Buscar este blog

viernes, 19 de octubre de 2012

Analisis forense en iDevices parte IV



Antes de continuar una enorme disculpa por la ausencia, pero el deber llamaba, bueno directo al tema vamos con la cuarta y última parte de nuestro análisis forense en iDevices.
Primero analizaremos la estructura de una partición en un iDevice, de manera predeterminada un iDevice viene configurado con dos particiones, en las generaciones recientes de iDevices estas no residen en un disco físico (del tipo con platos giratorios) ya que utilizan discos NAND Flash de estado sólido, sin embargo son tratados como un disco ya que almacenan una tabla de partición y un sistema de archivos con formato en el flash.
Las particiones de manera predeterminada quedan de la siguiente manera: 




Ahora aquí es importante recordar que una de las reglas de oro del análisis forense es “mantener la integridad de la evidencia” y si bien un dispositivo móvil en este caso un iDevice no puede ser tratado a nivel almacenamiento y preservación de datos como se trataría un dispositivo de almacenamiento masivo como una laptop o una desktop ¿Por qué?, bueno porque de un dispositivo móvil no podemos obtener una imagen bit por bit como lo haríamos con otro dispositivo. Aquí también quiero recordarles que es importante recordar que siempre que tratamos con dispositivos móviles es necesario aislar el dispositivo de la red por medio de alguna de las soluciones Faraday que existen. Tomando todo esto en cuenta lo último que queremos es alterar la información contenida en nuestro iDevice. Con la llegada de iOS6 y las noticias que se dieron que incluso el departamento de defensa de los Estados Unidos no pudieron desbloquear el dispositivo nos enfocaremos en generaciones pasadas de iOS todas ellas útiles pues somos más los pobres que no podemos tener aún un iPhone 5 que los que lo tienen :)


Nuestro escenario aquí es que tenemos un iDevice el cual no se nos ha proporcionado la contraseña, si bien hay hardware especializado como Cellebrite o XRY que nos permiten extraer la contraseña ¿qué haríamos si no tenemos los recursos para tener alguna de estas herramientas? o bien ¿qué sucede si nuestro usuario tiene una aplicación que le da seguridad extra a nuestros iDevices? Para eso instalaremos algo llamado “recovery toolkit” dentro de la partición de sistema operativo de nuestro iDevice y a partir de ahí generar un jailbreak que nos permita a nivel de codigo pedirle a nuestros iDevices que en la secuencia de arranque ignore la petición de una contraseña. Tal vez se pregunte ¿Por qué? en la partición de sistema operativo y si el entrar a esta área del disco no alterara nuestra evidencia, la respuesta es sencilla y reside en el proceso que Apple utiliza para actualizar sus dispositivos,  los archivos .ipsw que contienen el firmware update de apple se descargan e instalan en esta partición y está diseñada para que se formatee sin alterar en lo más mínimo la partición de datos del dispositivo. Tomando ventaja de esto es que instalaremos y “manipularemos” esta área del disco, nuestro recovery toolkit contiene:

  • ·       Un entorno de Unix
  • ·       OpenSSH, un Shell seguro
  • ·       Una herramienta de Netcat para enviar datos a través de la red
  • ·       Una herramienta de md5 para crear un algoritmo criptográfico de la imagen del disco
  • ·       Una herramienta para obtener una imagen dd de nuestro disco


Por ahora se me ha terminado el tiempo de escribir, pero quería por lo menos dar señales de mi existencia y que vieran que seguimos con todo en el blog, les pido sus opiniones y comentarios y colaboraciones y el lunes sin falta seguimos con esta cuarta y última parte de nuestro análisis forense en iDevices.