SbD
LIOS #FF: a tool for IOS Forensics
Lorenzo Martínez R. (@lawwait)

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

[root@localhost ~]# whoami

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Echando la vista atrás...

Septiembre 2007

Mayo 2013

© Todos los derechos reservados...
LIOS #FF: A tool for IOS Forensics

[root@localhost ~]# whoami
•
•
•
•
•
•
•
•
•
•

13 años experiencia profesional en seg...
LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

¿Por qué analizar IOS?

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

• Dos particiones HFS+ (Hierarchical FileSystem+)
– Boot/firmware
• Sólo lectura (exce...
LIOS #FF: A tool for IOS Forensics

Adquisición de datos
• Desde un Backup de iTunes
– Cifrado / sin cifrar

• Directament...
LIOS #FF: A tool for IOS Forensics

Backup de iTunes: ¿Dónde?
• Windows 7 -> <carpeta usuario>AppDataRoaming
Apple Compute...
LIOS #FF: A tool for IOS Forensics

Herramientas libres

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Backup de iTunes: Ficheros
• Herramientas Necesarias:
–
–
–
–
–

listManifest.py
SQLit...
LIOS #FF: A tool for IOS Forensics

iPhone Analyzer

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

iPhone Backup Analyzer

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

iExplorer (Unregistered version)

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

iFunBox

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Herramientas comerciales

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Ubicación de ficheros importantes

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Acceso directo a sistema de ficheros
• /private/var/mobile/Media/DCIM
– /100Apple -> I...
LIOS #FF: A tool for IOS Forensics

Acceso directo a sistema de ficheros
•
•
•
•

/private/var/mobile/Library/VoiceMail/
/...
LIOS #FF: A tool for IOS Forensics

Basta ya de chapa...

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

LIOS #FF: Lawwait IOS Forensics Framework
• Lenguaje de scripting: Perl
• Inicialmente...
LIOS #FF: A tool for IOS Forensics

LIOS #FF: Lawwait IOS Forensics Framework
• Problemas encontrados
– EPOCH vs. CFAbsolu...
LIOS #FF: A tool for IOS Forensics

No me lo creo... a verlo!

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Conclusiones
• Manipulación ficheros en crudo vs. Herramientas
“homologadas”
• Low cos...
LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics

Email me: lorenzo@securizame.com
Twitter: @lawwait @securizame @secbydefault
© Todos l...
Upcoming SlideShare
Loading in …5
×

LIOS: a tool for IOS Forensic

909 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
909
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
44
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

