Menú principal

miércoles, 26 de diciembre de 2012

Análisis Forense de manifest.mdbd con listManifest.py

En Security By Defatult, Alejandro Ramos (@aramosf) autor del ya popular libro "Hacker Épico", ha publicado un script llamado listManifest.py, que permite analizar el fichero Manifest.mbdb, de formato binario, que se genera cada vez que se hace un backup de un terminal iOS con Apple iTunes en un sistema Microsoft Windows o Mac OS X. Este fichero tiene contiene un listado del resto de archivos que componen la copia de seguridad, así como sus propiedades, lo que lo hace especialmente útil para los analistas forenses y pentesters. La estructura de los registros en Manifest.mbdb sigue el siguiente esquema:

Figura 1: Estructura de registros en Manifest.mdbd

Analizando estos datos es posible conocer qué protección de seguridad se ha configurado a cada fichero de una aplicación, ya que desde iOS 4 el sistema operativo permite especificar un nivel de seguridad diferente para ca nuevo fichero mediante una serie de atributos. Para conocer más sobre los niveles de protección, puedes leer la guía que publicó Apple sobre iOS Security.

Figura 2: atributos de iPhone Data Protection

Con estos atributos son importantes se define por ejemplo que un adjunto de un correo electrónico tendrá el máximo nivel de seguridad, pero si se abre con otra aplicación, pasará a tener el nivel de seguridad que se haya especificado en esa aplicación, cambiando por completo sus propiedades de seguridad. Los distintos tipos de atributos son:

Figura 3: Explicación de atributos de iPhone Data Protection

Para analizar Manifest.mbdb, Alejandro Ramos ha creado listManifest.py, un script en Python que  genera un fichero en formato CSV con toda la información disponible en él. El informe en CSV tiene los siguientes campos: permisos, inodo, uid, guid, tamaño, clase, fecha de modificación, fecha de acceso, fecha de creación, hash sha1, dominio, nombre de la aplicación, nombre del fichero y propiedades y abierto con una hoja de calculo, tiene este aspecto.

Figura 4: Informe de resultados en Manifest.mdbd

Este tipo de información es analizada automáticamente por herramientas de análisis forense profesionales, como Oxygen Forensics, pero gracias a estudios como éste es posible conocer mejor las tripas de cómo funciona el sistema de protección y seguridad de un terminal iOS.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares