DISCLAIMER

Todo el contenido de esta charla es resultado de investigacin con nes didcticos y educativos. El autor no se hace responsable por el uso del conocimiento contenido en la siguiente presentacin. La informacin contenida debe ser utilizada nicamente para nes ticos y con la debida autorizacin. Todo descubrimiento realizado ha sido y ser usado de forma legal. La audiencia debe asumir todo lo !ue se e"ponga hoy como #falso$ y #sin fundamento$ hasta !ue lo compruebe personalmente. Limahac% no es el autor directo de ninguno de los descubrimientos e"puestos ni de las herramientas demostradas ni los conoce. Todas las opiniones vertidas durante esta presentacin son

ANDROID FORENSICS
Luis Sols @solisbeto

Agenda

Contenido

&ntroduccin

'reando un laboratorio forense

(so de herramientas

)nlisis forense en dispositivos )ndroid +E,*

*tras tcnicas forenses

-ruebas

.u mtodo de blo!ueo usa tu smarth-hone/

Patrn de bloqueo

Bloqueo facial

Mediante clave o PIN

1 4 7 sos

2 5 8 0

3 6 9 x

!u" t#$ se%u&os so$ esos '"to(os)

)dam 0. )viv 1atherine 2ibson $3mudge )ttac%s on 3martphone Touch 3creens$ (niversity of -ennsylvania

Introduccin al anlisis forense

Ciencia Forense
Los restos microscpicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros" Edmond Locard
Aplicada a la informtica: Involves the preservation, identification, extraction, documentation, and interpretation of computer data. [2]
4uente5 Lor6ne dragibuz.blogspot.com
[2] Warren Kruse and Jay Heiser., Computer Forensics: Incident Response ssentia!s

anlisis forense

'iencia !ue nos permite5

&dentificar -reservar )nalizar -resentar

Android Security Vulnerabilities

http577888.cvedetails.com7vulnerability9list7vendor:id9;<<=7product:id9;>>>?72oogle9)ndroid.html

Android Introduccin
Li$e# (el tie'*o (e l# te+$olo%# +elul#&

Android Introduccin

Android Evolucin
-lataforma )ndroid ;.A )ndroid ;.; )ndroid ;.D )ndroid ;.E )ndroid <.A )ndroid <.A.; )ndroid <.; )ndroid <.< )ndroid <.B )ndroid <.B.B )ndroid B.A )ndroid =.A )ndroid =.; @ombre 37@ -etit 4our 'up%a%e +onut Eclair Eclair Eclair 4roFo 2ingerbread 2ingerbread Goneycomb &ce 'ream 0elly Hean 4echa <B 3ep <AAC > 4eb <AA> <? )br <AA> ;E 3ep <AA> D *ct <AA> ;; +ic <AA> ;; Ene <A;A <A ,ay <A;A +ic <A;A > 4eb <A;;

C&e+i'ie$to (e A$(&oi( e$ el 'e&+#(o 2010

4uente5Iesearch&n,otionLimitedJI&,K

C&e+i'ie$to (e A$(&oi( e$ el 'e&+#(o 2012

4uente5http577888.gartner.com7it7page.Lsp/idM<;<AA;D

Creci
) dos meses de su lanzamiento Joctubre <AACK )ndroid atraLo el <EN del mercado de smartphones resultando ser el segundo sistema operativo de dispositivos mviles mas usado. &ncremento en la venta de smartphones desde el <A;; siendo 3amsung !uien lidera. =;> millones de telfonos mviles vendidos <do trimestre <A;< en el <A;; se vendieron =<> millones.

iento en el

ercado

Android !istoria
-lataforma open source para dispositivos mviles basada en el %ernel de Linu" <.E y mantenida por *pen Gandset )lliance O *G). La *G) es un grupo de fabricantes de dispositivos mviles desarrolladores de soft8are y desarrolladores de componentes. *G) tiene como obLetivos 5

-roductos menos costosos &nnovacin tecnolgica en mviles ,eLor e"periencia en mviles

Android !istoria

Android !istoria
,ensaLe de )ndy Iubin ;7AD7<AA? AC5A>5AA ), -osted by )ndy Iubin +irector of ,obile -latforms Android is the rst truly open and comprehensive platform for mobiledevices! "t includes an operating system, user#interface andapplications ## all of the soft$are to run a mobile phone, but withoutthe proprietary obstacles that have hindered mobile innovation! %ehave developed Android in cooperation $ith the &pen 'andsetAlliance, $hich consists of more than () technology and mobile leadersincluding *otorola, +ualcomm, ',- and ,#*obile! ,hrough deeppartnerships $ith carriers, device manufacturers, developers, andothers, $e hope to enable an open ecosystem for the mobile $orld bycreating a standard, open mobile soft$are platform! %e thin. the result$ill ultimately be a better and faster pace for innovation that $ill givemobile customers unforeseen applications and capabilities! P;Q
P;Q 2oogle blog #RhereSs my 2phone/$ http577googleblog.blogspot.com7<AA?7;;78heres9my9gphone.html

Android " Arquitectura

Evidencia #i$ital
&nformacin almacenada en medios electrnicos +atos en transmisin -uede ser informacin en varios formatos5

)udio Tideo &mgenes Etc.

