Análisis Forense de Dispositivos iOS
Jun27

Análisis Forense de Dispositivos iOS

Charla sobre Análisis Forense de Dispositivos iOS (Apple) realizada durante la ekoparty 2011, también puedes descargar las diapositivas del workshop sobre el mismo tema también realizado en el transcurso de la ekoparty 2011. Descargar diapositivas Charla La información de esta charla, puede ampliarla en la siguiente serie de artículos titulada Análisis Forense de Dispositivos iOS: Análisis Forense de Dispositivos iOS – Fase de Evaluación Análisis Forense de Dispositivos iOS – Fase de Adquisición Análisis Forense de Dispositivos iOS – Fase de Análisis Análisis Forense de Dispositivos iOS – Fase de...

Leer Más

Análisis Forense de Dispositivos iOS – Fase de Informes

Esta es la ultima entrega de la serie “Análisis Forense de Dispositivos iOS”, una iniciativa de La Comunidad DragonJAR que pretende aportar un poco de documentación en español sobre las metodologías y procedimientos forenses necesarios para llevar a cabo el análisis de un dispositivo móvil con sistema operativo iOS de Apple  (iPhone, iPad, iPod Touch, etc…). En la entrega anterior  de esta serie, comentábamos los procesos de análisis, se enumeraron algunos de los archivos mas importantes de los cuales podemos extraer información útil para nuestra investigación, también vimos el funcionamiento de las herramientas que permiten automatizar estos procesos y algunas herramientas adicionales que nos pueden ayudar en estos procesos. El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de informes, en la cual debemos generar los informes que sustenten toda nuestra investigación, el producto final de un análisis forense son los informes tanto ejecutivo (con lenguaje común que explican puntualmente lo sucedido) como técnico (donde se detalla técnicamente los procesos realizados de tal forma que cualquiera pueda replicarlos), recordemos que en nuestra tarea como analistas no es realizar acusaciones, ya que esta es la tarea de los jueces o en su defecto de la persona que contrató el análisis, solo debemos proporcionar toda la información necesaria para puedan tomar una decisión acertada. Análisis Forense de Dispositivos iOS – Fase de Informes En esta fase se debe iniciar la organización de la información, para poder escribir los informes que sustentarán las pruebas en un proceso legal, para esto básicamente debemos tener en cuenta los siguientes pasos: Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el. Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros: Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo. Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario. Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió. Pruebas: Debes proporción una...

Leer Más

Análisis Forense de Dispositivos iOS – Fase de Análisis

La serie de artículos sobre análisis forense de dispositivos iOS,  es una iniciativa de La Comunidad DragonJAR que pretende aportar un poco de documentación en español sobre las metodologías y procedimientos forenses necesarios para llevar a cabo el análisis de un dispositivo móvil con sistema operativo iOS de Apple  (iPhone, iPad, iPod Touch, etc…). En la entrega anterior  de esta serie, comentábamos los procesos de adquisición, en los cuales dábamos inicio formalmente a la investigación, se crearon los segundos originales, realizando la copia bit a bit de los dispositivos a analizar, también iniciamos la documentación donde se registran todos los procedimientos realizados en cada una de las etapas y por cada una de las personas que las lleven a cabo, ademas se realizó el etiquetado y archivado de la evidencia. El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de análisis, en la cual debemos extraer toda la información que podamos de los segundos originales, para luego relacionarla con el caso y poder brindar los datos necesarios para que un juez o la persona quien encargó el análisis, tome las respectivas acciones con base en ellos. Análisis Forense de Dispositivos iOS – Fase de Análisis En esta fase se debe iniciar el análisis de los dispositivos, para llevar a cabo esta labor, definiremos los objetivos y criterios de búsqueda a utilizar para dar con la información que necesitamos, utilizaremos una copia del segundo original generado previamente y una vez comprobada (determinar si los hash corresponden al segundo original) analizaremos sus archivos para extraer y relacionar la información que nos permita cumplir con los objetivos planteados, las etapas de este paso son: Análisis de datos de la red: Normalmente cuando realizamos una investigación donde están relacionados equipos de computo, lo primero que hacemos en la fase de análisis es identificar los dispositivos  de defensa (IDS, IPS, Firewall, Proxy, etc…) y de comunicación que se encuentran en la red, ya que normalmente al recuperar sus logs y relancionarlos con el equipo que estamos analizando, podemos obtener una buena cantidad de información sobre el comportamiento de ese equipo en la red donde se encuentra. Pero cuando tratamos con dispositivos móviles el escenario es muy diferente, ya que por lo general ellos cuentan con su propia red de datos o se conectan a distintas redes según donde se encuentren y en la mayoría de casos, las redes a las que se conectan, no cuentan con alguna implementación de defensa a la cual sacarle logs. Análisis los datos host: Utilizando una copia de su segundo original, procesamos la información obtenida de cada sistema adquirido, de la lectura de las Aplicaciones, logs y las configuraciones propias del iOS, (esto...

Leer Más

Análisis Forense de Dispositivos iOS – Fase de Adquisición

Continuamos con la serie de artículos sobre análisis forense de dispositivos iOS, con la cual La Comunidad DragonJAR pretende aportar un poco de documentación en español sobre los procedimientos forenses y metodologías necesarias para llevar a cabo el análisis de un dispositivo móvil de Apple con sistema operativo iOS  (iPhone, iPad, iPod Touch, etc…). En la entrega anterior  de esta serie, comentábamos los procesos con el que se inicia toda investigación forense, la fase en evaluación, en la cual se enumera cada uno de los aspectos previos que debemos seguir (solicitar los permisos, revisar legislación vigente, constituir el de equipo, realizar una evaluación previa y prepararse para la adquisición de pruebas) a la hora de realizar análisis forense de dispositivos iOS. El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de adquisición, donde debemos iniciar la construcción de la investigación forense, realizar las imágenes de las evidencias digitales y almacenarlas en un lugar que cumpla todas las normativas que tenga el manejo de evidencias en el país donde se lleve a cabo la investigación. Análisis Forense de Dispositivos iOS – Fase de Adquisición En esta fase se debe iniciar la investigación,  determinar las herramientas que vamos a utilizar, recopilar los datos, revisar la legislación para el manejo de evidencias y almacenar la evidencia, para ello pasamos por las siguientes etapas: Construcción de la investigación: Debemos iniciar una bitácora, ya sea digital o manuscrita donde documentemos detalladamente toda la información referente  a la investigación, quien realiza una determinada labor y por qué, que intentaba conseguir con esa labor, como la realizó, que herramientas y procedimientos utilizó, todo esto detallado con fechas y horas. Recopilar los datos: Antes de iniciar con la recolección de datos, es recomendable asegurarse que ya se han realizado los respectivos procedimientos para salvaguardar la evidencia física (huellas, rastros de ADN, toma de fotografías, etc… ) para poder realizar ciertos procedimientos con el dispositivo iOS (que no afecta la evidencia si se documenta adecuadamente) y pueden evitarnos algunos dolores de cabeza mas adelante, como por ejemplo desactivar  el bloqueo automático, extraer información básica del dispositivo y activar el modo avión,  después de esto pasamos a realizar una copia (bit a bit) del dispositivo y  firmarla con un hash SHA1 0 MD5, generando de esta forma “el segundo original”, a partir del cual se generaran las copias que se utilizaran en la fase de análisis (con cada una de ellas se debe comprobar que el hash corresponda al del segundo original).  Almacenar y archivar: En esta etapa debemos documentar adecuadamente la evidencia con su correspondiente documento de embalaje y cadena de custodia, la cual debe contener una linea de tiempo donde relacione quien ha accedido a la evidencia, que realizo con ella, por que motivo y a que hora; Después de eso pasamos a archivar dicha evidencia asegurandonos que el lugar donde lo hagamos cumpla con las buenas practicas para conservar la información...

Leer Más

Análisis Forense de Dispositivos iOS – Fase de Evaluación

De un tiempo acá, los productos de Apple han causado una verdadera revolución en cada mercado donde han entrado, la música, la telefonía móvil y ahora con la salida de su tableta iPad se ha creado un nuevo mercado que augura la era post-pc y ha cambiado la forma de consumir contenidos. Todos estos dispositivos móviles de Apple (iPhone, iPad, iPod Touch, Apple TV, etc…) tienen como sistema operativo una variante de Mac OS X (específicamente de su kernel) adaptada para tal fin, con nombre iOS y es precisamente sobre el análisis forense a este sistema operativo que hablaremos en esta serie de artículos. El análisis forense de dispositivos iOS es un área poco explorada en nuestro idioma, existen algunos algunos textos de referencia en ingles, y productos comerciales para llevar a cabo esta tarea, pero poca o nula información sobre los procedimientos, técnicas y metodologías a tener en cuenta a la hora de realizar un análisis forense a estos dispositivos móviles de Apple en español. Es por esto que lanzamos esta serie de artículos titulados “Análisis Forense de Dispositivos iOS” para contribuir un poco con documentación en nuestro idioma sobre estos procesos forenses y complementar la información de mi futura charla en la EKO Party 2011 sobre este tema. El análisis forense de dispositivos iOS inicia como cualquier otro análisis forense, solo debemos tener en cuenta que  algunos de estos dispositivos con iOS son teléfonos móviles, por tanto debemos tener las precauciones necesarias para estos dispositivos en especial y nos guiaremos por el siguiente diagrama que he traducido para este articulo. Análisis Forense de Dispositivos iOS – Fase de Evaluación Lo que se debe realizar en esta fase es la evaluación de los recursos  a los que tenemos acceso y cuales son los objetivos para realizar la investigaron interna, pasando por las siguientes etapas: Notificar y obtener la autorización: En esta etapa del proceso forense, debemos obtener  una autorización por escrito para iniciar  el análisis forense, al igual que la firma de los acuerdos de confidencialidad, sin esta autorización por escrito nuestro análisis no tendría una validez legal y de hecho estaríamos cometiendo un delito. Revisar las políticas y la legislación: Debemos documentarnos sobre todas las políticas y legislación vigente para el análisis forense y manejo de evidencias en el país donde se presente el incidente, ademas de todas las acciones y antecedentes que preceden la investigación. Identificar a los miembros del equipo: Debemos identificar el grupo de trabajo que realizará la investigación, definir las responsabilidades de cada miembro, así como sus limites y funciones. Realizar una evaluación: Debemos realizar una investigación preliminar que nos permita exponer la situación actual, hechos sucedidos,...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES