[Texto] FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

Download [Texto] FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS COM SISTEMA OPERACIONAL ANDROID

Post on 24-May-2015

922 views

Category:

Mobile

18 download

Embed Size (px)

DESCRIPTION

Trabalho de graduo interdisciplinar apresentado na Universidade Presbiteriana Mackenzie em Novembro de 2013. Existem diversas tcnicas para percia forense em desktops e estas j esto bastante difundidas. No entanto, no que se refere a computao pessoal o cenrio mundial est em plena mudana. Cada vez mais pessoas deixam de utilizar os tradicionais computadores pessoais e concentram suas atividades em smartphones e tablets. Dentre os sistemas operacionais para dispositivos mveis, o que vem mostrando o maior crescimento o Android, e por isso ele o foco desta pesquisa. As tcnicas de forense digital conhecidas para telefones celulares e desktops no so suficientemente especficas e detalhadas para realizao de exames em dispositivos controlados pelo Android. O objetivo do trabalho apresentar tcnicas de percia forense com mtodos especficos para o sistema operacional Android. Para a apresentao destes mtodos de percia forense, foram mapeadas situaes reais em que os peritos se encontram durante os processos de extrao de dados. Ao final do trabalho foi proposto um estudo de caso, no qual um smartphone com Android propositalmente infectado com um trojan e este identificado atravs do uso de algumas das tcnicas forenses apresentadas.

TRANSCRIPT

  • 1. UNIVERSIDADE PRESBITERIANA MACKENZIEFACULDADE DE COMPUTAO E INFORMTICACINCIA DA COMPUTAOVALDEMIR VIEIRA JUNIORFORENSE DIGITAL EM DISPOSITIVOS MVEIS COM SISTEMA OPERACIONAL ANDROIDSo Paulo2013

