Ingeniería inversa y análisis forense en Android (II): análisis forense en un terminal Android.

El análisis forense es la aplicación de técnicas científicas y analíticas especializadas en infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Al análisis forense también se le llama informática forense.

El uso del análisis forense incluye reconstruir el bien informático (ordenador, tablet, servidor, etc.), examinar datos residuales, autentificar datos y explicar las características técnicas del uso dado a los datos y bienes informáticos (vamos, como en la serie CSI pero con material informático).

La informática forense se utiliza, sobre todo, para detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails y chats.

La infraestructura informática que puede ser analizada es toda aquella que tenga una memoria, por lo que se pueden analizar:

  1. Disco duro de un ordenador o un servidor.

  2. Documentación referida del caso.

  3. Tipo de sistema de telecomunicaciones.

  4. Información de la dirección MAC.

  5. Logs de seguridad.

  6. Información de firewalls.

  7. Direcciones IP, redes Proxy, archivos host y pasarelas.

  8. Programas de monitoreo y seguridad.

  9. Credenciales de autentificación.

  10. Trazo de paquetes de red (paquetes ping).

  11. Smartphones.

  12. Agendas electrónicas (PDA).

  13. Dispositivos de GPS.

  14. Impresoras.

  15. Pendrives y discos duros externos.

  16. BIOS (Basic Imput  Output System).


Fases de un análisis forense.

Un análisis forense consta de cuatro fases: identificación, preservación, análisis y presentación.

  • Identificación: es muy importante conocer los antecedentes a la investigación, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias.

  • Preservación: esta fase incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes).

  • Análisis: en esta fase es dónde se aplican técnicas científicas y analíticas a los medios duplicados por medio de la anterior fase (preservación) para poder encontrar pruebas de ciertas conductas.

  • Presentación: esta última fase consiste en recopilar toda la información obtenida a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si se da el caso) de una pericial y de su correcta interpretación sin hacer usos de tecnicismos. Se debera presentar de manera cauta, prudente y discreta al solicitante la documentación.


Programas necesarios para realizar un análisis forense.

Dado que nos estamos refiriendo al análisis forense en dispositivos Android necesitaremos los programas indicados en el post Ingeniería y análisis forense en Android (I): ingeniería inversa en aplicaciones Android.

Ejemplo de análisis forense en dispositivos Android.

Supongamos que nos presentan un caso en el que se han eliminado archivos importantes en el smartphone Android del empleado de la empresa I. El empleado afirma que él no los ha borrado y el juez encargado del caso nos pide que averigüemos si eso es cierto o no.

  1. Identificación: sabemos que los datos supuestamente borrados por X, quien había perdido de vista su smartphone durante 15 minutos, han sido eliminados a las 11:00 de la mañana. Como el smartphone esta en buen estado y funciona correctamente decidimos conectar el smartphone a nuestro ordenador.

  2. Preservación: creamos una imágen .iso y la guardamos en un disco duro externo.

  3. Análisis: analizamos el contenido del smartphone en cuestión con MOBILedit Lite. En el análisis queda reflejado que el primer acceso a los archivos borrados fue a las 10:40, cuando X lo tenía en su poder, y que 20 minutos después, a la hora de los hechos, las 11:00, se produce el borrado de los mismos.

  4. Presentación: le presentamos al juez un informe de nuestras averiguaciones en el que queda contrastado de forma feaciente que X no pudo ser quien borró esos archivos, ya que lo dejó por descuido en su mesa de trabajo y a las 10:50, que fue cuando se dio cuenta de que no lo tenía, empezó a buscarlo y no lo encontró hasta las 11:05.


[caption id="attachment_282" align="alignnone" width="300"]Creamos una imágen .iso del contenido del smartphone usando el programa AnyToISO. Creamos una imágen .iso del contenido del smartphone usando el programa AnyToISO.[/caption]

Análisis forense de una aplicación Android4 Análisis forense de una aplicación Android6

Análisis forense de una aplicación Android5

Análisis forense de una aplicación Android8

 

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Mujeres hermosas de Europa del Este que se enamoran de tí rapidísimamente por Internet? Eso no es amor... son scammers.

¿Has recibido un correo electrónico de una chica guapísima de Europa del Este que dice que está interesadisima en conocerte? ¿La chica en cuestión se ha enamorado de ti rapidísimamente? ¿O quizás has recibido uno en el que aparece el link de una página de contactos donde puedes conocer a chicas hermosas del Este de Europa? Si es así y piensas que has triunfado, que hoy es tu día de suerte... estás muy equivocado. Este tipo de correos electrónicos, llamados scam , constituyen uno de los tipos de fraude online más extendidos en la actualidad; y a las personas que están detrás de ellos se les da el nombre de scammers . Los scammers se hacen pasar por chicas rusas, por lo general muy, pero muy atractivas, envian correos electrónicos indiscriminadamente diciendo "me gusta tu perfil, quiero algo serio contigo, me gustaría conocerte, ando buscando un amor real y puro, blablabla", estos correos nos llegan desde las redes sociales que podemos estar inscritos (facebook, hi5, tagged, m
Leer más

Anatomía de un ataque informático.

Imagen
Existen dos tipos de ataques informáticos: ataques a sistemas y ataques de red. Los ataques a sistemas presentan la siguiente estructura: Fase 1: Búsqueda de información acerca de la víctima. Esta fase es la más sencilla de realizar, y también la más crucial. Se realiza consultando toda la información referente al nombre de dominio de nuestra víctima en alguna de las bases de datos existentes en Internet ( Whois , etc.) o en la página nic del país al que pertenezca nuestra víctima (una página nic es una página donde cada país registra los dominios registrados en él); en el caso de España, ésta página sería http://www.nic.es. En Linux se emplea el comando whois seguido del nombre de d ominio. Ejemplo: whois dominiointeresante.es . Fase 2: Búsqueda de un vector de ataque. Esta fase es la más larga y más tediosa. Consiste en obtener más información acerca de nuestra víctima partiendo de la información obtenida en la 1ª fase. En esta fase se utilizan diversas técnicas: transferencia
Leer más

¿Qué es un ataque Man in the Browser (MiTB)?

Un ataque Man in The Browser o MiTB es un tipo de ataque informático derivado del ataque Man In The Midle o MITM y que está orientado al robo de datos bancarios.  Un ataque Man in The Browser se produce cuando un código malicioso infecta un navegador web. El código modifica las acciones que realiza el usuario del ordenador y, en algunos casos, es capaz de iniciar acciones independientemente de éste. Cuando un usuario entra en su cuenta bancaria, basta con que utilice un navegador infectado para que se pongan en marcha acciones ilícitas que den lugar a un robo online. http://www.youtube.com/watch?v=cm0wqPUv6mQ ¿Cuál es el riesgo inherente a los ataques MiTB? Los ataques Man-in-the-Browser son especialmente difíciles de detectar y, en muchos casos, logran provocar daños de forma totalmente insospechada. Éstas son algunas de las formas en que se producen los ataques MITB y una explicación de por qué plantean un riesgo tan alto. Los ordenadores se infectan fácilmente: La forma más habi
Leer más