Análisis forense de

IPhone

Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com

Sin Iphone!!

Agenda Introducción Copia de Seguridad Local Qué hay en una copia local Estructura de ficheros Extracción de datos

INTRODUCCIÓN

Introducción

En un análisis forense tradicional Sistemas Operativos

Cliente & Servidor Dispositivos asociados

Impresoras, Fax, etc… Telefonía

Aplicaciones de negocio Correo, mensajería, navegación local e

Internet

Introducción

Nuevo giro de tuerca con SmartPhones Entran de lleno en el OS cliente Generalmente en portátiles

(Corporative mode) Conexiones desde el móvil (AP Mode)

Muy chulo…. Pero….. (Siempre hay un pero..) No tenemos el móvil Tenemos el móvil pero no está

“Jailbreakeado” Tenemos el móvil… (Restaurado a

valores de fábrica) ¿?¿?

Introducción

Copia de Seguridad Local

Copia de Seguridad Local

Al conectar el dispositivo sucede Itunes sincroniza el dispositivo

Es una copia de seguridad Se puede analizar directamente desde el

backup

Rutas Locales

Rutas Locales MAC

OSX:/Users/username/Library/Application Support/MobileSync/Backup/deviceid

Windows XP:C:\Documents and Settings\username\Application Files\MobileSync\Backup\deviceid

Windows 7:C:\Users\username\AppData\Roaming\Apple Computer\MobileSync\Backup\deviceid

Qué hay en un Backup Local

Ficheros Iphone & IPad

Ficheros sin extensión aparente Nomenclatura basada en SHA1 Se pueden analizar las cabeceras

Windows: head(GNU) & Findstr Linux: head & Grep, file

DEMOAnálisis de Cabeceras

Datos de Usuario

Itunes sincroniza las APPS del dispositivo En algunos casos son ficheros en texto

plano Si ningún tipo de cifrado Se utiliza para restauración del

dispositivo Los ficheros se actualizan cada vez que

el dispositivo se conecta

Apps Análisis Backup

Generalmente son de pago No destinadas al ámbito forense

Gratuitas descontinuadas (Iphone Backup Analyzer)

Sólo extraen la información Tools

IphoneBackupExtractor (Comercial)

Evidencias

Identificación de cada evidencia Tratamiento de forma unitaria Separación de ficheros Análisis

DEMO

Evidencias unitarias

¿Y ahora qué?

¿Fotos eliminadas? Siempre quedarán los ficheros

Thumbs… ;-) C7813fa37817a9fb69dfd64993ca2cf91171a

e9d D29f4fbba1c2a95d92b05d53c1b9c967df6e0

2d5

Las passwords se encuentran cifradas y en contenedores de claves imposibles de crackear… Iphone recuerda tu “gramática”

Diccionarios con palabras más usadas

DEMO

I see you Baby…

Extracción de datos

Info.plist

Variada información sobre el dispositivo Número de serie del dispositivo IMEI Número de TLF Versión del Producto Tipo de Producto (3G, 16GB, etc..) Datos del último Backup

Apple Property List (PLIST)

3 Ficheros Standard Info.plist Manifest.plist Status.plist

Variedad de XML Interesante desde el punto de vista

de la información Puede situar un teléfono en un

equipo El “Eso no es mío no vale!!”

DEMOJuro que mi teléfono es un

OneTouchEasy

Binary Property List

En algunos casos se utilizan ficheros binarios Es posible parsear la información y

convertirla a PLIST

DEMO

Safari Search1d6740792a2b845f4c1e6220c43906d7f0afe8ab

Extracción de Sitios Visitados

Funciones basadas en BBDD

Muchas funciones de Iphone & Ipad Se basan en lectura/escritura en BBDD Esas BBDD se encuentran en texto

plano Codificadas en su mayoría en UTF-8

Ficheros interesantes SMS

3d0d7e5fb2ce288813306e4d4636395e047a3d28

Histórico de llamadas 2b2b0084a1bc3a5ac8c27afdf14afb42c6

1a19ca Libreta de direcciones

31bb7ba8914766d4ba40d6dfb6113c8b614be442

cd6702cea29fe89cf280a76794405adb17f9a0ee

Llamadas de Voz 992df473bbb9e132f4b3b6e4d33f72171

e97bc7a

Ficheros interesantes

WI-FI Locations 4096c9ec676f2847dc283405900e284a7

c815836 Y muuuuuchas más……

¿Nos espían?

BBDD Collations.db Se puede parsear con muchas

herramientas Pintan en un mapa las coordenadas por

donde ha pasado «tu dispositivo» Existentes en

Iphone Ipad Android Windows Phone 7

DEMOUbicaciones guardadas

Iphone Forensic Tool

Iphone Forensic Tool

Herramienta desarrollada en Python Extracción de múltiples elementos de

Backup Extracción de evidencias en formatos

CSV & HTML Creación de Hash MD5 & SHA1 Generador de informes

DEMOIphone Forensic Tool

¿Questions?

OTIA….. Un andalú hablando en público… Seguro que no se ha enterao nadie HA HA HA HA

Thanks Guys & Girls;-)

http://Windowstips.wordpress.com

TechNews de Informática 64

Suscripción gratuita en technews@informatica64.com

http://elladodelmal.blogspot.com

http://legalidadinformatica.blogspot.com