SlideShare una empresa de Scribd logo

Presentacion bitup alicante 2018

Descargar como PPS, PDF
B
Buenaventura Salcedo Santos-Olmo

Resumen de estrategia para bypass al cifrado de android, puntos clave.

Ingeniería
1 de 29
BYPASS A UN TERMINAL CIFRADO CON ANDROID 7 PARA ANÁLISIS FORENSE Buenaventura Salcedo Santos-Olmo
Quien soy yo Casi Graduado en Ingeniería Informática en la UNED CEO Servicio Técnico de telefonía móvil e informática
1.- Motivaciones del caso, Nokia 3 2.- Cifrado/Descifrado en Android 7 3.- Estudio del arte 4.- Las particiones 5.- Bootloader, Fastboot y los comandos oem 6.- Preparación y puesta en escena del bypass 7.- El recovery y el root 8.- Y la copia bit a bit de la partición de datos sigue cifrada y ahora que????? 9.- Futuras y posibles investigaciones De qué vamos a hablar
Motivaciones Nokia 3 1.- Es un caso real 2.- Límites adquisición con herramientas de pago 3.- Cifrado obligatorio 4.- No hay root directo 5.- Bootloader bloqueado 6.- No podemos cargar recovery 7.- Tiene “secuencia de arranque seguro” 8.- Funciona en Nougat y Oreo 9.- Conocemos el código 10.- Procesador MTK, fácil read/write dump
El cifrado Puesta en marcha de los estudios experimentales realizados: http://www.delaat.net/rp/2016-2017/p45/report.pdf
El descifrado ESQUEMA FULL DISK para FDE DEK – Disk Encryption Key 16 bytes aleatorios /dev/urandom Clave única de cifrado/descifrado Encryption Disk Partición cifrada sector a sector Cada sector usa un vector de Inicialización IV con salt es el ESSIV IV(SN) =Eh(k)(SN) SN = número de sector E = información a cifrar h = función hash de cifrado k = DEK (clave de cifrado) Credentials Credenciales de usuario PIN – Patrón – Contraseña - BIO SALT Bits aleatorios de entrada a Funciones derivadoras de claves KeyMaster Module - TEE Usa huella del procesador Única para cada dispositivo KDF – Key Derivate Function Artifacts para generar el KEK Evita el RE-cifrado al cambiar PIN RSA-2048 Clave privada Usado para evitar BF Encrypted DEK Clave DEK cifrada KEK – Key Encription Key Clave para descifrar el DEK AES128-CBD Nos da el DEK
El descifrado ESQUEMA FULL DISK para FDE CRIPTOFOOTER /METADATA Encrypted DEK SALT Encrypted RSA Private Key Documentación structs en Santoku Linux por Thomas Cannon aes-cdc-essiv:sha256
ESQUEMA BASADO FICHEROS FBEEl cifrado
El cifrado Los bytes aleatorios del DEK Extraído del Android Open Source Proyect https://android.googlesource.com/platform/system/vold/+/android-7.1.1_r11/cryptfs.c
El cifrado QUE NECESITAMOS: CRYPTOFOOTER ( /metadata) PARTICIÓN DE DATOS (/userdata) TELÉFONO ROOTEADO DD = copia bit a bit = good work
El gran problema WHY??? TELÉFONO ROOTEADO No hay direct root Podemos TWRP + root (desde microSD) Para escribir TWRP → desbloquear boot En este caso desbloquear el boot BORRA EL TERMINAL
Nuestro Brutal Bypass Fases 1) Dumpear el teléfono 2) Extraer /metadata y /userdata con FTK o un parseador(*) 3) Desbloquear el bootloader, el teléfono se borrará 4) Dumpear el teléfono “VACÍO” pero con bootloader desbloqueado :) 5) Alinear /metadata y /userdata en el dump VACíO 6) Escribir bypass, el dump modificado del 6) 7) TWRP + ROOT (desde microSD) 8) Realizar el clonado de /data(**) con dd (**) PERO SIGUE CIFRADO, TÍO LISTO!!!!!!!!! Efectivamente pero el dispositivo de descifrado no es /data sino que se monta en /dev/block/dm-0
Estudio del arte – Tools – Caso nokia 3 Necesitamos un programa para dumpear la memoria emmc, opciones: -SP Flasher Fichero scatter = mapa de memoria Loader parcheado DA_SWSEC_CRYPTO20.bin Auth file actualizado -InfinityBOX Hay que instalar los complementos disponibles en el soporte. -Chinese Miracle -NCK Dongle Algunas más…. 1a FASE
