La Comunidad DragonJAR » Informática Forense

DEFT (Digital Evidence & Forensic Toolkit)

DragoN — Tue, 24 Jan 2012 02:22:52 +0000

DEFT (Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Ubuntu con kernel 3.0.0-12, muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware.

DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años (puedes verlo tú mismo desde la entrada que creamos cuando solo estaba en su versión 3), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DEFT Extra.

DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DEFT Extra un conjunto de herramientas gratuitas para análisis forense en entornos Windows.

En DEFT podemos encontrar las siguientes herramientas para realizar Análisis Forense:

sleuthkit, collection of UNIX-based command line tools that allow you to investigate a computer
autopsy, graphical interface to the command line digital investigation tools in The Sleuth Kit
DFF
dhash, multi hash tool
aff lib, advanced forensic format
disk utility, a partition manager tool
guymager, a fast and most user friendly forensic imager
dd rescue, copy data from one file or block device to another
dcfldd, copy data from one file or block device to another with more functions
dc3dd, patched version of GNU dd to include a number of features useful for computer forensics
Xmount, convert on-the-fly between multiple input and output hard disk image types
foremost, c onsole program to recover files based on their headers, footers, and internal data structures
photorec, easy carving tool
mount manager, advanced and user friendly mount manager
scalpel, carving tool
wipe
hex dump, combined hex and ascii dump of any file
outguess , a stegano tool
ophcrack, Windows password recovery
Xplico DEFT edition, advanced network analyzer
Wireshark, network sniffer
ettercap, network sniffer
nmap, the best network scanner
dmraid, discover software RAID devices
testdisk, tool to recover damaged partitions
ghex, light gtk hex editor
vinetto, tool to examine Thumbs.db files
trID DEFT edition, tool to identify file types from their binary signatures
readpst , a tools to read ms-Outlook pst files
chkrootkit, Checks for signs of rootkits on the local system
rkhunter, rootkit, backdoor, sniffer and exploit scanner
john the ripper password cracker
catfish, file search
galletta
pasco
md5sum, sha1sum, sha224sum, sha256sum, sha512sum
md5deep, sha1deep, sha256deep
skype log view, skype chat conversation viewer
Xnview, viewer graphics, picture and photo files
IE, Mozilla, Opera and Chrome cache viewer
IE, Mozilla, Opera and Chrome history viewer
Index.dat file analyzer
pdfcrack, cracking tool
fcrackzip, cracking tool
clam, antivirus
mc, UNIX file manager

Y en el DEFT extra contamos con el siguiente listado de herramientas para análisis de entornos Windows:

WinAudit
MiTeC Windows Registry Recovery
Zeroview
FTK Imager
Nigilant32
Windows Forensic Toolchest
MoonSols Win32dd
MoonSols Win64dd
Windows File Analyzer
UltraSearch
Pre-Search
XnView
X-AgentRansackk 2010 (build 762)
Index.dat Analyzer
AccessEnum
Autoruns
DiskView
Filemon
Process eXPlorer
RAM Map
Regmon
Rootkit Revealer
VMMap
WinObj
AlternateStreamView
ChromeCacheView
CurrPorts x86 e x64
CurrProcess
FoldersReport
IE Cache View
IE Cookie View
IE History View
Inside Clipboard
Live Contacts View
Mozilla Cache View
Mozilla History View
MUI Cache View
MyEventView
MyLastSearch
Mozilla Cookie View
Opened File View
Opera Cache View
Outlook Attack View x86 e x64
Process Activity View x86 e x64
Recent File View
Regscanner x86, x64 e win98
ServiWin
SkypeLogView
SmartSniff x86 e x64
StartupRun
USBdeview x86 e x64
User Assist View
User Profile View
Video Cache View
WhatInStartup
WinPerfectView
Password Tool
ChromePass
Dialupass
IE PassView
LSA Secrets Dump x86 e x64
LSA Secrets View x86 e x64
Mail PassView
MessenPas
Network PassRecovery x86 e x64
Opera PassView
PasswordFOX
PC AnyPass
Protected Pass View
PST Password
Remote Desktop PassView
VNC PassView
Win9x Passview
WirelessKeyView x86 e x64
AViScreen Portable
Hoverdesk
File Restore Plus
WinVNC
TreeSizeFree
PCTime
LTFViewer
Sophos Anti-Rootkit
Terminal with tools command line
Spartakus
Testdisk
Photorec

Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (IT – manuale completo – IT – manuale senza le appendici)

Como novedad en DEFT 7RC1 version previa a la 7.0 Final, han añadido una excelente herramienta que nos permite sacar una completa línea de tiempo, parseando los logs del sistema y ordenándolos para una fácil comprensión, esta herramienta se llama log2timeline y promete ahorrarnos mucho tiempo en la creación de nuestra línea de tiempo.

Descargar la última versión de DEFT

Mas Información:
Pagina oficial de DEFT (Digital Evidence & Forensic Toolkit)

También puede interesarte...

Backtrack 5 Tutorial / Curso en Español

DragoN — Wed, 07 Dec 2011 05:34:15 +0000

Backtrack 5 Tutorial, gracias a p0pc0rninj4 usuario de nuestra comunidad, me entero de una iniciativa de la OMHE (Organización Mexicana de Hackers Éticos) dirigida por Héctor López en la que pretenden documentar las funcionalidades del nuevo Backtrack 5 en español y por medio de video tutoriales.

Backtrack 5 Tutorial, los video tutoriales son bastante claros y muy introductorios para quienes desean aprender a manejar esta excelente distribución enfocada en la seguridad informática.

De momento se han publicado algunos Backtrack 5 Tutorial, video tutoriales del Curso Backtrack 5 Online en español, mostrando las herramientas, algunos conceptos básicos y con cada actualización el nivel se irá incrementando.

En este capítulo 1 de Backtrack 5 Tutorial veremos:

Básicos de Linux
Backtrack 5 Tool Overview
Networking
VMware
Armitage Setup Postgresql

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 2 de Backtrack 5 Tutorial veremos:

Linux Networking (ifconfig,dhclient,arp,route)
Whois, DNS,Zenmap (Obtener objetivos)
Google Hacking
Wireshark para puertos conocidos (80,21,22,23,443)

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 3 de Backtrack 5 Tutorial veremos:

Wireshark para puertos conocidos (80,21,22,23,443)
NMap varios. -sS -Pn

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 4 de Backtrack 5 Tutorial veremos:

IP’s y puertos
Sockets
Netcat
Cryptcat
Ncat

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 5 de Backtrack 5 Tutorial veremos:

Exploit
Payload
Shell
Metasploit
Metasploitable

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 6 de Backtrack 5 Tutorial veremos:

Defensa
Buscador de rootkits
Malware Tricks

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 7 de Backtrack 5 Tutorial veremos:

Malware
Trojans
Bind & Reverse
Procesos y Memoria
Rootkit DEMO

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 8 de Backtrack 5 Tutorial veremos:

SET
Reverse Meterpreter
Bypass Antivirus
Invisibilidad de un backdoor

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

En este capítulo 9 de Backtrack 5 Tutorial veremos:

Evilgrade
Dual ARP spoofing, el truco .sh
Whireshark analisis de DNS

Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil

Tan pronto publiquen nuevos Backtrack 5 Tutorial, actualizaré esta entrada.

Mas Información de los Backtrack 5 Tutorial:
Anuncio de p0pc0rninj4 en nuestra comunidad
Anuncio en la pagina de la OMHE

También puede interesarte...

Reto Forense Digital Sudamericano – Resultados

DragoN — Sun, 04 Dec 2011 02:37:44 +0000

Acaban de salir los resultados del I Reto Forense Digital Sudamericano, arrojando como ganadores al Colombiano Daniel Correa (creador de sinfocol.org) y el Peruano Henry Sánchez, miembros del equipo Null Life, los dejo con los informes de los 3 primeros puestos en este Reto Forense Suramericano.

