Post on 29-Jun-2019
#CyberCamp18@CiberPoliES
#CyberCamp18
-Analista Forense Informático en la Unidad Central de Ciberdelincuencia Policía Nacional Española.
-Profesor en distintas Universidades españolas en Grados y Máster relacionados con el Cibercrimen y el Ciberderecho.
- Editor del blog GLIDER.es
@CiberPoliES en Twitter.
Manuel_Guerra@GL1D3R:~# whoami
@CiberPoliES
#CyberCamp18
One year ago… Whatsapp, era el presente.
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Future… Internet of Things, prospectiva.
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
¿Por qué IoT?
@CiberPoliES
Internet of Things), prospectiva (quizás, no tanta).
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
Internet of Things, prospectiva (quizás, no tanta).
¿Por qué IoT?
@CiberPoliES
#CyberCamp18
¿Suficientes motivos?
@CiberPoliES
#CyberCamp18
Pero… ¿Cómo nace está charla?
@CiberPoliES
#CyberCamp18
Como no podía se de otro modo nace:Nace con: Oscar Navarrete @Navaguay , un SmartPlug y un café.
@CiberPoliES
#CyberCamp18
Como no podía se de otro modo nace:Nace con: Oscar Navarrete @Navaguay , un SmartPlug y un café.
@CiberPoliES
#CyberCamp18
Irá en función de cada tipo de dispositivo.
Incluso para el mismo dispositivo, variará en función de su firmware.
Siempre se irá del método menos invasivo al mas invasivo/destructivo.
Siempre dejar constancia por escrito de los procesos realizados.
No existe un “protocolo” de análisis en IoT.
@CiberPoliES
#CyberCamp18
Se da por supuesto que en el caso de tener que realizar un analisis forensede un dispositivo IoT, este ha sido aportado por su propietario y/o usuario.
En caso contrario, es necesario Autorización Judicial para acceder a lainformación que este contiene.
Acceder a la información de un dispositivo electrónico, sin autorización desu titular: Delito de Descubrimiento y Revelación de Secretos =
Ningún dispositivo IoT ha sufrido durante el rodaje de este taller.
Disclaimer.
@CiberPoliES
#CyberCamp18
¡¡¡Comenzamos!!!
#CyberCamp18
Que se pueden utilizar para hacer maldades ya está dicho.
El principal problema de estos dispositivos y del resto de IoT es el acceso a la memoria interna.
En drones de gama media-alta hay que ampliar el análisis al mando y alsmartphone asociado.
Drone Forensics
@CiberPoliES
#CyberCamp18
Suelen recibiar actualizaciones periódicas para modificar las zonas deexclusión. Los métodos de acceso o parseo se puede ver afectados.
La buena noticia es que para que funcione la zona de exclusión necesitanGPS e Internet.
Drone Forensics
@CiberPoliES
#CyberCamp18
Ya nos llegará bien para el resto de dipositivos.
Para los Drones no vamos a inventar la rueda.
@CiberPoliES
#CyberCamp18
Dji Inspire2, Dji Mavic pro y Dji Phatom 3 ForensicsLa información de vuelo, videos y fotografías se extraen directamente a través de la conexión USB (Son los mas sencillos).
@CiberPoliES
#CyberCamp18
Es necesario desmontarlo (con los PC se hace habitualmente).
Dos unidades de almacenamiento:
- MicroSD Externa (facilmente accesible): Fotos y Videos (Metadatos GPS).
- MicroSd Interna (hay que desmontarlo): SO Similar a un Linux, Solo lleva datos de vuelo (telemetría, GPS…)
Dji Phantom 4 Forensics
@CiberPoliES
#CyberCamp18
La tarjeta MicroSD Interna.
Dji Phantom 4 Forensics
@CiberPoliES
#CyberCamp18
No dejan de ser sistemas "Linux" con helices y WiFi.
Levantamos un AP con el mismo ESSID y a través de SSH podemos extraer los ficheros de su memoria.
ssh root@192.168.1.2 / 19881209
Drone Forensics via SSH
@CiberPoliES
#CyberCamp18
¿Cómo suelen funcionar los dispositivos IoT en general?
SmartPlug Forensics
@CiberPoliES
#CyberCamp18
APP de gestión típica.
Práctica1: SmartPlug Hacking
@CiberPoliES
#CyberCamp18
Práctica1: SmartPlug Hacking
@CiberPoliES
Antes de comenzar a realizar el análisis forense, vamos a "cacharrear" un poco para entender mejor su funcionamiento.
#CyberCamp18
Práctica1 bis: SmartPlug Hacking
@CiberPoliES
APP: Descargarla del sitio oficial y obtener firma digital.
#CyberCamp18
Analisis de menos invasivo a mas invasivo.Este análisis se puede replicar a otros dispositivos IoT de cualquier tipo.
Práctica 2: SmartPlug Forensics
@CiberPoliES
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Descubrimos que tiene un 80 y un telnet abierto.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Comenzamos por el 80: http://ip
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Descubrimiento de rutas: admin.htm y firmware.htm
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Es hora del 23: Telnet (¡¡¡sin contraseña!!!)
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Coffee Cyber attack time.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Coffee Cyber attack.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Directorios Sistema Operativo: CFG, NET, OS, MFT y MEROSS
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Directorio NET:
Show route: Muestra la tabla de enrutamiento IP.
Ping: Ejecutar el comando ping -> ping glider.es
Arp show: Muestra la tabla ARP.
Ntp: Muestra la configuración horaria.
Ifconfig: Muestra configuración de red.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Directorio OS:
Thread: Muestra información de todos los procesos que están corriendo en el dispositivo.
Mem: Muestra la cantidad de memoria RAM disponible.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Directorio MFT:
Test led red: Cambia el color del LED a rojo.
Test led off / on: Enciende y apaga el LED del dispositivo. (¿Cuanta resistencia tendrá el LED?)
Fmwver: Muestra la versión del Firmware en uso.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Directorio MEROSS:
ntp: Muestra al hora del dispositivo, en este caso, USO horario del usuario.
wifi: Muestra la contraseña del WiFi, ESSID y BSSID. (en texto plano)
timer: Muestra la configuración de las App del SmartPhone
Iot device: Muestra toda la configuración del dispositivo (Versión App, DNS, Puertos TCP/UDP, Servidores, User ID, hardware…)
Iot debug: Testea la configuración y funcionamiento del dispositivo.
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Directorio CFG:
prof: Resetea el dispositivo a la configuración de fábrica.
prof show: Muestra la configuración de dominios, redes WiFi, configuración de red…
#CyberCamp18
Práctica 2: SmartPlug Forensics
@CiberPoliES
Update
#CyberCamp18
No hay que olvidarse de analizar el otro dispositovo, el smartphone.
Práctica 3: SmartPlug > SmartPhone Forensics
@CiberPoliES
#CyberCamp18
Estes análisis hay que realizarlos de forma artesanal, no suelen existir soluciones comerciales compatibles com smartwatchs.
Práctica 4: SmartWatch Forensics
@CiberPoliES
#CyberCamp18
Práctica 4: SmartWatch Forensics
@CiberPoliES
#CyberCamp18
¿Quién tiene un Kodi en casa?
Kodi Forensics
@CiberPoliES
#CyberCamp18
¿Quién tiene un Kodi en casa?
Kodi Forensics
@CiberPoliES
#CyberCamp18
Kodi es un Software que facilita la reprodución de contenidos multimedia através de Internet.
Se puede ejecutar en un PC, aunque normalmente se ejecuta sobreLibreELEC instalado en un dispositivo tipo Raspberry Pi.
Kodi Forensics
@CiberPoliES
#CyberCamp18
Puede tener dos finalidades este tipo de analisis forenses:
-Lucha contra Organizaciones Criminales (Prop Int)
-Ayuda a Victimas de ciberataques, Mineros, Vulnerabilidades.
Kodi Forensics
@CiberPoliES
#CyberCamp18
- Instalación por defecto LibreELEC en una Raspberry Pi 2.- Tarjeta MicroSD 64Gb.- KODI.- Idioma español.- Add-on reproductor listas M3U.
Kodi Forensics: Target
@CiberPoliES
#CyberCamp18
- El primer paso será adquirir (no comprar) la tarjeta MicroSD de la Raspberry.
Kodi Forensics:
@CiberPoliES
#CyberCamp18
- Adquisición y análisis del contenido con FTK.
Práctica 5: Kodi Forensics:
@CiberPoliES
#CyberCamp18
El “research” doméstico, se puede aplicar a Investigaciones policiales realesen apoyo a grupos especializados.
G. Fraude Telecomunicaciones, UCC
G. Antipiratería, UCC
Kodi Forensics
@CiberPoliES
#CyberCamp18
¿Són seguras estas plataformas?¿Se pueden utilizar sus vulnerabilidadespara realizar un analisis forense?
