CIS0910SD01 MÓVILES INTELIGENTES - Trabajos de Grado de...

1

CIS0910SD01

IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS MÓVILES INTELIGENTES

Autores:

ANDREA ARIZA DÍAZ JUAN CAMILO RUÍZ CARO

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C.

Diciembre de 2009

2

IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS MÓVILES INTELIGENTES

Autores:

ANDREA ARIZA DÍAZ JUAN CAMILO RUÍZ CARO

Trabajo de grado presentado para optar el título de Ingeniero de Sistemas

Director: Ingeniero Jeimy José Cano Martínez, PhD

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C.

Diciembre de 2009

3

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

Rector Magnífico Padre Joaquín Emilio Sánchez García S.J.

Decano Académico Facultad de Ingeniería Ingeniero Francisco Javier Rebolledo Muñoz

Decano del Medio Universitario Facultad de Ingeniería

Padre Sergio Bernal Restrepo S.J.

Director Carrera de Ingeniería de Sistemas Ingeniero Luis Carlos Díaz Chaparro

Director Departamento de Ingeniería de Sistemas

Ingeniero Germán Alberto Chavarro Flórez

4

Nota de Aceptación ______________________________________________________ ______________________________________________________ ______________________________________________________ ______________________________________________________

________________________________________ Jeimy José Cano Martínez

Director del Proyecto

________________________________________ María Isabel Serrano Gómez

Jurado

________________________________________ Nelson Gómez de la Peña

Jurado

5

Diciembre de 2009 Artículo 23 de la Resolución No. 1 de Junio de 1946 “La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el anhelo de buscar la verdad y la Justicia”

6

CONTENIDO

ÍNDICE DE ILUSTRACIONES.........................................................................................................9

ÍNDICE DE TABLAS ......................................................................................................................11

ABSTRACT......................................................................................................................................12

RESUMEN .......................................................................................................................................12

INTRODUCCIÓN ............................................................................................................................13

1. DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO ....................................................17

1.1. Formulación ..................................................................................................................17

1.2. Justificación...................................................................................................................17

1.3. Objetivo general ............................................................................................................18

1.4. Objetivos específicos.....................................................................................................18

2. REVISIÓN DE LITERATURA ................................................................................................19

2.1. ¿Qué es el iPhone? ............................................................................................................19

2.1.1. Conociendo el iPhone....................................................................................................22

2.1.2. Especificaciones técnicas del iPhone ............................................................................22

2.1.3. Estructura lógica y física del iPhone .............................................................................24

2.1.3.1. Hardware del iPhone .............................................................................................25

2.1.3.2. Software del iPhone...............................................................................................27

2.1.3.2.1. El sistema operativo iPhone OS ............................................................................28

2.1.3.2.1.1. Tecnología de capas del iPhone OS ..................................................................29

2.1.3.2.2. El sistema de archivos HFS+.................................................................................30

2.1.3.2.2.1. HFS+ Básico .....................................................................................................30

2.1.3.2.2.2. Conceptos del núcleo.........................................................................................31

2.1.3.2.2.3. Estructura del volumen......................................................................................32

2.1.3.2.2.4. HFSX.................................................................................................................34

2.1.3.2.2.5. Zona de Metadatos ............................................................................................34

2.2. Problemas de seguridad en el iPhone 3G ..........................................................................35

2.2.1. Jailbreak ....................................................................................................................35

2.2.2. Phishing, Spoofing y Spamming ...............................................................................36

2.2.3. Ataque directo ...........................................................................................................38

2.2.4. Inyección de mensajes cortos en teléfonos inteligentes.............................................41

7

2.3. Informática forense en teléfonos inteligentes ....................................................................42

2.3.1. Informática forense clásica........................................................................................42

2.3.1.1. Evidencia digital....................................................................................................43

2.3.1.1.1. Administración de evidencia digital ......................................................................44

2.3.1.1.1.1. Diseño de la evidencia.......................................................................................44

2.3.1.1.1.2. Producción de la evidencia ................................................................................44

2.3.1.1.1.3. Recolección de la evidencia ..............................................................................45

2.3.1.1.1.4. Análisis de la evidencia .....................................................................................45

2.3.1.1.1.5. Reporte y presentación ......................................................................................46

2.3.1.1.1.6. Determinación de la relevancia de la evidencia.................................................46

2.3.1.1.2. Consideraciones legales ........................................................................................46

2.3.1.2. Modelos y procedimientos en una investigación forense digital ...........................47

2.3.1.2.1. Cualidades de un modelo forense ..........................................................................47

2.3.1.2.2. Modelos forenses existentes ..................................................................................48

2.3.1.2.2.1. Departamento de Justicia de Estados Unidos (2001).........................................48

2.3.1.2.2.2. Modelo forense digital abstracto (2002) ...........................................................48

2.3.1.2.2.3. Modelo forense Mandia (2003) .........................................................................49

2.3.1.2.2.4. Modelo de investigación digital integrado – IDIP (2003) .................................50

2.3.1.3. Roles y funciones en una investigación forense digital .........................................53

2.3.1.4. Usos de la informática forense ..............................................................................54

2.3.2. Informática forense en iPhone 3G .............................................................................54

2.3.2.1. WOLF de Sixth Legion .........................................................................................57

2.3.2.2. Cellebrite UFED....................................................................................................58

2.3.2.3. Paraben Device Seizure (DS) ................................................................................59

2.3.2.4. MacLockPick II (MLP) .........................................................................................59

2.3.2.5. MDBackup Extract................................................................................................60

2.3.2.6. .XRY/.XACT 4.1 ..................................................................................................61

2.3.2.7. iLiberty+................................................................................................................61

2.3.2.8. CellDEK ................................................................................................................62

2.3.2.9. MEGA ...................................................................................................................63

3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)..............................................................64

8

3.1. Etapa de preparación e implementación ............................................................................64

3.2. Etapa de investigación física .............................................................................................64

3.3. Etapa de investigación digital............................................................................................67

3.4. Etapa de presentación y revisión .......................................................................................69

4. VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA..........................................70

4.1. Escenario de prueba ..........................................................................................................70

4.1.1. Definición del ataque y herramientas ........................................................................70

4.2. Aplicación guía metodológica ...........................................................................................70

4.2.1. Etapa de preparación e implementación ....................................................................70

4.2.2. Etapa de investigación física .....................................................................................71

4.2.3. Etapa de investigación digital....................................................................................78

4.2.4. Etapa de presentación y revisión ...............................................................................80

5. RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA ...............................................81

6. CONCLUSIONES ....................................................................................................................83

7. TRABAJOS FUTUROS ...........................................................................................................84

8. REFERENCIAS ........................................................................................................................85

9

ÍNDICE DE ILUSTRACIONES Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3], traducción libre de los autores...........................................................................................................13 Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4], traducción libre de los autores...........................................................................................................14 Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7], traducción libre de los autores...........................................................................................................15 Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre de los autores.....................................................................................................................................15 Ilustración 5. ROKR. Tomado de [19] ..............................................................................................20 Ilustración 6. iPhone Linksys. Tomado de [101] ..............................................................................21 Ilustración 7. iPhone 3G. Tomado de [24] ........................................................................................21 Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores ..........27 Ilustración 9. Interacción iPhone OS. Tomado de [42] .....................................................................29 Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores..........................................................................................................................................................29 Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los autores ...............................................................................................................................................34 Ilustración 12. Recorte de URL en la aplicación iPhone Mail ..........................................................36 Ilustración 13. Página falsa accedida por medio del iPhone 3G........................................................37 Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA [56] con sistema operativo Windows XP. ..........................................................37 Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail ................................38 Ilustración 16. Escaneo de red y puertos abiertos con Zenmap.........................................................40 Ilustración 17. Ingreso datos para acceder al dispositivo por SSH....................................................40 Ilustración 18. Ingreso de usuario y contraseña WinCSP Login .......................................................40 Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login ...............................................41 Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores .42 Ilustración 21. Ciclo administración de la evidencia digital [70] ......................................................44 Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de los autores .........................................................................................................................................49 Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores .................51 Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción libre de los autores ............................................................................................................................51 Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción libre de los autores ............................................................................................................................52 Ilustración 26. Desmontar iPhone desde iTunes ...............................................................................65 Ilustración 27. Foto de estado general de la escena del crimen .........................................................71 Ilustración 28. Foto computador portátil V3718LA no incautado.....................................................72 Ilustración 29. Foto router Linksys no incautado ..............................................................................73 Ilustración 30. Foto cable USB incautado .........................................................................................73

10

Ilustración 31. Foto adaptador de corriente incautado ......................................................................73

Ilustración 32. Foto iPhone 3G incautado .........................................................................................73 Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática..........................................................................................................................................................77

11

ÍNDICE DE TABLAS

Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción libre de los autores ............................................................................................................................16 Tabla 2. Especificaciones Técnicas del iPhone [21] .........................................................................24 Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores .25 Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores ..............................26 Tabla 5. Características HFS+ [43], traducción libre de los autores .................................................31 Tabla 6. Asignación de roles .............................................................................................................70 Tabla 7. Formato actuación primer respondiente diligenciado .........................................................71 Tabla 8. Formato documentación escena del crimen diligenciado ....................................................72 Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado ................................76 Tabla 10. Registro de cadena de custodia diligenciado .....................................................................77

12

ABSTRACT

Now days, mobile telephony has become very popular world wide due to it’s wide range of functionality, combined with its mobile capacity that offer to final users. In this scenario appears the iPhone, which offers integrated services of cell phone, music player and Web browser features. It has achieved great user acceptance for both, the common and the corporate users. As a consequence of its popularity, the iPhone is now considered as a working tool, such as a computer, in which sensitive information is stored. As its popularity grows, attacks to its vulnerabilities grow too. Therefore this work, as a contribution to mobile forensics, presents an analysis protocol which helps in the formalization of procedures in iPhone 3G forensic investigations.

RESUMEN

En la actualidad, la telefonía móvil ha adquirido gran popularidad en el mundo entero debido a las características de portabilidad y usabilidad que ofrece a sus clientes. En este escenario se encuentra el iPhone el cual, gracias a los servicios integrados de teléfono celular, reproductor de música y navegador web, ha alcanzado gran aceptación tanto para el usuario común como para los usuarios corporativos. Como consecuencia de su popularidad ha logrado convertirse en una herramienta de trabajo en la cual se almacena información sensible, razón por la que igualmente, se han incrementado los ataques a las vulnerabilidades que el dispositivo presenta. Por lo tanto este trabajo de grado, presenta un aporte a la informática forense orientada a dispositivos móviles, proponiendo un protocolo de análisis que ayude a formalizar los procedimientos al momento de realizar este tipo de investigaciones en un iPhone 3G.

13

INTRODUCCIÓN

Según [1] en la actualidad, y desde hace aproximadamente diez años, el empleo de dispositivos móviles se ha incrementado notablemente. “El uso de sistemas de telecomunicaciones móviles en todo el mundo ha llegado a proporciones casi epidémicas”, principalmente por su facilidad de uso y la propiedad de mantener en contacto permanente a sus usuarios, por lo cual se ha generado un cambio significativo en la forma en que las personas se comunican, pero también por su proliferación se ha incrementado su uso en actividades de orden delictivo.

Existe gran variedad de gamas de dispositivos móviles, dentro de los cuales el mayor crecimiento en popularidad y uso se presenta en los dispositivos móviles inteligentes, debido a su capacidad tanto para realizar llamadas como para navegar por Internet con el objetivo de intercambiar información a través de diferentes enlaces y además porque permiten desarrollar y ejecutar aplicaciones que no necesariamente son incluidas por el fabricante [2]. Canalys, empresa que realiza análisis expertos de la industria de alta tecnología, realiza anualmente una investigación acerca del estado del mercado de los dispositivos móviles inteligentes. En los dos últimos años (2007-2008) se ha presentado el mayor crecimiento en el uso de estos dispositivos comparándolo con años anteriores. Las investigaciones indican que en el 2007 los teléfonos móviles inteligentes representaron el 10% del mercado mundial de telefonía móvil por unidades, con un crecimiento anual del 60%, siendo así, uno de los segmentos de más rápido crecimiento en la industria de la tecnología (Ver Ilustración 1) [3].

Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3], traducción libre de los autores

De los resultados observados anteriormente cabe rescatar que Apple1 se introdujo en el mercado en tercer lugar con el dispositivo móvil iPhone, esto gracias a la innovación en cuanto a diseño e interfaz de usuario que soporta [3]. Canalys estimó que Apple en el 2007 tomó el 28% del mercado de dispositivos móviles de EE.UU [3].

1 Empresa estadounidense de tecnología informática.

14

Las investigaciones realizadas en el 2008 indican que los teléfonos móviles inteligentes representaron el 13% del mercado mundial de telefonía móvil por unidades (Ver Ilustración 2).

Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4], traducción libre de los autores

De lo anterior, con la llegada del iPhone 3G al mercado, Apple se posicionó en el segundo lugar de ventas de dispositivos móviles inteligentes [4]. De tal manera que el iPhone 3G se ha convertido rápidamente en líder en el mercado de dispositivos móviles, gracias a su uso en organizaciones y al uso de las personas en su vida cotidiana. Su amplio rango de funcionalidades, combinado con el hecho de ser móvil permite que sea considerado como una oficina móvil o como un computador en sí [5].

Al alcanzar tanta popularidad en el mercado mundial de dispositivos móviles y por la variedad de funcionalidades que ofrecen los teléfonos inteligentes, también se han incrementado notablemente los ataques a las vulnerabilidades que ellos presentan. Un tipo de estos ataques, son los llamados ataques fuertes, los cuales son más fáciles de realizar y son más lucrativos para quienes los desarrollan y llevan a cabo, no solo a nivel de dispositivos móviles sino a nivel de cualquier otro sistema informático dentro de una organización [7]. Anualmente el Instituto de Seguridad Informática CSI (Computer Security Institute) [6] publica reporte llamado CSI Computer Crime and Security Survey [5] en el cual se realiza un análisis de la situación actual de la seguridad informática y del crimen cibernético de las organizaciones participantes de la encuesta (alrededor de 522 organizaciones), y cuyo objetivo principal es conocer si las mejores prácticas de seguridad informática implantadas producen resultados. La encuesta año tras año se encarga de preguntar qué tipo de incidentes se presentan dentro de las organizaciones, los resultados que se obtuvieron en el 2008 se pueden ver en la Ilustración 3.

15

Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7], traducción libre de los autores

Es rescatable que año tras año la cifra se reduce en una proporción considerable (Ver Ilustración 4) debido a que las organizaciones advierten la necesidad de invertir presupuesto en la seguridad informática. Pero aún así, el número de incidentes que se presentan sigue siendo grande, pues hay gran cantidad de ellos que no son detectados [8].

Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre de los autores

Además, debido a la necesidad de movilidad dentro de las organizaciones y la necesidad de poder tener la información necesaria disponible en cualquier lugar y en cualquier momento, el uso de dispositivos móviles inteligentes dentro de estas se ha incrementado notablemente, una de las razones por las cuales su popularidad ha aumentado al igual que los incidentes de inseguridad (robo de información de propietarios y pérdida de datos de clientes) que ocurren sobre ellos (Ver Tabla 1) [8].

Tabla 1 2004 2005 2006 2007 2008 Robo/Pérdida de información de

propietarios

10% 9% 9% 8% 9%

De dispositivos móviles 4% De todas las otras fuentes 5% Robo/Pérdida de datos de

clientes 17% 17%

16

De dispositivos móviles 8% De todas las otras fuentes 8%

Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción libre de los autores

“Gran porcentaje de los encuestados intenta realizar la identificación del perpetrador de los ataques. Este es uno de los objetivos principales de la informática forense ya que ésta disciplina es la encargada de recuperar y recolectar evidencia digital del sistema vulnerado para lograr identificar la acción realizada y demás detalles del ataque efectuado” [8]. Es más fácil y debe ser más importante para lograr la identificación de estos perpetradores, monitorear los terminales de comunicación que la comunicación en si misma. Por ejemplo si un criminal utiliza un iPhone para llevar a cabo algún tipo de ataque, su operación estará comprometida en cierto nivel [5], pues el hecho que haya utilizado este dispositivo para cometer el ataque implicará que se siga un procedimiento estándar establecido para la realizar la investigación.

En la actualidad existen una gran cantidad de proveedores y de fabricantes de dispositivos móviles inteligentes lo que produce heterogeneidad en todo sentido en el campo de la informática forense, especialmente en las herramientas que se utilizan para obtener evidencia de los dispositivos en una investigación forense, de tal manera que los fabricantes crean sus propios protocolos para este propósito [2]. Por tal razón las investigaciones forenses sobre este tipo de dispositivos es considerada un área de investigación reciente, es decir, la legalidad y la admisibilidad del proceso seguido para obtener evidencia puede variar de jurisdicción en jurisdicción [9], de proveedor a proveedor, de analista a analista.

Como se mencionó anteriormente el iPhone 3G es uno de los teléfonos móviles más populares en el mercado, convirtiéndose rápidamente en líder de ventas a nivel mundial. Es en esencia un computador, y el personal de muchas organizaciones lo utiliza para manejar información sensible de la misma, por su amplio rango de funcionalidades que hace que sea considerado como una oficina móvil [5]. A diferencia de la informática forense clásica, el análisis forense sobre dispositivos móviles inteligentes y específicamente sobre iPhone, es un campo relativamente nuevo y los procedimientos y las normas no se han completado, por lo cual un análisis forense que se lleve a cabo sobre un dispositivo como este, puede ser admitido o no, dependiendo de lo que considere el juez que lleve el caso y la formalidad con que se desarrolle el procedimiento de recolección, control, análisis y presentación de las evidencias.

17

1. DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO

1.1. Formulación

Actualmente la información almacenada en cualquier computador y/o dispositivo móvil puede considerarse como el activo de información más valioso para cualquier organización e incluso para cualquier persona del común. Con los métodos de comunicación que existen actualmente como la red wireless2 o tecnologías de corto alcance como Bluetooth3 se puede hacer uso de la información y compartir la misma de manera eficiente sin necesidad de encontrarse en una estación de trabajo fija conectada a algún medio físico.

Por consiguiente, el constante desarrollo de las tecnologías móviles ha permitido aumentar la portabilidad de la información. Esto se ve reflejado con la llegada de la tercera generación de telefonía móvil, donde podemos tener acceso a dispositivos móviles como el iPhone 3G, que en esencia tiene las mismas características de un computador y permite almacenar y transferir varios tipos de información en el momento y lugar deseado por el usuario [5] [16].

Por otra parte debido a su gran popularidad y la importancia de la información que almacenan y transmiten, estos dispositivos pueden ser víctimas de ataques criminales que buscan afectar la integridad, confiabilidad y disponibilidad de la información que estos administran, como mensajes de texto, mensajes multimedia, historial de páginas web visitadas, contactos telefónicos, imágenes, registro de llamadas, sonidos y correos electrónicos [12], información valiosa al momento de realizar un análisis forense en una escena del crimen donde se encuentre un iPhone 3G [13].

En consecuencia uno de los retos que enfrenta actualmente la computación forense es realizar análisis forense sobre dispositivos móviles y en el caso de esta investigación específicamente sobre el iPhone 3G, esto debido a que se tiene como base los procedimientos realizados en la informática forense clásica4, pero no existen procedimientos formalizados para realizar este tipo de análisis específicamente sobre este dispositivo.

Por tanto, y teniendo en cuenta lo anterior, esta investigación trata de dar respuesta a la pregunta: ¿Qué pasos se deben seguir para realizar un análisis forense sobre un iPhone con tecnología 3G luego de ser víctima de un ataque?

1.2. Justificación

Se ha evidenciado que si bien el investigador forense tiende a seguir una metodología para realizar un análisis, frecuentemente la aparición de nuevas tecnologías y la heterogeneidad que estas presentan, no permiten que el seguimiento sea estricto y que varíen los procedimientos que se

2 Tecnología inalámbrica que provee a las computadoras y otros dispositivos comunicación sin tener que estar conectadas a algún medio físico [10]. 3 Tecnología que consiste en la comunicación entre dos o más dispositivos sin la intervención de cables (Wireless), por medio de un transmisor RF, una banda base y una pila de protocolos [11]. 4 La informática forense es una rama de las ciencias forenses, que involucra la aplicación de la metodología y la ciencia para identificar, preservar, recuperar, extraer, documentar e interpretar [5] pruebas o evidencias procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los hechos encontrados en la escena del crimen [36], para luego usar dichas evidencias como elemento material probatorio en un proceso judicial [34] [14].

18

utilizan. Por otra parte, la variedad de herramientas de análisis de datos que existen, presentan características particulares que facilitan o dificultan algunas actividades necesarias en el proceso de análisis de datos.

Este documento establece un conjunto de elementos conceptuales y aplicados sobre el dispositivo móvil iPhone 3G, perteneciente a una de las áreas que requiere hoy en día mas investigación y profundización [14], debido a que los procedimientos y las normas para su análisis aún se encuentran en desarrollo, y al crecimiento tecnológico y popularidad alcanzada. En la segunda fase de la investigación se propondrá una guía metodológica donde se definirá el proceso especializado en la obtención de detalles de incidentes ocurridos en un iPhone 3G, además de probar escenarios reales en incidentes de seguridad informática sobre el dispositivo.

1.3. Objetivo general

Desarrollar una guía metodológica para realizar análisis forense sobre dispositivos móviles luego de ser víctima de un ataque (Caso de estudio: iPhone 3G).

1.4. Objetivos específicos

• Identificar las características físicas y funcionales del iPhone 3G.

• Identificar los problemas de seguridad de la información del iPhone 3G.

• Analizar los modelos actuales de la informática forense clásica orientada a dispositivos móviles iPhone 3G.

• Caracterizar los tipos de ataques y herramientas forenses orientadas a iPhone 3G existentes hasta el momento.

• Diseñar una guía metodológica, definiendo el proceso de análisis forense sobre iPhone 3G.

• Probar la guía metodológica propuesta, luego de su aplicación en casos concretos de ataques sobre iPhone 3G.

19

2. REVISIÓN DE LITERATURA

2.1. ¿Qué es el iPhone?

El iPhone es un dispositivo móvil creado por Apple5, caracterizado principalmente por combinar tres productos en uno: un teléfono revolucionario, un iPod6 de pantalla ancha y un innovador dispositivo de internet que permite navegar en la web, recibir correos electrónicos con HTML enriquecido y navegación web completa [27]. En la actualidad existen 2 generaciones, la generación más reciente de estos dispositivos es llamada iPhone 3G, la cual se diferencia de la segunda principalmente por hacer uso de la tercera generación de telefonía móvil y por tener nuevas funcionalidades como GPS7 [29] (Ver sección 2.1.1. Conociendo el iPhone).

Según [16], la historia del iPhone comienza en el año 2002 poco tiempo después de haber sido lanzado al mercado el reproductor de música iPod (Ver Anexo 1), cuando el presidente de Apple, Steve Jobs, vio la necesidad de crear un dispositivo que uniera las características propias de un teléfono celular, un BlackBerry8 y un reproductor de música, con el objetivo de aumentar la comodidad al momento de utilizar estos productos, debido a que hasta ese momento los usuarios adquirían cada uno de estos por separado.

Para esa época la idea de Steve Jobs era buena, pero tenía algunos inconvenientes. La velocidad de las redes no permitirían crear un dispositivo móvil que accediera de manera eficiente a internet, y además Apple tuvo que crear un sistema operativo completamente nuevo, debido a que el sistema operativo del iPod no era suficientemente sofisticado para manejar redes, gráficos y las funciones de un teléfono celular; pero sin importar estos inconvenientes Apple comenzó a registrar la marca de iPhone en varios países como Singapur y Australia [19].

En el 2004 la popularidad del iPod disminuyó, debido la llegada al mercado de los teléfonos inteligentes que unían la posibilidad de tener un teléfono celular y escuchar música en el mismo dispositivo [17], en este año Motorola había lanzado al mercado su teléfono celular RAZR. Al ver la popularidad de este dispositivo Steve Jobs se alió con Motorola para crear un teléfono celular innovador que uniera las funcionalidades del iTunes9 con un teléfono celular [16].

En septiembre de 2005, se lanzó al mercado el ROKR (Ver Ilustración 5), resultado de la alianza entre Apple y Motorola, teléfono celular llamado “un iPod Shuffle en tu teléfono” por Steve Jobs [18]; este producto no fue exitoso, ya que tenía problemas de capacidad al solo poder almacenar 100

5 Formalmente Apple Computer Inc., empresa norte americana que se caracteriza por producir computadores, portátiles, impresoras, cámaras y sistemas operativos con tecnología innovadora por más de 30 años [9] 6 Reproductor de música creado por Apple Inc., caracterizado por ser una biblioteca multimedia digital [28] 7 Sistema de posicionamiento global, que permite determinar en todo el mundo la posición de un objeto, una persona, un vehículo o una nave, con una precisión hasta de centímetros. 8 Inicialmente fueron una solución que se dio a la necesidad de interconexión entre personal de empresas [20] 9 Aplicación para MAC y computadores personales, que reproduce música digital y sincroniza el contenido del iPod, iPhone y Apple TV [22]

20

canciones, no se podían descargar canciones directamente desde iTunes y su apariencia física no era agradable [17] [18].

Ilustración 5. ROKR. Tomado de [19]

En octubre de ese año, luego del fracaso del ROKR, Steve Jobs se reunió con los directivos de Cingular (AT&T desde diciembre del 2006), dando a conocer que Apple tenía la tecnología necesaria para construir un dispositivo revolucionario, y estaba dispuesto a considerar un acuerdo de exclusividad con esta empresa de telefonía [17]. En ese momento Jobs estaba confiado de los resultados que podría obtener, ya que los ingenieros de Apple habían trabajado aproximadamente un año en la tecnología de pantalla táctil para los monitores de los computadores de escritorio MAC y gracias al lanzamiento del microprocesador ARM, finalmente el procesador del teléfono podía ser más eficiente para un dispositivo que tenía como objetivo combinar la funcionalidad de un teléfono celular, un computador y un iPod [16].

El diseño y construcción del iPhone comenzó a mediados del 2006. Internamente en Apple, este proyecto fue conocido como P2 (Purple 2), el software y hardware del iPhone se desarrolló en diferentes equipos de trabajo, y faltando pocos meses para su lanzamiento, los equipos se reunieron para unir estas dos partes [16]. En Noviembre del mismo año, Apple consiguió la patente del iPhone y un mes después cuando los ingenieros de Apple seguían trabajando en el prototipo del iPhone, Linksys adquirido por Cisco, lanzó al mercado su teléfono celular llamado iPhone (Ver Ilustración 6), nombre adquirido por ellos desde el año 2000 [19]. Por tal razón, a comienzos del 2007 Cisco demandó a Apple por haber patentado el dispositivo con el nombre “iPhone”, pero luego de un mes las dos partes llegaron a un acuerdo que consistía en compartir el nombre.

21

Ilustración 6. iPhone Linksys. Tomado de [101]

En enero de 2007, antes que Cisco instaurara la demanda contra Apple por el nombre del iPhone, Steve Jobs anunció en el MacWorld10 de ese año, que en pocos meses sería el lanzamiento oficial de la primera generación del dispositivo [19]. Luego de 6 meses de espera, el 29 de Junio de 2007 se realizó el lanzamiento oficial del iPhone al mercado. Aunque el dispositivo tuvo gran acogida por parte de los usuarios, tenía problemas al cargar la batería, se perdían las llamadas y no se podían ejecutar programas hechos en Flash o Java, sin embargo, estos problemas se fueron solucionando a través de las actualizaciones de software.

Durante la segunda mitad del 2007 Apple se dedicó a perfeccionar las aplicaciones del iPhone y a crear varias gamas del mismo dispositivo, y finalmente el 11 de Julio de 2008 fue lanzado al mercado la segunda generación de iPhone, dispositivo conocido como iPhone 3G [16] [19] (Ver Ilustración 7), caracterizado por hacer uso de la tercera generación de tecnología móvil (Ver sección 2.1.1. Conociendo el iPhone).

Ilustración 7. iPhone 3G. Tomado de [24]

10 Evento usado por Apple para promocionar sus productos más importantes [16]

22

2.1.1. Conociendo el iPhone

Diferentes dispositivos móviles, incluyendo celulares, han podido hacer lo que el iPhone es capaz de hacer desde hace mucho tiempo. Según [9], lo que lo diferencia de los demás y ha logrado hacerlo tan popular en el mercado de la tecnología móvil, es su diseño de pantalla táctil con un teclado virtual, lo cual permite que el tamaño de la pantalla sea superior a cualquier otro dispositivo permitiendo que la visualización de películas, fotos y el navegar por la web se pueda realizar de manera mas sencilla y cómoda.

Actualmente existen dos generaciones de iPhone. De la primera generación se lanzaron modelos con capacidad de almacenamiento de 4 GB y 8 GB, el modelo de 4 GB fue descontinuado del mercado dos meses después de su lanzamiento, por lo cual se lanzó el modelo de 16 GB de capacidad de almacenamiento. De la segunda generación se lanzaron modelos con las mismas capacidades, la diferencia radica en que el iPhone de segunda generación utiliza tecnología 3G (dispositivo de comunicación celular de tercera generación), y añade mas funcionalidades [9].

Las principales funciones del primer iPhone fueron:

• Comunicación celular • Acceso Web • Correo electrónico • Asistente personal de datos (PDA)

Calendario Agenda Notas

• Conexión con iTunes y YouTube11

La segunda generación de iPhone presenta más funcionalidades como servicios de GPS, que pueden ser vinculados con Google Maps12 para indicarle al usuario su ubicación exacta. Debido a lo anterior el iPhone puede actuar como cualquier dispositivo GPS, es decir, es capaz de manejar rutas y localizar servicios a través de la función de Google Map. Cuando el iPhone 3G se introdujo en el mercado presentaba problemas con esta funcionalidad, sin embargo, con la actualización 2.1 sobre el software del mismo, estos problemas se resolvieron. Otra funcionalidad permitió el acceso a la App Store13 tanto para iPhones de primera generación como para iPhones de segunda generación. Existen 19 categorías diferentes de aplicaciones para descargar directamente al iPhone ya sea vía App Store o iTunes, dichas aplicaciones pueden utilizar algunas características del iPhone como el acelerómetro, el GPS14, video, audio, herramientas de productividad y juegos [9].

2.1.2. Especificaciones técnicas del iPhone

La Tabla 2 muestra las especificaciones técnicas tanto del iPhone clásico como las del iPhone 3G. 11 Sitio web diseñado para cargar y compartir videos en Internet a través de sitios web, dispositivos móviles, blogs y correo electrónico. http://www.youtube.com/t/about 12 Servicio gratuito de Google que ofrece un servidor de aplicaciones de mapas web. 13 Mercado para aplicaciones con costo o gratis que se pueden ejecutar sobre el iPhone. 14 Sistema de Posicionamiento Global

23

Característica Especificación Dimensiones y peso • Alto: 115,5 mm / 115 mm*

• Ancho: 62,1 mm / 61 mm* • Fondo: 12,3 mm / 11,6 mm* • Peso: 133 g / 135 g*

Capacidad Disco flash de 4GB*, 8GB o 16 GB Color • Modelo de 8GB: Negro

• Modelo de 16GB: Negro* o Blanco Pantalla • Pantalla ancha de 3.5 pulgadas (diagonales) con Multi-Toque

• Resolución de 480x320 pixeles a 163 ppi • Soporte para mostrar múltiples lenguajes y caracteres

simultáneamente Audio • Respuesta de frecuencia: 20Hz a 20,000Hz

• Formatos de audio soportados: AAC, AAC Protegido, MP3, MP3 VBR, Audible (formatos 2, 3, y 4), Apple Lossless, AIFF, y WAV

• Límite de volumen máximo configurable por el usuario Telefonía y conectividad inalámbrica

• UMTS/HSDPA (850, 1900, 2100 MHz) / No lo soporta* • GSM/EDGE (850, 900, 1800, 1900 MHz) • Wi-Fi (802.11b/g) • Bluetooth 2.0 + EDR

Video Formatos de video soportados: video H.264, hasta 1.5 Mbps, 640 por 480 píxeles, 30 cuadros por segundo, versión de Baja Complejidad del H.264 Baseline Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio estéreo en formatos de archivo .m4v, .mp4 y .mov file; video H.264, hasta 768 Kbps, 320 por 240 píxeles, 30 cuadros por segundo, Baseline Profile hasta Nivel 1.3 con audio AAC-LC de hasta 160 Kbps, 48kHz, audio estéreo en formatos de archivo .m4v, .mp4 y .mov; video MPEG-4, hasta 2.5 Mbps, 640 por 480 píxeles, 30 cuadros por segundo, Simple Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio estéreo en formatos de archivo .m4v, .mp4 y .mov

GPS GPS Asistido / No lo soporta* Cámara y fotos • 2.0 Mega pixeles

• Rotulado geográfico de fotos • Integración con aplicaciones del iPhone y de terceros

Soporte para idiomas • Soporte de idiomas para inglés, francés, alemán, japonés, holandés, italiano, español, portugués, danés, finés, noruego, sueco, coreano, chino simplificado, chino tradicional, ruso, polaco, turco y ucraniano.

• Soporte de teclado internacional y diccionario para inglés (Estados Unidos), inglés (Reino Unido), francés (Francia), francés (Canadá), alemán, japonés, holandés, italiano, español, portugués (Portugal), portugués (Brasil), danés, finés, noruego, sueco, coreano (sin diccionario), chino simplificado, chino tradicional, ruso, polaco, turco y ucraniano.

Conectores y entradas /salidas

• Conector base de 30 pines • Mini-conector estéreo para auriculares de 3.3mm • Altavoz incorporado • Micrófono • Bandeja para tarjeta SIM

Botones y controles externos

• Volumen (subida/bajada) • Botón Home • Timbre/Silencio • Temporizador encendido y apagado

Sensores • Acelerómetro • Sensor de proximidad

24

• Sensor de luz ambiente Energía y batería • Batería de litio-ion recargable incorporada

• Carga a través de un puerto USB de la computadora o del adaptador de corriente

• Tiempo de conversación: Hasta 5 horas con 3G / No lo soporta* Hasta 10 horas con 2G / Hasta 8 horas* Tiempo en espera activa: Hasta 300 horas / Hasta 250

horas* • Uso en Internet:

Hasta 5 horas con 3G / No lo soporta* Hasta 6 horas con Wi-Fi / Hasta 6 horas*

• Reproducción de Video: Hasta 7 horas • Reproducción de Audio: Hasta 24 horas

Requerimientos de sistema para Mac

• Computadora Mac con puerto USB 2.0 • Mac OS X v10.4.10 o posterior • iTunes 7.7 o posterior

Requerimientos de sistema para Windows

• Computadora PC con puerto USB 2.0 • Windows Vista; o Windows XP Home o Professional con Service

Pack 2 o posterior • iTunes 7.7 o posterior

Requerimientos ambientales

• Temperatura de funcionamiento: 0° a 35° C • Temperatura apagado: -20° a 45° C • Humedad relativa: 5% a 95% no condensada • Altitud de funcionamiento máxima: 10.000 pies (3000 m) Tabla 2. Especificaciones Técnicas del iPhone [21]

*Características soportadas únicamente por el iPhone de primera generación

2.1.3. Estructura lógica y física del iPhone

Como se mencionó anteriormente, el iPhone es un teléfono inteligente que integra funcionalidades de iPod y teléfono celular. Es en esencia un computador ejecutando una versión del sistema operativo Leopard UNIX OS de Apple, diseñado principalmente para minimizar las escrituras sobre la memoria flash, de forma tal que se puede conservar y preservar datos por periodos largos de tiempo, incluso por mucho mas tiempo que lo que un computador de escritorio podría hacerlo [5].

El iPhone ejecuta una versión móvil de MAC OS X 10.5 (Leopard) que es similar a la versión del sistema operativo MAC para computadores portátiles y de escritorio [5]. Las características principales, aunque modelos diferentes se han lanzado, pero que aún conservan son:

• Arquitectura ARM: el iPhone utiliza arquitectura de procesador ARM15 (Máquina RISC avanzada)

• Hardware: hardware especial fue añadido al iPhone. Sensores como el acelerómetro y el sensor de proximidad, pantalla multi-toque, y varios radios incluyendo GSM, Wi-Fi16 y Bluetooth.

15 Familia de microprocesadores RISC

25

• Interfaz de usuario: Apple acondicionó controles amigables para el contacto, además de interfaces que se acomodaran al hardware multi-toque implantado en forma de páginas y no de ventanas como lo maneja la versión del sistema operativo de escritorio.

• Kernel: usa un núcleo firmado diseñado para prevenir su manipulación.

2.1.3.1. Hardware del iPhone

Aunque los primeros modelos del iPhone tuvieron variaciones. Como cualquier dispositivo electrónico complejo, el iPhone es una colección de módulos, chips y otros componentes electrónicos de diferentes fabricantes [23]. Debido a la las múltiples características que este dispositivo posee la lista de componentes es extensa como se puede ver en las siguientes tablas.

Los componentes que se muestran en la Tabla 3 se conservaron para todos los modelos de la primera generación.

Función Fabricante Modelo Unidad central de procesamiento (CPU) Samsung ARM S5L890DB01 512 Mbit SRAM

EDGE17 Infineon PMB8876 S-Gold 2 EDGE Baseband Processor GSM Infineon M1817A11 GSM RF Transceiver

Disco Samsung 65-nm 8/16 GB (K9MCG08U5M), 4GB (K9HBG08U1M) MLC NAND Flash

Amplificador Skyworks SKY77340-13 Signal Amplifier Tarjeta de red inalámbrica Marvell 90-nm 88W8686 Controlador en Entrada/Salida Broadcom BCM5973A

Memoria Flash Intel PF38F1030W0YTQ2 (32 MB NOR + 16 MB SRAM)

Procesador de audio Wolfson WM8758 Bluetooth CSR BlueCore 4 Pantalla táctil Phillips LPC2221/02992

Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores

Los componentes que se muestran en la Tabla 4 pertenecen al modelo 3G.

Función Fabricante Modelo

Unidad central de procesamiento (CPU) Samsung

S5L8900B01 – 412 MHz ARM1176Z(F)-S RISC, 128 Mbytes of stacked, package-on-package, DDR SDRAM

Aceleración Gráfica 3D Tecnologías Imagination Power VR MBX Lite

Amplificador de potencia UMTS18 TriQuint TQM676031 – Band 1 – HSUPA

TQM666032 – Band 2 – HSUPA

16 Es una marca registrada de Wi-‐Fi Alliance que pueden utilizarse con productos certificados que pertenecen a una clase de red inalámbrica de área local inalámbrica (WLAN), los dispositivos basados en los estándares IEEE 802.11 [95]. 17 Es una tecnología compatible con versiones anteriores de tecnología digital de telefonía móvil, que permite la mejora de transmisión de datos como una extensión en la parte superior de la norma GSM [96]. 18 Amplificador de señales UMTS

26

TQM616035 – Band 5/6 - WCDMA/HSUPA PA-duplexer

Transceptor UMTS Infineon PMB 6272 GSM/EDGE and WCDMA PMB 5701

Procesador Base Infineon X-Gold 608 (PMB 8878)

Memoria base de apoyo Numonyx PF38F3050M0Y0CE - 16 Mbytes of NOR flash y 8 Mbytes of pseudo-SRAM

Amplificador de cuatro bandas GSM / EDGE Skyworks SKY77340 (824- to 915-MHz)

Antena GPS, Wi-fi y BT NXP OM3805, a variant of PCF50635/33 Gestor de comunicaciones Infineon SMARTi Power 3i (SMP3i) Gestor a nivel de sistema NXP PCF50633 Cargador de batería / controlador USB Tecnología Linear LTC4088-2

GPS Infineon PMB2525 Hammerhead II Flash NAND Toshiba TH58G6D1DTG80 (8 GB NAND Flash) Chip flash serial SST SST25VF080B (1 MB)

Acelerómetro ST Microelectronics LIS331 DL

Wi-Fi Marvell 88W8686 Bluetooth CSR BlueCore6-ROM Codec de audio Wolfson WM6180C Controlador de la pantalla táctil Broadcom BCM5974

Interfaz de enlace con la pantalla

National Semiconductor LM2512AA Mobile Pixel Link

Controlador de línea de pantalla táctil Texas Instruments CD3239

Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores

A continuación se presenta una breve descripción del funcionamiento de dos de los componentes más importantes del iPhone:

• Unidad central de procesamiento (CPU): es una unidad de procesamiento RISC19 que ejecuta el núcleo de los procesos del iPhone y trabaja conjuntamente con el coprocesador PowerVR para la aceleración de gráficos. La CPU ejecuta a una tasa de reloj más baja que la especificada por el fabricante, se ejecuta a 412 MHz de 667 MHz posibles, esto para extender la vida útil de la batería [23].

• Procesador Base: es el componente del iPhone que gestiona todas las funciones que requiere la antena (servicios celulares). El procesador base tiene su propia memoria RAM20 y firmware en flash NOR21, como recurso de la CPU principal. El Wi-Fi y el Bluetooth son

19 Es un tipo de microprocesador con las siguientes características fundamentales: Instrucciones de tamaño fijo, presentadas en un reducido número de formatos. Sólo las instrucciones de carga y almacenamiento acceden a la memoria por datos. 20 Memoria de acceso aleatorio desde donde el procesador recibe las instrucciones y guarda los resultados. 21 Memoria que permite que múltiples posiciones de memoria sean escritas o borradas en una misma operación de programación mediante impulsos eléctricos.

27

gestionados por la CPU principal a pesar que el procesador base almacena su dirección MAC22 en su NVRAM23 [23].

2.1.3.2. Software del iPhone

Según [5] y [9], el esquema de partición del disco de un iPhone se asemeja al de un Apple TV24. Por defecto, el iPhone está configurado con dos particiones de disco que no residen en una unidad de disco física debido a que utiliza una NAND flash25 de estado sólido que es tratada como un disco de almacenamiento. Allí se almacenan una tabla de particiones y un formato de sistema de archivos.

La primera partición se conoce como Master Boot Record26 (MRB) y es la responsable de cargar el sistema operativo. Esta partición es de solo lectura para conservar el estado de fábrica durante todo el ciclo de vida del iPhone, y es donde se encuentran todas las aplicaciones que vienen por defecto en el iPhone. A continuación existe un área libre conocida como Apple_Free area, seguida de la segunda partición que se divide en dos: una parte HFSX27 que en un principio almacena el sistema operativo, otra área libre Apple_Free area, y la segunda parte HFSX que contiene todos los datos de usuario, donde se almacena música, videos, fotos, información de contactos, entre otros.

• Primera Partición: el tamaño de la primera partición está generalmente entre los 300MB y los 500MB, y usa el sistema de archivos HFSX. Los orígenes del iPhone provienen del iPod y del Apple TV, que cuentan con dos particiones: una únicamente para operación y otra únicamente para almacenamiento (Ver Ilustración 8). Aunque el esquema de partición es diferente, los sistemas de archivos son similares en su estructura [9].

Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores 22 Es un identificador de 48 bits que corresponde de forma única a un dispositivo. 23 La memoria de acceso aleatorio no volátiles un tipo de memoria que no pierde la información almacenada al cortar la alimentación eléctrica. 24 El Apple TV permite escuchar los temas de iTunes, visualizar fotos en HD y visualizar podcasts gratuitos. http://www.apple.com/es/appletv/whatis.html 25 Memorias que usan un túnel de inyección para la escritura y para el borrado un túnel de ‘soltado’. Permiten acceso secuencial (más orientado a dispositivos de almacenamiento masivo). 26 Sector de almacenamiento de datos que contiene código de arranque de un sistema operativo almacenado en otros sectores del disco. 27 Es un sistema de archivos desarrollado por Apple Inc.

28

Esta partición es la encargada de cargar el sistema operativo del iPhone, el iPhone OS, el cual es una variante del núcleo del sistema operativo OS X de Apple. Basado en el mismo núcleo MACH28 y compartiendo algunos elementos básicos con el OS X 10.5 (Leopard), el iPhone se compone de 4 capas, incluyendo el sistema operativo básico, el núcleo API de servicios, los medios de comunicación y una capa resistente denominada Cocoa Touch [23].

• Segunda Partición: en un iPhone de 16 GB esta partición es de 14.1 GB, en uno de 8 GB es de 7.07 GB. Esta contiene el sistema de archivos HFSX y un volumen llamado “Data”. En esta partición es donde la mayoría de la información y de datos de valor se aloja y puede ser localizada [9]. Según [5], otro tipo de datos que se almacenan además de la música, videos, fotos y contactos son:

Caches de teclado, nombres de usuario, contraseñas, términos de búsqueda y fragmentos de documentación tecleada.

Pantallazos del último estado de una aplicación son preservados cuando el botón Home es presionado o cuando se cierra alguna aplicación.

Fotos eliminadas de la librería y de la memoria. Direcciones, contactos, eventos de calendario y otros datos personales. Historial de llamadas, además de las que se despliegan, las últimas 100 llamadas y

entradas eliminadas. Imágenes de mapas de mapas de Google Maps y búsquedas por longitud/latitud de

coordenadas. Cache del buscador y objetos eliminados del buscador que identifican que sitios

web fueron visitados. Correos electrónicos eliminados, mensajes de texto, marcas de tiempo y banderas

de comunicación (con quien y en que dirección la comunicación tuvo lugar). Grabaciones de correo de voz eliminadas. Información entre el dispositivo y el computador relacionado.

2.1.3.2.1. El sistema operativo iPhone OS

El iPhone OS es el sistema operativo que se ejecuta sobre los dispositivos iPhone y iPod Touch. Se encarga principalmente de la gestión del hardware del dispositivo, y provee las tecnologías básicas para implementar aplicaciones nativas en el teléfono [41].

Como se mencionó anteriormente, la arquitectura del iPhone OS es similar a la arquitectura base del Mac OS X, compartiendo la mayoría de tecnologías y características provenientes de él. En un alto nivel, el iPhone OS actúa como un intermediario entre el hardware del dispositivo, y las aplicaciones que aparecen en la pantalla (Ver Ilustración 9). Las aplicaciones no interactúan directamente con el hardware, en su lugar, utilizan interfaces que interactúan con los controladores asociados, para proteger de cambios subyacentes en el hardware [42].

28 Es un sistema operativo a nivel de micro núcleo desarrollado como soporte tanto para computación paralela como distribuida http://www2.cs.cmu.edu/afs/cs/project/mach/public/www/mach.html.

29

Ilustración 9. Interacción iPhone OS. Tomado de [42]

El iPhone OS utiliza una pila de software sencilla. En la parte inferior de esta pila, se encuentran el núcleo MACH y los controladores de hardware, que gestionan la ejecución de aplicaciones en el dispositivo. En la parte superior, se encuentran capas adicionales que contienen las tecnologías básicas e interfaces asociadas a los controladores hardware. Y, aunque el iPhone OS no expone el núcleo o las interfaces de los controladores, si expone las tecnologías (Ver sección Tecnología de capas del iPhone OS) en los niveles superiores de la pila [42].

2.1.3.2.1.1. Tecnología de capas del iPhone OS

Según [42], en el iPhone OS la arquitectura del sistema, y la mayoría de las tecnologías son similares a las que se encuentran en el Mac OS X. El núcleo o kernel, se basa en una variante del kernel MACH que se encuentra en dicho sistema operativo.

La implementación de las tecnologías del iPhone OS se puede representar como un conjunto de capas (Ver Ilustración 10). Las capas inferiores contienen los servicios fundamentales en los que todas las aplicaciones se basan, mientras las capas superiores contienen servicios y tecnologías más sofisticados.

Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores

La capa del Núcleo OS y la capa de Servicios del Núcleo contienen las interfaces fundamentales del iPhone OS. Estas incluyen aquellas usadas para acceder a los archivos, tipos de datos de bajo nivel,

30

servicios Bonjour29, sockets de red, entre otros. La mayoría de estas interfaces se encuentran desarrolladas bajo el lenguaje de programación C, e incluyen tecnologías como CoreFunction, CFNetwork30, SQLite31, acceso a hilos POSIX32 y sockets UNIX33 [41].

A medida que se sube de capa, se encontrarán tecnologías más avanzadas, desarrolladas bajo una mezcla entre el lenguaje de programación C y Objective-C34. Por ejemplo, la capa de medios de comunicación contiene tecnologías fundamentales usadas para soportar gráficos 2D y 3D, audio y video. Incluye tecnologías bajo C como OpenGL ES35, Quartz36, Audio Core37 y un motor de animación llamado Animación Core que está basado en Objective-C [41].

En la capa superior Cocoa Touch, la mayoría de tecnologías están desarrolladas en Objective-C, y los frameworks que la componen proveen la infraestructura fundamental necesaria para ejecutar las aplicaciones. Por ejemplo, uno de los frameworks contenidos en esta capa es conocido como Foundation. Éste provee soporte para colecciones orientadas a objetos, manejo de archivos, operaciones de red, entre otros. Otro framework, es el UIKit que provee la infraestructura para la aplicación, es decir, incluye clases para ventanas, vistas, controles y controladores que manejan esos objetos. Otros marcos de trabajo a este nivel dan acceso a la información de contactos y fotos del usuario, al acelerómetro y otras características de hardware del dispositivo [41].

2.1.3.2.2. El sistema de archivos HFS+

Como se mencionó anteriormente, el disco del iPhone utiliza un sistema de archivos HFSX, que es una variante del sistema de archivos HFS+ de Apple. En general, HFSX es casi idéntico en su totalidad a HFS+, pero se diferencian por ciertas características, que mas adelante serán mencionadas. Para entender su estructura es necesario conocer en detalle el sistema de archivos HFS+ y mencionar las características que lo diferencian.

2.1.3.2.2.1. HFS+ Básico

HFS+ es un formato de volumen para Mac OS. Fue introducido con el Mac OS 8.1, y es arquitectónicamente muy similar a HFS, aunque ha presentado una serie de cambios importantes, que se muestran en la Tabla 5 [43].

29 Los servicios Bonjour, también son conocidos como servicios de configuración de red, que permiten el descubrimiento automático de computadores, dispositivos y servicios en redes IP [94]. 30 Es un framework de los servicios básicos, que ofrece una colección de abstracciones de protocolos de red [97]. 31 Sistema de gestión de bases de datos. 32 Código multihilo portable. 33 Es un punto final de comunicaciones de datos que es similar a un socket de Internet, pero no utiliza un protocolo de red para la comunicación. 34 El Objective-‐C es un lenguaje simple, diseñado para permitir programación orientada a objetos sofisticada [98]. 35 Es una plataforma cruzada para permitir funciones de gráficos 2D y 3D en sistemas embebidos incluyendo las consolas, teléfonos, aparatos y vehículos. 36 Quartz 2D es un avanzado motor de dibujo de dos dimensiones para el desarrollo de aplicaciones del iPhone y para todos los entornos Mac OS X fuera de la aplicación del núcleo [99]. 37 Es una API de bajo nivel para tratar con el sonido en el sistema de Apple Mac OS X.

31

Característica HFS+ Nombre de usuario visible Mac OS Extendido

Número de asignación de bloques 32 bits

Nombres de archivos largos 255 caracteres

Codificación de nombres de archivos Unicode

Atributos de archivos / carpetas

Permite futuras extensiones de metadatos

Soporte de inicio del SO También soporta un archivo dedicado de inicio

Tamaño del catálogo de nodo 4KB

Tamaño máximo de archivo 263 bytes

Tabla 5. Características HFS+ [43], traducción libre de los autores

• Uso del Disco: HFS+ utiliza valores de 32 bits para identificar bloques de asignación. Esto permite hasta 232 (4’294.967.296) bloques de asignación en un volumen. Más bloques de asignación significan un menor tamaño del bloque, especialmente en volúmenes de 1 GB o mayores, que a su vez significa menos espacio desperdiciado. Por tal razón, se puede almacenar un mayor número de archivos, ya que el espacio de disco disponible se puede distribuir de mejor manera.

• Nombres de archivos: HFS+ utiliza hasta 255 caracteres Unicode para almacenar nombres de archivos. Esto permite tener nombres largos descriptivos, lo cual es útil cuando el nombre es generado por el computador automáticamente. El nombre de un archivo puede ocupar hasta 512 bytes (incluyendo el campo de longitud). Y, como el árbol B de índices debe almacenar al menos dos llaves, además de los apuntadores y descriptor de nodo, el catálogo de HFS+ debe usar un tamaño de nodo mayor. Generalmente el tamaño del nodo para el catálogo del árbol B es de 4 KB. Las llaves en un nodo deben ocupar una cantidad de espacio variable determinada por el tamaño actual de la llave. Esto permite que no se desperdicie mucho espacio en los nodos ya que se crea un factor de mayor ramificación en el árbol, es decir, se requiere un menor número de accesos para encontrar algún registro.

2.1.3.2.2.2. Conceptos del núcleo

HFS+ utiliza estructuras interrelacionadas para la gestión de los datos en el volumen [43]. Estas estructuras incluyen:

• Cabecera del volumen • Archivo del catálogo • Archivo de grados de desbordamiento • Archivo de atributos • Archivo de asignaciones

32

• Archivo de inicio

A continuación se describirá cómo estas estructuras se relacionan entre sí, y se definen los tipos de datos primitivos usados por HFS+. Cada una de las estructuras se describirá con mayor detalle en las siguientes secciones.

HFS+ es una especificación de cómo un volumen (archivos que contienen datos de usuario, así como la estructura para obtener esos datos) existe en el disco (el medio en el que los datos de usuario son almacenados). El espacio de almacenamiento en el disco está dividido en unidades llamadas sectores. Un sector es la mínima parte que puede ser escrita o leída en una sola operación por el controlador del disco, y su tamaño se basa en la forma en que es establecido físicamente (para discos duros los sectores son de 512 bytes, para medios ópticos son de 2048 bytes) [43].

HFS+ asigna espacio en unidades llamadas bloques de asignación, que son simplemente un grupo de bytes consecutivos. El tamaño de estos bloques, se establece cuando el volumen es inicializado, y puede ser superior o igual a 512 bytes. La forma de identificación de estos bloques, se hace mediante un número de 32 bits, de forma tal que pueden existir 232 bloques de asignación en un volumen.

Todas las estructuras del volumen, incluyendo la cabecera, son parte de uno o más bloques de asignación. Para promover la contigüidad de archivos y evitar la fragmentación, estos son asignados a grupos de bloques. El tamaño de estos grupos siempre es múltiplo del tamaño de un bloque de asignación y se define en la cabecera del volumen.

2.1.3.2.2.3. Estructura del volumen

Los primeros 1024 bytes de un volumen, y los últimos 512 son espacios reservados. Cada volumen debe tener una cabecera, la cual ocupa 1024 bytes después del primer espacio reservado. Contiene información descriptiva y atributos del volumen, como fecha y hora de creación, el número de archivos que contiene, la ubicación de las otras estructuras dentro de él, versión, tamaño del bloque de asignación e información para localizar metadatos de los archivos [43] [44]. Además, antes de los 512 bytes reservados al final del volumen, se encuentra una copia de la cabecera, conocida como la cabecera alterna del volumen, que ocupa de igual manera 1024 bytes, y es utilizada únicamente para funciones de reparación del disco [43].

Un volumen contiene cinco archivos especiales, los cuales almacenan las estructuras requeridas para acceder a la carga útil del sistema de archivos, es decir, carpetas, archivos de usuario, y atributos. Estos archivos especiales contienen una única bifurcación ó fork de datos, y su extensión también está descrita en la cabecera del volumen [43].

El archivo de catálogo es un tipo de archivo especial, que describe la jerarquía de carpetas y archivos en un volumen. Contiene la mayoría de los metadatos de los mismos, e información vital de todos los archivos y carpetas dentro de un volumen, así como la información del catálogo, para archivos y carpetas que se almacenan allí. Se encuentra organizado en un árbol-B, para permitir búsquedas rápidas y eficientes a través de una jerarquía extensa de carpetas, almacenando allí los nombres de los archivos y carpetas (255 caracteres Unicode, nombrados anteriormente).

33

El archivo de atributos es otro tipo de archivo especial, el cual contiene datos adicionales para un archivo o carpeta. Al igual que el archivo de catálogo, se organiza en un árbol-B. En un futuro, se usará para almacenar información adicional sobre los forks, es decir, metadatos extensibles, listas de control y tiempos de máquina [43] [44].

HFS+ hace un seguimiento acerca de cuáles bloques pertenecen a un fork manteniendo una lista de las extensiones de los forks. Una extensión es un rango contiguo de asignaciones de bloques para un fork específico, representado por un par de números: el número del primer bloque de asignación y el número de bloques de asignación. Para un archivo de usuario, las primeras ocho extensiones se almacenan en el archivo de catálogo. Las extensiones adicionales se almacenan en el archivo especial de grados de desbordamiento, el cual se organiza también en un árbol-B.

El archivo de asignación es otro archivo especial, qué específica cuales bloques de asignación están siendo utilizados y cuáles no.

El archivo de inicio es otro archivo especial, que facilita el arranque del volumen HFS+ en computadores que no son Mac.

Finalmente, el archivo de bloques defectuosos previene al volumen de usar ciertos bloques debido a que el medio que los almacena se encuentra defectuoso [43].

El volumen HFS+ consiste de siete tipos de información o áreas:

1. Archivos forks de usuario 2. Archivo de asignación (mapa de bits) 3. Archivo de catálogo 4. Archivo de grados de desbordamiento 5. Archivo de atributos 6. Archivo de inicio 7. Espacio no usado

La estructura general del volumen HFS+ se ilustra a continuación:

34

Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los autores

La cabecera del volumen se encuentra siempre en una ubicación fija. Sin embargo, los archivos especiales pueden aparecer en cualquier ubicación entre el bloque de la cabecera del volumen y el bloque de la cabecera alterna del volumen. Estos archivos pueden aparecer en cualquier orden y no necesariamente están contiguos [43].

La información en el volumen HFS+ está organizada exclusivamente en bloques de asignación. El tamaño de un bloque de asignación es potencia de dos, es de al menos 512 bytes, y se fija cuando el volumen es inicializado como un parámetro de la cabecera [43].

2.1.3.2.2.4. HFSX

Según [43], HFSX es una extensión para HFS+, que permite características adicionales incompatibles con HFS+. La única de esas características que está definida actualmente es la distinción de mayúsculas y minúsculas en los nombres de archivos. Significa que se puede tener dos objetos, cuyos nombres se diferencian sólo en letras, en el mismo directorio al mismo tiempo. Por ejemplo, se podría tener "Bob", "Bob", y "bob" en el mismo directorio.

El volumen HFSX tiene una firma de "HX" (0x4858) en el campo de firma de la cabecera. En el campo de versión se identifica la versión HFSX usada en el volumen, actualmente solo está definido el valor de 5. Si se añaden funciones incompatibles con versiones anteriores (es decir, versiones anteriores no podrán modificar o tener acceso al volumen), un número nuevo de versión se utilizará.

2.1.3.2.2.5. Zona de Metadatos

Mac OS X versión 10.3 introdujo una nueva política para determinar cómo distribuir el espacio para los archivos, lo cual mejora el rendimiento. Esta política sitúa el volumen de metadatos y pequeños archivos de uso frecuente ("archivos calientes") cerca unos de otros en el disco, lo que reduce el

35

tiempo de búsqueda de accesos típicos. Esta área en el disco se conoce como la zona de metadatos [43].

2.2. Problemas de seguridad en el iPhone 3G

Según [45], gracias al iPhone, Apple aumentó su participación en el mercado mundial de teléfonos inteligentes de un 2.8 % a un 13.3 %. Aumento debido a la “experiencia de usuario” que este dispositivo ofrece a sus compradores, y a su incorporación en ambientes empresariales. En principio, este dispositivo era visto como una herramienta de entretenimiento, pero con el paso del tiempo y la aparición de aplicaciones corporativas se ha ido convirtiendo en una herramienta empresarial.

Según lo anterior, la información que se maneja en este tipo de dispositivos cada vez es más sensible, por lo tanto, puede llegar a ser objeto de ataque de agentes malintencionados (Hackers) con el fin de afectar la integridad, confiabilidad y disponibilidad de esta. En la actualidad no existe una taxonomía detallada que especifique que tipo de ataques puede sufrir un iPhone 3G, sin embargo, se han identificado algunos ataques, los cuales se describirán a continuación.

2.2.1. Jailbreak

A través del Jailbreak, el propietario del iPhone es consciente y en algunos casos responsable de realizar este tipo de ataque, con el objetivo de liberar a dicho dispositivo de las limitaciones impuestas por Apple y los operadores de telefonía celular como AT&T en Estados Unidos, los cuales tienen contratos exclusivos para la venta de este tipo de dispositivos [46].

Este tipo de ataque ha logrado adquirir popularidad debido a los beneficios económicos y funcionales que ofrece, tales como la configuración del dispositivo para lograr su funcionamiento con cualquier otro operador de telefonía celular. Así mismo, personalizar su apariencia e instalar aplicaciones ofrecidas en el Apple Store de Apple sin ningún costo [46].

Actualmente existen varias herramientas como Pwnage Tool [30] y Redsn0w [10] desarrolladas por el iPhone Dev Team38 [48], las cuales permiten realizar el Jailbreak sobre el iPhone que se pretende atacar, sacando provecho de una vulnerabilidad descubierta en el gestor de arranque de estos dispositivos [49] [50].

Según [50], las herramientas nombradas anteriormente inician arrancando desde un dispositivo de memoria (disco RAM) en un entorno “seguro", para evitar que el núcleo desactive las llaves de cifrado. Además, añade otro dispositivo de memoria, apuntando al espacio de direcciones del núcleo, que permite aplicar parches sobre el núcleo (kernel). Después de arrancar, se aplica un parche sobre la verificación de la firma en la extensión AppleImage2NorAccess, y se continúa con la implantación de los nuevos archivos de instalación (iBoot, LLB, DeviceTree, y fotos). Debido a que se aplica un parche sobre la comprobación de la firma, y las claves de cifrado están disponibles,

38 Grupo de Hackers dedicados a desarrollar soluciones orientadas al desbloqueo de los productos móviles de Apple [48].

36

el AppleImage2NORAccess las escribe en el lugar adecuado del disco. Después de eso, el dispositivo puede ser reiniciado, y aceptará cualquier archivo sin ningún tipo de complicación.

2.2.2. Phishing39, Spoofing40 y Spamming41

Actualmente, los usuarios del iPhone 3G pueden gestionar y ver el correo electrónico como si lo estuvieran haciendo desde un computador, por medio de la aplicación iPhone Mail o a través del navegador Safari el cual viene por defecto en este dispositivo [52].

Las aplicaciones nombradas anteriormente son vulnerables al URL spoofing, por medio del cual se pueden realizar ataques de phishing contra los usuarios de este dispositivo [53]. Con respecto a lo anterior, debido al tamaño de su pantalla este dispositivo tiene un problema al momento de mostrar direcciones electrónicas muy largas, ya que no las muestra en su totalidad si no que por el contrario oculta por medio de puntos suspensivos el centro de dicha dirección (Ver Ilustración 12) [55].

Ilustración 12. Recorte de URL en la aplicación iPhone Mail

Por lo tanto, es posible que un atacante construya un URL muy largo y lo envíe por medio de un correo electrónico, en donde la primera parte, la cual es visualizada en el iPhone, parezca un dominio de confianza, con esto, la victima solo verá la parte conocida y hará clic sobre el enlace malicioso (Ver Ilustración 13).

39 Capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente se usa con el objetivo de robar información confidencial del usuario como contraseñas, números de tarjetas de crédito y datos financieros o bancarios [51]. 40 Tipo de ataque que tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y contraseña [84]. 41 Capacidad de enviar mensajes no solicitados, habitualmente de tipo publicitario, enviados de forma masiva. La vía mas utilizada es basada en el correo electrónico pero también se puede presentar por programas de mensajería instantánea o por telefonía celular [57].

37

Ilustración 13. Página falsa accedida por medio del iPhone 3G

Cabe resaltar que el ataque nombrado anteriormente hasta el momento puede ser realizado en los iPhone con firmware 2.0.1, 2.0.2, 2.1, 3.0 y 3.01, ya que no ha salido ninguna actualización donde se corrija esta vulnerabilidad por parte de Apple [54].

Por otro lado, la aplicación iPhone Mail también es vulnerable debido a la forma cómo gestiona las imágenes adjuntas a los correos electrónicos [55]. Actualmente la mayoría de clientes de correo electrónico requieren autorización para realizar la descarga de imágenes desde un servidor remoto (Ver Ilustración 14), si estas imágenes se descargarán automáticamente, el spammer42 que controla el servidor remoto sabrá que el usuario leyó el mensaje, y luego marcará su cuenta de correo como una cuenta activa con el fin de enviar mas spam43 [54].

Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA [56] con sistema operativo Windows XP.

42 Persona dedicada a enviar spam [57]. 43 Mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más utilizada es la basada en el correo electrónico pero puede presentarse por programas de mensajería instantánea o por teléfono celular [93]

38

Con respecto a lo anterior, la vulnerabilidad de la aplicación iPhone mail, radica en que la descarga de imágenes es realizada automáticamente, y no hay forma de desactivar esta característica (Ver Ilustración 15) [54].

Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail

2.2.3. Ataque directo

Según [58], una de las maneras más peligrosas en las que un dispositivo móvil puede ser atacado es por un ataque directo, en el cual el Hacker encuentra el dispositivo y toma acciones deliberadas para vulnerarlo. Para realizar este ataque en primera instancia el hacker tiene que encontrar e identificar el dispositivo, esto se puede hacer de varias formas, una de ellas consiste simplemente en observarlo. Si alguien está revisando su correo electrónico desde su dispositivo móvil o realizando una llamada en un espacio público, lo único que necesita el atacante es identificar el tipo de dispositivo que está siendo usado y determinar el tipo de exploit44 que puede ejecutar sobre este.

Otra forma de realizar este ataque es ubicando al dispositivo mientras se encuentre conectado a una red, en este escenario no es necesario ver al dispositivo o al usuario físicamente. Si el dispositivo móvil se encuentra conectado a internet implica que tiene asignada una dirección IP45 perteneciente a alguna red, por lo tanto, cualquier persona que pueda obtener una dirección IP de dicha red podrá localizar el dispositivo.

Con respecto a lo anterior, luego que el dispositivo móvil sea encontrado por el hacker las acciones que se pueden realizar sobre éste varían según el tipo de dispositivo y la tecnología que éste use. A continuación se muestran algunas acciones que se pueden tomar:

• Extracción de información almacenada en el dispositivo. • Modificación de información almacenada en el dispositivo.

44 Programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo [85]. 45 Número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo dentro de una red que utilice el protocolo IP (Internet Protocol).

39

• Cargar información al dispositivo (incluyendo Malware46). • Modificación de la configuración del dispositivo. • Hacer uso de este de forma no autorizada. • Dejar sin uso el dispositivo.

Según [59], este tipo de ataque puede ser realizado sobre un iPhone 3G luego que el usuario realice Jailbreak sobre éste (Ver sección Jailbreak), ya que una de las acciones habituales al momento de desbloquear el dispositivo es instalar OpenSSH47 a través de Cydia48, con el objetivo de poder transferir aplicaciones de Apple sin pagar desde un computador al dispositivo. OpenSSH es un demonio que se inicia automáticamente al momento de encender el iPhone y se mantiene a la escucha de peticiones por el puerto 22 (por defecto). A continuación se muestran los pasos necesarios para realizar un ataque directo sobre un iPhone 3G:

1. Conseguir contraseña root

Como se explicó en capítulos anteriores el iPhone es en esencia un computador el cual tiene sistema operativo, por lo tanto tiene cuentas de acceso de usuario. En este dispositivo existen dos cuentas de usuario, root y mobile, el problema de estas contraseñas es que son públicas y conocidas por todos los iPhone 3G. Cómo necesitamos ingresar con todos los privilegios usaremos la cuenta root que tiene como contraseña alpine.

2. Identificar el dispositivo y encontrar puertos abiertos

Para lograr conocer la dirección IP que tiene asignada el dispositivo es necesario realizar una búsqueda de todos los dispositivos activos dentro de la red que estamos usando, para esto existen gran variedad de herramientas como Nmap [60] y Netcat [61].

Las herramientas nombradas anteriormente son usadas para realizar exploración sobre redes, por medio de estas herramientas se puede conocer la dirección IP de los dispositivos que se encuentren conectados en una red, los puertos abiertos y el tipo de sistema operativo que usan.

Con respecto a lo anterior, al momento de realizar la búsqueda del iPhone objetivo es necesario explorar la red en la cual se encuentra la máquina atacante, buscando algún dispositivo que tenga abiertos los puertos 22 (OpenSSH) y 62078, este último usado por dicho dispositivo para poder sincronizarse con iTunes (Ver Ilustración 16).

46 También conocido como Virus Informáticos, es cualquier tipo de software dañino que puede afectar un sistema [86]. 47 Versión libre del paquete de herramientas de comunicación segura del protocolo SSH/SecSH para redes [87]. 48 Aplicación que permite instalar cualquier tipo de aplicación que no sea fabricada por APPLE en dispositivos iPod e iPhone.

40

Ilustración 16. Escaneo de red y puertos abiertos con Zenmap

Una vez encontrado el dispositivo, se procede a acceder al dispositivo por medio del programa WinSCP Login49 usando como datos la dirección IP encontrada y el puerto 22 como se muestra en la Ilustración 17.

Ilustración 17. Ingreso datos para acceder al dispositivo por SSH

Si el dispositivo está escuchando por el puerto 22, el programa por el cual se está realizando la conexión pedirá el nombre de usuario y la contraseña, en este caso se debe ingresar root y alpine respectivamente (Ver Ilustración 18).

Ilustración 18. Ingreso de usuario y contraseña WinCSP Login

Luego de confirmar la contraseña, se obtienen todos los derechos de acceso sobre la información contenida en el iPhone como se muestra en la Ilustración 19.

49 Cliente SFTP gráfico para Windows que emplea SSH

41

Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login

2.2.4. Inyección de mensajes cortos en teléfonos inteligentes

El servicio de mensajes cortos (SMS), es un servicio que se creó exclusivamente para el servicio de telefonía móvil. Es usado principalmente para el envío de mensajes de texto por parte de los usuarios, así como para algunos servicios ocultos del teléfono móvil.

Según [90] y [91], la seguridad en este servicio es crítica, debido a que, algunos ataques se pueden llevar a cabo remotamente sin necesidad de tener algún tipo de interacción con el usuario, y además porque al servicio no se le pueden aplicar filtros de contenido o desactivarlo. A continuación, se presenta un método que aprovecha una vulnerabilidad en implementaciones SMS. Es un acercamiento que fue capaz de identificar problemas de seguridad no conocidos previamente, y que se pueden usar principalmente para la denegación de servicios (DoS) en teléfonos inteligentes.

Uno de los problemas que presenta este servicio, es la incertidumbre de recepción del mensaje original, puesto que los operadores de telefonía móvil pueden filtrar y modificar el contenido de los mensajes durante su entrega. En segundo lugar, es un servicio poco fiable, ya que mensajes importantes pueden retrasarse o ser descartados por razones no determinísticas. Debido a lo anterior, llevar a cabo pruebas de ataques utilizando este servicio puede tomar mucho tiempo y estas pueden llegar a ser difíciles de reproducir. Es por esto, que el acercamiento nombrado anteriormente elimina la necesidad de la red telefónica móvil a través de la inyección de mensajes cortos a nivel local en el teléfono inteligente, mediante un software que requiere acceso únicamente a nivel de aplicación en el teléfono inteligente. La inyección se realiza por debajo de la pila software del teléfono móvil, de forma tal que es posible analizar y probar todos los servicios que están basados en SMS que se ejecutan en dicha pila.

En el iPhone, la pila de telefonía consiste principalmente de una aplicación binaria llamada CommCenter. Esta aplicación se comunica directamente con el módem, usando un número de líneas seriales, de las cuales dos son utilizadas para transmisiones SMS. Maneja la recepción de mensajes por sí solo, sin la necesidad de otro tipo de procesos, además del de notificación de mensajes

42

entrantes. La aplicación de usuario SMS se usa exclusivamente para la lectura de mensajes SMS almacenados en la base de datos, y para la composición de nuevos mensajes.

El método de inyección de mensajes se basa en la adición de una capa entre la capa de las líneas seriales y la capa del multiplexor (la capa más baja en la pila de telefonía). A esta nueva capa se le da el nombre de inyector, y su propósito es realizar un ataque de hombre en el medio (man in the middle) en la comunicación entre el módem y la pila de telefonía. Su funcionalidad básica es leer comandos del multiplexor y reenviarlos al módem, y en el sentido contrario, leer los resultados del módem y reenviarlos al multiplexor.

Para inyectar un mensaje SMS en la capa de aplicación, el inyector genera un nuevo resultado CMT50 y lo envía al multiplexor, como si se reenviara un mensaje SMS real desde el módem. Además se encarga de gestionar los comandos de acuse de recibo enviados por el multiplexor (Ver Ilustración 20).

Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores

En el iPhone 3G, los mensajes SMS son gestionados por el proceso CommCenter. La interfaz para el CommCenter consiste de 16 líneas seriales virtuales /dev/dlci.spi-baseband [0-15]. La implementación en el iPhone OS está separada en dos partes: una librería y un demonio. La librería es inyectada en el proceso CommCenter mediante la pre-carga de la librería. Si los archivos respectivos son abiertos, la librería reemplaza el archivo descriptor con uno conectado al demonio. La única función de la librería es re direccionar las líneas seriales al demonio. El demonio implementa la inyección del mensaje actual y registra su funcionalidad.

2.3. Informática forense en teléfonos inteligentes

La informática forense aplicada a dispositivos móviles y especialmente a teléfonos inteligentes, es un área de investigación relativamente nueva. Es por esto que existe poca literatura sobre el tema, y más aún en lo relacionado con la atención de incidentes [14]. A continuación explicaremos que es la informática forense y la importancia de su aplicación en dispositivos móviles como el iPhone 3G.

2.3.1. Informática forense clásica

El constante aprovechamiento de fallas sobre los sistemas de computación por parte de agentes mal intencionados, ofrece un escenario perfecto para que se cultiven tendencias relacionadas con

50 Reenvío de un mensaje SMS recibido recientemente al computador

43

intrusos informáticos [32], estos agentes malintencionados varían según sus estrategias y motivaciones, que abarcan desde lucro monetario hasta satisfacción personal, y en algunos casos es un estilo de vida [33].

Con respecto a lo citado anteriormente, según [32], la criminalística ofrece un espacio de análisis y estudio sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones criminales, por lo tanto, es necesario establecer un conjunto de herramientas, estrategias y acciones que ayuden a identificar estos hechos y evidencias dentro del contexto informático [65].

La informática forense es una rama de las ciencias forenses, que involucra la aplicación de la metodología y la ciencia para identificar, preservar, recuperar, extraer, documentar e interpretar [5] pruebas o evidencias procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los hechos encontrados en la escena del crimen [36], para luego usar dichas evidencias como elemento material probatorio en un proceso judicial [34] [14].

2.3.1.1. Evidencia digital

Según [32], es importante anotar que la informática forense al ser un recurso importante para las ciencias forense modernas, asume dentro de sus procedimientos las tareas propias a la evidencia física en la escena del crimen como son: identificación, preservación, extracción, análisis, interpretación, documentación y presentación de las pruebas en el contexto de la situación bajo inspección.

Con respecto a lo anterior, según [32], se puede considerar la evidencia como “cualquier información, que sujeta a la intervención humana u otra semejante, ha sido extraída de un medio informático”. La evidencia digital tiene como características principales el hecho de ser volátil, anónima, duplicable, alterable y eliminable, en consecuencia, a diferencia de la evidencia física en un crimen clásico, la evidencia digital es un desafío para aquellas personas que la identifican y analizan debido a que se encuentran en un ambiente cambiante y dinámico [67] [68].

Según [32], la evidencia digital puede ser dividida en 3 categorías:

• Registros almacenados en el equipo de tecnología informática: correos electrónicos, imágenes, música, archivos de aplicaciones de ofimática51, etc.

• Registros generados por los equipos de tecnología informática: registros de auditoría, registros de eventos, registros de transacciones, etc.

• Registro generados y almacenados parcialmente en los equipos de tecnología informática: hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, documentos informativos, etc.

51 Conjunto de técnicas, aplicaciones y herramientas informáticas que se utilizan en funciones de oficina.

44

2.3.1.1.1. Administración de evidencia digital

A continuación se muestra el ciclo de vida de la evidencia digital (Ver Ilustración 21), el cual se expone en las buenas prácticas de evidencia digital establecidas en el Handbook Guidlines for the Management of IT [70] y consta de 6 fases.

Ilustración 21. Ciclo administración de la evidencia digital [70]

2.3.1.1.1.1. Diseño de la evidencia

Según [70], el objetivo principal de esta fase es fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologías de información, a continuación se muestran cinco objetivos que deben ser considerados para el diseño de la evidencia digital:

• Asegurar la relevancia de los registros electrónicos, que sean identificados, estén disponibles y sean utilizables.

• Los registros electrónicos deben tener un autor claramente identificado.

• Los registros electrónicos cuentan con una hora y fecha de creación o modificación.

• Los registros electrónicos cuentan con elementos que permiten validar su autenticidad.

• Verificar la confiabilidad de la producción o generación de los registros electrónicos por parte del sistema de información.

2.3.1.1.1.2. Producción de la evidencia

Según [70], el objetivo de ésta fase consiste en producir la mayor cantidad de información posible con el fin de aumentar las probabilidades de identificar y extraer la mayor cantidad de evidencia digital relacionada con el incidente. Por lo tanto, es necesario que el sistema de información produzca los registros electrónicos, identificar el autor de los registros electrónicos almacenados, identificar la fecha y hora de creación de estos, verificar que la aplicación esté operando

45

correctamente al momento de generar o modificar registros, y finalmente verificar la completitud de los registros generados.

Con respecto a lo anterior, es necesario tener en cuenta las siguientes prácticas:

• Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de registros electrónicos.

• Diseñar mecanismos de seguridad basados en certificados digitales para validar que es la aplicación en cuestión la que genera los registros electrónicos.

• De ser posible, establecer un servidor contra los cuales se pueda verificar la fecha y hora de creación de los registros electrónicos.

• Contar con pruebas y auditorias frecuentes alrededor de confiabilidad de los registros.

• Diseñar y mantener el control de integridad de los registros electrónicos, que permita identificar cambios que hayan sido realizado sobre ellos.

2.3.1.1.1.3. Recolección de la evidencia

El objetivo de esta fase es localizar toda la evidencia digital y asegurar que todos los registros electrónicos originales no han sido alterados [70]. Dicha recolección debe realizarse empezando por la información más volátil hasta la menos volátil, es importante que al momento de realizar la inspección del (los) equipo (s) se evite alterar cualquier variable, ya que un cambio insignificante a la vista podría invalidar todo el proceso de investigación en un proceso judicial. Por otro la recolección debe ser realizada mediante herramientas especializadas y certificadas con el objetivo de evitar modificaciones en las fechas de acceso y en la información del registro del sistema [38] [39] [40].

2.3.1.1.1.4. Análisis de la evidencia

El objetivo de esta fase es lograr identificar como fue efectuado el ataque, cual fue la vulnerabilidad explotada y en lo posible identificar al atacante [40], para lograr lo anterior es necesario reconstruir la secuencia temporal del ataque, para lo cual se debe recolectar la información de los archivos asociados, marcas de tiempo, permisos de acceso y estado de los archivos.

Según [70], es recomendable tener en cuenta las siguientes actividades al momento de realizar el análisis de la evidencia:

• Realizar copias autenticadas de los registros electrónicos originales sobre medios forenses estériles.

• Capacitar y formar en aspectos técnicos y legales a los profesionales que adelantaran las labores de análisis de datos.

46

• Validar y verificar la confiabilidad y limitaciones de las herramientas de hardware y software utilizadas para adelantar los análisis de los datos.

• Establecer el rango de tiempo de análisis y correlacionar los eventos en el contexto de los registros electrónicos recolectados y validados previamente.

• Mantener la perspectiva de los análisis efectuados sin descartar lo obvio, desentrañar lo escondido y validando las limitaciones de las tecnologías o aplicaciones que generaron los registros electrónicos.

2.3.1.1.1.5. Reporte y presentación

El objetivo de esta fase es presentar los resultados por parte del investigador sobre su búsqueda y análisis de los medios, lo que se encontró en la fase de análisis de la evidencia, así como información puntual de los hechos y posibles responsables [83]. Debido al rigor que requiere una investigación de este tipo, cada movimiento por parte del investigador o su equipo de trabajo se debe documentar hasta que se resuelva o se dé por concluido el caso. Esta documentación se debe llevar a cabo por medio de formularios que hacen parte del proceso estándar de investigación, entre los cuales se encuentran el documento de custodia de la evidencia nombrado en el numeral 5 de esta sección, el formulario de identificación de equipos y componentes, el formulario de incidencias tipificadas, el formulario de recolección de evidencias y el formulario de medios de almacenamiento [14].

2.3.1.1.1.6. Determinación de la relevancia de la evidencia

Según [70], el objetivo de esta fase es valorar las evidencias de tal manera que se identifiquen aquellas que sean relevantes y que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo. Con respecto a lo anterior, se sugieren dos criterios para tener en cuenta:

• Valor probatorio: establece aquel registro electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.

• Reglas de la evidencia: establece que se han seguido los procedimientos y reglas establecidas para la adecuada recolección y manejo de la evidencia.

2.3.1.1.2. Consideraciones legales

Según [5] y [35], la evidencia digital debe cumplir con las siguientes características para poder ser usada en procesos judiciales:

• Admisibilidad: toda evidencia recolectada debe ajustarse a ciertas normas jurídicas para poder ser presentadas ante un tribunal.

• Autenticidad: la evidencia debe ser relevante al caso, y el investigador forense debe estar en capacidad de representar el origen de la misma.

47

• Completitud: la evidencia debe contar todo en la escena del crimen y no una perspectiva en particular.

• Fiabilidad: las técnicas usadas para la obtención y análisis de la evidencia deben gozar de credibilidad y ser aceptadas en el campo en cuestión, evitando dudas sobre la autenticidad y veracidad de las evidencias.

• Entendimiento y Credibilidad: se debe explicar con claridad y pleno consentimiento, que proceso se siguió en la investigación y como la integridad de la evidencia fue preservada, para que esta sea comprensible y creíble en el tribunal.

2.3.1.2. Modelos y procedimientos en una investigación forense digital

Debido a las características de la evidencia digital (Ver sección Evidencia digital), es preciso extremar las medidas de seguridad y control que los investigadores deben tener a la hora de realizar sus labores, pues cualquier imprecisión en los procedimientos relacionados con esta puede llegar a comprometer el proceso, ya sea legal u organizacional [32].

2.3.1.2.1. Cualidades de un modelo forense

En algunos casos, los procedimientos forenses empleados están constituidos de manera informal, lo cual puede afectar la efectividad y la integridad de la investigación [65], por lo tanto un modelo forense debe tener las siguientes cualidades [69].

• Habilidad de realizar un registro de todo.

• Disposición de métricas automatizadas, como la longitud de una ruta de un archivo dentro de un sistema, y un parámetro de ajuste que permita a un analista forense decidir qué tipo de información es importante.

• Capacidad de registrar datos en varios niveles de abstracción, incluyendo los que no pertenecen explícitamente al sistema que se está analizando.

• Capacidad de poner límites a, y recopilar datos acerca de, porciones de ataques anteriormente desconocidos y métodos de ataques.

• Habilidad de registrar información sobre las condiciones de antes y después de la ocurrencia del incidente.

• Habilidad de modelar ataques en múltiples escenarios.

• Capacidad de traducir uno a uno los datos registrados con los acontecimientos que se produzcan.

48

2.3.1.2.2. Modelos forenses existentes

Con respecto a lo citado anteriormente, se hace necesaria la aplicación de procedimientos estrictos y cuidadosos, desde el momento en que se realiza la recolección de la evidencia, hasta que se obtienen los resultados posteriores a la investigación [14] [38]. Por tal razón, a continuación se muestra una descripción de varios modelos de investigación forense, existentes hasta el momento.

2.3.1.2.2.1. Departamento de Justicia de Estados Unidos (2001)

Según [37], el Departamento de Justicia de Estados Unidos publicó un modelo sobre investigación de crímenes electrónicos. La guía hace referencia a un primer nivel de respuesta a distintos tipos de evidencia e incluye procedimientos para la manipulación segura de esta [71]. Consta de las siguientes 4 fases:

• Preparación: preparar los equipos y las herramientas para realizar las tareas necesarias dentro de la investigación.

• Recolección: buscar y recolectar la evidencia electrónica

Asegurar y evaluar la escena: asegurar la escena para garantizar la seguridad de las personas y la integridad de la evidencia. La evidencia potencial debe ser definida en esta fase.

Documentar la escena: documentar los atributos físicos de la escena incluyendo fotografías del computador.

Recolección de evidencia: recolectar el sistema físico o realizar una copia de los datos del sistema.

• Examinación: revisión técnica de la evidencia encontrada en el sistema, esta fase está diseñada para facilitar la visibilidad de las pruebas, al explicar su origen y significado.

• Análisis: el equipo de investigación revisa los resultados de la fase anterior para darle un valor al caso.

• Presentación de informes: escribir informe sobre el proceso de examinación y los datos recuperados en la investigación forense en general.

2.3.1.2.2.2. Modelo forense digital abstracto (2002)

Según [36] [37] [71], investigadores de la Fuerza Aérea de Estados Unidos identificaron las características comunes en varios procesos de modelos e incorporaron otros en un modelo de procesos abstracto. Este modelo consta de 9 componentes:

• Identificación: reconocimiento del incidente para indicar y determinar el tipo de incidente o crimen.

49

• Preparación: preparación de herramientas, técnicas, órdenes de registro y autorizaciones de seguimiento y apoyo a la gestión.

• Acercamiento a la estrategia: formular dinámicamente un procedimiento basado en el impacto potencial y la tecnología en cuestión. El objetivo de la estrategia debe ser maximizar la obtención de pruebas no contaminadas, mientras que se minimiza el impacto a la víctima.

• Preservación: aislar, asegurar y preservar el estado de la evidencia física y digital.

• Recolección: registrar la escena física y realizar una copia de la evidencia digital usando procedimientos estandarizados y aceptados.

• Examinación: búsqueda en profundidad sistemática de la evidencia relativa a la sospecha del crimen. Esta fase se centra en la identificación y localización de la evidencia potencial, posiblemente en lugares no convencionales. Construir la documentación detallada para el análisis.

• Análisis: determinar el significado, reconstruir los fragmentos de datos y plantear conclusiones teniendo en cuanta la evidencia encontrada.

• Presentación: resumir y proporcionar una explicación sobre las conclusiones obtenidas.

• Retorno de la evidencia: garantizar que la evidencia física sea devuelta al propietario, así como la determinación y pruebas penales sobre la evidencia que fue removida.

2.3.1.2.2.3. Modelo forense Mandia (2003)

Kevin Mandia propone un modelo de respuesta a incidentes simple y preciso compuesto por 7 componentes (Ver Ilustración 22) [80].

Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de los autores

50

• Preparación al incidente: involucra la preparación de la organización como tal, así como del personal de investigación, para dar inicio a la respuesta al incidente ocurrido.

• Detección del incidente: esta fase es uno de los aspectos más importantes en la respuesta a incidentes. Normalmente los incidentes de seguridad se identifican cuando alguien sospecha que un evento no autorizado, inaceptable o ilegal se ha producido, y la participación de redes informáticas de la organización o equipo de procesamiento de datos se ve involucrada.

• Respuesta inicial: uno de los primeros pasos en cualquier investigación, es obtener información suficiente para determinar la respuesta adecuada que se debe dar al incidente. La fase de respuesta inicial implica la recolección de datos de la red, la determinación del tipo de incidente que ha ocurrido, y evaluar el impacto del incidente. La idea es reunir suficiente información para comenzar la siguiente fase, que es desarrollar una estrategia de respuesta.

• Formular estrategia de respuesta: el objetivo de esta fase es determinar la estrategia de respuesta más adecuada, dadas las circunstancias del incidente. La estrategia debe tener en cuenta aspectos políticos, técnicos, jurídicos, comerciales y de factores que rodean el incidente. La solución final depende de los objetivos del grupo o individuo con la responsabilidad de la selección de la estrategia.

• Investigar el incidente: consiste en determinar el quién, el qué, el cuándo, el dónde, el cómo y el por qué, alrededor de un incidente. Se llevará a cabo la recolección de datos y se realizara la investigación de la evidencia recolectada.

• Presentación de informes: esta puede ser la etapa más difícil del proceso de respuesta a incidentes. El desafío es crear los informes que describen con precisión los detalles de un incidente, de forma tal que sean comprensibles para el personal que toma decisiones, que puedan soportar la barrera del análisis y escrutinio jurídico, y que se produzcan en el momento oportuno.

• Resolución: el objetivo de esta fase, es poner en práctica las medidas y procedimientos determinados, para evitar que un incidente cause más daños. De forma tal, que se retorne a una situación estable, operativa y saludable. En otras palabras, en esta fase, se contiene el problema, se resuelve el problema, y se toman medidas para evitar que el problema ocurra de nuevo.

2.3.1.2.2.4. Modelo de investigación digital integrado – IDIP (2003)

Según [37], Brian Carrier y Eugene Spafford proponen un modelo que organiza el proceso de investigación forense en 5 grupos con un total de 17 fases (Ver Ilustración 23).

51

Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores

• Fases de preparación: el objetivo de esta fase es garantizar que las operaciones y la infraestructura están en condiciones para apoyar la investigación.

Fase de preparación de operaciones: asegura que el insumo humano está capacitado y equipado para enfrentar el incidente.

Fase de preparación de la infraestructura: asegura que la infraestructura subyacente es suficiente para hacer frente a los incidentes futuros.

• Fases de implementación: el objetivo de esta fase es proporcionar mecanismos para identificar y confirmar un incidente.

Fase de detección y notificación: dónde se detectó el incidente y avisar a las personas apropiadas.

Fase de confirmación y autorización: se confirma el incidente y se obtiene una autorización legal para llevar a cabo la búsqueda de evidencia.

• Fases de investigación física de la escena del crimen: el objetivo de esta fase es reconstruir y analizar las pruebas físicas, para poder reconstruir las acciones que se realizaron durante el incidente (Ver Ilustración 24).

Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción libre de los autores

Fase de preservación: preservar la escena del crimen con el fin de posteriormente poder identificar la evidencia.

52

Fase de encuesta(s): requiere un investigador que "entre" en la escena del crimen para identificar piezas de evidencia física.

Fase de documentación: consiste en tomar fotografías, dibujos y videos de la escena del crimen y de la evidencia.

Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia física adicional.

Fase de reconstrucción: organización de los resultados de los análisis realizados para poder desarrollar una teoría sobre el incidente.

Fase de presentación: presentación de la evidencia física o digital ante un tribunal.

• Fases de investigación digital de la escena del crimen: el objetivo de esta fase es recoger y analizar la evidencia digital que se ha obtenido en la fase de investigación física (Ver Ilustración 25).

Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción libre de los autores

Fase de preservación: preservar la escena del crimen digital, de manera que posteriormente puedan ser sincronizadas y analizadas para realizar otras pruebas.

Fase de encuesta: el investigador transfiere los datos relevantes a un lugar controlado.

Fase de documentación: consiste en documentar adecuadamente la evidencia digital, esta información es útil en la fase de presentación.

Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia digital. Las herramientas de software usadas revelan datos escondidos, eliminados, modificados o corruptos.

Fase de reconstrucción: la cual incluye poner juntas las piezas de un rompecabezas digital y desarrollar hipótesis investigativas.

53

Fase de presentación: que involucra la presentación de la evidencia digital encontrada, al equipo de investigación.

• Fase de revisión: el objetivo de esta fase es realizar una revisión de todo el proceso de investigación, para identificar mejoras en el mismo.

2.3.1.3. Roles y funciones en una investigación forense digital

El proceso de recolección de evidencia digital en un caso determinado, usualmente involucra diferentes tipos de roles [82]. Independientemente del tipo de incidente, los roles son similares [81]. Dentro de un proceso investigativo de tipo forense, es importante definir una serie de roles con el objetivo de definir responsabilidades entregadas al personal correspondiente. Además de esto, es importante para generar la cadena de custodia52 de la evidencia, debido a que dependiendo del rol, la persona puede o no tener acceso a la evidencia asegurando en cierta forma la admisibilidad de la evidencia y su preservación. El NIST (National Institute of Standards and Technology Special Publication) hace distinción de una serie de roles genéricos, para identificar responsabilidades asociadas y asegurar que el alcance de las actividades sea completo y suficiente [8] [81] [82]:

• Personal de primera respuesta: personal entrenado para llegar en primer lugar a la escena, proveer una evaluación inicial y empezar con el primer nivel de respuesta del incidente. Las responsabilidades de este rol son identificar la escena del incidente, asegurar la escena del incidente, acudir al personal de apoyo adecuado, y asistir en la recolección y preservación de evidencia.

• Investigadores: personal encargado de planear y manejar la preservación, adquisición, exanimación, análisis y reporte de la evidencia electrónica. El investigador líder es quién está a cargo de asegurar que las actividades que se llevan a cabo en la escena del crimen se ejecutan en el orden y momento correcto. Su responsabilidad es establecer la cadena de mando, la realización de la búsqueda en la escena del crimen, desarrollar la evidencia, preparar el reporte del caso, e informar cualquier hallazgo o determinación a los oficiales asignados.

• Técnicos: personal encargado de llevar a cabo tareas bajo la supervisión del investigador líder. Son responsables de identificar y recolectar evidencia, así como de documentar la escena del incidente. Son entrenados especialmente para incautar los equipos electrónicos y obtener imágenes digitales de ellos y preservar los datos volátiles, es por esto que generalmente son expertos en computación forense, o simplemente se cuenta con técnicos expertos en diferentes áreas. Otras responsabilidades que tienen son, identificar, registrar, aislar, transportar y procesar la evidencia.

• Custodios de la evidencia: personal encargado de proteger toda la evidencia reunida y almacenada en una ubicación central. Ellos aceptan la evidencia recolectada por los

52 Actividad por la cual se hace constar las particularidades de los elementos materia de prueba, de los custodios, el lugar, sitio exacto, fecha y hora de los traspasos y traslados del elemento materia de prueba o evidencia física, entre otros [89].

54

técnicos, se aseguran que esté correctamente identificada, y mantienen una estricta cadena de custodia.

• Examinadores forenses: personal especialmente entrenado para reproducir las imágenes obtenidas de los dispositivos incautados y recuperar datos digitales, haciendo visible la potencial evidencia digital en el dispositivo. Además, pueden encontrar más datos, utilizando equipos altamente especializados, ingeniería inversa, entre otros medios.

• Analistas forenses: personal encargado de evaluar el resultado obtenido por el examinador forense, de acuerdo a su significancia y valor probatorio.

2.3.1.4. Usos de la informática forense

Según [66], la informática forense puede ser aplicada en varios ámbitos, de los cuales muchos provienen de la vida diaria y no tienen que estar directamente relacionados con la informática forense.

• Prosecución criminal: casos que tratan de usar evidencia incriminatoria con el objetivo de procesar gran variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de estupefacientes, evasión de impuestos o pornografía infantil.

• Litigación civil: casos relacionados con fraude, discriminación, acoso y divorcio pueden ser resueltos con ayuda de la informática forense.

• Investigación de seguros: la evidencia digital encontrada en computadores, puede ayudar a las compañías de seguros a disminuir costos en los reclamos por accidentes y compensaciones.

• Temas corporativos: casos que tratan de usar evidencia incriminatoria para procesar incidentes relacionados con acoso sexual, mal uso o apropiación de información confidencial y espionaje industrial.

• Mantenimiento de la ley: la informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información digital una vez se tiene la orden judicial para hacer la búsqueda exhaustiva de evidencia.

2.3.2. Informática forense en iPhone 3G

El objetivo principal de la informática forense aplicada a dispositivos móviles, al igual que el objetivo de la informática forense clásica como se mencionó anteriormente, es la búsqueda y recolección de información relacionada con un incidente en el cual se pueda encontrar posible evidencia digital incriminatoria, y esta sea utilizada como elemento material probatorio en un proceso judicial [14]. Actualmente, el 80% de los casos en procesos judiciales contienen algún tipo de evidencia digital [2], razón por la cual el proceso de recolección y el valor de la evidencia resulta ser de vital importancia.

Sin embargo, y debido a que el mercado de la telefonía móvil inteligente se ha incrementado primordialmente por la variedad de fabricantes y modelos de teléfonos que existen, la

55

heterogeneidad que se presenta tanto en su configuración de hardware, su sistema operativo y tipo de aplicaciones que manejan, como en las herramientas adoptadas para recuperar contenidos que se puedan utilizar en una investigación forense, es bastante significativa [12] [62]. En la mayoría de los casos, los fabricantes de dispositivos móviles optan por crear y aplicar sus propios protocolos para uso de sus sistemas operativos y cables, ocasionando que para los analistas forenses sea más difícil realizar una investigación por la variedad de herramientas que existen para cada tipo de dispositivo [2] [14].

Es por esto que para que se logre un análisis forense digital confiable, y la evidencia que se recoja logre ser admisible, auténtica, completa, fiable, entendible y creíble, es importante conservar los lineamientos presentados en la sección Consideraciones legales (Ver sección Evidencia digital) parámetros concernientes a la manipulación de teléfonos móviles celulares, y los puntos que pueden variar dependiendo del fabricante y modelo [13].

Hoy en día, como ya se ha mencionado, existe poca literatura sobre el análisis forense en dispositivos móviles y específicamente sobre el iPhone. Sin embargo, se han desarrollado herramientas y algunas técnicas forenses no formales para llevar a cabo dicho proceso.

Como en cualquier investigación forense, existen variedad de enfoques que se pueden utilizar para la recolección y análisis de información [13]. Un aspecto clave para ello, por no decir el más importante, es que el procedimiento que se siga, no modifique la fuente de información de ninguna manera, o que de ser esto absolutamente necesario, el analista esté en la capacidad de justificar por qué realizó esta acción [23].

Según [23], existen tres técnicas diferentes para la recolección de evidencia sobre un iPhone:

1. Obtener datos directamente del iPhone: este enfoque es preferible a la recuperación archivos desde el computador con el que el iPhone se sincronizó. Sin embargo, el analista forense debe entender cómo ocurrió la adquisición de información, si el iPhone fue modificado en algún aspecto y qué tipo de información no se logró adquirir.

2. Obtener una copia de respaldo o una copia lógica del sistema de archivos del iPhone utilizando el protocolo de Apple: ésta aproximación consiste en la lectura de archivos del iPhone, mediante el protocolo de sincronización de Apple, el cual solo es capaz de obtener archivos explícitamente sincronizados a través de el. Piezas claves de información son almacenadas en bases de datos de tipo SQLite, las cuales son soportadas por el protocolo. Hacer consultas sobre estas bases de datos generará la recuperación de información como mensajes de texto y correos electrónicos eliminados del dispositivo.

3. Una copia física bit a bit: este proceso crea una copia física bit a bit del sistema de archivos del iPhone, de manera similar al procedimiento que se sigue sobre computadores personales. Este proceso, de todos los anteriores, es el que más potencial tiene para recuperar información, incluyendo los datos eliminados, pero resulta ser complicado pues requiere que se modifique la partición del sistema del iPhone.

56

Según [5], el proceso técnico que se debe seguir para realizar un análisis forense sobre un iPhone, debe seguir fuertemente los lineamientos nombrados en la sección Consideraciones legales (Ver sección Evidencia digital), y consta de cuatro pasos que se describen a continuación:

1. Manipulación física: Es el paso más importante antes de examinar el dispositivo, ya que se debe contar con el equipo adecuado para mantener el dispositivo cargado y conectado. Se debe retirar la tarjeta SIM o bloquear cualquier tipo de comunicación o alteración que pueda sufrir el dispositivo mediante una jaula de Faraday que bloquee los campos eléctricos alrededor de él, incluyendo las transmisiones celulares [12].

2. Establecer comunicación: este paso consiste en organizar las conexiones físicas y de red apropiadas para instalar una herramienta forense y realizar la recuperación de información.

3. Recuperación forense: extraer la información original para crear una copia y trabajar sobre ella. Esto requiere revisiones de integridad para evitar alteraciones de datos.

4. Descubrimiento electrónico: es el proceso en el cual toda la información extraída es procesada y analizada. Durante esta etapa, los archivos eliminados son recuperados y el sistema de archivos es analizado, para la recolección de evidencia.

Para llevar a cabo el proceso anteriormente descrito, se han desarrollado de igual manera herramientas que permiten la extracción de información del dispositivo, y se ha hecho un enfoque del equipo necesario que se requiere para ello [15]:

• Un computador ejecutando el sistema operativo Mac OS X Leopard ó Windows XP. Algunas de las herramientas que existen hasta el momento funcionan sobre Mac OS Tiger y Windows Vista pero no han sido probadas en su totalidad sobre estos sistemas, por lo cual no se garantiza que la extracción de datos sea completa.

• Un cable de tipo USB para instalar las herramientas de recuperación, y mantener el dispositivo cargado.

• Una implementación de SSH en el computador incluyendo ssh y scp, para establecer comunicación con el dispositivo.

• Una instalación en el computador de iTunes 7.6 o 7.7 dependiendo del firmware del iPhone en cuestión. De igual manera versiones superiores deberían funcionar correctamente.

• Espacio adecuado en el computador, para almacenar las copias del sistema de archivos del iPhone. Se recomienda reservar un espacio de mínimo tres veces la capacidad del iPhone en cuestión.

La situación con las herramientas forenses para teléfonos celulares es considerablemente diferente a los computadores personales. Si bien los computadores personales se han diseñado como sistema de propósito general, los teléfonos celulares están diseñados como dispositivos específicos que realizan un conjunto de tareas predefinidas. Los fabricantes de teléfonos celulares también tienden a basarse en una variedad de sistemas operativos en lugar del enfoque más uniforme que se da con los

57

computadores personales. Debido a esto, la variedad de kits de herramientas para dispositivos móviles es diversa [8].

Por lo anterior, una vez se cree un ambiente más confiable que limite la contaminación cruzada sobre las copias del sistema de archivos obtenidas, se debe contar con una herramienta para su análisis. Existen variedad de herramientas para este propósito cada una con características y propiedades diferentes. A continuación describiremos algunas de las que existen en la actualidad según [23] [45].

2.3.2.1. WOLF de Sixth Legion

Según [73], es una herramienta forense diseñada específicamente para el iPhone. Soporta todos los modelos, 2G y 3G, que ejecutan cualquier versión de firmware desde la 1.0 hasta la 2.2. Este software solo se puede ejecutar sobre el sistema operativo Mac OS X (10.4.11 o mayor), aunque existe una versión compatible con Windows llamada Beowulf. Es capaz de eludir el código de seguridad tanto del dispositivo como el de la tarjeta SIM, si se tiene acceso al computador en el que fue usado el iPhone, sin necesidad de realizar el Jailbreak . WOLF afirma ser la única herramienta forense orientada a iPhone que no realiza modificaciones sobre él, ya que la adquisición de información se hace sobre una copia de la lógica de datos. Sin embargo, una desventaja de la herramienta es que no recupera contenido suprimido del dispositivo. La siguiente información es recolectada:

• Información del teléfono • Contactos • Registro de llamadas • Mensajes • Información de internet • Fotos • Música/Videos • Historiales

La realización de la adquisición forense con WOLF es bastante intuitiva, luego de realizar la activación, se solicitará la información correspondiente al caso que se desea investigar, además de presentar las siguientes características al momento de realizar la adquisición de evidencia:

• Almacena el historial de las investigaciones realizadas. Dentro de los datos que almacena se encuentran:

Nombre de los investigadores Nombre del caso Numero del caso Estado del iPhone (Bloqueado/Desbloqueado)

• Permite seleccionar el tipo de datos que se desea analizar. Contiene las siguientes opciones:

Datos del teléfono Fotos

58

Medios del iPod Recuperación total de datos

Al terminar la adquisición de información, se podrán ver los resultados por medio de la aplicación, o se pueden guardar los informes en formato HTML.

2.3.2.2. Cellebrite UFED

Según [74], el sistema forense Cellebrite UFED es un dispositivo autónomo (stand-alone), capaz de adquirir datos desde dispositivos móviles y almacenar la información en una unidad USB, tarjeta SD53 o computador. UFED incorpora un lector y generador de copias de tarjetas SIM. La posibilidad de clonar una tarjeta SIM es una potente característica que puede crear e insertar un clon de la tarjeta SIM original y el teléfono funcionará con normalidad. Sin embargo, no se registrará con el operador de telefonía móvil de la red, eliminando la necesidad de bolsas que no permitan cualquier tipo de conexión usando los principios de la jaula de Faraday54, y la posibilidad de que los datos del teléfono sean actualizados o eliminados. El paquete viene con alrededor de 70 cables para conectar a la mayoría de los dispositivos móviles disponibles en la actualidad. Incluyen protocolos de conexión serial, USB, infrarrojos y Bluetooth. Permite extraer información de contactos, mensajes de texto, historial de llamadas, mensajes de texto eliminados, grabaciones, video, fotos y detalles del teléfono entre otros. Usando Cellebrite UFED se puede extraer los siguientes datos:

• Agenda telefónica • Mensajes de Texto • Historial de llamadas (marcadas, recibidas, perdidas) • Clonación SIM ID • Mensajes de texto eliminados • Grabaciones de audio • Videos • Fotos • Detalles del teléfono

La adquisición forense en un iPhone 3G se puede realizar de dos formas, una es la estándar y la otra es mediante el volcado de memoria. Este proceso es rápido y simple con esta herramienta. Después de encender el dispositivo, se deben seguir los siguientes pasos:

• Seleccionar Extract Phone Data • Seleccionar Apple • Seleccionar iPhone 2G/3G • Seleccionar unidad destino • Seleccionar los tipos de contenido (registros de llamadas incluidas, agenda, SMS, fotos,

videos y audio/música) • Conectar el iPhone al puerto origen con el cable de conexión 110 y la memoria USB en el

puerto destino.

53 Es un formato de tarjeta de memoria flash utilizado en dispositivos portátiles. 54 Es un tipo de blindaje de campo eléctrico.

59

Cellebrite también incluye UFED Report Manager, el cual provee una interfaz intuitiva para realizar reportes sobre las investigaciones y además permite exportar dichos reportes en Excel, MS Outlook, Outlook Express y CSV o simplemente imprimirlo.

2.3.2.3. Paraben Device Seizure (DS)

Según [75], es una herramienta forense que sirve para la adquisición de información en más de 2700 dispositivos (incluidos los teléfonos, PDAs y dispositivos GPS) y es compatible con Microsoft Windows. El paquete está diseñado para apoyar la adquisición completa de información, y el proceso de investigación, destacándose por la capacidad para realizar adquisición física, lo cual permite recuperar datos eliminados. Usando esta herramienta se pueden extraer los siguientes datos:

• Historial de mensajes de texto • Mensajes de texto eliminados • Agenda telefónica (Almacenados en la memoria del dispositivo o en la tarjeta SIM) • Registro de llamadas

Recibidas Realizadas Perdidas

• Datos sobre las llamadas y duraciones • Calendario • Sistema de archivos (Volcados de memoria):

Sistema de archivos Archivos multimedia Archivos Java Archivos eliminados Notas rápidas

• Correo electrónico

Como la mayoría de las herramientas, DS puede almacenar la información de cada caso y de los investigadores relacionados con él. Presenta dos opciones para realizar la adquisición de información del iPhone, una es iPhone advanced (logical) y la otra es iPhone Jailbroken (si el iPhone en cuestión tiene Jailbreak).

Cuando la adquisición es finalizada, DS presenta al investigador una interfaz de usuario consistente, donde se muestran las propiedades de los datos adquiridos (MD5 y SHA1, categoría y descripción), además de mostrar el contenido de forma clara.

2.3.2.4. MacLockPick II (MLP)

Según [76], esta herramienta tiene un enfoque único para la adquisición forense. El objetivo de MLP es proporcionar una solución de plataforma cruzada forense que realiza una adquisición en vivo de una máquina sospechosa. La información se almacena en un dispositivo USB y el software

60

se proporciona para analizar los resultados. MLP no funciona directamente en el iPhone, en su lugar se centra en el directorio de copia de seguridad MDBACKUP donde se almacenan la gran mayoría de los archivos. Entre los datos que son recuperables se encuentran:

• Historial de llamadas • Mensajes de texto • Contactos • Notas • Fotos • Cuentas de correo sincronizadas • Favoritos – Marcación rápida • Estado, historial y bookmarks del navegador • Detalles del teléfono

Luego de actualizar y licenciar la herramienta, la adquisición de datos es muy simple. Se conecta el dispositivo en el equipo destino Windows XP, se inicia la reproducción automática, y la herramienta se encarga de realizar la adquisición.

Al momento de iniciar la herramienta, se pide seleccionar un archivo keylog. Luego de seleccionar el archivo se presenta la pantalla principal donde se permite examinar los resultados obtenidos. La interfaz de usuario es sencilla y permite hacer búsquedas rápidas, aunque la información extraída es mostrada como archivo de texto y solo se puede exportar en formato HTML.

2.3.2.5. MDBackup Extract

Según [77], es una herramienta forense de BlackBag Technologies, compatible únicamente con computadores Mac. Analiza los datos, desde el directorio de respaldo del sincronizador móvil iTunes. La herramienta está actualmente en una versión beta y la producción de información es limitada. Como es una utilidad solo de Mac, se debe copiar el directorio de respaldo desde un computador Windows a un Mac para poder realizar el análisis.

Al iniciar la aplicación se debe seleccionar la carpeta donde se encuentra almacenada la copia de seguridad del iPhone que se desea analizar. En el momento de seleccionar la carpeta, se debe ingresar la ruta donde se van a extraer los resultados. La ventana principal permite ver los resultados de la extracción y analizar la información. Allí, se encuentra cada archivo extraído en el directorio, y una subcarpeta denominada Original_Files que permite abrir / analizar los archivos extraídos y aún conservar una copia original. Si se hace clic sobre la información del dispositivo, se presenta el archivo Info.plist principal con la información básica del dispositivo.

Las imágenes se pueden visualizar haciendo clic en las vistas en miniatura presentadas en la pantalla principal, las imágenes son almacenadas en un documento con formato HTML.

61

Esta herramienta ofrece las búsquedas por palabra clave, basta con seleccionar el botón de búsqueda y aparece una ventana nueva con los resultados. Además tiene visualizados de bases de datos SQLite.

2.3.2.6. .XRY/.XACT 4.1

Según [78], es una herramienta forense orientada a dispositivos móviles que realiza adquisición lógica de datos, así como volcados físicos de memoria. El sistema viene en un maletín pequeño que incluye: una unidad de comunicación USB 2.0, un adaptador de licencias, cables de corriente, lector de tarjetas SIM, sistema para clonar tarjetas SIM, lector de tarjetas de memoria y un CD con el software.

La adquisición de información con esta herramienta es sencilla. Inicialmente pregunta a qué tipo de dispositivo se le va a hacer la extracción. Los siguientes son los datos que se pueden extraer con .XRY:

• Registros de llamadas • Contactos • Calendario • Notas • Mensajes de texto • Fotos • Coordenadas GPS • Otros documentos (archivos XML, HTML, Plist, etc.)

Al final del proceso se muestra un resumen con el tipo de información recuperada. Es importante señalar que los estados de información en pantalla y los mensajes de correo electrónico no se recuperarán a menos que el teléfono esté desbloqueado.

2.3.2.7. iLiberty+

Según [5] [79], es una herramienta libre, diseñada por Youssef Francis y Pepij Oomen, que permite desbloquear el iPod/iPhone e instalar en él varias cargas útiles. iLiberty+ se aprovecha de una vulnerabilidad en el firmware v1.x, de para que el iPhone de inicie desde un disco RAM sin firma, permitiendo que cualquier tipo de software sea instalado en el dispositivo.

iLiberty+ fue mejorado para permitir que se instale de forma segura el paquete de investigación forense en el iPhone, y se pueda acceder a el por medio de la interfaz de usuario. El paquete de investigación forense contiene:

• Un entorno Unix básico • OpenSSH (Shell seguro) • Netcat (herramienta para enviar datos a través de la red) • MD5 (compendio criptográfico para la creación de la imagen del disco) • Herramienta de copia/imagen dd (para acceder al disco)

Inicialmente esta herramienta al reconocer el iPhone, despliega información como:

62

• Firmware • Tipo de dispositivo • Estado • Particiones • Sistema de archivos

Una vez activado el paquete de investigación forense, es necesario ejecutar el Jailbreak que la misma herramienta realiza sobre el dispositivo o hacerlo utilizando alguna otra herramienta, para aceptar conexiones SSH. Sin embargo, si alguno de los dos tipos de bloqueo que tiene el iPhone (SIM o código a nivel de sistema operativo) está activo, el paquete de investigación no podrá ser instalado, y será necesario deshabilitar el bloqueo activo. iLiberty+ proporciona una característica para desbloquear el dispositivo llamada Bypass Passcode,pero, también se puede hacer manualmente utilizando una herramienta llamada iPhone Utility Client. Una vez se lleva a cabo el proceso anterior, se podrá empezar la recuperación de datos, dentro de los cuales se pueden encontrar:

• Diccionarios dinámicos • Mensajes de voz • Listas de propiedad • Bases de datos SQLite • Correos electrónicos • Páginas web • Otro tipo de archivos (PDF, Microsoft Word) • Bloques PGP • Imágenes • Historial de llamadas • Mensajes SMS • Notas • Calendario

2.3.2.8. CellDEK

Esta herramienta es compatible con hasta 1600 teléfonos celulares, PDAs, y dispositivos de navegación satelital. Permite al usuario identificar dispositivos de acuerdo a la marca, número del modelo, dimensiones y/o fotografías del mismo. Inicialmente se seleccionará el tipo de dispositivo en el cual se llevará a cabo el análisis, y posteriormente, una característica llamada smart adapter, iluminará el adaptador USB correspondiente (entre 40) para realizar la extracción de información. Igualmente la conexión mediante infrarrojo o Bluetooth viene integrada.

CellDEK captura los datos almacenados en el dispositivo, en aproximadamente cinco minutos, y automáticamente, lleva a cabo la extracción forense de los datos que se listan a continuación desplegándolos por pantalla.

• Hora y fecha del teléfono • Número de serie (IMEI,IMSI) • Llamadas marcadas y/o recibidas

63

• Agenda telefónica (tanto del dispositivo como se la SIM) • Mensajes MMS (no disponible en todos los teléfonos móviles) • Mensajes SMS eliminados de la SIM • Calendario • Recordatorios • Imágenes, videos y sonidos

Para realizar la adquisición de información de un iPhone, es necesario instalar iTunes en el equipo en que dicha adquisición se va a llevar a cabo. Una vez se cumple este requisito, se seguirán los pasos nombrados anteriormente para la extracción de datos. Posterior a ello, el reporte es generado y desplegado por pantalla automáticamente, permitiendo al usuario seleccionar el tipo de información que desea ver.

2.3.2.9. MEGA

Las herramientas de informática forense para equipos Mac se han centrado tradicionalmente en los detalles de bajo nivel del sistema de archivos. El sistema operativo Mac OS X y las aplicaciones comunes en la plataforma Mac proporcionan abundante información sobre las actividades del usuario en la configuración de archivos, directorios, y registros. MEGA es un conjunto de herramientas extensibles para el análisis de archivos sobre imágenes de disco con Mac OS X. Esta herramienta, proporciona un acceso sencillo al sistema de indexación de metadatos Spotlight mantenida por el sistema operativo, con un rendimiento eficiente de búsqueda de contenido de archivos y la exposición de. También puede ayudar a los investigadores para evaluar los directorios cifrados del FileVault55. Herramientas de apoyo a MEGA se están desarrollando para interpretar los archivos escritos por aplicaciones comunes del Mac OS, como Safari, Mail, e iTunes [64].

55 Herramienta que permite cifrar la información de la carpeta de inicio en Mac OS X.

64

3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)

El objetivo principal de esta investigación, es proponer formalmente una guía metodológica para realizar análisis forense sobre dispositivos móviles, específicamente en iPhone 3G, luego de ser víctima de un ataque. La guía mencionada anteriormente consta de 4 etapas con un total de 11 fases, basada en el modelo de investigación digital integrado (Ver sección 2.3.1.2.2.4. Modelo de investigación digital integrado – IDIP (2003)). Posteriormente, dicha guía será evaluada en un escenario con el objetivo de validarla y realizar las correcciones correspondientes.

3.1. Etapa de preparación e implementación

El objetivo de esta etapa es seleccionar el personal adecuado para realizar la investigación y proporcionar mecanismos para identificar y confirmar la ocurrencia de un incidente.

1. Fase de identificación de roles y funciones: asignar el equipo de investigadores forenses (Ver sección Roles y funciones en una investigación forense digital).

2. Fase de detección: identificar el lugar dónde se presentó el incidente y diligenciar el formulario de actuación del primer respondiente (Ver Anexo 5).

3.2. Etapa de investigación física

El objetivo de esta etapa, es realizar la identificación física de la escena del crimen, diligenciando el formulario de documentación escena del crimen (Ver Anexo 6), y decidir qué tipo de elementos se utilizarán para llevar a cabo la investigación.

1. Fase de identificación de la escena: el objetivo de esta fase es realizar la identificación y documentación de todos los elementos encontrados en la escena del crimen.

1.1. Identificación y documentación de los componentes electrónicos que no van a ser incautados: es necesario realizar la identificación y documentación de todos los componentes electrónicos que se encuentren en la escena del crimen, diferentes al equipo que fue vulnerado, debido a que en el momento de realizar la búsqueda de evidencia, se puede encontrar alguna conexión asociada a alguno de los dispositivos mencionados anteriormente. Los datos que deben ser recolectados por cada dispositivo son los siguientes.

• Tipo de dispositivo • Marca • Modelo • Número serial • Estado (Encendido/apagado)

1.2. Identificación y documentación de los componentes electrónicos que van a ser incautados: es necesario realizar la identificación y documentación de todos los

65

componentes electrónicos relacionados con el dispositivo, que más adelante faciliten el acceso y uso del mismo dentro de la investigación. Dichos componentes pueden ser los siguientes:

• Manuales del dispositivo • Cargadores • Memorias extraíbles • Códigos de acceso PIN56 y PUK57 • Accesorios del dispositivo (manos libres, audífonos, entre otros)

1.3. Realización de entrevista al usuario del dispositivo vulnerado: es necesario realizar una entrevista al usuario del dispositivo vulnerado con el objetivo de recolectar toda la información posible sobre este. Dentro de la información que se desea recolectar, están los códigos de seguridad, el uso que se le daba al dispositivo y si el equipo ha sufrido algunas modificaciones físicas o lógicas con respecto a su estado de fábrica (Ver Anexo 2).

1.4. Identificación y documentación del dispositivo vulnerado: para realizar esta actividad es necesario tener en cuenta los siguientes pasos y diligenciar el formulario de identificación del dispositivo vulnerado (Ver Anexo 8).

• Verificar si el dispositivo se encuentra conectado a algún computador o cargador, pues al desconectarlo, se pueden ejecutar en él, comandos de eliminación de archivos.

• En caso de estar conectado a un computador, verificar si el dispositivo se encuentra montado58, de ser así, se debe desmontar desde iTunes (Ver Ilustración 26 ) antes de desconectarlo, pues el disco puede fallar o presentar daños.

Ilustración 26. Desmontar iPhone desde iTunes

• Identificar y documentar los siguientes ítems sobre el dispositivo vulnerado, se deben tener en cuenta los siguientes datos:

a) Estado (prendido/apagado) b) Estado de protección PIN (activado/desactivado) c) Estado de protección código de seguridad (activado/desactivado) d) Modelo (número/generación) e) Capacidad de almacenamiento

56 Es un código personal de 4 cifras que permite acceder o bloquear el uso del teléfono móvil. 57 Es un código de 8 cifras que sirve para desbloquear el PIN cuando éste ha sido previamente bloqueado. 58 Acción de integrar un sistema de archivos alojado en un determinado dispositivo dentro del árbol de directorios de un sistema operativo.

66

f) Número de Serie g) Número ICCID59 h) Versión Firmware i) IMEI60 j) Número de teléfono k) Operador de telefonía celular l) Cobertura m) Conexiones soportadas n) Dirección MAC Wi-Fi o) Dirección MAC Bluetooth p) Número de canciones q) Número de videos r) Número de fotos s) Número de Aplicaciones t) Dimensiones

2. Fase de aseguramiento y preservación de la evidencia física: el objetivo de esta fase es preservar la escena del crimen con el fin de posteriormente identificar la evidencia digital.

2.1. Creación registro de cadena de custodia: el objetivo de esta actividad es iniciar la documentación de la cadena de custodia, la cual debe ser diligenciada durante toda la investigación de manera estricta.

2.2. Aislamiento del dispositivo: es necesario aislar el dispositivo de cualquier tipo de red (3G, Wi-Fi, GSM, Edge, GPRS) con la cual pueda iniciarse o existir alguna conexión.

2.3. Aseguramiento de la evidencia física: es necesario aislar y etiquetar el dispositivo y los demás elementos electrónicos incautados como evidencia, teniendo en cuenta que no debe ser almacenado cerca a medios magnéticos debido a que esto puede llegar a alterar la evidencia.

3. Fase de elección de herramienta(s) forenses: el objetivo de esta fase es realizar la elección de la(s) herramienta(s) forense(s) que va(n) a ser utilizada(s) durante la investigación, dichas herramientas serán seleccionadas dependiendo del nivel de análisis que se quiera tener en la investigación o el contexto en el cual haya sido vulnerado el dispositivo. Esta elección se puede llevar a cabo teniendo en cuenta las herramientas nombradas en la sección Informática forense en iPhone 3G (Ver sección 2.3.2. Informática forense en iPhone 3G).

59 Número de identificación internacional de la tarjeta SIM. 60 Código de 15 o 17 dígitos que identifica de manera individual a cada estación móvil en la red GSM o UMTS [88].

67

3.3. Etapa de investigación digital

El objetivo de esta etapa, es llevar a cabo la recolección y análisis de la evidencia digital obtenida en la fase anterior, diligenciando el formulario de Documentación evidencia digital (Ver Anexo 7). Se debe tener especial cuidado en la preservación de la integridad y admisibilidad de la evidencia digital.

1. Fase de documentación: consiste en la creación y aseguramiento de un documento, ya sea físico o electrónico, que permita llevar a cabo un historial de todas las actividades que se llevan a cabo durante el proceso de adquisición de evidencia [92]. Esta información es útil en la fase de presentación de la evidencia.

2. Fase de búsqueda y recolección de evidencia digital: el objetivo de esta fase es realizar la búsqueda en profundidad de evidencia digital. La(s) herramienta(s) de software escogida(s) para ello, revelan datos escondidos, eliminados, modificados o corruptos. Para realizar esta actividad es necesario seguir los siguientes pasos:

2.1. Verificación de Jailbreak: esta actividad consiste en verificar si el dispositivo incautado ha sido liberado mediante el proceso de Jailbreak (Ver sección 2.2.1. Jailbreak). Es importante tener conocimiento de esto, debido a que la adquisición física requiere que el iPhone esté liberado.

• Verificación: para verificar que el iPhone se encuentre liberado mediante el proceso de Jailbreak, es necesario que el investigador tenga acceso físico al dispositivo y se asegure que la aplicación Cydia se encuentre disponible.

• iPhone liberado: en caso que el iPhone esté liberado, es importante verificar que la aplicación Cydia, Icy o RockYourPhone instalada en el iPhone funcione correctamente, pues esta aplicación es la encargada de descargar los programas que se necesitaran instalar en el iPhone (Netcat, dd) para realizar la adquisición física de la imagen.

• iPhone no liberado: en caso que el iPhone no esté liberado, es importante seguir una serie de pasos, de forma tal que se haga Jailbreak en el iPhone sin pérdida de información. Los pasos que se deben seguir son los siguientes:

a) En un computador instalar y ejecutar alguna herramienta que realice Jailbreak, preferiblemente PwnageTool.

b) Utilizar una herramienta para crear un paquete de firmware personalizado, que actualizará el NOR (caché del kernel) sin destruir datos en tiempo real.

68

c) Utilizar la herramienta anterior para crear un paquete de firmware personalizado, que instalará el paquete de herramientas de recuperación en el iPhone. O, utilizar la aplicación Cydia, Icy o RockYourPhone, para descargar las aplicaciones Netcat y dd desde el dispositivo.

d) Con el iPhone en modo DFU61, instalar el firmware personalizado a través de iTunes, para ganar acceso al dispositivo

2.2. Adquisición física: esta actividad consiste en llevar a cabo el volcado de memoria tanto volátil como no volátil de memoria. Esto consiste en tomar la imagen binaria bit a bit de la memoria del dispositivo comprometido, con sus respectivos compendios criptográficos. Es recomendable obtener una imagen de la tarjeta SIM debido a que es posible que se encuentren rastros del incidente en dicho medio de almacenamiento.

2.3. Adquisición lógica: consiste en llevar a cabo la obtención de información del tipo:

a) Lista de contactos b) Historial de llamadas c) Historial de mensajes d) Fotos imágenes y videos e) Correo electrónico f) Eventos de calendario g) Información entre el dispositivo y el computador relacionado

3. Fase de aseguramiento y preservación de la evidencia digital: el objetivo de esta fase es preservar y asegurar toda la evidencia digital recolectada para conservar su integridad. Con respecto a lo anterior, es necesario verificar la integridad de cada imagen recolectada usando MD5, generar varias copias de la evidencia recolectada, asegurarlas en un lugar restringido y trabajar siempre con una copia de respaldo exactamente igual a la original para prevenir alteraciones sobre su contenido durante la fase de análisis de evidencia digital.

4. Fase de análisis de la evidencia digital: el objetivo de esta fase es realizar el análisis de los datos obtenidos en la recolección de evidencia, identificando principalmente datos físicos y lógicos, para construir una línea de tiempo, de forma tal que los eventos se puedan correlacionar y a partir de esto reconstruir la escena y obtener la mayor cantidad de detalles del incidente. Para ello, se deben realizar las siguientes acciones:

• Identificar propiedades generales de la adquisición • Estructura de la adquisición

61 Es una forma de sobrepasar el iBoot del iPhone de forma tal que se pueda alterar el firmware del dispositivo.

69

• Identificación de las particiones actuales y anteriores (las que sea posible recuperar)

• Identificación del sistema de archivos • Identificación de archivos existentes • Determinación del sistema operativo • Recuperación de archivos eliminados • Identificación de información oculta • Identificación de archivos protegidos • Identificación de aplicaciones instaladas • Consolidación de archivos potencialmente analizables • Análisis de datos [8]:

a) Identificadores del dispositivo y del proveedor de servicio b) Fecha/hora c) Lenguaje d) Información de la lista de contactos e) Información del calendario f) Mensajes de texto g) Registro de llamadas (recibidas, perdidas, marcadas) h) Correo electrónico i) Fotos /Videos / Audio j) Mensajes multimedia k) Mensajería instantánea y navegación web l) Documentos electrónicos m) Revisar los registros del sistema n) Identificar rastros de conexiones (Bluetooth, Infrarrojo, cable)

• Consolidación de archivos sospechosos • Análisis de los archivos sospechosos • Determinación de los archivos comprometidos con el caso • Obtención de la línea de tiempo definitiva

5. Fase de presentación de la evidencia digital: involucra la presentación de la evidencia digital encontrada, y los resultados del análisis de la misma al equipo de investigación.

3.4. Etapa de presentación y revisión

El objetivo de esta etapa es documentar todas las acciones, eventos y hallazgos obtenidos durante el proceso de investigación. Todo el personal está involucrado en ésta etapa y es vital para asegurar la cadena de custodia de la evidencia. Los reportes de resultados generalmente, son generados por la herramienta que se utiliza para efectuar el análisis. Además, se realiza una revisión de todo el proceso de investigación, para identificar mejoras en el mismo.

70

4. VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA

4.1. Escenario de prueba

4.1.1. Definición del ataque y herramientas

Para llevar a cabo el escenario de prueba con el cual será validada la guía metodológica propuesta en el capitulo anterior (Ver sección 3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)), es necesario realizar un ataque sobre el iPhone 3G destinado para dicha prueba (Ver Anexo 9).

4.2. Aplicación guía metodológica

A continuación se presentan los resultados de la guía metodológica propuesta, aplicada al caso de estudio (Ver sección 4.1. Escenario de prueba).

4.2.1. Etapa de preparación e implementación

1. Fase de identificación de roles y funciones: para el desarrollo de la presente investigación se realizará la asignación de roles según lo mencionado anteriormente (Ver sección 2.3.1.3. Roles y funciones en una investigación forense digital), sin embargo al no contar con el suficiente personal y recursos económicos, la totalidad de los roles serán asignados a los autores de la investigación (Ver Tabla 6).

Rol Nombre Identificación Personal de primera respuesta Andrea Ariza Díaz 1018405780 Investigador Juan Camilo Ruiz 1019007331 Técnico Andrea Ariza Díaz 1018405780 Custodio de la evidencia Juan Camilo Ruiz 1019007331 Examinador forense Andrea Ariza Díaz 1018405780 Analista forense Juan Camilo Ruiz 1019007331

Tabla 6. Asignación de roles

2. Fase de detección: a continuación se muestra la documentación del lugar de los hechos (Ver Tabla 7) y el estado general de la escena del crimen (Ver Ilustración 27).

Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:55 Departamento Bogotá DC Barrio Bogotá DC Dirección Carrera 20 # 52 - 50 Teléfono 345 55 31 Observación del lugar de los hechos El dispositivo fue encontrado en un apartamento ubicado en una zona residencial de Galerías y se encuentra la presencia de varias redes inalámbricas públicas

Personas encontradas en el lugar de los hechos Nombres y Apellidos Identificación

Paola Isabel Ruiz Caro Juan Camilo Ruiz Caro 1019007331

Victimas

Nombres y Apellidos Identificación

71

Juan Camilo Ruiz Caro 1019007331

Primer respondiente Nombres Andrea Apellidos Ariza Díaz Número de identificación 1018405780 Entidad Pontificia Universidad Javeriana Cargo Personal de primera respuesta Firma

Tabla 7. Formato actuación primer respondiente diligenciado

Ilustración 27. Foto de estado general de la escena del crimen

4.2.2. Etapa de investigación física

1. Fase de identificación de la escena

1.1. Identificación y documentación de los componentes electrónicos que no van a ser incautados: en la escena del crimen se identificaron los componentes electrónicos listados en la sección de elementos no incautados del formulario de documentación de la escena del crimen (Ver Tabla 8)

1.2. Identificación y documentación de los componentes electrónicos que van a ser incautados: en la escena el crimen se identificaron y recolectaron los componentes electrónicos listados en la sección de elementos incautados del formulario de documentación de la escena del crimen (Ver Tabla 8).

