"Security & Pure Forensics"

.

martes, 13 de abril de 2010

Te puede pasar a ti...(Forensics Iphone) PARTE I

Hola lectores,

Silvia y Mirian son unas adolescentes de 13 y 14 años respectivamente. A estas edades las hormonas se disparán y todo es color brillante y rosa. También como es habitual los fines de semana quedan en casa de Miriam para realizar una fiesta y tomar 'copas' en el jardín (como dicen los mas jovenes botellon privado). Allí se juntan con un grupo de chicos de su instituto y conforme pasan las horas y la ingesta de alcohol todo sube de tono. Que si un besito, que si te toco un poquito, etc.

El caso es que la cosa se desmadra y Silvia desaparece con dos chicos por el jardín. Pasado un rato y todo de buen rollo, se intercambian los números del móvil y se van a casa y aquí no ha pasado nada.

El caso resumiendo es el siguiente, Silvia fué grabada (¿sin saberlo?) desde un teléfono móvil en actitudes podríamos decir poco decorosas. En el instituto todo el mundo habla de que existe un un link de acceso a una descarga del vídeo desde Rapidshare (desde luego sin contraseña y a disposición de todo el mundo).

A estas estas edades todo se sabe y empieza a correr el rumor por el Instituto donde Silvia y Mirian estudian. Los profesores alertados por el problema deciden hablar con la chica y con sus padres. El caso se denuncia en la comisaría más próxima. Los padres acusan a los dos chicos de abusar de la chica (en el juicio quedo patente que fué consentido) y quieren que se requise todas las pruebas posibles que incriminen a los chicos. Curiosamente el móvil (un iphone, ¡¡con 14 años y ya tienen iphone!!) ha desaparecido.
Esto cabrea a los abogados de los padres y alegra al buffete de abogados de su defendido, dado que no existiendo la prueba, no hay evidencia y por lo tanto es muy difícil mantener la acusación, como siempre en estos casos siempre prevalece la presunción de inocencia del acusado.

El Juez, decide aplazar el juicio a petición de los abogados de los padres para que se haga un análisis de los equipos y soportes informáticos que los chicos tengan en sus casas.
En el caso de que existiera el iphone disponemos de medios muy potentes en productos como cellebrite, Oxygen o Paraben, pero extremadamente caros para el común de los mortales. Por otro lado existen diversas técnicas que aunque mas rudimentarias nos aportan algo más de enseñanaza para un análisis forense.

Tras el previo análisis de uno de los ordenadores de los chicos, nos fijamos que dispone de iTunes, cosa muy importante dado que podremos obtener mucha información en el ordenador siempre que este hubiera sincronizado o hubiera realizado una copia de seguridad con el iphone.


En este caso vamos a ver como se ha resuelto.

El funcionamiento de sincronización de iTunes se basa en un controlador especifico en Windows y Mac que permite la comunicación segura entre ambos dispositivos, cuando se sincronizan o se hace una copia de seguridad, Windows almacena estos datos en un formato especifico de ficheros(si disponemos de la última versión del firmware) llamados mddata y mddinfo

Entre las cosas que sincroniza o se hacen copias de seguridad están:


