extracción lógica de dispositivos android con linux³n_logica_android.pdf · extracción de...
TRANSCRIPT
![Page 1: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/1.jpg)
Extracción lógica de dispositivos Android con Linux
![Page 2: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/2.jpg)
Gustavo A. Martin M.
• Licenciado en Computación.
• Experiencia en el área de informática forense y Seguridad Informática.
• Antiguo Miembro del Centro Nacional de Informática Forense (CENIF).
• Actualmente miembro del Sistema Nacional de Gestión de Incidentes Telemáticos (VenCERT).
![Page 3: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/3.jpg)
Agenda
•Lo bueno y lo malo
•Encontré un Android ¿Qué hago?
•¿Cómo demuestro lo que hago?
•Ejercitemos un poco
•Conclusiones
![Page 4: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/4.jpg)
Extracción de dispositivos Android
• Lo Bueno
• Es posible obtener información valiosa
para una investigación.
Un celular decomisado, clave en la captura de ‘El Chapo’ http://www.forbes.com.mx/un-celular-decomisado-clave-en-la-captura-de-el-chapo/
![Page 5: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/5.jpg)
• Lo Bueno
• Permite agilizar el trabajo de recopilación de
información en un crimen.
• No daña el dispositivo.
Extracción de dispositivos Android
![Page 6: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/6.jpg)
Extracción de dispositivos Android
• La información recolectada debe cumplir
con procedimientos adecuados.
• Se puede encontrar información sensible la
cual debe ser tratada con la debida cautela
y discreción.
• Lo Malo
![Page 7: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/7.jpg)
Encontré un Android ¿Qué hago?
• Doctrina del fruto del árbol envenenado.
• Principio de Locard.
• NIST 800-88r1, para el purgado del disco copia donde se analizará la
evidencia.
• RFC 3227, Guía para recolectar y archivar evidencias.
• ISO 27037, Directrices para la identificación, recolección,
consolidación y preservación de evidencia digital.
![Page 8: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/8.jpg)
• Siempre trabajar con inhibidores de señal o en
su defecto bolsas Faraday.
• Mantener una cadena de custodia del
dispositivo desde el momento de la
recolección hasta la entrega.
Encontré un Android ¿Qué hago?
![Page 9: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/9.jpg)
Bolsas Faraday e inhibidores de señal
![Page 10: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/10.jpg)
¿Cómo demuestro lo que hago?
• Debe contarse con manuales de procedimiento.
• Basarse por metodologías para tratar con la evidencia.
![Page 11: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/11.jpg)
Un buen informe permitirá a cualquier perito validar tus resultados y evitará preguntas de los jueces en un juicio.
¿Cómo demuestro lo que hago?
![Page 12: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/12.jpg)
Ejercitemos un poco
Realizaremos una extracción lógica a un dispositivo android para encontrar:
• Registro de llamadas
• Registro de mensajes SMS
• Registro de mensajes MMS
• Contactos
![Page 13: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/13.jpg)
• ¿Que usaremos?
• Santoku Linux
• Terminal de Linux
• AFLogical OSE
• Dispositivo en modo depuración y permitiendo instalación de orígenes desconocidos.
Ejercitemos un poco
![Page 14: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/14.jpg)
Modo Depuración en dispositivos Android
Ejercitemos un poco
![Page 15: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/15.jpg)
Ejercitemos un poco
Para versiones de Android hasta la
3.x se va de esta manera Ajustes ->
Aplicaciones -> Desarrollo, a
continuación, "Depuración USB".
En Android 4.x y superiores se
encuentra en Configuración ->
Opciones de Desarrollador, por
ultimo "Depuración USB".
![Page 16: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/16.jpg)
Permitir Orígenes Desconocidos
Ejercitemos un poco
![Page 17: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/17.jpg)
Se encuentra en Ajustes -> Seguridad -> “Fuentes desconocidas”.
Ejercitemos un poco
![Page 18: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/18.jpg)
Conclusiones
• Con la extracción lógica podemos obtener información que se encuentra en el dispositivo.
• Este no es el único método de extracción que existe para dispositivos Android.
• La información que se borra del dispositivo no puede ser recuperada bajo este método.
![Page 19: Extracción lógica de dispositivos Android con Linux³n_logica_android.pdf · Extracción de dispositivos Android •Lo Bueno •Es posible obtener información valiosa para una](https://reader033.vdocuments.co/reader033/viewer/2022042909/5f39d79871a17b619f7553b0/html5/thumbnails/19.jpg)
Gracias.
@gustavoadolfomm