Video: Mobile app analysis with Santoku Linux - Andrew Hoog (November 2024)
Linux kan worden aangepast om voor alles en door iedereen te worden gebruikt, of u nu uw eigen mediaserver of NAS wilt bouwen, of op zoek bent naar een omgeving die speciaal is ontworpen voor kinderen of netwerkbeheerders. Santoku Linux, een aangepaste distributie boordevol tools voor mobiel forensisch onderzoek, mobiele malware-analyse en mobiele beveiligingstests, is een relatieve nieuwkomer voor de partij. Als u geïnteresseerd bent in informatiebeveiliging - met name mobiele beveiliging - biedt Santoku Linux u essentiële hulpmiddelen om aan de slag te gaan.
Er zijn een handvol beveiligingsspecifieke Linux-distributies, waaronder BackTrack en Kali. Santoku neemt dezelfde aanpak, maar aan de mobiele kant.
Het mooie van Linux is dat het veelzijdig is. U kunt altijd een van de algemene distributies gebruiken, zoals Red Hat, Ubuntu, SUSE, Slackware, enz., En installeer gewoon de tools die u nodig hebt, maar het is gewoon eenvoudiger om een besturingssysteem te gebruiken waar alle tools al zijn geïnstalleerd en geoptimaliseerd. Of om al deze tools waarover je nog niet wist tot je beschikking te hebben zonder erop te moeten jagen.
Santoku's basics
Santoku Linux wordt gesponsord door digitaal forensisch onderzoek en beveiligingsbedrijf via Forensics en is beschikbaar als een gratis communityeditie. viaForensics biedt ook viaLabs aan, in wezen een commercieel systeem dat bovenop Santoku draait. Deze distributie is een vork - een variant van - de MobiSec Ubuntu-distributie, wat betekent dat als je al weet hoe je Ubuntu moet gebruiken, veel van de opdrachten en de gebruikersinterface je al heel vertrouwd zijn. Het maakt ook gebruik van de populaire Gnome-desktop, dus de grafische gebruikersinterface is er een die veel gebruikers al gebruiken. (En net als elke andere Linux-distributie, als u de voorkeur geeft aan KDE, kunt u altijd de desktop vervangen).
Ermee beginnen
De officiële website heeft de volledige.ISO-afbeelding voor 64-bits systemen. Download het, brand het op een CD of USB-station en je hebt een Live CD klaar voor gebruik. Merk op dat er geen 32-bit versie beschikbaar is. Dat merkte ik aanvankelijk niet en kon niet begrijpen waarom ik de Live USB niet op mijn oudere machines kon laten werken. Toen ik me dat eenmaal realiseerde, kon ik het probleemloos op een 64-bits laptop gebruiken.
Wat mij betreft is een van de beste dingen van Linux - elke Linux - het feit dat hardwarevereisten veel vergevingsgezinder zijn en je het besturingssysteem op oudere hardware kunt laten draaien. Het is een geweldige manier om oudere machines opnieuw te gebruiken en toch nuttig te zijn, en ik was een beetje teleurgesteld dat ik dat niet met Santoku zou kunnen doen. Om eerlijk te zijn, als ik mobiele emulators ga gebruiken voor het testen van apps, zou ik sowieso beter af zijn met betere specificaties, maar het zou nog steeds goedkoper zijn om meer geheugen aan een 32-bit machine toe te voegen dan om een 64-bit te kopen een.
Natuurlijk kan ik altijd de redelijk gedetailleerde How-To op de officiële website volgen om Santoku op een virtuele machine (VMware of VirtualBox) te installeren. Ik heb ook geprobeerd het op een Hyper-V-omgeving te installeren en was blij dat ik zonder problemen emulators en verschillende andere tools kon gebruiken. Ik moet een paar extra stappen doen om de netwerkadapter te configureren om Hyper-V op Windows Server 2008 R2 en op Ubuntu gebaseerde systemen samen te laten spelen, maar daarna bleek het installeren van Santoku op de virtuele machine eenvoudig te zijn.
