunidad, para estandarizar procesos.o El correspondiente al anlisis forense es el RFC 3227, que trata entre otros lossiguientes aspectos: Principios para la recoleccin de Metodologas de almacenamiento de evidenciasevidencias. Orden de volatilidad. Comprometer al personal para la Acciones que deben ser evitadas.aplicacin de la ley y la adecuada operativa frente a los incidentes Consideraciones relativas a la privacidad de los datos. Capturar una imagen tan exacta del sistema como sea posible. Consideraciones legales. Almacenar toda la informacin posible Procedimientos de recoleccin.del proceso de investigacin en curso. Tcnicas y herramientas transparentes Recolectar las evidencias en funcin de Cadena de custodia de la informacin. la volatilidad de las mismas 12. Anlisis ForenseBuenas prcticas para la recogida y el anlisisde datoso El conocimiento de la arquitectura de lo que se estinvestigando es la primera base del anlisis forense.o Qu evidencia se necesita capturar?o Puntos clave de la recogida de evidencias: Estudio preliminar de la situacin Qu hacer con los equipos afectados Utilizacin de herramientas para el anlisis Tipo de copia del sistema 13. Forense de Dispositivos Mviles Proceso forense: Guas de buenas prcticaso Gua de la IOCE: Guidelines for the Best Practices in theForensics Examination of Digital Technology.http://www.enfsi.eu/uploads/files/ENFSI_Forensic_IT_Best_Practice_GUIDE_5%5B1%5D.0.pdfo Gua DoJ1:Electronic Crime Scene Investigation: A Guide forFirst Responders : http://nij.gov/nij/pubs-sum/219941.htmo Gua DoJ2: Forensic Examination of Digital Evidence: A Guidefor Law Enforcement: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf 14. Forense de Dispositivos Mviles Proceso forense: Guas de buenas prcticas Gua de la ISFS (Honk-Kong): Computer Forensics Part2: BestPractices.http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf Gua de SWGDE: Special Consideration when Dealing with CellularPhone v1.0.http://www.swgde.org/documents/current-documents/2007-04-05%20SWGDE%20Special%20Consideration%20When%20Dealing%20With%20Cellular%20Phone%20v1.0.pdf 15. Forense de Dispositivos Mviles Introduccin al Anlisis Forense deDispositivos MvilesEn un anlisis forense de dispositivos mviles:o Nueva vuelta de tuerca con los SmartPhones: Entran de lleno en el OS cliente. Generalmente en porttiles (Corporative mode). Conexiones desde el mvil (AP Mode).o Muy chulo. Pero.. (Siempre hay un pero..) No tenemos el mvil. Tenemos el mvil pero no est rooteado. Tenemos el mvil (Restaurado a valores de fbrica). ?? 16. Forense de Dispositivos Mviles Diferencias: Forense tradicional-Forense de mvileso Arquitectura diferente.o Diversidad en los modelos y tecnologas de losdispositivos.o Diseo de aplicaciones especificados para tecnologa eincluso determinados tipos de terminales.o Software de anlisis forense y hardware especfico.o La mayora de software forense es de pago. 17. Forense de Dispositivos Mviles Forense tradicional + Forense de mviles Es posible aunar ambas tecnologas. La generacin de imgenes de memoria interna sepuede realizar con herramientas especficas para mviles. Herramientas como EnCase o FTK permiten analizar aposteriori la informacin recogida en las imgenescapturadas. 18. Forense de Dispositivos Mviles Como iniciar un proceso forense? Directrices y mtodos: Buenas prcticas. Preservacin de la informacin. Anlisis basados en mtodos. Herramientas forenses. Pasos o fases a seguir en un anlisis forense: Verificacin del incidente. Evaluacin del caso. Recogida de las evidencias. Anlisis de las evidencias. Elaboracin de informes y conclusiones. Almacenamiento de informes y evidencia. 