viernes, 2 de noviembre de 2012

Android Log Forensics

Por , 31 de octubre de 2012 | 

El uso del sistema operativo Android está creciendo a una velocidad que asusta. Los últimos datos dicen que cada día se activan 1,3 millones de dispositivos Android y que, si sigue este ritmo, en 4 años habrá más sistemas de Google en funcionamiento que sistemas Windows. Dedicar esfuerzo de investigación hacia este sistema se hace totalmente necesario, y en seguridad, un área importante e interesante es el estudio forense.

Un analista forense debe ser capaz de extraer el máximo de información disponible del dispositivo. Dependiendo del propósito de la investigación, se centrará en extraer unos determinados datos u otros. Por ejemplo, un investigador que analiza un posible smartphone infectado con malware necesitará los procesos en memoria, las conexiones activas, el tráfico entrante y saliente, mientras que en el análisis de un móvil cuyo dueño es sospechoso de un delito, buscará datos que pueda ayudar a la investigación a aportar evidencias, como las llamadas realizadas, emails, posición GPS, fotos, historial de chat, etc.

Tenemos varios métodos para extraer información en un dispositivo android: volcado de memoria RAM, imagen de memoria NAND, de la memoria externa SD-card y extracción de datos en caliente. El post de hoy se va a centrar en recuperar datos mediante comandos propios del sistema de Android, y concretamente, en los logs generados por el sistema.
Sin embargo, hay que tener en cuenta un concepto claro: el análisis de los logs generados en una máquina en vivo tiene dos principales riesgos:
  • Los datos generados por comandos de una máquina no se pueden tomar por 100% fiables, puesto que el dispositivo puede estar deliberadamente comprometido, y generar datos falsos. Solo se puede estar seguro de los datos extraídos si los comandos ejecutados provienen de una fuente confiable.
  • El hecho de ejecutar comandos propios de un sistema para extraer información altera el estado original del dispositivo, por lo que se podría romper la cadena de custodia.
Más...

Fuente:  www.securityartwork.es/

No hay comentarios: