NARZĘDZIA ANALITYCZNE W ZASTOSOWANIACH MOBILNYCH Patryk Królikowski ISSA Polska
Wprowadzenie Typowe problemy: Różnorodność: platform interfejsów wersji (portów) systemów plików chińskie podróbki Drogie narzędzia i zaradność ich producentów Zaszyfrowane i zabezpieczone Źródło: Icrossing ipad2/3 akwizycja Źródło: IDC
Czy naprawdę smartfon jest inny? Na przykładzie Androida Toż to: Linux z jądrem 2.6 Aplikacje w Javie Osadzone w maszynach wirtualnych Bazy danych Oparte na SQLite3 Karty SD - FAT32 i trochę inny system plików najczęściej YAFFS2/RFS... i trochę inny nośnik stąd FTL/MTD lub STL/BML Źródło: www.android.com
Przydatne katalogi - Android /dev/mtd/ mtd0 xx mtd3 - recovery mtd4 pliki systemowe mtd5 - cache mtd6 pliki użytkownika System plików podzielony na partycje - najciekawsze /cache /data/data Bazy danych poszczególnych aplikacji /data/system Baza accounts.db Gesture.key Password.key /data/app Zainstalowane aplikacje (apk)
Wykonanie obrazu - jak się do tego zabrać? Fizyczny/logiczny Karty SD Standardowo - np. FTK Imager poprzez Write Blocker Pamięci flash (NAND) Rooting vs recovery image Tryb debugu USB JTAG np. Samsung Galaxy S Czasem nie potrzeba obrazu wystarczy backup Bardzo popularny TitaniumBackup
stare narzędzia nowe zastosowania dd The Sleuth Kit YAFFS2 HFS Autopsy 2/3 Scalpel www.digitalforensicssolutions.com/scalpel/ Android: Android SDK (adb) nanddump Volatality Android plugin
Kombajny większe Access Data Mobile Phone Examiner (MPE+) [F/L] Darmowy AccessData MPE+ Investigator Cellebrite UFED [F/L] W tym dedykowany dla chińszczyzny EnCase Forensics 7 z EnCase Smartpfone Examiner MicroSystemation XRY [F/L] Chińszczyzna również obsługiwana Paraben Device Seizure
i mniejsze BitPIM ixam (ios) LogiCube CellExtract [F] MobilEdit Forensic [L] Secure View Susteen [L] Oxygen Forensic Radio Tactics Aceso viaforensics viaextract
Dla gadżeciaży Paraben DDS Access Data MPE+ Tablet
Klasyczne problemy Szyfrowanie Tryb DFU (Apple) Np.Bruteforce Elcomsoft ios Toolkit Źródło: appleexaminer.com
Klasyczne problemy Ochrona Wzorem PINem Kodem alfanumerycznym Bez narzędzi Smudge Attack Źródło: Whispersys Google Play i zdalna instalacja aplikacji z przeglądarki Gesture.key http://www.android-forensics.com/tools/androidgesturesha1.rar Hasło pc.key
Urządzenia i Katana Forensics: Lantern Akwizycja partycji danych poprzez USB Bruteforce hasła urządzenia TRIAGE Deszyfracja obrazów wymagane klucze Lantern Lite (akwizycja) - https://github.com/katanaforensics/lanternlite Wymagany jailbrake redsn0w IPSW dla odpowiedniej wersji ios
Urządzenia z i co jeszcze? iphone Backup Analyzer Wykorzystuje backupy tworzone prze itunes Ipbackupanalyzer.com Słynny Pan Zdziarski Johnathan Zdziarski i jego bez-jailbreakowa metoda http://www.iosresearch.org/ Czy ktoś z obecnych korzystał z tych narzędzi? Iphone data protection tools http://code.google.com/p/iphone-dataprotection/ KeychainViewer EMFDecrypter
Urządzenia z i co jeszcze? BlackBagTech BlackLight Platforma analizy obrazów urządzeń z ios MPE+, Zdziarski, Cellebrite, ElcomSoft Wykonywanie obrazów urządzeń ios
Analiza baz SQLite Wiele narzędzi np. Dodatek do Firefoxa SQLite Manager Android SQLite Manager SQLite Parser RootExplorer SQLite Forensic Reporter
Wykorzystanie koordynatów Software AndroidTracker LE iphonetracker LE iphone Tracker http://petewarden.github.com/iphonetracker/ Google Earth + iphonebackupextractor + KML Coverter http://meshx86.wordpress.com/2011/04/24/iphone-users-ios-4- aretracked/ EviGator istalkr Online http://www.courbis.fr/localisation-iphone-votre.html Na podstawie pliku consolidated.db
AndroidTrackerLE i iphonetrackerle
Wsparcie organizacyjne Może fotkę? Project-A-Phone ICD-8000 - Paraben ZRT2 HD - Fernico
Wsparcie organizacyjne IntaForensics Automatic Reporting Tool (ART) Wsparcie w procesie akwizycji Dokumentacja fotograficzna - aparat podłączony poprzez USB Raport (MS Word) na podstawie zgromadzonych informacji
Trochę szpiegostwa i analityki Maltego (także Community Edition) Odnajdowanie relacji pomiędzy: osobami i grupami osób Organizacjami Witrynami internetowymi Elementami infrastruktury Wyrażeniami Dokumentami i plikami Transformacje np. wykorzystanie koordynatów GPS
MALTEGO
Wizualizacja danych LogAnalysis Maltego CaseFile (także Community Edition) Mapowanie relacji pomiędzy obiektami Paraben Link2 (free) THREADS
Wizualizacja danych Salvatore A. Catanese/ Giacomo Fiumara
Dziękuję za uwagę p.krolikowski@issa.org.pl