2. VALDEMIR VIEIRA JUNIORFORENSE DIGITAL EM DISPOSITIVOS MVEIS COM SISTEMA OPERACIONAL ANDROIDORIENTADORA: Professora Dr Maria Ines Lopes Brosso PioltineSo Paulo2013Trabalho de Graduao Interdisciplinarapresentado ao curso de Cincia da Computao, daFaculdade de Computao e Informtica da UniversidadePresbiteriana Mackenzie, como requisito parcial obteno do grau de Bacharel em Cincia da Computao. 3. AGRADECIMENTOSAos meus pais que mesmo no podendo me ajudar diretamente contriburam com o que puderam durante a minha jornada.A minha orientadora, Professora Dra. Maria Ins Lopes Brosso Pioltine, que me guiou durante todo o desenvolvimento deste trabalho, me ajudando a manter o foco na pesquisa proposta desde o seu incio.Aos meus colegas de trabalho pelo tempo dedicado a me ouvir falar da pesquisa e pelas sugestes acrescentadas a este trabalho. 4. No devemos parar de explorar. E o fim de toda a nossa explorao ser chegar ao ponto de partida e ver o lugar pela primeira vezT. S. Eliot 5. RESUMOExistem diversas tcnicas para percia forense em desktops e estas j esto bastante difundidas. No entanto, no que se refere a computao pessoal o cenrio mundial est em plena mudana. Cada vez mais pessoas deixam de utilizar os tradicionais computadores pessoais e concentram suas atividades em smartphones e tablets. Dentre os sistemas operacionais para dispositivos mveis, o que vem mostrando o maior crescimento o Android, e por isso ele o foco desta pesquisa. As tcnicas de forense digital conhecidas para telefones celulares e desktops no so suficientemente especficas e detalhadas para realizao de exames em dispositivos controlados pelo Android. O objetivo do trabalho apresentar tcnicas de percia forense com mtodos especficos para o sistema operacional Android. Para a apresentao destes mtodos de percia forense, foram mapeadas situaes reais em que os peritos se encontram durante os processos de extrao de dados. Ao final do trabalho foi proposto um estudo de caso, no qual um smartphone com Android propositalmente infectado com um trojan e este identificado atravs do uso de algumas das tcnicas forenses apresentadas.Palavras-chave: Android, Anlise Forense, Segurana, Mobile, Aquisio de Dados, Smartphones. 6. ABSTRACTThere are several techniques for forensics on desktops and these are already quite widespread. However, in regard to personal computers in the world scenario is full change. More and more people stop using traditional personal computers and focus their activities on smartphones and tablets. Among the operating systems for mobile devices, which has shown the greatest growth is Android, so it is the focus of this research. The digital forensic techniques known for mobile phones and desktops are not sufficiently specific and detailed examinations on devices controlled by Android. The objective is to present forensic techniques with methods specific to the operating system Android. For the presentation of these methods forensics were mapped actual situations in which the experts are in the process of data extraction. At the end of the work we propose a case study in which a smartphone with Android is purposely infected with a trojan and this identified through the use of some of forensic techniques presented.Keywords: Android, Forensics, Security, Mobile, Data Acquisition, Smartphones. 7. SUMRIOCAPTULO 1. INTRODUO ....................................................................... 141.1 INTRODUO ........................................................................................ 141.2 OBJETIVO .......................................................................................... 151.3 MOTIVAO ....................................................................................... 151.4 JUSTIFICATIVA .................................................................................. 161.5 TRABALHOS RELEVANTES .............................................................. 161.6 METODOLOGIA DE PESQUISA ........................................................ 161.7 ORGANIZAO DO TRABALHO ....................................................... 16CAPTULO 2. O SISTEMA OPERACIONAL ANDROID ............................... 182.1 INTRODUO .................................................................................... 182.2 A PLATAFORMA................................................................................. 192.3 A MQUINA VIRTUAL DALVIK .......................................................... 212.3.1 Comparao entre a Sun JVM e a Dalvik VM ............................... 222.3.2 O formato dex ............................................................................... 232.4 ANDROID SOFTWARE DEVELOPMENT KIT .................................... 242.4.1 Android NDK ............................................................................. 252.4.2 Android Virtual Devices (AVD) .................................................. 252.4.3 Android Debug Bridge - ADB Tools ........................................... 282.5 SISTEMAS DE ARQUIVOS ................................................................ 302.5.1 FAT32 ........................................................................................ 302.5.2 YAFFS2 ..................................................................................... 312.5.3 Parties do Sistema de Arquivos ............................................. 322.5.4 Formas de Persistncia de Dados ............................................ 332.6 LOGS DO SISTEMA E DAS APLICAES ........................................ 352.6.1 Log do Kernel do Linux.............................................................. 352.6.2 Logs dos Apps ........................................................................... 402.7 GOOGLE PLAY .................................................................................. 41CAPTULO 3. SEGURANA NO SISTEMA OPERACIONAL ANDROID ..... 423.1 INTRODUO .................................................................................... 423.2 PERMISSO POR APLICAO ......................................................... 423.3 VULNERABILIDADES NO ARMAZENAMENTO DE INFORMAES 473.4 PROTEO DOS DADOS NO ANDROID .......................................... 48 8. 3.4.1 Bloqueio de Tela ....................................................................... 483.4.2 Criptografia de Dados................................................................ 503.5 SEGURANA NA TRANSMISSO DE INFORMAES ................... 513.5.1 Autenticao no protocolo SSL/TLS .......................................... 523.5.2 Transmisso dos Dados ............................................................ 523.6 AMEAAS NA TRANSMISSO DE DADOS ...................................... 533.7 MALWARE .......................................................................................... 53CAPTULO 4. FORENSE DIGITAL NO ANDROID ....................................... 554.1 INTRODUO .................................................................................... 554.2 TIPOS DE INVESTIGAO ................................................................ 564.3 AMBIENTE DE TESTES ..................................................................... 574.4 PRESERVANDO O ESTADO DO DISPOSITIVEL MVEL ................ 594.4.1 Passando pelo Bloqueio de Tela ............................................... 