Download Ningún teléfono es una isla

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
Document related concepts
no text concepts found
Transcript 
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Encontrando conexiones entre el teléfono y la computadora
www.encase.com/ceic
Ningún teléfono es una isla
Introducción
La ciencia forense dedicada a los dispositivos móviles tiene como su propósito
el análisis de los dispositivos portátiles: teléfonos celulares, tabletas y los GPS,
entre otros.
Aunque son portátiles, esos mismos teléfonos también tienen que “volver a
base” de vez en cuando en el sentido de que, tarde o temprano, la mayoría de
ellos van a conectarse al PC, ya sea para hacerse una copia de respaldo,
sincronizar las configuraciones y/o datos del dispositivo, hacer una
actualización, o simplemente para descargar música, fotos, podcasts o videos.
Vamos a investigar esas conexiones.
Page 2
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
1
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
¿Quién soy yo?
Casado con tres niños varones
Soldado retirado con 18 años de experiencia en la
inteligencia militar (SIGINT)
Especializado en la ciencia forense aplicada a los
dispositivos móviles
Puedo reconocer dos de cada tres idiomas de
programación (Python especialmente)
Me gusta analizar los datos crudos del teléfono mientra
tomo unas cervezas
Page 3
Ningún teléfono es una isla
¿Por qué escogí este tema?
Los iPhone, Android y BlackBerry se pueden conectar y sincronizar sus
datos con la computadora de su usuario.
Muchos de nosotros examinadores nos olvidamos de la información que se
puede encontrar en la PC, lo cual puede mostrar cuándo, cómo y por qué
se conectó.
También podemos encontrar información que actualmente NO se
encuentra en el teléfono mismo pero si existe en la computadora en forma
de respaldo.
Page 4
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
2
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Esos datos nos pueden ayudar de las siguientes maneras:
Saber exactamente cuándo se conectó el teléfono con la PC
Vincular el usuario de la PC con el usuario del teléfono, o por lo menos el PC con el
teléfono
Recuperar las claves de la carpeta “Lockdown” para poder extraer los datos de un
dispositivo iOS. (Extracción Lógica Avanzada)
Recuperar los datos de un respaldo de iTunes o BlackBerry
Saber cuáles fueron los archivos copiados al dispositivo
Más
Page 5
Ningún teléfono es una isla
¿Qué vamos a ver?
Algunos artefactos que se producen cuando se conecta un iPhone, Android o
BlackBerry a la computadora
Rastros que se dejan cuando se hace un respaldo de un teléfono iOS o BlackBerry en
la computadora
La estructura básica de los respaldos de iTunes
Las copias de respaldo de BlackBerry
Ejemplos de los registros de un router típico mostrando la conexión de dispositivo
móviles
Page 6
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
3
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Android
Page 7
Ningún teléfono es una isla
Android
Page 8
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
4
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Android
Los dispositivos Android no tienen un iTunes, ni un BlackBerry Desktop Manager, ni
ningún software semejante en uso general.
Sin embargo, algunos fabricantes tienen sus propias soluciones de respaldo y
actualización, entre ellos Samsung y Motorola.
Samsung Kies
Motorola PC Suite
Google Android Backup
Page 9
Ningún teléfono es una isla
Android
Lo que vamos a ver es cuáles son algunos rastros creados por la conexión de un
teléfono Android al PC para copiar archivos, hacer actualización, descargar
música, videos, fotos, etc.
Podemos utilizar esta información en cualquier caso que involucra la transferencia
de archivos del PC al teléfono o al revés, ya sea del robo de propiedad intelectual,
pornografía infantil o hacking.
Page 10
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
5
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Android
Caso 1:
El sospechoso, al averiguar que su compañía le iba a despedir, presuntamente
robó información propietaria de la compañía. Lo copió a su teléfono Android, lo
llevó a su casa, lo copió a su PC personal. Después, ofreció la información a
una compañía competidora a cambio de un empleo con la compañía nueva.
