[apresentação] forense digital em dispositivos mÓveis com sistema operacional android

Download [Apresentação] FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

Post on 09-Jun-2015

196 views

Category:

Mobile

10 download

Embed Size (px)

DESCRIPTION

Apresetação do trabalho de graduação interdisciplinar na Universidade Presbiteriana Mackenzie. Tema: FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

TRANSCRIPT

  • 1. VALDEMIR VIEIRA JUNIORFORENSE DIGITAL EM DISPOSITIVOSMVEIS COM SISTEMA OPERACIONALANDROIDORIENTADORA: Professora Dr Maria Ines Lopes Brosso Pioltine

2. Roteiro Objetivos Justificativa Metodologia A Plataforma Android Segurana no Android Forense Digital Estudo de Caso Consideraes Finais Referncias 3. Objetivos Apresentar mtodos de Forense Digitalaplicados a dispositivos mveis com o sistemaoperacional Android 4. Justificativa O aumento substancial no nmero dedispositivos mveis com o sistema operacionalAndroid As informaes pessoais salvas nestesdispositivos Diferena em relao as tcnicas de forensedigital aplicadas Desktops Tema pouco presente nas literaturas sobre osistema operacional Android 5. Metodologia Pesquisa Bibliogrfica Mtodo de Estudo de Caso 6. A Plataforma Android Em Agosto de 2005 a Google adquiriu a Android Inc Em 2007 anunciada a Open Handset Alliance(inserindo o Android no mundo opensource) Em 2008 lanada a primeira verso do SDK e oprimeiro smartphone com o sistema, o G1 da HTC A partir de 2009, com as verses 1.5, 1.6 e 2.x viu-seuma proliferao de dispositivos que rodam osistema 7. Arquitetura 8. Sistema de Arquivos FAT32 (SDCard, eMMC) YAFFS2 (memria interna) Parties do Sistema (usurio, sistema, aplicativos) Formas de persistncia Preferncias compartilhadas Armazenamento interno SQLite Rede 9. Logs Uma rica fonte de evidncias Logs do Kernel Linux (dmesg) ADB Tools (Android Debug Bridge) Logcat (logs de atividade do Android) Dumpsys (servios em execuo) Dumpstate (Combina a sada dos outroscomando com informaes do sistema) Logs de atividades dos apps 10. Exemplo de Sada do logcatahoog@ubuntu:~$ adb shell logcatI/HtcLocationService( 308): agent - search location by name: oak park,country:united states, state: illinoisI/HtcLocationService( 308): agent - no location was found, total: 0D/AutoSetting( 308): service - CALLBACK - onGetTimeZoneOffset, result: failed,zoneId: , offset: 0D/LocationManager( 308): removeUpdates: listener =com.htc.htclocationservice.HtcLocationServiceAgent$7@45dfc770V/AlarmManager( 97): Adding Alarm{463aea28 type 2 com.google.android.location}Jan 05 05:05:25 pmI/HtcLocationService( 308): agent - send current location notify intent, name:Oak Park, state: Illinois, country: United States, lat: 41.8786, lng:-87.6359,tzid: 11. Segurana no Android 12. Sistema de Permisses Diretrio /data/data Por aplicao Usurio Linux Grupo Linux Processo separado Nova instncia daDalvik VM 13. Proteo dos DadosDois modos principais: Criptografia dos Dados e Bloqueio de Tela 14. Malwares Primeiro malware identificado em 2010 Similares e ao mesmo tempo muito diferentesdos que atacam o Windows Usurio tem mais informaes pessoais salvasno smartphone do que no PC Procuram enganar o usurio para obterpermisses de acesso a servios do sistema eas informaes de outros aplicativos 15. Forense Digital 16. Tipos de Investigao Investigaes Corporativas Propriedade intelectual e roubo de dados Uso inadequado dos recursos da empresa Ataques bem sucedido ou tentativa contra os sistemasda empresa Investigao sobre um empregado, incluindo adiscriminao, assdio sexual, etc Auditoria de segurana 17. Preservando o Estado do Dispositivo No modificar o estado do aparelhoIsolar da Rede Modo Avio Remover Carto SIM Suspender ContaDiretamente na Operadora(mandado judicial) Gaiola de Faraday Desligar o DispositivoSem Bloqueio de Tela Aumentar o tempo deespera Habilitar a depurao porUSB Habilitar a opoPermanecer acordado 18. Conhecendo o Dispositivo Ocomando lsusbluffy@ubuntu:~$ sudo lsusb -vBus 002 Device 004: ID 1004:61a6 LG Electronics, Inc.Device Descriptor:bLength 18bDescriptorType 1bcdUSB 2.00bDeviceClass 239 Miscellaneous DevicebDeviceSubClass 2 ?bDeviceProtocol 1 Interface AssociationbMaxPacketSize0 64idVendor 0x1004 LG Electronics, Inc.idProduct 0x61a6bcdDevice 2.16iManufacturer 2 LGEiProduct 3 LG AndroidiSerial 4 7DF600229FFC0000016395910A01600FbNumConfigurations 1 19. Como Passar pelo Bloqueio de