Vídeo: Mobile app analysis with Santoku Linux - Andrew Hoog (Outubro 2024)
O Linux pode ser personalizado para ser usado para tudo e por qualquer pessoa, se você deseja criar seu próprio servidor de mídia ou NAS ou procurar um ambiente projetado especificamente para crianças ou administradores de rede. O Santoku Linux, uma distribuição personalizada repleta de ferramentas para análise forense móvel, análise de malware móvel e teste de segurança móvel, é um relativamente novo para a parte. Se você está interessado em segurança da informação - principalmente segurança móvel - o Santoku Linux fornece ferramentas essenciais para começar.
Existem várias distribuições Linux específicas de segurança, incluindo BackTrack e Kali. Santoku segue a mesma abordagem, mas no lado móvel.
A beleza do Linux é que ele é versátil. Você sempre pode usar qualquer uma das distribuições gerais, como Red Hat, Ubuntu, SUSE, Slackware, etc, etc, e apenas instalar as ferramentas necessárias, mas é mais fácil usar um sistema operacional em que todas as ferramentas já estejam instaladas e otimizadas.. Ou ter todas essas ferramentas que você nem conhecia à sua disposição sem ter que procurar por elas.
Noções básicas de Santoku
Patrocinado pela forense digital e empresa de segurança viaForensics, o Santoku Linux está disponível como uma edição gratuita da comunidade. A viaForensics também oferece o viaLabs, essencialmente um sistema comercial rodando sobre o Santoku. Essa distribuição é uma bifurcação - uma variante - da distribuição MobiSec Ubuntu, o que significa que se você já sabe usar o Ubuntu, muitos dos comandos e a interface do usuário já são muito familiares para você. Ele também usa o popular desktop Gnome, de modo que a interface gráfica do usuário é uma que muitos usuários já usam. (E, como qualquer outra distribuição Linux, se você preferir o KDE, sempre pode substituir a área de trabalho).
Começando
O site oficial possui a imagem.ISO completa para sistemas de 64 bits. Faça o download, grave-o em uma unidade de CD ou USB e você terá um Live CD pronto para ser usado. Observe que não há versão de 32 bits disponível. Eu não percebi isso no começo e não conseguia entender por que não conseguia fazer o Live USB funcionar em minhas máquinas mais antigas. Depois que percebi isso, consegui colocá-lo em funcionamento em um laptop de 64 bits sem nenhum problema.
Para mim, uma das melhores coisas do Linux - qualquer Linux - é o fato de que os requisitos de hardware são muito mais tolerantes e você pode executar o sistema operacional em hardware mais antigo. É uma ótima maneira de redirecionar máquinas mais antigas para continuar sendo útil, e fiquei um pouco decepcionado por não conseguir fazer isso com Santoku. Para ser justo, se eu estiver executando emuladores móveis para testar aplicativos, seria melhor usar especificações mais robustas, mas ainda seria mais barato adicionar mais memória a uma máquina de 32 bits do que comprar uma de 64 bits 1.
Obviamente, sempre posso seguir o How-To bastante detalhado no site oficial para instalar o Santoku em uma máquina virtual (VMware ou VirtualBox). Também tentei instalá-lo em um ambiente Hyper-V e fiquei satisfeito por poder executar emuladores e várias outras ferramentas sem nenhum problema. Preciso executar algumas etapas extras para configurar o adaptador de rede para que o Hyper-V no Windows Server 2008 R2 e nos sistemas baseados no Ubuntu funcionem juntos, mas depois disso, a instalação do Santoku na máquina virtual acabou sendo direta.
Ferramentas Disponíveis
Como mencionado anteriormente, não há absolutamente nenhuma razão para que eu não possa simplesmente configurar uma máquina Ubuntu e apenas instalar as ferramentas necessárias. Mas é importante notar que o Santoku já possui muitas das ferramentas instaladas, o que significa que você pode executar testes de penetração, aplicações de engenharia reversa e executar vários testes sem a necessidade de instalar cada ferramenta individualmente. Todas as ferramentas específicas para dispositivos móveis estão listadas em "Santoku" no menu principal.
Usei o Android SDK Manager para ativar vários emuladores de dispositivos móveis executando o Android. Isso significa que não preciso rastrear dispositivos físicos do Android para meus testes. Emuladores para BlackBerry também estão disponíveis. A distribuição também possui ferramentas de desenvolvimento para várias plataformas móveis, incluindo Apple Xcode IDE, BlackBerry JDE, BlackBerry Tablet OS SDK, BlackBerry WebWorks, DroidBox, Eclipse IDE e Windows Phone SDK, para citar alguns. Para análise de malware móvel, eu também tive acesso a bancos de dados contendo informações sobre diferentes tipos de malware.
Para análise forense móvel, havia ferramentas como o AFLogical Open Source Edition, o Android Encryption Brute Force, o BlackBerry Desktop Manager, o iPhone Backup Analyzer e o SQLiteSpy. Com essas ferramentas, eu poderia recuperar dados armazenados nos dispositivos, auditar o software e analisar imagens de disco.
O Santoku também possui ferramentas de segurança mais amplas, incluindo utilitários para analisadores sem fio, engenharia reversa e testes de penetração. Juntamente com o nmap, BurpSuite e Metasploit, posso usar o console w3af, Ettercap, SQLmap, SSLstrip e outras ferramentas de teste de penetração. Estão incluídas ferramentas de engenharia reversa, como a APK Tool e o Java Decompiler, assim como a útil ferramenta Flawfinder. Eu uso muito o Wireshark e o Kismet para testes de rede e fiquei satisfeito ao ver o ChaosReader, que permite visualizar o tráfego móvel no nível de pacotes.
Eu não conhecia o Aircrack-Ng, uma ferramenta que permite quebrar as chaves 802.11 WEP e WPA-PSK, até que eu o vi instalado por padrão no Santoku. O fato de tantas ferramentas serem incluídas no Santoku significa que você pode aprender sobre algumas das melhores ferramentas disponíveis - especialmente as versões de código aberto do software comercial. Também achei os scripts particularmente úteis, uma vez que alguém já havia investido tempo e esforço para automatizar tarefas realizadas com freqüência, como descriptografar binários e detectar problemas comuns em aplicativos móveis.
Uma distribuição de segurança móvel
Descrevi algumas de minhas tentativas de análise forense móvel na Security Watch.
Com o Santoku Linux, os usuários podem acessar algumas ferramentas gratuitas e de código aberto, bem como algumas ferramentas comerciais para adquirir e analisar dados forenses, examinar malware móvel, detectar aplicativos maliciosos e auditar aplicativos existentes. O Santoku Linux ainda está nos estágios iniciais, à medida que os líderes do projeto adicionam novos pacotes de aplicativos e melhoram a distribuição.
Se você está interessado em segurança móvel - se você é um estudante, profissional de segurança que trabalha regularmente com segurança móvel ou está apenas interessado em aprender um pouco sobre essa área - o Santoku Linux vale uma primeira, segunda e até uma terceira olhada. Navegue pelos fóruns, experimente os tutoriais de instruções e experimente algumas dessas ferramentas. Conhecimento é poder, e Santoku definitivamente facilita a expansão de suas habilidades.