Código único del caso I-001 Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:56

Elementos no incautados Tipo dispositivo Marca Modelo Numero Serial Propietario

Computador portátil (Ver Ilustración 28)

COMPAQ V3718LA 2CE8224KV1 Juan Camilo Ruiz Caro

Router (Ver Ilustración 29)

Linksys WRT54G V8 CDFG1H515131

Juan Camilo Ruiz Caro

Elementos incautados Tipo dispositivo Marca Numero Modelo Descripción Estado Código

72

Serial evidencia

Cable USB (Ver Ilustración 30)

Apple N/A N/A

Cable que puede ser usado para conectar el dispositivo a un computador o para conectar el adaptador de corriente correspondiente a la evidencia numero E-002, con el objetivo de cargar la batería de este o sincronizarlo.

N/A E-001

Adaptador de corriente (Ver Ilustración 31)

Apple 1X83024

57ZJ3 A1265

Adaptador que puede ser conectado al dispositivo usando el cable USB identificado con el código E-001, con el objetivo de recargar la batería de este

N/A E-002

iPhone 3G (Ver Ilustración 32)

Apple 868312F

4Y7H A1241

Dispositivo vulnerado Encendido

E-003

Audífonos (manos libres)

Apple N/A N/A

Accesorio del dispositivo por medio del cual se puede escuchar música y tener conversaciones telefónicas.

N/A E-004

Observaciones: El equipo se encontró encendido, por tal razón no es necesario obtener el número PIN y PUK, sin embargo se encuentra protegido con código de seguridad. Por otro lado no se encontraron los manuales físicos del dispositivo, por lo tanto de ser necesario se hará uso de los manuales electrónicos obtenidos desde el portal web del fabricante (Apple).

Tabla 8. Formato documentación escena del crimen diligenciado

Ilustración 28. Foto computador portátil V3718LA no incautado

73

Ilustración 29. Foto router Linksys no incautado

Ilustración 30. Foto cable USB incautado

Ilustración 31. Foto adaptador de corriente incautado

Ilustración 32. Foto iPhone 3G incautado

74

1.3. Realización de entrevista al usuario del dispositivo vulnerado

1. Nombres y Apellidos Respuesta: Juan Camilo Ruiz Caro. 2. Número de identificación Respuesta: 1019007331 3. ¿Desde cuándo es propietario del dispositivo? Respuesta: Aproximadamente 6 meses. 4. ¿Lo compró nuevo o usado? Respuesta: Nuevo 5. ¿En cuál operador de telefonía celular está inscrito el dispositivo? Respuesta: Comcel 6. ¿Cuál es el número de teléfono celular asociado con el dispositivo? Respuesta: 320 840 60 41 7. ¿Usualmente que uso le da a su teléfono celular? Respuesta: Lo uso principalmente para escuchar música, revisar mis correos electrónicos y para recibir y realizar llamadas. 8. ¿Al dispositivo se le ha realizado Jailbreak? Respuesta: Si 9. Si la respuesta anterior es si, ¿Con cuál herramienta fue realizado? Respuesta: Pwnage 10. ¿El dispositivo está protegido con código de seguridad? Respuesta: Si 11. Si la respuesta anterior es si, ¿Podría facilitar el código de seguridad? Respuesta: 1946 12. El dispositivo está protegido con número PIN? Respuesta: Si 13. Si la respuesta anterior es si, ¿Podría facilitar el número PIN? Respuesta: 1945 14. ¿Tiene habilitada la tecnología Bluetooth? Respuesta: No 15. Si la respuesta anterior es si, ¿Utiliza frecuentemente la tecnología Bluetooth? 16. Además de las conexiones con las manos libres, ¿Ha utilizado últimamente

Bluetooth con algún otro dispositivo? Respuesta: No 17. ¿Sincroniza el contenido de su teléfono con algún computador en especial

(Windows, Mac)? ¿Cómo realiza este procedimiento? Respuesta: Si, con un computador Compaq V3718LA. El procedimiento que hago es conectarlo por medio del cable USB y automáticamente iTunes sincroniza los datos. 18. ¿Qué sucesos extraños le indicaron que su teléfono había sido vulnerado? Respuesta: Algunas aplicaciones que tenía instaladas no servían de un momento a otro, los mensajes de texto y la lista de contactos desaparecieron 19. ¿Dentro de los últimos días alguien más ha tenido acceso a su dispositivo? Respuesta: No

75

20. ¿Ha notado la ausencia de algún tipo de información (fotos, videos, mensajes, contactos, documentos) que se encontraba almacenada en su teléfono celular?

Respuesta: Mensajes de texto y contactos 21. ¿Ha algún tipo de modificación de información (fotos, videos, mensajes, contactos,

documentos) que se encontraba almacenada en su teléfono celular? Respuesta: No 22. ¿Realiza alguna otra conexión con su teléfono celular distinta a las ya

mencionadas? (WAP,3G, Wi-fi) Respuesta: El dispositivo se conecta normalmente a la red 3G de Comcel y cuando estoy en mi casa o en la universidad se conecta automáticamente a las redes Wi-Fi de estos sitios.

1.4. Identificación y documentación del dispositivo vulnerado: a continuación se muestra la información correspondiente al dispositivo vulnerado (Ver Tabla 9).

Código único del caso I-001 Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:58

Estado del dispositivo Estado de conexión (conectado/desconectado) Desconectado Estado (encendido/apagado) Encendido Estado de protección PIN (activado/desactivado) Activado Estado de protección código de seguridad (activado/desactivado)

Desactivado

Información general Modelo (número/generación) MB489LA / 3G Capacidad de almacenamiento 8 GB Número de serie 868312F4Y7H Número ICCID 8957 1010 0081 3199 4597 Versión Firmware 3.1 (7C144) IMEI 01 161400 991961 9 Número de teléfono 320 8406041 Operador de telefonía celular Comcel 5.0 Cobertura UMTS/HSDPA (850, 1.900, 2.100 MHz);

GSM/EDGE (850, 900, 1.800 y 1.900 MHz); Wi-Fi (802.11b/g)

Conexiones soportadas Bluetooth, Wi-Fi, USB 2.0 Dirección MAC Wi-Fi 00:21:E9:13:A2:6B Dirección MAC Bluetooth 00:21:E9:13:A2:6A Canciones 718 Videos 1 Fotos 12 Aplicaciones 11

Dimensiones Peso 135 gramos Alto 115,5 mm Ancho 62,1 mm Grosor 12,3mm

76

Navegación y Mensajería Navegador de internet HTML Mensajería SMS, MMS62, correo electrónico (IMAP,

POP,SMTP) Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado

2. Fase de aseguramiento y preservación de la evidencia física:

2.1. Creación registro de cadena de custodia: a continuación se muestra el registro de cadena de custodia diligenciado (Ver Tabla 10).

Código único del caso I-001 Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:56 Fecha

(dd/mm/aa) Hora Identificación y

cargo de quien recibe la evidencia

Código evidencia

Propósito del traspaso o traslado

Firma

27/10/09 11:56 1018405780 / Personal de primera respuesta

E-001, E-002, E-003, E-004

Identificación de la escena del crimen. Recolección y aseguramiento de la evidencia física


E-003 Manipulación física del dispositivo con el objetivo de obtener información general de este.


E-003 Aislamiento de las redes 3G y Wi-Fi

27/10/09 11:59 1018405780 / Técnico

E-001, E-002, E-003, E-004

Almacenamiento de evidencia física en un lugar seguro

27/10/09 12:00 1019007331 / Examinador Forense

E-001, E-002, E-003,

Adquisición de la evidencia digital


E-005, E-006, E-007, E-008

Identificación de imágenes obtenidas del dispositivo


E-005, E-006, E-007, E-008

Aseguramiento de la evidencia digital

27/10/09 20:19 1018405780 / Custodio de la evidencia

E-001, E-002, E-003, E-005, E-006,

Entrega de evidencia física usada para obtener la evidencia digital. Entrega de evidencia digital

62 Servicio de mensajería multimedia (fotos, audio, video)

77

E-007, E-008


E-007 Se realizo una copia de la imagen lógica con el objetivo de iniciar con el análisis de la misma, dicha copia será devuelta cuando se termine su análisis.


E-007 Entrega de la copia analizada con sus respectivos resultados.


E-005, E-006, E-008

Se realizo una copia de las adquisiciones físicas con el objetivo de iniciar con el análisis de las misma, dichas copias serán devueltas cuando se termine su análisis.


E-005, E-006, E-008

Entrega de la evidencia, reporte y resultados del análisis realizado.

Tabla 10. Registro de cadena de custodia diligenciado

2.2. Aislamiento del dispositivo: el dispositivo vulnerado fue aislado de las redes 3G y Wi-Fi introduciéndolo en una bolsa anti estática (Ver Ilustración 33).

Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática

2.3. Aseguramiento de la evidencia física: la totalidad de la evidencia incautada fue etiquetada y almacenada en sobres de manila (Ver Ilustración 30, Ver Ilustración 31, Ver Ilustración 32), a los cuales solo los investigadores pueden tener acceso luego de realizar el debido trámite de registro de cadena de custodia (Ver Tabla 10).

3. Fase de elección de herramienta(s) forenses:

78

Para la investigación en curso, fue necesario realizar un Toolkit forense compuesto por varias herramientas hardware y software provenientes de distintos fabricantes y desarrolladores respectivamente, debido a que hasta el momento aunque existen herramientas forenses enfocadas a este tipo de dispositivos, todavía tienen falencias, algunas son licenciadas y otras por el contrario todavía no soportan iPhone 3G con firmware superior al 2.1 como es el caso de Paraben Device Seizure. Con respecto a lo anterior, a continuación se muestra la lista de herramientas utilizadas en esta investigación.

• Computador MacBook 5.1 con sistema operativo Mac OS X Leopard: computador necesario para poder acceder a las imágenes adquiridas en la etapa de investigación digital. Con respecto a la anterior, es recomendable usar este tipo de computadores, ya que al ser un producto Apple tiene características similares a las del dispositivo vulnerado y al momento de realizar el análisis se tiene un ambiente nativo.

• Hiddenfiles: widget63 instalado en el MacBook nombrado anteriormente, con el objetivo de tener acceso a los archivos ocultos y protegidos que se encuentran dentro de las imágenes que se van a analizar.

• MAC Marshal: herramienta necesaria para identificar el sistema operativo y el tipo de sistema de archivos y usado en el dispositivo vulnerado.

• Netcat: herramienta de red necesaria para transferir las particiones desde el dispositivo vulnerado hacia el computador donde se va a realizar el análisis.

• MobileSyncBrowser: herramienta necesaria para tener acceso visual a la información contenida en la adquisición lógica.

• SQLite Browser: administrador de bases de datos SQLite, necesario para acceder a la información almacenada en el dispositivo vulnerado.

4.2.3. Etapa de investigación digital

A continuación, se muestra una descripción global de cada una de las fases pertenecientes a esta etapa. Para ver entrar en más detalle de lo realizado en estas fases consultar el Anexo 10.

1. Fase de documentación: se realizó el registro paso a paso del proceso realizado para obtener la evidencia digital.

2. Fase de búsqueda y recolección de evidencia digital

2.1. Verificación de Jailbreak: para realizar esta verificación fue necesario que los investigadores tuvieran acceso directo al dispositivo vulnerado, con el objetivo de identificar si en este se encontraba disponible la aplicación Cydia, la cual es

63 Un término genérico para la parte de una GUI que permite al usuario interactuar con la aplicación y sistema operativo. Incluyen botones, ventanas pop-‐up, menús desplegables, iconos, entre otros.

79

instalada por defecto al momento de realizar la liberación del dispositivo por medio del proceso de Jailbreak.

2.2. Adquisición física: para realizar la adquisición física se utilizó el enfoque de Jonathan Zdziarski (Ver sección 2.3.2.7 iLiberty+), el cual consiste en realizar la extracción de la imagen física del dispositivo vulnerado por medio de una red inalámbrica haciendo uso del servicio SSH, red inalámbrica a la cual solo tienen acceso el dispositivo mencionado anteriormente y el computador en el cual va a ser almacenada la imagen.

2.3. Adquisición lógica: para realizar la adquisición lógica, se hizo uso del gestor de música iTunes desarrollado por Apple, el cual permite realizar una copia de respaldo del dispositivo en la que principalmente se almacenan los contactos, mensajes de texto, historial de llamadas e información de los datos almacenados como música y fotos.

3. Fase de aseguramiento y preservación de la evidencia digital: la totalidad de la evidencia fue almacenada en el computador portátil perteneciente a uno de los investigadores. Cabe resaltar, que a cada evidencia recolectada se le asigno un número único de identificación, el cual debe ser usado por los investigadores al momento de diligenciar el registro de cadena de custodia cuando sea necesario.

4. Fase de análisis de la evidencia digital

4.1. Análisis de adquisición lógica: como se mencionó anteriormente, iTunes permite realizar una copia de respaldo. Esta consiste en una carpeta que la aplicación genera, donde se encuentra información general del dispositivo y los datos que contiene. Para su análisis se utilizó la herramienta MobileSyncBrowser, la cual permitía ver la información anteriormente nombrada.

4.2. Análisis de adquisición física: para realizar este análisis, fue necesario utilizar un MacBook el cual es capaz de montar las imágenes físicas, y permite ver el contenido con facilidad, pues el sistema de archivos HFSX del iPhone es nativo para el MacBook que utiliza HFS+. El contenido se despliega en forma de directorios, dentro de los cuales se encuentran archivos descriptivos de la información y bases de datos con la misma. Además se utilizó una herramienta llamada Mac Marshal, para determinación de sistema operativo e información general del dispositivo.

Una vez realizado el análisis, se determinaron en primer lugar los archivos sospechosos, en segundo lugar los archivos comprometidos con el caso, para así, poder realizar la obtención de la línea de tiempo definitiva.

5. Fase de presentación de la evidencia digital: después de realizar el análisis de la evidencia digital, se obtuvieron resultados a partir de los archivos comprometidos con

80

el caso y la línea de tiempo, los cuales se describen en esta fase. Así mismo, se pudo concluir la fecha en la cual se perpetró el ataque contra el dispositivo.

4.2.4. Etapa de presentación y revisión

Para el desarrollo de la presente investigación, la totalidad de reportes fueron creados manualmente por los investigadores. Lo anterior debido a que por falta de presupuesto y actualización en algunas herramientas, no fue posible hacer uso de estas. A continuación se muestra el listado de reportes realizados para tener en cuenta al momento de presentar esta investigación en un proceso judicial.

• Formato actuación primer respondiente (Ver Tabla 7). • Formato documentación escena del crimen (Ver Tabla 8). • Entrevista al usuario del dispositivo vulnerado (Ver fase de identificación de la escena

en la sección Etapa de investigación física). • Formulario de identificación del dispositivo vulnerado (Ver Tabla 9). • Registro de cadena de custodia (Ver Tabla 10). • Formulario documentación evidencia digital (Ver Tabla 1 en Anexo 10) • Consolidación archivos potencialmente analizables (Ver Tabla 3 y Tabla 4 en Anexo

10). • Análisis de datos (Ver Tabla 5 a Tabla 122 en Anexo 10) • Determinación archivos comprometidos en el caso (Ver etapa de determinación de los

archivos comprometidos en el caso en la sección Etapa de investigación digital). • Línea de tiempo definitiva (Ver Ilustración 57 en Anexo10Error! Reference source

not found.). • Conclusiones de la investigación (Ver Fase de presentación de la evidencia digital en la

sección Etapa de investigación digital en Anexo 10).

81

5. RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA

Después de llevar a cabo la aplicación de la guía metodológica propuesta en la presente investigación, se presentaron ciertas mejoras en ella, las cuales se exponen a continuación, así como las conclusiones a las cuales se llegaron.

• La fase de identificación de roles y funciones es vital durante el desarrollo de una investigación forense digital. Sin embargo, dependiendo del tipo de investigación que se esté realizando, no es necesario asignar la totalidad de los roles. De ser así, se debe argumentar y documentar el porqué de la decisión.

• La fase de identificación de la escena durante la aplicación de la guía se realizó bajo supuestos, debido a que tanto el escenario planteado para el ataque como la aplicación de la guía la llevaron a cabo las mismas personas. Sin embargo, en una situación real se deben incautar y documentar todos los componentes electrónicos relacionados con la investigación bajo ningún supuesto.

• En la fase de identificación de la escena en el paso número 3, se propone realizar una entrevista al propietario del iPhone en cuestión. Sin embargo, esta entrevista puede variar según la investigación que se esté llevando a cabo. Además si esta guía es utilizada para llevar a cabo una investigación sobre otro modelo del iPhone se puede ajustar a las necesidades que se requieran.

• Lo ideal en una investigación forense digital es preservar la escena del crimen para posteriormente identificar evidencia digital. El iPhone a diferencia de cualquier otro tipo de dispositivo móvil celular, puede hacer parte de varias redes como lo son la red 3G, GSM, Edge, GPRS, o la Wi-Fi, por tal razón es indispensable aislarlo de todas estas redes, para evitar cualquier alteración en la escena del crimen.

• Es recomendable que el registro de cadena de custodia esté sujeto a un formato estándar sugerido por los entes de control del país en que se lleva a cabo la investigación. Ya que de esta manera la presentación del caso puede ser admitida en la corte.

• La tercera fase de la etapa de investigación física planteada en la guía metodológica consiste en realizar la elección de herramientas forenses que se van a utilizar durante la investigación. Durante la aplicación de la guía se desarrolló un cuadro comparativo con las herramientas que soportan análisis en iPhone. Sin embargo, dentro de las herramientas gratuitas que se encontraron, ninguna logró cumplir con los requisitos mínimos para ser utilizada en la investigación.

• La etapa de investigación digital tiene como objetivo llevar a cabo la recolección y análisis de evidencia digital, preservando la integridad y admisibilidad de la evidencia digital. Actualmente no existe ninguna forma de obtener una copia bit a bit del iPhone 3G, sin tener que llevar a cabo el proceso de Jailbreak sobre el dispositivo. Con respecto a lo anterior, se dificulta presentar este tipo de casos en un proceso judicial debido a la alteración de datos en el dispositivo.

82

• Durante la fase de análisis de la evidencia digital, la recuperación de archivos eliminados no se pudo llevar a cabo, debido a que no se utilizó una herramienta especializada en la obtención de este tipo de archivos.

• La línea de tiempo es útil para plasmar de forma gráfica los hechos y sucesos importantes ocurridos, y determinar cuáles fueron las acciones tomadas por el atacante sobre el dispositivo.

83

6. CONCLUSIONES

Uno de los campos que requiere más investigación y profundización, es el de la informática forense en dispositivos móviles. En primera instancia, este trabajo de grado, pretende contribuir conceptualmente en cada uno de los aspectos relacionados con la informática forense clásica y los procedimientos para realizar este tipo de investigaciones en dispositivos móviles como el iPhone 3G. Para llevar a cabo lo mencionado anteriormente, fue necesario realizar una exhaustiva recolección de información con el objetivo de formalizar el estado del arte de cada una de las variables presentes en la investigación como lo son el iPhone 3G, los problemas de seguridad en este y la informática forense tanto clásica como orientada a dispositivos móviles, campo que aún está en crecimiento. Lo anterior, con el objetivo de presentar la guía metodológica basada en dichos conceptos, para realizar análisis sobre dispositivos móviles como el iPhone.

En segunda instancia, además de proponer la guía metodológica, se presentó un escenario de prueba de la misma, bajo un ataque controlado, de forma tal que los resultados se utilizaron para verificar su eficacia, efectividad y viabilidad de aplicación en un caso dado. Una vez aplicada la guía se llegó a lo siguiente:

• Actualmente las herramientas forenses para dispositivos móviles se encuentran desactualizadas, es por esto que llevar a cabo análisis sobre dispositivos como el iPhone 3G que constantemente presenta actualizaciones en el firmware, requiere de otro tipo de herramientas y métodos (como el Jailbreak) que pueden llegar a ser no del todo admisibles en una investigación dada.

• Se concluye que la aplicación de la guía es viable para un caso real, sin embargo se recomienda ajustar la guía de acuerdo a lo planteado en la retroalimentación de la misma.

• Debido a los avances tecnológicos que se presentan en la actualidad, es necesario actualizar la guía de acuerdo a los cambios que se presentan en el dispositivo iPhone, realizando pruebas y retroalimentación de la misma.

• Es indispensable que Apple Inc. proporcione algún tipo de ayuda en el campo de la informática forense orientada a este tipo de dispositivos, ya sea brindando algún tipo de libración en el dispositivo o desarrollando una herramienta forense que permita realizar análisis sobre este dispositivo sin necesidad de realizar algún proceso extra para poder liberarlo como se hace en la actualidad, con lo cual se puede poner en riesgo una investigación completa al momento de ser presentada en un proceso judicial.

84

7. TRABAJOS FUTUROS

A continuación se presentan los trabajos futuros sugeridos una vez culminada la presente investigación:

• La presente investigación se hizo orientada al dispositivo móvil iPhone 3G, por lo tanto la guía metodológica propuesta en este documento se realizó enfocada únicamente al análisis de dicho dispositivo. Por lo tanto, se propone realizar un caso de estudio más profundo donde además de realizar la investigación sobre el dispositivo, también pueda ser analizada la tecnología de red que usa dicho dispositivo (3G).

• El análisis de la presente investigación fue desarrollado usando como herramienta forense un MacBook. Lo anterior debido a la falta de presupuesto para poder utilizar alguna herramienta licenciada y a la falta de actualización de las herramientas freeware que no soportaban análisis de iPhone 3G con firmware superior a 2.1. Con respecto a lo anterior, se propone ejecutar la guía metodología propuesta haciendo uso de alguna herramienta actualizada con el objetivo de comparar resultados y de ser el caso realizar la retroalimentación pertinente a la guía metodológica.

• Con respecto a lo anterior, para poder realizar el análisis del dispositivo era necesario que este estuviera previamente liberado por medio del proceso de Jailbreak. En caso contrario es responsabilidad del investigador realizar este proceso, lo cual puede poner en riesgo el resultado de la investigación cuando esta sea presentada en un proceso judicial. Por lo tanto, se propone la ejecución de la guía metodológica propuesta en un escenario de prueba en el cual es dispositivo no esté liberado y no haya necesidad de realizar dicho proceso, utilizando alguna herramienta forense que soporte análisis sobre este tipo de dispositivos sin Jailbreak como Paraben Device Seizure, la cual lastimosamente solo soporta este tipo de análisis para iPhone 3G con firmware inferior al 2.1.

• La presente investigación fue realizada enfocada a un dispositivo de última tecnología como lo es el iPhone 3G, pero debido a la gran rapidez con que evoluciona la tecnología, en estos momentos existe el sucesor del iPhone 3G llamado iPhone 3GS, y gracias a la popularidad que han adquirido este tipo de dispositivos, con el tiempo existirán nuevos sucesores que mejoren su rendimiento, usabilidad y amplíen los servicios que presta actualmente el dispositivo. Con respecto a lo anterior, se propone realizar la ejecución de la guía metodológica propuesta en el iPhone 3GS y de darse el caso, en sus posteriores actualizaciones con el objetivo de mantener actualizada la guía metodológica.

85

8. REFERENCIAS

[1] B Mellar. “Forensic examination of mobile phones”. Digital Investigation - Elsevier, United Kingdom, 2004, http://faculty.colostate-pueblo.edu/dawn.spencer/Cis462/Homework/Ch4/Forensic%20examination%20of%20mobile%20phones.pdf Última consulta: Febrero de 2009.

[2] M Rossi. “Internal forensic acquisition for mobile equipments”. Dipartimento di Informatica, Sistemi e Produzione, Università di Roma “Tor Vergata”, 2008.

[3] Canalys. Expert Analysis for High-tech Industry. “Smart mobile device shipments hit 118 million in 2007, up 53% on 2006”. Singapore and Reading (UK) – Tuesday, 5 February 2008, http://www.canalys.com/pr/2008/r2008021.htm, Última consulta: Febrero 2009.

[4] Canalys. Expert Analysis for High-tech Industry. “Global smart phone shipments rise 28%”. Reading (UK) – Thursday, 6 November 2008, http://www.canalys.com/pr/2008/r2008112.htm, Última consulta: Febrero 2009.

[5] J Zdziarski. “iPhone Forensics, Recovering Evidence, Personal Data & Corporate Assets”, 2008.

[6] CSI. Computer Security Institute. http://www.gocsi.com/. Última consulta: Enero de 2009.

[7] CSI. “Computer Crime and Security Survey, The latest results from the longest-running project of its kind”. 2008. http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf, Última consulta: Enero de 2009.

[8] C. Castillo, R. Ramírez, “Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM”, Pontificia Universidad Javeriana, Dic. 2008.

[9] M. Varsalone, J. Kubasiak, “Mac Os X, iPod and iPhone Forensic Analysis DVD Toolkit”, Syngress Publishing Inc, 2009, pp. 355-475.

[10] Dev-Team Blog, redsn0w in june, http://blog.iphone-dev.org/post/126908912/redsn0w-in-june , Última consulta: 13/09/09.

[11] Bluetooth, “Descripción general del funcionamiento”, 2009, http://spanish.bluetooth.com/Bluetooth/Technology/Works/Default.htm

[12] Forensic analysis of mobile phone internal memory, http://digitalcorpora.org/corpora/bibliography_files/Mobile%20Memory%20Forensics.pdf.

[13] C. Agualimpia, R. Hernández, “Análisis forense en dispositivos móviles con Symbian OS”, Documento de maestría, Dept. Ingeniería electrónica, Pontifica Universidad Javeriana, http://www.criptored.upm.es/guiateoria/gt_m142e1.htm.

[14] C. Castillo, A. Romero, J. Cano, “Análisis forense orientado a incidentes en teléfonos celulares GSM: Una guía metodológica”, Conf. XXXIV Conferencia Latinoamericana de Informática, Centro Latinoamericano de Estudios en Informática (CLEI), Sept. 2008, http://www.clei2008.org.ar/

[15] I Baggilo, R Milan, M Rogers. “Mobile Phone Forensics Tool Testing: A Database Driven Approach”. International Journal of Digital Evidence, Purdue University, Volume 6 Issue 2, Fall 2007; http://www.utica.edu/academic/institutes/ecii/publications/articles/1C33DF76-D8D3-EFF5-47AE3681FD948D68.pdf

[16] Fred Vogelstein, “The Untold Story: How the iPhone Blew Up the Wireless Industry”, WIRED, Wired Magazine: issue 16.02, Enero 2008,

86

http://www.wired.com/gadgets/wireless/magazine/16-02/ff_iphone?currentPage=all, Última consulta: 23/03/09.

[17] Javier Penalva, “Historia del iPhone”, Xataca, Jun. 2008, http://www.xataka.com/moviles/historia-del-iphone, Última consulta: 23/03/09

[18] “The Apple iPhone Story: 1999 to 2008”, ProductReviews, Ago. 2008, http://www.product-reviews.net/2008/08/01/the-apple-iphone-story-1999-to-2008/, (no tiene autor), Última consulta: 23/03/09.

[19] Danny Dumas, “iPhone Timeline Highlights the Handset Through The Ages”, WIRED, Gadget Lab: hardware that rocks your world, Jul. 2008, http://blog.wired.com/gadgets/2008/07/iphone-timeline.html, Última consulta: 23/03/09.

[20] Ashton Applewhite, “The BlackBerry Business”, IEEE, Persasive Computing, Volume 1, Issue 2, Abr./Jun. 2002, http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1012329, Última consulta: 23/03/09.

[21] Apple Inc., “Especificaciones iPhone 3G”, 2009, http://www.apple.com/es/iphone/specs.html, Última consulta: 26/01/09

[22] Apple Inc., “Qué es iTunes”, 2009, http://www.apple.com/es/itunes/whatis/, Última consulta: 24/03/09.

[23] Andrew Hoog, “iPhone Forensics: Annual Report on iPhone Forensic Industry”, Chicago Electronic Discovery, Mar. 2009

[24] Apple Inc., “iPhone 3G: Gallery”, 2009, http://www.apple.com/iphone/gallery/, Última consulta: 24/03/09

[25] Michael Macedonia, “iPhones Target the Tech Elite”, Entertainment Computing, Pags. 94-95, Jun. 2007.

[26] Lev Grossman, “Invention Of the Year: The iPhone”, TIME in partnership with CNN, http://www.time.com/time/specials/2007/article/0,28804,1677329_1678542,00.html, Última consulta: 24/03/09.

[27] Apple Inc., “iPhone 3G: Caracteristicas”, 2009, http://www.apple.com/la/iphone/features/, Última consulta: 24/03/09.

[28] Apple Inc, “iPod Classic”, 2009, http://www.apple.com/la/ipodclassic/features.html, Última consulta: 25/03/09.

[29] Apple Inc., “Apple introduce el Nuevo iPhone 3G: dos veces más rápido y a mitad de precio”, Sala de prensa, 2009, http://latam.apple.com/pr/articulo/?id=1486, Última consulta: 25/03/09.

[30] T. Espiner, “Crackers claim iPhone 3G hack”, ZDNet UK Jul. 2008, http://news.zdnet.co.uk/security/0,1000000189,39446756,00.htm

[31] J. Pastor, “El iPhone vulnerable al Phishing”, Jul. 2008, http://www.theinquirer.es/2008/07/25/el_iphone_vulnerable_al_phishing.html, Última consulta: 14/04/2009.

[32] Jeimy J. Cano, “Introducción a la informática forense: Una disciplina técnico-legal”, Revista Sistemas, Asociación Colombiana de Ingenieros de Sistemas (ACIS), Vol.96, pp. 64-73, Jun. 2006, http://www.acis.org.co/fileadmin/Revista_96/dos.pdf, Última consulta: 14/04/2009.

[33] Jeimy J. Cano, “Computación Forense: Conceptos Básicos”, May. 2002.

87

[34] Del Pino Santiago, “Introducción a la informática forense”, Pontificia Universidad Católica del Ecuador, Oct. 2007, Disponible en: http://www.criptored.upm.es/guiateoria/gt_m592b.htm.

[35] D. Brezinski, T. Killalea, Guidelines for Evidence Collection and Archiving, IETF RFC 3227, February 2002; http://www.ietf.org/rfc/rfc3227.txt

[36] Reith Mark, Carr Clint, Gunsch Gregg, “An Examination of Digital Forensic Models”, International Journal of Digital Evidence, Air Force Institute of Technology, Volume 1 Issue 3, Fall 2002, www.utica.edu/academic/institutes/ecii/publications/articles/A04A40DC-A6F6-F2C1-98F94F16AF57232D.pdf.

[37] Baryamureeba Venansius, Tushabe Florence, “The Enhanced Digital Investigation Process Model”, Institute of Computer Science, Makerere University, May. 2004.

[38] M. Meyers, M. Rogers, “Computer Forensics: The Need for Standardization and Certification”, International Journal of Digital Evidence, CERIAS, Purdue University, Volume 3 Issue 2, Fall 2004, www.utica.edu/academic/institutes/ecii/publications/articles/A0B7F51C-D8F9-A0D0-7F387126198F12F6.pdf.

[39] International Organization on Computer Evidence, “Guidelines for best practice in the forensic examination of digital technology”, IOCE Best Practice Guide V1.0, May. 2002, http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html

[40] M. Delgado, “Análisis Forense Digital”, Hackers y Seguridad, 2nd ed., Jun. 2007, http://www.criptored.upm.es/guiateoria/gt_m335a.htm

[41] iPhone OS Overview, http://developer.apple.com/iphone/gettingstarted/docs/iphoneosoverview.action

[42] iPhone OS Technology Overview, Oct. 2009, http://developer.apple.com/iphone/library/documentation/Miscellaneous/Conceptual/iPhoneOSTechOverview/Introduction/Introduction.html.

[43] Technical Note TN1150 HFS Plus Volume Format http://developer.apple.com/technotes/tn/tn1150.html#HFSX

[44] A. Burghardt, A. Feldman, “Using the HFSD journal for deleted file recovery”, Digital Forensic Research Workshop, 2008, http://www.dfrws.org/2008/proceedings/p76-burghardt.pdf

[45] A. Sandoval, “El iPhone está disparado a nivel mundial”, El Tiempo, Ago. 2009, http://m.eltiempo.com/detail/key/86380/Tec/1;jsessionid=2E69ADA8DC4483AACF825D6FE1778B9E.eltiempo2, Última consulta: 25/08/09

[46] L. Cassavoy, “What Does It Mean to Jailbreak an iPhone?”, About.com, http://smartphones.about.com/od/glossary/f/jailbreak_faq.htm, Última consulta: 27/08/09

[47] K. Higgins, “Metasploit Adds iPhone Hacking Tools”, Dark Reading, Sep. 2006, http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208804751, Última consulta: 27/08/09.

[48] Dev-Team Blog, 2009, http://blog.iphone-dev.org/, Última consulta: 25/08/09.

[49] iPhone Dev Team, “Pwnage Project”, Mar. 2008, http://wikee.iphwn.org/news:pwnage, Última consulta: 28/08/09

88

[50] iPhone Dev Team, “How Pwnage Works”, Jun. 2008, http://wikee.iphwn.org/s5l8900:pwnage, Última consulta: 28/08/09

[51] SeguInfo: Seguridad de la información, Phishing, http://www.segu-info.com.ar/malware/phishing.htm, Última consulta: 28/08/09

[52] Apple Inc, “Mail”, 2009, http://www.apple.com/es/iphone/iphone-3g/mail.html, Última consulta: 28/08/09

[53] Aviv Raff On, “iPhone is Phishable and SPAMable”, Jul. 2008, http://aviv.raffon.net/2008/07/23/iPhoneIsPhishableAndSPAMable.aspx, Última consulta: 28/08/09

[54] Aviv Raff On, “Happy New Year”, Oct. 2008, http://aviv.raffon.net/2008/10/02/HappyNewYear.aspx, Última consulta: 28/08/09

[55] Thomas Claburn, “Apple iPhone Vulnerabilities Disclosed”, InformationWeek | the business value of technology, Oct. 2009, http://www.informationweek.com/news/personal_tech/iphone/showArticle.jhtml?articleID=210605451, Última consulta: 28/08/09

[56] Compaq, “Compaq V3718LA” http://search.hp.com/query.html?lang=en&hps=Compaq.com&la=en&hpn=Return+to+Compaq.com&qp=web_section_id%3Ar163+site%3Ashopping.hp.com&cc=us&hpr=/country/index.html&h_audience=hho&qt=compaq+v3718la, Última consulta: 28/08/09.

[57] SeguInfo: Seguridad de la información, Spam, http://www.segu-info.com.ar/malware/spam.htm, Última consulta: 30/08/09

[58] Daniel V. Hoffman, “Blackjacking: Security Threats to BlackBerrys, PDAs, and Cell Phones in the Enterprise”, Wiley Publishing Inc, 2007, pp. 3-13

[59] Crackea tu iPhone, “Hackers pueden entrar a tu iPhone mediante OpenSSH”, 2008, http://crackeatuiphone.com/2008/09/hackers-pueden-entrar-a-tu-iphone-mediante-openssh/, Última consulta: 01/09/09

[60] Insecure.org, http://nmap.org/, Última consulta: 06/09/09.

[61] The GNU Netcat project, http://netcat.sourceforge.net/, Nov. 2006, Última consulta: 06/09/09.

[62] Adelstein. F.: MFP: The Mobile Forensic Platform. International Journal of Digital Evidence. Volume 2. Issue 1. (2003). http://www.utica.edu/academic/institutes/ecii/publications/articles/A066554D-DCDD-75EE-BE7275064C961B5D.pdf

[63] Geiger, M.: Evaluating Commercial Counter-Forensic Tools. Carnegie Mellon University. Digital Forensic Research Workshop (DFRWS). (2005). http://dfrws.org/2005/proceedings/geiger_couterforensics.pdf

[64] R. Joyce, J. Powers, F. Adelstein, “MEGA: A tool for Mac OS X operating system and application forensics”, Digital Investigation, 2008

[65] R. Leigland, “A Formalization of Digital Forensics”, International Journal of Digital Evidence, University of Idaho, Volume 3, Issue 2, Fall 2004, http://www.utica.edu/academic/institutes/ecii/publications/articles/A0B8472C-D1D2-8F98-8F7597844CF74DF8.pdf.

89

[66] O. López, H. Amaya, R. León, B. Acosta, “Informática forense: generalidades, aspectos técnicos y herramientas”, Universidad de los Andes, 2002, http://www.criptored.upm.es/guiateoria/gt_m180b.htm

[67] DFRWS, “A Road Map for Digital Forensic Research”, Report From the First Digital Forensic Research Workshop (DFRWS), 2001, http://www.dfrws.org/2001/dfrws-rm-final.pdf

[68] IOCE, “Guidelines For Best Practice in the Forensic Examination of Digital Technology”, draft v1.0, http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html.

[69] S. Peisert, M. Bishop, S. Karin, K. Marzullo, “Toward Models for Forensic Analysis”, http://www.cs.ucdavis.edu/~peisert/research/PBKM-SADFE2007-ForensicModels.pdf.

[70] J. Cano, “Buenas prácticas en la administración de la evidencia digital”, Universidad de los Andes, 2006.

[71] B. Carrier, E. Spafford, “Getting Physical with the Digital Investigation Process”, International Journal of Digital Evidence, University of Idaho, Volume 2, Issue 2, Fall 2003, http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7A-FB6C-325D-BF515A44FDEE7459.pdf

[72] N. Beebe, J. Clark, “A Hierarchical, Objectives-Based Framework for the Digital Investigations Process”, Digital Investigations Process Framework, Digital Forensics Research Workshop (DFRWS), Ag. 2004.

[73] A. Hook, K. Gaffaney, “iPhone Forensics - WOLF”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-wolf.html, Última consulta: 06/09/09.

[74] A. Hook, K. Gaffaney, “iPhone Forensics - Cellebrite UFED (3.0/5.0)”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-ufed.html, Última consulta: 06/09/09.

[75] A. Hook, K. Gaffaney, “iPhone Forensics - Paraben Device Seizure”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-paraben-device-seizure.html, Última consulta: 06/09/09

[76] A. Hook, K. Gaffaney, “iPhone Forensics - MacLock Pick”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-maclock-pick.html, Última consulta: 06/09/09

[77] A. Hook, K. Gaffaney, “iPhone Forensics - MDBackup Extract”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-md-backup-extract.html, Última consulta: 06/09/09

[78] A. Hook, K. Gaffaney, “iPhone Forensics - .XRY”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-microsystemation-xry.html, Última consulta: 07/09/09

[79] A. Hook, K. Gaffaney, “iPhone Forensics - Zdziarski Technique”, ViaForensics, Jun. 2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-zdziarski-technique.html, Última consulta: 07/09/09

[80] K. Mandia, C. Prosise, M. Pepe, “Incident Response & Computer Forensics ”, Segunda Edición, McGraw-Hill, 2003, pp. 11-32

90

[81] R Ayers, W Jansen. “Guidelines on CellPhone Forensics”, National Institute of Standards and Technology Special Publication 800-101; http://csrc.nist.gov/publicati ons/nistpubs/800-101/SP800-101.pdf . Última consulta: Septiembre de 2009.

[82] D. Shinder, Scene of the Cybercrime Computer Forensic Handbook, Syngress Publishing, Inc, 2002.

[83] D. Bem, E. Huebner, “Computer Forensic Analysis in a Virtual Environment”, International Journal of Digital Evidence, Volume 6, Issue 2. 2007, http://www.utica.edu/academic/institutes/ecii/publications/articles/1C349F35-C73B-DB8A-926F9F46623A1842.pdf.

[84] SeguInfo: Seguridad de la información, Amenazas Lógicas - Tipos de Ataques - Ataques de Autenticación, http://www.segu-info.com.ar/ataques/ataques_autenticacion.htm, Última consulta: 13/09/09.

[85] SeguInfo: Seguridad de la información, Exploit, http://www.segu-info.com.ar/malware/exploit.htm, Última consulta: 13/09/09.

[86] SeguInfo: Seguridad de la información, Tipos de Malware, http://www.segu-info.com.ar/malware/, Última consulta: 13/09/09.

[87] OpenSSH, http://www.openssh.com/es/index.html, Última consulta: 13/09/09.

[88] GSM Security, “What is an IMEI?”, http://www.gsm-security.net/faq/imei-international-mobile-equipment-identity-gsm.shtml, Última consulta: 13/09/09

[89] Fiscalía General de la Nación, “Manual de procedimientos para cadena de custodia”, http://happymundo.com/segob/MANUALES/manual%20de%20procedimientos%20para%20cadena%2029%20de%20enero.pdf.

[90] C. Mulliner, C. Miller, “Injecting SMS Messages into Smart Phones for Security Analysis”, Ago. 2009 http://www.usenix.org/events/woot09/tech/full_papers/mulliner.pdf.

[91] C. Mulliner, C. Miller, “Fuzzing the Phone in your Phone”, Ago. 2009, BlackHat Conference, http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf

[92] J. Cano, “Computación Forense: descubriendo los rastros informáticos”, Alfaomega, 2009, p. 180

[93] SeguInfo: Seguridad de la información, Spam, http://www.segu-info.com.ar/malware/spam.htm, Última consulta: 23/11/09.

[94] Developer Connection, “Networking Bonjour”, Apple Inc., http://developer.apple.com/networking/bonjour/, Última consulta: 29/11/09.

[95] Carnegie Mellon University, “Wi-Fi Origins”, http://www.cmu.edu/homepage/computing/2009/summer/wi-fi-origins.shtml, Última consulta: 29/11/09.

[96] ERICSSON, “The evolution of EDGE”, Feb. 2007, http://www.ericsson.com/technology/whitepapers/3107_The_evolution_of_EDGE_A.pdf ,Última consulta: 29/11/09.

[97] Developer Connection, “Introduction to CFNetwork Programming Guide”, May. 2009, http://developer.apple.com/mac/library/DOCUMENTATION/Networking/Conceptual/CFNetwork/Introduction/Introduction.html, Última consulta: 29/11/09.

91

[98] Developer Connection, “Introduction to The Objective-C Programming Language”, Oct. 2009, http://developer.apple.com/mac/library/documentation/cocoa/Conceptual/ObjectiveC/Introduction/introObjectiveC.html, Última consulta: 29/11/09.

[99] Developer Connection, “Quartz 2D Programming Guide”, May. 2009, http://developer.apple.com/IPhone/library/documentation/GraphicsImaging/Conceptual/drawingwithquartz2d/Introduction/Introduction.html, Última consulta: 29/11/09.

[100] Arnotify, “On the Origins of .DS_Store”, http://arno.org/arnotify/2006/10/on-the-origins-of-ds_store/, Última consulta: 29/11/09.

[101] The Sydney Morning Herald, “Surprise iPhone launch”, http://www.smh.com.au/news/phones--pdas/surprise-iphone-launch/2006/12/18/1166290484620.html, Última consulta: 30/11/09.

[102] World Time Zone, “World Time Zone Abbreviations, Description and UTC Offset”, http://www.worldtimezone.com/wtz-names/wtz-cot.html, Última consulta: 30/11/09.

CIS0910SD01 MÓVILES INTELIGENTES - Trabajos de Grado de...

Documents

Transcript of CIS0910SD01 MÓVILES INTELIGENTES - Trabajos de Grado de...