Un análisis forense de un sistema informático se suele realizar con posterioridad a unos determinados incidentes, con el fin de averiguar qué es lo que ha ocurrido y tratar de reconstruir el escenario de una forma similar a lo que haría Greeson en un capitulo de CSI.
Con la proliferación de dispositivos iPhone, han aparecido una gran cantidad de herramientas especializadas para realizar este tipo de estudios en sistemas operativos iOS [iPhone Operating System]. El el post de hoy vamos a ver Oxygen Forensic Suite utilizando para ello la versión free, válida sólo durante 30 días pero con funcionalidad completa.
La herramienta permite realizar un análisis forense online, es decir, con el dispositivo encendido y conectado al equipo. Su funcionamiento es bastante intuitivo. Tras su instalación y ejecución es necesario conectar el dispositivo iPhone que se quiere analizar al equipo, y acceder al mismo a través del asistente ‘Tools / Oxygen Connection Wizard’.
Figura 1: Asistente de conexión
Una vez detectado nos indicará el modelo de dispositivo así como su número identificativo (IMEI), y nos permitirá seleccionar el tipo de datos que deseamos extraer: Agenda, Estructura de ficheros, Log de eventos, Calendarios, Mensajes enviados/recibidos/borradores y Extras. Dicho de otro modo, es posible acceder al completo a todas la información que contiene.
Figura 2: Detección del dispositivo iPhone
Al finalizar el asistente se mostrará, en primer lugar, la información básica del dispositivo, así como la versión exacta de iOS que corre el dispositivo -útil para conocer que vulnerabilidad puede haber sido explotada en una investigación de malware o robo de información-, número de IMEI, la base band, la dirección MAC de la tarjeta WiFi o Bluetooh - que puede situar al dueño del móvil en una red a una hora concreta -, si está realizado el proceso de jailbreak o no, etcétera.
Figura 3: Informe de resultados
En la siguiente captura de pantalla se puede ver como se ha accedido a la agenda de direcciones la cual había sido importada automáticamente a iPhone a través del acceso a una dirección de correo de Microsoft Exchange.
Figura 4: Datos de la agenda de contactos de Microsoft Exchange
Existe muchas herramientas similares para realizar procesos de Análisis Forense en iPhone, incluso algunas Open Source como iPhone Analyzer, pero si te dedicas profesionalmente al análisis forense o la investigación, debes dar una probada a Oxigen Forensic Suite.
Hace un tiempo hablamos de la herramienta en la comunidad dragonjar, por si deseas añadir algo a el articulo
ResponderEliminarhttp://www.dragonjar.org/analisis-forense-en-telefonos-celulares-parte-1.xhtml
http://www.dragonjar.org/analisis-forense-en-telefonos-celulares-parte-2.xhtml
Una o dos preguntas: ¿Para que sirve en el menú Tools "Elcomsoft iPhone password breiker"?, ¿Si el iPhone esta encendido pero bloqueado con código, se puede acceder a el?
ResponderEliminarGracias.
Hola DekkaR, el menú 'Elcomsoft Iphone password breaker' lanza una aplicación externa que sirve para crackear ficheros de backup (creados con iTunes) protegidos con contraseña. Es una herramienta de pago pero está disponible una versión 'trial' que una vez creackeado el fichero te muestra los 2 primeros caracteres del password.
ResponderEliminarEn cuanto a si es posible acceder al iPhone si está protegido con código, depende: Si el dispositivo se ha conectado alguna vez al equipo habiendo introducido previamente el código de desbloqueo, ya siempre será posible acceder a ese dispositivo aunque esté bloqueado (Aunque se vuelva a cambiar el código de acceso, seguirá siendo accesible).
En futuros artículos trataremos estos temas en más detalle.