Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Análisis Forense de teléfonos Android y tarjeta SIM

3.274 visualizaciones

Publicado el

Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Análisis Forense de teléfonos Android y tarjeta SIM

  1. 1. Android + SIM<br /><ul><li>Juan Garrido & Juan Luis García Rambla
  2. 2. Consultores de Seguridad I64
  3. 3. http://windowstips.wordpress.com
  4. 4. http://www.informatica64.com</li></li></ul><li>Agenda<br />Introducción.<br />Analizando la SIM.<br />Android. Estructura física y lógica<br />Adquisición de imágenes.<br />Forense de dispositivos móviles.<br />
  5. 5. INTRODUCCIÓN<br />
  6. 6. El auge de los sistemas de movilidad y usointensivo de los mismospropician el usofraudulento o criminal con los mismos.<br />Las empresasempiezan a tener en consideración el control de dispositivosporriesgos de usosmaliciosos o fuga de información.<br />El forense de dispositivosmóvilessiguelasmismasdirectrices y métodosque los forensesconvencionales:<br />Buenasprácticas.<br />Preservación de la información.<br />Analisisbasados en métodos.<br />Herramientasforenses.<br />Introducción<br />
  7. 7. Arquitecturadiferente.<br />Diversidad en los modelos y tecnologías.<br />Diseño de aplicacionesespecificadosparatecnología e inclusodeterminadostipos de terminales.<br />Software de análisisforense y hardware específico.<br />La mayoría de software forensees de pago.<br />Diferencias con el forense digital tradicional<br />
  8. 8. SIM.<br />Memoriainterna.<br />Memoriasinternassecundarias.<br />Unidades Flash.<br />Discos SD.<br />¿Quéanalizar?<br />
  9. 9. Esposibleaunarambastecnologías.<br />La generación de imágenes de memoriainterna se puederealizar con herramientasespecíficasparamóviles.<br />Herramientas con EnCase o FTK permitenanalizar a posteriori la informaciónrecogida en lasimágenescapturadas.<br />Forensetradicional + Forense de móviles<br />
  10. 10. ANALIZANDO LA SIM<br />
  11. 11. Generadoporlasespecificaciones de European Posts and Telecommnications (CEPT) hansidocontinuadaspor European Telecommunications Standas Institute (ETSI) para GSM. <br />Es una SMART Card quecontiene entre 16 y 64 Kb de memoria un procesador y sistemaoperativo.<br />Identifica al subscritor, el número de teléfono y contiene el algoritmoparaautenticar al subscriptor en la red.<br />Dependiendo de la tecnologíapuedeencontrarsetoda la información en el terminal o en la memoria SIM.<br />La SIM GSM<br />
  12. 12. El acceso se realizamedianteuna clave denominada PIN.<br />Cuando la SIM recibeenergía, lo primeroquesolicitaes el PIN quedesbloqueará el accesológico al contenido de la tarjeta.<br />Sin el PIN el accesológico a la tarjeta no esfactible. Esposibleaunque no de forma predeterminadaque la tarjeta no presente PIN.<br />El bloqueo de la tarjeta se realizarátras un número de intentosfallidos de acceso.<br />El desbloqueo solo seráfactiblemediante la introducción del código PUK facilitadopor el proveedor de servicios.<br />Acceso a la SIM<br />
  13. 13. Son dos procedimientossimilares en conceptoaunquederivan en dos procesos y resultadosdiferentes.<br />El identificador y autenticación de la tarjetaderiva de la generaciónalgoritmica de dos valoreshexadecimalespresentes en la SIM: IMSI y KI.<br />Copiares el procesollevadohabitualmentepor el fabricantedonde genera un nuevo IMSI y KI de la tarjeta. Proporcionapor lo tanto un procedimientopara genera unanuevatarjetacopiandocontenido de la anterior.<br />Clonar, reproduce exactamente la mismatarjeta con el mismo IMSI y KI de la original. El procedimientomásartesanalpermiteincluso la cohexistencia en una sola SIM de información de varias.<br />Copiar o clonaruna SIM<br />
