Analisis forense en iDevices parte IV

Antes de continuar una enorme disculpa por la ausencia, pero el deber llamaba, bueno directo al tema vamos con la cuarta y última parte de nuestro análisis forense en iDevices.

Primero analizaremos la estructura de una partición en un iDevice, de manera predeterminada un iDevice viene configurado con dos particiones, en las generaciones recientes de iDevices estas no residen en un disco físico (del tipo con platos giratorios) ya que utilizan discos NAND Flash de estado sólido, sin embargo son tratados como un disco ya que almacenan una tabla de partición y un sistema de archivos con formato en el flash.

Las particiones de manera predeterminada quedan de la siguiente manera: 

Ahora aquí es importante recordar que una de las reglas de oro del análisis forense es “mantener la integridad de la evidencia” y si bien un dispositivo móvil en este caso un iDevice no puede ser tratado a nivel almacenamiento y preservación de datos como se trataría un dispositivo de almacenamiento masivo como una laptop o una desktop ¿Por qué?, bueno porque de un dispositivo móvil no podemos obtener una imagen bit por bit como lo haríamos con otro dispositivo. Aquí también quiero recordarles que es importante recordar que siempre que tratamos con dispositivos móviles es necesario aislar el dispositivo de la red por medio de alguna de las soluciones Faraday que existen. Tomando todo esto en cuenta lo último que queremos es alterar la información contenida en nuestro iDevice. Con la llegada de iOS6 y las noticias que se dieron que incluso el departamento de defensa de los Estados Unidos no pudieron desbloquear el dispositivo nos enfocaremos en generaciones pasadas de iOS todas ellas útiles pues somos más los pobres que no podemos tener aún un iPhone 5 que los que lo tienen :)

Nuestro escenario aquí es que tenemos un iDevice el cual no se nos ha proporcionado la contraseña, si bien hay hardware especializado como Cellebrite o XRY que nos permiten extraer la contraseña ¿qué haríamos si no tenemos los recursos para tener alguna de estas herramientas? o bien ¿qué sucede si nuestro usuario tiene una aplicación que le da seguridad extra a nuestros iDevices? Para eso instalaremos algo llamado “recovery toolkit” dentro de la partición de sistema operativo de nuestro iDevice y a partir de ahí generar un jailbreak que nos permita a nivel de codigo pedirle a nuestros iDevices que en la secuencia de arranque ignore la petición de una contraseña. Tal vez se pregunte ¿Por qué? en la partición de sistema operativo y si el entrar a esta área del disco no alterara nuestra evidencia, la respuesta es sencilla y reside en el proceso que Apple utiliza para actualizar sus dispositivos,  los archivos .ipsw que contienen el firmware update de apple se descargan e instalan en esta partición y está diseñada para que se formatee sin alterar en lo más mínimo la partición de datos del dispositivo. Tomando ventaja de esto es que instalaremos y “manipularemos” esta área del disco, nuestro recovery toolkit contiene:

• ·       Un entorno de Unix
• ·       OpenSSH, un Shell seguro
• ·       Una herramienta de Netcat para enviar datos a través de la red
• ·       Una herramienta de md5 para crear un algoritmo criptográfico de la imagen del disco
• ·       Una herramienta para obtener una imagen dd de nuestro disco

Por ahora se me ha terminado el tiempo de escribir, pero quería por lo menos dar señales de mi existencia y que vieran que seguimos con todo en el blog, les pido sus opiniones y comentarios y colaboraciones y el lunes sin falta seguimos con esta cuarta y última parte de nuestro análisis forense en iDevices.

Videos Promocionales del Hacker Halted

Compañeros aqui les dejo un par de videos de lo que se vera en el Hacker Halted de vdd espero verlos por alla!

http://www.youtube.com/watch?v=-bQxbHOyA-A&feature=plcp
http://www.youtube.com/watch?v=tfYdVgST3E0&feature=relmfu

