Charla impartida por Juan Garrido, de Informática 64 en el evento Asegúr@IT Camp 3, dicho evento tuvo lugar en El Escorial los días 21, 22 y 23 de octubre de 2011.

1.  Juan Garrido
 Consultor Seguridad I64
 http://windowstips.wordpress.com
 http://www.informatica64.com

2.  Introducción
 Copia de Seguridad Local
 Qué hay en una copia local
 Estructura de ficheros
 Extracción de datos

4.  En un análisis forense tradicional
 Sistemas Operativos
 Cliente & Servidor
 Dispositivos asociados
 Impresoras, Fax, etc…
 Telefonía
 Aplicaciones de negocio
 Correo, mensajería, navegación local e Internet

5.  Nuevo giro de tuerca con SmartPhones
 Entran de lleno en el OS cliente
 Generalmente en portátiles (Corporative mode)
 Conexiones desde el móvil (AP Mode)
 Muy chulo…. Pero….. (Siempre hay un pero..)
 No tenemos el móvil
 Tenemos el móvil pero no está “Jailbreakeado”
 Tenemos el móvil… (Restaurado a valores de
fábrica)
 ¿?¿?

8.  Al conectar el dispositivo sucede
 Itunes sincroniza el dispositivo
 Es una copia de seguridad
 Se puede analizar directamente desde el backup

9.  Rutas Locales
 MAC OSX:/Users/username/Library/Application
Support/MobileSync/Backup/deviceid
 Windows XP:C:Documents and SettingsusernameApplication
FilesMobileSyncBackupdeviceid
 Windows 7:C:UsersusernameAppDataRoamingApple
ComputerMobileSyncBackupdeviceid

11.  Ficheros sin extensión aparente
 Nomenclatura basada en SHA1
 Se pueden analizar las cabeceras
 Windows: head(GNU) & Findstr
 Linux: head & Grep, file

13.  Itunes sincroniza las APPS del dispositivo
 En algunos casos son ficheros en texto plano
 Si ningún tipo de cifrado
 Se utiliza para restauración del dispositivo
 Los ficheros se actualizan cada vez que el dispositivo
se conecta

14.  Generalmente son de pago
 No destinadas al ámbito forense
 Gratuitas descontinuadas (Iphone Backup Analyzer)
 Sólo extraen la información
 Tools
 IphoneBackupExtractor (Comercial)

15.  Identificación de cada evidencia
 Tratamiento de forma unitaria
 Separación de ficheros
 Análisis

17.  ¿Fotos eliminadas?
 Siempre quedarán los ficheros Thumbs… ;-)
 C7813fa37817a9fb69dfd64993ca2cf91171ae9d
 D29f4fbba1c2a95d92b05d53c1b9c967df6e02d5
 Las passwords se encuentran cifradas y en
contenedores de claves imposibles de crackear…
 Iphone recuerda tu “gramática”
 Diccionarios con palabras más usadas

20.  Variada información sobre el dispositivo
 Número de serie del dispositivo
 IMEI
 Número de TLF
 Versión del Producto
 Tipo de Producto (3G, 16GB, etc..)
 Datos del último Backup

21.  3 Ficheros Standard
 Info.plist
 Manifest.plist
 Status.plist
 Variedad de XML
 Interesante desde el punto de vista de la
información
 Puede situar un teléfono en un equipo
 El “Eso no es mío no vale!!”

23.  En algunos casos se utilizan ficheros binarios
 Es posible parsear la información y convertirla a
PLIST

24. Safari Search
1d6740792a2b845f4c1e6220c43906d7f0afe8ab

25.  Muchas funciones de Iphone & Ipad
 Se basan en lectura/escritura en BBDD
 Esas BBDD se encuentran en texto plano
 Codificadas en su mayoría en UTF-8

26.  SMS
 3d0d7e5fb2ce288813306e4d4636395e047a3d28
 Histórico de llamadas
 2b2b0084a1bc3a5ac8c27afdf14afb42c61a19ca
 Libreta de direcciones
 31bb7ba8914766d4ba40d6dfb6113c8b614be442
 cd6702cea29fe89cf280a76794405adb17f9a0ee
 Llamadas de Voz
 992df473bbb9e132f4b3b6e4d33f72171e97bc7a

27.  WI-FI Locations
 4096c9ec676f2847dc283405900e284a7c815836
 Y muuuuuchas más……

28.  BBDD Collations.db
 Se puede parsear con muchas herramientas
 Pintan en un mapa las coordenadas por donde ha
pasado «tu dispositivo»
 Existentes en
 Iphone
 Ipad
 Android
 Windows Phone 7

31. 

33. OTIA….. Un
andalú hablando
en público…
Seguro que no se
ha enterao nadie
HA HA HA HA

35. http://Windowstips.wordpress.com

36.  Suscripción gratuita en technews@informatica64.com

37. http://elladodelmal.blogspot.com

38. http://legalidadinformatica.blogspot.com