  • Marcadores, cookies, historial y páginas abiertas actualmente del navegador
  • Marcadores, búsquedas recientes y la ubicación actual de mapas en Mapas
  • Ajustes, preferencias y datos de las aplicaciones
  • La Agenda y los favoritos de la Agenda
  • Cuentas de Calendario
  • Fondos de pantalla
  • Notas
  • Historial de llamadas
  • Cuentas de Mail
  • Favoritos de YouTube
  • Mensajes SMS
  • Correcciones sugeridas guardadas (se guardan automáticamente cuando las rechazas)
  • Carrete (fotos y capturas de pantalla tomadas con el iPhone)
  • Identificador del buzón de voz visual (no se trata de la contraseña del buzón de voz visual, pero se utiliza para validar la conexión. Sólo se restaurará a un teléfono que tenga el mismo número en la tarjeta SIM).
  • Clips web
  • Ajustes de red (puntos de acceso Wi-Fi guardados, ajustes de VPN, preferencias de red)
  • Dispositivos Bluetooth enlazados (sólo se pueden restaurar al mismo teléfono que realizó la copia de seguridad)
  • Llavero (incluye las contraseñas de las cuentas de correo electrónico, las contraseñas Wi-Fi y las que introduces en sitios web y algunas otras aplicaciones. El llavero sólo puede restaurarse a partir de una copia de seguridad al mismo iPhone o iPod touch. Si estás restaurando a un dispositivo nuevo, tendrás que volver a introducir esas contraseñas de nuevo)
  • Configuraciones/perfiles gestionados
  • Lista de fuentes de sincronización externas (MobileMe, Exchange ActiveSync)
  • Configuraciones de cuentas Microsoft Exchange
  • Entrenamientos y ajustes de Nike+iPod guardados
  • Datos de las aplicaciones de la tienda App Store (excepto la aplicación propiamente dicha y sus carpetas tmp y Caches)
  • Vídeos en el carrete
  • Preferencias de aplicaciones que permitan el uso de los servicios de ubicación
  • Caché/base de datos de aplicaciones web sin conexión
  • Notas de voz
  • Autorrelleno para páginas web
  • Servidores de confianza con certificados que no se puedan verificar
  • Sitios web con autorización para obtener la ubicación del dispositivo
  • Compras in-app (en aplicación)
Estas copias se guardan dentro de la carpeta del usuario, el directorio sería:
  • Mac: ~/Librería/Application Support/MobileSync/Backup/
  • Windows XP: \Documents and Settings\(nombredeusuario)\Application Data\Apple Computer\MobileSync\Backup\
  • Vista / Win 7: C:\Users\(nombredeusuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\
En el caso que nos trata 'el chico' tiene en su ordenador Windows Vista y en el contenido del directorio nos encontramos la siguiente carpeta "0387fecb24b358ec337ab2ad3323fb8e0bbc27ca".


Cuando el dispositivo se conecta por primera vez a iTunes y nunca estaba conectado anteriormente, iTunes generará un identificador alfanumérico 40 caracteres para el dispositivo.  Este identificador, también conocido como el UDID (Unique Device Identifier), es también el nombre de la carpeta para este dispositivo dentro de la carpeta de copia de seguridad.

En el caso en concreto tenia más de una y tuve que ordenarlas por fecha para distinguirlas,también es conveniente realizar una copia de esta carpeta en el escritorio u otro dispositivo, para trabajar desde ella y no correr el riesgo de perderla. (es recomendable hacer un hash del contenido del directorio). Los ficheros que contiene pueden ser del siguiente formato:


TIPOS DE FICHEROS


plist
mdbackup
mddata
mdinfo 


Archivos plist



Los archivos plist son archivos informativos donde se escribe el contenido en XML.


Hay 3 plist principales archivos generados como parte del proceso de copia de seguridad - Info.plist, Status.plist y Manifest.plist.

El archivo plist más importante es el archivo Info.plist ya que contiene información básica sobre el dispositivo, incluido el, nombre de dispositivo asignado por el usuario número de serie y número de teléfono. El info.plist también indicará la última fecha y la hora cuando el dispositivo fue copiado en el proceso de copia de seguridad.


 archivo plist

El archivo Status.plist indica el estado del proceso de sincronización anterior o copia de seguridad. Si la sincronización o el proceso de copia de seguridad se completó correctamente, entonces el contenido indicaría que el backup se ha realizado correctamente.

El archivo Manifest.plist
es un archivo binario plist real de los archivos de la copia de seguridad junto con la firma digital. Generalmente, este archivo no es de importancia forense.


Archivos mdbackup


Los archivos mdbackup también contiene datos importantes siendo el propio nombre de archivo es un valor hexadecimal alfanuméricos. En las versiones de firmware más recientes para el iPhone, los archivos. mdbackup se sustituye por la mddata.y mdinfo . A diferencia del mdbackup que todo el archivo contiene los metadatos en la nueva versión de firmware va a crear dos archivos - uno con la extensión mddata y el otro con la extensión mdinfo. El. mdinfo y mddata actuan como un igual y, por tanto, tienen el mismo nombre de archivo, pero las extensiones de archivo diferentes.

Archivos MDINFO y MDDATA

El mdinfo contendrá la información de metadatos sobre el archivo,como por ejemplo, la libreta de direcciones, SMS, historial de llamadas, etc.  El mddata contendrá el contenido real de ese archivo. También hay que tener en cuenta que estos ficheros se pueden cifrar desde el propio programa de Itunes, (este no es el caso) y si así fuera se complicaria el análisis forense


¡¡EMPEZAMOS!!