Unos meses despues…
El sospechoso afirma que no había copiado nada de propiedad intelectual. De
hecho: “Nunca he conectado mi teléfono a ninguna computadora en el trabajo,
entonces no lo podía haber hecho”.
Page 11
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Page 12
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
6
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Algunos protocolos posibles por USB (Android):
Almacenamiento masivo (Mass-Storage Device): el dispositivo actúa como cualquier
dispositivo de almacenamiento masivo, como un Flash Drive u otro dispositivo USB.
MTP (Media Transfer Protocol): el dispositivo actúa como un reproductor de música. El
dispositivo es un “servidor”, controlando el acceso y transferencia de datos. No es un
“volúmen” como un dispositivo de almacenamiento masivo.
ADB (Android Debug Bridge – Puente de Depuración Android): protocolo para la
depuración de aplicaciones por desarroladores de software para Android. También se
utiliza para obtener permisos “root” y para hacer extracciones forenses de los datos del
teléfono.
Page 13
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Algunos protocolos posibles por USB (Android):
Fastboot: modo de “programación” de algunos Android, entre ellos, HTC (extracciones
físicas de muchos HTC se llevan a cabo en este modo)
Modo de descargue (Odin Mode): modo de “programación” de los Android de Samsung
(extracciones físicas de muchos Samsung se llevan a cabo en este modo)
Page 14
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
7
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Page 15
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
El identificador de ADB (Android Debug Bridge – Puente de Depuración de
Android) es el número del fabricante (vendor ID) que identifica en forma única
a un dispositivo Android cuando se conecta al PC por medio de ADB. Este
identificador funciona como ID del dispositivo, tal como el número de serie de
un dispositivo USB.
Este Android tiene ADB encendido (Depuración de USB)
Page 16
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
8
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
/data/log/recovery_log.txt (sistema de archivos del Android)
Page 17
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
ID de ADB (Vendor ID)
C:\Windows\inf\setupapi.app.log
Page 18
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
9
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
ID de ADB (Vendor ID)
C:\Windows\inf\setupapi.dev.{fecha/hora de última escritura}.log
Page 19
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Usando USBDView de Nirsoft:
ID de ADB (Vendor ID)
Fabricante
Volúmenes asociados con el
dispositivo
http://www.nirsoft.net/utils/usb_devices_view.html
Page 20
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
10
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Un dispositivo en modo MTP (reproductor de medios) que NO tiene ADB activado:
ID de ADB (Vendor ID)
Fabricante
No hay volúmenes asociados
con el dispositivo
http://www.nirsoft.net/utils/usb_devices_view.html
Page 21
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Un dispositivo en modo MTP (reproductor de medios) que NO tiene ADB activado:
El ID de ADB actúa como
número de serie
Page 22
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
11
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Buscamos “65d83156” en el registro de Windows (regedit):
HKLM\SYSTEM\ControlSet001\Enum\USB\VID_04E8&PID_685E\65d83156
Page 23
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Marca
Modelo
Identificador
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\WDM
Page 24
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
12
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
ID de ADB (Vendor ID)
Fabricante
Volúmenes asociados con el
dispositivo
Ref: http://www.nirsoft.net/utils/usb_devices_view.html
Page 25
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Memoria Interna del
Android(J:)
Tarjeta microSD colocada en el
Android (K:)
Page 26
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
13
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Vista en EnCase al realizar la búsqueda “65d83156”. En total, 36
coincidencias dentro de un plazo de aproximadamente diez
segundos.
Page 27
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
¿Qué tal si copiamos un archivo a la memoria (interna o microSD) del Android
desde el PC?
Copiamos el archivo “Secretos Propietarios.pdf” a la memoria de nuestro Android
por medio de USB. Después lo abrimos a ver si se copió correctamente.
Lamentablemente, esas acciones se registran por Windows. Jeje.
En este ejemplo, es el propio Adobe Acrobat Reader que nos traiciona. Así también
pasó en el caso de nuestro sospechoso.
