Post on 28-May-2015
description
Curso Especialización en Dispositivos Móviles
Análisis forense de dispositivos iOS
Juan Miguel Aguayo Sánchez
jmaguayo@informatica64.com
Análisis Forense iOSContents at a glance
Bloque I: Introducción.
Bloque II: AFDM.
Bloque III: Análisis forense iOS.
Bloque I:
Introducción
Introducción¿Qué pasó en 2007?
IntroducciónDispositivos móviles
16,9%
11,0%
16,9%
52,5%
1,5%115M devices sold in 3Q 2011
IntroducciónTop de ventas de fabricantes: España
IntroducciónTop de ventas: Android superará a Windows
iOS vs Android
Bloque II:
Teoría de Análisis Forense
Análisis forense de dispositivos móviles
Fases del proceso forense
AFDMProceso forense: Fase de evaluación
• Notificar y obtener autorización.
• Revisar las políticas y la legislación.
• Identificar los miembros del equipo.
• Realizar una evaluación.
• Prepararse para la adquisición de pruebas.
AFDMProceso forense: Fase de evaluación
• Los procedimientos realizados en esta fase son poco técnicos, sino más bien documentales.
• Tan sólo hay que realizar un proceso técnico en la parte de preparación para la adquisición de pruebas.
• Hay que preparar los medios en donde se almacenaran las copias de los medios originales, para su posterior análisis.
• Hay muchas herramientas para realizar borrado seguro.
AFDMProceso forense: Fase de evaluación
• Borrado seguro en entornos Windows: Eraser SDelete DiskWipe
• Borrado seguro en entornos GNU Linux: SRM shred (shred -vzu nombre_archivo) BleachBit
• Borrado seguro en entornos Mac OS: DiskUtility (herramienta integrada al sistema que incluso cumple la
norma 5220-22 M del departamento de defensa de EE.UU). SRM
AFDMProceso forense: Fase de evaluación-DiskUtility (Mac OS X)
AFDMProceso forense: Fase de evaluación – Eraser (Windows)
AFDMProceso forense: Fase de evaluación – shred (Linux)
AFDMProceso forense: Fase de adquisición
• Construcción de la investigación: Se debe crear un informe, digital o en papel, donde se documente detalladamente toda la información referente a la investigación, quien realiza una determinada labor y por qué, que intentaba conseguir con esa labor, como la realizó, que herramientas y procedimientos utilizó, todo esto detallado con fechas y horas.
• Recopilar los datos: Antes de iniciar con la recolección de datos, es recomendable:
Asegurarse que ya se han realizado los respectivos procedimientos para salvaguardar la evidencia física (huellas, rastros de ADN, toma de fotografías, etc… ).
AFDMProceso forense: Fase de adquisición
• Recopilar los datos:
Preparar el dispositivo para realizar ciertos procedimientos (que no afectan a la evidencia si se documenta adecuadamente):
Desactivar el bloqueo automático. Extraer información básica del dispositivo. Activar el modo avión.
Finalmente se realiza una copia (bit a bit) del dispositivo y firmarla con un hash SHA1 o MD5, que se utilizará en la fase de análisis.
AFDMProceso forense: Fase de adquisición
• Almacenar y archivar:
Documentar adecuadamente la evidencia, con documento de embalaje y cadena de custodia (línea temporal).
Almacenar la evidencia atendiendo a las buenas prácticas y legislación.
Lugar de almacenado: Debe ser seguro, jaula de Faraday, documento de embalaje, cadena de custodia.
El informe y cadena de custodia debe ser completa, correcta, autentica y convincente, para que en caso de proceso legal sea admitida en un juzgado.
AFDMProceso forense: Fase de análisis
Se debe analizar:
• Los datos de la red.
• Los datos de los hosts.
• Los datos de los medios de almacenamiento.
AFDMProceso forense: Fase de documentación
Se debe organizar la información, ya que sustentará las pruebas en un proceso legal, para esto básicamente debemos tener en cuenta los siguientes pasos:
•Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el.
•Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros:
•Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.
AFDMProceso forense: Fase de documentación
• Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario.
• Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió.
• Pruebas: Debes proporción una descripción de las pruebas adquiridas durante la investigación, las evidencias, cómo fueron adquiridas y quien las adquirió.
AFDMProceso forense: Fase de documentación
•Detalles: Debemos proporcionar una descripción detallada de lo que se analizó, los métodos que se utilizaron, explicar los resultados del análisis, listar los procedimientos que se llevaron a cabo durante la investigación y las técnicas de análisis que se utilizaron, también se deben incluir pruebas de sus resultados, los informes de servicios y las entradas de registro/logs del sistema.
•Justificar: Cada conclusión que se extrae del análisis debe estar justificada, debemos adjuntar documentos justificativos que incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como documentos que describen los procedimientos de investigación de equipos usados, panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tanto como sea posible.
AFDMProceso forense: Fase de documentación
•Conclusión: Las conclusiones deben ser lo más claras posibles y sin ambigüedades, en ellas debemos resumir los resultados de la investigación, debemos ser específicos y citar pruebas concretas para demostrar las conclusiones, pero sin dar muchos detalles sobre ellos para no ser redundantes (ya que esta información esta en la sección “Detalles”).
•Glosario: Se debe considerar la creación de un glosario de términos utilizados en el informe, este glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez, jurado debe revisar los documentos.
•El informe ejecutivo: Debe ser claro, conciso y no debe contener lenguaje técnico, por el contrario debe ser escrito para la gente del común ya que por lo general va dirigido a gerentes, jueces que poco están relacionados con la informática en general y los términos ingenieriles que solemos utilizar.
AFDMProceso forense: Fase de documentación
•El informe técnico: Este informe contrario al informe ejecutivo, va dirigido por lo general al departamento de sistemas u otros investigadores forense, por tanto debemos detallar todos los procedimientos realizados, debemos utilizar información técnica que permita a cualquier persona que siga esos pasos conseguir los mismos resultados que conseguimos nosotros.
•VER ejemplo de informe técnico y ejecutivo de ejemplo…
Bloque III:
Análisis Forense iOS
AFDM - iOSForense de iDevices
AFDM - iOSProceso forense: Estructura Física
Mac OS X iOS
AFDM - iOS
AFDM - iOS
AFDM - iOS
AFDM - iOS
AFDM - iOSProceso forense: Fase de adquisición
• Evitar bloqueo automático
AFDM - iOSProceso forense: Fase de adquisición
• Obtener info básica:
AFDM - iOSProceso forense: Fase de adquisición
• Activar modo avión:
AFDM - iOSProceso forense: Fase de adquisición
• Jaula de Faraday:
AFDM - iOSProceso forense: Fase de adquisición
• Y por fin llega la fase de extracción de la información, es decir la copia bit a bit de la información, que se realiza con herramientas comerciales como Oxygen Forensics, UFED…
DEMO
Forense iOS con Oxygen
AFDM - iOSProceso forense: Sistema operativo iOS
• iTunes no realiza un backup de la imagen del OS.
• La imagen sólo cambia cuando hay una actualización.
• No existen parches para iOS (Hasta iOS5) Cuando sale una nueva versión ésta se parchea entera.
• Si un usuario no actualiza el iOS: …..
AFDM - iOSProceso forense: Estructura Física
Almacenamiento:
• Memoria Flash• Particionada en 2:
Partición de sistema.
Partición de datos de usuario.
AFDM - iOSProceso forense: Adquisición de imágenes
AFDM - iOSAdquisición de imágenes con dd y ssh
A través de SSH:
• Una vez conectado invocar a la utilidad DD.
• La copia es muy parecida a una copia física.
• Se puede analizar con herramientas forenses tradicionales.
• root /alpine
AFDM - iOS Adquisición de imágenes con dd y ssh
Para realizar el proceso de copia, es necesario identificar las particiones:
Por defecto 2 particiones. Comando: ls –la /dev/rdi*
AFDM - iOSAdquisición de imágenes con dd y ssh
• Varios caminos de conexión:
WI-FI. USB Port.
• Se puede redirigir la salida con NETCAT.
• Uso de SSH & DD para realizar la copia.
• Es necesario una serie de requisitos!!
AFDM - iOSAdquisición de imágenes con dd y ssh
AFDM - iOSAdquisición de imágenes con dd y ssh
DEMO
Extracción con dd
AFDM - iOSAdquisición de imágenes con dd y ssh
Requisitos:
• Que el dispositivo iOS tenga jailbreak.
• Servidor ssh y netcat o que permita instalarlos.
• Servidor SSH con clave por defecto (“alpine”) o clave débil.
AFDM - iOSAdquisición de imágenes con Phonedisk
Conseguir Phonedisk…
• Que el dispositivo tenga jailbreak.
• Que tenga instalado el componente afc2add
• Cualquier herramienta forense para adquirir la imagen.
AFDM - iOSAdquisición de imágenes con Phonedisk
AFDM - iOSAdquisición de imágenes con Phonedisk – FTK Imager
AFDM - iOSAdquisición de imágenes
IntroducciónTécnica forense: Jailbreak
AFDM - iOSAnálisis de imágenes
Applications: Es un enlace simbólico a -> /var/stash/Applications.pwnDeveloper: Esta vacíoLibrary: Como en cualquier sistema Mac OS X, contiene los plugins, configuraciones, etc..System: Contiene las preferencias del sistema y del dispositivoUser: Es un enlace simbólico a -> /var/mobilebin: Contiene los ejecutables del sistemaboot: Esta vacíocores: Esta vacíodev: Esta vacíoetc: Es un enlace simbólico a -> private/etc/lib: Esta vacíomnt: Esta vacíoprivate: Contiene los directories etc y var (aquí encontraremos los archivos fstab, passwd y muchos mas)sbin: Contiene los ejecutables del sistematmp: Es un enlace simbólico a -> private/var/tmp/usr: Contiene los datos de zona horaria y ejecutables del sistemavar: Es un enlace simbólico a -> private/var/
AFDM - iOSAnálisis de imágenes
Herramientas:
• Imagen iOS adquirida.
• Cliente SQLite: SQLite manager, SQLite Browser, SQLiteman,…
• Lector archivos plist: Xcode, plistviewer, plist editor,…
• plutil para parsear un plist binario.
• Editor hexadecimal.
• Software de recuperación de archivos.
AFDM - iOSAnálisis de imágenes
• /private/etc/master.passwd y /private/etc/passwd
• /private/var/Keychains/: TrustStore.sqlite3, keychain-2.db, ocspcache.sqlite3
• /private/var/logs/ y /private/var/log/: Se pueden encontrar logs de sistema que pueden ayudar a trazar la línea de tiempo.
• /private/var/preferences/SystemConfiguration encontramos una gran cantidad de información sobre la configuración del equipo, rangos de ips, información sobre las redes inalámbricas a las que se ha conectado, nombre del teléfono y mucha mas información
AFDM - iOSAnálisis de imágenes
• /private/var/mobile/Library/AddressBook
AFDM - iOSAnálisis de imágenes
• /private/var/mobile/Library/SMS
AFDM - iOSCopia lógica
• A través de iPhile: Acceso a ficheros en capa usuario. Driver desarrollado en .NET + DOKAN.
• A través de iFunBox: Herramienta gráfica. Sencilla de utilizar. Múltiples opciones.
Nota: Funcionamiento alto nivel (Imposible recuperación de datos).
DEMO
Session HijackingFacebook iOS
Forense de Dispositivos MóvilesAnálisis Forense de Dispositivos Móviles
En un análisis forense de dispositivos móviles:
• Nueva vuelta de tuerca con los SmartPhones: Entran de lleno en el OS cliente. Generalmente en portátiles (Corporative mode). Conexiones desde el móvil (AP Mode).
• Muy chulo…. Pero….. (Siempre hay un pero..) No tenemos el móvil. Tenemos el móvil pero no está “Jailbreakeado”. Tenemos el móvil… (Restaurado a valores de fábrica). ¿?¿?
AFDM - iOSCopia de seguridad local
AFDM - iOSCopia de seguridad local
• Al conectar el dispositivo sucede que iTunes sincroniza el dispositivo Es una copia de seguridad. Se puede analizar directamente desde el backup. Se puede cifrar.
AFDM - iOSRutas locales
Rutas Locales:
• MAC OSX:/Users/username/Library/Application Support/MobileSync/Backup/deviceid
• Windows XP:C:\Documents and Settings\username\Application Files\MobileSync\Backup\deviceid
• Windows 7:C:\Users\username\AppData\Roaming\Apple Computer\MobileSync\Backup\deviceid
AFDM - iOS¿Qué hay en un backup local?
AFDM - iOSCopia de seguridad local
• Ficheros sin extensión aparente.• Nomenclatura basada en SHA1.• Se pueden analizar las cabeceras.
Windows: head(GNU) & Findstr. Linux: head & Grep, file.
AFDM - iOSCopia de seguridad local
iTunes sincroniza las APPS del dispositivo:
• En algunos casos son ficheros en texto plano.
• Si ningún tipo de cifrado.
• Se utiliza para restauración del dispositivo.
• Los ficheros se actualizan cada vez que el dispositivo se conecta.
AFDM - iOSApps de análisis de backup
• Generalmente son de pago.• No destinadas al ámbito forense
Gratuitas descontinuadas (Iphone Backup Analyzer)• Sólo extraen la información.• Tools.
iPhoneBackupExtractor (Comercial). Oxygen Forensics …
AFDM - iOSExtracción de datos: Info.plist
Variada información sobre el dispositivo:Número de serie del dispositivo. IMEI.Número de TLF.Versión del Producto.Tipo de Producto (3G, 16GB, etc..).Datos del último Backup.
AFDM - iOSExtracción de datos: Archivos plists
• 3 Ficheros Standard. Info.plist Manifest.plist Status.plist
• Variedad de XML.• Interesante desde el punto de vista de la información.• Puede situar un teléfono en un equipo.
El “Eso no es mío no vale!!”
AFDM - iOSExtracción de datos: binary plist
• En algunos casos se utilizan ficheros binarios.• Es posible parsear la información y convertirla a PLIST.
AFDM - iOSExtracción de datos: Ficheros interesantes
• SMS 3d0d7e5fb2ce288813306e4d4636395e047a3d28
• Histórico de llamadas 2b2b0084a1bc3a5ac8c27afdf14afb42c61a19ca
• Libreta de direcciones 31bb7ba8914766d4ba40d6dfb6113c8b614be442 cd6702cea29fe89cf280a76794405adb17f9a0ee
• Llamadas de Voz 992df473bbb9e132f4b3b6e4d33f72171e97bc7a
• Y más …
AFDM - iOSRecuperar contraseña de iTunes
PREGUNTAS
FIN
MUCHAS GRACIAS
jmaguayo@informatica64.com
Curso Especialización en Dispositivos Móviles
Análisis forense de dispositivos iOS
Juan Miguel Aguayo Sánchez
jmaguayo@informatica64.com