Weitere ähnliche Inhalte Ähnlich wie LIOS: a tool for IOS Forensic (20) Mehr von navajanegra (20) Kürzlich hochgeladen (11) LIOS: a tool for IOS Forensic1. SbD
LIOS #FF: a tool for IOS Forensics
Lorenzo Martínez R. (@lawwait)
© Todos los derechos reservados
2. LIOS #FF: A tool for IOS Forensics
[root@localhost ~]# whoami
© Todos los derechos reservados
3. LIOS #FF: A tool for IOS Forensics
Echando la vista atrás...
Septiembre 2007
Mayo 2013
© Todos los derechos reservados
Septiembre 2013
4. LIOS #FF: A tool for IOS Forensics
[root@localhost ~]# whoami
•
•
•
•
•
•
•
•
•
•
13 años experiencia profesional en seguridad
Integradores -> Fabricantes -> Empresario && formador
CTO && Founder www.securizame.com
Perito Informático Forense
CISSP, CISA
Editor de SecurityByDefault
Herramientas: Securewin, amispammer, scalparser
Twitter: @lawwait, @securizame, @secbydefault
Email: lorenzo@securizame.com
Web: www.securizame.com
www.securitybydefault.com
© Todos los derechos reservados
5. LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
6. LIOS #FF: A tool for IOS Forensics
¿Por qué analizar IOS?
© Todos los derechos reservados
7. LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
8. LIOS #FF: A tool for IOS Forensics
• Dos particiones HFS+ (Hierarchical FileSystem+)
– Boot/firmware
• Sólo lectura (excepto update y JB)
• S.O y apps básicas
– Datos de usuario y apps
• Árbol de directorios y ficheros (Formato UNIX)
• Tipos de ficheros fundamentales
– SQLite (Agenda, Calendario, Llamadas, SMS,...)
– PList (NextStep y XML)
© Todos los derechos reservados
9. LIOS #FF: A tool for IOS Forensics
Adquisición de datos
• Desde un Backup de iTunes
– Cifrado / sin cifrar
• Directamente desde el dispositivo
– Con contraseña de (des)bloqueo
– Herramienta: iExplorer
• Desde un dispositivo con Jailbreak
– SSH + dd
- En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados
10. LIOS #FF: A tool for IOS Forensics
Backup de iTunes: ¿Dónde?
• Windows 7 -> <carpeta usuario>AppDataRoaming
Apple ComputerMobileSyncBackup<UDID>
• Windows XP -> <carpeta usuario>Application Data
RoamingApple ComputerMobileSyncBackup
<UDID>
• Mac OS X -> <carpeta usuario>/Library/Application
Support/MobileSync/Backup/<UDID>
© Todos los derechos reservados
11. LIOS #FF: A tool for IOS Forensics
Herramientas libres
© Todos los derechos reservados
12. LIOS #FF: A tool for IOS Forensics
Backup de iTunes: Ficheros
• Herramientas Necesarias:
–
–
–
–
–
listManifest.py
SQLite Database Browser
PListEdit Pro
Iphone Data Protection
BinaryCookieReader.py
• Status.plist -> Info del último backup
• Info.plist y Manifest.plist -> Info del iDevice: Serial
number, versión de IOS e iTunes, datos de sincronización
(mail, calendarios, contactos,…), apps instaladas
• Manifest.mbdb -> Metadatos de los ficheros del backup
• Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb)
© Todos los derechos reservados
13. LIOS #FF: A tool for IOS Forensics
iPhone Analyzer
© Todos los derechos reservados
14. LIOS #FF: A tool for IOS Forensics
iPhone Backup Analyzer
© Todos los derechos reservados
15. LIOS #FF: A tool for IOS Forensics
iExplorer (Unregistered version)
© Todos los derechos reservados
16. LIOS #FF: A tool for IOS Forensics
iFunBox
© Todos los derechos reservados
17. LIOS #FF: A tool for IOS Forensics
Herramientas comerciales
© Todos los derechos reservados
18. LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
19. LIOS #FF: A tool for IOS Forensics
Ubicación de ficheros importantes
© Todos los derechos reservados
20. LIOS #FF: A tool for IOS Forensics
Acceso directo a sistema de ficheros
• /private/var/mobile/Media/DCIM
– /100Apple -> IMG_*
– /999Apple -> Imágenes anteriores
•
•
•
•
•
•
•
/private/var/mobile/Library/Keyboard/dynamic-text.dat
/private/var/Keychains/key-chain-2.db
/private/var/mobile/Library/Notes/notes.sqlite
/private/var/mobile/Library/SMS/sms.db
/private/var/mobile/Library/Mail/
/private/var/mobile/Library/Maps/History.plist
/private/var/mobile/Media/Recordings
– Recordings.db
– *.m4a
© Todos los derechos reservados
21. LIOS #FF: A tool for IOS Forensics
Acceso directo a sistema de ficheros
•
•
•
•
/private/var/mobile/Library/VoiceMail/
/private/var/mobile/Library/Cookies/cookies.binarycookies
/private/var/mobile/Library/Caches/RecentSearches.plist*
/private/var/mobile/Library/AddressBook/
AddressBook.sqlitedb
• /private/var/Library/CallHistory/call_history.db
• /private/var/Library/Calendar/Calendar.sqlitedb
• /private/var/Library/Caches/locationd/consolidated.db
© Todos los derechos reservados
22. LIOS #FF: A tool for IOS Forensics
Basta ya de chapa...
© Todos los derechos reservados
23. LIOS #FF: A tool for IOS Forensics
LIOS #FF: Lawwait IOS Forensics Framework
• Lenguaje de scripting: Perl
• Inicialmente, herramienta de clasificación de
ficheros de un backup
• Luego, selección de ficheros ‘Juicy’
• Lios_report
– Tratamiento de datos en un periodo de fechas
– Llamadas, SMS, Calendario, Notas, Whatsapp, Line,
Viber, Notas de voz, Safari
– Timeline!!!
© Todos los derechos reservados
24. LIOS #FF: A tool for IOS Forensics
LIOS #FF: Lawwait IOS Forensics Framework
• Problemas encontrados
– EPOCH vs. CFAbsoluteTime
– Cambios en las versiones de IOS
– Nombres de tablas inexistentes en diferentes versiones de Apps
• Roadmap
– Modularidad/Plugins, API
– Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc...
– Compatibilidad con IOS 7
– Integración con otras herramientas
– Recuperación de registros borrados
© Todos los derechos reservados
25. LIOS #FF: A tool for IOS Forensics
No me lo creo... a verlo!
© Todos los derechos reservados
26. LIOS #FF: A tool for IOS Forensics
Conclusiones
• Manipulación ficheros en crudo vs. Herramientas
“homologadas”
• Low cost o home made != Malo
• LIOS:
– Clasificación de ficheros “por tipo”
– Ficheros “jugosos”
– Report:
• Información visual
• Aplicaciones típicas, pero no estándar
• Escalabilidad
• Timeline
© Todos los derechos reservados
27. LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
28. LIOS #FF: A tool for IOS Forensics
Email me: lorenzo@securizame.com
Twitter: @lawwait @securizame @secbydefault
© Todos los derechos reservados