Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Recolección de evidencia digital sobre dispositivos móviles

Juan Andrés Diana
September 17, 2015
Research
0
260

Recolección de evidencia digital sobre dispositivos móviles

Presentación del proyecto de grado de fin de carrera.

Resumen del trabajo:

"El área de mobile forensics hoy en día tiene un papel importante en la informática forense debido al extenso uso que tienen los dispositivos móviles. Características como la fabricación de los mismos utilizando arquitecturas SoC (System on a Chip) y la diversidad que presenta el ecosistema móvil, traen una serie de problemáticas desde el punto de vista forense.

Para realizar la extracción de datos de estos dispositivos, los investigadores forenses deben contar con una gran cantidad de herramientas. Cada una de estas, además de implicar un costo económico y de aprendizaje significativo, a menudo suele utilizar formatos propietarios para expresar sus resultados, lo cual dificulta la reutilización de los mismos.

El presente trabajo realiza un estudio del estado del arte de la extracción de datos de dispositivos móviles en el marco del proceso forense informático y profundiza sobre las diversas problemáticas que se encuentran al realizar esta tarea, particularmente en la plataforma Android.

Para solucionar varios aspectos de estos problemas, desarrollamos una herramienta que busca facilitar la extracción de datos de dispositivos móviles Android. La misma brinda un nivel de abstracción que permite al usuario especificar los datos que desea obtener sin necesidad de tener que saber cómo es realizada la extracción de los mismos. Además, ésta utiliza el lenguaje estándar y abierto CybOX (Cyber Observable eXpression) para representar la información resultante de la extracción de datos.

Por último, la herramienta cuenta con un diseño que permite la extensibilidad de la misma con el fin de soportar tanto nuevas formas de extraer datos como nuevos dominios de datos. Esto brinda la posibilidad a un desarrollo colaborativo del conocimiento, de forma que el mismo pueda ser compartido para escalar ante la rápida evolución del ecosistema móvil."

Juan Andrés Diana

September 17, 2015
Tweet

More Decks by Juan Andrés Diana

See All by Juan Andrés Diana
GeneXus Android team - Development Process
juandiana
0
65
Getting the gist of git
juandiana
0
33
UI Testing for GeneXus SD apps
juandiana
0
98
Unraveling the secrets for developing great Android extensions for Genexus 15
juandiana
0
270

Other Decks in Research

See All in Research
動物倫理学ことはじめ:人間以外の動物との倫理的な付き合い方を考える
takeshit_m
0
300
メタ動画データセットによる動作認識の現状と可能性
yuyay
0
210
VAR モデルによる OSS プロジェクト同士が生存性に与える 影響の分析
noppoman
0
140
ゼロからわかるリザバーコンピューティング
kurotaky
1
310
Discovering Universal Geometry in Embeddings with ICA
momoseoyama
1
360
My Journey as a UX Researcher
aranciap
0
1.1k
Cross-Media Information Spaces and Architectures
signer
PRO
0
120
時系列解析と疫学
kingqwert
2
940
クリック率を最大化しない推薦システム
joisino
42
14k
フルリモートワークでのスクラムのスケール
kmorita1111
2
1k
20240127_熊本から今いちど真面目に都市交通~めざせ「車1割削減、渋滞半減、公共交通2倍」~ 全国路面電車サミット2024宇都宮
trafficbrain
1
680
LiDARセキュリティ最前線
kentaroy47
0
280

Featured

See All Featured
Web Components: a chance to create the future
zenorocha
306
41k
Building an army of robots
kneath
300
41k
Design by the Numbers
sachag
274
18k
Unsuck your backbone
ammeep
663
57k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
242
1.2M
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Building Adaptive Systems
keathley
32
1.9k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.7k
The Cost Of JavaScript in 2023
addyosmani
20
3.9k
Rails Girls Zürich Keynote
gr2m
91
13k
Fantastic passwords and where to find them - at NoRuKo
philnash
39
2.5k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k

Transcript

  1. Recolección de evidencia digital
 sobre dispositivos móviles Juan Andrés Diana

    José Ignacio Varela Facultad de Ingeniería, Universidad de la República
  2. None

  3. Fuente: Movable Ink, US customer device preference report Q4 2013

  4. Fuente: Movable Ink, US customer device preference report Q4 2013

    Mobile 65%

  5. Relación de Mobile Forensics con los demás campos Forensic Science

    Digital Forensics Mobile Forensics Computer Forensics

  6. Modelo del proceso forense (U.S. Department of Justice) Identification Preservation

    Collection Examination Analysis Presentation

  7. Modelo del proceso forense (U.S. Department of Justice) Identification Preservation

    Collection Examination Analysis Presentation

  8. Modelo del proceso forense (U.S. Department of Justice) Identification Preservation

    Collection Examination Analysis Presentation

  9. ¿Qué vamos a ver?

  10. ¿Qué vamos a ver?

  11. ¿Qué vamos a ver? Problema

  12. ¿Qué vamos a ver? Herramienta Problema

  13. ¿Qué vamos a ver? Caso de estudio Herramienta Problema

  14. Problemática actual

  15. Modelos de dispositivos Android (OpenSignal, agosto de 2015)

  16. Autopsy Algunas de las suites forenses más utilizadas

  17. Objetivos planteados

  18. 1. Facilitar la extracción de datos de dispositivos móviles.

  19. 1. Facilitar la extracción de datos de dispositivos móviles. 2.

    Facilitar la reutilización de los datos obtenidos.

  20. 1. Facilitar la extracción de datos de dispositivos móviles. 2.

    Facilitar la reutilización de los datos obtenidos. 3. Facilitar la extensión de la herramienta.

  21. Caso de estudio Herramienta Problema

  22. Caso de estudio Herramienta Problema

  23. Consideraciones previas

  24. Consideraciones previas

  25. Consideraciones previas

  26. Consideraciones previas Datos del sistema Datos de las aplicaciones

  27. Consideraciones previas Datos del sistema Datos de las aplicaciones

  28. ¿Cómo alcanzamos cada objetivo?

  29. 1. Facilitar la extracción de datos

  30. 1. Facilitar la extracción de datos Capa de abstracción

  31. 1. Facilitar la extracción de datos Capa de abstracción

  32. 1. Facilitar la extracción de datos

  33. 1. Facilitar la extracción de datos Conjunto de operaciones

  34. 1. Facilitar la extracción de datos Conjunto de operaciones Tipos

    de datos

  35. 1. Facilitar la extracción de datos Conjunto de operaciones Fuentes

    de datos Tipos de datos

  36. Una operación extrae un único tipo de dato de una

    determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android.

  37. Una operación extrae un único tipo de dato de una

    determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android. Una operación extrae un único tipo de dato de una determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android.

  38. Una operación extrae un único tipo de dato de una

    determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android. Una operación extrae un único tipo de dato de una determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android. Una operación extrae un único tipo de dato de una determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android.

  39. Una operación extrae un único tipo de dato de una

    determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android. Una operación extrae un único tipo de dato de una determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android. Una operación extrae un único tipo de dato de una determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android. Una operación extrae un único tipo de dato de una determinada fuente de datos, soportando cierto conjunto de modelos de dispositivos y versiones de Android.

  40. 2. Facilitar la reutilización de los datos obtenidos

  41. 2. Facilitar la reutilización de los datos obtenidos

  42. 2. Facilitar la reutilización de los datos obtenidos - Abierto

    y estándar (OASIS) - Conjunto de objetos predefinidos - Datos del proceso - Extensible

  43. 3. Facilitar la extensión de la herramienta Extensiones

  44. 3. Facilitar la extensión de la herramienta Extensiones Tipos de

    datos

  45. 3. Facilitar la extensión de la herramienta Extensiones Tipos de

    datos Tipos de fuentes de datos

  46. 3. Facilitar la extensión de la herramienta Extensiones Tipos de

    datos Operaciones Tipos de fuentes de datos

  47. ¿Cómo funciona la herramienta?

