Analisis forense en iDevices parte III

Después de una pequeña ausencia por motivos laborales, ya estamos de regreso para seguir con el análisis forense en iDevices, hablamos la vez pasada un poco acerca de la composición interna de un dispositivo que se ejecuta en iOS, ahora vamos a hablar acerca de cuáles son las cosas que se pueden recuperar al realizar un análisis forense eficaz, ya que lo que nos interesa no es solo ingresar a la información que está activa en el dispositivo sino a la información que ya ha sido eliminada.
Es extremadamente difícil eliminar información de manera permanente en un iDevice aunque actualmente existen aplicaciones de borrado seguro que facilitan esta actividad, algunos usuarios sin embargo piensan que realizar desde iTunes un "restore" formatea el dispositivo, sin embargo incluso esta acción deja la mayoría de la información intacta, un "restore" simplemente logra que la información no sea accesible de manera directa, así que si ustedes encuentran un iDevice que ha sido restaurado desde iTunes no se preocupen hay mucha información que pueden recuperar y que es de gran ayuda en la solución de un caso, ahora ¿qué tipo de información podemos recuperar de un iDevice? enfoquémonos en los más relevantes:

·       Caches del teclado que contienen, nombres de usuario, contraseñas, términos de búsqueda y fragmentos de comunicaciones escritas manualmente. Casi todo lo que escribimos en un iDevice queda registrado en el cache.

·       Cada vez que apretamos el botón de “home” o salimos de una aplicación  se genera un screenshot que iOS después utiliza para generar efectos de zooms estáticos, generalmente se almacenan decenas de estos screenshots que pueden darnos una idea bastante buena de la actividad de nuestro usuario.

·       Fotos e imágenes eliminadas de la librería del usuario y del roll de la cámara.

·       Entradas eliminadas de los contactos, calendarios, eventos pueden ser encontradas en fragmentos del disco.

·       Historial de llamadas, en un iphone se guardan aproximadamente los últimos 100 registros de llamadas, la base de datos en la que se almacenan puede ser analizada utilizando casi cualquier manejador de bases de datos SQlite.

·       Se almacenan imágenes provenientes de Google Maps asi como también las búsquedas de direcciones que se hayan hecho directamente en la aplicación de mapas.

·       Cache del explorador y objetos eliminados del explorador pueden recuperarse para saber a qué sitios web ha accedido un usuario.

·       Caches, mensajes de correo electrónico y SMS`s  eliminados

·       Mensajes de voz eliminados a menudo permanecen en el dispositivo, estos pueden ser recuperados y analizados con una herramienta simple como Quicktime o alguna otra herramienta que soporte el formato AMR.

·       Registros de sincronización entre una o más computadoras o dispositivos “confiables”

·       Bases de datos SQlite con información de aplicaciones de terceros como WhatsApp, Foursquare MSN entre otras.

·       Datos EXIF de las fotos tomadas con el dispositivo.

Si bien esta no es toda la información que es posible recuperar, si es información que muchas veces es pasada por alto al momento de recuperar información de nuestros iDevices, en la cuarta y última parte de este análisis forense en iDevices vamos a entrar de lleno a técnicas, herramientas y métodos de recuperación y análisis, así que sigue visitando este blog y pasa la voz a los colegas examinadores que información y herramientas nunca sobran.

Análisis forense en iDevices parte II

El pasado sábado por la mañana comenzamos a platicar de análisis forense eniDevices, y como lo prometido es deuda vamos a platicar un poco de la estructura de un iDevice y de iOSx:

Arquitectura ARM: 
El iPhone utiliza la arquitectura de procesador ARM (Advanced RISC machine),originalmente desarrollada por ARM Ltd. En contraste muchas de las computadoras de escritorio utilizan la arquitectura Intel x86.

Hardware:
El iPhone cuenta con hardware muy poderoso el cual ha sido diseñado exclusivamente para lidiar con las demandas de la tecnología de iPhone. esto incluye diversos sensores como por ejemplo sensores de proximidad, acelerómetro,censores de presión al tacto y por supuesto diversos tipos de radios incluyendo GSM, Wi-fi y Bluetooth el cual ha ido mejorando con cada versión.

Frameworks de interfaz de usuario:
Apple cuenta con un set personalizado de interfaces de usuario dentro del iPhone para poder administrar hardware propietario y todos los sensores que permiten las funciones multi táctiles, mientras que las versiones de escritorio como mountain lion utilizan estos frameworks para la creacion de ventanas y controles de uso común, los frameworks en las versiones modificadas de estos OSx están diseñados para crear pequeñas páginas de interfaz de usuario que nosotros conocemos como esas pantallas que deslizas con el dedo de una a otra yen la cual se despliegan las aplicaciones contenidas en el dispositivo.

Kernel
el iPhone utiliza un signed kernel, que está diseñado para prevenir manipulación, aunque muchas de estas versiones de kernel han sido explotadascon fines de jailbreaking o desbloqueo. En nuestro análisis forense deiDevices nos valdremos de esa explotación de kernel para poder ingresar a laslistas propietarias (plists) y a las bases de datos sqlite que contienen informaciónque ha sido eliminada o que bien utilizando otro método que no fuera una extracción física del dispositivo difícilmente lograríamos obtener.

Esperen esta semana la parte III y IV de este especial de análisis forense en iDevices

Análisis forense en iDevices

Una nueva generación de smartphones ha llegado; los sistemas operativos que antes se encontraban únicamente en las computadoras han sido adaptados para operar en dispositivos móviles ;con el desplazamiento de un estable pero ya obsoleto Symbian llegaron hace ya unos años una nueva generación de OS's que han ido evolucionando desde convertirse en sistemas operativos móviles multitasking hasta que ahora el aun versión beta iOS 6 dará soporte completo a cifrado y almacenamiento en la nube, sincronización inalámbrica, meta datos en una numerosa gama de archivos y aplicaciones.
Pero que sucede cuando en nuestro trabajo diario nos encontramos con los denominados iDevices?? (iPad,iPod, iPhone) estamos preparados para analizar estos dispositivos? Contamos con las herramientas para recuperar la información que esta anclada a las aplicaciones y ha sido eliminada (whats app,Messenger, skype, foursquare etc)
Estén al pendiente por que el día lunes publicare una breve explicación de como esta compuesto tanto un iDevices como un iOSx una ves mas los invito al Hacker Halted LATAM ahí daré una conferencia de como analizar iDevices protegidos con contraseña o bien que no han sido "jailbreakeados" hasta entonces