Primer Puesto : Henry Sánchez – Daniel Correa – Perú / Colombia – Informe Ejecutivo – Informe Técnico
Segundo Puesto : Raúl A. Iriberri – Argentina – Informe Ejecutivo – Informe Técnico
Tercer Puesto : Gabriel Lazo Canazas – Roberto Contreras Diestra – Carlos Luis Vidal – Michael Ocrospoma Heraud – Perú Informe Ejecutivo – Informe Técnico

Felicitamos a los ganadores por el buen trabajo realizado, seguramente estos informes servirán de guía a muchas personas que quieran entrar al mundo del análisis forense digital!!!La ISSA (Information Systems Security Association), ha publicado su primer reto forense digital sudamericano, con el que se pretende poner a prueba las habilidades de los analistas forenses en Sur América y fomentar aun mas esta área de la seguridad informática en nuestro idioma.

El funcionamiento es igual que el de nuestro retos forenses, a los analistas se les proporcionarán las imágenes de un sistema comprometido y deberán analizarlas para descubrir qué pasó en estos sistemas, luego generar los informes correspondientes, en este reto en particular se fomenta el trabajo en equipo, por lo que la participación puede ser en grupos de 3 o 4 personas máximo, o si prefieres puedes presentarlo individual.

El escenario de este reto forense es el siguiente:

Un usuario con un dudoso nivel de conciencia de seguridad, se ha percatado que el computador que le han sido asignado en la empresa donde trabaja, está más lento que de costumbre e inclusive aparecen y desaparecen mensajes, sin que él sepa qué o quién los está enviando, por lo que sospecha de algún ingreso no autorizado o virus del que desconoce el alcance.
Según el usuario, hasta el momento no ha tenido problemas de virus informáticos, él recibió un correo electrónico de un Busca Talentos, promocionando una oportunidad laboral, el usuario comenta que sólo quería descargar la información y llenar los datos de su hoja de vida para aprovechar la oportunidad laboral que se le había presentado.
Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió, el alcance del daño al sistema, que información contenía en él y si el intruso pudo recuperar la información de forma completa o parcial

Las reglas del reto forense

Para el análisis del reto forense puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado.
Es posible participar en el reto forense formando un grupo, en cuyo caso, el premio será compartido.
Los resultados del reto forense deben enviarse en formatos que sean sencillos y rápidos de manejar como PDF y DOC. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc.
Se deben enviar los siguientes archivos del reto forense:
Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente:
Motivos de la intrusión.
Resultados del análisis.
Recomendaciones.
Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.
Los resultados podrán entregarse hasta las 23:59 horas del día 19 de Noviembre de 2011 (GMT -5) [Hora Perú], momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm.
Los análisis deben enviarse a la dirección retoforense@issaperu.org
Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional.
Los ganadores se darán a conocer el 30 de Noviembre de 2011.

Los informes del Reto Forense serán revisados por un excelente grupo de profesionales que servirán de jurado para esta edición del reto, como podemos ver en la siguiente lista:

Claudio Caracciolo – Presidente de ISSA Argentina.
Mateo Martínez – Presidente de ISSA Uruguay
Gabriel Bergel – Presidente de ISSA Chile
George Proeller – Presidente de ISSA Colombia
Alonso Caballero Quezada, Consultor – Perú
Jessica Echenique Montero, CISA, CISM – Perú
Vicente Mostos, CEH, Fundador de Hackplayers – España

Los ganadores del reto forense serán elegidos de entre los mejores informes y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ningún tipo).

¿Que deben contener los informes Ejecutivo/Técnico?

Resumen Ejecutivo (no técnico)
Resumen con una explicación no técnica, con lenguaje común, sobre lo ocurrido en el sistema analizado. De 3 a 5 páginas, donde se describa lo siguiente:
Motivos de la intrusión.
Desarrollo de la intrusión
Resultados del análisis.
Recomendaciones.
Informe Técnico
Debe describir con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.
Puntos a cubrir en el informe técnico del reto forense
Antecedentes del incidente
Recolección de los datos
Descripción de la evidencia
Entorno del análisis
Descripción de las herramientas
Análisis de la evidencia
Información del sistema analizado
Características del SO
Aplicaciones
Servicios
Vulnerabilidades
Metodología
Descripción de los hallazgos
Huellas de la intrusión
Herramientas usadas por el atacante
Alcance de la intrusión
El origen del ataque
Análisis de artefactos
Cronología de la intrusión
Conclusiones
Recomendaciones específicas
Referencias
Es importante recordar que las condiciones de entrega de los reportes para el reto forense, están definidas en la sección Políticas de Participación, donde se destaca la necesidad de sellar los archivos que sean entregados para la evaluación.

Imagen del equipo comprometido

Se ha liberado la imagen para el reto forense: I Reto Forense Digital Sudamericano – Perú Chavín de Huantar, la cual puede descargarse desde:

Descarga Oficial de Imagen para I Reto Forense Digital Sudamericano

Mirror de La Comunidad DragonJAR

Comprimida: CRC32: 510332A3 – MD5: EE0AA06A7966A64AE62FB24DD053B6D2 – SHA-1: 0B541F77CE6B1816ED2FA3F4A7B0131E85177D7F

Descomprimida: CRC32: 374F2D6E – MD5: A1DCD1405BFC72AE614A4E29D2FBD431 – SHA-1: 3EC009BE85274C699CE01EC2D7B9F2681B30D08B

Si deseas descargar la imagen para el reto forense por partes de 512MB:

Parte 1: MD5 833ae32d2e2cda3e2a5a5246eaa729c2be0f2bf7 – SHA1 3fe5f882726e057e614449c448b76995
Parte 2: MD5 5db1630e972eb8d9dd2c3afb0a7976c8ea4e12ac – SHA1 a7001c9b8201708372f947e0f50aa5af
Parte 3: MD5 181f889dbb13df08b03e5ee6fd71a4ead5c72219 – SHA1 d113998ad901a0cae92688d6e5f1f7eb
Parte 4: MD5 14eadfbedfd72de998157af03dc7747ce1c24d4c – SHA1 40437df0b0e6c9bec869452559075858
Parte 5: MD5 cb58069d460ed20d2e3e42ccd57d6e0b3d33a251 – SHA1 41175d460fcdc7f5ae909d205f4f9be7
Parte 6: MD5 9903556b4b519799e16d6c2b76f9cf589eb4c59d – SHA1 3745e336aa7291e2742eebba326112da
Parte 7: MD5 85a5a89ef3c73ecff701fd20e2e0303e4ce188fd – SHA1 57f436d0cfb128326f6ff019a2778c5b

Mas información en la pagina oficial del reto forense digital sudamericano.

También puede interesarte...

Analiza un iPad y GANATELO!!!

Nuestros Retos Forenses

DragoN — Wed, 28 Sep 2011 05:33:28 +0000

ACTUALIZADO: Hemos vuelto a subir los retos y he añadido alguna información sobre el Reto Forense Campus Party Colombia 2011 (lo que se podía) y sobre el reto forense realizado en la ekoparty 2011 en Argentina.

En la comunidad desde hace un tiempo, hemos estado publicando una serie de retos forenses, los cuales han tenido gran acogida entre nuestros visitantes y miembros, realizamos retos para nuestra Comunidad, la Campus Party Colombia y la EKOparty en Argentina, pero algunos de las imágenes publicadas en servicios de alojamientos de archivos han dejado de funcionar, razón por la que muchas personas me pidan al correo que vuelva a subir las mismas.