TelaSmudge Attack Estudo realizadopela Universidadeda Pensilvnia Consiste emfotografar a tela dodispositivo touchscreen de diversosngulos verticais 20. Como Passar pelo Bloqueio de Tela Login da Conta Google Aps um certo nmero detentativas mal sucedidas oAndroid oferece a opo dedesbloqueio por meio daconta Google do usurio Desabilitar por meio doGoogle Play Se o login e senha foremconhecidos possvelutilizar o Google Play parainstalar um App edesbloquear a tela A tcnica consiste eminstalar dois Apps: oprimeiro far o desbloqueioda tela, o segundo serve degatilho para iniciar aexecuo do primeiro 21. Extrao de Dados O Comando ADB Pullluffy@ubuntu:~$ adb pull data/data/// varios outros arquivospull: data/backup/processed -> data/backup/processedpull: data/backup/ancestral -> data/backup/ancestralpull: data/LostFound/Vesta -> data/LostFound/Vestapull: data/LostFound/Interamnia -> data/LostFound/Interamniapull: data/LostFound/Hygiea -> data/LostFound/Hygieapull: data/LostFound/Europa -> data/LostFound/Europapull: data/LostFound/Davida -> data/LostFound/Davidapull: data/LostFound/Ceres -> data/LostFound/Ceres1463 files pulled. 0 files skipped.2050 KB/s (521045345 bytes in 248.121s) 22. Estudo de Caso 23. Obter relatos dousurio sobrecomportamentosuspeitoTelefone ligado? possvel extrairdados docarto?nosimIsolar redeMetodologiaExtrair dados docarto de memriae substituir o cartosimno possvel isolarfisicamente aLigar telefone no sim Ligar telefonerede?Telefonebloqueado?simObter senha com ousurioExtrair dados docarto de memriae avaliar suasubstituioShell via ADBcom superusurio?noAtivar o modo dedepuraoEspelhar partiesdo sistemasimExtrair informaesdo sistemaacessveis (dmesg,dumpsys, logcat)Listar aplicativosinstaladosVerificar apps comacesso a rede (3g,wi-fi)Simular o envio deinformaes porSMS e outrasconexesInformaespessoaisinterceptadas?Listar o app eanalisar o IP dedestinoAplicativosuspeitoidentificado?simCoverter oclasses.dex em jarcom a ferramentadex2jarDescompilar o jar esuas classes com JD-GUIsimAnalisar o cdigofonte e arquivosXML do APPMalwareencontrado?sim ConcluirnoDesempacotar como APKToolsnoExtrair o arquivoAPK e instalar numaAVD (sandbox)nono 24. O Malware Zitmo Verso Android do malware Zeus Trabalha em conjunto com o Zeus Banking O objetivo obter o cdigo de transaobancria da etapa de verificao A infeco ocorre por um ataque de phishingonde aps a instalao do aplicativo para PC ousurio direcionado para o download do apppara Android 25. Identificao Informaes relevantes: Relatos do usurio Quais os ltimos aplicativos instalados Visualizar os processos em execuo (ADBTools) Ver quais deles possuem acesso a servios derede 26. Engenharia Reversa Extrair apk (/data) Instalar o app numa AVD e monitorar asatividades de rede (Wireshark) 27. Engenharia Reversa APKTOOLS(desempacotar APK) Dex2jar(converterclasses.dex em.jar JD-GUI (visualizaro cdigo) 28. Consideraes Finais 29. A literatura sobre a forense digital no Androidainda bastante restrita e no se compara aoque se refere aos PCs Mesmo com o conhecimento, a forense para oAndroid ainda carece de ferramentas deanlise Apesar disso, com um base sobre ofuncionamento do sistema e conhecimento desua arquitetura possvel realizar um trabalhode qualidade e obter as informaesnecessrias 30. REFERNCIAS Morum de L Simo, Andr; Scoli, Fbio Cas; Peotta de Melo, Laerte; Deus, Flvio Elias de;Sousa Jnior, Rafael Timteo. Aquisio de Evidncias Digitais em Smatphones Android.Universidade de Braslia, Braslia, pp 92-99, Outubro de 2011. Google Inc. Android Fundamentals. Android Developers, 2013. Disponvel em:. Acesso em: 26 maro2013. Hoog, Andrew. Android Forensics. First Edition. Waltham, MA. Elsevier Inc, 2011. A Castilho, Carlos. Android Malware Past, Present, and Future. Mobile Security WorkingGroup McAfee. Disponvel em: < http://www.mcafee.com/us/resources/white-papers/wp-android-malware-past-present-future.pdf >. Acesso em: 26 de Outubro de 2013. ACPO Good Pratice for Computer-Based Eletronic Evidence. 7Safe Information Security.Acesso em 15 de Outubro de 2010. Disponvel em: . Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, and Jonathan M. Smith. SmudgeAttacks on Smartphone Touch Screens. 21 de Fevereiro de 2011. Disponvel em: . Six, Jeff. Application Security for the Android Platform. First Edition. Sebastopol, CA. OReillyMedia, Inc. 2011. 31. Muito Obrigado!

Recommended

View more >