![Page 1: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/1.jpg)
Android + SIM
Juan Garrido & Juan Luis García Rambla Consultores de Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com
![Page 2: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/2.jpg)
Agenda Introducción.
Analizando la SIM.
Android. Estructura física y lógica
Adquisición de imágenes.
Forense de dispositivos móviles.
![Page 3: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/3.jpg)
INTRODUCCIÓN
![Page 4: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/4.jpg)
El auge de los sistemas de movilidad y uso intensivo de los mismos propician el uso fraudulento o criminal con los mismos.
Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.
El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:
Buenas prácticas.Preservación de la información.Analisis basados en métodos.Herramientas forenses.
Introducción
![Page 5: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/5.jpg)
Arquitectura diferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.
Software de análisis forense y hardware específico.
La mayoría de software forense es de pago.
Diferencias con el forense digital tradicional
![Page 6: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/6.jpg)
SIM.
Memoria interna.
Memorias internas secundarias.
Unidades Flash.
Discos SD.
¿Qué analizar?
![Page 7: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/7.jpg)
Es posible aunar ambas tecnologías.
La generación de imágenes de memoria interna se puede realizar con herramientas específicas para móviles.
Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
Forense tradicional + Forense de móviles
![Page 8: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/8.jpg)
ANALIZANDO LA SIM
![Page 9: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/9.jpg)
Generado por las especificaciones de European Posts and Telecommnications (CEPT) han sido continuadas por European Telecommunications Standas Institute (ETSI) para GSM.
Es una SMART Card que contiene entre 16 y 64 Kb de memoria un procesador y sistema operativo.
Identifica al subscritor, el número de teléfono y contiene el algoritmo para autenticar al subscriptor en la red.
Dependiendo de la tecnología puede encontrarse toda la información en el terminal o en la memoria SIM.
La SIM GSM
![Page 10: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/10.jpg)
El acceso se realiza mediante una clave denominada PIN.
Cuando la SIM recibe energía, lo primero que solicita es el PIN que desbloqueará el acceso lógico al contenido de la tarjeta.
Sin el PIN el acceso lógico a la tarjeta no es factible. Es posible aunque no de forma predeterminada que la tarjeta no presente PIN.
El bloqueo de la tarjeta se realizará tras un número de intentos fallidos de acceso.
El desbloqueo solo será factible mediante la introducción del código PUK facilitado por el proveedor de servicios.
Acceso a la SIM
![Page 11: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/11.jpg)
Componente Hardware :Grabadora de PIC tipo LUDIPIPO.Grabadora EEPROM. Las más habituales Phoenix.Tarjeta con microprocesador donde grabar. Se utilizan comunmente tarjetas COOLWAFER.
Componente Software:Sim Scan: Permite obtener los códigos IMSI y KI.ICPRO: Graba el PIC.Winexplorer: Graba la EEPROM.
Clonado de una SIM
![Page 12: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/12.jpg)
Permite clonar una SIM aun no teniendo el PIN y generando una nueva SIM con toda la información disponible.
Es requerido para el clonado :
ICCID = Integrated Circuit Card IdentityIMSI = International Mobile Subscriber Identity
Hardware clonado XACT
![Page 13: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/13.jpg)
No es factible mediante Software.
Se puede realizar mediante la aplicación de corriente, según diseño.
El riesgo de dejar inservible la tarjeta es elevado.
Mejor tener clonada la tarjeta.
Borrando el PIN
![Page 14: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/14.jpg)
Mantiene información crítica para la resolución de casos:Números de teléfonos.Ultimas llamadas efectuadas.SMS recibidos.
Existen herramientas forenses especificadas para ello:Paraben SIM Size.SIM-Card.OXY-Forensics.SIMSpy.
Requiere de un componente Hardware: lector de tarjetas SIM.
Análisis de la SIM
![Page 15: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/15.jpg)
SLOTS de almacenamiento finitosDependiente de la tarjeta (Ej: 20-25 SMS)Campos específicos
Estado del SLOTIdentificador de datos
SIM Data Carving
![Page 16: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/16.jpg)
Cuando se elimina un SMS o un contactoEl estado del SLOT cambia a un estado libreEn teléfonos antiguos sólo se modifica el estado del SLOT (No los datos)Los teléfonos de hoy día pueden modificar toda la información del SLOT
SIM Data Carving
![Page 17: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/17.jpg)
![Page 18: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/18.jpg)
DEMO
Análisis de SIM
![Page 19: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/19.jpg)
Android. Estructura lógica y física
![Page 20: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/20.jpg)
OS Android
Basado en Linux OS portado a varios procesadores Estructura de datos basado en SQLite YAFFS /EXT2 como sistema de ficheros
![Page 21: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/21.jpg)
Adquisición de imágenes
![Page 22: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/22.jpg)
Adquisición de imágenes
MTD (Memory Technology Device) Provee soporte para Flash en Linux Provee funciones de lectura y escritura
en la flash Cada partición basada en MTD se
puede exportar de forma unitaria
![Page 23: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/23.jpg)
Adquisición de imágenes
Formas de extracción A través de DD
dd if=/dev/mtd/mtd<number>ro of=/sdcard/mtd<number>ro.dd bs=4096
A través de CAT Cat /dev/mtd/mtd<number>ro >
/sdcard/mtd<number>ro.dd Herramientas comerciales
Device Seizure
![Page 24: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/24.jpg)
Forense de dispositivos móviles
![Page 25: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/25.jpg)
Live Forensics
A través de adb Proporciona shell interactiva con el
dispositivo Muchos comandos específicos
Copiar ficheros Procesos Disposivitos Etc…
![Page 26: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/26.jpg)
Por donde empezar
Directorio DATA Estructura con mucha información de
sistema y usuario Ficheros abiertos por el sistema Datos de aplicaciones Conexiones
Post Recogida Data carving
![Page 27: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/27.jpg)
TechNews de Informática 64
Suscripción gratuita en http://www.informatica64.com/boletines.html
![Page 29: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/29.jpg)
http://legalidadinformatica.blogspot.com
![Page 30: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/30.jpg)
http://elladodelmal.blogspot.com
![Page 31: Análisis Forense de teléfonos Android y tarjeta SIM](https://reader030.vdocuments.pub/reader030/viewer/2022020713/54907186b4795963488b4db0/html5/thumbnails/31.jpg)
Gracias!;-)