Documente Academic
Documente Profesional
Documente Cultură
• Introducción y objetivos
• Conexión del dispositivo
• Proceso de adquisición
Agenda
• Introducción y objetivos
• Conexión del dispositivo
• Proceso de adquisición
Procedimiento de investigación forense
• Adquisición física
Obtención y copiado de los datos bit a bit accediendo para ello
directamente al medio físico.
• Adquisición lógica
Obtención y copiado de los datos desde la capa de abstracción
proporcionada por el sistema de ficheros.
Factores que determinan el tipo de
adquisición en dispositivos Android
1. Finalidad de la investigación
2. Características del terminal
3. ¿Está habilitada la depuración USB?
4. ¿Somos o no somos root?
5. Versión de Android
Factores que determinan el tipo de
adquisición en dispositivos Android
1. Finalidad de la investigación
2. Características del terminal
3. ¿Está habilitada la depuración USB?
4. ¿Somos o no somos root?
5. Versión de Android
Factores que determinan el tipo de
adquisición en dispositivos Android
1. Finalidad de la investigación
2. Características del terminal
3. ¿Está habilitada la depuración USB?
4. ¿Somos o no somos root?
5. Versión de Android
Factores que determinan el tipo de
adquisición en dispositivos Android
1. Finalidad de la investigación
2. Características del terminal
3. ¿Está habilitada la depuración USB?
4. ¿Somos o no somos root?
5. Versión de Android
Factores que determinan el tipo de
adquisición en dispositivos Android
1. Finalidad de la investigación
2. Características del terminal
3. ¿Está habilitada la depuración USB?
4. ¿Somos o no somos root?
5. Versión de Android
Android Donut
Released at september 2009
Version: 1.6
• Introducción y objetivos
• Conexión del dispositivo
• Proceso de adquisición
Conexión del dispositivo
Autorizar la conexión USB desde el PC
Restricción
• Capa de seguridad para adb desde Android 4.2.2
• Es necesario “Aceptar” para permitir la conexión
• Impide conectar un terminal bloqueado a un pc
Vulnerabilidad
• Android 4.4.2 Secure USB Debugging Bypass
• Reportada por MWRLabs
http://tinyurl.com/ktnqf6r
• Afecta a sistemas Android 4.2.2 a 4.4.2
• Solucionada en Android 4.4.3 y posteriores
• Descargamos el fichero con el patrón y lo crackeamos con Android Pattern Lock Cracker,
https://github.com/sch3m4/androidpatternlock:
adb pull /data/system/gesture.key gesture.key
python crack.pattern.py gesture.key
...
[+] Gesture:
• Script para el crack del PIN en terminales Samsung desarrollado por @JoseSelvi:
http://tools.pentester.es/androidpincrack
Smudge attack
http://greatscottgadgets.com/infiltrate2013/
• Introducción y objetivos
• Conexión del dispositivo
• Proceso de adquisición
Adquisición lógica: AFLogical™ OSE
Características
• Herramienta desarrollada por viaForensics
• Obtención de datos vía Content Providers
• Los datos se vuelcan en ficheros de tipo csv
Restricciones
• Requiere activar la depuración USB
• Datos obtenidos muy limitados
• Genera el volcado en la sdcard
Ventajas
• No requiere ningún tipo de privilegio especial
• Puede instalarse y ejecutarse mediante adb
(com.viaforensic.android.ExtractAllData)
AFLogical™, http://tinyurl.com/q8o9lfj
Howto (Santoku), http://tinyurl.com/of27flo
Adquisición lógica: AFLogical™ OSE
adb devices
adb install AFLogical-OSE_1.5.2.apk
adb shell "am start com.viaforensics.android.aflogical_ose/com.viaforensics.
android.ExtractAllData"
adb pull /sdcard/forensics aflogicalose
Adquisición lógica: adb backup
adb backup -apk -shared -all -system -f file.bak
Ventajas
• No requiere privilegios de root
• Formato de fichero resultante conocido
• Acceso a directorios internos y “seguros”:
/system/app/*.apk
/data/app/*.apk
/data/data/*
Restricciones
• Requiere activar la depuración USB
• Android ≥ 4.0 (Ice Cream Sandwich)
• El terminal tiene que estar desbloqueado*
Solución
• Simular la pulsación de la tecla capturando antes los
eventos correspondientes:
adb shell sendevent /dev/input/event1 3 57 598
adb shell sendevent /dev/input/event1 3 48 14
adb shell sendevent /dev/input/event1 3 58 86
adb shell sendevent /dev/input/event1 3 53 537
adb shell sendevent /dev/input/event1 3 54 1127
adb shell sendevent /dev/input/event1 0 0 0
adb shell sendevent /dev/input/event1 3 58 72
adb shell sendevent /dev/input/event1 3 54 1130
adb shell sendevent /dev/input/event1 0 0 0
adb shell sendevent /dev/input/event1 3 57 4294967295
adb shell sendevent /dev/input/event1 0 0 0
Ventajas:
• Técnica muy simple que obtendrá el contenido de forma recursiva
• Directorio local conserva la estructura del directorio adquirido
Restricciones:
• Los datos obtenidos dependen de los privilegios de adb (shell user
por defecto)
• El comando puede fallar en mitad del proceso, por lo que es mejor
dividirlo en varios
Demo 1
Adquisición lógica
Métodos hardware de adquisición física
• Extracción de la NAND (chip-off)
• Técnica destructiva, el móvil queda inservible
• Se retira el chip de la PCB aplicando calor a las
soldaduras
• El chip puede dañarse durante el proceso
• Una vez retirado se extrae su contenido
• Referencias:
Towards a general collection methodology for Android devices
http://dfrws.org/2011/proceedings/07-339.pdf
Demo
Conclusión
El método de adquisición depende de:
1. El tipo de investigación
2. Las limitaciones técnicas
¿Preguntas?