Estudio del arte – Tools – Caso nokia 3
Estudio del arte – Tools – Caso nokia 3 -FTK imager lite Nos permitirá mapear directamente la memoria -HxD Buscar cadenas y sustituir fragmentos de memoria -TWRP open source Recovery personalizado, para el Nokia 3 no hay original, realizar PORTTING -SU superusuario para hacer root al nokia 3, debe guardarse en la microSD -adb y librerias Disponible en el SDK de Android 2a FAS E
/USERDATA (*) los datos cifrados /METADATA (*) (puede cambiar nombre) el criptofooter /ABOOT (puede cambiar nombre, ejemplo /LK) los comandos fastboot oem /PROINFO el serial o ID para desbloquear el bootloader Las particiones involucradas FTK (*) Exportar bit a bit cada partición Imagen directamente con el FTK
Fastboot y el bootloader 1) Fastboot nos permite comunicar con el terminal en modo boot 2) Nos permite flashear particiones en el terminal 3) Podemos desbloquear el bootloader para poder escribir las particiones 4) Comando especiales oem que no están documentados 5) Los comandos oem están en el dump en texto plano -> /ABOOT
Fastboot y el bootloader /ABOOT ó /LK
Desbloquear el bootloader En el caso del nokia 3 el código de desbloqueo del bootloader EXPERIMENTALMENTE(*) es aplicar md5 a PRODUCTID 1) Entrar en fastboot mode 2) fastboot oem key código 3) fastboot oem unlock OJO en este caso el terminal se borrará Pero recordemos que hicimos DUMP Se activará modo orange Indicando que el teléfono es vulnerable /PROINFO 3a FASE
Desbloquear el bootloader 4a FASE DUMPEAR el teléfono “VACÍO” Tendrá el Booloader Desbloqueado, es decir, permitirá la escritura desde el fastboot mode del recovery y el root.
CONCAT 5a FASE Dump original Alinear las particiones BOOT LOCK 0x12700000 0xBC20000 / USERDATA cifrada Dump “vacío” BOOT UNLOCK / USERDATA “vacía” /METADATA/METADATA BYPASS HxD Editor hexadecimal ó script CABEZA COLA
Alinear las particiones HxD 6a FASE ESCRIBIR EL DUMP CON EL BYPASS El resultado de la concatenación deber ser de igual tamaño al original
TWRP y ROOTING puesta en escena ¿¿¿Qué tenemos a estas alturas??? UN TELÉFONO CIFRADO CON SUS CREDENCIALES ORIGINALES Y EL BOOTLOADER DESBLOQUEADO PARA HACER LO QUE QUERAMOS 1) Arrancamos en fastboot mode 2) Instalamos el TWRP (es un port) 3) Instalamos SU.zip desde una sd 7a FASE
Clonación o copia BIT a BIT Finalizando 1) conseguimos una shell con “adb shell” 2) pedimos acceso de superusuario “su” 3) comprobamos las unidades “mount” y “df” 4) clonamos “dd if=origen of=destino” 5) salimos “exit” 6) agarramos la copia “adb pull la_ruta_a_la_copia” 7) hashear!!!!!! y analizar Más referencias sobre dd en la documentación linux o el artículo escrito por nuestro compañero Jorge @NoobInTheNet en Comunix Blog, como tarea... 8a FASE
Clonación o copia BIT a BIT
Conclusiones  Conocer dónde y cómo se almacenan las credenciales  Riesgos al desbloquear el bootloader  Riesgos por los posibles brick del software  Como podemos aprovechar con ingenio la información para solucionar escenarios adversos.
Líneas futuras Extensión a otros modelos Estudio del comportamiento en otros procesadores Automatización del proceso, artifacts Descifrado del /userdata offline
Agradecimientos A TODOS LOS PRESENTES A LA ORGANIZACIÓN DE BITUP ALICANTE A COMUNIX GROUP Y SU BLOG A ANTONIO SANZ y SARA siempre por su aportaciones y revisiones !!!!!!!!!!!!! MUCHAS GRACIAS !!!!!!!!!!!!!!!!!!!
Preguntas

Recomendados

Datos y Manual de la Board
Datos y Manual de la BoardDatos y Manual de la Board
Datos y Manual de la BoardMariaCamilaGelpud
 
Sockets1
Sockets1Sockets1
Sockets1gueste28bb6
 
FUNCIONAMIENTO
FUNCIONAMIENTO FUNCIONAMIENTO
FUNCIONAMIENTO Nicolas Zambrano
 
PROCESO DEL SOCKET DE CPU
PROCESO DEL SOCKET DE CPU PROCESO DEL SOCKET DE CPU
PROCESO DEL SOCKET DE CPU Sofia Paredes
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Dani Adastra
 
Microprocesadores Intel IMCR
Microprocesadores Intel IMCRMicroprocesadores Intel IMCR
Microprocesadores Intel IMCRsolmar123
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 

Recomendados

Datos y Manual de la Board
Datos y Manual de la BoardDatos y Manual de la Board
Datos y Manual de la BoardMariaCamilaGelpud
 
Sockets1
Sockets1Sockets1
Sockets1gueste28bb6
 
FUNCIONAMIENTO
FUNCIONAMIENTO FUNCIONAMIENTO
FUNCIONAMIENTO Nicolas Zambrano
 
PROCESO DEL SOCKET DE CPU
PROCESO DEL SOCKET DE CPU PROCESO DEL SOCKET DE CPU
PROCESO DEL SOCKET DE CPU Sofia Paredes
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Dani Adastra
 
Microprocesadores Intel IMCR
Microprocesadores Intel IMCRMicroprocesadores Intel IMCR
Microprocesadores Intel IMCRsolmar123
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Zocalos
ZocalosZocalos
Zocalosdieguiito02
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
características de la motherboard y componentes principales1
características de la motherboard y componentes principales1características de la motherboard y componentes principales1
características de la motherboard y componentes principales1Diover Castrillon
 
Diferentes tipos de socket y slot para conectar el procesador a la placa base
Diferentes tipos de socket y slot para conectar el procesador a la placa baseDiferentes tipos de socket y slot para conectar el procesador a la placa base
Diferentes tipos de socket y slot para conectar el procesador a la placa basefabio guevara
 
Tipos de sockets para microprocesadores
Tipos de sockets para microprocesadoresTipos de sockets para microprocesadores
Tipos de sockets para microprocesadoresGermoo
 
Zocalos
ZocalosZocalos
ZocalosJosue Aguado
 
Diana melissa ruiz araque
Diana melissa ruiz araqueDiana melissa ruiz araque
Diana melissa ruiz araquedecimosistemas2016
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Socket
SocketSocket
Socketconrado perea
 
Node.JS para Intel Galileo
Node.JS para Intel GalileoNode.JS para Intel Galileo
Node.JS para Intel GalileoFernando Aparicio Urbano Molano
 
Actividades de Montaje de un PC
Actividades de Montaje de un PCActividades de Montaje de un PC
Actividades de Montaje de un PCsilviarayj
 
Micro Procesadores
Micro ProcesadoresMicro Procesadores
Micro Procesadoreslautaro
 
JAVA Networking
JAVA NetworkingJAVA Networking
JAVA Networkinglvas80
 
El zócalo
El zócaloEl zócalo
El zócaloPCPI2GarciaPavon
 
Correcion del examen de sistemas imformaticos
Correcion del examen de sistemas imformaticosCorrecion del examen de sistemas imformaticos
Correcion del examen de sistemas imformaticosdavidcristhian
 
Yamila reyna
Yamila reynaYamila reyna
Yamila reynaimcr2011
 
Rooted2015 - Ingenieria inversa de circuitos integrados
Rooted2015 - Ingenieria inversa de circuitos integradosRooted2015 - Ingenieria inversa de circuitos integrados
Rooted2015 - Ingenieria inversa de circuitos integradosEduardo Cruz
 
Microprocesadores fernandez berardo
Microprocesadores fernandez berardoMicroprocesadores fernandez berardo
Microprocesadores fernandez berardoMartin Demiclez
 
Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCOcyberleon95
 
Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Alejandro Quesada
 
Procesador De Un Ordenador
Procesador De Un OrdenadorProcesador De Un Ordenador
Procesador De Un Ordenadorcarlos2211
 
Procesador De Un Ordenador
Procesador De Un OrdenadorProcesador De Un Ordenador
Procesador De Un Ordenadorcarlos2211
 

Más contenido relacionado

La actualidad más candente

José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
características de la motherboard y componentes principales1
características de la motherboard y componentes principales1características de la motherboard y componentes principales1
características de la motherboard y componentes principales1Diover Castrillon
 
Diferentes tipos de socket y slot para conectar el procesador a la placa base
Diferentes tipos de socket y slot para conectar el procesador a la placa baseDiferentes tipos de socket y slot para conectar el procesador a la placa base
Diferentes tipos de socket y slot para conectar el procesador a la placa basefabio guevara
 
Tipos de sockets para microprocesadores
Tipos de sockets para microprocesadoresTipos de sockets para microprocesadores
Tipos de sockets para microprocesadoresGermoo
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Actividades de Montaje de un PC
Actividades de Montaje de un PCActividades de Montaje de un PC
Actividades de Montaje de un PCsilviarayj
 
Micro Procesadores
Micro ProcesadoresMicro Procesadores
Micro Procesadoreslautaro
 
JAVA Networking
JAVA NetworkingJAVA Networking
JAVA Networkinglvas80
 
Correcion del examen de sistemas imformaticos
Correcion del examen de sistemas imformaticosCorrecion del examen de sistemas imformaticos
Correcion del examen de sistemas imformaticosdavidcristhian
 
Yamila reyna
Yamila reynaYamila reyna
Yamila reynaimcr2011
 
Rooted2015 - Ingenieria inversa de circuitos integrados
Rooted2015 - Ingenieria inversa de circuitos integradosRooted2015 - Ingenieria inversa de circuitos integrados
Rooted2015 - Ingenieria inversa de circuitos integradosEduardo Cruz
 
Microprocesadores fernandez berardo
Microprocesadores fernandez berardoMicroprocesadores fernandez berardo
Microprocesadores fernandez berardoMartin Demiclez
 

La actualidad más candente (18)

Zocalos
ZocalosZocalos
Zocalos
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
características de la motherboard y componentes principales1
características de la motherboard y componentes principales1características de la motherboard y componentes principales1
características de la motherboard y componentes principales1
 
Diferentes tipos de socket y slot para conectar el procesador a la placa base
Diferentes tipos de socket y slot para conectar el procesador a la placa baseDiferentes tipos de socket y slot para conectar el procesador a la placa base
Diferentes tipos de socket y slot para conectar el procesador a la placa base
 
Tipos de sockets para microprocesadores
Tipos de sockets para microprocesadoresTipos de sockets para microprocesadores
Tipos de sockets para microprocesadores
 
Zocalos
ZocalosZocalos
Zocalos
 
Diana melissa ruiz araque
Diana melissa ruiz araqueDiana melissa ruiz araque
Diana melissa ruiz araque
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Socket
SocketSocket
Socket
 
Node.JS para Intel Galileo
Node.JS para Intel GalileoNode.JS para Intel Galileo
Node.JS para Intel Galileo
 
Actividades de Montaje de un PC
Actividades de Montaje de un PCActividades de Montaje de un PC
Actividades de Montaje de un PC
 
Micro Procesadores
Micro ProcesadoresMicro Procesadores
Micro Procesadores
 
JAVA Networking
JAVA NetworkingJAVA Networking
JAVA Networking
 
El zócalo
El zócaloEl zócalo
El zócalo
 
Correcion del examen de sistemas imformaticos
Correcion del examen de sistemas imformaticosCorrecion del examen de sistemas imformaticos
Correcion del examen de sistemas imformaticos
 
Yamila reyna
Yamila reynaYamila reyna
Yamila reyna
 
Rooted2015 - Ingenieria inversa de circuitos integrados
Rooted2015 - Ingenieria inversa de circuitos integradosRooted2015 - Ingenieria inversa de circuitos integrados
Rooted2015 - Ingenieria inversa de circuitos integrados
 
Microprocesadores fernandez berardo
Microprocesadores fernandez berardoMicroprocesadores fernandez berardo
Microprocesadores fernandez berardo
 

Similar a Presentacion bitup alicante 2018

Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCOcyberleon95
 
Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Alejandro Quesada
 
Procesador De Un Ordenador
Procesador De Un OrdenadorProcesador De Un Ordenador
Procesador De Un Ordenadorcarlos2211
 
Procesador De Un Ordenador
Procesador De Un OrdenadorProcesador De Un Ordenador
Procesador De Un Ordenadorcarlos2211
 
