Dentro de la larga lista de herramientas que componen el Arsenal de Black Hat USA 2014 hay varias de ellas para tecnologías Apple. Una en concreto es SpotLight Inspector, una solución para hacer análisis forense y extraer datos de gran utilidad de la base de datos que utiliza la herramienta SpotLight en OS X. Dicha utilidad es una mega-base de datos que indexa todo el contenido del sistema operativo, incluyendo aplicaciones, contactos, documentos y/o correos electrónicos.
Las opciones de indexación de dicha base de datos se configuran en las preferencias del sistema, y hay una pestaña de Privacidad para indicarle al sistema qué no se quiere tener indexado, pero por defecto se indexa absolutamente todo.
Figura 1: Opciones de indexación de SpotLight en las Preferencias de OS X |
La herramienta SpotLight Inspector, que puede ser descargada para OS X proporcionando únicamente un nombre y un correo electrónico, se encarga de analizar dicha base de datos y extraer toda la información que de cada elemento la aplicación SpotLight almacena. Una vez que se arranca, como toda herramienta centrada en el análisis forense, genera un caso nuevo en el que se añaden todas las evidencias posibles.
Figura 2: SpotLight Inspector para OS X |
Para conseguir la base de datos de SpotLight hay que tener una copia del volumen e irse a la ruta siguiente a conseguirla. Como se puede ver, solo tiene acceso el usuario root de lectura y escritura, por lo que si quieres probar en tu sistema debes acceder con privilegios y copiar ese fichero.
Figura 3: Ruta de la base de datos de SpotLight en OS X |
Una vez que lo tengas se lo pasas a la herramienta, que tardará unos minutos en procesarlo entero para poner los datos de la base de datos en un formato que te sea cómo de procesar.
Figura 4: Añadiendo la base de datos a SpotLight Inspector para su análisis |
El resultado es una estructura en la que puedes ver todos los metadatos de todos los elementos que tiene indexado el sistema SpotLight de cada uno de los objetos. Por ejemplo, de los correos electrónicos o las páginas web visitadas hay información casi completa, por lo que si el usuario ha borrado el correo, pero tenemos copias de las bases de datos de SpotLight se podrá seguir contando con esa información.
Figura 5: Metadatos de correos electrónicos extraídos de la base de datos de SpotLight |
La herramienta está disponible también para sistemas Windows y Linux tanto para 32 como 64 bits, así que si eres un analista forense ya puedes adjuntar esta utilidad a tu juego de herramientas, que seguro que te viene bien en el futuro.
No hay comentarios:
Publicar un comentario