NARZĘDZIA ANALITYCZNE W
ZASTOSOWANIACH MOBILNYCH
Patryk Królikowski
ISSA Polska
Wprowadzenie
• Typowe problemy:
• Różnorodność:
• platform
• interfejsów
• wersji (portów)
• systemów plików
• chińskie podróbki
Źródło: Icrossing
• Drogie narzędzia i zaradność ich producentów
• Zaszyfrowane i zabezpieczone
• iPAD2/3 akwizycja
Źródło: IDC
Czy naprawdę smartfon jest inny?
• Na przykładzie Androida
• Toż to:
• Linux z jądrem 2.6
• Aplikacje w Javie
• Osadzone w maszynach
wirtualnych
• Bazy danych
• Oparte na SQLite3
• Karty SD - FAT32
Źródło: www.android.com
…i trochę inny system plików –
najczęściej YAFFS2/RFS
... i trochę inny nośnik – stąd
FTL/MTD lub STL/BML
Przydatne katalogi - Android
• /dev/mtd/
• mtd0…xx
•
•
•
•
mtd3 - recovery
mtd4 – pliki systemowe
mtd5 - cache
mtd6– pliki użytkownika
• System plików podzielony na partycje - najciekawsze
• /cache
• /data/data
• Bazy danych poszczególnych aplikacji
• /data/system
• Baza accounts.db
• Gesture.key
• Password.key
• /data/app
• Zainstalowane aplikacje (apk)
Wykonanie obrazu - jak się do tego
zabrać?
• Fizyczny/logiczny
• Karty SD
• Standardowo - np. FTK Imager poprzez Write Blocker
• Pamięci flash (NAND)
• Rooting vs recovery image
• Tryb debugu USB
• JTAG – np. Samsung Galaxy S
• Czasem nie potrzeba obrazu – wystarczy
backup
• Bardzo popularny TitaniumBackup
… stare narzędzia nowe zastosowania
• dd
• The Sleuth Kit
• YAFFS2
• HFS
• Autopsy 2/3
• Scalpel
• www.digitalforensicssolutions.com/Scalpel/
• Android:
• Android SDK (adb)
• nanddump
• Volatality – Android plugin
Kombajny większe …
• Access Data Mobile Phone Examiner (MPE+) [F/L]
• Darmowy AccessData MPE+ Investigator
• Cellebrite UFED [F/L]
• W tym dedykowany dla chińszczyzny
• EnCase Forensics 7 z EnCase Smartpfone Examiner
• MicroSystemation XRY [F/L]
• Chińszczyzna również obsługiwana
• Paraben Device Seizure
… i mniejsze
• BitPIM
• iXAM (iOS)
• LogiCube CellExtract [F]
• MobilEdit Forensic [L]
• Secure View – Susteen [L]
• Oxygen Forensic
• Radio Tactics Aceso
• viaForensics viaExtract
Dla gadżeciaży
• Paraben DDS
• Access Data MPE+ Tablet
Klasyczne problemy
• Szyfrowanie
• Tryb DFU (Apple)
• Np.Bruteforce
• Elcomsoft iOS Toolkit
Źródło: appleexaminer.com
Klasyczne problemy
• Ochrona
• Wzorem
• PINem
• Kodem alfanumerycznym
• Bez narzędzi
• Smudge Attack
• Google Play i zdalna instalacja aplikacji z
Źródło: Whispersys
przeglądarki
• Gesture.key
• http://www.android-forensics.com/tools/AndroidGestureSHA1.rar
• Hasło
• pc.key
Urządzenia „i”
• Katana Forensics:
• Lantern
• Akwizycja partycji danych poprzez USB
• Bruteforce hasła urządzenia
• TRIAGE
• Deszyfracja obrazów – wymagane klucze
• Lantern Lite (akwizycja) -
https://github.com/KatanaForensics/LanternLite
• Wymagany jailbrake – redsn0w
• IPSW dla odpowiedniej wersji iOS
Urządzenia z „i” co jeszcze?
• iPhone Backup Analyzer
• Wykorzystuje backupy tworzone prze iTunes
• Ipbackupanalyzer.com
• Słynny Pan Zdziarski
• Johnathan Zdziarski i jego bez-jailbreakowa metoda
• http://www.iosresearch.org/
• Czy ktoś z obecnych korzystał z tych narzędzi?
• Iphone data protection tools
• http://code.google.com/p/iphone-dataprotection/
• KeychainViewer
• EMFDecrypter
Urządzenia z „i” co jeszcze?
• BlackBagTech – BlackLight
• Platforma analizy obrazów urządzeń z iOS
• MPE+, Zdziarski, Cellebrite, ElcomSoft
• Wykonywanie obrazów urządzeń iOS
Analiza baz SQLite
• Wiele narzędzi np.
• Dodatek do Firefoxa SQLite Manager
• Android SQLite Manager
• SQLite Parser
• RootExplorer
• SQLite Forensic Reporter
Wykorzystanie koordynatów
• Software
• AndroidTracker LE
• iPhoneTracker LE
• iPhone Tracker
• http://petewarden.github.com/iPhoneTracker/
• Google Earth + iphonebackupextractor + KML Coverter
• http://meshx86.wordpress.com/2011/04/24/iphone-users-ios-4-
aretracked/
• EviGator iStalkr
• Online
• http://www.courbis.fr/Localisation-iPhone-votre.html
• Na podstawie pliku consolidated.db
AndroidTrackerLE i iPhoneTrackerLE
Wsparcie organizacyjne
• Może fotkę?
• Project-A-Phone ICD-8000 - Paraben
• ZRT2 HD - Fernico
Wsparcie organizacyjne
• IntaForensics – Automatic Reporting Tool (ART)
• Wsparcie w procesie akwizycji
• Dokumentacja fotograficzna - aparat podłączony poprzez USB
• Raport (MS Word) na podstawie zgromadzonych informacji
Trochę szpiegostwa i analityki
• Maltego (także Community Edition)
• Odnajdowanie relacji pomiędzy:
• osobami i grupami osób
• Organizacjami
• Witrynami internetowymi
• Elementami infrastruktury
• Wyrażeniami
• Dokumentami i plikami
• Transformacje – np. wykorzystanie koordynatów GPS
MALTEGO
Wizualizacja danych
• LogAnalysis
• Maltego CaseFile (także Community Edition)
• Mapowanie relacji pomiędzy obiektami
• Paraben Link2 (free)
• THREADS
Wizualizacja danych
Salvatore A. Catanese/
Giacomo Fiumara
Dziękuję za uwagę
[email protected]
Download

Narzędzia analityczne w zastosowaniach mobilnych