SlideShare una empresa de Scribd logo

Forensic iOS

G
Gissim

Este documento proporciona una introducción a la informática forense de dispositivos iOS. Explica las fases del análisis forense de iOS, incluida la evaluación, preparación, adquisición de datos, análisis e informe. También describe la estructura de los sistemas iOS, técnicas para adquirir datos como imágenes de disco o backups, y herramientas para analizar los datos adquiridos en busca de evidencia.

Educación
1 de 30
iOS Forensics Jesús Balsa y Christian García
Informática forense ¤  “La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales.“ ¤  Esta labor es importante en los procesos judiciales, pero también puede emplearse en el sector privado.
iOS ¤  Sistema de ficheros HFS+ (Hierarchical FileSystem) ¤  Dos particiones ¤  1) Boot/firmware ¤  Sólo lectura excepto actualizaciones y jailbreak ¤  SSOO y aplicaciones básicas ¤  2) Datos de usuario y aplicaciones
Estructura de un sistema iOS
Fases de un análisis forense
Evaluación ¤  Notificar y obtener la autorización ¤  Revisar las políticas y la legislación ¤  Identificar a los miembros del equipo ¤  Realizar una valoración inicial ¤  Prepararse para la adquisición de pruebas ¤  Documentación detallada con información de los procedimientos realizados.
Preparación para la adquisición ¤  Preparación de medios para almacenamiento de “segundos originales” (clonación bit a bit). ¤  Para limpiar los discos se puede utilizar: ¤  Software: ¤  DiskWipe (Windows - Gratuita) ¤  Bleachbit (Linux – Gratuita) ¤  DiskUtility (Mac – Integrada en el sistema) ¤  Hardware: ¤  Drive eRazer
Adquisición de datos ¤  Desde backup ¤  Desde dd y netcat ¤  Kits forenses ¤  Cellebrite ¤  Oxygen Forensics
Adquisición desde backup ¤  iTunes ¤  Sin passcode o bien pareado previamente con el equipo ¤  Windows 7: %USER%AppDataRoamingAppleComputerMobileSyncBackup<UDID> ¤  Mac: $HOME/Library/ApplicationSupport/MobileSync/Backup/<UDID> ¤  iTools ¤  Sin passcode o bien pareado previamente con el equipo ¤  libimobiledevice ¤  Sin passcode ¤  Backup cifrado guardado en el PC/Mac ¤  Sólo fuerza bruta (Ivan Golubev’s Password Recovery Suite ó Elcomsoft Password Recovery)
Adquisición desde dd y netcat Requisitos: ¤  Dispositivo con jailbreak ¤  Servidor SSH instalado y netcat o que permita instalarlos ¤  Servidor SSH con clave por defecto “alpine” o clave débil Comandos a utilizar: dd if=/dev/disk0s2 bs=4096 | nc NUESTRA_IP PUERTO nc –l 9000 | dd of=NOMBREARCHIVO.img
Adquisición con kits forenses ¤  Cellebrite UFED Logical y UFED Ultimate (Hardware) ¤  Adquisición automática de los datos del terminal ¤  Funciona tanto con jailbreak como sin él ¤  Bypass del código de bloqueo iOS (sólo si es numérico, que es lo más común) ¤  Generación automática de hash SHA-1 ó MD5 (ya obsoleto) ¤  Herramienta óptima ¤  Precio muy elevado: Logical desde 4700€+IVA y Ultimate desde 8500€+IVA
Adquisición con kits forenses ¤  Oxygen Forensics y UFED Phisical Analyzer (Software) ¤  Sólo compatible hasta iPhone 4, iPad 2
Análisis de los datos ¤ Opciones de análisis ¤  Exploración manual ¤  Fuentes ¤  A partir de un backup ¤  A partir de imagen en bruto obtenida con dd (jailbreak) ¤  Inspección del sistema de archivos ¤  ¿Qué explorar? ¤  Exploración automatizada ¤  Kits comerciales para análisis forense
Análisis de los datos A partir de un backup - Casos ¤  Si está cifrado à Fuerza bruta.... (Tiempos con GPUs en 2011)1 ¤  Sin cifrar à Recomponer backup y acceder al contenido ¤  Herramientas ¤  iPhone Backup Analyzer: Open source, Linux ¤  iPhone Analyzer: Multiplataforma (Java) ¤  iPhone Backup Explorer: Mac y Windows ¤  iPhone Backup Viewer: Mac [1]: iPhone and iOS Forensics. Andrew Hoog, Katie Strzempka. Ed: Syngress, 2011.
Análisis de los datos A partir de un backup - Herramientas iPhone Backup Analyzer (Linux)
Análisis de los datos A partir de un backup - Contenido ¤  ¿Qué se guarda en un backup? ¤  Se almacena el contenido de la partición de usuario, excepto vídeos y música ¤  Dicha partición está montada en: /private/var ¤  Lo que está fuera de esa ruta no se guarda (datos de sistema)
Análisis de los datos A partir de un backup - Estructura en disco I ¤  Elementos del directorio de un backup ¤  Status.plist Información del último backup: fecha, hora, tamaño ¤  Info.plist y Manifest.plist Información del dispositivo: tipo de aparato, UDID, IMEI, nombre, versión de iOS y de iTunes, nº de serie, lista de apps instaladas ¤  Manifest.mbdb Rutas y hashes de los ficheros que contiene el backup, y en caso de tenerla, la contraseña (cifrada) del backup ¤  Resto de ficheros: Lista de elementos nombrados mediante hashes
Análisis de los datos A partir de un backup - Estructura en disco II
Análisis de los datos A partir de imagen extraída con dd (Linux/Mac) ¤  Se puede acceder a todo el sistema de archivos ¤  /Applications ¤  /System ¤  /”lo_que_sea” ¤  Pueden recuperarse archivos borrados (si no se han sobrescrito) ¤  Pasos básicos ¤  Montar la imagen extraída, en modo sólo lectura ¤  sudo mount -t hfsplus -o ro,loop ~/Desktop/iPhone.dmg ~/Desktop/iPhone_montado ¤  Explorar ”a mano” los ficheros de interés
Análisis de los datos Inspección manual del sistema ¤  ¿Qué explorar? ¤  El directorio público Media ¤  Datos de las aplicaciones ¤  Cookies ¤  Ficheros de BBDD (.db y .sqlite) y de preferencias (.plist) ¤  Claves de usuario y registros del sistema ¤  Herramientas necesarias ¤  Visor de ficheros .db y .sqlite: SQLite Manager (multiplataforma) ¤  Visor de ficheros .plist: Plist Editor Pro (Mac y Windows) ¤  Paciencia
Análisis de los datos Inspección del sistema - Herramientas I SQLite Manager
Análisis de los datos Inspección del sistema - Herramientas II Plist Editor Pro
Análisis de los datos Inspección del sistema - El directorio público Media ¤  Ruta: /private/var/mobile/Media ¤  Contenido: ¤  Información detallada del dispositivo: Media/iTunes_Control/Device/ ¤  Fotos y vídeos: ¤  Media/DCIM/100APPLE/ ¤  Media/PhotoData/ ¤  Por defecto las fotos incluyen metadatos con localización del GPS ¤  Almacenamiento USB: Media/general_storage/ ¤  Música: Media/iTunes_Control/Music/ ¤  Grabaciones: Media/Recordings/ ¤  eBooks: Media/Books/ ¤  Listado de las compras en la AppStore: Media/Purchases/
Análisis de los datos Inspección del sistema - Datos de aplicaciones I ¤  Cookies: ¤  ¤  ¤  ¤  Ruta: /private/var/mobile/Applications/[AppID_(hash)]/Library/Cookies Permiten iniciar sesión directamente copiándolas en otro iOS Redes sociales: tuenti, twitter, facebook* (corregido a final de 2012) Mensajería instantánea: gtalk, imo messenger ¤  Libreta de contactos: ¤  /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb ¤  Últimas 100 llamadas realizadas: ¤  /private/var/wireless/Library/CallHistory/call_history.db ¤  Emails de las cuentas vinculadas: /private/var/mobile/Library/Mail/ ¤  SMS: /private/var/mobile/Library/SMS/sms.db
Análisis de los datos Inspección del sistema - Datos de aplicaciones II ¤  Ficheros .plist de preferencias ¤  Ruta: /private/var/mobile/Library/Preferences ¤  Múltiples elementos con información sobre configuraciones y búsquedas ¤  Ejemplos representativos: ¤  com.apple.mobilephone.speeddial.plist: números de llamada rápida. ¤  com.apple.preferences.datetime.plist: zona horaria del dispositivo. ¤  com.apple.mobiletimer.plist y com.apple.mobilecal.alarmengine.plist: información sobre las alarmas puestas en el reloj. ¤  com.apple.youtube.plist: últimos vídeos buscados en la aplicación Youtube. ¤  com.apple.mobilesafari.plist: ultimas búsquedas en Safari. ¤  com.apple.stocks.plist: stock de acciones en la aplicación bolsa.
Análisis de los datos Inspección del sistema - Registros de interés y contraseñas ¤  Registro continuo de eventos (Logs): /private/var/logs/ ¤  Redes WiFi detectadas: ¤  /private/var/preferences/SystemConfiguration/com.apple.wifi.plist ¤  Ubicaciones GPS registradas: ¤  /private/var/root/Library/Caches/locationd/consolidated.db ¤  Listado de todas las aplicaciones instaladas: ¤  /private/var/mobile/Library/Caches/com.apple.installation.plist ¤  Ficheros de contraseñas de usuario (algunas en plano): ¤  /private/var/Keychains/keychain-2.db ¤  /private/var/Keychains/TrustStore.sqlite3 ¤  Ficheros de emparejamiento con ordenadores con los que ha sincronizado: ¤  /private/var/root/Library/Lockdown/
Análisis de los datos Kits comerciales para análisis forense ¤  Realizan la extracción, clasificación y hasheado de los ficheros ¤  Generan una línea temporal del dispositivo, permitiendo una exploración cronológica de eventos y ficheros ¤  Algunos kits disponibles 1) Necesitan iTunes instalado ¤  Oxygen Forensic Suite (Windows) ¤  MobilEdit! Forensic (Windows) 2) No necesitan iTunes ¤  UFED Cellebrite Physical Analyzer (Windows)
Elaboración del informe ¤  Lo más claro posible para su compresión por abogados y jueces ¤  Que ponga de manifiesto las pruebas y evidencias encontradas
Elaboración del informe
Gracias por su atención

Recomendados

Tarea3 dispositivos de almacenamientos capacidades
Tarea3 dispositivos de almacenamientos capacidadesTarea3 dispositivos de almacenamientos capacidades
Tarea3 dispositivos de almacenamientos capacidades
GadielMexEscalante
 
Soportes y dispositivos de Almacenamiento
Soportes y dispositivos de AlmacenamientoSoportes y dispositivos de Almacenamiento
Soportes y dispositivos de Almacenamiento
Colegio Don Bosco
 
Soportes Almacenamiento
Soportes AlmacenamientoSoportes Almacenamiento
Soportes Almacenamiento
Gerardo González
 
Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)
Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)
Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)
GadielMexEscalante
 
Tarea3 dispositivos de almacenamientos capacidades (corregida)
Tarea3 dispositivos de almacenamientos capacidades (corregida)Tarea3 dispositivos de almacenamientos capacidades (corregida)
Tarea3 dispositivos de almacenamientos capacidades (corregida)
GadielMexEscalante
 
Almacenamientos
AlmacenamientosAlmacenamientos
Almacenamientos
Berta_enfasis
 
Almacenamientos
AlmacenamientosAlmacenamientos
Almacenamientos
isa_enfasis
 
Tecnologías de Almacenamiento de Datos
Tecnologías de Almacenamiento de DatosTecnologías de Almacenamiento de Datos
Tecnologías de Almacenamiento de Datos
David Carrion
 

Recomendados

Tarea3 dispositivos de almacenamientos capacidades
Tarea3 dispositivos de almacenamientos capacidadesTarea3 dispositivos de almacenamientos capacidades
Tarea3 dispositivos de almacenamientos capacidades
GadielMexEscalante
 
Soportes y dispositivos de Almacenamiento
Soportes y dispositivos de AlmacenamientoSoportes y dispositivos de Almacenamiento
Soportes y dispositivos de Almacenamiento
Colegio Don Bosco
 
Soportes Almacenamiento
Soportes AlmacenamientoSoportes Almacenamiento
Soportes Almacenamiento
Gerardo González
 
Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)
Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)
Tarea3 dispositivos de almacenamientos capacidades (corregida) (1)
GadielMexEscalante
 
Tarea3 dispositivos de almacenamientos capacidades (corregida)
Tarea3 dispositivos de almacenamientos capacidades (corregida)Tarea3 dispositivos de almacenamientos capacidades (corregida)
Tarea3 dispositivos de almacenamientos capacidades (corregida)
GadielMexEscalante
 
Almacenamientos
AlmacenamientosAlmacenamientos
Almacenamientos
Berta_enfasis
 
Almacenamientos
AlmacenamientosAlmacenamientos
Almacenamientos
isa_enfasis
 
Tecnologías de Almacenamiento de Datos
Tecnologías de Almacenamiento de DatosTecnologías de Almacenamiento de Datos
Tecnologías de Almacenamiento de Datos
David Carrion
 
Trabajo De Sistemas De Almacenamiento
Trabajo De Sistemas De AlmacenamientoTrabajo De Sistemas De Almacenamiento
Trabajo De Sistemas De Almacenamiento
orejeta
 
mm
mmmm
mm
08ucentralgrp3
 
Medios de almacenamientos
Medios de almacenamientosMedios de almacenamientos
Medios de almacenamientos
yulianaosorno82
 
Presentación Sistemas Almacenamiento Parte 01
Presentación Sistemas Almacenamiento Parte 01Presentación Sistemas Almacenamiento Parte 01
Presentación Sistemas Almacenamiento Parte 01
Alex Avila
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"
Alonso Caballero
 
Disco Duro Hdd
Disco Duro HddDisco Duro Hdd
Disco Duro Hdd
bri4n
 
DISPOSITIVOS DE ALMACENAMIENTO
DISPOSITIVOS DE ALMACENAMIENTODISPOSITIVOS DE ALMACENAMIENTO
DISPOSITIVOS DE ALMACENAMIENTO
guest9a385f
 
Practica 2.6
Practica 2.6Practica 2.6
Practica 2.6
CrisCarrasco3
 
Dispositivos De Almacenamiento
Dispositivos De AlmacenamientoDispositivos De Almacenamiento
Dispositivos De Almacenamiento
sadid andrés serna quiceno
 
Dispositivos de almacenamiento
Dispositivos de almacenamientoDispositivos de almacenamiento
Dispositivos de almacenamiento
Erika Eva Pantoja García
 
unidades de almacenamiento-diapositiva
unidades de almacenamiento-diapositivaunidades de almacenamiento-diapositiva
unidades de almacenamiento-diapositiva
Kevin Bayter
 
Periféricos de almacenamiento
Periféricos de almacenamientoPeriféricos de almacenamiento
Periféricos de almacenamiento
Anderson Huila Diago
 
Tipos De Almacenamiento Y Capacidades
Tipos De Almacenamiento Y CapacidadesTipos De Almacenamiento Y Capacidades
Tipos De Almacenamiento Y Capacidades
guest29422ff
 
MEDIOS DE ALMACENAMIENTO
MEDIOS DE ALMACENAMIENTOMEDIOS DE ALMACENAMIENTO
MEDIOS DE ALMACENAMIENTO
QUISPE_CANTINETT
 
Almacenamientos(1)(1)
Almacenamientos(1)(1)Almacenamientos(1)(1)
Almacenamientos(1)(1)
Berta_enfasis
 
Instalación del sistema operativo
Instalación del sistema operativoInstalación del sistema operativo
Instalación del sistema operativo
KeilyRodrguez
 
Dispositivos mixtos
Dispositivos mixtosDispositivos mixtos
Dispositivos mixtos
Romario Rott WeiLas
 
Grupo n 5 disco duro
Grupo n 5 disco duroGrupo n 5 disco duro
Grupo n 5 disco duro
DAYLIZQUEZADA
 
Disco duro
Disco duroDisco duro
Disco duro
ilianaLMB
 
Taller: Analisis forense de dispositivos iOS
Taller: Analisis forense de dispositivos iOSTaller: Analisis forense de dispositivos iOS
Taller: Analisis forense de dispositivos iOS
Jaime Restrepo
 
Programa para recuperar archivos borrados de una USB
Programa para recuperar archivos borrados de una USBPrograma para recuperar archivos borrados de una USB
Programa para recuperar archivos borrados de una USB
Recuperar archivos
 
6. Carlos Jaramillo - CELLEBRITE.
6. Carlos Jaramillo - CELLEBRITE.6. Carlos Jaramillo - CELLEBRITE.
6. Carlos Jaramillo - CELLEBRITE.
Observatic Externado
 

Más contenido relacionado

La actualidad más candente

Trabajo De Sistemas De Almacenamiento
Trabajo De Sistemas De AlmacenamientoTrabajo De Sistemas De Almacenamiento
Trabajo De Sistemas De Almacenamiento
orejeta
 
mm
mmmm
mm
08ucentralgrp3
 
Medios de almacenamientos
Medios de almacenamientosMedios de almacenamientos
Medios de almacenamientos
yulianaosorno82
 
Presentación Sistemas Almacenamiento Parte 01
Presentación Sistemas Almacenamiento Parte 01Presentación Sistemas Almacenamiento Parte 01
Presentación Sistemas Almacenamiento Parte 01
Alex Avila
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"
Alonso Caballero
 
Disco Duro Hdd
Disco Duro HddDisco Duro Hdd
Disco Duro Hdd
bri4n
 
DISPOSITIVOS DE ALMACENAMIENTO
DISPOSITIVOS DE ALMACENAMIENTODISPOSITIVOS DE ALMACENAMIENTO
DISPOSITIVOS DE ALMACENAMIENTO
guest9a385f
 
Practica 2.6
Practica 2.6Practica 2.6
Practica 2.6
CrisCarrasco3
 
Dispositivos De Almacenamiento
Dispositivos De AlmacenamientoDispositivos De Almacenamiento
Dispositivos De Almacenamiento
sadid andrés serna quiceno
 
Dispositivos de almacenamiento
Dispositivos de almacenamientoDispositivos de almacenamiento
Dispositivos de almacenamiento
Erika Eva Pantoja García
 
unidades de almacenamiento-diapositiva
unidades de almacenamiento-diapositivaunidades de almacenamiento-diapositiva
unidades de almacenamiento-diapositiva
Kevin Bayter
 
Periféricos de almacenamiento
Periféricos de almacenamientoPeriféricos de almacenamiento
Periféricos de almacenamiento
Anderson Huila Diago
 
Tipos De Almacenamiento Y Capacidades
Tipos De Almacenamiento Y CapacidadesTipos De Almacenamiento Y Capacidades
Tipos De Almacenamiento Y Capacidades
guest29422ff
 
MEDIOS DE ALMACENAMIENTO
MEDIOS DE ALMACENAMIENTOMEDIOS DE ALMACENAMIENTO
MEDIOS DE ALMACENAMIENTO
QUISPE_CANTINETT
 
Almacenamientos(1)(1)
Almacenamientos(1)(1)Almacenamientos(1)(1)
Almacenamientos(1)(1)
Berta_enfasis
 
Instalación del sistema operativo
Instalación del sistema operativoInstalación del sistema operativo
Instalación del sistema operativo
KeilyRodrguez
 
Dispositivos mixtos
Dispositivos mixtosDispositivos mixtos
Dispositivos mixtos
Romario Rott WeiLas
 
Grupo n 5 disco duro
Grupo n 5 disco duroGrupo n 5 disco duro
Grupo n 5 disco duro
DAYLIZQUEZADA
 
Disco duro
Disco duroDisco duro
Disco duro
ilianaLMB
 

La actualidad más candente (19)

Trabajo De Sistemas De Almacenamiento
Trabajo De Sistemas De AlmacenamientoTrabajo De Sistemas De Almacenamiento
Trabajo De Sistemas De Almacenamiento
 
mm
mmmm
mm
 
Medios de almacenamientos
Medios de almacenamientosMedios de almacenamientos
Medios de almacenamientos
 
Presentación Sistemas Almacenamiento Parte 01
Presentación Sistemas Almacenamiento Parte 01Presentación Sistemas Almacenamiento Parte 01
Presentación Sistemas Almacenamiento Parte 01
 
Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"Webinar Gratuito "Informática Forense & Linux"
Webinar Gratuito "Informática Forense & Linux"
 
Disco Duro Hdd
Disco Duro HddDisco Duro Hdd
Disco Duro Hdd
 
DISPOSITIVOS DE ALMACENAMIENTO
DISPOSITIVOS DE ALMACENAMIENTODISPOSITIVOS DE ALMACENAMIENTO
DISPOSITIVOS DE ALMACENAMIENTO
 
Practica 2.6
Practica 2.6Practica 2.6
Practica 2.6
 
Dispositivos De Almacenamiento
Dispositivos De AlmacenamientoDispositivos De Almacenamiento
Dispositivos De Almacenamiento
 
Dispositivos de almacenamiento
Dispositivos de almacenamientoDispositivos de almacenamiento
Dispositivos de almacenamiento
 
unidades de almacenamiento-diapositiva
unidades de almacenamiento-diapositivaunidades de almacenamiento-diapositiva
unidades de almacenamiento-diapositiva
 
Periféricos de almacenamiento
Periféricos de almacenamientoPeriféricos de almacenamiento
Periféricos de almacenamiento
 
Tipos De Almacenamiento Y Capacidades
Tipos De Almacenamiento Y CapacidadesTipos De Almacenamiento Y Capacidades
Tipos De Almacenamiento Y Capacidades
 
MEDIOS DE ALMACENAMIENTO
MEDIOS DE ALMACENAMIENTOMEDIOS DE ALMACENAMIENTO
MEDIOS DE ALMACENAMIENTO
 
Almacenamientos(1)(1)
Almacenamientos(1)(1)Almacenamientos(1)(1)
Almacenamientos(1)(1)
 
Instalación del sistema operativo
Instalación del sistema operativoInstalación del sistema operativo
Instalación del sistema operativo
 
Dispositivos mixtos
Dispositivos mixtosDispositivos mixtos
Dispositivos mixtos
 
Grupo n 5 disco duro
Grupo n 5 disco duroGrupo n 5 disco duro
Grupo n 5 disco duro
 
Disco duro
Disco duroDisco duro
Disco duro
 

Destacado

Taller: Analisis forense de dispositivos iOS
Taller: Analisis forense de dispositivos iOSTaller: Analisis forense de dispositivos iOS
Taller: Analisis forense de dispositivos iOS
Jaime Restrepo
 
Programa para recuperar archivos borrados de una USB
Programa para recuperar archivos borrados de una USBPrograma para recuperar archivos borrados de una USB
Programa para recuperar archivos borrados de una USB
Recuperar archivos
 
6. Carlos Jaramillo - CELLEBRITE.
6. Carlos Jaramillo - CELLEBRITE.6. Carlos Jaramillo - CELLEBRITE.
6. Carlos Jaramillo - CELLEBRITE.
Observatic Externado
 
Recuperación de archivos
Recuperación de archivosRecuperación de archivos
Recuperación de archivos
ssharLudena
 
Como recuperar archivos borrados del celular
Como recuperar archivos borrados del celularComo recuperar archivos borrados del celular
Como recuperar archivos borrados del celular
Maria Jose
 
Recuperación de archivos eliminados.
Recuperación de archivos eliminados.Recuperación de archivos eliminados.
Recuperación de archivos eliminados.
Victor Escamilla
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
psanchezcordero
 
App para recuperar archivos borrados de Android
App para recuperar archivos borrados de AndroidApp para recuperar archivos borrados de Android
App para recuperar archivos borrados de Android
Jihosoft
 
Rooting android
Rooting androidRooting android
Rooting android
Matt Vieyra
 
Peritaje informatico
Peritaje informaticoPeritaje informatico
Peritaje informatico
Luis Santillan
 
Recuperar informacion borrada de celulares
Recuperar informacion borrada de celularesRecuperar informacion borrada de celulares
Recuperar informacion borrada de celulares
AccountecServices
 

Destacado (11)

Taller: Analisis forense de dispositivos iOS
Taller: Analisis forense de dispositivos iOSTaller: Analisis forense de dispositivos iOS
Taller: Analisis forense de dispositivos iOS
 
Programa para recuperar archivos borrados de una USB
Programa para recuperar archivos borrados de una USBPrograma para recuperar archivos borrados de una USB
Programa para recuperar archivos borrados de una USB
 
6. Carlos Jaramillo - CELLEBRITE.
6. Carlos Jaramillo - CELLEBRITE.6. Carlos Jaramillo - CELLEBRITE.
6. Carlos Jaramillo - CELLEBRITE.
 
Recuperación de archivos
Recuperación de archivosRecuperación de archivos
Recuperación de archivos
 
Como recuperar archivos borrados del celular
Como recuperar archivos borrados del celularComo recuperar archivos borrados del celular
Como recuperar archivos borrados del celular
 
Recuperación de archivos eliminados.
Recuperación de archivos eliminados.Recuperación de archivos eliminados.
Recuperación de archivos eliminados.
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
App para recuperar archivos borrados de Android
App para recuperar archivos borrados de AndroidApp para recuperar archivos borrados de Android
App para recuperar archivos borrados de Android
 
Rooting android
Rooting androidRooting android
Rooting android
 
Peritaje informatico
Peritaje informaticoPeritaje informatico
Peritaje informatico
 
Recuperar informacion borrada de celulares
Recuperar informacion borrada de celularesRecuperar informacion borrada de celulares
Recuperar informacion borrada de celulares
 

Similar a Forensic iOS

Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors
 
Forensia en movil
Forensia en movil Forensia en movil
Forensia en movil
José Moreno
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
RootedCON
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensic
navajanegra
 
Herramientas
HerramientasHerramientas
Herramientas
PAULRUDY
 
WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles
WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles
WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles
Wilson Yandun Torres
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
Eventos Creativos
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
CsarVera14
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
hendrykfer2
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
Pablo Llanos Urraca
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case Forensics
Pablo Llanos Urraca
 
Análisis forense con oxygen forensics suite 2012 analyst
Análisis forense con oxygen forensics suite 2012 analystAnálisis forense con oxygen forensics suite 2012 analyst
Análisis forense con oxygen forensics suite 2012 analyst
Eventos Creativos
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
pseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
Cesar Zarate
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
Internet Security Auditors
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
RootedCON
 
Utilidades de diagnostico
Utilidades de diagnosticoUtilidades de diagnostico
Utilidades de diagnostico
Alexandra Zapata
 
Introducción a la base de datos - Taller N° 1
Introducción a la base de datos - Taller N° 1Introducción a la base de datos - Taller N° 1
Introducción a la base de datos - Taller N° 1
AndreaTuta
 
Como hacer un forense a un iphone sin iphone
Como hacer un forense a un iphone sin iphoneComo hacer un forense a un iphone sin iphone
Como hacer un forense a un iphone sin iphone
Eventos Creativos
 

Similar a Forensic iOS (20)

Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Forensia en movil
Forensia en movil Forensia en movil
Forensia en movil
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensic
 
Herramientas
HerramientasHerramientas
Herramientas
 
WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles
WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles
WILSON YANDUN PREPO D Recuperacion de datos de telefonos moviles
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case Forensics
 
Análisis forense con oxygen forensics suite 2012 analyst
Análisis forense con oxygen forensics suite 2012 analystAnálisis forense con oxygen forensics suite 2012 analyst
Análisis forense con oxygen forensics suite 2012 analyst
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
 
Utilidades de diagnostico
Utilidades de diagnosticoUtilidades de diagnostico
Utilidades de diagnostico
 
Introducción a la base de datos - Taller N° 1
Introducción a la base de datos - Taller N° 1Introducción a la base de datos - Taller N° 1
Introducción a la base de datos - Taller N° 1
 
Como hacer un forense a un iphone sin iphone
Como hacer un forense a un iphone sin iphoneComo hacer un forense a un iphone sin iphone
Como hacer un forense a un iphone sin iphone
 

Último

pueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptxpueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptx
RAMIREZNICOLE
 
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Unidad de Espiritualidad Eudista
 
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdfBlogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
lautyzaracho4
 
Sesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdfSesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdf
https://gramadal.wordpress.com/
 
Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......
LuanaJaime1
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
ginnazamudio
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Demetrio Ccesa Rayme
 
Presentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdfPresentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdf
LuanaJaime1
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Juan Martín Martín
 
Respuesta del icfes pre saber verificadas
Respuesta del icfes pre saber verificadasRespuesta del icfes pre saber verificadas
Respuesta del icfes pre saber verificadas
KarenCaicedo28
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
israelsouza67
 
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptxPPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
gamcoaquera
 
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdfEl Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
Robert Zuñiga Vargas
 
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdfDocentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
Demetrio Ccesa Rayme
 
Power Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascaradoPower Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascarado
https://gramadal.wordpress.com/
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
saradocente
 
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdfGuia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
Demetrio Ccesa Rayme
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
Jose Luis Jimenez Rodriguez
 
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
rosannatasaycoyactay
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
Mónica Sánchez
 

Último (20)

pueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptxpueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptx
 
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
 
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdfBlogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
 
Sesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdfSesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdf
 
Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
 
Presentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdfPresentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdf
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
 
Respuesta del icfes pre saber verificadas
Respuesta del icfes pre saber verificadasRespuesta del icfes pre saber verificadas
Respuesta del icfes pre saber verificadas
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
 
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptxPPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
 
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdfEl Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
 
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdfDocentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
 
Power Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascaradoPower Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascarado
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
 
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdfGuia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
 
