Te puede pasar a ti... (Análisis forense en IPHONE)

[LUK]

Hola lectores,

Silvia y Mirian son unas adolescentes de 13 y 14 años respectivamente. A estas edades las hormonas se disparán y todo es color brillante y rosa. También como es habitual los fines de semana quedan en casa de Miriam para realizar una fiesta y tomar 'copas' en el jardín (como dicen los mas jovenes botellon privado). Allí se juntan con un grupo de chicos de su instituto y conforme pasan las horas y la ingesta de alcohol todo sube de tono. Que si un besito, que si te toco un poquito, etc.

El caso es que la cosa se desmadra y Silvia desaparece con dos chicos por el jardín. Pasado un rato y todo de buen rollo, se intercambian los números del móvil y se van a casa y aquí no ha pasado nada.

El caso resumiendo es el siguiente, Silvia fué grabada (¿sin saberlo?) desde un teléfono móvil en actitudes podríamos decir poco decorosas. En el instituto todo el mundo habla de que existe un un link de acceso a una descarga del vídeo desde Rapidshare (desde luego sin contraseña y a disposición de todo el mundo).

A estas estas edades todo se sabe y empieza a correr el rumor por el Instituto donde Silvia y Mirian estudian. Los profesores alertados por el problema deciden hablar con la chica y con sus padres. El caso se denuncia en la comisaría más próxima. Los padres acusan a los dos chicos de abusar de la chica (en el juicio quedo patente que fué consentido) y quieren que se requise todas las pruebas posibles que incriminen a los chicos. Curiosamente el móvil (un iphone, ¡¡con 14 años y ya tienen iphone!!) ha desaparecido. Esto cabrea a los abogados de los padres y alegra al buffete de abogados de su defendido, dado que no existiendo la prueba, no hay evidencia y por lo tanto es muy difícil mantener la acusación, como siempre en estos casos siempre prevalece la presunción de inocencia del acusado.

El Juez, decide aplazar el juicio a petición de los abogados de los padres para que se haga un análisis de los equipos y soportes informáticos que los chicos tengan en sus casas.
En el caso de que existiera el iphone disponemos de medios muy potentes en productos como cellebrite, Oxygen o Paraben, pero extremadamente caros para el común de los mortales. Por otro lado existen diversas técnicas que aunque mas rudimentarias nos aportan algo más de enseñanaza para un análisis forense.

Tras el previo análisis de uno de los ordenadores de los chicos, nos fijamos que dispone de iTunes, cosa muy importante dado que podremos obtener mucha información en el ordenador siempre que este hubiera sincronizado o hubiera realizado una copia de seguridad con el iphone.

En este caso vamos a ver como se ha resuelto.

El funcionamiento de sincronización de iTunes se basa en un controlador especifico en Windows y Mac que permite la comunicación segura entre ambos dispositivos, cuando se sincronizan o se hace una copia de seguridad, Windows almacena estos datos en un formato especifico de ficheros(si disponemos de la última versión del firmware) llamados mddata y mddinfo

Entre las cosas que sincroniza o se hacen copias de seguridad están:

• Marcadores, cookies, historial y páginas abiertas actualmente del navegador
• Marcadores, búsquedas recientes y la ubicación actual de mapas en Mapas
• Ajustes, preferencias y datos de las aplicaciones
• La Agenda y los favoritos de la Agenda
• Cuentas de Calendario
• Fondos de pantalla
• Notas
• Historial de llamadas
• Cuentas de Mail
• Favoritos de YouTube
• Mensajes SMS
• Correcciones sugeridas guardadas (se guardan automáticamente cuando las rechazas)
• Carrete (fotos y capturas de pantalla tomadas con el iPhone)
• Identificador del buzón de voz visual (no se trata de la contraseña del buzón de voz visual, pero se utiliza para validar la conexión. Sólo se restaurará a un teléfono que tenga el mismo número en la tarjeta SIM).
• Clips web
• Ajustes de red (puntos de acceso Wi-Fi guardados, ajustes de VPN, preferencias de red)
• Dispositivos Bluetooth enlazados (sólo se pueden restaurar al mismo teléfono que realizó la copia de seguridad)
• Llavero (incluye las contraseñas de las cuentas de correo electrónico, las contraseñas Wi-Fi y las que introduces en sitios web y algunas otras aplicaciones. El llavero sólo puede restaurarse a partir de una copia de seguridad al mismo iPhone o iPod touch. Si estás restaurando a un dispositivo nuevo, tendrás que volver a introducir esas contraseñas de nuevo)
• Configuraciones/perfiles gestionados
• Lista de fuentes de sincronización externas (MobileMe, Exchange ActiveSync)
• Configuraciones de cuentas Microsoft Exchange
• Entrenamientos y ajustes de Nike+iPod guardados
• Datos de las aplicaciones de la tienda App Store (excepto la aplicación propiamente dicha y sus carpetas tmp y Caches)
• Vídeos en el carrete
• Preferencias de aplicaciones que permitan el uso de los servicios de ubicación
• Caché/base de datos de aplicaciones web sin conexión
• Notas de voz
• Autorrelleno para páginas web
• Servidores de confianza con certificados que no se puedan verificar
• Sitios web con autorización para obtener la ubicación del dispositivo
• Compras in-app (en aplicación)

Estas copias se guardan dentro de la carpeta del usuario, el directorio sería:

• Mac: ~/Librería/Application Support/MobileSync/Backup/
• Windows XP: \Documents and Settings\(nombredeusuario)\Application Data\Apple Computer\MobileSync\Backup\

• Vista / Win 7: C:\Users\(nombredeusuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\

En el caso que nos trata 'el chico' tiene en su ordenador Windows Vista y en el contenido del directorio nos encontramos la siguiente carpeta "0387fecb24b358ec337ab2ad3323fb8e0bbc27ca".


Cuando el dispositivo se conecta por primera vez a iTunes y nunca estaba conectado anteriormente, iTunes generará un identificador alfanumérico 40 caracteres para el dispositivo. Este identificador, también conocido como el UDID (Unique Device Identifier), es también el nombre de la carpeta para este dispositivo dentro de la carpeta de copia de seguridad.

En el caso en concreto tenia más de una y tuve que ordenarlas por fecha para distinguirlas,también es conveniente realizar una copia de esta carpeta en el escritorio u otro dispositivo, para trabajar desde ella y no correr el riesgo de perderla. (es recomendable hacer un hash del contenido del directorio). Los ficheros que contiene pueden ser del siguiente formato:


TIPOS DE FICHEROS


plist
mdbackup
mddata
mdinfo

Archivos plist



Los archivos plist son archivos informativos donde se escribe el contenido en XML.


Hay 3 plist principales archivos generados como parte del proceso de copia de seguridad - Info.plist, Status.plist y Manifest.plist.

El archivo plist más importante es el archivo Info.plist ya que contiene información básica sobre el dispositivo, incluido el, nombre de dispositivo asignado por el usuario número de serie y número de teléfono. El info.plist también indicará la última fecha y la hora cuando el dispositivo fue copiado en el proceso de copia de seguridad.

archivo plist

El archivo Status.plist indica el estado del proceso de sincronización anterior o copia de seguridad. Si la sincronización o el proceso de copia de seguridad se completó correctamente, entonces el contenido indicaría que el backup se ha realizado correctamente.

El archivo Manifest.plist es un archivo binario plist real de los archivos de la copia de seguridad junto con la firma digital. Generalmente, este archivo no es de importancia forense.


Archivos mdbackup



Los archivos mdbackup también contiene datos importantes siendo el propio nombre de archivo es un valor hexadecimal alfanuméricos. En las versiones de firmware más recientes para el iPhone, los archivos. mdbackup se sustituye por la mddata.y mdinfo

.

A diferencia del mdbackup que todo el archivo contiene los metadatos en la nueva versión de firmware va a crear dos archivos - uno con la extensión mddata y el otro con la extensión mdinfo. El. mdinfo y mddata actuan como un igual y, por tanto, tienen el mismo nombre de archivo, pero las extensiones de archivo diferentes.

Archivos MDINFO y MDDATA

El mdinfo contendrá la información de metadatos sobre el archivo,como por ejemplo, la libreta de direcciones, SMS, historial de llamadas, etc. El mddata contendrá el contenido real de ese archivo. También hay que tener en cuenta que estos ficheros se pueden cifrar desde el propio programa de Itunes, (este no es el caso) y si así fuera se complicaria el análisis forense


¡¡EMPEZAMOS!!


Como hemos comentado anteriormente disponemos de una carpeta llamada '0387fecb24b358ec337ab2ad3323fb8e0bbc27ca' que contiene los ficheros a buscar. En la investigación me voy a centrar en los SMS's por ver si ha mandado algún mensaje a otro chico, indicando la posibilidad de que se descarge el vídeo y también voy a ver si contiene el vídeo en cuestión en el ordenador.

Algunos ficheros 'mddata' en sus metadatos tienen una estructura basada en SQLite. Para buscar que ficheros son los del SMS's y llamadas, voy a recurrir a la utilidad 'grep' (para windows) y voy a buscar un patron que suelen estar en la estructura de ficheros.

Patrones de búsqueda:

sms.db: SMS
call_history.db: Historico de llamadas
notes.db: Agenda y notas

En la siguiente pantalla se ha realizado en tres ordenes para el entendimiento del lector (se podría hacer en una línea)

Como podemos observar devuelve tres ficheros con extensión .mdinfo, como ya hemos dicho anteriormente a cada fichero .mdinfo le corresponde su fichero de igual nombre pero con extensión .mddata . Vamos a comprobar si realmente tiene un formato SQLite, para ello lo abrimos con un editor Hexadecimal y este es el resultado:

Se aprecia que es SQLite 3 y además se ve algún fragmento de texto de un SMS. Para que sea más sencillo su uso los vamos a tratar con SQLite Administrator para ver la información que contienen.

Este es el resultado del primer fichero 3d0d....:

Los datos se han truncado por motivos confidenciales, pero se ven tres columnas relativas al número de móvil que se envía, la fecha y el texto.

En la siguiente pantalla y tras una búsqueda nos da un mensaje revelador. Tenemos la evidencia relativa de que 'algo' se ha subido a internet....

Según se trata es filestube y no rapidshare (o son ambos), eso significa que el vídeo en cuestión sigue en circulación. Vamos a comprobar si somos capaces de encontrarlo en internet en base a una búsqueda de este patron en los ficheros .mddata, para ello empleamos la siguiente sintaxis:

Código:

grep -l "

Tras una búsqueda en múltiples ficheros damos con el resultado. Nota: se han trucado algunos datos

Si accedemos a la web vemos a la chica tal y como vino al mundo...

En el siguiente post veremos si el vídeo esta en el equipo y que medios utilizamos para verificarlo.

Fuente: http://conexioninversa.blogspot.com/2010/04/te-puede-pasar-tiforensics-iphone-parte.html

[LUK]

Vamos a continuar con la búsqueda del vídeo en el ordenador del menor, dado que el móvil iPhone ha desaparecido y por lo tanto no se puede analizar.

Los iPhone, disponen de una cámara compatible con los formatos de vídeo estándar y que graba unos 30 fotogramas por segundo en estéreo en los formatos de archivo M4a, M4v, MP4 y MOV. También cuando se graba un vídeo se almacena por defecto en una unidad flash (de 8, 16 o 32 GB). Como es de esperar en alguna sincronización entre el iphone e iTunes se habrá copiado las fotos y vídeos al disco duro del ordenador.

Lo primero y lo más sencillo es buscar ficheros con extensión M4a, M4v, MP4 y MOV. Tras un buen rato de búsqueda ha encontrado unos 30 ficheros con extensión MOV (En resumen os diré que ninguno de ellos pertenecía al vídeo que buscamos) por lo tanto nos tenemos que aplicar y estudiar más a fondo.


¿QUE HAY QUE SABER?

Para la búsqueda de imágenes y después de documentarme en la web de Apple, veo que los formatos de imágenes se componen (entre otros) de una serie de ficheros con la siguiente extensión:

Ficheros ITHMB: Contiene la galería (carrete) de imágenes
Ficheros BTH: Son archivos de datos BATHY Recorder.
Ficheros THM: Es utilizado por muchas aplicaciones diferentes para almacenar miniaturas.
Ficheros THL Es utilizado para las imágenes de los iconos
Ficheros THP: Son ficheros de vídeo muy utilizados en la Gamecube de Nintendo

Por lo tanto voy a la búsqueda de estos ficheros con el consiguiente resultado:

Solo dos ventanas me ofrecen resultado, la superior derecha con los resultados de ficheros HTM y la inferior derecha con un temporal del fichero ihtmb. ¡¡Vamos a ello!!

Tras un tiempo descarto los ficheros HTM , nada que ver con lo que busco, pero sin embargo el fichero ithmb me va a dar mucho juego

¡¡VEAMOS!!

Como decíamos estos ficheros contienen la galería (carrete) de imágenes, tras abrirlo con el editor hexadecimal sale en exceso mucha basura y por lo tanto no veo nada importante.

Googleando me encuentro una utilidad 'iThmbConv.exe' que extrae el contenido de estos ficheros sacando las miniaturas, quizás esta utilidad me ayude:

Y que es lo que ven mis ojosssssss; Eh Voilà!! Una miniatura. Esta me está dando en el nombre del archivo un dato muy revelador

Ya tengo una evidencia (que no la prueba). El fichero se llama IMG_0221.HTM, eso significa que el vídeo está asociado a ese fichero, por lo tanto sé que el vídeo tendrá en su nombre final del fichero el número 0221 y la extensión .MOV (*0221.MOV) por lo tanto si existe el fichero HTM, es posible que existiera en algún momento el vídeo, por lo tanto ¿Y si a este chico le dio por borrar el fichero?

Voy a proceder a intentar recuperar el fichero borrado, para ello me baso en mi kit de herramientas y que mejor...que mi famoso 'Recuva'. Tras una hora más o menos, consigo ver el resultado

¡¡ Aquí esta!!. Una vez recuperado procedemos a ver si se visualiza.

Perfecto se visualiza. Ya tenemos la prueba.

Es hora de recopilar información y hacer el pertinente informe. Nos vamos a otro caso.


Fuente: http://conexioninversa.blogspot.com/2010/05/2-parte-de-te-puede-pasar-tiforensics.html