análisis forense de otros móviles
DESCRIPTION
Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.TRANSCRIPT
Juan Garrido & Juan Luis García Rambla
Consultores de Seguridad I64
http://windowstips.wordpress.com
http://www.informatica64.com
Introducción
Tecnología Windows Mobile
Estructura Física y Lógica
Adquisición de imágenes
Live Forensics
El auge de los sistemas de movilidad y uso intensivo de los mismospropician el uso fraudulento o criminal con los mismos.
Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.
El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:
Buenas prácticas.
Preservación de la información.
Analisis basados en métodos.
Herramientas forenses.
Arquitectura diferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.
Software de análisis forense y hardware específico.
La mayoría de software forense es de pago.
SIM.
Memoria interna.
Memorias internas secundarias.
Unidades Flash.
Discos SD.
Es posible aunar ambas tecnologías.
La generación de imágenes de memoria interna se puede realizarcon herramientas específicas para móviles.
Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
Aun siendo modelos y diseños muy diferentes mantienen la arquitectura incluso entre versiones.
El componente principal en un caso forense es la memoriainterna.
La estructura de la memoria interna es mantenida desde lasversiones Pocket PC 2003.
Los distintos modelos pueden contar con más o menos memoria o diferentes unidades internas.
Adicionalmente al PIN de la SIM algunos terminales pueden tenercódigo de Bloqueo.
Bloquear no cifra, solo bloquea el acceso a datos desde el terminal.
La unidad puede ser extraída y analizada en otro dispositivo o terminal hardware de análisis.
El desbloqueo del mismo solo puede ser llevado por metodologíaHardware o "puertas traseras específicas de dispositivos".
El Hard Reset Hardware anularía dicho mecanismo.
Al igual que la tecnología convencional debemos distinguir entre eliminación lógica de ficheros o contenido o formateo o recuperación de valores de fábrica del dispositivo.
La recuperación de ficheros eliminados puede ser realizada con herramientas forense como OXY-Forensics o Paraben s Device Seizure.
Empresas como DiskLabs permiten la recuperación de datoseliminados aún incluso realizado mediante un Hard Reset.
www.disklabs.com
Los sistemas de Windows Mobile cuenta habitualmente con dos estructuras.
Física.
Lógica.
Los discos aunque pueden ser modificados contienen en combinación de fábrica 4 particiones.
Part 00: Contiene una actualización del Kernell para los procesosde actualización del Sistema Operativo.
Part 01: Contiene el Kernell Primario.
Part 02: Contiene la imagen ROM comprimida en formato LZX.
Part 03 u otro Disco contiene la información de ficheros, Carpetasy otros datos interesantes para una investigación.
Se puede especificar a través del Objeto que crea
Windows
Puede ser utilizado mediante aplicaciones específicas de forense.Herramientas XACT Forensics LTD
Conjunto de utilidades OXY.
Paraben Device Seizure.
Mobiledit Forense de Compelson.
Conjunto de aplicaciones no forense que permiten trabajar con dispositivos.
ITSUtilsBin.
TULP2G (en desarrollo el módulo de obtención de imágenes de disco).
Hay pasarle los datos en HEX
Se hace por problemas de compatibilidad
Especificarle el Disco y la partición a copiar
Offset de Inicio + Offset final
Copia al vuelo
Problema con ficheros abiertos
Tenemos que acatar la ley
Sentar jurisprudencia
Que la prueba sea admisible
Que se pueda “Hashear” (Evidencia fiable)
Se pueda analizar a posteriori
Se puede realizar en la mayoría
Iphone & Android
Hardware… Of Course
SSH
USB
Windows Mobile
Hardware… Of Course
SD Card
Listar directorios
PDIR
Modo Verbose
Recursividad
Procesos en ejecución
PPS
Hilos en ejecución
Ficheros abiertos
PHANDLE
Copiar archivos específicos
PGET
No copia archivos en uso (API!!)
Examinar y copiar el registro
PREGUTL
http://Windowstips.wordpress.com
Suscripción gratuita en [email protected]
http://elladodelmal.blogspot.com
http://legalidadinformatica.blogspot.com