Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.

2. Consultor Seguridad I64

3. http://windowstips.wordpress.com

5. INTRODUCCIÓN

6. El auge de los sistemas de movilidad y usointensivo de los mismospropician el usofraudulento o criminal con los mismos. Las empresasempiezan a tener en consideración el control de dispositivosporriesgos de usosmaliciosos o fuga de información. El forense de dispositivosmóvilessiguelasmismasdirectrices y métodosque los forensesconvencionales: Buenasprácticas. Preservación de la información. Analisisbasados en métodos. Herramientasforenses. Introducción

7. Arquitecturadiferente. Diversidad en los modelos y tecnologías. Diseño de aplicacionesespecificadosparatecnología e inclusodeterminadostipos de terminales. Software de análisisforense y hardware específico. La mayoría de software forensees de pago. Diferencias con el forense digital tradicional

8. SIM. Memoriainterna. Memoriasinternassecundarias. Unidades Flash. Discos SD. ¿Quéanalizar?

9. Esposibleaunarambastecnologías. La generación de imágenes de memoriainterna se puederealizar con herramientasespecíficasparamóviles. Herramientas con EnCase o FTK permitenanalizar a posteriori la informaciónrecogida en lasimágenescapturadas. Forensetradicional + Forense de móviles

10. Adquisición de Imágenes

11. SSH & DD utility A través de SSH Una vez conectado invocar a la utilidad DD La copia es muy parecida a una copia física Se puede analizar con herramientas forenses tradicionales Root /alpine

12. Adquisición de imágenes

13. Estructura Física y Lógica

14. Estructura Física

15. Estructura Física y Lógica Almacenamiento Memoria Flash Particionada en 2 Partición de sistema Partición de datos de usuario

16. Iphone & IPad Al conectar el dispositivo sucede Itunes sincroniza el dispositivo Es una copia de seguridad Se puede analizar directamente desde el backup

17. Sistema Operativo IOS Itunes no realiza un backup de la imagen del OS La imagen sólo cambia cuando hay una actualización No existen parches para IOS Cuando sale una nueva versión ésta se parchea entera Si un usuario no actualiza el IOS …..

18. Datos de Usuario Itunes sincroniza las APPS del dispositivo En algunos casos son ficheros en texto plano Si ningún tipo de cifrado Se utiliza para restauración del dispositivo Los ficheros se actualizan cada vez que el dispositivo se conecta

19. Ficheros Iphone & IPad

20. Apple PropertyList (PLIST) 3 Ficheros Standard Info.plist Manifest.plist Status.plist Variedad de XML Interesante desde el punto de vista de la información

21. BinaryPropertyList En algunos casos se utilizan ficheros binarios Es posible parsear la información y convertirla a PLIST

22. Safari Search 1d6740792a2b845f4c1e6220c43906d7f0afe8ab Extracción de Sitios Visitados

23. Funciones basadas en BBDD Muchas funciones de Iphone & Ipad Se basan en lectura/escritura en BBDD Esas BBDD se encuentran en texto plano Codificadas en su mayoría en UTF-8

24. Info.plist Variada información sobre el dispositivo Número de serie del dispositivo IMEI Número de TLF Versión del Producto Tipo de Producto (3G, 16GB, etc..) Datos del último Backup

25. Ficheros interesantes SMS /var/root/Library/SMS/sms.db Calendario /var/root/Library/Calendar/Calendar.sqlitedb Notas /var/root/Library/Notes/notes.db Histórico de llamadas /var/root/Library/CallHistory/call_history.db

26. Ficheros interesantes Libreta de direcciones /var/root/Library/AddressBook/AddressBook.sqlitedb /var/root/Library/AddressBook/AddressBookImages.sqlitedb Llamadas de Voz /var/root/Library/Voicemail/voicemail.db 992df473bbb9e132f4b3b6e4d33f72171e97bc7a

27. Ficheros interesantes Fotografías /var/root/Media/DCIM/100Apple Safari /var/root/Library/Bookmarks.plist /var/root/Library/History.plist /var/root/Library/Cookies/Cookies.plist Correo-@ /var/root/Library/Mail

28. ¿Nos espían? BBDD Collations.db Se puede parsear con muchas herramientas Pintan en un mapa las coordenadas por donde ha pasado «tu dispositivo» Existentes en Iphone Ipad Android Windows Phone 7

29. Ubicaciones guardadas

30. IphoneForensicTool

31. IphoneForensicTool Herramienta desarrollada en Python Extracción de múltiples elementos de Backup Extracción de evidencias en formatos CSV & HTML Creación de Hash MD5 & SHA1 Generador de informes (𝑃𝑟𝑒−𝐴𝑙𝑝h𝑎)𝑛

32. IphoneForensicTool

33. http://Windowstips.wordpress.com

34. TechNews de Informática 64 Suscripción gratuita en technews@informatica64.com

35. http://elladodelmal.blogspot.com

36. http://legalidadinformatica.blogspot.com