Creando el laboratorio

%aboratorio forense

+istribucin Linu" (buntu http577888.ubuntu.com7 Faffs JFet )nother 4lash 4ile 3ystemK http577888.yaffs.net7 The )ndroid 3+1 http577developer.android.com7sd%7inde".html The 3leuth 1it and )utopsy Hro8ser http577888.sleuth%it.org7

S#&
/oft$are 0evelopment 1it 2/013 -on4unto de herramientas 5tiles para el desarrollo de aplicaciones Android, incluyen6 Librer7as y A8"s, *aterial de referencia, 9mulador, y &tras herramientas! :unciona en varias plataformas6 Linu;, %indo$s, &/ <! 9l /01 es una gran herramienta para reali=ar an>lisis forense en dispositivos Android! /e puede descargar desde6
http577developer.android.com7sd%7inde".html

ulando Android

ulando Android

ulando Android

Android #ebu$ Brid$e

+irectorios de almacenamiento del )T+

(buntu Linu"5 7home7UusuarioV7.android EL5 7home7luis7.android Rindo8s5 '5W(suariosWUusuarioVW.android EL5 '5W(suariosWluisW.android

ADB

Android #ebu$ Brid$e

Android #ebu$ Brid$e

)+H forma parte del 3+1 de )ndroid el cual permite conectar nuestro dispositivo al sistema mediante cable (3H.

Ie!uisitos En 8indo8s5

Tener instalado el driver del cable (3H La depuracin (3H del dispositivo debe estar activada 3ettings V )pplicactions V +evelopment 'he!uear (3H debugging

E
A&+,i-os (e i$te&"s cac!e'i sdcard'i

ulador de Android

$: imagen de! disco de partici"n cac#$ $: imagen de !a %& card u'i $: imagen de partici"n de

userdata"que datos.

cache.img y userdata-quemu.img usan e! sistema de arc#i'os (AFF%2.

Importante

Modo (oot

)ndroid 3+1 se necesita5

+ispositivo rooteado +epuracin de (3H activado

Modo (oot

Android #ebu$ Brid$e

En linu" el #(b se encuentra en5 7android9sd%9linu"7platform9tools7

copiar un fichero al dispositivo5

X adb push nombre)plicacion.ap% 7ruta+ispositivo JEL5 )4LogicalK ELemplo5 X adb push )4Logical9*3E:;.D.<.ap% 7sdcard

copiar ficheros del dispositivo al pc5

X adb pull 7ruta7dispositivo c57ruta7pc ELemplo5 X adb pull 7sdcard7forensics c57evidencias

&nstalar una aplicacin

X adb install nombre)plicacion.ap%

)A**S+
Fet )nother 4lash 4ile 3ystem 3lo otro sistema de ficheros flash

)ara su uso en *inu+ se necesita compi!ar e! ,erne! Con !a imagen y sistema de -ic#eros ya podemos montar nuestra im.genes (AFF%2 , adb s!ell su ount "o re ount" r- "t yaffs+ .dev.bloc/. tdbloc/0 .syste

1erra ientas de anlisis forense

.,e Sleut, /it 0.S/1 is a library and collection of command line tools that allo8 you to investigate dis% images. The core functionality of T31 allo8s you to analyze volume and file system data. The plug9in frame8or% allo8s you to incorporate additional modules to analyze file contents and build automated systems. The library can be incorporated into larger digital forensics tools and the command line tools can be directly used to find evidence. P;Q +esventaLas Linu" aun no soporta F)443<

PBQ http577888.sleuth%it.org7sleuth%it7inde".php

Adquisicin de datos

SD C#&(s2 herramientas normales para crear imgenes Al'#+e$#'ie$to I$te&$o2

@)@+ flash -articion ,T+bloc% montada en 7data -articion ,T+bloc% montada en 7cache

Adquisicin de datos
I'*o&t#$te2 3+ card I), 3&, card almacenamiento interno -articiones de interes

,emoria ')I+ J4)TB<K -articin user data JF)443<K Todos los datos del usuario almacenados internamente -articin cache JF)443<K Temporales 3istema JF)443<K

1erra

ientas de e2traccin

-ocas herramientas !ue ayuden en el proceso forense de )ndroid.

1ard-are
3#&(4#&e eLemplo5 .YIF 3&,'ardIeader 'lone3&,'ards Rrite9-rotected ,emory 'ard Ieader Z 'omplete set of 'ables. http577888.msab.com7

1ard-are

Hit-&, Logi'ube 'ellE"tract P4Q ,obilEdit 4orensic PLQ 3ecure Tie8 O 3usteen PLQ *"ygen 4orensic Iadio Tactics )ceso via4orensics viaE"tract

3tras t4cnicas forenses

5.A6

#istros forenses

#istros forenses

#e

7 Li-e D8D2 A$(&oi( 9o&e$si+s 0(:#blu1 7 Ext&#++i;$ (e (#tos

Medidas de se$uridad

/edidas de protecci"n

'ifrado de datos 'omunicaciones cifradas J33G TunelK

5(ACIAS66
a ustedes por asistir y en especia! a !os organi0adores

Mayor informacin @solisbeto, info@luisolis.com