594.4.2 Isolando o Dispositivo Mvel da Rede ...................................... 624.4.3 Conhecendo o Dispositivo ......................................................... 644.5 EXTRAINDO INFORMAES DO DISPOSITIVO.............................. 644.5.1 Extrao Via Software ............................................................... 644.5.2 Extrao Via Hardware.............................................................. 664.6 ANLISE DAS INFORMAES OBTIDAS ........................................ 664.6.1 Ferramentas e Tcnicas de Anlise de Dados .......................... 664.6.2 Anlise Forense das Parties SDCard e eMMC ...................... 694.6.3 Anlise Forense no Sistema de Arquivos YAFFS2 ................... 72CAPTULO 5. ESTUDO DE CASO ............................................................... 735.1 INTRODUO .................................................................................... 735.2 METODOLOGIA DE ANLISE PROPOSTA ....................................... 735.2.1 O Malware Zitmo ....................................................................... 755.2.2 Identificao do Malware ........................................................... 755.2.3 Engenharia Reversa e Anlise do Arquivo APK ........................ 775.3 CONCLUSO ..................................................................................... 80CAPTULO 6. CONCLUSO ........................................................................ 816.1 TRABALHOS FUTUROS .................................................................... 81REFERENCIAS ................................................................................................ 83 9. LISTA DE TABELASTabela 1 Vendas de Smartphones por SO no mundo (em milhares de unidades).......................................................................................................... 19Tabela 2 Distribuio das verses do Android .............................................. 21Tabela 3 Comparao entre os tamanhos dos arquivos JAR e DEX ............ 24Tabela 4 Data de disponibilizao do Android SDK ...................................... 24Tabela 5 Localizao dos arquivos criados pelo AVD ................................... 27Tabela 6 Estrutura do diretrio /data/data/ ....... 33Tabela 7 Nveis de log ................................................................................... 37Tabela 8 Opes de comando de linha do logcat ......................................... 38Tabela 9 Tcnicas para isolar um dispositivo mvel da rede ........................ 63Tabela 10 Parties e sistemas de arquivos ................................................. 67 10. LISTA DE FIGURASFigura 1 Assinantes da telefonia celular por ano no mundo. ......................... 14Figura 2 Viso da arquitetura do SO Android ................................................ 19Figura 3 Relao entre verso do Android em aparelhos em uso ................. 21Figura 4 - Java vs Dalvik .................................................................................. 23Figura 5 AVD em execuo ........................................................................... 26Figura 6 Estrutura de diretrios criados pelo AVD ........................................ 27Figura 7 Instalao do Android ADB Tools.................................................... 28Figura 8 Ativao do modo de depurao no Android .................................. 29Figura 9 Comando adb devices ..................................................................... 29Figura 10 Comando adb shell ....................................................................... 30Figura 11 Listagem do diretrio shared_prefs do aplicativo Phone ............... 33Figura 12 Arquivo XML do tipo chave-valor................................................... 34Figura 13 Listagem do diretrio data/data ..................................................... 34Figura 14 Sada do comando dmesg ............................................................ 36Figura 15 Sada do comando logcat .............................................................. 37Figura 16 Sada do comando dumpsys ......................................................... 39Figura 17 Sada do comando dumpstate ...................................................... 40Figura 18 Listagem do diretrio do app Dropbox .......................................... 41Figura 19 Visualizao do arquivo de logs do app Dropbox ......................... 41Figura 20 Instalao dos Apps Google Maps e Gmail respectivamente ....... 44Figura 21 Visualizao da permisso de acesso no Manifest.xml ................ 44Figura 22 Restrio de acesso no Manifest.xml ............................................ 46Figura 23 Aviso do Android sobre fontes desconhecidas .............................. 47Figura 24 Tela de configurao de bloqueio do Android ............................... 49Figura 25 Bloqueio de tela por cdigo pin, desenho de padro e senha alfanumrica respectivamente. ......................................................................... 49Figura 26 Tela de opo para criptografar os dados do dispositivo .............. 50Figura 27 Criptografia dos dados: telas de aviso e confirmao respectivamente ............................................................................................... 51Figura 28 Exemplo de configurao de conexo SSL/TLS ........................... 53Figura 29 Foto mostrando a marca do pattern desenhado. .......................... 60 11. Figura 30 Sada do comando lsub ................................................................. 64Figura 31 Extrao de dados via adb pull sem acesso de root ..................... 65Figura 32 Extrao de dados via adb pull como root .................................... 65Figura 33 Sada do comando mount ............................................................. 67Figura 34 Sada do comando strings sobre uma base SQLite ...................... 68Figura 35 Visualizao de uma base SQLite no hexeditor ............................ 69Figura 36 Visualizao das tabelas de uma base SQLite ............................. 69Figura 37 Opo Mover para o carto de memria ....................................... 70Figura 38 Listagem do diretrio /mnt ............................................................. 71Figura 39 Diagrama de identificao e anlise de malware .......................... 74Figura 40 Instalao do APP Trusteer Rapport ............................................. 76Figura 41 Visualizao dos processos em execuo .................................... 76Figura 42 Extrao do arquivo apk do app suspeito ..................................... 77Figura 43 Analise do trfego de rede do AVD pelo software Wireshark ........ 77Figura 44 Visualizao do contedo do apk do app Zitmo ............................ 77Figura 45 Execuo da ferramenta APKTools .............................................. 78Figura 46 Execuo da ferramenta dex2jar................................................... 79Figura 47 Visualizao do cdigo do Zitmo no JD-GUI ................................. 79 12. LISTA DE SIGLAS E ABREVIAESADBAndroid Debug BridgeAPIApplication Programing InterfaceAPPApplication SoftwareAVDAndroid Virtual DeviceDVMDalvik Virtual MachineDiDDefense in DepthGCGarbage CollectionGPLGNU Public LicenseGPSGlobal Positioning SystemGSMGlobal System for MobileHTMLHyperText Markup LanguageIDEIntegrated Development EnvironmentJVMJava Virtual MachineMMCMultiMedi...