La razón de este post no es solo enumerar nuestros retos publicados, sino anunciar que se han vuelto a subir todas las imágenes para que puedan ser descargadas y usadas como objeto de estudio en sus procesos de aprendizaje.

Primer Reto Forense de La Comunidad DragonJAR

Primera versión de nuestro reto forense, totalmente online y con gran cantidad de participantes, un puno de partida para muchas personas que querían empezar con el tema forense dentro de nuestra comunidad, logrando motivar a muchos a estudíar esta rama de la seguridad informática.

Segundo Reto Forense de La Comunidad DragonJAR

Reto exclusivo en primera instancia para los asistentes a la Campus Party Colombia 2010 y evento principal de la nueva zona de “Seguridad”, después publicado para resolver de forma online.

Aprovecho para anunciar que desde ya estamos confirmados para realizar el reto forense de La Campus Party Colombia 2011…. prepárate

Tercer Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2010, donde fuimos un poco mas allá y creamos toda una escena del crimen para que los analistas (quienes tenían solo día y medio para resolver el reto), pusieran a prueba sus habilidades en un entorno mucho mas realista, esto llamo mucho la atención de los asistentes y participantes quienes quedaron muy satisfechos con este reto.

Cuarto Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la Campus Party 2011, donde se puso a prueba la pericia de los investigadores forenses, para testear sus habilidades en un entorno mucho mas realista, combinando el análisis forense en entornos windows, con el backup de un teléfono con sistema operativo iOS clave para resolver el caso, el premio para este reto fue un computador valorado en 3000USD por lo que la participación fue muy buena y los informes también.

A petición de la organización de la Campus Party Colombia, este reto forense fué exclusivo para este evento, por tanto no publicaremos las imágenes, lo que si podemos publicar son los slides de presentación y premiación que realizamos para esa ocasión.

PD. Si alguien tiene fotos de la premiación, que las publique en los comentarios…

Quinto Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2011, donde fuimos un poco mas allá y creamos un ecosistema de contenidos (charla, workshop y reto) para que las personas aprendieran a realizar un análisis forense a un dispositivo con sistema iOS, generando así mas documentación en español sobre el análisis de estos dispositivos que poco a poco van formando parte esencial del día a día de muchas personas.

También puede interesarte...

Analiza un iPad y GANATELO!!!

DragoN — Sun, 25 Sep 2011 05:00:00 +0000

Este año en la ekoparty, tendré el gusto de realizar varias actividades para los asistentes, una charla, un taller y un reto sobre análisis forense de dispositivos iOS, gracias a los organizadores de la eko, podré hacer un reto forense que quería hace algún tiempo, donde se planearía el análisis a algún dispositivo “poco convencional” como un XBox, Wii, PSP, etc.. con el titulo “Analiza un XX y Gánatelo”, donde XX seria el dispositivo a analizar y a su vez el premio.

Hoy les presento el reto “Analiza un iPad y Ganatelo”, el nuevo reto forense que se realizará durante la ekoparty y que pretende poner a prueba los conocimientos forenses de los analistas, a la hora de examinar un dispositivo con sistema operativo iOS de Apple.

ESCENARIO PLANTEADO

Diego Armando Quintero, un estudiante de Ingeniería de Sistemas de la Universidad de Manizales, Colombia, lleva 3 días desaparecido, sus familiares desconocen su paradero y temen lo peor ya que el grado para obtener el titulo como ingeniero de sistemas se realizó hace 2 días y siguen sin tener noticias de él.

Julian Quintero, mientras buscaba el paradero de su hermano, recibió una llamada de un amigo, en la que le avisaba que había visto el iPad que su hermano Diego se había ganado en un concurso universitario, en una casa de empeño, el cual pudo identificar fácilmente ya que tenia un sticker de la comunidad DragonJAR y un trozo de velcro en su parte posterior.

Este iPad es la única pista que tiene la familia Quintero, para saber lo sucedido con Diego Armando, y el resultado de su análisis es de vital importancia para resolver este caso.

OBJETIVO DEL RETO

El objetivo de este reto, es realizar el análisis forense al iPad encontrado en la casa de empeño; Para ello se entrega una imagen del sistema iOS, la cual debe ser analizada y resolver los siguientes puntos.

Determinar si Diego Armando Quintero se suicido, lo secuestraron, lo asesinaron, lo robaron o si su desaparición es voluntaria.
Si fue un suicidio, identificar las causas que hicieron que Diego Armando, se suicidara.
Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato.
Dar una ubicación aproximada del cuerpo de Diego Armando, si se suicido o fue asesinado.
Si fue un robo determinar donde se realizó y quienes lo cometieron.
Si su desaparición fue voluntaria, determinar los motivos de esta y la razón por la que no asistió a su grado.
Determinar como llego el iPad a la casa de empeño.

Al tratarse de un reto diseñado para ser resuelto en un máximo de 3 días (duración de la EKO Party), no se pedirán informes ejecutivos y solo se debe entregar un informe técnico detallado que respalde las respuestas a las preguntas planteadas, el cual tendrá una calificación máxima de 100 puntos, distribuidos de la siguiente forma:

30 Puntos – Metodología, Procedimiento y Documentación
30 Puntos – Evidencia y Correlación con el Caso
20 Tiempo de Entrega (el primero 20 puntos y a los siguientes se les restara de a 5 puntos, según el orden de llegada)
20 Puntos – Extras (para las personas que realizaron algo más de lo que nosotros solicitábamos, que aporte a la investigación)

NOTA IMPORTANTE: El archivo entregado a los analistas corresponde a una copia logica de la raiz del sistema iOS que contiene el iPad, ya que por motivos logisticos y de distribucion, se decidío no hacer una copia bit a bit del dispositivo (con un tamaño de 16GB), pero el analista debe trabajar con ella como si de una copia bit a bit se tratara, conservando adecuadamente la cadena de custodia.

La imagen del reto, la podrás descargar del siguiente enlace y la clave la daremos a la hora de presentar el reto en la EKO Party

Descargar imagen (1.07GB ) del reto “Analiza un iPad y GANATELO!!!” de la ekoparty 2011 – Mirror fileserve Descarga directa (lento)

Analiza1iPad.zip (Hash de MD5: 09b992b05d9343bcead8320ffebda5c4 Hash SHA1: 7f8a2405cba66c958ce7d405e5696d5327831dac)

Diego Armando.zip (Hash de MD5: ff05c2d92ddf0a0547a821c66a264471 Hash SHA1: df39d4ad1284b313003073341572e8b0742104b0)

CLAVE
La clave del reto forense de la comunidad dragonjar para la ekoparty 2011 es:

iniciaelretoforensedelaeko

TIEMPOS DE ENTREGA

~~El reto inicia el día 21 de Septiembre desde el anuncio realizado y el tiempo de entrega máximo del informe técnico, es hasta el día viernes, 23 de septiembre, a las 11:00AM.~~

RESULTADOS DEL RETO FORENSE DE LA EKOPARTY 2011

Los mejores 5 informes fueron realizados por:

y el ganador de este año fué….Facundo Guzmán

Aqui la tabla de calificaciones:

Solo se reciben informes al correo forense@ekoparty.org y los tiempos de entrega, serán los mismos de llegada en la bandeja de este correo.

PD. mil gracias a golmatt por las fotos realizadas en la #ekoparty, como siempre las mejores del evento…

También puede interesarte...

Análisis Forense de Dispositivos iOS

DragoN — Sat, 24 Sep 2011 11:58:58 +0000

Charla sobre Análisis Forense de Dispositivos iOS (Apple) realizada durante la ekoparty 2011, también puedes descargar las diapositivas del workshop sobre el mismo tema también realizado en el transcurso de la ekoparty 2011.

