• Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
390
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
27
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SbD LIOS #FF: a tool for IOS Forensics Lorenzo Martínez R. (@lawwait) © Todos los derechos reservados
  • 2. LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami © Todos los derechos reservados
  • 3. LIOS #FF: A tool for IOS Forensics Echando la vista atrás... Septiembre 2007 Mayo 2013 © Todos los derechos reservados Septiembre 2013
  • 4. LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami • • • • • • • • • • 13 años experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informático Forense CISSP, CISA Editor de SecurityByDefault Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: lorenzo@securizame.com Web: www.securizame.com www.securitybydefault.com © Todos los derechos reservados
  • 5. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 6. LIOS #FF: A tool for IOS Forensics ¿Por qué analizar IOS? © Todos los derechos reservados
  • 7. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 8. LIOS #FF: A tool for IOS Forensics • Dos particiones HFS+ (Hierarchical FileSystem+) – Boot/firmware • Sólo lectura (excepto update y JB) • S.O y apps básicas – Datos de usuario y apps • Árbol de directorios y ficheros (Formato UNIX) • Tipos de ficheros fundamentales – SQLite (Agenda, Calendario, Llamadas, SMS,...) – PList (NextStep y XML) © Todos los derechos reservados
  • 9. LIOS #FF: A tool for IOS Forensics Adquisición de datos • Desde un Backup de iTunes – Cifrado / sin cifrar • Directamente desde el dispositivo – Con contraseña de (des)bloqueo – Herramienta: iExplorer • Desde un dispositivo con Jailbreak – SSH + dd - En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados
  • 10. LIOS #FF: A tool for IOS Forensics Backup de iTunes: ¿Dónde? • Windows 7 -> <carpeta usuario>AppDataRoaming Apple ComputerMobileSyncBackup<UDID> • Windows XP -> <carpeta usuario>Application Data RoamingApple ComputerMobileSyncBackup <UDID> • Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID> © Todos los derechos reservados
  • 11. LIOS #FF: A tool for IOS Forensics Herramientas libres © Todos los derechos reservados
  • 12. LIOS #FF: A tool for IOS Forensics Backup de iTunes: Ficheros • Herramientas Necesarias: – – – – – listManifest.py SQLite Database Browser PListEdit Pro Iphone Data Protection BinaryCookieReader.py • Status.plist -> Info del último backup • Info.plist y Manifest.plist -> Info del iDevice: Serial number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas • Manifest.mbdb -> Metadatos de los ficheros del backup • Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb) © Todos los derechos reservados
  • 13. LIOS #FF: A tool for IOS Forensics iPhone Analyzer © Todos los derechos reservados
  • 14. LIOS #FF: A tool for IOS Forensics iPhone Backup Analyzer © Todos los derechos reservados
  • 15. LIOS #FF: A tool for IOS Forensics iExplorer (Unregistered version) © Todos los derechos reservados
  • 16. LIOS #FF: A tool for IOS Forensics iFunBox © Todos los derechos reservados
  • 17. LIOS #FF: A tool for IOS Forensics Herramientas comerciales © Todos los derechos reservados
  • 18. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 19. LIOS #FF: A tool for IOS Forensics Ubicación de ficheros importantes © Todos los derechos reservados
  • 20. LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • /private/var/mobile/Media/DCIM – /100Apple -> IMG_* – /999Apple -> Imágenes anteriores • • • • • • • /private/var/mobile/Library/Keyboard/dynamic-text.dat /private/var/Keychains/key-chain-2.db /private/var/mobile/Library/Notes/notes.sqlite /private/var/mobile/Library/SMS/sms.db /private/var/mobile/Library/Mail/ /private/var/mobile/Library/Maps/History.plist /private/var/mobile/Media/Recordings – Recordings.db – *.m4a © Todos los derechos reservados
  • 21. LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • • • • /private/var/mobile/Library/VoiceMail/ /private/var/mobile/Library/Cookies/cookies.binarycookies /private/var/mobile/Library/Caches/RecentSearches.plist* /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb • /private/var/Library/CallHistory/call_history.db • /private/var/Library/Calendar/Calendar.sqlitedb • /private/var/Library/Caches/locationd/consolidated.db © Todos los derechos reservados
  • 22. LIOS #FF: A tool for IOS Forensics Basta ya de chapa... © Todos los derechos reservados
  • 23. LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Lenguaje de scripting: Perl • Inicialmente, herramienta de clasificación de ficheros de un backup • Luego, selección de ficheros ‘Juicy’ • Lios_report – Tratamiento de datos en un periodo de fechas – Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber, Notas de voz, Safari – Timeline!!! © Todos los derechos reservados
  • 24. LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Problemas encontrados – EPOCH vs. CFAbsoluteTime – Cambios en las versiones de IOS – Nombres de tablas inexistentes en diferentes versiones de Apps • Roadmap – Modularidad/Plugins, API – Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc... – Compatibilidad con IOS 7 – Integración con otras herramientas – Recuperación de registros borrados © Todos los derechos reservados
  • 25. LIOS #FF: A tool for IOS Forensics No me lo creo... a verlo! © Todos los derechos reservados
  • 26. LIOS #FF: A tool for IOS Forensics Conclusiones • Manipulación ficheros en crudo vs. Herramientas “homologadas” • Low cost o home made != Malo • LIOS: – Clasificación de ficheros “por tipo” – Ficheros “jugosos” – Report: • Información visual • Aplicaciones típicas, pero no estándar • Escalabilidad • Timeline © Todos los derechos reservados
  • 27. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  • 28. LIOS #FF: A tool for IOS Forensics Email me: lorenzo@securizame.com Twitter: @lawwait @securizame @secbydefault © Todos los derechos reservados