Análisis forense de dispositivos android 03

  • Published on
    28-May-2015

  • View
    2.961

  • Download
    5

Embed Size (px)

Transcript

  • 1. Anlisis Forense deDispositivos Mviles

2. Tema 1:Introduccin 3. Introduccin Introduccin a la telefona mvil El crecimiento exponencial de las tecnologas mviles y su uso intensivoha propiciado el uso fraudulento o criminal de los mismos. Las empresas empiezan a tener en consideracin el control de dispositivospor riesgos de usos maliciosos o fuga de informacin. El forense de dispositivos mviles sigue las mismas directrices y mtodosque los forenses convencionales: Buenas prcticas. Preservacin de la informacin. Anlisis basados en mtodos. Herramientas forenses. 4. Anlisis ForenseDelitos informticoso Variable segn el pas.o Mltiples ejemplos, como la estafa, extorsin,ataque a la propiedad intelectual, la pornografainfantil, apoyo al terrorismo (ciberterrorismo)o Localizar el dispositivo culpable no involucranecesariamente a su usuario habitual.o La presuncin de inocencia debe regir comonorma fundamental.o Si los delitos son graves, pueden darse otro tipode actuaciones complementarias. 5. Anlisis Forense Principio de Locardo Edmon Locard fue un criminalista francs de principios del siglo XX.o Desarroll ciertas metodologas que, aplicadas a las pruebas, convertana stas en evidencias irrefutables ante un juez.o Fue famoso tambin por sus frases y principios: escribir la historia de la identificacin es escribir la historia de la criminologa los restos microscpicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentroso El ms famoso es el llamado Principio de Locard: Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.o Esto tambin es valido en el mundo del anlisis forense digital, (una fotoguarda metadatos, una IP queda guardada en servidores, 6. Anlisis Forense Qu es el anlisis forense?o El proceso de estudio exhaustivo de un sistemadel que se desea conocer su historia.o El objetivo del anlisis forense ser obtenerevidencias que puedan certificar lo ocurrido.o La informacin obtenida puede ser de sumautilidad en todo tipo de investigaciones. Ejemplode ello fue la captura de Nanysex. 7. Anlisis ForenseQu es el anlisis forense?o Aspectos tiles de una investigacin: El mtodo utilizado por el atacante para introducirse en elsistema. Las actividades ilcitas realizadas por el intruso en elsistema. El alcance y las implicaciones de dichas actividades. Las puertas traseras(backdoors) instaladas por el intruso. Otras actividades realizadas por el sistema.o Algunas cuestiones fundamentales de un anlisis forense son:En qu momento exacto se ha producido el dao?Quin ha sido el sujeto que ha realizado la accin?Qu metodologa o tcnica se ha utilizado para ello?Qu daos y modificaciones ha producido en el sistema? 8. Anlisis Forense Respuesta a incidenteso Segn estadsticas, un gran porcentaje de los ataques quese producen en un sistema informtico provienen delinterior de los organismos y empresas.o El otro importante foco de riesgos de seguridad son losataques externos, en todas sus variantes.o El anlisis forense digital de la incidencia puede aportar ungran valor al conocimiento de las fortalezas y debilidadesde los sistemas propios.o La proteccin del entorno corporativo depende de asegurarsistemas y redes, aunque para ello intervengan muchosfactores 9. Anlisis ForenseIncidentes ms comuneso Accesos no autorizados. Tiene el peligro deque puede acceder a informacinprivilegiada.o Cdigo malicioso. Ataques realizadosmediante virus, troyanos, gusanos, rootkits ydems tipos de malware. Adems deSQLInjection o XSSo Interrupcin del servicio. Esta categorade incidentes se produce cuando el ob-jetivoes saturar o interrumpir un serviciodeterminado.o Utilizacin no autorizada de servicios.Incorrecta aplicacin de permisos sobre unusuario, usurpacin de cuentas o la elevacinde privilegios. 