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Comenzamos por el SSH
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Comenzamos por el SSH
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Comenzamos por el SSH
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Ahora le toca al SAMBA
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Ahora le toca al SAMBA
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Ahora le toca al SAMBA
Kodi Hacking | Forensics
@CiberPoliES
#CyberCamp18
Análisis forense desde casa…
Kodi Hacking | Forensics > TELETRABAJO
@CiberPoliES
#CyberCamp18
Las Dreambox tampoco se libran, ni de los ataques, ni del análisis remoto.
Dreambox Hacking | Forensics
@CiberPoliES
#CyberCamp18
Se trata de una importante fuente de evidencia digital. (no es un simple cacharro con lucecitas)
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
Comenzamos con un NMAP
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
Conexión vía SSH:
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
“ls" no funciona, pero tenemos algo mejor:
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
show sysinfo
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
show cpu
show mem
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
show arp
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
show dhcp status
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
Show nat entries
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
ps
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
Show log
Práctica 6: LAN Router Forensics
@CiberPoliES
#CyberCamp18
Es necesario extraer el firmware del router a través de USB o puerto serie
Práctica 7: Firmware IP Cam Forensics
@CiberPoliES
#CyberCamp18
Como siempre: Calculamos la firma digital de Firmware.
Práctica 7: Firmware IP Cam Forensics
@CiberPoliES
#CyberCamp18
Técnicas avanzadas mediante adquisición electrónica.
La espinita clavada:
Cuando todo falla…
@CiberPoliES
#CyberCamp18
Cuando todo falla…
@CiberPoliES
#CyberCamp18
JTAG / UARTLocalizar los pines JTAG/UART para depuración en la placa.
Descargar el firmware por un puerto serie
@CiberPoliES
#CyberCamp18
SombreroCuando la memoria tiene los pines expuestos.
Paso 1: Identificar los chips.
@CiberPoliES
ST i7105-EUD(Decoding STB)
EM 68B16CWQ(DDR2 SDRAM 512M)
Samsung 401K9F1G08U0D
(128M x 8 Bit NAND)
#CyberCamp18
SombreroCuando la memoria tiene los pines expuestos.
Paso 1: Identificar los chips.
@CiberPoliES
ST i7105-EUD(Decoding STB)
EM 68B16CWQ(DDR2 SDRAM 512M)
Samsung 401K9F1G08U0D
(128M x 8 Bit NAND)
#CyberCamp18
SombreroPaso 2: Averiguar la configuración de los Pines (Datasheet)
@CiberPoliES
#CyberCamp18
SombreroPaso 3: Conectar el "sombrero" y dumpear.
@CiberPoliES
#CyberCamp18
SombreroTécnicas que requieren destreza.
@CiberPoliES
#CyberCamp18
SombreroTécnicas que requieren destreza.
@CiberPoliES
#CyberCamp18
Sombrero bisSi el sombrero no funciona… Plan B
@CiberPoliES
#CyberCamp18
Sombrero bisSi el sombrero no funciona…
@CiberPoliES
#CyberCamp18
Analisis del dumpeado de memoria de un chip NAND.
Práctica 8: Dump directo del chip
@CiberPoliES
#CyberCamp18
ChipOffPaso 1: Localizar el chip de memoria a través de la serigrafía.
Memoria NAND Toshiba 16Gb
@CiberPoliES
#CyberCamp18
ChipOffPaso 2: Aplicar disolvente al Chip en caso de estar pegado con EPOXI y proteger el resto de placa.
@CiberPoliES
#CyberCamp18
ChipOffPaso 3: Configurar los perfiles para el des soladado. Tener en cuenta que el estaño funde a 190º.
@CiberPoliES
#CyberCamp18
ChipOffPaso 4: Cuando se alcanza la temperatura adecuada, se extrae el chip para hacerle el reballing.
@CiberPoliES
#CyberCamp18
ChipOffPaso 5: Se conecta el chip al socket adecuado y se dumpea/lee como si fuera un pendrive o tarjeta SD. A partir de aquí, el mismo proceso.
@CiberPoliES
#CyberCamp18
- No se trata de explicar como analizar cientos de dispositivos distintos.
-Establecer un procedimiento de análisis para los dispositivos mas característicos.
-Es necesario invertir en la adquisicón de dispositivos de lectura.
-Pensamiento lateral para aprovecharse de vulnerabilidades en la extracción.
- Técnicas muy destructivas, una única oportunidad.
Conclusiones:
@CiberPoliES
#CyberCamp18
XX.
XX
¡¡¡Muchas Gracias!!!
#CyberCamp18
Manuel_Guerra@GL1D3R:~# IoT_Forensic -h
¿Preguntas?