SbD LIOS #FF: a tool for IOS Forensics Lorenzo Martínez R. (@lawwait) ! ! © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics [root@localhost ~]# whoami • • • • • • • • • • 13 años experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informático Forense CISSP, CISA Editor de SecurityByDefault Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: lorenzo@securizame.com Web: www.securizame.com www.securitybydefault.com © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Busca las 0xFF diferencias © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics ¿Por qué analizar IOS? © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics • Dos particiones HFS+ (Hierarchical FileSystem+) – Boot/firmware • Sólo lectura (excepto update y JB) • S.O y apps básicas – Datos de usuario y apps • Árbol de directorios y ficheros (Formato UNIX) • Tipos de ficheros fundamentales – SQLite (Agenda, Calendario, Llamadas, SMS,...) – PList (NextStep y XML) © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Adquisición de datos • Desde un Backup de iTunes – Cifrado / sin cifrar • Directamente desde el dispositivo – Con contraseña de (des)bloqueo – Herramienta: iExplorer • Desde un dispositivo con Jailbreak – SSH + dd - En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Backup de iTunes: ¿Dónde? • Windows 7 -> <carpeta usuario>\AppData\Roaming \Apple Computer\MobileSync\Backup\<UDID> • Windows XP -> <carpeta usuario>\Application Data \Roaming\Apple Computer\MobileSync\Backup \<UDID> • Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID> © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Herramientas libres © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Backup de iTunes: Ficheros • Herramientas Necesarias: – – – – – listManifest.py SQLite Database Browser PListEdit Pro Iphone Data Protection BinaryCookieReader.py • Status.plist -> Info del último backup • Info.plist y Manifest.plist -> Info del iDevice: Serial number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas • Manifest.mbdb -> Metadatos de los ficheros del backup • Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb) © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics BinaryCookieReader.py • • • • Aplicaciones guardan cookies Larga duración Quedan en el backup Formato Binario © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics iPhone Analyzer © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics iPhone Backup Analyzer © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics iExplorer (Unregistered version) © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics iFunBox © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Herramientas comerciales © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Ubicación de ficheros importantes © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros • /private/var/mobile/Media/DCIM – /100Apple -> IMG_* – /999Apple -> Imágenes anteriores • • • • • • • /private/var/mobile/Library/Keyboard/dynamic-text.dat /private/var/Keychains/key-chain-2.db /private/var/mobile/Library/Notes/notes.sqlite /private/var/mobile/Library/SMS/sms.db /private/var/mobile/Library/Mail/ /private/var/mobile/Library/Maps/History.plist /private/var/mobile/Media/Recordings – Recordings.db – *.m4a © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Acceso directo a sistema de ficheros /private/var/mobile/Library/VoiceMail/ /private/var/mobile/Library/Cookies/cookies.binarycookies /private/var/mobile/Library/Caches/RecentSearches.plist* /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb • /private/var/Library/CallHistory/call_history.db • /private/var/Library/Calendar/Calendar.sqlitedb • /private/var/Library/Caches/locationd/consolidated.db • • • • © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Lenguaje de scripting: Perl • Inicialmente, herramienta de clasificación de ficheros de un backup • Luego, selección de ficheros ‘Juicy’ • Lios.pl & Lios_report.pl – Tratamiento de datos en un periodo de fechas – Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber, Notas de voz, Safari, Cámara – Timeline!!! – Otros: Binary Cookies, Dynamic Dictionary, Fotos eliminadas, Contactos,... © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Problemas encontrados – EPOCH vs. CFAbsoluteTime – Cambios en las versiones de IOS – Nombres de tablas inexistentes en diferentes versiones de Apps • Roadmap – Modularidad/Plugins, API – Wechat, Mail, Skype, Spotbros, Shazam, ficheros Mapsdata, navegación de otros browsers, alarmas, etc... – Informes exportables en PDF – Paquetizado para Windows/Mac – Integración con otras herramientas – Recuperación de registros borrados – Informe/Log de actividad, hashes, etc,... © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics LIOS #FF: Lawwait IOS Forensics Framework • Clientes... Actuales y próximos... – Perito Informático Forense en ANCITE (www.ancite.es) – Grupo de Delitos Telemáticos GDT Guardia Civil – Brigada Investigación Tecnológica BIT - Policía Nacional © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics ¿Conoces a Edward Snowden? © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics No me lo creo... a verlo! © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Conclusiones • Manipulación ficheros en crudo vs. Herramientas “homologadas” • Low cost o home made != Malo • LIOS: – Clasificación de ficheros “por tipo” – Ficheros “jugosos” – Report: • Información visual • Aplicaciones típicas, pero no estándar • Escalabilidad • Timeline © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics © Todos los derechos reservados LIOS #FF: A tool for IOS Forensics Email me: lorenzo@securizame.com Twitter: @lawwait @securizame @secbydefault © Todos los derechos reservados