Descargar diapositivas Charla

La información de esta charla, puede ampliarla en la siguiente serie de artículos titulada Análisis Forense de Dispositivos iOS:

También puede interesarte...

Taller Gratuito, Análisis Forense de Dispositivos iOS

DragoN — Thu, 22 Sep 2011 15:48:59 +0000

Para que no tengas excusa y participes en el concurso Analiza un iPad y GANATELO!!!, en la ekoparty realizaremos también un taller gratuito, altamente practico de capacitación en análisis forense de dispositivos iOS.

Esta capacitación se realizará el primer día de la ekoparty y si quieres participar en ella es recomendable que lleves los siguientes implementos:

Tu propio equipo portátil y algún dispositivo iOS (iPhone, iPad, iPod Touch)
Si no puedes traerte un dispositivo iOS de Apple, puedes conseguirte almenos un backup de alguien que tenga uno

Mac OS X: ~/Library/Application Support/MobileSync/Backup/
Windows XP: \Documents and Settings\(usuario)\Application Data\Apple Computer\MobileSync\Backup\
Windows Vista y Windows 7: \Users\(usuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\
Si no puedes conseguir ni un dispositivo, ni un backup, te proporcionaremos uno para que trabajes

Recomendamos el sistema operativo Windows para este taller, ya sea nativo o emulado (ya que muchas herramientas están hechas para él)s
Descarga una versión de prueba de Oxygen Forensic Suite 2011
Descargar Oxygen Forensic Plist Viewer
Descargar un cliente SQLite a gusto personal [SQLitebrowser - SQLiteman -SQLite Manager (Plugin de Firefox)]
Si vas a trabajar con tu dispositivo, bajate el Phone Disk (instala desde cydia la aplicación afc2add)

Cualquier duda que tengas, puedes dejarla en los comentarios o por twitter @dragonjar y con gusto la contestaré

Diapositivas del Workshop sobre Análisis Forense de Dispositivos iOS

Descargar Diapositivas del Taller

También puede interesarte...

Análisis Forense de Dispositivos iOS – Fase de Informes

DragoN — Fri, 16 Sep 2011 04:23:58 +0000

Esta es la ultima entrega de la serie “Análisis Forense de Dispositivos iOS”, una iniciativa de La Comunidad DragonJAR que pretende aportar un poco de documentación en español sobre las metodologías y procedimientos forenses necesarios para llevar a cabo el análisis de un dispositivo móvil con sistema operativo iOS de Apple (iPhone, iPad, iPod Touch, etc…).

En la entrega anterior de esta serie, comentábamos los procesos de análisis, se enumeraron algunos de los archivos mas importantes de los cuales podemos extraer información útil para nuestra investigación, también vimos el funcionamiento de las herramientas que permiten automatizar estos procesos y algunas herramientas adicionales que nos pueden ayudar en estos procesos.

El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de informes, en la cual debemos generar los informes que sustenten toda nuestra investigación, el producto final de un análisis forense son los informes tanto ejecutivo (con lenguaje común que explican puntualmente lo sucedido) como técnico (donde se detalla técnicamente los procesos realizados de tal forma que cualquiera pueda replicarlos), recordemos que en nuestra tarea como analistas no es realizar acusaciones, ya que esta es la tarea de los jueces o en su defecto de la persona que contrató el análisis, solo debemos proporcionar toda la información necesaria para puedan tomar una decisión acertada.

Análisis Forense de Dispositivos iOS – Fase de Informes

En esta fase se debe iniciar la organización de la información, para poder escribir los informes que sustentarán las pruebas en un proceso legal, para esto básicamente debemos tener en cuenta los siguientes pasos:

Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el.
Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros:

Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.
Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario.
Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió.
Pruebas: Debes proporción una descripción de las pruebas adquiridas durante la investigación, las evidencias, cómo fueron adquiridas y quien las adquirió.
Detalles: Debemos proporcionar una descripción detallada de lo que se analizó, los métodos que se utilizaron, explicar los resultados del análisis, listar los procedimientos que se llevaron a cabo durante la investigación y las técnicas de análisis que se utilizaron, también se deben incluir pruebas de sus resultados, los informes de servicios y las entradas de registro/logs del sistema.
Justificar: Cada conclusión que se extrae del análisis debe estar justificada, debemos adjuntar documentos justificativos que incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como documentos que describen los procedimientos de investigación de equipos usados, panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tanto como sea posible.
Conclusión: Las conclusiones deben ser lo más claras posibles y sin ambigüedades, en ellas debemos resumir los resultados de la investigación, debemos ser específicos y citar pruebas concretas para demostrar las conclusiones, pero sin dar muchos detalles sobre ellos para no ser redundantes (ya que esta información esta en la sección “Detalles”).
Glosario: Se debe considerar la creación de un glosario de términos utilizados en el informe, este glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez, jurado debe revisar los documentos.

El informe ejecutivo: Debe ser claro, conciso y no debe contener lenguaje técnico, por el contrario debe ser escrito para la gente del común ya que por lo general va dirigido a gerentes, jueces que poco están relacionados con la informática en general y los términos ingenieriles que solemos utilizar.
El informe técnico: Este informe contrario al informe ejecutivo, va dirigido por lo general al departamento de sistemas u otros investigadores forense, por tanto debemos detallar todos los procedimientos realizados, debemos utilizar información técnica que permita a cualquier persona que siga esos pasos conseguir los mismos resultados que conseguimos nosotros.

Análisis Forense de Dispositivos iOS – Fase de Informes – Parte técnica

Los procedimientos realizados en la etapa de informes, son tramites que poco tienen que ver con procesos técnicos, sino mas bien documentales, debemos recopilar y organizar la información para después escribir los informes requeridos; Realizar estos informes por primera vez es algo laborioso, por eso siempre es bueno contar con documentos de referencia para realizar nuestros informes y tener una base sobre la cual partir en vez de empezar de cero.

Por tal motivo les dejo algunas buenos informes forenses de nuestros pasados retos, para que te bases en ellos y generar los tuyos, te recomiendo leerlos todos ya que se complementan entre si y puedes sacar una idea mas general de como presentar los informes de un análisis forense:

Informes de nuestro primer reto sobre análisis forense:

Primer puesto: Javi G. (descargar informes)
Segundo puesto: Mario Alfonso Riaño (descargar informes)

Informes de nuestro segundo reto sobre análisis forense:

Primer puesto: Duvan Gallego y Raúl Chavarría (descargar informes)

Informes de nuestro tercer reto sobre análisis forense:

Primer puesto: Facundo Guzmán (descargar informes)
Segundo puesto: Oscar Ruiz (descargar informes)

Los informes del tercer reto forense realizado por la RedIRIS (España) y UNAM-CERT (México) no tienen ningún pierde y representan una buena referencia para aprender a realizar un informe forense.

Lugar	Nombre(s)	Reporte Ejecutivo	Reporte Técnico	País
1	Germán Martín Boizas	r3_ejecutivo1.pdf	r3_tecnico1.pdf	España
2	José Antonio Valero	r3_ejecutivo2.doc	r3_tecnico2.doc	España
3	Juan Ángel Hurtado	r3_ejecutivo3.pdf	r3_tecnico3.pdf	México
4	Fernando Gozalo	r3_ejecutivo4.pdf	r3_tecnico4.pdf	España
5	Juan Garrido Caballero	r3_ejecutivo5.pdf	r3_tecnico5.pdf	España
6	José Salvador González	r3_ejecutivo6.pdf	r3_tecnico6.pdf	México
7	Hugo Eduardo Escobedo	r3_ejecutivo7.doc	r3_tecnico7.doc	México
8	Rubén Recabarrén Rossana Ludeña Leandro Leoncini	r3_ejecutivo8.doc	r3_tecnico8.doc	Vene

Los informes de nuestro cuarto reto realizado para la Campus Party Colombia 2011, no se publicarán vía web (a petición de la CP), nuestro cuarto reto forense llamado “Analiza un iPad y GANATELO” lo realizaremos en el transcurso de la EKOParty 2011 y los analistas se enfrentarán precisamente al Análisis Forense de Dispositivos iOS para ganar un iPad, si deseas participar en este reto y no sabes nada sobre forense en iOS, tendremos también un workshop sobre esta temática de forma gratuita, para tener una buena cantidad de participantes en nuestro reto.