10. Anlisis ForenseEvidencia digitalo Es cualquier informacin contrastable encontrada en un sistema.o Una tarea fundamental es la captura de evidencias.o Casi cualquier elemento digital se puede considerar una evidencia.Ejemplos son: Fecha del ltimo acceso a un fichero o aplicacin. Un registro de acceso en un fichero. Una cookie de navegacin web almacenada. Un fichero en disco. Un proceso en ejecucin. Archivos temporales. Restos de la instalacin de un software. Un dispositivo de almacenamiento.o Deben ser recogidas todas las evidencias posibles y deben ser tratadas deforma responsable no perturbando el contenido que almacenan. 11. Anlisis Forense RFC 3227. Recoleccin y manejo de evidenciaso A la hora de recoger las evidencias digitales hay que seguir ciertosprocedimientos para que este proceso sea eficiente y til.o Los artculos RFC o Request for Comments son documentos pblicossometidos al debate de la comunidad, para estandarizar procesos.o El correspondiente al anlisis forense es el RFC 3227, que trata entre otros lossiguientes aspectos: Principios para la recoleccin de Metodologas de almacenamiento de evidenciasevidencias. Orden de volatilidad. Comprometer al personal para la Acciones que deben ser evitadas.aplicacin de la ley y la adecuada operativa frente a los incidentes Consideraciones relativas a la privacidad de los datos. Capturar una imagen tan exacta del sistema como sea posible. Consideraciones legales. Almacenar toda la informacin posible Procedimientos de recoleccin.del proceso de investigacin en curso. Tcnicas y herramientas transparentes Recolectar las evidencias en funcin de Cadena de custodia de la informacin. la volatilidad de las mismas 12. Anlisis ForenseBuenas prcticas para la recogida y el anlisisde datoso El conocimiento de la arquitectura de lo que se estinvestigando es la primera base del anlisis forense.o Qu evidencia se necesita capturar?o Puntos clave de la recogida de evidencias: Estudio preliminar de la situacin Qu hacer con los equipos afectados Utilizacin de herramientas para el anlisis Tipo de copia del sistema 13. Forense de Dispositivos Mviles Proceso forense: Guas de buenas prcticaso Gua de la IOCE: Guidelines for the Best Practices in theForensics Examination of Digital Technology.http://www.enfsi.eu/uploads/files/ENFSI_Forensic_IT_Best_Practice_GUIDE_5%5B1%5D.0.pdfo Gua DoJ1:Electronic Crime Scene Investigation: A Guide forFirst Responders : http://nij.gov/nij/pubs-sum/219941.htmo Gua DoJ2: Forensic Examination of Digital Evidence: A Guidefor Law Enforcement: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf 14. Forense de Dispositivos Mviles Proceso forense: Guas de buenas prcticas Gua de la ISFS (Honk-Kong): Computer Forensics Part2: BestPractices.http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf Gua de SWGDE: Special Consideration when Dealing with CellularPhone v1.0.http://www.swgde.org/documents/current-documents/2007-04-05%20SWGDE%20Special%20Consideration%20When%20Dealing%20With%20Cellular%20Phone%20v1.0.pdf 15. Forense de Dispositivos Mviles Introduccin al Anlisis Forense deDispositivos MvilesEn un anlisis forense de dispositivos mviles:o Nueva vuelta de tuerca con los SmartPhones: Entran de lleno en el OS cliente. Generalmente en porttiles (Corporative mode). Conexiones desde el mvil (AP Mode).o Muy chulo. Pero.. (Siempre hay un pero..) No tenemos el mvil. Tenemos el mvil pero no est rooteado. Tenemos el mvil (Restaurado a valores de fbrica). ?? 16. Forense de Dispositivos Mviles Diferencias: Forense tradicional-Forense de mvileso Arquitectura diferente.o Diversidad en los modelos y tecnologas de losdispositivos.o Diseo de aplicaciones especificados para tecnologa eincluso determinados tipos de terminales.o Software de anlisis forense y hardware especfico.o La mayora de software forense es de pago. 17. Forense de Dispositivos Mviles Forense tradicional + Forense de mviles Es posible aunar ambas tecnologas. La generacin de imgenes de memoria interna sepuede realizar con herramientas especficas para mviles. Herramientas como EnCase o FTK permiten analizar aposteriori la informacin recogida en las imgenescapturadas. 18. Forense de Dispositivos Mviles Como iniciar un proceso forense? Directrices y mtodos: Buenas prcticas. Preservacin de la informacin. Anlisis basados en mtodos. Herramientas forenses. Pasos o fases a seguir en un anlisis forense: Verificacin del incidente. Evaluacin del caso. Recogida de las evidencias. Anlisis de las evidencias. Elaboracin de informes y conclusiones. Almacenamiento de informes y evidencia. 19. Forense de Dispositivos Mviles Proceso forense: Preguntas previas El caso se va a denunciar o judicializar? Cul es el objetivo final de la toma de datos? Dnde se encuentran la evidencias? Cmo se extrae la informacin? Cmo salvaguardamos la informacin? Quin mantiene las evidencias? 20. Forense de Dispositivos MvilesProceso Forense: Analistao Quin es el analista?o Conocimientos?o Quin mantiene evidencias? 21. Forense de Dispositivos Mviles Proceso forense: Almacenamiento de evidenciaso Deben realizarse varias copias de la informacin.o Deben almacenarse en un lugar seguro y a salvo deaccesos no autorizados.o Deben garantizarse los sistemas necesariospara lapreservacin de las mismas.o Debe establecerse una cadena de custodia. 22. Forense de Dispositivos MvilesProceso forense: Evidencias y cadena de custodia Quin, cundo, dnde y cmo sehan tomado las evidencias. Quin, cundo y cmo se hananalizado las evidencias. Quin y durante cunto tiempose ha custodiado la evidencia. Cundo y entre quin hancambiado la custodia de lasevidencias. 23. Forense de Dispositivos Mviles 24. Forense de Dispositivos MvilesProceso forense: Como deben recogerse las evidenciasoLas evidencias digitales deben ser tomadas de formabinaria.oDebe garantizarse que no puedanmanipularse laspruebas mediante la firma HASH.o Se recomienda por seguridad la firma SHA-1 frente aMD5. 25. Consideraciones legales Legislacino Diferentes modelos: Unin Europea. Estados Unidos de Amrica.o Quin investiga?o Proteccin de datos.o Uso judicial de la investigacin. 26. Consideraciones legalesSistemas LegalesSe presentan dos sistemas legales:o Derecho Comn (Common Law): UK, Irlanda, Chipre, Malta. Ms basado en la jurisprudencia.o Derecho Civil: Resto de pases de la UE. Ms basado en la ley. 27. Consideraciones legalesLegislacin en Espaao No existe una ley especfica sobre el Ciberterrorismo o laCiencia Forense.o Se recogen a travs de diferentes apartados de leyesaspectos legales de los delitos informticos y las tcnicasforense.o En el caso de Espaa cada juicio es diferente.o La legislacin espaola est basada en la interpretacin. 28. Consideraciones legales Legislacin en EspaaLas bases de la legislacin son: Cdigo Penal. Ley de Enjuiciamiento Civil. Objeto y finalidad del dictamen deperitos. Ley de Servicios para la Sociedad de la Informacin y de comercioelectrnico. Ley Orgnica de Proteccin de Datos (LOPD). Reglamento de medidas de seguridad de los ficheros automatizadosque contengan datos de carcter personal. Ley General de Telecomunicaciones. Ley de Propiedad Intelectual. Ley de Firma Electrnica. 29. Consideraciones legalesLegislacin en Espaa: Diferentes casos Casos judicializados. Perito informtico. Personal de cuerpo deseguridad del estado. Agentes judiciales. Casos no judicializados. Personal involucrado. Investigador. 30. Consideraciones legales Legislacin en Espaa: Diferentes parteso Empresa "vctima", con personal interno o externo En la UE no se requiere licencia de "investigador" parapersonal externo (en UK posiblemente en el futuro).o El Estado: Puede investigar o procesar a los atacantes. Puede investigar a la empresa por seguridadinadecuada.o Otras personas, fsicas o jurdicas, afectadas por elincidente de seguridad. En el contexto de Proteccin de Datos. 31. Consideraciones legales Normativas de seguridado Algunas redes u operadores no cumplen las normas deseguridad.o PIN y PUK.o Jailbreak.o Bloqueo y desbloqueo de operador(lock/unlock). 32. Tema 2: Anlisis forense dedispositivos mviles 33. AFDMFases del proceso forense 34. AFDM Proceso forense: Fase de evaluacinoLos procedimientos realizados en esta fase son pocotcnicos, sino ms bien documentales.oTan slo hay que realizar un proceso tcnico en la partede preparacin para la adquisicin de pruebas.oHay que preparar los medios en donde se almacenaranlas copias de los medios originales, para su posterioranlisis.o Hay muchas herramientas para realizar borrado seguro. 35. AFDMProceso forense: Fase de evaluacino Borrado seguro en entornos Windows: Eraser SDelete DiskWipeo Borrado seguro en entornos GNU Linux: SRM shred (shred -vzu nombre_archivo) BleachBito Borrado seguro en entornos Mac OS: SRM 36. AFDMProceso forense: Fase de evaluacin Eraser (Windows) 37. AFDMProceso forense: Fase de evaluacin shred (Linux) 38. AFDMProceso forense: Fase de evaluacin-DiskUtility (Mac OS X) 39. AFDMProceso forense: Fase de adquisicino Construccin de la investigacino Recopilar los datosPreparar el dispositivo para realizar ciertos procedimientos(que no afectan a la evidencia si se documentaadecuadamente): Desactivar el bloqueo automtico. Extraer informacin bsica del dispositivo. Activar el modo avin. Finalmente se realiza una copia (bit a bit) del dispositivo yfirmarla con un hash SHA1 o MD5, que se utilizar en la fasede anlisis.o Almacenar y archivar. 40. AFDMProceso forense: Fase de adquisicino Almacenar y archivar:Documentar adecuadamente la evidencia, con documentode embalaje y cadena de custodia (lnea temporal).Almacenar la evidencia atendiendo a las buenas prcticas ylegislacin.Lugar de almacenado: Debe ser seguro, jaula de Faraday,documento de embalaje, cadena de custodia. El informe y cadena de custodia debe ser completa, correcta,autentica y convincente, para que en caso de proceso legalsea admitida en un juzgado. 41. AFDMProceso forense: Fase de adquisicin Evitar bloqueo automtico 42. AFDMProceso forense: Fase de adquisicin Obtener informacin bsica: 43. AFDMProceso forense: Fase de adquisicin Activar modo avin: 44. AFDM Proceso forense: Fase de adquisicin Jaula de Faraday: 45. AFDMProceso forense: Fase de adquisicin Y por fin llega la fase de extraccin de la informacin, esdecir la copia bit a bit de la informacin, que se realiza conherramientas comerciales como Oxygen Forensics, Lantern 46. AFDM Proceso forense: Fase de anlisisSe debe analizar: Los datos de la red. Los datos de los hosts. Los datos de los medios dealmacenamiento. 47. AFDM Proceso forense: Fase de documentacinPasos para organizar la informacin en un proceso legal:o Recopilar y Organizar: Se retoma toda la documentacin de las fasesanteriores.o Escribir el informe: Se escribe el informe con los siguientesparmetros: Propsito: Todo informe tiene que tener definido de forma clara cuales su propsito, a que publico va dirigido y cual es su objetivo. Autor/Autores: Junto con su responsabilidad y su contacto. Resumen de Incidentes: Explicado de...

Recommended

View more >