¿Que falló en Playstation 3?
¿Que falló en Playstation 3?¿Que falló en Playstation 3?
¿Que falló en Playstation 3?GUEIM
 
Taller
TallerTaller
Taller040628
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Proceso de Inicio de la Pc
Proceso de Inicio de la PcProceso de Inicio de la Pc
Proceso de Inicio de la PcPablo Macon
 
iPhone + Botnets = Fun
iPhone + Botnets = FuniPhone + Botnets = Fun
iPhone + Botnets = FunDavid Barroso
 
Informe Ejecutivo Fase 1
Informe Ejecutivo Fase 1Informe Ejecutivo Fase 1
Informe Ejecutivo Fase 1HaroldCortez
 
Portafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soportePortafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soporteJosé Ángel Ávila Alfaro
 
Portafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soportePortafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soporteJosé Ángel Ávila Alfaro
 
Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02isabellamiller1995
 
Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02isabellamiller1995
 

Similar a Presentacion bitup alicante 2018 (20)

Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCO
 
Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018Hack like a pro with custom gadgets - Bitup2018
Hack like a pro with custom gadgets - Bitup2018
 
Procesador De Un Ordenador
Procesador De Un OrdenadorProcesador De Un Ordenador
Procesador De Un Ordenador
 
Procesador De Un Ordenador
Procesador De Un OrdenadorProcesador De Un Ordenador
Procesador De Un Ordenador
 
¿Que falló en Playstation 3?
¿Que falló en Playstation 3?¿Que falló en Playstation 3?
¿Que falló en Playstation 3?
 
Taller
TallerTaller
Taller
 
Laura
LauraLaura
Laura
 
Laura
LauraLaura
Laura
 
Targetas madre actividad 6
Targetas madre actividad 6Targetas madre actividad 6
Targetas madre actividad 6
 
Laura
LauraLaura
Laura
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
 
Procesador CPU
Procesador CPUProcesador CPU
Procesador CPU
 
Proceso de Inicio de la Pc
Proceso de Inicio de la PcProceso de Inicio de la Pc
Proceso de Inicio de la Pc
 
iPhone + Botnets = Fun
iPhone + Botnets = FuniPhone + Botnets = Fun
iPhone + Botnets = Fun
 
Informe Ejecutivo Fase 1
Informe Ejecutivo Fase 1Informe Ejecutivo Fase 1
Informe Ejecutivo Fase 1
 
5 microprocesadores
5 microprocesadores5 microprocesadores
5 microprocesadores
 
Portafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soportePortafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soporte
 
Portafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soportePortafolio del siller de jose angel avila alfaro 4 a de soporte
Portafolio del siller de jose angel avila alfaro 4 a de soporte
 
Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02
 
Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02Targetasmadreactividad6 110515105252-phpapp02
Targetasmadreactividad6 110515105252-phpapp02
 

Último

AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxLuisvila35
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilDissneredwinPaivahua
 
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)ssuser6958b11
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPJosLuisFrancoCaldern
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptVitobailon
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasSegundo Silva Maguiña
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfMirthaFernandez12
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 
Cadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesCadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesal21510263
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...Francisco Javier Mora Serrano
 
estadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfestadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfFlorenciopeaortiz
 
Exposicion. del documentos de YPFB corporación
Exposicion. del documentos de YPFB corporaciónExposicion. del documentos de YPFB corporación
Exposicion. del documentos de YPFB corporaciónjas021085
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdfEdwinAlexanderSnchez2
 
SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadANDECE
 
PRESENTACION DE CLASE. Factor de potencia
PRESENTACION DE CLASE. Factor de potenciaPRESENTACION DE CLASE. Factor de potencia
PRESENTACION DE CLASE. Factor de potenciazacariasd49
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptxJhordanGonzalo
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfErikNivor
 
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023ANDECE
 

Último (20)

AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civil
 
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.ppt
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para Plataformas
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 
Cadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesCadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operaciones
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
 
estadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfestadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdf
 
Exposicion. del documentos de YPFB corporación
Exposicion. del documentos de YPFB corporaciónExposicion. del documentos de YPFB corporación
Exposicion. del documentos de YPFB corporación
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf
 
SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidad
 
PRESENTACION DE CLASE. Factor de potencia
PRESENTACION DE CLASE. Factor de potenciaPRESENTACION DE CLASE. Factor de potencia
PRESENTACION DE CLASE. Factor de potencia
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
 
