ArgomentiArgomentiArgomentiArgomenti

• Android?

• Android Forensics

• Caso pratico

sandro@deftlinux.net

Android?

www.android.com

2005 - Inizio Sviluppo

12/2011 - Release finale 4.03

Licenza: Apache 2.0

AndroidAndroidAndroidAndroidSistema operativo per dispositivi mobili

2008 - Release iniziale 1.0

Sorgente: FOSS

Linux Kernel (Monolitico)

Diffusione esponziale

Gestione Gestione Gestione Gestione deglideglideglidegli aggiornamentiaggiornamentiaggiornamentiaggiornamenti

http://tinyurl.com/androidworm

Attacchi su misura

StrutturaStrutturaStrutturaStrutturaclassicaclassicaclassicaclassica

Principali VersioniPrincipali VersioniPrincipali VersioniPrincipali Versioni v2.2.x v2.2.x v2.2.x v2.2.x FroyoFroyoFroyoFroyo

v2.3.x v2.3.x v2.3.x v2.3.x GingerbreadGingerbreadGingerbreadGingerbread

v3.x v3.x v3.x v3.x HoneycombHoneycombHoneycombHoneycomb

v4.x v4.x v4.x v4.x IceIceIceIce CreamCreamCreamCream SandwichSandwichSandwichSandwich

FilesystemFilesystemFilesystemFilesystem

YAFFS2

EXT4

VARI eseseses. . . . RFSRFSRFSRFS

2.3 Gingerbread2.3 Gingerbread2.3 Gingerbread2.3 Gingerbread

2.2 2.2 2.2 2.2 FroyoFroyoFroyoFroyo

ApplicazioniApplicazioniApplicazioniApplicazioni

App App App App PreinstallatePreinstallatePreinstallatePreinstallate : /system/app

App App App App scaricatescaricatescaricatescaricate: /data/app

DatiDatiDatiDati applicazioniapplicazioniapplicazioniapplicazioni: /data/data, MicroSD

DB di DB di DB di DB di sistemasistemasistemasistema: /data/database

Android Forensics

Un tempo …Un tempo …Un tempo …Un tempo …

AFLOGICALAFLOGICALAFLOGICALAFLOGICALAcquisizione logicaAcquisizione logicaAcquisizione logicaAcquisizione logica

42 diversi tipi di datiIn pochi minuti

AndroidForensics.apkAndroidForensics.apkAndroidForensics.apkAndroidForensics.apk

Acquisizione Acquisizione Acquisizione Acquisizione FisicaFisicaFisicaFisica

mount

Diritti Root

dd if=partizione of=/mnt/sdcard/nomefile.imgdd

su

Rilevazione numero partizioni

+ NB - VUOTA!!!

Esempio

Samsung Galaxy S i9000

AcquisizioneAcquisizioneAcquisizioneAcquisizioneSu nuova MICROSD

Tastiera virtuale

dd

ODIN + CF ROOT

Installazione demone SSH

Acquisizione «Standard» MicroSD

Hash delle immagini dd microSD con

Samsung Galaxy S i9000

Analisi ClassicheAnalisi ClassicheAnalisi ClassicheAnalisi Classiche

Carving

Timeline

Database

Foto/video

Analisi SpecificheAnalisi SpecificheAnalisi SpecificheAnalisi Specifiche

Antiforensics ?

Correlazione informazioni

Applicazioni terze?

Per Per Per Per ApprofondireApprofondireApprofondireApprofondire

Deft?

Grazie per Grazie per Grazie per Grazie per l’attenzionel’attenzionel’attenzionel’attenzione!!!!

sandro@deftlinux.net

Sandro Sandro Sandro Sandro RossettiRossettiRossettiRossetti