1. Anlisis Forense a sistemas AndroidPentester: Rafael Gmez Del ngelDirector de N3XAsecDocente de la certificacin: FDM Forense Investigador de dispositivos mviles.www.n3xasec.cominfo@n3xasec.com

2. Que es la informtica forense?Es una ciencia perteneciente a la seguridad informtica, la cual se encarga derecuperar, recolectar y preservar todo tipo de informacin ya sea voltil o no voltil. 3. Conservacin de la evidencia y su lnea del tiempo Cuando se realiza un anlisis forense de deben tomar en cuanta los siguientes aspectos Cul es la escena del crimen ? En que condiciones se encuentra ? Cul es nuestro objeto de anlisis?LINEA DEL TIEMPO 4. Versiones de Android en el mercadoCelulares TabletasAndroid 2.2Android 3Android 2.3Android 3.2Android 4 GPS Dispositivos de pulso Automviles Cmaras fotogrficas Televisiones Etc. 5. Arquitectura de Android 6. Tipos de memoria y gestores dearranqueMemoria RAM: Es la que se encargara de almacenar informacin voltil como lacache de inicio de sesin de algn mensajero.Memoria NAND : Es aquella que trabaja bajo el sistema de archivos yaffs2, yalmacena informacin valiosa como contraseas, mensajes sms, informacin delGPS etc, se relaciona directamente con informacin de la actividad del hardwarecomo la antena 3G, Bluetooth, GPS, conexin a datos.Memoria SD: es la que almacenara informacin relacionada con el usuario talescomo, fotografas, videos, historial de conversaciones, backup de configuracinetc.SIM: Es la que se encarga de almacenar informacin til para realizar la conexincon el proveedor de servicios, tambin puede almacenar informacin comomensajes sms y el directorio telefnico. 7. Preparando nuestro laboratorioDebemos entender que para analizar el sistema de archivos YAFFS2 debemosinstalar el interprete, pero como lo logramos ?1.-Escoger nuestra distribucin preferida de Linux, preferentemente una queeste encaminada a la auditora forense o el pentest, como lo es CAINE oBacktrack2.-Recompilar el kernel para agregar el soporte para dicho sistema de archivos.3.- Instalar un ambiente de desarrollo para Android, como lo es el SDK y UnIde como Netbeans. 8. Laboratorio 9. Ventaja de emular la imagen de Android AFLogicalLogs 10. Rooteando la versin de AndroidLa obtencin del acceso root en la terminal es primordial ya quenos ayudara a la ejecucin de comandos arbitrariamente Terminal emulator 11. La conocen? 12. Tcnicas para evadir la proteccin de pantalla Smudge AttackEl cuerpo humano en el transcurso del da secreta cierto tipode aceites en los dedos, los cuales bajo la luz ultravioletaestos aceites resaltan 13. Ataque de fuerza bruta 14. Screen lock bypass AppEsta herramienta nos permite realizar un ataque de fuerza bruta paradesbloquear la contrasea numerica del dispositivo.Es muy invasivaCorremos el riesgo de tronar la memoria RAMEl dispositivo debe estar rooteado 15. Identificacin de particionesy ficheros 16. Identificando los puntos de montaje del sistema/dev/block/mtdblock1 /system, /dev/block/mtdblock9/data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold/179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del telfono montada en /mnt/sdcard. 17. Puntos de montaje 18. Creando la imagen forense Una de las reglas de la seguridad informtica es la integridad de los datos, por ende al momento de generar una imagen forense se debe asegurar que sea una imagen bit a bit del dispositivo, esto con el fin de al momento de realizar la auditoria sea sea lo menos invasivo posible.Con el comando dd sera posibleobtenerla imagen.Hash MD5ImgAir 19. Bsqueda por lnea de comandos 20. Ahora analizaremos las carpetas contenidas en la imagen data.Realizaremos un ejemplo de una simple bsqueda de strings, en este casoser el numero 228 el cual es la clave lada de la localidad ,con el siguientecomando: strings -a ./mtd9.dd| grep 228 > numeros.txt La extraccin automatiza de archivos nos ayudara en la bsqueda de correlaciones a archivos de alguna extensin requerida, con esto podremos seguir con la obtencin de metadatos funcionales para nuestra investigacin. 21. Obtencin de datos de la cuenta asociadacon la bsqueda de strings @ 22. Obteniendo datos acerca de cuentablogger del celular a auditarLa informacin de validacin de las cuentas de los usuarios as comosu proteccin esta a cargo del software de las empresas que brindandichos servicios, cuando se realiza una auditora forense el auditorpuede se capaz de obtener informacin aparentementeconfidencial o privada.Al analizar el archivo picasa.db de com.cooliris.media, nosencontramos que hace uso de una llave de autentificacin paraacceder a informacin de imgenes subidas a la cuenta de bloggervinculada con la cuenta de correo nosferatu.security@gmail.com 23. Nos muestra la vinculacin entre lacuenta de correo y el servidorpicasa o blogger. 24. Apreciamos con un editor hexadecimal la llave de autentificacin vinculada con el blog Seguridad e Inseguridad informticaEmpezando a rastrar esta conexin que se realiza a travs delprotocolo http se obtuvo que dicha llave de autentificacin es usadapara acezar a imgenes subidas por el usuario, con esta llave deautentificacin podemos a acceder a descargar informacin delservidor de blogger para saber cundo y a qu hora fue subida unafoto. 25. Apreciamos con un editor hexadecimal la llave de autentificacin vinculada con el blog Seguridad e Inseguridad informticaEmpezando a rastrar esta conexin que se realiza a travs delprotocolo http se obtuvo que dicha llave de autentificacin es usadapara acezar a imgenes subidas por el usuario, con esta llave deautentificacin podemos a acceder a descargar informacin delservidor de blogger para saber cundo y a qu hora fue subida unafoto. 26. Muestra un archivo .xml que se descargo delservidor, obteniendo fecha y hora de publicacin,esto nos puede ayudar a una lnea del tiempo. 27. Analizando software WasthappEste crea una serie de backups donde de tanta informacin almacenada conservadatos como: El momento en el que fue extrada la memoria sd, niveles de bateracrticos, etc. Esto se vuelve til al momento de realizar una lnea del tiempo, claroen caso de ser pertinente y servible la informacin. 28. Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .dbwa.db y msgstore. Estos contienen una variedad de informacin, wa.dbcontiene la lista de contactos guardados en la agenda e indica si estguardado en el telfono o en la tarjeta simmostrando un nmero telefnico el nombre del contacto y el lugar dealmacenamiento, en este caso esta en tarjeta sim 29. Rompiendo la encriptacin AES-192-ECBwhastapp tambin guarda un backup de este archivopero aqu si lo en cripta con un hash AES-192-ECB esta encriptacin esfcil de romper obteniendo la key que en este programa utiliza unaestndar, lamentablemente y afortunadamente no utiliza alguna variantenica en el dispositivo para generar el cifrado como lo puede ser la direccinmac de la tarjeta de red o el nmero de serie del telfono.openssl enc -d -aes-192-ecb -in Archivo.db.crypt -out Salida.db -k346a23652a46392b4d73257c67317e352e3372482177652c 30. Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bitsencriptados.Archivo SQLITE desencriptado 31. Contactos 32. ObteniendoSMS Borrados 33. SMS Borrado hace meses 34. Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en sudefecto permanece casi intacto esto nos sugiere la idea de que existen sectoresde memoria que aun no han sido sobrescritos. 35. Analizando el uso de las Radiofrecuencias.BluetoothWirelessGSMGPS 36. Meta datosInformacin almacenada en una evidencia, donde nosproporciona una pista de donde o con que fue cometido elDELITO 37. Rastreando Longitud y Latitud 38. Anlisis Forense a sistemas AndroidPentester: Rafael Gmez Del ngelDirector de N3XAsecDocente de la certificacin: FDM Forense Investigador de dispositivos mviles.Gracias !!Informes de lacertificacininfo@n3xasec.com www.n3xasec.com