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
 

Presentacion bitup alicante 2018

  • 1. BYPASS A UN TERMINAL CIFRADO CON ANDROID 7 PARA ANÁLISIS FORENSE Buenaventura Salcedo Santos-Olmo
  • 2. Quien soy yo Casi Graduado en Ingeniería Informática en la UNED CEO Servicio Técnico de telefonía móvil e informática
  • 3. 1.- Motivaciones del caso, Nokia 3 2.- Cifrado/Descifrado en Android 7 3.- Estudio del arte 4.- Las particiones 5.- Bootloader, Fastboot y los comandos oem 6.- Preparación y puesta en escena del bypass 7.- El recovery y el root 8.- Y la copia bit a bit de la partición de datos sigue cifrada y ahora que????? 9.- Futuras y posibles investigaciones De qué vamos a hablar
  • 4. Motivaciones Nokia 3 1.- Es un caso real 2.- Límites adquisición con herramientas de pago 3.- Cifrado obligatorio 4.- No hay root directo 5.- Bootloader bloqueado 6.- No podemos cargar recovery 7.- Tiene “secuencia de arranque seguro” 8.- Funciona en Nougat y Oreo 9.- Conocemos el código 10.- Procesador MTK, fácil read/write dump
  • 5. El cifrado Puesta en marcha de los estudios experimentales realizados: http://www.delaat.net/rp/2016-2017/p45/report.pdf
  • 6. El descifrado ESQUEMA FULL DISK para FDE DEK – Disk Encryption Key 16 bytes aleatorios /dev/urandom Clave única de cifrado/descifrado Encryption Disk Partición cifrada sector a sector Cada sector usa un vector de Inicialización IV con salt es el ESSIV IV(SN) =Eh(k)(SN) SN = número de sector E = información a cifrar h = función hash de cifrado k = DEK (clave de cifrado) Credentials Credenciales de usuario PIN – Patrón – Contraseña - BIO SALT Bits aleatorios de entrada a Funciones derivadoras de claves KeyMaster Module - TEE Usa huella del procesador Única para cada dispositivo KDF – Key Derivate Function Artifacts para generar el KEK Evita el RE-cifrado al cambiar PIN RSA-2048 Clave privada Usado para evitar BF Encrypted DEK Clave DEK cifrada KEK – Key Encription Key Clave para descifrar el DEK AES128-CBD Nos da el DEK
  • 7. El descifrado ESQUEMA FULL DISK para FDE CRIPTOFOOTER /METADATA Encrypted DEK SALT Encrypted RSA Private Key Documentación structs en Santoku Linux por Thomas Cannon aes-cdc-essiv:sha256
  • 8. ESQUEMA BASADO FICHEROS FBEEl cifrado
  • 9. El cifrado Los bytes aleatorios del DEK Extraído del Android Open Source Proyect https://android.googlesource.com/platform/system/vold/+/android-7.1.1_r11/cryptfs.c
  • 10. El cifrado QUE NECESITAMOS: CRYPTOFOOTER ( /metadata) PARTICIÓN DE DATOS (/userdata) TELÉFONO ROOTEADO DD = copia bit a bit = good work
  • 11. El gran problema WHY??? TELÉFONO ROOTEADO No hay direct root Podemos TWRP + root (desde microSD) Para escribir TWRP → desbloquear boot En este caso desbloquear el boot BORRA EL TERMINAL
  • 12. Nuestro Brutal Bypass Fases 1) Dumpear el teléfono 2) Extraer /metadata y /userdata con FTK o un parseador(*) 3) Desbloquear el bootloader, el teléfono se borrará 4) Dumpear el teléfono “VACÍO” pero con bootloader desbloqueado :) 5) Alinear /metadata y /userdata en el dump VACíO 6) Escribir bypass, el dump modificado del 6) 7) TWRP + ROOT (desde microSD) 8) Realizar el clonado de /data(**) con dd (**) PERO SIGUE CIFRADO, TÍO LISTO!!!!!!!!! Efectivamente pero el dispositivo de descifrado no es /data sino que se monta en /dev/block/dm-0
  • 13. Estudio del arte – Tools – Caso nokia 3 Necesitamos un programa para dumpear la memoria emmc, opciones: -SP Flasher Fichero scatter = mapa de memoria Loader parcheado DA_SWSEC_CRYPTO20.bin Auth file actualizado -InfinityBOX Hay que instalar los complementos disponibles en el soporte. -Chinese Miracle -NCK Dongle Algunas más…. 1a FASE
