Analisis forense en iDevices parte III

Después de una pequeña ausencia por motivos laborales, ya estamos de regreso para seguir con el análisis forense en iDevices, hablamos la vez pasada un poco acerca de la composición interna de un dispositivo que se ejecuta en iOS, ahora vamos a hablar acerca de cuáles son las cosas que se pueden recuperar al realizar un análisis forense eficaz, ya que lo que nos interesa no es solo ingresar a la información que está activa en el dispositivo sino a la información que ya ha sido eliminada.
Es extremadamente difícil eliminar información de manera permanente en un iDevice aunque actualmente existen aplicaciones de borrado seguro que facilitan esta actividad, algunos usuarios sin embargo piensan que realizar desde iTunes un "restore" formatea el dispositivo, sin embargo incluso esta acción deja la mayoría de la información intacta, un "restore" simplemente logra que la información no sea accesible de manera directa, así que si ustedes encuentran un iDevice que ha sido restaurado desde iTunes no se preocupen hay mucha información que pueden recuperar y que es de gran ayuda en la solución de un caso, ahora ¿qué tipo de información podemos recuperar de un iDevice? enfoquémonos en los más relevantes:

·       Caches del teclado que contienen, nombres de usuario, contraseñas, términos de búsqueda y fragmentos de comunicaciones escritas manualmente. Casi todo lo que escribimos en un iDevice queda registrado en el cache.

·       Cada vez que apretamos el botón de “home” o salimos de una aplicación  se genera un screenshot que iOS después utiliza para generar efectos de zooms estáticos, generalmente se almacenan decenas de estos screenshots que pueden darnos una idea bastante buena de la actividad de nuestro usuario.

·       Fotos e imágenes eliminadas de la librería del usuario y del roll de la cámara.

·       Entradas eliminadas de los contactos, calendarios, eventos pueden ser encontradas en fragmentos del disco.

·       Historial de llamadas, en un iphone se guardan aproximadamente los últimos 100 registros de llamadas, la base de datos en la que se almacenan puede ser analizada utilizando casi cualquier manejador de bases de datos SQlite.

·       Se almacenan imágenes provenientes de Google Maps asi como también las búsquedas de direcciones que se hayan hecho directamente en la aplicación de mapas.

·       Cache del explorador y objetos eliminados del explorador pueden recuperarse para saber a qué sitios web ha accedido un usuario.

·       Caches, mensajes de correo electrónico y SMS`s  eliminados

·       Mensajes de voz eliminados a menudo permanecen en el dispositivo, estos pueden ser recuperados y analizados con una herramienta simple como Quicktime o alguna otra herramienta que soporte el formato AMR.

·       Registros de sincronización entre una o más computadoras o dispositivos “confiables”

·       Bases de datos SQlite con información de aplicaciones de terceros como WhatsApp, Foursquare MSN entre otras.

·       Datos EXIF de las fotos tomadas con el dispositivo.

Si bien esta no es toda la información que es posible recuperar, si es información que muchas veces es pasada por alto al momento de recuperar información de nuestros iDevices, en la cuarta y última parte de este análisis forense en iDevices vamos a entrar de lleno a técnicas, herramientas y métodos de recuperación y análisis, así que sigue visitando este blog y pasa la voz a los colegas examinadores que información y herramientas nunca sobran.