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
 

Forensic iOS

  • 1. iOS Forensics Jesús Balsa y Christian García
  • 2. Informática forense ¤  “La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales.“ ¤  Esta labor es importante en los procesos judiciales, pero también puede emplearse en el sector privado.
  • 3. iOS ¤  Sistema de ficheros HFS+ (Hierarchical FileSystem) ¤  Dos particiones ¤  1) Boot/firmware ¤  Sólo lectura excepto actualizaciones y jailbreak ¤  SSOO y aplicaciones básicas ¤  2) Datos de usuario y aplicaciones
  • 4. Estructura de un sistema iOS
  • 5. Fases de un análisis forense
  • 6. Evaluación ¤  Notificar y obtener la autorización ¤  Revisar las políticas y la legislación ¤  Identificar a los miembros del equipo ¤  Realizar una valoración inicial ¤  Prepararse para la adquisición de pruebas ¤  Documentación detallada con información de los procedimientos realizados.
  • 7. Preparación para la adquisición ¤  Preparación de medios para almacenamiento de “segundos originales” (clonación bit a bit). ¤  Para limpiar los discos se puede utilizar: ¤  Software: ¤  DiskWipe (Windows - Gratuita) ¤  Bleachbit (Linux – Gratuita) ¤  DiskUtility (Mac – Integrada en el sistema) ¤  Hardware: ¤  Drive eRazer
  • 8. Adquisición de datos ¤  Desde backup ¤  Desde dd y netcat ¤  Kits forenses ¤  Cellebrite ¤  Oxygen Forensics
  • 9. Adquisición desde backup ¤  iTunes ¤  Sin passcode o bien pareado previamente con el equipo ¤  Windows 7: %USER%AppDataRoamingAppleComputerMobileSyncBackup<UDID> ¤  Mac: $HOME/Library/ApplicationSupport/MobileSync/Backup/<UDID> ¤  iTools ¤  Sin passcode o bien pareado previamente con el equipo ¤  libimobiledevice ¤  Sin passcode ¤  Backup cifrado guardado en el PC/Mac ¤  Sólo fuerza bruta (Ivan Golubev’s Password Recovery Suite ó Elcomsoft Password Recovery)
  • 10. Adquisición desde dd y netcat Requisitos: ¤  Dispositivo con jailbreak ¤  Servidor SSH instalado y netcat o que permita instalarlos ¤  Servidor SSH con clave por defecto “alpine” o clave débil Comandos a utilizar: dd if=/dev/disk0s2 bs=4096 | nc NUESTRA_IP PUERTO nc –l 9000 | dd of=NOMBREARCHIVO.img
  • 11. Adquisición con kits forenses ¤  Cellebrite UFED Logical y UFED Ultimate (Hardware) ¤  Adquisición automática de los datos del terminal ¤  Funciona tanto con jailbreak como sin él ¤  Bypass del código de bloqueo iOS (sólo si es numérico, que es lo más común) ¤  Generación automática de hash SHA-1 ó MD5 (ya obsoleto) ¤  Herramienta óptima ¤  Precio muy elevado: Logical desde 4700€+IVA y Ultimate desde 8500€+IVA
  • 12. Adquisición con kits forenses ¤  Oxygen Forensics y UFED Phisical Analyzer (Software) ¤  Sólo compatible hasta iPhone 4, iPad 2
  • 13. Análisis de los datos ¤ Opciones de análisis ¤  Exploración manual ¤  Fuentes ¤  A partir de un backup ¤  A partir de imagen en bruto obtenida con dd (jailbreak) ¤  Inspección del sistema de archivos ¤  ¿Qué explorar? ¤  Exploración automatizada ¤  Kits comerciales para análisis forense
  • 14. Análisis de los datos A partir de un backup - Casos ¤  Si está cifrado à Fuerza bruta.... (Tiempos con GPUs en 2011)1 ¤  Sin cifrar à Recomponer backup y acceder al contenido ¤  Herramientas ¤  iPhone Backup Analyzer: Open source, Linux ¤  iPhone Analyzer: Multiplataforma (Java) ¤  iPhone Backup Explorer: Mac y Windows ¤  iPhone Backup Viewer: Mac [1]: iPhone and iOS Forensics. Andrew Hoog, Katie Strzempka. Ed: Syngress, 2011.
  • 15. Análisis de los datos A partir de un backup - Herramientas iPhone Backup Analyzer (Linux)
  • 16. Análisis de los datos A partir de un backup - Contenido ¤  ¿Qué se guarda en un backup? ¤  Se almacena el contenido de la partición de usuario, excepto vídeos y música ¤  Dicha partición está montada en: /private/var ¤  Lo que está fuera de esa ruta no se guarda (datos de sistema)
  • 17. Análisis de los datos A partir de un backup - Estructura en disco I ¤  Elementos del directorio de un backup ¤  Status.plist Información del último backup: fecha, hora, tamaño ¤  Info.plist y Manifest.plist Información del dispositivo: tipo de aparato, UDID, IMEI, nombre, versión de iOS y de iTunes, nº de serie, lista de apps instaladas ¤  Manifest.mbdb Rutas y hashes de los ficheros que contiene el backup, y en caso de tenerla, la contraseña (cifrada) del backup ¤  Resto de ficheros: Lista de elementos nombrados mediante hashes
  • 18. Análisis de los datos A partir de un backup - Estructura en disco II
  • 19. Análisis de los datos A partir de imagen extraída con dd (Linux/Mac) ¤  Se puede acceder a todo el sistema de archivos ¤  /Applications ¤  /System ¤  /”lo_que_sea” ¤  Pueden recuperarse archivos borrados (si no se han sobrescrito) ¤  Pasos básicos ¤  Montar la imagen extraída, en modo sólo lectura ¤  sudo mount -t hfsplus -o ro,loop ~/Desktop/iPhone.dmg ~/Desktop/iPhone_montado ¤  Explorar ”a mano” los ficheros de interés
  • 20. Análisis de los datos Inspección manual del sistema ¤  ¿Qué explorar? ¤  El directorio público Media ¤  Datos de las aplicaciones ¤  Cookies ¤  Ficheros de BBDD (.db y .sqlite) y de preferencias (.plist) ¤  Claves de usuario y registros del sistema ¤  Herramientas necesarias ¤  Visor de ficheros .db y .sqlite: SQLite Manager (multiplataforma) ¤  Visor de ficheros .plist: Plist Editor Pro (Mac y Windows) ¤  Paciencia
  • 21. Análisis de los datos Inspección del sistema - Herramientas I SQLite Manager
  • 22. Análisis de los datos Inspección del sistema - Herramientas II Plist Editor Pro
  • 23. Análisis de los datos Inspección del sistema - El directorio público Media ¤  Ruta: /private/var/mobile/Media ¤  Contenido: ¤  Información detallada del dispositivo: Media/iTunes_Control/Device/ ¤  Fotos y vídeos: ¤  Media/DCIM/100APPLE/ ¤  Media/PhotoData/ ¤  Por defecto las fotos incluyen metadatos con localización del GPS ¤  Almacenamiento USB: Media/general_storage/ ¤  Música: Media/iTunes_Control/Music/ ¤  Grabaciones: Media/Recordings/ ¤  eBooks: Media/Books/ ¤  Listado de las compras en la AppStore: Media/Purchases/
  • 24. Análisis de los datos Inspección del sistema - Datos de aplicaciones I ¤  Cookies: ¤  ¤  ¤  ¤  Ruta: /private/var/mobile/Applications/[AppID_(hash)]/Library/Cookies Permiten iniciar sesión directamente copiándolas en otro iOS Redes sociales: tuenti, twitter, facebook* (corregido a final de 2012) Mensajería instantánea: gtalk, imo messenger ¤  Libreta de contactos: ¤  /private/var/mobile/Library/AddressBook/AddressBook.sqlitedb ¤  Últimas 100 llamadas realizadas: ¤  /private/var/wireless/Library/CallHistory/call_history.db ¤  Emails de las cuentas vinculadas: /private/var/mobile/Library/Mail/ ¤  SMS: /private/var/mobile/Library/SMS/sms.db
  • 25. Análisis de los datos Inspección del sistema - Datos de aplicaciones II ¤  Ficheros .plist de preferencias ¤  Ruta: /private/var/mobile/Library/Preferences ¤  Múltiples elementos con información sobre configuraciones y búsquedas ¤  Ejemplos representativos: ¤  com.apple.mobilephone.speeddial.plist: números de llamada rápida. ¤  com.apple.preferences.datetime.plist: zona horaria del dispositivo. ¤  com.apple.mobiletimer.plist y com.apple.mobilecal.alarmengine.plist: información sobre las alarmas puestas en el reloj. ¤  com.apple.youtube.plist: últimos vídeos buscados en la aplicación Youtube. ¤  com.apple.mobilesafari.plist: ultimas búsquedas en Safari. ¤  com.apple.stocks.plist: stock de acciones en la aplicación bolsa.
  • 26. Análisis de los datos Inspección del sistema - Registros de interés y contraseñas ¤  Registro continuo de eventos (Logs): /private/var/logs/ ¤  Redes WiFi detectadas: ¤  /private/var/preferences/SystemConfiguration/com.apple.wifi.plist ¤  Ubicaciones GPS registradas: ¤  /private/var/root/Library/Caches/locationd/consolidated.db ¤  Listado de todas las aplicaciones instaladas: ¤  /private/var/mobile/Library/Caches/com.apple.installation.plist ¤  Ficheros de contraseñas de usuario (algunas en plano): ¤  /private/var/Keychains/keychain-2.db ¤  /private/var/Keychains/TrustStore.sqlite3 ¤  Ficheros de emparejamiento con ordenadores con los que ha sincronizado: ¤  /private/var/root/Library/Lockdown/
  • 27. Análisis de los datos Kits comerciales para análisis forense ¤  Realizan la extracción, clasificación y hasheado de los ficheros ¤  Generan una línea temporal del dispositivo, permitiendo una exploración cronológica de eventos y ficheros ¤  Algunos kits disponibles 1) Necesitan iTunes instalado ¤  Oxygen Forensic Suite (Windows) ¤  MobilEdit! Forensic (Windows) 2) No necesitan iTunes ¤  UFED Cellebrite Physical Analyzer (Windows)
  • 28. Elaboración del informe ¤  Lo más claro posible para su compresión por abogados y jueces ¤  Que ponga de manifiesto las pruebas y evidencias encontradas
  • 30. Gracias por su atención