  • 14. Estudio del arte – Tools – Caso nokia 3
  • 15. Estudio del arte – Tools – Caso nokia 3 -FTK imager lite Nos permitirá mapear directamente la memoria -HxD Buscar cadenas y sustituir fragmentos de memoria -TWRP open source Recovery personalizado, para el Nokia 3 no hay original, realizar PORTTING -SU superusuario para hacer root al nokia 3, debe guardarse en la microSD -adb y librerias Disponible en el SDK de Android 2a FAS E
  • 16. /USERDATA (*) los datos cifrados /METADATA (*) (puede cambiar nombre) el criptofooter /ABOOT (puede cambiar nombre, ejemplo /LK) los comandos fastboot oem /PROINFO el serial o ID para desbloquear el bootloader Las particiones involucradas FTK (*) Exportar bit a bit cada partición Imagen directamente con el FTK
  • 17. Fastboot y el bootloader 1) Fastboot nos permite comunicar con el terminal en modo boot 2) Nos permite flashear particiones en el terminal 3) Podemos desbloquear el bootloader para poder escribir las particiones 4) Comando especiales oem que no están documentados 5) Los comandos oem están en el dump en texto plano -> /ABOOT
  • 18. Fastboot y el bootloader /ABOOT ó /LK
  • 19. Desbloquear el bootloader En el caso del nokia 3 el código de desbloqueo del bootloader EXPERIMENTALMENTE(*) es aplicar md5 a PRODUCTID 1) Entrar en fastboot mode 2) fastboot oem key código 3) fastboot oem unlock OJO en este caso el terminal se borrará Pero recordemos que hicimos DUMP Se activará modo orange Indicando que el teléfono es vulnerable /PROINFO 3a FASE
  • 20. Desbloquear el bootloader 4a FASE DUMPEAR el teléfono “VACÍO” Tendrá el Booloader Desbloqueado, es decir, permitirá la escritura desde el fastboot mode del recovery y el root.
  • 21. CONCAT 5a FASE Dump original Alinear las particiones BOOT LOCK 0x12700000 0xBC20000 / USERDATA cifrada Dump “vacío” BOOT UNLOCK / USERDATA “vacía” /METADATA/METADATA BYPASS HxD Editor hexadecimal ó script CABEZA COLA
  • 22. Alinear las particiones HxD 6a FASE ESCRIBIR EL DUMP CON EL BYPASS El resultado de la concatenación deber ser de igual tamaño al original
  • 23. TWRP y ROOTING puesta en escena ¿¿¿Qué tenemos a estas alturas??? UN TELÉFONO CIFRADO CON SUS CREDENCIALES ORIGINALES Y EL BOOTLOADER DESBLOQUEADO PARA HACER LO QUE QUERAMOS 1) Arrancamos en fastboot mode 2) Instalamos el TWRP (es un port) 3) Instalamos SU.zip desde una sd 7a FASE
  • 24. Clonación o copia BIT a BIT Finalizando 1) conseguimos una shell con “adb shell” 2) pedimos acceso de superusuario “su” 3) comprobamos las unidades “mount” y “df” 4) clonamos “dd if=origen of=destino” 5) salimos “exit” 6) agarramos la copia “adb pull la_ruta_a_la_copia” 7) hashear!!!!!! y analizar Más referencias sobre dd en la documentación linux o el artículo escrito por nuestro compañero Jorge @NoobInTheNet en Comunix Blog, como tarea... 8a FASE
  • 25. Clonación o copia BIT a BIT
  • 26. Conclusiones  Conocer dónde y cómo se almacenan las credenciales  Riesgos al desbloquear el bootloader  Riesgos por los posibles brick del software  Como podemos aprovechar con ingenio la información para solucionar escenarios adversos.
  • 27. Líneas futuras Extensión a otros modelos Estudio del comportamiento en otros procesadores Automatización del proceso, artifacts Descifrado del /userdata offline
  • 28. Agradecimientos A TODOS LOS PRESENTES A LA ORGANIZACIÓN DE BITUP ALICANTE A COMUNIX GROUP Y SU BLOG A ANTONIO SANZ y SARA siempre por su aportaciones y revisiones !!!!!!!!!!!!! MUCHAS GRACIAS !!!!!!!!!!!!!!!!!!!