Hoy iniciamos la serie de entradas referentes al análisis forense en Android, ya que por sugerencia en twitter y según los votos en la encuesta que se realizo el mes de septiembre, realizaremos un merge de Android y Forensic, no se cuantas entradas vendrían pero estaremos toda esta semana con ello, para esto lo que haremos es tener un caso el cual llegaremos a crearlo en su totalidad y hacer el tratado de la información y el análisis respectivo.
Caso SanSon
Hoy 2 de Septiembre del 2014 llega a oficinas de SniferL4bs un dispositivo móvil marca Samsung el cual fue previamente usado por Pepito, un ingeniero de Sistemas que estudiaba en la universidad de Compostela al norte de Cochabamba, se cree que Pepito realizo alguna modificación a sus notas de la materia de Grado, además de ello se lo acusa de hacer la filtración de fotos de los docentes de la universidad, los cuales son bastante comprometedores.
Para este análisis somos totalmente novatos, al no tener y carecer de herramientas forenses, comenzaremos a realizar una pequeña investigación referente a herramientas libres que podamos usar para nuestro cometido, aun no sabemos que datos ni que debemos de revisar del dispositivo movil, pero lo que si sabemos que al ser un Samsung existe la posibilidad de que tenga un Android como sistema operativo. (Hasta este punto solo estamos realizando teorias o hipotesis de lo que pueda ser el dispositivo, como tambien no tenemos conocimiento de las carácteristicas necesarias, por ello procederemos a realizar el proceso respectivo.)
Herramientas de análisis forense
Hey en este punto tenemos muchas dudas, sobre que herramienta usar, aquí debemos de considerar el hacer uso de herramientas para Windows, Linux multiplataforma.
Así tambien si seran gratuitas o de paga, ya que este es un proceso de investigación y su servidor Snifer no tiene recursos para comprar implementaciones de paga, usaremos en sus versiones triales o bien gratuitos priorizando el uso de herramientas para GNU / LINUX.
Primero como base usaremos ADB Android Debug Bridge (ADB). Despues veremos otras opciones pero si la duda te carcome y quieres conocer por tu cuenta tenemos el post de Conexioninversa en su blog Forensics Powertools el cual realizo una recopilación de herramientas de análisis forense.
Es necesario para este cometido dos entornos de Sistemas Operativos Windows y Linux, tendremos a Windows virtualizado y Linux como SO principal.
No estaría de más tener un cargador, para el móvil para evitar que se vaya la batería y perdamos información.
Algo que se tiene que tener en cuenta es que cuando se realiza un análisis forense a un dispositivo móvil es necesario que se use una Jaula de Faraday o una bolsa aislante de comunicación para el dispositivo, es la misma lógica que se usa para que un Disco Duro por ejemplo no entre en contacto con el polvo al que se le llama cámaras de vacio,una jaula de Faraday tiene como objetivo, evitar que el equipo se conecte a una red o reciba alguna llamada, envió de sms, bloqueo o algún factor del exterior se comunique y que la prueba se contamine.
¿Que es una Jaula de Faraday?
Una jaula de Faraday es una caja metálica que protege de los campos eléctricos estáticos. Debe su nombre al físico michael faraday, que construyó una en 1836. Se emplean para proteger de descargas eléctricas, ya que en su interior el campo eléctrico es nulo.
Para tener una mayor referencia los invito a leer el siguiente enlace de Wikipedia Jaula de Faraday
Lo correcto es lograr tener todo un laboratorio forense de ley, es decir, con las normas y medidas respectivas para el análisis repectivo, pero como no tenemos de recursos para dicho cometido lo que hares es usar software libre y hacer nuestras PoC con material fácil de encontrar.
Ahora un ejemplo de material relacionado a una Jaula de Faraday tenemos en http://www.ramseytest.com/ como se observa en la imagen.
Esta caja cuenta con todo lo necesario, hasta un generador interno el cual le da al dispositivo energia no, se si es esta Jaula de Faraday la que cuenta hasta con un ordenador (portatil) interno para hacer la pericia de forma directa sin que salga del lugar.
Otra solución son las propias “Bolsas de Faraday”, que tienen como objetivo la de evitar la conexión con el exterior
Se observa que tenemos para todo tipo ya bolsas mas específicas por si algún momento es necesario que se haga uso de ellas no esta de mas conocer.
¿Queda alguna opción más? Pues si…se puede usar también un inhibidor de señal, asegurándose previamente que bloquee las frecuencias que a nosotros nos interesa bloquear. Hasta donde es de mi conocimiento un inhibidor de señal causa graves problemas de cabeza dando jaqueka lo cual llega a ser insoportable, deberían de usar estos bichitos en los bancos xD asi no van jugando con sus moviles, pero ya saben porque no se hace :| necesito revisar la razón tanto en Bolivia como si en resto de los puntos del mundo se tiene algo o solo control policial tarea para luego.
Imagen obtenida de MaztoR
Algo a tomar en cuenta en todos esto es que cuando el dispositivo no tiene conectividad, es decir no recibe señal incrementa su capacidad para poder recibir lo cual es un aumento en el gasto de la bateria, para ello lo mejor es o bien ponerlo en modo avión o evitar que se apague la batería haciendo uso de algunos medios adicionales como ser un cargador incluido, y demás detalles para esos puntos se tiene las Jaulas de Faraday incluidas con todo el set necesario.
Pero señores como Snifer@L4b’s no tiene los recursos para comprar ninguno de estos artefactos, ni mucho menos el tiempo para montar un circuito que actué como inhibidor de señal, en la próxima entrega de Análisis Forense a Android iremos viendo una forma casera de bloquear la señal del dispositivo del caso, del mismo modo romperemos la seguridad del dispositivo sacando una imagen forense un poco de diversión. Espero les agrade esta pequeña investigación que ire realizando, ademas de ello compartiendo herramientas y enlaces de interés que vaya identificando.
**
Regards,
Snifer**