© Todos los derechos reservados

SbD

LIOS #FF: a tool for IOS ForensicsLorenzo Martínez R. (@lawwait)

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

[root@localhost ~]# whoami

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Echando la vista atrás...

Septiembre 2007 Septiembre 2013Mayo 2013

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

[root@localhost ~]# whoami• 13 años experiencia profesional en seguridad• Integradores -> Fabricantes -> Empresario && formador• CTO && Founder www.securizame.com • Perito Informático Forense• CISSP, CISA• Editor de SecurityByDefault• Herramientas: Securewin, amispammer, scalparser• Twitter: @lawwait, @securizame, @secbydefault• Email: lorenzo@securizame.com• Web: www.securizame.com www.securitybydefault.com

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

¿Por qué analizar IOS?

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

• Dos particiones HFS+ (Hierarchical FileSystem+)– Boot/firmware

• Sólo lectura (excepto update y JB)• S.O y apps básicas

– Datos de usuario y apps

• Árbol de directorios y ficheros (Formato UNIX)• Tipos de ficheros fundamentales

– SQLite (Agenda, Calendario, Llamadas, SMS,...)– PList (NextStep y XML)

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Adquisición de datos• Desde un Backup de iTunes

– Cifrado / sin cifrar• Directamente desde el dispositivo

– Con contraseña de (des)bloqueo– Herramienta: iExplorer

• Desde un dispositivo con Jailbreak– SSH + dd

- En todos ellos, AIRPLANE MODE o Jaula de Faraday -

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Backup de iTunes: ¿Dónde?• Windows 7 -> <carpeta usuario>\AppData\Roaming

\Apple Computer\MobileSync\Backup\<UDID>

• Windows XP -> <carpeta usuario>\Application Data\Roaming\Apple Computer\MobileSync\Backup\<UDID>

• Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID>

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Herramientas libres

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Backup de iTunes: Ficheros• Herramientas Necesarias:

– listManifest.py– SQLite Database Browser– PListEdit Pro– Iphone Data Protection– BinaryCookieReader.py

• Status.plist -> Info del último backup• Info.plist y Manifest.plist -> Info del iDevice: Serial

number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas

• Manifest.mbdb -> Metadatos de los ficheros del backup• Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb)

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

iPhone Analyzer

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

iPhone Backup Analyzer

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

iExplorer (Unregistered version)

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

iFunBox

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Herramientas comerciales

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Ubicación de ficheros importantes

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Acceso directo a sistema de ficheros• /private/var/mobile/Media/DCIM

– /100Apple -> IMG_*– /999Apple -> Imágenes anteriores

• /private/var/mobile/Library/Keyboard/dynamic-text.dat• /private/var/Keychains/key-chain-2.db• /private/var/mobile/Library/Notes/notes.sqlite• /private/var/mobile/Library/SMS/sms.db• /private/var/mobile/Library/Mail/• /private/var/mobile/Library/Maps/History.plist• /private/var/mobile/Media/Recordings

– Recordings.db– *.m4a

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Acceso directo a sistema de ficheros• /private/var/mobile/Library/VoiceMail/• /private/var/mobile/Library/Cookies/cookies.binarycookies• /private/var/mobile/Library/Caches/RecentSearches.plist*• /private/var/mobile/Library/AddressBook/

AddressBook.sqlitedb• /private/var/Library/CallHistory/call_history.db• /private/var/Library/Calendar/Calendar.sqlitedb• /private/var/Library/Caches/locationd/consolidated.db

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Basta ya de chapa...

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

LIOS #FF: Lawwait IOS Forensics Framework• Lenguaje de scripting: Perl• Inicialmente, herramienta de clasificación de

ficheros de un backup• Luego, selección de ficheros ‘Juicy’• Lios_report – Tratamiento de datos en un periodo de fechas– Llamadas, SMS, Calendario, Notas, Whatsapp, Line,

Viber, Notas de voz, Safari– Timeline!!!

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

• Problemas encontrados– EPOCH vs. CFAbsoluteTime– Cambios en las versiones de IOS– Nombres de tablas inexistentes en diferentes versiones de Apps

• Roadmap– Modularidad/Plugins, API– Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc...– Compatibilidad con IOS 7– Integración con otras herramientas– Recuperación de registros borrados

LIOS #FF: Lawwait IOS Forensics Framework

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

No me lo creo... a verlo!

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Conclusiones• Manipulación ficheros en crudo vs. Herramientas

“homologadas”• Low cost o home made != Malo• LIOS: – Clasificación de ficheros “por tipo”– Ficheros “jugosos”– Report: • Información visual• Aplicaciones típicas, pero no estándar• Escalabilidad• Timeline

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

LIOS #FF: A tool for IOS Forensics

© Todos los derechos reservados

Email me: lorenzo@securizame.comTwitter: @lawwait @securizame @secbydefault