Análisis forense de dispositivos ios

Curso Especialización en Dispositivos Móviles

Análisis forense de dispositivos iOS

Juan Miguel Aguayo Sánchez

[email protected]

Análisis Forense iOSContents at a glance

Bloque I: Introducción.

Bloque II: AFDM.

Bloque III: Análisis forense iOS.

Bloque I:

Introducción

Introducción¿Qué pasó en 2007?

IntroducciónDispositivos móviles

16,9%

11,0%

16,9%

52,5%

1,5%115M devices sold in 3Q 2011

IntroducciónTop de ventas de fabricantes: España

IntroducciónTop de ventas: Android superará a Windows

iOS vs Android

Bloque II:

Teoría de Análisis Forense

Análisis forense de dispositivos móviles

Fases del proceso forense

AFDMProceso forense: Fase de evaluación

• Notificar y obtener autorización.

• Revisar las políticas y la legislación.

• Identificar los miembros del equipo.

• Realizar una evaluación.

• Prepararse para la adquisición de pruebas.


• Los procedimientos realizados en esta fase son poco técnicos, sino más bien documentales.

• Tan sólo hay que realizar un proceso técnico en la parte de preparación para la adquisición de pruebas.

• Hay que preparar los medios en donde se almacenaran las copias de los medios originales, para su posterior análisis.

• Hay muchas herramientas para realizar borrado seguro.


• Borrado seguro en entornos Windows: Eraser SDelete DiskWipe

• Borrado seguro en entornos GNU Linux: SRM shred (shred -vzu nombre_archivo) BleachBit

• Borrado seguro en entornos Mac OS: DiskUtility (herramienta integrada al sistema que incluso cumple la

norma 5220-22 M del departamento de defensa de EE.UU). SRM

http://eraser.heidi.ie/index.php

http://technet.microsoft.com/en-us/sysinternals/bb897443

http://www.diskwipe.org/

http://srm.sourceforge.net/

http://srm.sourceforge.net/

AFDMProceso forense: Fase de evaluación-DiskUtility (Mac OS X)

AFDMProceso forense: Fase de evaluación – Eraser (Windows)

AFDMProceso forense: Fase de evaluación – shred (Linux)

AFDMProceso forense: Fase de adquisición

• Construcción de la investigación: Se debe crear un informe, digital o en papel, donde se documente detalladamente toda la información referente a la investigación, quien realiza una determinada labor y por qué, que intentaba conseguir con esa labor, como la realizó, que herramientas y procedimientos utilizó, todo esto detallado con fechas y horas.

• Recopilar los datos: Antes de iniciar con la recolección de datos, es recomendable:

Asegurarse que ya se han realizado los respectivos procedimientos para salvaguardar la evidencia física (huellas, rastros de ADN, toma de fotografías, etc… ).


• Recopilar los datos:

Preparar el dispositivo para realizar ciertos procedimientos (que no afectan a la evidencia si se documenta adecuadamente):

Desactivar el bloqueo automático. Extraer información básica del dispositivo. Activar el modo avión.

Finalmente se realiza una copia (bit a bit) del dispositivo y firmarla con un hash SHA1 o MD5, que se utilizará en la fase de análisis.


• Almacenar y archivar:

Documentar adecuadamente la evidencia, con documento de embalaje y cadena de custodia (línea temporal).

Almacenar la evidencia atendiendo a las buenas prácticas y legislación.

Lugar de almacenado: Debe ser seguro, jaula de Faraday, documento de embalaje, cadena de custodia.

El informe y cadena de custodia debe ser completa, correcta, autentica y convincente, para que en caso de proceso legal sea admitida en un juzgado.

AFDMProceso forense: Fase de análisis

Se debe analizar:

• Los datos de la red.

• Los datos de los hosts.

• Los datos de los medios de almacenamiento.

AFDMProceso forense: Fase de documentación

Se debe organizar la información, ya que sustentará las pruebas en un proceso legal, para esto básicamente debemos tener en cuenta los siguientes pasos:

•Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el.

•Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros:

•Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.


• Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario.

• Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió.

• Pruebas: Debes proporción una descripción de las pruebas adquiridas durante la investigación, las evidencias, cómo fueron adquiridas y quien las adquirió.


•Detalles: Debemos proporcionar una descripción detallada de lo que se analizó, los métodos que se utilizaron, explicar los resultados del análisis, listar los procedimientos que se llevaron a cabo durante la investigación y las técnicas de análisis que se utilizaron, también se deben incluir pruebas de sus resultados, los informes de servicios y las entradas de registro/logs del sistema.

•Justificar: Cada conclusión que se extrae del análisis debe estar justificada, debemos adjuntar documentos justificativos que incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como documentos que describen los procedimientos de investigación de equipos usados, panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tanto como sea posible.


•Conclusión: Las conclusiones deben ser lo más claras posibles y sin ambigüedades, en ellas debemos resumir los resultados de la investigación, debemos ser específicos y citar pruebas concretas para demostrar las conclusiones, pero sin dar muchos detalles sobre ellos para no ser redundantes (ya que esta información esta en la sección “Detalles”).

•Glosario: Se debe considerar la creación de un glosario de términos utilizados en el informe, este glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez, jurado debe revisar los documentos.

•El informe ejecutivo: Debe ser claro, conciso y no debe contener lenguaje técnico, por el contrario debe ser escrito para la gente del común ya que por lo general va dirigido a gerentes, jueces que poco están relacionados con la informática en general y los términos ingenieriles que solemos utilizar.


•El informe técnico: Este informe contrario al informe ejecutivo, va dirigido por lo general al departamento de sistemas u otros investigadores forense, por tanto debemos detallar todos los procedimientos realizados, debemos utilizar información técnica que permita a cualquier persona que siga esos pasos conseguir los mismos resultados que conseguimos nosotros.

•VER ejemplo de informe técnico y ejecutivo de ejemplo…

Bloque III:

Análisis Forense iOS

AFDM - iOSForense de iDevices

AFDM - iOSProceso forense: Estructura Física

Mac OS X iOS

AFDM - iOS

AFDM - iOS

AFDM - iOS

AFDM - iOS

AFDM - iOSProceso forense: Fase de adquisición

• Evitar bloqueo automático


• Obtener info básica:


• Activar modo avión:


• Jaula de Faraday:


• Y por fin llega la fase de extracción de la información, es decir la copia bit a bit de la información, que se realiza con herramientas comerciales como Oxygen Forensics, UFED…

DEMO

Forense iOS con Oxygen

AFDM - iOSProceso forense: Sistema operativo iOS

• iTunes no realiza un backup de la imagen del OS.

• La imagen sólo cambia cuando hay una actualización.

• No existen parches para iOS (Hasta iOS5) Cuando sale una nueva versión ésta se parchea entera.

• Si un usuario no actualiza el iOS: …..

AFDM - iOSProceso forense: Estructura Física

Almacenamiento:

• Memoria Flash• Particionada en 2:

Partición de sistema.

Partición de datos de usuario.

AFDM - iOSProceso forense: Adquisición de imágenes

AFDM - iOSAdquisición de imágenes con dd y ssh

A través de SSH:

• Una vez conectado invocar a la utilidad DD.

• La copia es muy parecida a una copia física.

• Se puede analizar con herramientas forenses tradicionales.

• root /alpine

AFDM - iOS Adquisición de imágenes con dd y ssh

Para realizar el proceso de copia, es necesario identificar las particiones:

Por defecto 2 particiones. Comando: ls –la /dev/rdi*


• Varios caminos de conexión:

WI-FI. USB Port.

• Se puede redirigir la salida con NETCAT.

• Uso de SSH & DD para realizar la copia.

• Es necesario una serie de requisitos!!



DEMO

Extracción con dd


Requisitos:

• Que el dispositivo iOS tenga jailbreak.

• Servidor ssh y netcat o que permita instalarlos.

• Servidor SSH con clave por defecto (“alpine”) o clave débil.

AFDM - iOSAdquisición de imágenes con Phonedisk

Conseguir Phonedisk…

• Que el dispositivo tenga jailbreak.

• Que tenga instalado el componente afc2add

• Cualquier herramienta forense para adquirir la imagen.

AFDM - iOSAdquisición de imágenes con Phonedisk

AFDM - iOSAdquisición de imágenes con Phonedisk – FTK Imager

AFDM - iOSAdquisición de imágenes

IntroducciónTécnica forense: Jailbreak

AFDM - iOSAnálisis de imágenes

Applications: Es un enlace simbólico a -> /var/stash/Applications.pwnDeveloper: Esta vacíoLibrary: Como en cualquier sistema Mac OS X, contiene los plugins, configuraciones, etc..System: Contiene las preferencias del sistema y del dispositivoUser: Es un enlace simbólico a -> /var/mobilebin: Contiene los ejecutables del sistemaboot: Esta vacíocores: Esta vacíodev: Esta vacíoetc: Es un enlace simbólico a -> private/etc/lib: Esta vacíomnt: Esta vacíoprivate: Contiene los directories etc y var (aquí encontraremos los archivos fstab, passwd y muchos mas)sbin: Contiene los ejecutables del sistematmp: Es un enlace simbólico a -> private/var/tmp/usr: Contiene los datos de zona horaria y ejecutables del sistemavar: Es un enlace simbólico a -> private/var/


Herramientas:

• Imagen iOS adquirida.

• Cliente SQLite: SQLite manager, SQLite Browser, SQLiteman,…

• Lector archivos plist: Xcode, plistviewer, plist editor,…

• plutil para parsear un plist binario.

• Editor hexadecimal.

• Software de recuperación de archivos.


• /private/etc/master.passwd y /private/etc/passwd

• /private/var/Keychains/: TrustStore.sqlite3, keychain-2.db, ocspcache.sqlite3

• /private/var/logs/ y /private/var/log/: Se pueden encontrar logs de sistema que pueden ayudar a trazar la línea de tiempo.

• /private/var/preferences/SystemConfiguration encontramos una gran cantidad de información sobre la configuración del equipo, rangos de ips, información sobre las redes inalámbricas a las que se ha conectado, nombre del teléfono y mucha mas información


• /private/var/mobile/Library/AddressBook


• /private/var/mobile/Library/SMS

AFDM - iOSCopia lógica

• A través de iPhile: Acceso a ficheros en capa usuario. Driver desarrollado en .NET + DOKAN.

• A través de iFunBox: Herramienta gráfica. Sencilla de utilizar. Múltiples opciones.

Nota: Funcionamiento alto nivel (Imposible recuperación de datos).

DEMO

Session HijackingFacebook iOS

Forense de Dispositivos MóvilesAnálisis Forense de Dispositivos Móviles

En un análisis forense de dispositivos móviles:

• Nueva vuelta de tuerca con los SmartPhones: Entran de lleno en el OS cliente. Generalmente en portátiles (Corporative mode). Conexiones desde el móvil (AP Mode).

• Muy chulo…. Pero….. (Siempre hay un pero..) No tenemos el móvil. Tenemos el móvil pero no está “Jailbreakeado”. Tenemos el móvil… (Restaurado a valores de fábrica). ¿?¿?

AFDM - iOSCopia de seguridad local


• Al conectar el dispositivo sucede que iTunes sincroniza el dispositivo Es una copia de seguridad. Se puede analizar directamente desde el backup. Se puede cifrar.

AFDM - iOSRutas locales

Rutas Locales:

• MAC OSX:/Users/username/Library/Application Support/MobileSync/Backup/deviceid

• Windows XP:C:\Documents and Settings\username\Application Files\MobileSync\Backup\deviceid

• Windows 7:C:\Users\username\AppData\Roaming\Apple Computer\MobileSync\Backup\deviceid

AFDM - iOS¿Qué hay en un backup local?


• Ficheros sin extensión aparente.• Nomenclatura basada en SHA1.• Se pueden analizar las cabeceras.

Windows: head(GNU) & Findstr. Linux: head & Grep, file.


iTunes sincroniza las APPS del dispositivo:

• En algunos casos son ficheros en texto plano.

• Si ningún tipo de cifrado.

• Se utiliza para restauración del dispositivo.

• Los ficheros se actualizan cada vez que el dispositivo se conecta.

AFDM - iOSApps de análisis de backup

• Generalmente son de pago.• No destinadas al ámbito forense

Gratuitas descontinuadas (Iphone Backup Analyzer)• Sólo extraen la información.• Tools.

iPhoneBackupExtractor (Comercial). Oxygen Forensics …

AFDM - iOSExtracción de datos: Info.plist

Variada información sobre el dispositivo:Número de serie del dispositivo. IMEI.Número de TLF.Versión del Producto.Tipo de Producto (3G, 16GB, etc..).Datos del último Backup.

AFDM - iOSExtracción de datos: Archivos plists

• 3 Ficheros Standard. Info.plist Manifest.plist Status.plist

• Variedad de XML.• Interesante desde el punto de vista de la información.• Puede situar un teléfono en un equipo.

El “Eso no es mío no vale!!”

AFDM - iOSExtracción de datos: binary plist

• En algunos casos se utilizan ficheros binarios.• Es posible parsear la información y convertirla a PLIST.

AFDM - iOSExtracción de datos: Ficheros interesantes

• SMS 3d0d7e5fb2ce288813306e4d4636395e047a3d28

• Histórico de llamadas 2b2b0084a1bc3a5ac8c27afdf14afb42c61a19ca

• Libreta de direcciones 31bb7ba8914766d4ba40d6dfb6113c8b614be442 cd6702cea29fe89cf280a76794405adb17f9a0ee

• Llamadas de Voz 992df473bbb9e132f4b3b6e4d33f72171e97bc7a

• Y más …

AFDM - iOSRecuperar contraseña de iTunes

PREGUNTAS

FIN

MUCHAS GRACIAS

[email protected]

Curso Especialización en Dispositivos Móviles

Análisis forense de dispositivos iOS

Juan Miguel Aguayo Sánchez

[email protected]

Technology

Análisis forense de dispositivos ios