Analisis forense en iDevices parte III

Después de una pequeña ausencia por motivos laborales, ya estamos de regreso para seguir con el análisis forense en iDevices, hablamos la vez pasada un poco acerca de la composición interna de un dispositivo que se ejecuta en iOS, ahora vamos a hablar acerca de cuáles son las cosas que se pueden recuperar al realizar un análisis forense eficaz, ya que lo que nos interesa no es solo ingresar a la información que está activa en el dispositivo sino a la información que ya ha sido eliminada.
Es extremadamente difícil eliminar información de manera permanente en un iDevice aunque actualmente existen aplicaciones de borrado seguro que facilitan esta actividad, algunos usuarios sin embargo piensan que realizar desde iTunes un "restore" formatea el dispositivo, sin embargo incluso esta acción deja la mayoría de la información intacta, un "restore" simplemente logra que la información no sea accesible de manera directa, así que si ustedes encuentran un iDevice que ha sido restaurado desde iTunes no se preocupen hay mucha información que pueden recuperar y que es de gran ayuda en la solución de un caso, ahora ¿qué tipo de información podemos recuperar de un iDevice? enfoquémonos en los más relevantes:

·       Caches del teclado que contienen, nombres de usuario, contraseñas, términos de búsqueda y fragmentos de comunicaciones escritas manualmente. Casi todo lo que escribimos en un iDevice queda registrado en el cache.

·       Cada vez que apretamos el botón de “home” o salimos de una aplicación  se genera un screenshot que iOS después utiliza para generar efectos de zooms estáticos, generalmente se almacenan decenas de estos screenshots que pueden darnos una idea bastante buena de la actividad de nuestro usuario.

·       Fotos e imágenes eliminadas de la librería del usuario y del roll de la cámara.

·       Entradas eliminadas de los contactos, calendarios, eventos pueden ser encontradas en fragmentos del disco.

·       Historial de llamadas, en un iphone se guardan aproximadamente los últimos 100 registros de llamadas, la base de datos en la que se almacenan puede ser analizada utilizando casi cualquier manejador de bases de datos SQlite.

·       Se almacenan imágenes provenientes de Google Maps asi como también las búsquedas de direcciones que se hayan hecho directamente en la aplicación de mapas.

·       Cache del explorador y objetos eliminados del explorador pueden recuperarse para saber a qué sitios web ha accedido un usuario.

·       Caches, mensajes de correo electrónico y SMS`s  eliminados

·       Mensajes de voz eliminados a menudo permanecen en el dispositivo, estos pueden ser recuperados y analizados con una herramienta simple como Quicktime o alguna otra herramienta que soporte el formato AMR.

·       Registros de sincronización entre una o más computadoras o dispositivos “confiables”

·       Bases de datos SQlite con información de aplicaciones de terceros como WhatsApp, Foursquare MSN entre otras.

·       Datos EXIF de las fotos tomadas con el dispositivo.

Si bien esta no es toda la información que es posible recuperar, si es información que muchas veces es pasada por alto al momento de recuperar información de nuestros iDevices, en la cuarta y última parte de este análisis forense en iDevices vamos a entrar de lleno a técnicas, herramientas y métodos de recuperación y análisis, así que sigue visitando este blog y pasa la voz a los colegas examinadores que información y herramientas nunca sobran.

Análisis forense en iDevices parte II

El pasado sábado por la mañana comenzamos a platicar de análisis forense eniDevices, y como lo prometido es deuda vamos a platicar un poco de la estructura de un iDevice y de iOSx:

Arquitectura ARM: 
El iPhone utiliza la arquitectura de procesador ARM (Advanced RISC machine),originalmente desarrollada por ARM Ltd. En contraste muchas de las computadoras de escritorio utilizan la arquitectura Intel x86.

Hardware:
El iPhone cuenta con hardware muy poderoso el cual ha sido diseñado exclusivamente para lidiar con las demandas de la tecnología de iPhone. esto incluye diversos sensores como por ejemplo sensores de proximidad, acelerómetro,censores de presión al tacto y por supuesto diversos tipos de radios incluyendo GSM, Wi-fi y Bluetooth el cual ha ido mejorando con cada versión.

Frameworks de interfaz de usuario:
Apple cuenta con un set personalizado de interfaces de usuario dentro del iPhone para poder administrar hardware propietario y todos los sensores que permiten las funciones multi táctiles, mientras que las versiones de escritorio como mountain lion utilizan estos frameworks para la creacion de ventanas y controles de uso común, los frameworks en las versiones modificadas de estos OSx están diseñados para crear pequeñas páginas de interfaz de usuario que nosotros conocemos como esas pantallas que deslizas con el dedo de una a otra yen la cual se despliegan las aplicaciones contenidas en el dispositivo.