19. Forense de Dispositivos Mviles Proceso forense: Preguntas previas El caso se va a denunciar o judicializar? Cul es el objetivo final de la toma de datos? Dnde se encuentran la evidencias? Cmo se extrae la informacin? Cmo salvaguardamos la informacin? Quin mantiene las evidencias? 20. Forense de Dispositivos MvilesProceso Forense: Analistao Quin es el analista?o Conocimientos?o Quin mantiene evidencias? 21. Forense de Dispositivos Mviles Proceso forense: Almacenamiento de evidenciaso Deben realizarse varias copias de la informacin.o Deben almacenarse en un lugar seguro y a salvo deaccesos no autorizados.o Deben garantizarse los sistemas necesariospara lapreservacin de las mismas.o Debe establecerse una cadena de custodia. 22. Forense de Dispositivos MvilesProceso forense: Evidencias y cadena de custodia Quin, cundo, dnde y cmo sehan tomado las evidencias. Quin, cundo y cmo se hananalizado las evidencias. Quin y durante cunto tiempose ha custodiado la evidencia. Cundo y entre quin hancambiado la custodia de lasevidencias. 23. Forense de Dispositivos Mviles 24. Forense de Dispositivos MvilesProceso forense: Como deben recogerse las evidenciasoLas evidencias digitales deben ser tomadas de formabinaria.oDebe garantizarse que no puedanmanipularse laspruebas mediante la firma HASH.o Se recomienda por seguridad la firma SHA-1 frente aMD5. 25. Consideraciones legales Legislacino Diferentes modelos: Unin Europea. Estados Unidos de Amrica.o Quin investiga?o Proteccin de datos.o Uso judicial de la investigacin. 26. Consideraciones legalesSistemas LegalesSe presentan dos sistemas legales:o Derecho Comn (Common Law): UK, Irlanda, Chipre, Malta. Ms basado en la jurisprudencia.o Derecho Civil: Resto de pases de la UE. Ms basado en la ley. 27. Consideraciones legalesLegislacin en Espaao No existe una ley especfica sobre el Ciberterrorismo o laCiencia Forense.o Se recogen a travs de diferentes apartados de leyesaspectos legales de los delitos informticos y las tcnicasforense.o En el caso de Espaa cada juicio es diferente.o La legislacin espaola est basada en la interpretacin. 28. Consideraciones legales Legislacin en EspaaLas bases de la legislacin son: Cdigo Penal. Ley de Enjuiciamiento Civil. Objeto y finalidad del dictamen deperitos. Ley de Servicios para la Sociedad de la Informacin y de comercioelectrnico. Ley Orgnica de Proteccin de Datos (LOPD). Reglamento de medidas de seguridad de los ficheros automatizadosque contengan datos de carcter personal. Ley General de Telecomunicaciones. Ley de Propiedad Intelectual. Ley de Firma Electrnica. 29. Consideraciones legalesLegislacin en Espaa: Diferentes casos Casos judicializados. Perito informtico. Personal de cuerpo deseguridad del estado. Agentes judiciales. Casos no judicializados. Personal involucrado. Investigador. 30. Consideraciones legales Legislacin en Espaa: Diferentes parteso Empresa "vctima", con personal interno o externo En la UE no se requiere licencia de "investigador" parapersonal externo (en UK posiblemente en el futuro).o El Estado: Puede investigar o procesar a los atacantes. Puede investigar a la empresa por seguridadinadecuada.o Otras personas, fsicas o jurdicas, afectadas por elincidente de seguridad. En el contexto de Proteccin de Datos. 31. Consideraciones legales Normativas de seguridado Algunas redes u operadores no cumplen las normas deseguridad.o PIN y PUK.o Jailbreak.o Bloqueo y desbloqueo de operador(lock/unlock). 32. Tema 2: Anlisis forense dedispositivos mviles 33. AFDMFases del proceso forense 34. AFDM Proceso forense: Fase de evaluacinoLos procedimientos realizados en esta fase son pocotcnicos, sino ms bien documentales.oTan slo hay que realizar un proceso tcnico en la partede preparacin para la adquisicin de pruebas.oHay que preparar los medios en donde se almacenaranlas copias de los medios originales, para su posterioranlisis.o Hay muchas herramientas para realizar borrado seguro. 35. AFDMProceso forense: Fase de evaluacino Borrado seguro en entornos Windows: Eraser SDelete DiskWipeo Borrado seguro en entornos GNU Linux: SRM shred (shred -vzu nombre_archivo) BleachBito Borrado seguro en entornos Mac OS: SRM 36. AFDMProceso forense: Fase de evaluacin Eraser (Windows) 37. AFDMProceso forense: Fase de evaluacin shred (Linux) 38. AFDMProceso forense: Fase de evaluacin-DiskUtility (Mac OS X) 39. AFDMProceso forense: Fase de adquisicino Construccin de la investigacino Recopilar los datosPreparar el dispositivo para realizar ciertos procedimientos(que no afectan a la evidencia si se documentaadecuadamente): Desactivar el bloqueo automtico. Extraer informacin bsica del dispositivo. Activar el modo avin. Finalmente se realiza una copia (bit a bit) del dispositivo yfirmarla con un hash SHA1 o MD5, que se utilizar en la fasede anlisis.o Almacenar y archivar. 40. AFDMProceso forense: Fase de adquisicino Almacenar y archivar:Documentar adecuadamente la evidencia, con documentode embalaje y cadena de custodia (lnea temporal).Almacenar la evidencia atendiendo a las buenas prcticas ylegislacin.Lugar de almacenado: Debe ser seguro, jaula de Faraday,documento de embalaje, cadena de custodia. El informe y cadena de custodia debe ser completa, correcta,autentica y convincente, para que en caso de proceso legalsea admitida en un juzgado. 41. AFDMProceso forense: Fase de adquisicin Evitar bloqueo automtico 42. AFDMProceso forense: Fase de adquisicin Obtener informacin bsica: 43. AFDMProceso forense: Fase de adquisicin Activar modo avin: 44. AFDM Proceso forense: Fase de adquisicin Jaula de Faraday: 45. AFDMProceso forense: Fase de adquisicin Y por fin llega la fase de extraccin de la informacin, esdecir la copia bit a bit de la informacin, que se realiza conherramientas comerciales como Oxygen Forensics, Lantern 46. AFDM Proceso forense: Fase de anlisisSe debe analizar: Los datos de la red. Los datos de los hosts. Los datos de los medios dealmacenamiento. 47. AFDM Proceso forense: Fase de documentacinPasos para organizar la informacin en un proceso legal:o Recopilar y Organizar: Se retoma toda la documentacin de las fasesanteriores.o Escribir el informe: Se escribe el informe con los siguientesparmetros: Propsito: Todo informe tiene que tener definido de forma clara cuales su propsito, a que publico va dirigido y cual es su objetivo. Autor/Autores: Junto con su responsabilidad y su contacto. Resumen de Incidentes: Explicado de una forma sencilla. Pruebas: Debe incluir una descripcin de las pruebas adquiridas. Detalles: Debe detallarse concienzudamente cada uno de los pasosrealizados. Justificar: Debe justificarse cada conclusin extrada del anlisis Conclusin: Deben ser claras y resumidas. Glosario: Recomendable si el organismo destinatario del informe noest versado en cuestiones tcnicas 48. AFDMProceso forense: Fase de documentacino Tipos de informe El informe ejecutivo. Caractersticas: Claro y conciso sin lenguaje tcnico. Va destinado a personal cuya especialidad no es la informtica en general como gerentes o jueces. El informe tcnico. Caractersticas Debe detallar los procedimientos realizados La informacin debe ser tcnica Cualquier persona que siga los pasos descritos en el informe debe llegar a al mismo resultado que ya se ha obtenido Va destinado al departamento de sistemas u otros investigadores forenses. 49. AFDMForense de dispositivos Android 50. La importancia de ser rootRooting: caracterstica de obtener privilegioselevados sobre un telfono mvil. 51. Usando adbADB (Android Debug Bridge) Interfaz que permite al usuario acceder a una shell del dispositivo, as como otras caractersticas Ejemplo del comando adb:Archivos de inters a usarse en el Anlisis Forense: cahe.img: imagen del disco de particin cach sdcard.img: imagen de la SD card userdata-quemu.img: imagen de particin de datos. cache.img y userdata-quemu.img usan el sistema de archivos YAFFS2. 52. Ejecucin de comandos Se utiliza shell para lanzar instrucciones a laaplicacin Como estamos dentro de un Linux los comandostienen que ser Linux Una vez que se pueden lanzar comandos semuestran los elementos montados con mount Se buscan los puntos de montaje para /system, /datay /cache MTD (Memory Technology Devices) es un subsistemaLinux utilizado en medios flash. Los puntos estn asociados a distintos mtdblockspresentes en /dev/block/. 53. Ejecucin de comandos Con el listado dev/mtd* se muestran las diversasparticiones Cada dispositivo cuenta con un dispositivo ro (readonly) asociado El siguiente paso sera crear una imagen deldispositivo para un posterior anlisis 54. Imagen del dispositivo Respaldo de la memoria. Debe ser fiel. Uso del comando dd Copia bit a bit Particiones importantes: datadata datasystem 55. Informacin importanteDatos UbicacionContactos/data/data/com.android.providers.contacts/Calendario/data/data/com.android.providers.calendar/SMS&MMS /data/data/com.android.providers.telephony/DownloadHistory/data/data/com.android.providers.downloads/BrowserData/data/data/com.android.providers.browser/Gmail /data/data/com.google.android.providers.gmail/LocationCache /data/data/com.google.android.location/ 56. Copia de los datos al equipo del investigadoro Hay varias formas de extraccin o El ms cmodo es usar la funcionalidad pull de ADB o Extrae toda la carpeta de datos al equipo o Los datos pueden guardarse en varias extensiones segn como se vayan a leer luego. Las ms usadas son img y dd o Disponiendo de un SSH o un servidor FTP se pueden recuperar lo ficheros a travs de esos protocolos 57. Extraccin de datos de la imageno Scalpel Hay que definirle ciertos parmetros para su utilizacin.o Foremost Se pasa el archivo a procesar y se genera una carpeta llamada output con los archivos encontrados y un fichero de texto llamado audit.txt que es el resumen del proceso. Tiene varios parmetros opcionales. 58. Extraccin de datos de la imagenExtraccin con foremost 59. Extraccin de datos de la imagen 60. AFDM Forense: Anlisis de datosAl final del anlisis buscamos obtener algo como esto: 61. Tema 3:Herramientas software 62. Herramientas Software Software Comercial 63. Herramientas Software Software Comercial 64. Herramientas Software Software Comercial 65. Herramientas SoftwareSoftware ComercialRequisitos: Tener a mano un UFED (UniversalForensic Extraction Device) por unos 4000$ 66. Fuenteso http://www.ioce.org/core.php?ID=19o http://foremost.sourceforge.net/o http://sourceforge.net/projects/iphile/o http://www.laflecha.net/canales/seguridad/noticias/normas-para-la-seguridad-de-los-dispositivos-movileso http://www.inteco.es/indicators/Seguridad/Observatorio/Indicadores/Indicador_INT135o http://www.xombra.com/go_news.php?nota=5301o http://www.zonabyte.com/index.php/2011/02/10-normas-de-seguridad-para-un-telefono-movil/o http://seguridad-informacion.blogspot.com.es/2008/05/herramientas-de-borrado-seguro.htmlo http://conexioninversa.blogspot.com.es/2009/09/analisis-forenses-dispositivos-android.htmlo http://www.sahw.com/wp/archivos/2010/05/23/analisis-forense-de-telefonos-basados-en-sistemas-android/o http://www.slideshare.net/diablosolis/analisis-forense-en-dispositivos-androido http://www.slideshare.net/eventoscreativos/android-8543809 67. FIN

Recommended

View more >