Análisis Forense a dispositivos iOS, Paso a Paso – Parte 2
Sep24

Análisis Forense a dispositivos iOS, Paso a Paso – Parte 2

Continuando con nuestra iniciativa de documentar paso a paso y en español el proceso de realizar el análisis forense a un dispositivos iOS, presentamos la segunda entrega de esta serie de artículos (ver primera parte), en esta entrega veremos como recuperar las contraseñas del llavero (keychain) de iOS, como realizar la copia bit a bit y la copia logica de los dispositivos moviles de apple. Recuperando contraseñas del llavero en dispositivos iOS Continuando con las herramientas que conforman el iPhone Data Protector, el script demo_bruteforce.py no se limita solamente a obtener el código de bloqueo del dispositivo. Después de tenerlo y ya “entrado en gastos” este script en python descarga el “llavero” o keychain del dispositivo, una base de datos en SQLite con nombre keychain-2.db donde se almacenan todas las contraseñas, certificados y datos personales que el usuario del dispositivo ha guardado en el, esta información se encuentra cifrada, pero podemos descifrarla fácilmente con la herramienta keychain_tool.py keychain_tool.py puede extraer mucha información de interés del llavero, desde las contraseñas en texto plano almacenadas en él, pasando por los certificados que se han usado en el dispositivo e incluso los códigos de bloqueo anteriores utilizados en el equipo. Para que keychain_tool.py nos muestre la información que deseamos, sólo debemos ejecutarlo con el parámetro adecuado: . Parámetro Función -h, –help Muestra un mensaje de ayuda con las diferentes opciones del script y un ejemplo de uso -d, –display Muestra todo el contenido del llavero decifrado en texto plano como una salida estandar de consola -s, –sanitize Igual que -d sólo que ocultará las contraseñas con asteriscos (*) -p, –passwords Guarda las contraseñas genéricas y de internet en un archivo CSV -c, –certs Extrae todos los certificados y llaves -o, –old Extrae utilizando fuerza bruta los códigos de bloqueo anteriores utilizados en el dispositivo Modo de uso python python_scripts/keychain_tool.py  -Parámetro ruta/keychain-2.db ruta/Manifest.plist  . Generando copia bit a bit, nuestro segundo original La finalidad de crear un segundo original o imagen bit a bit, es tener una copia idéntica de la información contenida en el dispositivo iOS, para que la evidencia original no sea alterada en ningún momento, lo que nos da la posibilidad de manipular estos datos fácilmente con herramientas especializadas, para buscar información que nos permita resolver nuestro caso forense. Pero antes de realizar la copia bit a bit, conectémonos vía SSH a nuestro dispositivo, para que observemos las particiones que contiene su disco. Para esto desde la consola y teniendo en segundo plano el script tcprelay.sh ejecutamos: ssh -p 2222 -oStrictHostKeyChecking=no -oUserKnownHostsFile=/dev/null [email protected] Cada vez que la conexión nos pregunte la clave de acceso, escribimos “alpine”, que es la contraseña...

Leer Más
Análisis Forense a dispositivos iOS, Paso a Paso – Parte 1
Sep20

Análisis Forense a dispositivos iOS, Paso a Paso – Parte 1

Hoy traigo una serie de artículos donde se pretende explicar cómo realizar el análisis forense a dispositivos iOS paso a paso, detallando cada aspecto a tener en cuenta para realizar el proceso y llevar a feliz término el análisis a los dispositivos móviles de Apple. Para no hacer muy aburrido el texto será dividido en varias partes, empezando con las etapas previas a la adquisición y copia bit a bit del dispositivo iOS, utilizando el proyecto iPhone Data Protector de Jean-Baptiste Bédrune y Jean Sigwald, hasta el análisis de los archivos almacenados, sus rutas en diferentes versiones de iOS y sus backups. Una de las metodologías más extendidas para realizar un proyecto de análisis forense, sin importar el sistema operativo o el dispositivo al que se le realice, es la planteada por Warren G. Kruse II y Jay G. Heiser, autores del artículo “Computer Forensics: Incident Response Essentials”, en la que sostienen que toda investigación forense digital, debe pasar por cada una de las etapas del siguiente diagrama en ese orden lógico para ser llevada a feliz término. En el transcurso de las siguientes entregas, seguiremos el orden lógico planteado en el modelo de Kruse y Heiser, pero obviando algunos apartados que no aplican para el análisis forense de dispositivos iOS o no son tema de trabajo para este artículo, en donde nos enfocaremos solamente en los aspectos técnicos necesarios para llevar a cabo nuestro proyecto forense sobre los dispositivos móviles de Apple. Antes de empezar a ver las técnicas forenses para dispositivos iOS, es importante tener en cuenta una serie de consideraciones adicionales que un analista forense debe saber al encontrarse con dispositivos iOS que cuenten con conexión 3G o bien sean teléfonos móviles. Estos procedimientos serán descritos en el artículo y quienes hagan un análisis a dispositivos sin estas características podrán omitir estos pasos adicionales. Para adquirir un dispositivo iOS debemos tener preparado y sanitizado el medio donde se almacenará la imagen forense, la copia lógica o el backup del dispositivo realizado con iTunes. Para esto debemos realizar el borrado seguro del disco o partición para garantizar que la información almacenada previamente no altere la nueva información. A continuación veremos cómo se realiza el proceso de borrado seguro en varios sistemas operativos como Mac OS X, Microsoft Windows y GNU Linux, utilizando herramientas integradas al sistema operativo o de libre distribución: Borrado seguro en entornos Mac OS La mejor forma de realizar el borrado seguro de medios de almacenamiento en un sistema Mac OS es usando la herramienta Utilidad de Discos (Disk Utilities) que está integrada en este sistema operativo, y que cuenta varios tipos de borrado que...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES