Recientemente se lanzó una nueva distribución de Linux orientada a la seguridad en dispositivos móviles y el análisis de malware y forense sobre las plataformas orientadas a los mismos. Esta nueva distribución se conoce bajo el nombre de Santoku Linux. Actualmente la distribución se encuentra en su versión 0.1 alpha. El nombre Santoku se refiere a un cuchillo de cocina que proviene originalmente de Japón. El significado de esta palabra es “tres virtudes” o “tres usos”. Debido a las características de esta distribución, que explicaremos a continuación, fue la elección del mencionado nombre japonés.
A continuación se adjunta una imagen del escritorio de Santoku:
Tres virtudes o tres usos
Anteriormente se mencionó que la distribución estaba orientada a la seguridad en dispositivos móviles, análisis de malware y análisis forense. El significado del nombre de la distribución, es decir, la motivación consiste en los tres tópicos antes señalados.
Dentro de los tres usos que propone esta distribución, los usuarios pueden encontrar diferentes herramientas libres y otras de origen comercial. Estas herramientas permiten analizar software en búsqueda de códigos maliciosos, realizar análisis forense sobre datos en dispositivos móviles, entre otras alternativas.
Analizando las herramientas más profundamente y en base a su objetivo se puede encontrar:
Herramientas para análisis forense (para adquirir y analizar datos)
- Herramientas para realizar operaciones de flash sobre el firmware.
- Herramientas obtener imágenes de tarjetas de memoria, memoria RAM, entre otros.
- Scripts útiles y herramientas especialmente diseñadas para el análisis forense en dispositivos móviles.
Herramientas para el análisis de malware (para examinar malware en dispositivos móviles)
- Emuladores de dispositivos móviles.
- Herramientas de simulación de servicios de red para el análisis dinámico.
- Herramienta de decompilación y desensamblado.
- Acceso a bases de datos de malware.
Herramientas de seguridad para dispositivos móviles (evaluación de las aplicaciones)
- Scripts para detectar problemas comunes en las aplicaciones.
- Scripts para automatizar el descifrado de archivos, la enumeración de detalles de la aplicación, entre otras.
Asimismo se incluyen también herramientas para realizar ingeniería reversa e incluso penetration test. Un listado más detallado de las herramientas puede encontrarse en el propio sitio web de la distribución.
Se lanzará la versión de Santoku Pro más adelante y esta versión dispondrá de todas las facilidades que caracterizan a las distribuciones de estas características.
Relevancia en las auditorías de seguridad
Este tipo de distribuciones y herramientas permite realizar auditorías de forma más sencilla y práctica, enfocando en este caso, las plataformas móviles y permitiendo, asimismo, la gestión de la seguridad. En la actualidad, está claro que los dispositivos móviles son foco de ataques y códigos maliciosos debido a que se utilizan para realizar operaciones cada vez más complejas que involucran datos críticos y, en muchos casos, almacenan información sensible perteneciente al usuario o terceros. Para validar que realmente esto está sucediendo, podemos mencionar las botnets que están apareciendo para las plataformas móviles. Se puede obtener información más detallada en el caso de Android en nuestro post titulado Botnets en Android: Robo de mensajes de texto. En complemento a todo lo expuesto, le recomendamos la lectura de los 10 consejos prácticos para proteger los dispositivos móviles.
Fernando Catoira
Analista de Seguridad