Bypass a un terminal cifrado con Android 7 para análisis forense, charla de Buenaventura Salcedo

Bypass paso a paso a un terminal cifrado con Android 7 para análisis forense

Realizar un bypass o recuperación de datos de dispositivos móviles cifrados no es una tarea fácil de realizar. Por eso siempre es una gozada disponer de profesionales que están dispuestos a compartir su experiencia con estos temas que pueden ayudar a otros con la tarea o dar ideas para iniciar nuevas investigaciones y pruebas.

En las Jornadas de ciberseguridad BitUp celebradas en Alicante tuve la oportunidad de cruzarme por primera vez con Buenaventura Salcedo un especialista en eso del cacharreo con smartphones que tiene la virtud de explicar cosas de lo más complicadas de forma sencilla.

Para muestra este caso práctico de un brutal bypass a un smartphone Android 7 que detalló paso a paso y que está disponible a continuación tanto en vídeo como en podcast y también están reunidos el resto de los vídeos de las jornadas en la lista de reproducción de BitUp de mi canal de YouTube.

Buenaventura Salcedo (@nomed__1) es CEO de un Servicio Técnico de telefonía móvil e informática desde el año 2004 y estudiante del último curso de Ingeniería Informática en la UNED. Desarrollador de artifacts forenses para smartphones. Desarrollador del primer clúster español Linux de cálculo para sha1 y desarrollador del primer gestor masivo de códigos online español. Es colaborador en el blog Comunix Group y un entusiasta de la ciberseguridad, DFIR y el análisis forense.

Bypass a un Nokia 3, caso práctico

La idea de realizar de esta forma la recuperación de datos del smartphone que desglosa en esta charla la sacó Buenaventura de un estudio experimental realizado por Roman Loftus y Marwin Baumann en la Universidad de Amsterdam y que está disponible en PDF y que se centra en cómo descifrar la partición de datos.

Con esta información de base se puso a cacharrear en un caso real complicado para la adquisición de los datos del terminal y poder realizar un posterior análisis forense. Este experimento lo realizó en un terminal Nokia 3 con Android 7 del cual conocía el código de seguridad pero que en este caso le servía de poco.

En la charla con demo incluida*, explica con detalle las fases que sigue para realizar este brutal bypass y las herramientas empleadas:

  1. Dumpear el teléfono. Programas para dumpear la memoria emmc:
  2. Extraer /metadata y /userdata con FTK o un parseador.
  3. Desbloquear el bootloader, el teléfono se borra.
  4. Desbloquear el teléfono ‘Vacío’ pero con bootloader desbloqueado.
  5. Alinear /metadata y /userdata en el dump Vacío.
  6. Escribir bypass, el dum modificado del 6.
  7. TWRP + ROOT desde microSD.
  8. Realizar el clonado de /data con dd.

*Las diapositivas de la charla están disponibles en este enlace del perfil de GitHub de Buenaventura.

Otra charla de Buenaventura disponible en el canal es ‘Análisis forense en dispositivos Android en casos extremos (Chip-off)‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Bypass a un terminal cifrado con Android 7 para análisis forense», «@id»: «https://www.yolandacorral.com/bypass-terminal-cifrado-android/#videoobject», «datePublished»: «2019-03-25», «description»: «Caso práctico que plantea un bypass o cómo realizar una recuperación de datos de un smartphone Android 7 para realizar un análisis forense.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Botnets-luchando-contra-Umbrella-Corp-Palabra-de-hacker-1.jpg», «uploadDate»: «2019-03-25», «duration»: «PT32M56S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/BfYDPB4w_DQ» }

    3 comentarios en “Bypass paso a paso a un terminal cifrado con Android 7 para análisis forense”

    1. a PAULREY. Esta es la primera fase adquisicion de un analisis forense en telefonia movil. Sin lugar a dudas la parte más delicada del proceso de dicho analisis. No se si has entendido bien el proceso o lo has seguido completamente, pero al decir en tu comentario «únicamente contenido/datos cifrados» afirmas que el proceso no serviria para nada. Tu comentario es erroneo, lo que obtenemos es la particion de datos DESCIFRADA. /data esta cifrado, pero nosotros obtenemos del punto de montaje /dm-0 que es la salida bajo demanda descifrada de la particion /data y que puedes montar sin ningun problema e iniciar la siguiente fase de analisis que es la recuperacion de información y ficheros borrados, que como sabes eso ya es «coser y cantar» una vez que tenemos la materia prima con la que trabajar. No crees que no tendria sentido dar una charla en la cual tan solo obtenemos datos cifrados con los cuales NO podemos trabajar.

    2. Muchas gracias por la aportación, cabe recalcar que con este método no se obtendrían ficheros borrados durante su uso, únicamente contenido/datos cifrados.

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.