View
768
Download
1
Category
Preview:
DESCRIPTION
Charla impartida por Juan Garrido, de Informática 64 en el evento Asegúr@IT Camp 3, dicho evento tuvo lugar en El Escorial los días 21, 22 y 23 de octubre de 2011.
Citation preview
Análisis forense de
IPhone
Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com
Sin Iphone!!
Agenda Introducción Copia de Seguridad Local Qué hay en una copia local Estructura de ficheros Extracción de datos
INTRODUCCIÓN
Introducción
En un análisis forense tradicional Sistemas Operativos
Cliente & Servidor Dispositivos asociados
Impresoras, Fax, etc… Telefonía
Aplicaciones de negocio Correo, mensajería, navegación local e
Internet
Introducción
Nuevo giro de tuerca con SmartPhones Entran de lleno en el OS cliente Generalmente en portátiles
(Corporative mode) Conexiones desde el móvil (AP Mode)
Muy chulo…. Pero….. (Siempre hay un pero..) No tenemos el móvil Tenemos el móvil pero no está
“Jailbreakeado” Tenemos el móvil… (Restaurado a
valores de fábrica) ¿?¿?
Introducción
Copia de Seguridad Local
Copia de Seguridad Local
Al conectar el dispositivo sucede Itunes sincroniza el dispositivo
Es una copia de seguridad Se puede analizar directamente desde el
backup
Rutas Locales
Rutas Locales MAC
OSX:/Users/username/Library/Application Support/MobileSync/Backup/deviceid
Windows XP:C:\Documents and Settings\username\Application Files\MobileSync\Backup\deviceid
Windows 7:C:\Users\username\AppData\Roaming\Apple Computer\MobileSync\Backup\deviceid
Qué hay en un Backup Local
Ficheros Iphone & IPad
Ficheros sin extensión aparente Nomenclatura basada en SHA1 Se pueden analizar las cabeceras
Windows: head(GNU) & Findstr Linux: head & Grep, file
DEMOAnálisis de Cabeceras
Datos de Usuario
Itunes sincroniza las APPS del dispositivo En algunos casos son ficheros en texto
plano Si ningún tipo de cifrado Se utiliza para restauración del
dispositivo Los ficheros se actualizan cada vez que
el dispositivo se conecta
Apps Análisis Backup
Generalmente son de pago No destinadas al ámbito forense
Gratuitas descontinuadas (Iphone Backup Analyzer)
Sólo extraen la información Tools
IphoneBackupExtractor (Comercial)
Evidencias
Identificación de cada evidencia Tratamiento de forma unitaria Separación de ficheros Análisis
DEMO
Evidencias unitarias
¿Y ahora qué?
¿Fotos eliminadas? Siempre quedarán los ficheros
Thumbs… ;-) C7813fa37817a9fb69dfd64993ca2cf91171a
e9d D29f4fbba1c2a95d92b05d53c1b9c967df6e0
2d5
Las passwords se encuentran cifradas y en contenedores de claves imposibles de crackear… Iphone recuerda tu “gramática”
Diccionarios con palabras más usadas
DEMO
I see you Baby…
Extracción de datos
Info.plist
Variada información sobre el dispositivo Número de serie del dispositivo IMEI Número de TLF Versión del Producto Tipo de Producto (3G, 16GB, etc..) Datos del último Backup
Apple Property List (PLIST)
3 Ficheros Standard Info.plist Manifest.plist Status.plist
Variedad de XML Interesante desde el punto de vista
de la información Puede situar un teléfono en un
equipo El “Eso no es mío no vale!!”
DEMOJuro que mi teléfono es un
OneTouchEasy
Binary Property List
En algunos casos se utilizan ficheros binarios Es posible parsear la información y
convertirla a PLIST
DEMO
Safari Search1d6740792a2b845f4c1e6220c43906d7f0afe8ab
Extracción de Sitios Visitados
Funciones basadas en BBDD
Muchas funciones de Iphone & Ipad Se basan en lectura/escritura en BBDD Esas BBDD se encuentran en texto
plano Codificadas en su mayoría en UTF-8
Ficheros interesantes SMS
3d0d7e5fb2ce288813306e4d4636395e047a3d28
Histórico de llamadas 2b2b0084a1bc3a5ac8c27afdf14afb42c6
1a19ca Libreta de direcciones
31bb7ba8914766d4ba40d6dfb6113c8b614be442
cd6702cea29fe89cf280a76794405adb17f9a0ee
Llamadas de Voz 992df473bbb9e132f4b3b6e4d33f72171
e97bc7a
Ficheros interesantes
WI-FI Locations 4096c9ec676f2847dc283405900e284a7
c815836 Y muuuuuchas más……
¿Nos espían?
BBDD Collations.db Se puede parsear con muchas
herramientas Pintan en un mapa las coordenadas por
donde ha pasado «tu dispositivo» Existentes en
Iphone Ipad Android Windows Phone 7
DEMOUbicaciones guardadas
Iphone Forensic Tool
Iphone Forensic Tool
Herramienta desarrollada en Python Extracción de múltiples elementos de
Backup Extracción de evidencias en formatos
CSV & HTML Creación de Hash MD5 & SHA1 Generador de informes
DEMOIphone Forensic Tool
¿Questions?
OTIA….. Un andalú hablando en público… Seguro que no se ha enterao nadie HA HA HA HA
Thanks Guys & Girls;-)
http://Windowstips.wordpress.com
TechNews de Informática 64
Suscripción gratuita en technews@informatica64.com
http://elladodelmal.blogspot.com
http://legalidadinformatica.blogspot.com
Recommended