  14. 14. Componente Hardware :<br />Grabadora de PIC tipo LUDIPIPO.<br />Grabadora EEPROM. Las máshabituales Phoenix.<br />Tarjeta con microprocesadordondegrabar. Se utilizancomunmentetarjetas COOLWAFER.<br />Componente Software:<br />Sim Scan: Permiteobtener los códigos IMSI y KI.<br />ICPRO: Graba el PIC.<br />Winexplorer: Graba la EEPROM.<br />Clonado de una SIM<br />
  15. 15. Permiteclonaruna SIM aun no teniendo el PIN y generandounanueva SIM con toda la informacióndisponible. <br />Esrequeridopara el clonado :<br />ICCID = Integrated Circuit Card Identity<br />IMSI = International Mobile Subscriber Identity<br />Hardware clonado XACT<br />
  16. 16. No esfactiblemediante Software.<br />Se puederealizarmediante la aplicación de corriente, segúndiseño.<br />El riesgo de dejarinservible la tarjetaeselevado.<br />Mejortenerclonada la tarjeta.<br />Borrando el PIN<br />
  17. 17. Mantieneinformacióncríticapara la resolución de casos:<br />Números de teléfonos.<br />Ultimasllamadasefectuadas.<br />SMS recibidos.<br />Existenherramientasforensesespecificadasparaello:<br />Paraben SIM Size.<br />SIM-Card.<br />OXY-Forensics.<br />SIMSpy.<br />Requiere de un componente Hardware: lector de tarjetas SIM.<br />Análisis de la SIM<br />
  18. 18. SLOTS de almacenamiento finitos<br />Dependiente de la tarjeta (Ej: 20-25 SMS)<br />Campos específicos<br />Estado del SLOT<br />Identificador de datos<br />SIM Data Carving<br />
  19. 19. Cuando se elimina un SMS o un contacto<br />El estado del SLOT cambia a un estado libre<br />En teléfonos antiguos sólo se modifica el estado del SLOT (No los datos)<br />Los teléfonos de hoy día pueden modificar toda la información del SLOT<br />SIM Data Carving<br />
  20. 20.
  21. 21. Análisis de SIM<br />
  22. 22. Android. Estructura lógica y física<br />
  23. 23. OS Android<br />Basado en Linux<br />OS portado a varios procesadores<br />Estructura de datos basado en SQLite<br />YAFFS /EXT2 como sistema de ficheros<br />
  24. 24. Adquisición de imágenes<br />
  25. 25. Adquisición de imágenes<br />MTD (MemoryTechnologyDevice)<br />Provee soporte para Flash en Linux<br />Provee funciones de lectura y escritura en la flash<br />Cada partición basada en MTD se puede exportar de forma unitaria<br />
  26. 26. Adquisición de imágenes<br />Formas de extracción<br />A través de DD<br />dd if=/dev/mtd/mtd<number>ro of=/sdcard/mtd<number>ro.dd bs=4096<br />A través de CAT<br />Cat /dev/mtd/mtd<number>ro > /sdcard/mtd<number>ro.dd<br />Herramientascomerciales<br />Device Seizure<br />
  27. 27. Forense de dispositivos móviles<br />
  28. 28. Live Forensics<br />A través de adb<br />Proporciona shell interactiva con el dispositivo<br />Muchos comandos específicos<br />Copiar ficheros<br />Procesos<br />Disposivitos<br />Etc…<br />
  29. 29. Por donde empezar<br />Directorio DATA<br />Estructura con mucha información de sistema y usuario<br />Ficheros abiertos por el sistema<br />Datos de aplicaciones <br />Conexiones<br />Post Recogida<br />Data carving<br />
  30. 30. TechNews de Informática 64<br />Suscripción gratuita en http://www.informatica64.com/boletines.html<br />
  31. 31. http://Windowstips.wordpress.com<br />
  32. 32. http://legalidadinformatica.blogspot.com<br />
  33. 33. http://elladodelmal.blogspot.com<br />
  34. 34. Gracias!;-)<br />

×