sbd - innovarioja.tv · 2014. 2. 20. · –wechat, mail, skype, spotbros, shazam, ficheros...
TRANSCRIPT
SbD
© Todos los derechos reservados
LIOS #FF: a tool for IOS ForensicsLorenzo Martínez R. (@lawwait)
!
!
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
[root@localhost ~]# whoami• 13 años experiencia profesional en seguridad• Integradores -> Fabricantes -> Empresario && formador• CTO && Founder www.securizame.com • Perito Informático Forense• CISSP, CISA• Editor de SecurityByDefault• Herramientas: Securewin, amispammer, scalparser• Twitter: @lawwait, @securizame, @secbydefault• Email: [email protected]• Web: www.securizame.com www.securitybydefault.com
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Busca las 0xFF diferencias
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
¿Por qué analizar IOS?
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
• Dos particiones HFS+ (Hierarchical FileSystem+)– Boot/firmware
• Sólo lectura (excepto update y JB)
• S.O y apps básicas
– Datos de usuario y apps
• Árbol de directorios y ficheros (Formato UNIX)
• Tipos de ficheros fundamentales– SQLite (Agenda, Calendario, Llamadas, SMS,...)– PList (NextStep y XML)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Adquisición de datos
• Desde un Backup de iTunes– Cifrado / sin cifrar
• Directamente desde el dispositivo– Con contraseña de (des)bloqueo
– Herramienta: iExplorer
• Desde un dispositivo con Jailbreak– SSH + dd
- En todos ellos, AIRPLANE MODE o Jaula de Faraday -
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Backup de iTunes: ¿Dónde?
• Windows 7 -> <carpeta usuario>\AppData\Roaming\Apple Computer\MobileSync\Backup\<UDID>
• Windows XP -> <carpeta usuario>\Application Data\Roaming\Apple Computer\MobileSync\Backup\<UDID>
• Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID>
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Herramientas libres
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Backup de iTunes: Ficheros
• Herramientas Necesarias:– listManifest.py– SQLite Database Browser– PListEdit Pro– Iphone Data Protection– BinaryCookieReader.py
• Status.plist -> Info del último backup• Info.plist y Manifest.plist -> Info del iDevice: Serial
number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas
• Manifest.mbdb -> Metadatos de los ficheros del backup• Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
BinaryCookieReader.py
• Aplicaciones guardan cookies
• Larga duración
• Quedan en el backup
• Formato Binario
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iPhone Analyzer
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iPhone Backup Analyzer
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iExplorer (Unregistered version)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iFunBox
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Herramientas comerciales
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Ubicación de ficheros importantes
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Acceso directo a sistema de ficheros
• /private/var/mobile/Media/DCIM – /100Apple -> IMG_*– /999Apple -> Imágenes anteriores
• /private/var/mobile/Library/Keyboard/dynamic-text.dat
• /private/var/Keychains/key-chain-2.db• /private/var/mobile/Library/Notes/notes.sqlite• /private/var/mobile/Library/SMS/sms.db• /private/var/mobile/Library/Mail/• /private/var/mobile/Library/Maps/History.plist• /private/var/mobile/Media/Recordings
– Recordings.db– *.m4a
• /private/var/mobile/Media/DCIM – /100Apple -> IMG_*– /999Apple -> Imágenes anteriores
• /private/var/mobile/Library/Keyboard/dynamic-text.dat
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Acceso directo a sistema de ficheros
• /private/var/mobile/Library/VoiceMail/• /private/var/mobile/Library/Cookies/cookies.binarycookies• /private/var/mobile/Library/Caches/RecentSearches.plist*• /private/var/mobile/Library/AddressBook/
AddressBook.sqlitedb• /private/var/Library/CallHistory/call_history.db• /private/var/Library/Calendar/Calendar.sqlitedb• /private/var/Library/Caches/locationd/consolidated.db
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: Lawwait IOS Forensics Framework• Lenguaje de scripting: Perl
• Inicialmente, herramienta de clasificación de ficheros de un backup
• Luego, selección de ficheros ‘Juicy’
• Lios.pl & Lios_report.pl – Tratamiento de datos en un periodo de fechas– Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber,
Notas de voz, Safari, Cámara
– Timeline!!!
– Otros: Binary Cookies, Dynamic Dictionary, Fotos eliminadas, Contactos,...
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: Lawwait IOS Forensics Framework• Problemas encontrados– EPOCH vs. CFAbsoluteTime
– Cambios en las versiones de IOS
– Nombres de tablas inexistentes en diferentes versiones de Apps
• Roadmap– Modularidad/Plugins, API
– Wechat, Mail, Skype, Spotbros, Shazam, ficheros Mapsdata, navegación de otros browsers, alarmas, etc...
– Informes exportables en PDF
– Paquetizado para Windows/Mac
– Integración con otras herramientas
– Recuperación de registros borrados
– Informe/Log de actividad, hashes, etc,...
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: Lawwait IOS Forensics Framework
– Perito Informático Forense en ANCITE (www.ancite.es)
– Grupo de Delitos Telemáticos GDT Guardia Civil
– Brigada Investigación Tecnológica BIT - Policía Nacional
• Clientes... Actuales y próximos...
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
¿Conoces a Edward Snowden?
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
No me lo creo... a verlo!
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Conclusiones
• Manipulación ficheros en crudo vs. Herramientas “homologadas”
• Low cost o home made != Malo• LIOS: – Clasificación de ficheros “por tipo”– Ficheros “jugosos”– Report: • Información visual• Aplicaciones típicas, pero no estándar• Escalabilidad• Timeline
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Email me: [email protected]
Twitter: @lawwait @securizame @secbydefault