análisis forense de teléfonos android y tarjeta sim

Android + SIM

Juan Garrido & Juan Luis García Rambla Consultores de Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com

Agenda Introducción.

Analizando la SIM.

Android. Estructura física y lógica

Adquisición de imágenes.

Forense de dispositivos móviles.

INTRODUCCIÓN

El auge de los sistemas de movilidad y uso intensivo de los mismos propician el uso fraudulento o criminal con los mismos.

Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.

El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:

Buenas prácticas.Preservación de la información.Analisis basados en métodos.Herramientas forenses.

Introducción

Arquitectura diferente.

Diversidad en los modelos y tecnologías.

Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.

Software de análisis forense y hardware específico.

La mayoría de software forense es de pago.

Diferencias con el forense digital tradicional

SIM.

Memoria interna.

Memorias internas secundarias.

Unidades Flash.

Discos SD.

¿Qué analizar?

Es posible aunar ambas tecnologías.

La generación de imágenes de memoria interna se puede realizar con herramientas específicas para móviles.

Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.

Forense tradicional + Forense de móviles

ANALIZANDO LA SIM

Generado por las especificaciones de European Posts and Telecommnications (CEPT) han sido continuadas por European Telecommunications Standas Institute (ETSI) para GSM.

Es una SMART Card que contiene entre 16 y 64 Kb de memoria un procesador y sistema operativo.

Identifica al subscritor, el número de teléfono y contiene el algoritmo para autenticar al subscriptor en la red.

Dependiendo de la tecnología puede encontrarse toda la información en el terminal o en la memoria SIM.

La SIM GSM

El acceso se realiza mediante una clave denominada PIN.

Cuando la SIM recibe energía, lo primero que solicita es el PIN que desbloqueará el acceso lógico al contenido de la tarjeta.

Sin el PIN el acceso lógico a la tarjeta no es factible. Es posible aunque no de forma predeterminada que la tarjeta no presente PIN.

El bloqueo de la tarjeta se realizará tras un número de intentos fallidos de acceso.

El desbloqueo solo será factible mediante la introducción del código PUK facilitado por el proveedor de servicios.

Acceso a la SIM

Componente Hardware :Grabadora de PIC tipo LUDIPIPO.Grabadora EEPROM. Las más habituales Phoenix.Tarjeta con microprocesador donde grabar. Se utilizan comunmente tarjetas COOLWAFER.

Componente Software:Sim Scan: Permite obtener los códigos IMSI y KI.ICPRO: Graba el PIC.Winexplorer: Graba la EEPROM.

Clonado de una SIM

Permite clonar una SIM aun no teniendo el PIN y generando una nueva SIM con toda la información disponible.

Es requerido para el clonado :

ICCID = Integrated Circuit Card IdentityIMSI = International Mobile Subscriber Identity

Hardware clonado XACT

No es factible mediante Software.

Se puede realizar mediante la aplicación de corriente, según diseño.

El riesgo de dejar inservible la tarjeta es elevado.

Mejor tener clonada la tarjeta.

Borrando el PIN

Mantiene información crítica para la resolución de casos:Números de teléfonos.Ultimas llamadas efectuadas.SMS recibidos.

Existen herramientas forenses especificadas para ello:Paraben SIM Size.SIM-Card.OXY-Forensics.SIMSpy.

Requiere de un componente Hardware: lector de tarjetas SIM.

Análisis de la SIM

SLOTS de almacenamiento finitosDependiente de la tarjeta (Ej: 20-25 SMS)Campos específicos

Estado del SLOTIdentificador de datos

SIM Data Carving

Cuando se elimina un SMS o un contactoEl estado del SLOT cambia a un estado libreEn teléfonos antiguos sólo se modifica el estado del SLOT (No los datos)Los teléfonos de hoy día pueden modificar toda la información del SLOT

SIM Data Carving

DEMO

Análisis de SIM

Android. Estructura lógica y física

OS Android

Basado en Linux OS portado a varios procesadores Estructura de datos basado en SQLite YAFFS /EXT2 como sistema de ficheros

Adquisición de imágenes

Adquisición de imágenes

MTD (Memory Technology Device) Provee soporte para Flash en Linux Provee funciones de lectura y escritura

en la flash Cada partición basada en MTD se

puede exportar de forma unitaria

Adquisición de imágenes

Formas de extracción A través de DD

dd if=/dev/mtd/mtd<number>ro of=/sdcard/mtd<number>ro.dd bs=4096

A través de CAT Cat /dev/mtd/mtd<number>ro >

/sdcard/mtd<number>ro.dd Herramientas comerciales

Device Seizure

Forense de dispositivos móviles

Live Forensics

A través de adb Proporciona shell interactiva con el

dispositivo Muchos comandos específicos

Copiar ficheros Procesos Disposivitos Etc…

Por donde empezar

Directorio DATA Estructura con mucha información de

sistema y usuario Ficheros abiertos por el sistema Datos de aplicaciones Conexiones

Post Recogida Data carving

TechNews de Informática 64

Suscripción gratuita en http://www.informatica64.com/boletines.html

http://Windowstips.wordpress.com

http://legalidadinformatica.blogspot.com

http://elladodelmal.blogspot.com

Gracias!;-)