Este articulo hace parte de una serie titulada Análisis Forense de Dispositivos iOS, conformada por cuatro entregas:

También puede interesarte...

Análisis Forense de Dispositivos iOS – Fase de Análisis

DragoN — Tue, 13 Sep 2011 22:50:33 +0000

La serie de artículos sobre análisis forense de dispositivos iOS, es una iniciativa de La Comunidad DragonJAR que pretende aportar un poco de documentación en español sobre las metodologías y procedimientos forenses necesarios para llevar a cabo el análisis de un dispositivo móvil con sistema operativo iOS de Apple (iPhone, iPad, iPod Touch, etc…).

En la entrega anterior de esta serie, comentábamos los procesos de adquisición, en los cuales dábamos inicio formalmente a la investigación, se crearon los segundos originales, realizando la copia bit a bit de los dispositivos a analizar, también iniciamos la documentación donde se registran todos los procedimientos realizados en cada una de las etapas y por cada una de las personas que las lleven a cabo, ademas se realizó el etiquetado y archivado de la evidencia.

El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de análisis, en la cual debemos extraer toda la información que podamos de los segundos originales, para luego relacionarla con el caso y poder brindar los datos necesarios para que un juez o la persona quien encargó el análisis, tome las respectivas acciones con base en ellos.

Análisis Forense de Dispositivos iOS – Fase de Análisis

En esta fase se debe iniciar el análisis de los dispositivos, para llevar a cabo esta labor, definiremos los objetivos y criterios de búsqueda a utilizar para dar con la información que necesitamos, utilizaremos una copia del segundo original generado previamente y una vez comprobada (determinar si los hash corresponden al segundo original) analizaremos sus archivos para extraer y relacionar la información que nos permita cumplir con los objetivos planteados, las etapas de este paso son:

Análisis de datos de la red: Normalmente cuando realizamos una investigación donde están relacionados equipos de computo, lo primero que hacemos en la fase de análisis es identificar los dispositivos de defensa (IDS, IPS, Firewall, Proxy, etc…) y de comunicación que se encuentran en la red, ya que normalmente al recuperar sus logs y relancionarlos con el equipo que estamos analizando, podemos obtener una buena cantidad de información sobre el comportamiento de ese equipo en la red donde se encuentra. Pero cuando tratamos con dispositivos móviles el escenario es muy diferente, ya que por lo general ellos cuentan con su propia red de datos o se conectan a distintas redes según donde se encuentren y en la mayoría de casos, las redes a las que se conectan, no cuentan con alguna implementación de defensa a la cual sacarle logs.
Análisis los datos host: Utilizando una copia de su segundo original, procesamos la información obtenida de cada sistema adquirido, de la lectura de las Aplicaciones, logs y las configuraciones propias del iOS, (esto se puede hacer manualmente o con herramientas automatizadas). En cada caso esta etapa debe estar limitada a los parámetros y criterios de búsquedas definidos inicialmente para nuestro caso, ya que la información encontrada en estos dispositivo, suele ser extensa y puede complicar el análisis de datos si no definimos previamente lo que estamos buscando.
Análisis los medios de almacenamiento: Al analizar los medios de almacenamiento (en modo de solo lectura para evitar alterar la evidencia), debemos determinar si los archivos no tienen algún tipo de cifrado, es recomendable crear una estructura de Directorios y Archivos recuperados para ubicar fácilmente los datos, estudiar los Metadatos en especial las fechas de creación, actualización, acceso, modificación, que nos pueden ayudar a determinar una linea de tiempo a evidencia debe ser cargada de solo lectura.

Análisis Forense de Dispositivos iOS – Fase de Análisis – Parte técnica

La mayoría de procesos que llevamos a cabo en esta fase de análisis, consisten en parsear información que se encuentra almacenada en los dispositivos iOS, ya que por defecto estos dispositivos no utilizan ningún tipo de cifrado en sus archivos y casi toda la información que necesitamos esta asequible por medio de un cliente para sqlite o en archivos .plist, existen varias herramientas que permiten sacar la información mas relevante de nuestro dispositivo iOS, convirtiendo la información que se encuentra en los archivos mencionados, para que los podamos visualizar mas fácilmente, en este articulo veremos como hacer este proceso manualmente y como se lleva a cabo utilizando herramientas.

A continuación les mostraré las rutas y archivos mas relevante para un análisis forense y como podemos extraer de ellos la información que nos interesa para llevar a un feliz termino nuestro análisis forense en un dispositivo iOS:

Applications: Es un enlace simbólico a -> /var/stash/Applications.pwn
Developer: Esta vacío
Library: Como en cualquier sistema Mac OS X, contiene los plugins, configuraciones, etc..
System: Contiene las preferencias del sistema y del dispositivo
User: Es un enlace simbólico a -> /var/mobile
bin: Contiene los ejecutables del sistema
boot: Esta vacío
cores: Esta vacío
dev: Esta vacío
etc: Es un enlace simbólico a -> private/etc/
lib: Esta vacío
mnt: Esta vacío
private: Contiene los directories etc y var (aquí encontraremos los archivos fstab, passwd y muchos mas)
sbin: Contiene los ejecutables del sistema
tmp: Es un enlace simbólico a -> private/var/tmp/
usr: Contiene los datos de zona horaria y ejecutables del sistema
var: Es un enlace simbólico a -> private/var/

Algunos archivos que pueden interesarnos, podemos abrirlos con cualquier editor de texto, otros son bases de datos en SQLite y otros son “listas de propiedades” con extensión .plist, por lo tanto necesitamos clientes para poder visualizar correctamente, cada uno de estos archivos:

Listado de clientes SQLite Multiplataforma:

Listado de clientes para abrir archivos .plist

También es recomendable descargarnos la herramienta CFAbsoluteTimeConverter (para mac) o la herramienta DCode (para windows) que nos ayudará a convertir los tiempos absolutos que encontraremos en varios archivos, a tiempo relativo que entendemos fácilmente (convierte esto 324520032 a esto jueves 14 de abril de 2011 19:27:12 Hora de Colombia).

La siguiente es una lista de archivos de interés, de los cuales podemos extraer mucha información que nos ayudarán en nuestro análisis forense de dispositivos iOS:

/private/etc/master.passwd y /private/etc/passwd utilizando john the ripper o cualquier otra herramienta para crackear passwords, podremos obtener las claves del sistema
En la carpeta /private/var/Keychains/ encontraremos los archivos TrustStore.sqlite3, keychain-2.db, ocspcache.sqlite3 donde encontraremos en texto plano algunas de las contraseñas guardadas por los usuarios en diferentes aplicaciones.
/private/var/logs/ y /private/var/log/en estas carpetas encontraremos una gran cantidad de logs del sistema iOS que nos pueden ayudar en la elaboración de nuestra linea de tiempo.
/var/wireless/Library/Logs logs sobre las conexiones inalámbricas (3G, Bluetooht, WiFi) del dispositivo
/private/var/preferences/SystemConfiguration encontramos una gran cantidad de información sobre la configuración del equipo, rangos de ips, información sobre las redes inalámbricas a las que se ha conectado, nombre del teléfono y mucha mas información.
/private/var/root/Library/Caches/locationd encontraremos información que nos ayudaran a georeferenciar el dispositivo y el famoso archivo consolidare.db del que ya hemos hablado en la comunidad.
/private/var/root/Library/Lockdown/ en esta carpeta encontraras los certificados públicos y privados del dispositivo
/private/var/root/Library/Cookies/ aquí encontraremos las cookies que están almacenadas en el dispositivo, las cuales nos pueden arrojar información muy útil sobre los sitios visitados y permitirnos realizar un robo de sección para intentar entrar a los servicios que visitaron desde el dispositivo (para esto ultimo debemos solicitar autorización por escrito).
/private/var/run aquí encontraremos los logs del system
/private/var/tmp encontraremos información temporalmente almacenada por las aplicaciones, aveces encontramos información interesante

Para la carpeta /private/var/mobile/Library vamos a crear un espacio aparte, ya que de que al igual que en Mac OS, de la carpeta Library podremos sacar una gran cantidad de información sobre el dispositivo que nos sea útil.

