View
2.208
Download
5
Category
Preview:
DESCRIPTION
Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.
Citation preview
Android + SIM
Juan Garrido & Juan Luis García Rambla Consultores de Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com
Agenda Introducción.
Analizando la SIM.
Android. Estructura física y lógica
Adquisición de imágenes.
Forense de dispositivos móviles.
INTRODUCCIÓN
El auge de los sistemas de movilidad y uso intensivo de los mismos propician el uso fraudulento o criminal con los mismos.
Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.
El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:
Buenas prácticas.Preservación de la información.Analisis basados en métodos.Herramientas forenses.
Introducción
Arquitectura diferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.
Software de análisis forense y hardware específico.
La mayoría de software forense es de pago.
Diferencias con el forense digital tradicional
SIM.
Memoria interna.
Memorias internas secundarias.
Unidades Flash.
Discos SD.
¿Qué analizar?
Es posible aunar ambas tecnologías.
La generación de imágenes de memoria interna se puede realizar con herramientas específicas para móviles.
Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
Forense tradicional + Forense de móviles
ANALIZANDO LA SIM
Generado por las especificaciones de European Posts and Telecommnications (CEPT) han sido continuadas por European Telecommunications Standas Institute (ETSI) para GSM.
Es una SMART Card que contiene entre 16 y 64 Kb de memoria un procesador y sistema operativo.
Identifica al subscritor, el número de teléfono y contiene el algoritmo para autenticar al subscriptor en la red.
Dependiendo de la tecnología puede encontrarse toda la información en el terminal o en la memoria SIM.
La SIM GSM
El acceso se realiza mediante una clave denominada PIN.
Cuando la SIM recibe energía, lo primero que solicita es el PIN que desbloqueará el acceso lógico al contenido de la tarjeta.
Sin el PIN el acceso lógico a la tarjeta no es factible. Es posible aunque no de forma predeterminada que la tarjeta no presente PIN.
El bloqueo de la tarjeta se realizará tras un número de intentos fallidos de acceso.
El desbloqueo solo será factible mediante la introducción del código PUK facilitado por el proveedor de servicios.
Acceso a la SIM
Componente Hardware :Grabadora de PIC tipo LUDIPIPO.Grabadora EEPROM. Las más habituales Phoenix.Tarjeta con microprocesador donde grabar. Se utilizan comunmente tarjetas COOLWAFER.
Componente Software:Sim Scan: Permite obtener los códigos IMSI y KI.ICPRO: Graba el PIC.Winexplorer: Graba la EEPROM.
Clonado de una SIM
Permite clonar una SIM aun no teniendo el PIN y generando una nueva SIM con toda la información disponible.
Es requerido para el clonado :
ICCID = Integrated Circuit Card IdentityIMSI = International Mobile Subscriber Identity
Hardware clonado XACT
No es factible mediante Software.
Se puede realizar mediante la aplicación de corriente, según diseño.
El riesgo de dejar inservible la tarjeta es elevado.
Mejor tener clonada la tarjeta.
Borrando el PIN
Mantiene información crítica para la resolución de casos:Números de teléfonos.Ultimas llamadas efectuadas.SMS recibidos.
Existen herramientas forenses especificadas para ello:Paraben SIM Size.SIM-Card.OXY-Forensics.SIMSpy.
Requiere de un componente Hardware: lector de tarjetas SIM.
Análisis de la SIM
SLOTS de almacenamiento finitosDependiente de la tarjeta (Ej: 20-25 SMS)Campos específicos
Estado del SLOTIdentificador de datos
SIM Data Carving
Cuando se elimina un SMS o un contactoEl estado del SLOT cambia a un estado libreEn teléfonos antiguos sólo se modifica el estado del SLOT (No los datos)Los teléfonos de hoy día pueden modificar toda la información del SLOT
SIM Data Carving
DEMO
Análisis de SIM
Android. Estructura lógica y física
OS Android
Basado en Linux OS portado a varios procesadores Estructura de datos basado en SQLite YAFFS /EXT2 como sistema de ficheros
Adquisición de imágenes
Adquisición de imágenes
MTD (Memory Technology Device) Provee soporte para Flash en Linux Provee funciones de lectura y escritura
en la flash Cada partición basada en MTD se
puede exportar de forma unitaria
Adquisición de imágenes
Formas de extracción A través de DD
dd if=/dev/mtd/mtd<number>ro of=/sdcard/mtd<number>ro.dd bs=4096
A través de CAT Cat /dev/mtd/mtd<number>ro >
/sdcard/mtd<number>ro.dd Herramientas comerciales
Device Seizure
Forense de dispositivos móviles
Live Forensics
A través de adb Proporciona shell interactiva con el
dispositivo Muchos comandos específicos
Copiar ficheros Procesos Disposivitos Etc…
Por donde empezar
Directorio DATA Estructura con mucha información de
sistema y usuario Ficheros abiertos por el sistema Datos de aplicaciones Conexiones
Post Recogida Data carving
TechNews de Informática 64
Suscripción gratuita en http://www.informatica64.com/boletines.html
http://legalidadinformatica.blogspot.com
http://elladodelmal.blogspot.com
Gracias!;-)
Recommended