Kernel
el iPhone utiliza un signed kernel, que está diseñado para prevenir manipulación, aunque muchas de estas versiones de kernel han sido explotadascon fines de jailbreaking o desbloqueo. En nuestro análisis forense deiDevices nos valdremos de esa explotación de kernel para poder ingresar a laslistas propietarias (plists) y a las bases de datos sqlite que contienen informaciónque ha sido eliminada o que bien utilizando otro método que no fuera una extracción física del dispositivo difícilmente lograríamos obtener.

Esperen esta semana la parte III y IV de este especial de análisis forense en iDevices

Análisis forense en iDevices

Una nueva generación de smartphones ha llegado; los sistemas operativos que antes se encontraban únicamente en las computadoras han sido adaptados para operar en dispositivos móviles ;con el desplazamiento de un estable pero ya obsoleto Symbian llegaron hace ya unos años una nueva generación de OS's que han ido evolucionando desde convertirse en sistemas operativos móviles multitasking hasta que ahora el aun versión beta iOS 6 dará soporte completo a cifrado y almacenamiento en la nube, sincronización inalámbrica, meta datos en una numerosa gama de archivos y aplicaciones.
Pero que sucede cuando en nuestro trabajo diario nos encontramos con los denominados iDevices?? (iPad,iPod, iPhone) estamos preparados para analizar estos dispositivos? Contamos con las herramientas para recuperar la información que esta anclada a las aplicaciones y ha sido eliminada (whats app,Messenger, skype, foursquare etc)
Estén al pendiente por que el día lunes publicare una breve explicación de como esta compuesto tanto un iDevices como un iOSx una ves mas los invito al Hacker Halted LATAM ahí daré una conferencia de como analizar iDevices protegidos con contraseña o bien que no han sido "jailbreakeados" hasta entonces

Analisis a telefonos celulares chinos

Platicando con un colega me comento de esta herramienta para analizar teléfonos celulares chinos, si bien con la herramienta de cellebrite puedes adquirir un kit de análisis de teléfonos celulares chinos, esta es otra opción.
Algo que es real es que los teléfonos chinos no siguen el mismo estándar que los teléfonos con los que comúnmente trabajamos en nuestros; pueden parecer auténticos por fuera e incluso el software que utilizan es un buen "fake" sin embargo a nivel de chip y a la hora de una extracción de evidencia la historia es muy diferente, en la página que adjunto hay un video que explica cuales son algunas de estas diferencias y peculiaridades de los teléfonos chinos. ¿Alguien ha utilizado Tarántula? o ¿lo ha visto funcionar? espero poder poner mis manos en un kit de tarántula y compararlo con lo que para mí es la herramienta #1 en el mercado de análisis de dispositivos móviles que es Cellebrite.

http://www.edecdigitalforensics.com/tarantula-chinese-cell-phone-analysis-kit

Hacker Halted LATAM

El próximo 27,28 y 29 de septiembre y por primera vez en México y América Latina EC- Council (Creadores de la certificación de Ethical Hacker) tendrá el evento de Hacker Halted, este evento ofrecerá conferencias y talleres especializados en seguridad de la información. Un servidor junto con otros compañeros estaremos participando como expositores en temas como: Análisis forense en iDevices, Seguridad 360º, Seguridad en Sistemas SCADA, Programación, Infraestructuras de seguridad, Seguridad en la nube entre otros temas. Se los recomiendo muchísimo, aquí les dejo la agenda para que la revisen, y no por comercial ni mucho menos pero como dice el lema del evento: The Hackers are ready, are you? 
http://www.hackerhalted-la.com/index.php/agenda 

Comencemos!

Greetings! a toda la comunidad de examinadores forenses en México; he decidido crear este blog con el fin de que podamos compartir conocimientos, técnicas de análisis, nuevas herramientas y claro ayudarnos como comunidad forense en México cuando alguno de nosotros se atore en alguna investigación que estemos llevando a cabo.
Sé que algunos posibles lectores  de este blog me conozcan de algún evento o de algún curso, para los que no han escuchado hablar de mi tengo 5 años de experiencia en el área de computo forense, he tenido la oportunidad de trabajar con examinadores expertos de dependencias internacionales como FBI, ICE, Scotland Yard, New Zeland Police entre otros. En la actualidad trabajo en INFOTEC que es un centro CONACYT y coordino el laboratorio forense que presta servicio a dependencias de gobierno.
En lo absoluto presumo de saber todo ni ser el mejor, en ese caso no hubiera abierto este blog como un método de ayuda mutua.
En fin comencemos! por que la evidencia nos espera!