análisis forense de teléfonos iphone/ipad
DESCRIPTION
Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.TRANSCRIPT
Análisis Forense
Dispositivos IOS
Juan Garrido & Juan Luis García Rambla Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com
Agenda Introducción Adquisición de imágenes Estructura Física y Lógica Análisis Forense de APPS
INTRODUCCIÓN
El auge de los sistemas de movilidad y uso intensivo de los mismos propician el uso fraudulento o criminal con los mismos.
Las empresas empiezan a tener en consideración el control de dispositivos por riesgos de usos maliciosos o fuga de información.
El forense de dispositivos móviles sigue las mismas directrices y métodos que los forenses convencionales:
Buenas prácticas.Preservación de la información.Analisis basados en métodos.Herramientas forenses.
Introducción
Arquitectura diferente.
Diversidad en los modelos y tecnologías.
Diseño de aplicaciones especificados para tecnología e incluso determinados tipos de terminales.
Software de análisis forense y hardware específico.
La mayoría de software forense es de pago.
Diferencias con el forense digital tradicional
SIM.
Memoria interna.
Memorias internas secundarias.
Unidades Flash.
Discos SD.
¿Qué analizar?
Es posible aunar ambas tecnologías.
La generación de imágenes de memoria interna se puede realizar con herramientas específicas para móviles.
Herramientas con EnCase o FTK permiten analizar a posteriori la información recogida en las imágenes capturadas.
Forense tradicional + Forense de móviles
Adquisición de Imágenes
SSH & DD utility A través de SSH
Una vez conectado invocar a la utilidad DD La copia es muy parecida a una copia física Se puede analizar con herramientas forenses
tradicionales Root /alpine
DEMO
Adquisición de imágenes
Estructura Física y Lógica
Estructura FísicaCocoa Touch• API Interfaz
Media• Animación• OpenGL• Audio
Core Services
Core OS• Núcleo del Sistema basado en BSD
Estructura Física y Lógica
Almacenamiento Memoria Flash Particionada en 2
Partición de sistema Partición de datos de usuario
Iphone & IPad
Al conectar el dispositivo sucede Itunes sincroniza el dispositivo
Es una copia de seguridad Se puede analizar directamente desde el
backup
Sistema Operativo IOS
Itunes no realiza un backup de la imagen del OS
La imagen sólo cambia cuando hay una actualización
No existen parches para IOS Cuando sale una nueva versión ésta se
parchea entera Si un usuario no actualiza el IOS
…..
Datos de Usuario
Itunes sincroniza las APPS del dispositivo En algunos casos son ficheros en texto
plano Si ningún tipo de cifrado Se utiliza para restauración del
dispositivo Los ficheros se actualizan cada vez que
el dispositivo se conecta
Ficheros Iphone & IPad
Apple Property List (PLIST)
3 Ficheros Standard Info.plist Manifest.plist Status.plist
Variedad de XML Interesante desde el punto de vista
de la información
Binary Property List
En algunos casos se utilizan ficheros binarios Es posible parsear la información y
convertirla a PLIST
DEMO
Safari Search1d6740792a2b845f4c1e6220c43906d7f0afe8ab
Extracción de Sitios Visitados
Funciones basadas en BBDD
Muchas funciones de Iphone & Ipad Se basan en lectura/escritura en BBDD Esas BBDD se encuentran en texto
plano Codificadas en su mayoría en UTF-8
Info.plist
Variada información sobre el dispositivo Número de serie del dispositivo IMEI Número de TLF Versión del Producto Tipo de Producto (3G, 16GB, etc..) Datos del último Backup
Ficheros interesantes
SMS /var/root/Library/SMS/sms.db
Calendario /var/root/Library/Calendar/
Calendar.sqlitedb Notas
/var/root/Library/Notes/notes.db Histórico de llamadas
/var/root/Library/CallHistory/call_history.db
Ficheros interesantes
Libreta de direcciones /var/root/Library/AddressBook/
AddressBook.sqlitedb /var/root/Library/AddressBook/
AddressBookImages.sqlitedb Llamadas de Voz
/var/root/Library/Voicemail/voicemail.db 992df473bbb9e132f4b3b6e4d33f72171
e97bc7a
Ficheros interesantes
Fotografías /var/root/Media/DCIM/100Apple
Safari /var/root/Library/Bookmarks.plist /var/root/Library/History.plist /var/root/Library/Cookies/Cookies.plist
Correo-@ /var/root/Library/Mail
¿Nos espían?
BBDD Collations.db Se puede parsear con muchas
herramientas Pintan en un mapa las coordenadas por
donde ha pasado «tu dispositivo» Existentes en
Iphone Ipad Android Windows Phone 7
DEMO
Ubicaciones guardadas
Iphone Forensic Tool
Iphone Forensic Tool
Herramienta desarrollada en Python Extracción de múltiples elementos de
Backup Extracción de evidencias en formatos
CSV & HTML Creación de Hash MD5 & SHA1 Generador de informes
DEMO
Iphone Forensic Tool
http://Windowstips.wordpress.com
http://elladodelmal.blogspot.com
http://legalidadinformatica.blogspot.com