  48. Casos de uso

  49. Casos de uso Rol Usuario

  50. Casos de uso Rol Usuario Modo Interactivo
 [set_device_info, list, execute]

  51. Casos de uso Rol Usuario Modo Interactivo
 [set_device_info, list, execute]

    Modo Batch
 [execute]

  52. Casos de uso Rol Usuario Rol Admin

  53. Casos de uso Rol Usuario Agregar Extensión
 [add_ext] Rol Admin

  54. Casos de uso Rol Usuario Agregar Extensión
 [add_ext] Remover Extensión


    [rm_ext] Rol Admin

  55. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación

  56. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación Entrada: -

    Nombres de las operaciones - Información del dispositivo

  57. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación 1 ..

    N

  58. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación Operation

  59. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación Extractor

  60. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación Inspector

  61. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación Operation Extractor

    Inspector

  62. Funcionamiento de alto nivel Especificación Extracción Examinación Presentación Salida: -

    Datos extraídos (originales) - Datos examinados (en CybOX)

  63. Flujo de ejecución

  64. Flujo de ejecución

  65. Flujo de ejecución

  66. Flujo de ejecución

  67. Flujo de ejecución

  68. Flujo de ejecución

  69. Flujo de ejecución

  70. Flujo de ejecución

  71. Extensibilidad

  72. Extensibilidad Tipos de fuentes de datos Tipos de datos Operaciones

  73. Extensibilidad SMS Emails Contactos Llamadas Coordenadas GPS Imágenes Mensajes

  74. Extensibilidad Facebook WhatsApp Gmail Chrome Agenda Hangouts Twitter

  75. Extensibilidad Facebook Chrome WhatsApp Gmail Agenda Twitter Hangouts Tipo de

    fuente: Application

  76. Extensibilidad Operación Inspector Extractor Tipo de fuente Tipo de datos

  77. Extensibilidad Inspector2 Imagenes Facebook (Application Extractor) Inspector1 Mensajes Operación 1

    Operación 2

  78. Extensibilidad Tipos de fuentes de datos Tipos de datos Android

    Inspector Operaciones

  79. Extensibilidad Tipos de datos Android Inspector Operaciones class NewExtractor(Extractor): def

    execute(self, ...): ... { 'name' = ... ... … } definition new_extractor.py

  80. Extensibilidad Tipos de datos Android Inspector class NewExtractor(Extractor): def execute(self,

    ...): ... { 'name' = ... ... … } definition class NewInspector(Inspector): def execute(self, ...): ... { 'name' = ... ... … } definition new_extractor.py new_inspector.py

  81. Extensibilidad Android Inspector class NewExtractor(Extractor): def execute(self, ...): ... {

    'name' = ... ... … } new_extractor.py definition class NewInspector(Inspector): def execute(self, ...): ... { 'name' = ... ... … } new_inspector.py definition class NewObject(Custom): def execute(self, ...): ... { 'name' = ... ... … } new_cybox_object.py definition

  82. Extensibilidad Android Inspector class NewExtractor(Extractor): def execute(self, ...): ... {

    'name' = ... ... … } new_extractor.py definition class NewInspector(Inspector): def execute(self, ...): ... { 'name' = ... ... … } new_inspector.py definition class NewObject(Custom): def execute(self, ...): ... { 'name' = ... ... … } new_cybox_object.py definition

  83. Extensibilidad Repositorios para almacenar extensiones Extractors Repository Inspectors Repository Custom

    Cybox objects Repository

  84. Extensibilidad Esquema de la base de datos de definiciones

  85. Implementación del prototipo

  86. Implementación del prototipo Android Inspector

  87. Caso de estudio Herramienta Problema

  88. Caso de estudio Herramienta Problema

  89. • SMS de la aplicación por defecto de Android •

    Emails de la aplicación por defecto de Android Caso de estudio Mensajería • Contactos de Facebook • Contactos de WhatsApp • Contactos de la agenda por defecto de Android Redes sociales

  90. DEMO

  91. Caso de estudio Herramienta Problema

  92. Caso de estudio Herramienta Problema

  93. Trabajos a futuro

  94. Trabajos a futuro System Extractor Disk Image Extractor

  95. Trabajos a futuro System Extractor Disk Image Extractor

  96. Trabajos a futuro System Extractor Disk Image Extractor

  97. Trabajos a futuro

  98. Trabajos a futuro

  99. Conclusiones

  100. Conclusiones Aporte al área de mobile forensics

  101. Conclusiones Aporte al área de mobile forensics Conocimiento adquirido

  102. Gracias