LIOS: a tool for IOS Forensic

  1. 1. SbD LIOS #FF: a tool for IOS Forensics Lorenzo Martínez R. (@lawwait) © Todos los derechos reservados
  2. 2. LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami © Todos los derechos reservados
  3. 3. LIOS #FF: A tool for IOS Forensics Echando la vista atrás... Septiembre 2007 Mayo 2013 © Todos los derechos reservados Septiembre 2013
  4. 4. LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami • • • • • • • • • • 13 años experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informático Forense CISSP, CISA Editor de SecurityByDefault Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: lorenzo@securizame.com Web: www.securizame.com www.securitybydefault.com © Todos los derechos reservados
  5. 5. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  6. 6. LIOS #FF: A tool for IOS Forensics ¿Por qué analizar IOS? © Todos los derechos reservados
  7. 7. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  8. 8. LIOS #FF: A tool for IOS Forensics • Dos particiones HFS+ (Hierarchical FileSystem+) – Boot/firmware • Sólo lectura (excepto update y JB) • S.O y apps básicas – Datos de usuario y apps • Árbol de directorios y ficheros (Formato UNIX) • Tipos de ficheros fundamentales – SQLite (Agenda, Calendario, Llamadas, SMS,...) – PList (NextStep y XML) © Todos los derechos reservados
  9. 9. LIOS #FF: A tool for IOS Forensics Adquisición de datos • Desde un Backup de iTunes – Cifrado / sin cifrar • Directamente desde el dispositivo – Con contraseña de (des)bloqueo – Herramienta: iExplorer • Desde un dispositivo con Jailbreak – SSH + dd - En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados
  10. 10. LIOS #FF: A tool for IOS Forensics Backup de iTunes: ¿Dónde? • Windows 7 -> <carpeta usuario>AppDataRoaming Apple ComputerMobileSyncBackup<UDID> • Windows XP -> <carpeta usuario>Application Data RoamingApple ComputerMobileSyncBackup <UDID> • Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID> © Todos los derechos reservados
  11. 11. LIOS #FF: A tool for IOS Forensics Herramientas libres © Todos los derechos reservados
  12. 12. LIOS #FF: A tool for IOS Forensics Backup de iTunes: Ficheros • Herramientas Necesarias: – – – – – listManifest.py SQLite Database Browser PListEdit Pro Iphone Data Protection BinaryCookieReader.py • Status.plist -> Info del último backup • Info.plist y Manifest.plist -> Info del iDevice: Serial number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas • Manifest.mbdb -> Metadatos de los ficheros del backup • Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb) © Todos los derechos reservados
  13. 13. LIOS #FF: A tool for IOS Forensics iPhone Analyzer © Todos los derechos reservados
  14. 14. LIOS #FF: A tool for IOS Forensics iPhone Backup Analyzer © Todos los derechos reservados
  15. 15. LIOS #FF: A tool for IOS Forensics iExplorer (Unregistered version) © Todos los derechos reservados
  16. 16. LIOS #FF: A tool for IOS Forensics iFunBox © Todos los derechos reservados
  17. 17. LIOS #FF: A tool for IOS Forensics Herramientas comerciales © Todos los derechos reservados
  18. 18. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  19. 19. LIOS #FF: A tool for IOS Forensics Ubicación de ficheros importantes © Todos los derechos reservados
  20. 20. LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • /private/var/mobile/Media/DCIM – /100Apple -> IMG_* – /999Apple -> Imágenes anteriores • • • • • • • /private/var/mobile/Library/Keyboard/dynamic-text.dat /private/var/Keychains/key-chain-2.db /private/var/mobile/Library/Notes/notes.sqlite /private/var/mobile/Library/SMS/sms.db /private/var/mobile/Library/Mail/ /private/var/mobile/Library/Maps/History.plist /private/var/mobile/Media/Recordings – Recordings.db – *.m4a © Todos los derechos reservados
  21. 21. LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • • • • /private/var/mobile/Library/VoiceMail/ /private/var/mobile/Library/Cookies/cookies.binarycookies /private/var/mobile/Library/Caches/RecentSearches.plist* /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb • /private/var/Library/CallHistory/call_history.db • /private/var/Library/Calendar/Calendar.sqlitedb • /private/var/Library/Caches/locationd/consolidated.db © Todos los derechos reservados
  22. 22. LIOS #FF: A tool for IOS Forensics Basta ya de chapa... © Todos los derechos reservados
  23. 23. LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Lenguaje de scripting: Perl • Inicialmente, herramienta de clasificación de ficheros de un backup • Luego, selección de ficheros ‘Juicy’ • Lios_report – Tratamiento de datos en un periodo de fechas – Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber, Notas de voz, Safari – Timeline!!! © Todos los derechos reservados
  24. 24. LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Problemas encontrados – EPOCH vs. CFAbsoluteTime – Cambios en las versiones de IOS – Nombres de tablas inexistentes en diferentes versiones de Apps • Roadmap – Modularidad/Plugins, API – Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc... – Compatibilidad con IOS 7 – Integración con otras herramientas – Recuperación de registros borrados © Todos los derechos reservados
  25. 25. LIOS #FF: A tool for IOS Forensics No me lo creo... a verlo! © Todos los derechos reservados
  26. 26. LIOS #FF: A tool for IOS Forensics Conclusiones • Manipulación ficheros en crudo vs. Herramientas “homologadas” • Low cost o home made != Malo • LIOS: – Clasificación de ficheros “por tipo” – Ficheros “jugosos” – Report: • Información visual • Aplicaciones típicas, pero no estándar • Escalabilidad • Timeline © Todos los derechos reservados
  27. 27. LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados
  28. 28. LIOS #FF: A tool for IOS Forensics Email me: lorenzo@securizame.com Twitter: @lawwait @securizame @secbydefault © Todos los derechos reservados

×