This page looks best with JavaScript enabled

Analisis Forense a Android I - El caso de Pepito, preparando el entorno.

 ·   ·   5 min read

Hoy iniciamos la serie de entradas referentes al an√°lisis forense en Android, ya que por sugerencia en twitter¬† y seg√ļn los votos en la encuesta que se realizo el mes de septiembre, realizaremos un merge de Android y Forensic, no se cuantas entradas vendr√≠an pero estaremos toda esta semana con ello, para esto lo que haremos es tener un caso el cual llegaremos a crearlo en su totalidad y hacer el tratado de la informaci√≥n y el an√°lisis respectivo.

Caso SanSon

Hoy 2 de Septiembre del 2014 llega a oficinas de SniferL4bs un dispositivo móvil marca Samsung el cual fue previamente usado por Pepito, un ingeniero de Sistemas que estudiaba en la universidad de Compostela al norte de Cochabamba, se cree que Pepito realizo alguna modificación a sus notas de la materia de Grado, además de ello se lo acusa de hacer la filtración de fotos de los docentes de la universidad, los cuales son bastante comprometedores.

Para este an√°lisis somos totalmente novatos, al no tener y carecer de herramientas forenses, comenzaremos a realizar una peque√Īa investigaci√≥n referente a herramientas libres que podamos usar para nuestro cometido, aun no sabemos que datos ni que debemos de revisar del dispositivo movil, pero lo que si sabemos que al ser un Samsung existe la posibilidad de que tenga un Android como sistema operativo. (Hasta este punto solo estamos realizando teorias o hipotesis de lo que pueda ser el dispositivo, como tambien no tenemos conocimiento de las car√°cteristicas necesarias, por ello procederemos a realizar el proceso respectivo.)

Herramientas de an√°lisis forense

Hey en este punto tenemos muchas dudas, sobre que herramienta usar, aquí debemos de considerar el hacer uso de herramientas para Windows, Linux multiplataforma.

Así tambien si seran gratuitas o de paga, ya que este es un proceso de investigación y su servidor Snifer no tiene recursos para comprar implementaciones de paga, usaremos en sus versiones triales o bien gratuitos priorizando el uso de herramientas para GNU / LINUX.

Primero como base usaremos ADB Android Debug Bridge (ADB). Despues veremos otras opciones pero si la duda te carcome y quieres conocer por tu cuenta tenemos el post de Conexioninversa en su blog Forensics Powertools el cual realizo una recopilación de herramientas de análisis forense. 

Es necesario para este cometido dos entornos de Sistemas Operativos Windows y Linux, tendremos a Windows virtualizado y Linux como SO principal.

No estaría de más tener un cargador, para el móvil para evitar que se vaya la batería  y perdamos información.

Algo que se tiene que tener en cuenta es que cuando se realiza un an√°lisis forense a un dispositivo m√≥vil es necesario que se use una Jaula de Faraday o una bolsa aislante de comunicaci√≥n para el dispositivo, es la misma l√≥gica que se usa para que un Disco Duro por ejemplo no entre en contacto con el polvo al que se le llama c√°maras de vacio,una jaula de Faraday tiene como objetivo, evitar que el equipo se conecte a una red o reciba alguna llamada, envi√≥ de sms, bloqueo o alg√ļn factor del exterior se comunique y que la prueba se contamine.
¬ŅQue es una Jaula de Faraday?

Una jaula de Faraday es una caja metálica que protege de los campos eléctricos estáticos. Debe su nombre al físico michael faraday, que construyó una en 1836. Se emplean para proteger de descargas eléctricas, ya que en su interior el campo eléctrico es nulo.

Para tener una mayor referencia los invito a leer el siguiente enlace de Wikipedia Jaula de Faraday

Lo correcto es lograr tener todo un laboratorio forense de ley, es decir, con las normas y medidas respectivas  para el análisis repectivo, pero como no tenemos de recursos para dicho cometido lo que hares es usar software libre y hacer nuestras PoC con material fácil de encontrar.

Ahora un ejemplo de material relacionado a una Jaula de Faraday tenemos en http://www.ramseytest.com/ como se observa en la imagen.

Esta caja cuenta con todo lo necesario, hasta un generador interno el cual le da al dispositivo energia no, se si es esta Jaula de Faraday la que cuenta hasta con un ordenador (portatil) interno para hacer la pericia de forma directa sin que salga del lugar.

Otra soluci√≥n son las propias ‚ÄúBolsas de Faraday‚ÄĚ, ¬†que tienen como objetivo la de evitar la conexi√≥n con el exterior

Se observa que tenemos para todo tipo ya bolsas mas espec√≠ficas por si¬†alg√ļn¬†momento es necesario que se haga uso de ellas no esta de mas conocer.

¬ŅQueda alguna opci√≥n m√°s? Pues si‚Ķse puede usar tambi√©n un inhibidor de se√Īal, asegur√°ndose previamente que bloquee las frecuencias que a nosotros nos interesa bloquear. Hasta donde es de mi conocimiento un inhibidor de se√Īal causa graves problemas de cabeza dando jaqueka lo cual llega a ser insoportable, deber√≠an de usar estos bichitos en los bancos xD asi no van jugando con sus moviles, pero ya saben porque no se hace :| necesito revisar la raz√≥n tanto en Bolivia como si en resto de los puntos del mundo se tiene algo o solo control policial tarea para luego.¬†

Imagen obtenida de MaztoR

Algo a tomar en cuenta en todos esto es que cuando el dispositivo no tiene conectividad, es decir no recibe se√Īal incrementa su capacidad para poder recibir lo cual es un aumento en el gasto de la bateria, para ello lo mejor es o bien ponerlo en modo¬†avi√≥n¬†o evitar que se apague la bater√≠a haciendo uso¬†de algunos medios adicionales como ser un cargador incluido, y¬†dem√°s¬†detalles para esos puntos se tiene¬†las Jaulas de Faraday incluidas con todo el set necesario.¬†

Pero se√Īores como Snifer@L4b’s no tiene los recursos para comprar ninguno de estos artefactos, ni mucho menos el tiempo para montar un circuito que¬†actu√©¬†como inhibidor de se√Īal, en la¬†pr√≥xima¬†entrega de¬†An√°lisis Forense a Android iremos viendo una forma casera de bloquear la se√Īal del dispositivo del caso, del mismo modo romperemos la seguridad del dispositivo sacando una imagen forense un poco de diversi√≥n. Espero les agrade esta peque√Īa investigaci√≥n que ire realizando, ademas de ello compartiendo herramientas y enlaces de¬†inter√©s¬†que vaya identificando.¬†
**
Regards,
Snifer**

Share on
Support the author with

Avatar
WRITTEN BY