Beschikbare hulpmiddelen
Zoals eerder vermeld, is er absoluut geen reden waarom ik niet zomaar een Ubuntu-machine kan instellen en gewoon de tools kan installeren die ik nodig heb. Maar het is vermeldenswaard dat Santoku veel van de tools al heeft geïnstalleerd, wat betekent dat je penetratietests, reverse engineering-applicaties en verschillende tests kunt uitvoeren zonder het gedoe van het installeren van elke tool afzonderlijk. Alle mobiel-specifieke tools staan onder "Santoku" in het hoofdmenu.
Ik heb Android SDK Manager gebruikt om meerdere emulators voor mobiele apparaten met Android te starten. Dit betekent dat ik geen fysieke Android-apparaten hoef op te sporen voor mijn tests. Emulators voor BlackBerry zijn ook beschikbaar. De distributie heeft ook ontwikkeltools voor verschillende mobiele platforms, waaronder Apple Xcode IDE, BlackBerry JDE, BlackBerry Tablet OS SDK, BlackBerry WebWorks, DroidBox, Eclipse IDE en Windows Phone SDK, om er maar een paar te noemen. Voor mobiele malware-analyse had ik ook toegang tot databases met informatie over verschillende soorten malware.
Voor mobiele forensisch onderzoek waren er tools zoals AFLogical Open Source Edition, Android Encryption Brute Force, BlackBerry Desktop Manager, iPhone Backup Analyzer en SQLiteSpy. Met deze tools kon ik gegevens op de apparaten herstellen, software controleren en schijfkopieën analyseren.
Santoku heeft ook bredere beveiligingshulpmiddelen, waaronder hulpprogramma's voor draadloze analysers, reverse engineering en penetratietests. Samen met nmap, BurpSuite en Metasploit kan ik w3af-console, Ettercap, SQLmap, SSLstrip en andere penetratietesttools gebruiken. Reverse engineering tools zoals APK Tool en Java Decompiler zijn inbegrepen, net als de handige Flawfinder tool. Ik gebruik Wireshark en Kismet veel voor netwerktests en was blij ChaosReader te zien, waarmee ik mobiel verkeer op pakketniveau kan bekijken.
Ik was onbekend met Aircrack-Ng, een tool waarmee je 802.11 WEP- en WPA-PSK-sleutels kunt kraken, totdat ik het standaard op Santoku zag geïnstalleerd. Het feit dat er zoveel tools in Santoku zijn gebundeld, betekent dat u meer kunt leren over enkele van de "beste van het beste" tools die beschikbaar zijn - vooral open-source versies van commerciële software. Ik vond de scripts ook bijzonder nuttig, omdat iemand al tijd en moeite had gestoken in het automatiseren van vaak uitgevoerde taken, zoals het ontsleutelen van binaire bestanden en het detecteren van veelvoorkomende problemen in mobiele toepassingen.
Een mobiele beveiligingsdistro
Ik beschreef een aantal van mijn pogingen om mobiel forensisch onderzoek te doen bij Security Watch.
Met Santoku Linux hebben gebruikers toegang tot een aantal gratis en open source tools en tot enkele van de commerciële tools om forensisch gegevens te verzamelen en te analyseren, mobiele malware te onderzoeken, kwaadaardige apps te detecteren en bestaande apps te controleren. Santoku Linux bevindt zich nog in de beginfase, omdat de projectleiders nieuwe applicatiepakketten toevoegen en de distributie verbeteren.
Als je geïnteresseerd bent in mobiele beveiliging - of je nu een student bent, een beveiligingsprofessional die regelmatig met mobiele beveiliging werkt, of gewoon een beetje wilt leren over dit gebied - is Santoku Linux een eerste, tweede en zelfs een derde blik waard. Blader door de forums, probeer de How-To tutorials en probeer enkele van deze tools uit. Kennis is macht en Santoku maakt het zeker gemakkelijker om je vaardigheden uit te breiden.