Page 28
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
14
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Ruta y nombre del archivo copiado
que abrimos con Acrobat Reader
HKCU\Software\Adobe\Acrobat Reader\11.0\AVGeneral\cRecentFiles
Page 29
Ningún teléfono es una isla
Se conectó un dispositivo Android al PC?
Vinculo al archivo en la memoria del Android
Ruta: C:\Users\{usuario}\Recent (Windows 7)
Page 30
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
15
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Android
Caso 1:
El sospechoso confesó lo que había hecho ya que las autoridades sabían que
les había mentido.
Page 31
Ningún teléfono es una isla
¿Qué tal el Bluetooth?
C:\Windows\inf\setupapi.dev.log
Casualmente, el ID de
ADB de este Android
Page 32
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
16
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Dirección MAC y su OUI (Identificador Único de Organización)
El OUI corresponde
a Samsung
http://www.macvendors.com
http://es.wikipedia.org/wiki/MAC_address
Page 33
Ningún teléfono es una isla
Rutas (Android)
Android ADB ID:
Registro de Windows (entre otros):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\WDM
Android (en el propio sistema de archivos del Android:
/cache/recovery/last_log
/data/log/recovery_log.txt
/data/log/recovery_kernel_log.txt
En Android, haga una búsqueda de “ro.serialno” para encontrar el ID de ADB si no se encuentra en
los logs. Las rutas varían.
Page 34
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
17
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Rutas (Android)
Android ADB ID (Vendor ID):
Si no se encuentra en C:\Windows\inf\:
Busca el ID de ADB dentro de: HKLM\SYSTEM\CurrentControlSet\Enum\USB.
O se puede hacer una búsqueda general en el registro usando EnCase.
En su software forense para dispositivos móviles (Cellebrite, XRY, etc) se puede
hacer una búsqueda dentro del sistema de archivos para el ID de ADB. Se debe
encontrar en la partición Cache o en /data/log/.
Page 35
Ningún teléfono es una isla
Búsquedas (¿Qué busco?)
Si no encuentro el ID de ADB:
Android ID
Dirección MAC de Bluetooth y de WiFi
IMEI o MEID (en la etiqueta debajo la batería del teléfono)
Marca y modelo del teléfono (Samsung T769 o HTC PC36100)
?
Page 36
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
18
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS
Page 37
Ningún teléfono es una isla
Caso 2:
“No hay información de mi iPhone en mi computadora
porque nunca lo he conectado a una computadora… ni una
sola vez”.
Page 38
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
19
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - UDID
Nosotros podemos utilizar el UDID de un dispositivo de Apple para vincular el
teléfono (o iPod/iPad) con una computadora. ¿Por qué?
Para encontrar más datos que tal vez no se encuentren en el iPhone mismo
Para poder encontrar la carpeta Lockdown y hacer una extracción lógica
avanzada de un iPhone bloqueado
Si sólo queremos demostrar una conexión entre el iDispositivo y un PC
(transferencia de archivos, fotos, etc.)
Expandir nuestro caso…
Page 39
Ningún teléfono es una isla
Apple iOS - UDID
Dos computadoras más que puedo investigar
Page 40
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
20
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - UDID
¿Dónde se encuentra el UDID?
En el dispositivo mismo, usualmente en los registros de “activation”
Muchos software forenses no lo encuentran (Busca “UniqueDeviceID” en los
datos crudos)
En la computadora con la cual se sincronizó el dispositivo
Copias de respaldo de iTunes
Carpeta de Lockdown
Page 41
Ningún teléfono es una isla
Apple iOS - UDID
UDID (Unique Device ID – Identificador Único del Dispositivo): una cadena de 40
dígitos hexadecimales que identifica únicamente a un dispositivo de Apple (iDevice).
Se utiliza para identificar el dispositivo a iTunes y al Apple Store.
UDID de un iPod 4G en la ruta
/private/var/root/Library/Lockdown/activation_records/pod_record.plist
Page 42
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
21
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - UDID
UDID (Unique Device ID – Identificador Único del Dispositivo): una cadena de 40
dígitos hexadecimales que identifica únicamente a un dispositivo de Apple (iDevice).
Se utiliza para identificar el dispositivo a iTunes y al Apple Store.
UDID de un iPhone 4 CDMA en la ruta
/private/var/root/Library/Lockdown/activation_records/activation_record.plist
Page 43
Ningún teléfono es una isla
Apple iOS
Vista del dispositivo en iTunes – número de serie
Page 44
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
22
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS
Vista del dispositivo en iTunes – UDID
Page 45
Ningún teléfono es una isla
Caso 2:
“No hay información de mi iPhone en mi computadora
porque nunca lo he conectado a una computadora… ni una
sola vez”.
Page 46
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
23
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
En este caso, la sospechosa no mintió. No había conectado su teléfono a SU propia
computadora, lo había conectado a dos computadoras.
Page 47
Ningún teléfono es una isla
Apple iOS - UDID
Tengo el iPhone…
Tengo el UDID…
Tengo la computadora…
¿Qué hago ahora?
Page 48
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
24
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – La conexión
al PC
Los UDID de dispositivos
que se han conectado al PC
Page 49
Ningún teléfono es una isla
C:\Windows\inf\setupapi.dev.log
UDID del dispositivo
Fecha/Hora
Page 50
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
25
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
C:\Windows\inf\setupapi.dev.log
Page 51
Ningún teléfono es una isla
ID de clase en el registro de Windows
UDID
Page 52
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
26
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
HKLM\SYSTEM\ControlSet001\Enum\USB\VID_05AC&PID_129E
Page 53
Ningún teléfono es una isla
Apple – Respaldos de iTunes
Page 54
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
27
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Rutas (Apple)
Carpeta de Respaldos (Backup):
Windows XP:
C:\Documents & Settings\{usuario}\Application Data\Apple Computer\MobileSync\Backup
Windows 7:
C:\Users\{usuario}\AppData\Roaming\Apple Computer\MobileSync\Backup
Mac/OSX:
/Users/{usuario}/Library/Application Support/MobileSync/Backup
Page 55
Ningún teléfono es una isla
Apple iOS – Respaldos (Windows)
Carpetas de respaldo en Windows:
C:\Users\{usuario}\AppData\Roaming\Apple Computer\MobileSync\Backup
Page 56
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
28
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Respaldos (Mac)
UDIDs de varios dispositivos
Carpetas de respaldo del Mac: /Users/{usuario}/Library/Application
Support/MobileSync/Backup
Page 57
Ningún teléfono es una isla
Apple iOS - Respaldos
El formato es “llano” o “plano”.
No hay sub-directorios. Los
nombres de los archivos se
derivan del SHA-1 del dominio y
ruta completa del archivo
original. Los archivos, sin
embargo, son iguales que
siempre. O sea, un .jpg es un
.jpg todavía.
http://theiphonewiki.com/wiki/ITunes_Backup
http://www.exploit-db.com/wp-content/themes/exploit/docs/19767.pdf
Page 58
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
29
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - Respaldos
ICCID de la tarjeta SIM y
tipo de dispositivo
UDID
Info.plist abierto en XRY Plist Explorer
Dueño o
nombre del
dispositivo
Page 59
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Abrir (avanzado) en Cellebrite PA
Page 60
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
30
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Seleccionar dispositivo
Page 61
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
2. Escoger la
única opción
1. Filtrar por “ios”
Page 62
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
31
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Siguiente
Page 63
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Seleccionamos la
carpeta del respaldo
Page 64
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
32
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Ahí está nuestro
UDID
Page 65
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Finalizar
Page 66
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
33
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Abriendo respaldos en software forense
Y llegamos…
Esta extracción parece una
extracción del teléfono
mismo, pero no es.
Page 67
Ningún teléfono es una isla
Apple iOS – Caso 2
Extracción Lógica de iPhone 4S
Page 68
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
34
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS
Copia de respaldo de iTunes (del mismo
iPhone 4S) – cargado en software forense.
Esta mujer “nunca conectó su iPhone a la
computadora”.
Page 69
Ningún teléfono es una isla
Apple iOS – Lockdown
La carpeta de Lockdown de Apple contiene claves a los dispositivos que
se han conectado al PC para sincronizarse con iTunes.
Se crea un archivo de Lockdown para cada dispositivo iOS la primera
vez que se conecta a iTunes.
Necesitamos los archivos Lockdown para poder desbloquear un
dispositivo iOS para hacer una extracción física. Conseguimos los
archivos Lockdown de la computador con la cual se sincronizó el
teléfono.
Page 70
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
35
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - Lockdown
iTunes no avisa la primera vez que conectamos un dispositivo para sincronizarlo
Page 71
Ningún teléfono es una isla
Apple iOS - Lockdown
Tenemos que desbloquearlo la primera vez…
Page 72
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
36
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - Lockdown
…ingresar el código o contraseña…
Page 73
Ningún teléfono es una isla
Apple iOS - Lockdown
…y “confiar” la computadora.
Page 74
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
37
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Lockdown – Windows
Carpeta “Lockdown” conteniendo un .plist para cada dispositivo iOS (UDID)
Page 75
Ningún teléfono es una isla
Apple iOS – Lockdown - Mac
Carpeta “Lockdown” conteniendo un .plist para cada dispositivo iOS (UDID)
Page 76
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
38
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
Escoger la opción “Extracción de dispositivos iOS”
Page 77
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
Escoger “Extracción lógica avanzada”
Page 78
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
39
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
Nos da unas instrucciones…
Page 79
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
¿Bloqueado?
Page 80
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
40
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
El dispositivo está bloqueado. ¿Qué hacemos?
Copiamos la carpeta “Lockdown” de la computadora del sospechoso a nuestro
propio sistema en la ruta apropiada, y volvemos a intentar…
Page 81
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
¡Éxito!
Page 82
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
41
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
Todos tus datos me pertenecen a mí…
Page 83
Ningún teléfono es una isla
Apple iOS – Usando Lockdown en el software forense
Page 84
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
42
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Caso 3:
Un sospechoso, antes de ser sospechoso en sí, dejó que los investigadores se fijaran en
su iPhone. Cuando averiguó él que los agentes ya le consideraban como sospechoso en
el caso, cambió la contraseña de su iPhone.
Lamentablemente para él, los investigadores tenían sus archivos de Lockdown,
entonces pudieron hacer una extracción del teléfono.
El sospechoso, pensando que ya le hubieron agarrado “con las manos en la masa” les
dio la contraseña para poder cooperar y hacer un trato con el fiscal. Eso les permitió
hacer una extracción del sistema de archivos del teléfono, lo cual les dio aún más
evidencia.
Page 85
Ningún teléfono es una isla
Rutas (Apple)
Carpeta “Lockdown”:
Windows XP:
C:\Documents and Settings\All Users\Application Data\Apple\Lockdown
Windows 7:
C:\ProgramData\Apple\Lockdown
Mac/OSX:
/private/var/db/lockdown
Page 86
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
43
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Apple iOS - Repaso
UDID – Identificador del iDispositivo
Vincula el teléfono a un respaldo encontrado en el PC (más evidencia)
Actúa como Device ID en la instalación de drivers en el PC
Carpeta de Lockdown – contiene la “llave que abre la puerta del iDispositivo”
Vincula el teléfono con una instalación de iTunes
Permite que se desbloquea el iDispositivo para extraer datos (evidencia)
Page 87
Ningún teléfono es una isla
BlackBerry
Page 88
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
44
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
BlackBerry
Page 89
Ningún teléfono es una isla
BlackBerry – USB Device ID
Volumen (I:) de la SD interna
ID del dispositivo
Page 90
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
45
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
BlackBerry – setupapi.dev.log
Page 91
Ningún teléfono es una isla
BlackBerry – Flash.bin (Cellebrite PA)
Mismo ID del dispositivo encontrado en la
memoria NAND del teléfono mismo, usando
Cellebrite Physical Analyzer
Page 92
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
46
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
BlackBerry - Respaldos
Page 93
Ningún teléfono es una isla
Rutas (BlackBerry)
Respaldos de BlackBerry: (Archivos BBB)
Window XP:
C:\Documents and Settings\{usuario}\My Documents\BlackBerry\Backup
Windows 7:
C:\Users\{usuario}\Documents\BlackBerry\Backup
Mac/OSX:
/Users/{usuario}/Documents/BlackBerry Backups
Page 94
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
47
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
BlackBerry - Respaldos
C:\Users\{usuario}\Documents\BlackBerry\Backup
Page 95
Ningún teléfono es una isla
BlackBerry - Respaldos
El Archivo .bbb (BlackBerry Backup) es un archivo .zip disfrazado…
Page 96
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
48
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
BlackBerry - Respaldos
…y se abren directamente en Physical Analyzer y otros
Page 97
Ningún teléfono es una isla
Rutas (General)
Instalación de drivers:
Windows 7:
C:\Windows\inf\setupapi.dev.log
setupapi.dev.{fecha/hora}.log
C:\Windows\inf\setupapi.app.log
setupapi.app.{fecha/hora}.log
Haga una búsqueda dentro de regedit o EnCase para encontrar más instancias
del ID del dispositivo o “vendor ID” en caso del Android, el UDID de iOS y el ID
del dispositivo de BlackBerry.
Page 98
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
49
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Otras Ideas – Registros (logs) del Router
Dirección MAC de
WiFi del dispositivo
Dirección IP
Page 99
Ningún teléfono es una isla
Otras Ideas – Registros (logs) del Router
Dirección IP
Dirección MAC de
WiFi del dispositivo
Page 100
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
50
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
Otras Ideas – Registros (logs) del Router
Dirección MAC de
WiFi del dispositivo
Android ID
Dirección IP
Page 101
Ningún teléfono es una isla
¿Qué más?
Busca:
IMEI
Direcciones IP
MEID
Marca/Modelo
Android ID
Número de Serie
ID de ADB
Número Telefónico
Direcciones MAC
ID del dispositivo
UDID
Google ID
BlackBerry PIN
Dirección de E-mail
Page 102
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
51
Analyzing Cell Phones Using EnCase
5/21/2014
Ningún teléfono es una isla
¿Preguntas?
Page 103
Jon Hansen, H-11 Digital Forensics
Kim Thompson, H-11 Digital Forensics
52
Related documents
Folleto Oxygen Forensic Analyst versión con Dongle USB
Folleto Oxygen Forensic Analyst versión con Dongle USB
Análisis forense en dispositivos móviles iOS y Android
Análisis forense en dispositivos móviles iOS y Android
- Repositorio UNAN
- Repositorio UNAN
análisis forense en dispositivos móviles con symbian os
análisis forense en dispositivos móviles con symbian os
Guía Metodológica para el análisis forense
Guía Metodológica para el análisis forense
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
proceso de recuperación de la Información
proceso de recuperación de la Información
Las limitaciones de la computación forense debido al uso de
Las limitaciones de la computación forense debido al uso de
HHS Lesson 8: Forensics
HHS Lesson 8: Forensics
1 CIS0910SD01 IPHORENSICS: UN PROTOCOLO DE ANÁLISIS
1 CIS0910SD01 IPHORENSICS: UN PROTOCOLO DE ANÁLISIS
HKEY_LOCAL_MACHINE\SYSTEM
HKEY_LOCAL_MACHINE\SYSTEM
Soluciones forenses para Android
Soluciones forenses para Android