Como hemos comentado anteriormente disponemos de una carpeta llamada '0387fecb24b358ec337ab2ad3323fb8e0bbc27ca'  que contiene los ficheros a buscar. En la investigación me voy a centrar en los SMS's por ver si ha mandado algún mensaje a otro chico, indicando la posibilidad de que se descarge el vídeo y también voy a ver si contiene el vídeo en cuestión en el ordenador.

Algunos ficheros 'mddata' en sus metadatos tienen una estructura basada en SQLite. Para buscar que ficheros son los del SMS's y llamadas, voy a recurrir a la utilidad 'grep' (para windows) y voy a buscar un patron que suelen estar en la estructura de ficheros.

Patrones de búsqueda:

sms.db: SMS
call_history.db: Historico de llamadas
notes.db: Agenda y notas

En la siguiente pantalla se ha realizado en tres ordenes para el entendimiento del lector (se podría hacer en una línea)





Como podemos observar devuelve tres ficheros con extensión .mdinfo, como ya hemos dicho anteriormente a cada fichero .mdinfo le corresponde su fichero de igual nombre pero con extensión .mddata . Vamos a comprobar si realmente tiene un formato SQLite, para ello lo abrimos con un editor Hexadecimal y este es el resultado:


Se aprecia que es SQLite 3 y además se ve algún fragmento de texto de un SMS. Para que sea más sencillo su uso los vamos a tratar con SQLite Administrator para ver la información que contienen.

Este es el resultado del primer fichero 3d0d....:

  Los datos se han truncado por motivos confidenciales, pero se ven tres columnas relativas al número de móvil que se envía, la fecha y el texto.

En la siguiente pantalla y tras una búsqueda nos da un mensaje revelador. Tenemos la evidencia relativa de que 'algo' se ha subido a internet....


Según se trata es filestube y no rapidshare (o son ambos), eso significa que el vídeo en cuestión sigue en circulación. Vamos a comprobar si somos capaces de encontrarlo en internet en base a una búsqueda de este patron en los ficheros .mddata, para ello empleamos la siguiente sintaxis:

grep -l "

Tras una búsqueda en múltiples ficheros damos con el resultado. Nota: se han trucado algunos datos



Si accedemos a la web vemos a la chica tal y como vino al mundo...




En el siguiente post veremos si el vídeo esta en el equipo y que medios utilizamos para verificarlo.

29 comentarios:

Se me han puesto los pelos como escarpias!!
No sé por qué les ha dado por colgar estas cosas, no lo entiendo.

Ojalá que estas cosas se hagan oír más, que los menores se den cuenta que no está bien, que son imbéciles, y que se les puede pillar.

Joder, qué cabreo me entra con estas cosas!!

Besito

Muy buen análisis.
Creo que los chicos de hoy en día no tienen conciencia del poder de la información.
Saludos

Muy buen articulo, esperamos la 2ª parte.

!!Ojo que en una de las imagenes, la del SMS "con filestube" se puede leer entero el Nº movil de destino...!!

Joder, pues si que anda lista esta gente. No sé que merito o gracia tiene subir a una compañera de clase y algo más así a internet.

A ver si al menos alguno de los/as implicadas aprende algo.

Pep, creo que no aparece ningún número completo, ya que la segunda columna es el número, la tercera la fecha, así visto rápidamente puede parecer un número móvil sin diferencia de columna. En la otra imagen de arriba lo puedes ver más claro. Además para ser un número válido en España tiene que ser 9 dígitos, ese tiene solo 7.

Perdón Pedro por comentarlo yo.

NaCl u2

Si vas a escribir algo con la idea de que la gente lo lea, procura aprender dónde y cuándo se ponen las tildes, por favor.

Por lo demás, muy interesante.

Jaime, desde los tiempos de Fidonet las correcciones de ortografía o estilo se hacen por mensaje privado, lo demás es trollear sin aportar nada.

Muy buen post, la gente no es consciente del rastro que deja en cada cosa que hace a través de internet. Por suerte esos críos no sabían usar las herramientas disponibles para asegurar su privacidad.

Exhaustivo y documentado trabajo. Felicidades.

Siempre sale alguno con lo de los acentos y las tildes. Ni caso.
Están en la actualidad tan fuera de lugar como Pérez Reverte, Ánson u Cebrían en la Academia.

Muy buen artículo, me ha gustado mucho. Bien documentado y util.
Saludos

@Jaime: what troll?
@Pedro: muy buen trabajo como siempre :)

Aparte de que los chavales eran unos (Piiiiiiiiiiiiiii), el resto me parece un articulo interesante, detallado y una investigacion muy habil por tu parte.

Con ganas de la 2ª parte.

Post maravilloso y muy instructivo.

Este comentario ha sido eliminado por el autor.

Currazo forense. Muy buen post. Me ha mandado un amigo el enlace y la verdad es que me alegro, porque me lo he leído enterito muy agusto.
Coincido completamente con alguien que dice algo más arriba que la gente no es consciente del rastro que deja cuando se pone delante de un ordenador.
Evidentemente, en éste caso, me alegro de que el delincuente en cuestión no haya sido consciente.

Un saludo.

Muy interesante!

por cierto, escribe esto porque fuiste la persona que resolvio el caso? acudieron a ti como experto informático en el juicio?

Pues si no se ha hecho ya, habría que avisar a filestube de que retiren el vídeo. Es un vídeo sin consentimiento, que ya es malo de por sí, y además de una menor.

Hola lectores,

Quisiera aclarar que todo, TODO, lo que escribo en el blog de conexión inversa se hace de esta forma:

1.- Se respeta la legalidad vigente

2.- Consentido por todas las partes (Demandantes – acusados)

3.- La privacidad por delante...intento eliminar todo lo relativo a datos personales, es verdad que alguna cosa se me escapa, pero gracias a vuestra ayuda, me lo comentáis y lo corrijo automáticamente. (lo siento soy humano)

4.- Los datos de todos, (o casi todos) los casos ya no están accesibles en Internet, todos los casos son prácticamente cerrados y si queda algo no es del todo visible o inaccesible (no lo puedo asegurar del todo)

5.- Todo lo que explico tiene dos causas:

A) Como dicen en CSI, todo contacto deja rastro, es decir quien la hace la paga y eso quiero dejarlo patente. La justicia los juzga, Las fuerzas del estado investigan y yo solo ayudo cuando lo solicitan.

B)Aprender. Este blog es divulgativo 100% para que todos (incluido yo) aprendamos técnicas que permitan en este u otros casos tengamos imaginación, ganas, empeño y compartir los resultados. Así nació este blog y no voy a cambiar esa filosofía.

De verdad gracias a todos...y por todos ustedes este blog sigue vivo....aunque le falten algunas tildes... ;-)

Perdón se me olvidaba....no me gusta la publicidad personal, me parece vanidoso por mi parte, pero dado que algunos de los correos que recibo a nivel personal por lo suscitado en este post y con objeto de aclararlo, solo quiero decir que el número 7 de este enlace soy yo ( y los que componemos conexioninversa)

http://www.gdt.guardiacivil.es/enlaces.php

Gracias....

Este comentario ha sido eliminado por un administrador del blog.
Este comentario ha sido eliminado por un administrador del blog.

SYSRJ: Hola amigo, te he eliminado el comentario por hacer publicidad. Espero que no te moleste.

Todo lo que han hecho está mal.

Pero esto me da que pensar, donde está nuestra privacidad?

Este comentario ha sido eliminado por el autor.

Pedro, ¿para cuándo el final de la historia? Estamos ansiosos.
Enhorabuena por el artículo.

Bueno Pedro, despues de meses de esta entrada se me ocurrio la idea de crear una app para esto asi que si quieres contar con ella en el capitulo 2 de lujo! :D

Link : http://theedgeofmadness.wordpress.com/2010/07/28/iris-iphone-recovery-information-software/

Saludos!

Back Up Extractor te soluciona la vida si tenes que hacer eso... no hace falta reinventar la rueda cada vez que tenes que hacer algo, simplementebusca en Google...

Tio eres un genio. Muy buen post.

trabajo desde hace tiempo en investigacion informatica forense, no se dan una idea lo que se puede obtener directamente de los equipos moviles, seria bueno que comentes los procedimientos legales que utilizaste de lo contrario se caería la eviencia en pocos minutos de trabajo de la contraparte. saludos

trabajo desde hace tiempo en investigacion informatica forense, no se dan una idea lo que se puede obtener directamente de los equipos moviles, seria bueno que comentes los procedimientos legales que utilizaste de lo contrario se caería la eviencia en pocos minutos de trabajo de la contraparte. saludos