/private/var/mobile/Library/Logs Esta carpeta de logs es bastante interesante, por que nos muestra los errores de las aplicaciones instaladas en el equipo, podremos sacar buena información de todos estos archivos.

/private/var/mobile/Library/AddressBook una de las mas importantes, en ella encontraremos los archivos AddressBookImages.sqlitedb donde están almacenadas las imágenes asociadas a los contactos y AddressBook.sqlitedb que hacen referencia a nuestra libreta de contactos.

Las tablas mas importantes en esta base de datos son AB Group. ABGroupMembers, ABMultiValue, ABMultiValueEntry, ABPerson y ABRecent.

/private/var/mobile/Library/SMS la siguiente base de datos que nos llama la atención, es la de los mensajes SMS, en ella podremos encontrar el archivo sms.db y la carpeta Drafts con los borradores que estén guardados en el dispositivo iOS.

Las tablas mas importantes en esta base de datos son Group_member, Message, Msg_group, Msg_Pieces

/private/var/wireless/Library/CallHistory/ en esta carpeta encontraremos el archive call_history.db donde esta el listado de las ultimas 100 llamadas realizadas por el dispositivo.

Las tablas mas importantes en esta base de datos son Call y Data

/private/var/mobile/Library/Calendar aquí encontraremos el Calendar.sqlitedb que contiene toda la información sobre los calendarios del dispositivos, alarmas y fechas lo que nos puede ser muy útil en nuestra investigación forense

Las tablas mas importantes en esta base de datos son Calendar, Event, Task, Recurrence, Alarm,

/private/var/mobile/Library/Maps encontraremos los archivos History.plist y Directions.plist con la información que tengamos almacenada en la aplicación mapas, del dispositivo iOS

/private/var/mobile/Library/Mail encontraremos mucha información sobre los correos recibidos desde el dispositivo, las cuentas de correo, los tiempos de actualización, archivos adjuntos y mensajes de correo electrónico.

/private/var/mobile/Library/Preferences gran cantidad de archivos de configuración para el sistema iOS y muchas de las aplicaciones instaladas, de ellos podemos sacar mucha información útil para nuestra investigación, algunos de los mas relevantes son:com.apple.Maps.plist: ultimas búsquedas en el programa de mapas
com.apple.mobiletimer.plist y com.apple.mobilecal.alarmengine.plist: información sobre las alarmas puestas en el reloj
com.apple.mobilephone.speeddial.plist: números de llamada rápida
com.apple.youtube.plist: últimos vídeos buscados en la aplicación de youtube
com.apple.mobilesafari.plist ultimas búsquedas en safari
com.apple.preferences.datetime.plist zona horaria del dispositivo
com.apple.springboard.plist lista de aplicaciones estándar y añadidas por el usuario
com.apple.stocks.plist el stock de acciones listadas en la aplicación bolsa
com.apple.weather.plist listado de ciudades añadidas a la aplicación de clima

/private/var/mobile/Library/Safari encontramos los favoritos del safari Bookmarks.db, el historial History.plist y los buscadores usados SearchEngines.plist ademas del archivo SuspendState.plist que almacena las “pestañas” o paginas suspendidas de Safari

/private/var/mobile/Library/Spotlight aquí encontraremos un listado con las aplicaciones abiertas por medio del buscador spotlight db.sqlitedb y los mensajes que están indexados por este buscador SMSSearchdb.sqlitedb

La tabla mas importante en esta base de datos es Content

/private/var/mobile/Library/SpringBoard aquí encontraremos las aplicaciones instaladas applicationstate.plist la organización de estas aplicaciones dentro del equipo IconState.plist y una miniatura del fondo utilizado LockBackgroundThumbnail.jpg

/private/var/mobile/Library/Voicemail aqui encontraras los correos de voz que se encuentren en el dispositivo

La tabla mas importante en esta base de datos es voicemail

/private/var/mobile/Library/Notes la información ingresada en la aplicación notas de iOS

/private/var/mobile/Library/Keyboard en esta carpeta encontraremos un curioso archivo, (idioma)-dynamic-text.dat que almacena todas las palabras que escribimos desde el dispositivo para generar un diccionario con las palabras que mas usamos, algunos pueden llamarlo funcionalidad, yo lo llamo keylogger nativo.. juzguen ustedes.

/private/var/mobile/Media/DCIM/100APPLE y /private/var/mobile/Media/PhotoData en estas carpetas encontraremos las fotos tomadas con el dispositivo iOS, ademas de las bases de datos de donde podremos sacar buena información, recuerda que por defecto las fotos tomadas con un dispositivo iOS incluye la posición GPS del lugar donde fue tomada en sus meta-datos, por lo que puede ser de mucha utilidad.

/private/var/mobile/Media/Recordings encontraremos las notas de voz y una base de datos Recordings.db con la fecha de creación, duración, y ruta, ademas de las etiquetas personalizadas de la nota (si la tiene) CustomLabels.plist

La tabla mas importante en esta base de datos es ZRECORDING

/private/var/mobile/Library/Logs/ADDataStore.sqlitedb esta base de datos nos puede arrojar muy buena información, ya que almacena cuando utilizamos una aplicación y cuanto tiempo la estuvimos utilizando.

La tabla mas importante en esta base de datos Scalars, con sus campos daySince1970 (que dice el numero de días pasados desde el 1 de enero de 1970) y el campo value nos dice en segundos cuanto tiempo hemos usado la aplicación

Análisis forense en iOS – Aplicaciones de terceros

Una de las ventajas de utilizar métodos manuales para examinar la evidencia en un análisis forense, es la posibilidad de extraer información de cualquier sitio y no solo de los lugares “preestablecidos” por las herramientas automatizadas, esto toma especial importancia en los dispositivos iOS ya que es posible instalar un sin fin de aplicaciones de terceros sobre él, que pueden arrojarnos información muy útil para nuestra investigación.

En la ruta /private/var/mobile/Applications encontraremos todas las aplicaciones instalada en el dispositivo iOS, y cada una de ellas contiene información que puede sernos de utilidad para llevar a buen termino nuestra investigación.

Por ejemplo la aplicación iBearMoney que se utiliza para llevar un registro de nuestro dinero día a día, tiene en su interior una base de datos en sqlite (/private/var/mobile/Applications/3C2D2624-2F48-40C4-AA67-8C1091AB50C9/iBearMoney.app/database.sql) puede añadir información importante acerca del movimiento de dinero realizado por la persona que utilizaba el dispositivo iOS.

¿Subes archivos a tu sitio desde tu dispositivo iOS? pues si utilizas FTPOnTheGo o FTPOnTheGoPro debes tener cuidado ya que esta aplicación almacena los datos de conexión a tu servidor en texto plano almacenado en esta base de datos (/private/var/mobile/Applications/1B238725-3D83-4384-9B46-7C6C7D29BEBC/FTPOnTheGoPro.app/bookmarks.sql), igual que la aplicación de WordPress para iOS, almacena los datos en plano de la conexión a tu blog en el archivo (/private/var/mobile/Applications/3C285A95-13D7-4916-AD8B-A3766AAA6C01/Documents/WordPress.sqlite)

Pasa lo mismo con muchas aplicaciones, por ejemplo el famoso WhatsApp expone en texto plano todos los mensajes que enviamos por ese medio en una base de datos (/private/var/mobile/Applications/D4309E4E-4323-46F7-9D70-6E7EAABDAA7F/Documents/ChatStorage.sqlite) y también almacena las fotos y miniaturas que nos envíen por la aplicación (/private/var/mobile/Applications/D4309E4E-4323-46F7-9D70-6E7EAABDAA7F/Library/Caches)

La tabla mas importante en esta base de datos es ZMESSAGE

Algo mas preocupante es que la aplicación iSSH, la mas popular a la hora de realizar conexiones SSH desde dispositivos iOS, NO CIFRA nuestras claves, por lo que cualquier persona que pueda acceder al archivo (/private/var/mobile/Applications/E94D647C-07A4-406C-9D86-C0D3BA6DA94A/Library/Preferences/config.dat) puede ver en texto claro el usuario, clave y la dirección de nuestro servidor.

Si eres fanático del GDT, espero que no anotes tareas comprometedoras en tu 2Do, ya que estas son almacenadas sin cifrar en (/private/var/mobile/Applications/E52F4760-CDA8-44BC-B3AD-2AB57267770C/Documents/2do.db)

Y así podríamos seguir por días, con todas las aplicaciones instaladas en los dispositivos iOS ya que por norma general los desarrolladores NO CIFRAN la información sensible, si quieres encontrar esta información debes examinar dentro de la carpeta de la aplicación en los directorios Documents, Library y tmp, pero también examinar el contenido de la aplicación (click derecho, mostrar contenido del paquete) ya que muchas veces dentro de ellas podemos encontrar información que puede sernos útil.

Ya vimos que examinar el contenido de un dispositivo iOS no es complicado, solo debemos conocer la estructura del dispositivo y tener muy claro lo que estamos buscando; Ahora vamos a ver como facilitar aun mas esta labor, utilizando herramientas automatizadas para realizar el análisis forense de dispositivos iOS.

Análisis forense en iOS con Oxygen Forensic Suite 2011

La primera herramienta que vamos a ver es la Suite Oxygen Forensic 2011 que podrás probar gratis 30 días o ejecuciones llenando este formulario.

Oxygen Forensic 2011 es una completa Suite con soporte para mas de 2000 dispositivos móviles, entre los cuales se encuentran los de Apple, entre la información que podemos extraer con el se encuentra:

Información básica del dispositivo y de la SIM
La lista de contactos con toda su información y foto si la tiene
Archivos Multimedia (fotos, vídeos, audios, etc..)
Mensajes SMS
Log de eventos
Información del calendario
Notas almacenadas en el dispositivo
Navegador de archivos capturados
Genera una linea de tiempo
Extrae archivos de las aplicaciones instaladas
Historial, favoritos y chache del navegador web
Listado de diccionarios personalizados
Correos electrónicos con sus adjuntos
Llamadas realizadas, recibidas y perdidas
EL trafico de en las redes GPRS, EDGE, CSD, HSCSD y Wi-Fi
Información de la SIM card (si aplica)
Notas de voz y buzón de voz
Geoposicionamiento del dispositivo
Saca una firma con hash MD5, SHA-1, SHA-2, a los archivos
Genera reportes del dispositivo

Análisis forense en iOS con Lantern 2

Lantern 2 es otra buena suite para realizar análisis forense en dispositivos iOS para sistemas Mac OS X, creada por Katana Forensics, lamentablemente esta suite es un poco mas cerrada para enviar sus demos, debemos llenar este formulario y si les parece el uso que daremos a su herramienta nos enviarán una licencia.

Lantern 2 es una Suite especifica para el análisis forense a dispositivos iOS de Apple, por tanto nos arroja mas información especifica de aplicaciones como skype y Facebook para iOS, entre la información que podemos extraer con Lantern se encuentra:

Información Información del dispositivo y de la SIM
La lista de contactos con toda su información
Llamadas realizadas, recibidas y perdidas
Archivos Multimedia (fotos, vídeos, audios, etc..)
Mensajes SMS/MMS
Notas almacenadas en el dispositivo
Información del calendario
Historial, favoritos y chache del navegador web
Conversaciones y registro de llamadas por Skype
Las notas de voz almacenadas
Contactos y correos de nuestros contactos en Facebook
Geoposicionamiento del dispositivo (sacada de la red gps, wifi y los meta tags de las fotos)
Listado de todas las conexiones inalámbricas a las que se ha conectado el dispositivo
Fotos y vídeos almacenados en el dispositivo iOS
Las canciones, podcast, video podcast del dispositivo
El listado de las aplicaciones utilizadas
Listado de documentos encontrados
Genera una linea de tiempo
Favoritos
Genera reportes del dispositivo

Análisis forense en iOS con otras herramientas

Existen otras herramientas que nos ayudan en la tarea de realizar un análisis forense en dispositivos iOS, no podemos hacer una reseña de todas, pero vamos a listarlas para que las pruebes y nos dejes los comentarios sobre ellas:

BlackLight Completa suite para el análisis forense de dispositivos iOS
MOBILedit! Forensic Suite completa para análisis forense en dispositivos móviles, con soporte para iOS
iPhone Explorer No es una herramienta forense pero nos ayuda a explorar los contenidos de un dispositivo iOS fácilmente (Multiplataforma)
Phone Disk No es una herramienta forense pero con ella podemos montar los dispositivos iOS como una partición mas en nuestro equipo, facilitando la tarea de explorar en sus archivos y sacar la imagen bit a bit del dispositivo (Multiplataforma)
JuicePhone No es una herramienta forense pero nos facilita el manejo de backups para nuestros dispositivos iOS (Mac OS)
mdhelper nos permite gestionar los backups almacenados en iTunes de nuestro dispositivo iOS (Mac OS)
FTK Imager complemento perfecto a Phone Disk para sacar la copia bit a bit de nuestro dispositivo una vez este montado en nuestro sistema
FOCA No es una herramienta forense, pero nos puede facilitar la extracción de los metadatos contenidos en los archivos que encontremos en los dispositivos iOS.
Herramientas para analizar el consolidate.db y obtener la geologalizacion de dispositivos iOS

Este articulo hace parte de una serie titulada Análisis Forense de Dispositivos iOS, conformada por cuatro entregas:

También puede interesarte...

Análisis Forense de Dispositivos iOS – Fase de Adquisición

DragoN — Fri, 09 Sep 2011 02:04:20 +0000

Continuamos con la serie de artículos sobre análisis forense de dispositivos iOS, con la cual La Comunidad DragonJAR pretende aportar un poco de documentación en español sobre los procedimientos forenses y metodologías necesarias para llevar a cabo el análisis de un dispositivo móvil de Apple con sistema operativo iOS (iPhone, iPad, iPod Touch, etc…).

En la entrega anterior de esta serie, comentábamos los procesos con el que se inicia toda investigación forense, la fase en evaluación, en la cual se enumera cada uno de los aspectos previos que debemos seguir (solicitar los permisos, revisar legislación vigente, constituir el de equipo, realizar una evaluación previa y prepararse para la adquisición de pruebas) a la hora de realizar análisis forense de dispositivos iOS.

El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de adquisición, donde debemos iniciar la construcción de la investigación forense, realizar las imágenes de las evidencias digitales y almacenarlas en un lugar que cumpla todas las normativas que tenga el manejo de evidencias en el país donde se lleve a cabo la investigación.

Análisis Forense de Dispositivos iOS – Fase de Adquisición

En esta fase se debe iniciar la investigación, determinar las herramientas que vamos a utilizar, recopilar los datos, revisar la legislación para el manejo de evidencias y almacenar la evidencia, para ello pasamos por las siguientes etapas:

Construcción de la investigación: Debemos iniciar una bitácora, ya sea digital o manuscrita donde documentemos detalladamente toda la información referente a la investigación, quien realiza una determinada labor y por qué, que intentaba conseguir con esa labor, como la realizó, que herramientas y procedimientos utilizó, todo esto detallado con fechas y horas.
Recopilar los datos: Antes de iniciar con la recolección de datos, es recomendable asegurarse que ya se han realizado los respectivos procedimientos para salvaguardar la evidencia física (huellas, rastros de ADN, toma de fotografías, etc… ) para poder realizar ciertos procedimientos con el dispositivo iOS (que no afecta la evidencia si se documenta adecuadamente) y pueden evitarnos algunos dolores de cabeza mas adelante, como por ejemplo desactivar el bloqueo automático, extraer información básica del dispositivo y activar el modo avión, después de esto pasamos a realizar una copia (bit a bit) del dispositivo y firmarla con un hash SHA1 0 MD5, generando de esta forma “el segundo original”, a partir del cual se generaran las copias que se utilizaran en la fase de análisis (con cada una de ellas se debe comprobar que el hash corresponda al del segundo original).
Almacenar y archivar: En esta etapa debemos documentar adecuadamente la evidencia con su correspondiente documento de embalaje y cadena de custodia, la cual debe contener una linea de tiempo donde relacione quien ha accedido a la evidencia, que realizo con ella, por que motivo y a que hora; Después de eso pasamos a archivar dicha evidencia asegurandonos que el lugar donde lo hagamos cumpla con las buenas practicas para conservar la información y la legislación existente sobre el manejo de evidencias digitales. El lugar donde se almacene la evidencia debe contar con una buena seguridad física que evite la manipulación de la evidencia, una jaula de Faraday para almacenar en ella los dispositivos que accedan a redes telefónicas o inalámbricas y una bitácora donde se almacenen los nombres de las personas que después de almacenada, accedan a la evidencia, la cual debe tener la fecha/hora, el tiempo que demoró revisando la evidencia y la fecha/hora en que esta la devuelve si acaso la sacó; La información de esta bitácora debe ser completa, correcta, autentica y convincente, para que en caso de un proceso legal pueda ser admitida en un juzgado.

Análisis Forense de Dispositivos iOS – Fase de Adquisición – Parte técnica

La mayoría de procesos que llevamos a cabo en esta fase de Adquisición, consisten en generar documentos y bitácoras de lo que se va realizando para nutrir tanto el documento de la investigación, como el de la cadena de custodia, solo en la etapa de recolección de datos, hacemos uso de herramientas técnicas para construir las copias bit a bit o “segundos originales” y firmar con SHA1 o MD5 estas copias, desde las cuales se empezará el proceso de análisis.

A continuación les mostraré los procedimientos que debemos tener en cuenta antes de realizar la copia bit a bit de un dispositivo iOS y algunos de los métodos que se utilizan para generar estas copias:

Es recomendable desactivar el bloqueo automático de los dispositivos, para evitar digitarlo constantemente, o recuperarlo por otros medios si los desconocemos.

También es recomendable extraer la información básica del dispositivo, por que aunque muchas herramientas forenses lo hacen, no siempre vamos a tenerlas a la mano.

Por ultimo, pero no menos importante, es recomendable poner el dispositivo en modo avión, de esta forma evitamos que se pueda conectar a las redes celulares e inalámbricas.

Lo mas aconsejable es meter el dispositivo en una jaula de Faraday (puedes comprar una muy barata en china o fabricarla tu mismo), para bloquear cualquier señal inalámbrica, esto cobra especial significado en los dispositivos iOS ya que Apple ha puesto a disposición de sus clientes sin costo alguno, una herramienta llamada “Find my iPhone/iPad/iPod” que ademas de geoposicionar el dispositivo, permite enviarle parámetros remotamente, como el de eliminar toda la información que contenga.

Y aunque la información eliminada podría recuperarse, el borrado remoto de la información en un dispositivo como estos, podría entorpecer cualquier investigación forense en la que esté vinculado.

Una vez realizados los procedimientos previos, pasamos a crear la copia bit a bit del dispositivo iOS, este paso podemos hacerlo de 2 formas…

SACANDO IMAGEN BIT A BIT A UN DISPOSITIVO IOS CON DD Y NETCAT

Para sacar la copia bit a bit de un dispositivo iOS sin gastar dinero en el camino, tenemos que contar con un escenario idóneo, este escenario debe cumplir con los siguientes componentes:

Que el dispositivo iOS tenga Jailbreak.
Que tenga instalado el servidor SSH y netcat o que permita instalarlos.
Que el servidor SSH tenga la clave por defecto “alpine” o una clave débil.

La buena noticia es que este escenario es muy común encontrarlo, en especial en países latinos donde la cultura de “pagar por todo” es poco adoptada, si tenemos este escenario podremos proceder a sacar la imagen del dispositivo de la siguiente forma:

Desde la consola de nuestro equipo ponemos a la escucha el netcat en el puerto 9000 (nc -l 9000 | dd of=imageniOS.img) y desde la consola ssh de nuestro dispositivo iOS sacamos la imagen bit a bit y la enviamos a el netcat que esta escuchando en nuestra maquina (dd if=/dev/disk0s2 bs=4096 | nc 192.168.0.10 9000) , de esta forma podemos sacar una copia idéntica de nuestro dispositivo, tal y como lo haríamos si tuviéramos que realizar este procedimiento a un equipo remoto de nuestra red.

Después de un tiempo obtendremos un mensaje como el siguiente:

Indicandonos que la imagen “imageniOS.img” ha sido creada sin problemas y podemos hacer con ella lo que queramos, en mi caso voy a montar esta imagen como una partición mas de mi sistema para ver su contenido:

La imagen generada puede ser tratada con cualquier herramienta forense, pero es recomendable utilizar herramientas pensadas para el análisis de dispositivos iOS (como lo veremos en la próxima entrega) ya que con ellas podremos extraer mas información.

SACANDO IMAGEN BIT A BIT A UN DISPOSITIVO IOS CON UN KIT FORENSE

La otra forma de adquirir una copia bit a bit del dispositivo, es utilizando kits forenses como el Cellebrite UFED, un excelente kit especializado en el análisis de dispositivos móviles, pero debido a su precio no es accesible para muchas personas (incluyendonos), estos kits permiten obtener una copia idéntica de nuestro dispositivo iOS volcando físicamente el contenido de este a una imagen y generando en el camino un informe con todos los archivos que contiene.

Sea cual sea la forma en que adquieres la imagen, debes documentar todos los procesos realizados para adquirirla, generar sus respectivos hash en SHA-1 y MD5 y realizar otra copia del segundo original generado, para pasar a la fase de análisis. Tanto el dispositivo, como su imagen bit a bit (segundo original), deben ser etiquetados y almacenados debidamente como comentábamos anteriormente y todos los procesos realizados, así como los nombres de las personas que lo llevaron a cabo deben estar registrados en la bitácora del caso y en el documento de la cadena de custodia.

Este articulo hace parte de una serie titulada Análisis Forense de Dispositivos iOS, conformada por cuatro entregas: