Análisis Forense de Dispositivos iOS – Fase de Adquisición

DragonJAR 336x280 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Continuamos con la serie de artículos sobre análisis forense de dispositivos iOS, con la cual La Comunidad DragonJAR pretende aportar un poco de documentación en español sobre los procedimientos forenses y metodologías necesarias para llevar a cabo el análisis de un dispositivo móvil de Apple con sistema operativo iOS  (iPhone, iPad, iPod Touch, etc…).

Analisis Forense de iOS Análisis Forense de Dispositivos iOS – Fase de Adquisición

En la entrega anterior  de esta serie, comentábamos los procesos con el que se inicia toda investigación forense, la fase en evaluación, en la cual se enumera cada uno de los aspectos previos que debemos seguir (solicitar los permisos, revisar legislación vigente, constituir el de equipo, realizar una evaluación previa y prepararse para la adquisición de pruebas) a la hora de realizar análisis forense de dispositivos iOS.

El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de adquisición, donde debemos iniciar la construcción de la investigación forense, realizar las imágenes de las evidencias digitales y almacenarlas en un lugar que cumpla todas las normativas que tenga el manejo de evidencias en el país donde se lleve a cabo la investigación.

Analisis Forense de iOS 1 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Análisis Forense de Dispositivos iOS – Fase de Adquisición

En esta fase se debe iniciar la investigación,  determinar las herramientas que vamos a utilizar, recopilar los datos, revisar la legislación para el manejo de evidencias y almacenar la evidencia, para ello pasamos por las siguientes etapas:

  • Construcción de la investigación: Debemos iniciar una bitácora, ya sea digital o manuscrita donde documentemos detalladamente toda la información referente  a la investigación, quien realiza una determinada labor y por qué, que intentaba conseguir con esa labor, como la realizó, que herramientas y procedimientos utilizó, todo esto detallado con fechas y horas.
  • Recopilar los datos: Antes de iniciar con la recolección de datos, es recomendable asegurarse que ya se han realizado los respectivos procedimientos para salvaguardar la evidencia física (huellas, rastros de ADN, toma de fotografías, etc… ) para poder realizar ciertos procedimientos con el dispositivo iOS (que no afecta la evidencia si se documenta adecuadamente) y pueden evitarnos algunos dolores de cabeza mas adelante, como por ejemplo desactivar  el bloqueo automático, extraer información básica del dispositivo y activar el modo avión,  después de esto pasamos a realizar una copia (bit a bit) del dispositivo y  firmarla con un hash SHA1 0 MD5, generando de esta forma “el segundo original”, a partir del cual se generaran las copias que se utilizaran en la fase de análisis (con cada una de ellas se debe comprobar que el hash corresponda al del segundo original).
  •  Almacenar y archivar: En esta etapa debemos documentar adecuadamente la evidencia con su correspondiente documento de embalaje y cadena de custodia, la cual debe contener una linea de tiempo donde relacione quien ha accedido a la evidencia, que realizo con ella, por que motivo y a que hora; Después de eso pasamos a archivar dicha evidencia asegurandonos que el lugar donde lo hagamos cumpla con las buenas practicas para conservar la información y la legislación existente sobre el manejo de evidencias digitales. El lugar donde se almacene la evidencia debe contar con una buena seguridad física que evite la manipulación de la evidencia, una jaula de Faraday para almacenar en ella los dispositivos que accedan a redes telefónicas o inalámbricas y una bitácora donde se almacenen los nombres de las personas que después de almacenada, accedan a la evidencia, la cual debe tener la fecha/hora, el tiempo que demoró revisando la evidencia y la fecha/hora en que esta la devuelve si acaso la sacó; La información de esta bitácora debe ser completa, correcta, autentica y convincente, para que en caso de un proceso legal pueda ser admitida en un juzgado.

Análisis Forense de Dispositivos iOS – Fase de Adquisición – Parte técnica

La mayoría de procesos que llevamos a cabo en esta fase de Adquisición, consisten en generar documentos y bitácoras de lo que se va realizando para nutrir tanto el documento de la investigación, como el de la cadena de custodia, solo en la etapa de recolección de datos, hacemos uso de herramientas técnicas para construir las copias bit a bit o “segundos originales”  y firmar con SHA1 o MD5 estas copias, desde las cuales se empezará el proceso de análisis.

A continuación les mostraré  los procedimientos que debemos tener en cuenta antes de realizar la copia bit a bit de un dispositivo iOS y algunos de los métodos que se utilizan para generar estas copias:

Es recomendable desactivar el bloqueo automático de los dispositivos, para evitar digitarlo constantemente, o recuperarlo por otros medios si los desconocemos.

