Forensic iOS

1,411 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,411
On SlideShare
0
From Embeds
0
Number of Embeds
261
Actions
Shares
0
Downloads
2
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Forensic iOS

  1. 1. iOS Forensics Jesús Balsa y Christian García
  2. 2. Informática forense ¤  “La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales.“ ¤  Esta labor es importante en los procesos judiciales, pero también puede emplearse en el sector privado.
  3. 3. iOS ¤  Sistema de ficheros HFS+ (Hierarchical FileSystem) ¤  Dos particiones ¤  1) Boot/firmware ¤  Sólo lectura excepto actualizaciones y jailbreak ¤  SSOO y aplicaciones básicas ¤  2) Datos de usuario y aplicaciones
  4. 4. Estructura de un sistema iOS
  5. 5. Fases de un análisis forense
  6. 6. Evaluación ¤  Notificar y obtener la autorización ¤  Revisar las políticas y la legislación ¤  Identificar a los miembros del equipo ¤  Realizar una valoración inicial ¤  Prepararse para la adquisición de pruebas ¤  Documentación detallada con información de los procedimientos realizados.
  7. 7. Preparación para la adquisición ¤  Preparación de medios para almacenamiento de “segundos originales” (clonación bit a bit). ¤  Para limpiar los discos se puede utilizar: ¤  Software: ¤  DiskWipe (Windows - Gratuita) ¤  Bleachbit (Linux – Gratuita) ¤  DiskUtility (Mac – Integrada en el sistema) ¤  Hardware: ¤  Drive eRazer
  8. 8. Adquisición de datos ¤  Desde backup ¤  Desde dd y netcat ¤  Kits forenses ¤  Cellebrite ¤  Oxygen Forensics
  9. 9. Adquisición desde backup ¤  iTunes ¤  Sin passcode o bien pareado previamente con el equipo ¤  Windows 7: %USER%AppDataRoamingAppleComputerMobileSyncBackup<UDID> ¤  Mac: $HOME/Library/ApplicationSupport/MobileSync/Backup/<UDID> ¤  iTools ¤  Sin passcode o bien pareado previamente con el equipo ¤  libimobiledevice ¤  Sin passcode ¤  Backup cifrado guardado en el PC/Mac ¤  Sólo fuerza bruta (Ivan Golubev’s Password Recovery Suite ó Elcomsoft Password Recovery)
  10. 10. Adquisición desde dd y netcat Requisitos: ¤  Dispositivo con jailbreak ¤  Servidor SSH instalado y netcat o que permita instalarlos ¤  Servidor SSH con clave por defecto “alpine” o clave débil Comandos a utilizar: dd if=/dev/disk0s2 bs=4096 | nc NUESTRA_IP PUERTO nc –l 9000 | dd of=NOMBREARCHIVO.img
  11. 11. Adquisición con kits forenses ¤  Cellebrite UFED Logical y UFED Ultimate (Hardware) ¤  Adquisición automática de los datos del terminal ¤  Funciona tanto con jailbreak como sin él ¤  Bypass del código de bloqueo iOS (sólo si es numérico, que es lo más común) ¤  Generación automática de hash SHA-1 ó MD5 (ya obsoleto) ¤  Herramienta óptima ¤  Precio muy elevado: Logical desde 4700€+IVA y Ultimate desde 8500€+IVA
  12. 12. Adquisición con kits forenses ¤  Oxygen Forensics y UFED Phisical Analyzer (Software) ¤  Sólo compatible hasta iPhone 4, iPad 2
  13. 13. Análisis de los datos ¤ Opciones de análisis ¤  Exploración manual ¤  Fuentes ¤  A partir de un backup ¤  A partir de imagen en bruto obtenida con dd (jailbreak) ¤  Inspección del sistema de archivos ¤  ¿Qué explorar? ¤  Exploración automatizada ¤  Kits comerciales para análisis forense
  14. 14. Análisis de los datos A partir de un backup - Casos ¤  Si está cifrado à Fuerza bruta.... (Tiempos con GPUs en 2011)1 ¤  Sin cifrar à Recomponer backup y acceder al contenido ¤  Herramientas ¤  iPhone Backup Analyzer: Open source, Linux ¤  iPhone Analyzer: Multiplataforma (Java) ¤  iPhone Backup Explorer: Mac y Windows ¤  iPhone Backup Viewer: Mac [1]: iPhone and iOS Forensics. Andrew Hoog, Katie Strzempka. Ed: Syngress, 2011.
  15. 15. Análisis de los datos A partir de un backup - Herramientas iPhone Backup Analyzer (Linux)
  16. 16. Análisis de los datos A partir de un backup - Contenido ¤  ¿Qué se guarda en un backup? ¤  Se almacena el contenido de la partición de usuario, excepto vídeos y música ¤  Dicha partición está montada en: /private/var ¤  Lo que está fuera de esa ruta no se guarda (datos de sistema)
  17. 17. Análisis de los datos A partir de un backup - Estructura en disco I ¤  Elementos del directorio de un backup ¤  Status.plist Información del último backup: fecha, hora, tamaño ¤  Info.plist y Manifest.plist Información del dispositivo: tipo de aparato, UDID, IMEI, nombre, versión de iOS y de iTunes, nº de serie, lista de apps instaladas ¤  Manifest.mbdb Rutas y hashes de los ficheros que contiene el backup, y en caso de tenerla, la contraseña (cifrada) del backup ¤  Resto de ficheros: Lista de elementos nombrados mediante hashes