Analisis Forense de iOS 2 Análisis Forense de Dispositivos iOS – Fase de Adquisición

También es recomendable extraer la información básica del dispositivo, por que aunque muchas herramientas forenses lo hacen, no siempre vamos a tenerlas a la mano.

Analisis Forense de iOS 3 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Por ultimo, pero no menos importante, es recomendable poner el dispositivo en modo avión, de esta forma evitamos que se pueda conectar a las redes celulares e inalámbricas.

Analisis Forense de iOS 4 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Lo mas aconsejable es meter el dispositivo en una jaula de Faraday (puedes comprar una muy barata en china o fabricarla tu mismo), para bloquear cualquier señal inalámbrica, esto cobra especial significado en los dispositivos iOS ya que Apple ha puesto a disposición de sus clientes sin costo alguno, una herramienta llamada “Find my iPhone/iPad/iPod” que ademas de geoposicionar el dispositivo, permite enviarle parámetros remotamente, como el de eliminar toda la información que contenga.

Analisis Forense de iOS 5 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Y aunque la información eliminada podría recuperarse, el borrado remoto de la información en un dispositivo como estos, podría entorpecer cualquier investigación forense en la que esté vinculado.

Una vez realizados los procedimientos previos, pasamos a crear la copia bit a bit del dispositivo iOS, este paso podemos hacerlo de 2 formas…

Analisis Forense de iOS 6 Análisis Forense de Dispositivos iOS – Fase de Adquisición

SACANDO IMAGEN BIT A BIT A UN DISPOSITIVO IOS CON DD Y NETCAT

Para sacar la copia bit a bit de un dispositivo iOS sin gastar dinero en el camino, tenemos que contar con un escenario idóneo, este escenario debe cumplir con los siguientes componentes:

  • Que el dispositivo iOS tenga Jailbreak.
  • Que tenga instalado el servidor SSH y netcat o que permita instalarlos.
  • Que el servidor SSH tenga la clave por defecto “alpine” o una clave débil.

La buena noticia es que este escenario es muy común encontrarlo, en especial en países latinos donde la cultura de “pagar por todo” es poco adoptada, si tenemos este escenario podremos proceder a sacar la imagen del dispositivo de la siguiente forma:

Analisis Forense de iOS 7 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Desde la consola de nuestro equipo ponemos a la escucha el netcat en el puerto 9000 (nc -l 9000 | dd of=imageniOS.img) y desde la consola ssh de nuestro dispositivo iOS sacamos la imagen bit a bit y la enviamos a el netcat que esta escuchando en nuestra maquina (dd if=/dev/disk0s2 bs=4096 | nc 192.168.0.10 9000) , de esta forma podemos sacar una copia idéntica de nuestro dispositivo, tal y como lo haríamos si tuviéramos que realizar este procedimiento a un equipo remoto de nuestra red.

Después de un tiempo obtendremos un mensaje como el siguiente:

Analisis Forense de iOS 9 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Indicandonos que la imagen “imageniOS.img” ha sido creada sin problemas y podemos hacer con ella lo que queramos, en mi caso voy a montar esta imagen como una partición mas de mi sistema para ver su contenido:

Analisis Forense de iOS 10 Análisis Forense de Dispositivos iOS – Fase de Adquisición

La imagen generada puede ser tratada con cualquier herramienta forense, pero es recomendable utilizar herramientas pensadas para el análisis de dispositivos iOS (como lo veremos en la próxima entrega) ya que con ellas podremos extraer mas información.

SACANDO IMAGEN BIT A BIT A UN DISPOSITIVO IOS CON UN KIT FORENSE

La otra forma de adquirir una copia bit a bit del dispositivo, es utilizando kits forenses como el Cellebrite UFED, un excelente kit especializado en el análisis de dispositivos móviles, pero debido a su precio no es accesible para muchas personas (incluyendonos), estos kits permiten obtener una copia idéntica de nuestro dispositivo iOS volcando físicamente el contenido de este a una imagen y generando en el camino un informe con todos los archivos que contiene.

Analisis Forense de iOS 8 Análisis Forense de Dispositivos iOS – Fase de Adquisición

Sea cual sea la forma en que adquieres la imagen, debes documentar todos los procesos realizados para adquirirla, generar sus respectivos hash en SHA-1 y MD5 y realizar otra copia del segundo original generado, para pasar a la fase de análisis. Tanto el dispositivo, como su imagen bit a bit (segundo original), deben ser etiquetados y almacenados debidamente como comentábamos anteriormente y todos los procesos realizados, así como los nombres de las personas que lo llevaron a cabo deben estar registrados en la bitácora del caso y en el documento de la cadena de custodia.

Este articulo hace parte de una serie titulada Análisis Forense de Dispositivos iOS, conformada por cuatro entregas:

Nota: La metodologia utilizanda esta basada en el fundamental computer investigation guide for windows traducida por Dino.



Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • @dh4rm4n

    Gracias por el post, esta interesante y me surgió una pregunta. ¿También es posible recuperar información después de restaurar el dispositivo? Teniendo en cuenta que no se tuvieran copias de seguridad.

    Un saludo @dh4rm4n

    • http://www.dragonjar.org DragoN

      Si @dh4rm4n, cuando realizamos una copia bit a bit, se pueden recuperar archivos eliminados, siempre y cuando no realicen un borrado seguro.

  • Monchito

    AMigo una consulta, y porque dicen algunos que aún haciendo un WIPE (borrado seguro) se pueden recuperar todavía los datos, es cierto esto…………… gracias

    • http://www.dragonjar.org DragoN

      depende del tipo de borrado seguro por ejemplo el borrado seguro con 7 pasadas, es utilizado por la misma NSA de los estados unidos….

  • Pingback: Análisis Forense de Dispositivos iOS – Fase de Análisis()

  • Pingback: Análisis Forense de Dispositivos iOS – Fase de Informes()

  • Pingback: Análisis Forense de Dispositivos iOS – Fase de Evaluación()

  • Monchito

    Entonces quiere decir que 7 pasadas es lo mínimo para un borrado seguro…..???

    gracias por tu tiempo

  • Malakai

    Me surgen varias dudas al respecto.

    La primera, más que una duda es un comentario… en modod avión, no podríamos utilizar el WiFi del cacharro en cuestión y por lo tanto no podríamos conectarnos por SSH al mismo y hacer la copia.

    En cuanto al Wipe que hace el find My iPhone, es un borrado seguro? Me gustaría saber que tipo de borrado hace :)

    Interesante artículo!!

    • http://www.dragonjar.org DragoN

      malakai, el modo avion es para transportar la evidencia, cuando se va a realizar la copia segura, se quita la sim card y se habilita el wifi (sin conexion a internet) para extraer los datos por ssh, el wipe de find my iphone no es seguro, pero puede entorpecer la investigacion al requerir recuperar esos datos.

      • Malakai

        Gracias por la aclaración :)

        Qué deberíamos hacer si el dispositivo iOS no tiene hecho el JailBreak? Si lo hiciéramos nosotros, perderíamos la integridad de la prueba, no es así?

        • Malakai

          Me refiero, lógicamente a qué debemos hacer si no disponemos de un Kit tipo CellBrite ¿Hay alguna alternativa SW que se pueda usar?

  • Ricardo

    Hola buen día, antes que nada muy buen post esta muy bien explicado, pero me surge una duda al hacer esta fase.

    Al momento de intentar sacar la imagen bit a bit de mi ipad me dice lo siguiente:

    dd: opening `/dev/disk0s1s1′: Resource busy

    “Puse /dev/disk0s1s1 porque estube buscando y en esa ruta esta mi archivo”.

    Tengo un iPad 2 con iOS 5.0.1(9A405).

    Muchas Gracias.

    • http://www.dragonjar.org DragoN

      es por que esta en uso el disco ricardo, las particiones son las siguentes, te recomiendo copiar la de datos…

      /dev/rdisk0 Contiene todo el disco duro, incluidas todas las particiones
      /dev/rdisk0s1 Es la partición que contiene el firmware del equipo iOS
      /dev/rdisk0s1s1 Es la partición que contiene la raiz del sistema
      /dev/rdisk0s1s2 Es la partición que contiene los datos del usuario y sus aplicaciones

      • Ricardo

        Muchas gracias por la prónta respuesta y muy buena explicación; Lo intentaré en el disco que recomiendas.

        Felicitaciones por la página, contiene muchas cosas interesantes para los que nos interesan estos temas.

        Saludos.

  • walter

    amigos q dispositivos realizan la copia de bit a bit a parte de las q menciona y los procedimientos.

  • Chucho

    Estuve mirando, excelente post, pero con netcat no me funciono. Para esto lo solucione por medio del siguiente comando:

    ssh user@iphoneip dd if=/dev/rdisk0 bs=1M | dd of=iphone.img

    luego ingreso la contraseña para el usuario del iphone y ya esta

  • Tito Peña

    Hola amigo, desde Perú, Quisiera que me apoyes disipando algunas dudas, tengo un equipo Cellebrite UFED, y el gran problema es que no reconoce muchos de los modelos de celulares sobre todo los de procedencia china, aun más algunos modelos bastantes antiguos tampoco los reconoce, he probado actualizando el software pero la verdad no tengo los resultados como quisiera, quisiera que me digas si Cellebrite tiene otras versiones o acudiendo a tu experiencia me indiques que otro equipo muy bueno para este trabajo; una vez me comentarion de un software isreali pero la verdad no recuerdo el nombre. de antemano muchas gracias.