  18. 18. Análisis de los datos A partir de un backup - Estructura en disco II
  19. 19. Análisis de los datos A partir de imagen extraída con dd (Linux/Mac) ¤  Se puede acceder a todo el sistema de archivos ¤  /Applications ¤  /System ¤  /”lo_que_sea” ¤  Pueden recuperarse archivos borrados (si no se han sobrescrito) ¤  Pasos básicos ¤  Montar la imagen extraída, en modo sólo lectura ¤  sudo mount -t hfsplus -o ro,loop ~/Desktop/iPhone.dmg ~/Desktop/iPhone_montado ¤  Explorar ”a mano” los ficheros de interés
  20. 20. Análisis de los datos Inspección manual del sistema ¤  ¿Qué explorar? ¤  El directorio público Media ¤  Datos de las aplicaciones ¤  Cookies ¤  Ficheros de BBDD (.db y .sqlite) y de preferencias (.plist) ¤  Claves de usuario y registros del sistema ¤  Herramientas necesarias ¤  Visor de ficheros .db y .sqlite: SQLite Manager (multiplataforma) ¤  Visor de ficheros .plist: Plist Editor Pro (Mac y Windows) ¤  Paciencia
  21. 21. Análisis de los datos Inspección del sistema - Herramientas I SQLite Manager
  22. 22. Análisis de los datos Inspección del sistema - Herramientas II Plist Editor Pro
  23. 23. Análisis de los datos Inspección del sistema - El directorio público Media ¤  Ruta: /private/var/mobile/Media ¤  Contenido: ¤  Información detallada del dispositivo: Media/iTunes_Control/Device/ ¤  Fotos y vídeos: ¤  Media/DCIM/100APPLE/ ¤  Media/PhotoData/ ¤  Por defecto las fotos incluyen metadatos con localización del GPS ¤  Almacenamiento USB: Media/general_storage/ ¤  Música: Media/iTunes_Control/Music/ ¤  Grabaciones: Media/Recordings/ ¤  eBooks: Media/Books/ ¤  Listado de las compras en la AppStore: Media/Purchases/
  24. 24. Análisis de los datos Inspección del sistema - Datos de aplicaciones I ¤  Cookies: ¤  ¤  ¤  ¤  Ruta: /private/var/mobile/Applications/[AppID_(hash)]/Library/Cookies Permiten iniciar sesión directamente copiándolas en otro iOS Redes sociales: tuenti, twitter, facebook* (corregido a final de 2012) Mensajería instantánea: gtalk, imo messenger ¤  Libreta de contactos: ¤  /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb ¤  Últimas 100 llamadas realizadas: ¤  /private/var/wireless/Library/CallHistory/call_history.db ¤  Emails de las cuentas vinculadas: /private/var/mobile/Library/Mail/ ¤  SMS: /private/var/mobile/Library/SMS/sms.db
  25. 25. Análisis de los datos Inspección del sistema - Datos de aplicaciones II ¤  Ficheros .plist de preferencias ¤  Ruta: /private/var/mobile/Library/Preferences ¤  Múltiples elementos con información sobre configuraciones y búsquedas ¤  Ejemplos representativos: ¤  com.apple.mobilephone.speeddial.plist: números de llamada rápida. ¤  com.apple.preferences.datetime.plist: zona horaria del dispositivo. ¤  com.apple.mobiletimer.plist y com.apple.mobilecal.alarmengine.plist: información sobre las alarmas puestas en el reloj. ¤  com.apple.youtube.plist: últimos vídeos buscados en la aplicación Youtube. ¤  com.apple.mobilesafari.plist: ultimas búsquedas en Safari. ¤  com.apple.stocks.plist: stock de acciones en la aplicación bolsa.
  26. 26. Análisis de los datos Inspección del sistema - Registros de interés y contraseñas ¤  Registro continuo de eventos (Logs): /private/var/logs/ ¤  Redes WiFi detectadas: ¤  /private/var/preferences/SystemConfiguration/com.apple.wifi.plist ¤  Ubicaciones GPS registradas: ¤  /private/var/root/Library/Caches/locationd/consolidated.db ¤  Listado de todas las aplicaciones instaladas: ¤  /private/var/mobile/Library/Caches/com.apple.installation.plist ¤  Ficheros de contraseñas de usuario (algunas en plano): ¤  /private/var/Keychains/keychain-2.db ¤  /private/var/Keychains/TrustStore.sqlite3 ¤  Ficheros de emparejamiento con ordenadores con los que ha sincronizado: ¤  /private/var/root/Library/Lockdown/
  27. 27. Análisis de los datos Kits comerciales para análisis forense ¤  Realizan la extracción, clasificación y hasheado de los ficheros ¤  Generan una línea temporal del dispositivo, permitiendo una exploración cronológica de eventos y ficheros ¤  Algunos kits disponibles 1) Necesitan iTunes instalado ¤  Oxygen Forensic Suite (Windows) ¤  MobilEdit! Forensic (Windows) 2) No necesitan iTunes ¤  UFED Cellebrite Physical Analyzer (Windows)
  28. 28. Elaboración del informe ¤  Lo más claro posible para su compresión por abogados y jueces ¤  Que ponga de manifiesto las pruebas y evidencias encontradas
  29. 29. Elaboración del informe
  30. 30. Gracias por su atención

×