Apple elaborará un equipo que forme a las autoridades en forense digital

Apple pretende formar un equipo dedicado a entrenar a las autoridades en el ámbito forense digital. Según una noticia publicada hace unos días, el plan en cuestión consiste en formar a equipos que sean capaces de afrontar grandes investigaciones criminales en las que los datos son fundamentales. La mejor abogada de la compañía, Kate Adams menciona el plan en una carta enviada al senador Sheldon Whitehouse (senador demócrata de Rhode Island). Tras el revuelo generado por la noticia, el senador Whitehouse no tardó en dar una respuesta públicamente a través de una entrevista.

“Cuanta más información acabe en la red o en nuestros dispositivos, mas hincapié deberemos hacer por encontrar nuevos y eficaces caminos para que las compañías y las autoridades sean capaces de resolver algunos crímenes” Dijo el senador Whitehouse para el Washington Times.

“Me alegro de ver que Apple lance esta plataforma con la que compartir esta información crítica de una manera segura. Continuaré trabajando en la legislación de los dos partidos para que las autoridades puedan desarrollar su trabajo en el ciberespacio” 

Figura 1: Senador Sheldon Whitehouse

Durante los últimos años Apple ha estado recibiendo críticas de las autoridades constantemente por vender iPhone diseñados con funciones de seguridad que dificulten a los investigadores acceder a pruebas digitales de crímenes, con propiedades como la encriptación de punto a punto en los mensajes o el nuevo modo seguro de USB. Sin duda este es un gran paso con el que la compañía californiana mejorará sus relaciones con el FBI y otras agencias gubernamentales.

Apple ficha al hacker Jonathan Zdziarski para su equipo de seguridad

Hablar de Jonathan Zdziarski es hablar de uno de los investigadores en seguridad más conocidos en el ámbito de Apple. Jonathan es una de las principales autoridades dentro del mundo iOS y el forense digital. Apple acaba de ficharlo. El propio investigador anunció, recientemente, que ha aceptado un puesto en el equipo de ingeniería y arquitectura de seguridad de Apple. El investigador comentó que la decisión de unirse al gigante de la tecnología de Cupertino fue una decisión de conciencia para él. Además, añadió que es un reto profesional y que hará lo posible por proteger la privacidad digital de los consumidores.

Es sin duda, una de las incorporaciones mediáticas al equipo de Apple, pero toda una garantía y experto en la materia. Antes de unirse a Apple, Zdziarski fue un defensor de la protección de la privacidad digital, espeicalmente durante el enfrentameinto de Apple con el FBI y el famoso caso de San Bernardino. Hay que recordar que el investigador comentó que dicho caso ponía en peligro la seguridad pública, si Apple abría el dispositivo para que fuerzas de seguridad pudieran acceder libremente a la información de los dispositivos.

Figura 1: Jonathan Zdziarski

La noticia es interesante y encaja con el alineamiento de muchas empresas tecnológicas que están apostando por expertos, investigadores, hackers para tomar puestos de responsabilidad en materia de ciberseguridad. Seguramente, este sea un gran movimiento como fue la incorporación de Jon Callas de Silent Circle el año pasado. Apple incorpora a expertos en seguridad para mejorar la seguridad del dispositivo, ¿Será un movimiento para que la gente vea que realmente se preocupa por la seguridad de los datos?

Hacker dice que Cellebrite utiliza Jailbreak para acceder a la información del iPhone

Cellebrite es una compañía de análisis forense digital que, supuestamente, ha ayudado al FBI a romper la seguridad del iPhone del terrorista de San Bernardino. Para realizar esta acción, es posible, que se hayan utilizando herramientas de cracking para iPhone, según una nueva filtración de archivos proveniente de la firma de seguridad. Hay un hacker detrás de la intrusión a los servidores de Cellebrite el pasado enero. Esta misma persona se encuentra detrás de la publicación de los nuevos archivos. Se dice que la última filtración incluye archivos utilizados para obtener acceso a los datos almacenados en los teléfonos inteligentes, incluidos iPhone antiguos y dispositivos que ejecutan Android y BlackBerry.

La firma israelí es conocida por proporcionar un producto a las agencias de aplicación de la ley denominado UFED. Cuando se conecta un dispositivo a esta unidad se pueden extraer una variedad de datos, incluidos mensajes de texto, correos electrónicos o imágenes. La herramiena puede omitir las medidas de seguridad en un gran número de casos. En el caso de los iPhone, están limitados a modelos que utilizan versiones anteriores de iOS. El hacker afirma que las herramientas fueron extraídas de las imágenes UFED encontradas en los 900 GB de datos en la brecha de seguridad del mes pasado. 

Figura 1: Cellebrite y UFED

El hacker indica que el código relacionado con iOS que se encuentra en la información publicada es similar a los scripts creados para el Jailbreak de los iPhone. El investigador Jonathan Zdziarski indicó que los archivos iOS encontrados eran casi idénticos a las herramientas de Jailbreak, y que se incluían versiones modificadas del firmware de Apple, alterados para romper la seguridad en los iPhone antiguos. Además, se concluye con que si los archivos liberados fueron utilizados por Cellebrite en la UFED, se sugiere que utilizan el software de la comunidad Jailbreak experimental para sus productos forenses.

FBI no dará ningún detalle del exploit para los iPhone 5C

El FBI no va a presentar la vulnerabilidad utilizada y explotada para introducirse en el dispositivo del terrorista de San Bernardino Syed Rizwan, el cual fue abatido. Esta técnica utilizada no se presentará a un proceso de revisión, ya que podría salir a la luz pública cómo se hizo, y otras personas conocerían la vulnerabilidad y podrían replicar el método con otros dispositivos. Cuando el FBI realizó la operación, éstos no habían adquirido los derechos sobre los detalles técnicos involucrados en el proceso. El director del FBI de tecnología Amy Hess, indicó que no tienen suficiente información técnica acerca de la vulnerabilidad.

Esta afirmación hace pensar que el dispositivo fue cedido de algún modo a la empresa e investigadores que vendieron el exploit. El director del FBI James Comey dijo que la agencia todavía estaba decidiendo si se podría presentar el exploit al proceso de revisión. En este proceso de revisión lo que se decide es si el fallo de seguridad no cubierto por agencias gubernamentales de Estados Unidos debe ser compartido con entidades como corporaciones u organizaciones. Lo que queda claro es que la declaración de Hess puede apoyar una serie de rumores que apuntar a que el iPhone fue explotado por una empresa externa y no por ellos, una empresa seguramente CelleBrite.

Figura 1: iPhone 5C protagonista del caso entre el FBI y Apple

En un informe se indicó que fue un grupo de investigadores los que colaboraron, pero ahora la rumorología hace indicar que pudo ser CelleBrite. Apple ha solicitado previamente obtener detalles de la vulnerabilidad, pero la decisión del FBI hace indicar que la información se mantendrá en secreto. Estamos ante un 0day para el que no hay solución y que afecta a dispositivos como el iPhone 5C. Apple podría presentar un desafío legal ahora contra el FBI. Seguro que en los próximos días encontramos nuevas noticias y nuevas acciones entre el FBI y Apple. Esto no ha acabado y parece que el baile mediático en este caso está en auge.

La historia del escándalo de los backdoors en iOS

A principios de semana llegó una noticia bomba sobre iOS desde la conferencia HOPE (Hackers On Planet Earth) de New York. Allí se explicó que iOS viene con algunos servicios que pueden actuar como backdoors, y por supuesto la gente se asusta y mucho. Cuando nos dicen que Apple puede acceder a todos los datos del dispositivo en cualquier instante y que, por lo tanto, las agencias de seguridad, por ejemplo la NSA, puede acceder a esa información, la cosa sigue asustando y mucho. Esto es afirmado por el investigador Jonathan Zdziarsk, que ha presentado un trabajo dónde expone una cantidad elevada de servicios sin documentar que corren bajo el sistema operativo de Apple.

Además, para hacer todo esto más oscuro, estos servicios dan acceso a la información en formatos que la propia Apple no puede explicar fácilmente, por lo que el revuelo ha sido aún mayor. Los servicios que dan acceso remoto a la información que se encuentra en el dispositivo tienen un formato que no lo hace útil para soporte técnico, según indica el autor del trabajo. Además, a esta información se puede acceder aunque el dispositivo tenga passcode o huella dactilar cifrando el contenido.

Esto es un hecho sorprendente sabiendo como funciona la arquitectura de seguridad de los ficheros y la accesibilidad de los datos en iOS. Esto puede ser un gran problema, ya que cuando el ingeniero de Apple implementa una backdoor pensando que nadie la podrá utilizar se están equivocando. Cualquier investigador puede llegar a descubrirla, y lo que es peor, estas backdoors pueden caer en malas manos.

Figura 1: Diapositivas de la presentación sobre los servicios no documentados de Apple

Hasta aquí y según enuncia Zdziarski parecen ser puertas traseras en iOS. Apple ha emitido un comunicado respondiendo a todo esto negando que esto sea así, y que dispongan de puertas traseras en sus dispositivos. Además, indican que "Apple nunca ha trabajado con agencias de inteligencia". Los chicos de Cupertino han publicado un documento dóde se describe los tres servicios que Zdziarski destacaba en su trabajo.

Apple responde que estos servicios son capacidades de diagnóstico y que requieren que el usuario haya abierto su dispositivo y lo tengan pareado con otro equipo. Los datos transmitidos entre el dispositivo iOS y el equipo de confianza están cifradas con claves no compartidas con Apple. Para los usuarios que han activado iTunes Wi-Fi Sync en un equipo de confianza, estos servicios también se pueden acceder de forma inalámbrica desde ese equipo.

Figura 2: Respuesta en la página de soporte de Apple sobre estos servicios

Los tres procesos que Apple describe son, los que podemos ver en la imagen anterior:

• com.apple.mobile.pcapd. Captura de paquetes a un equipo de confianza, utilizado para el diagnóstino de problemas de aplicaciones y de conexión VPN de la empresa.
• com.apple.mobile.file_relay. Se utiliza en dispositivos internos y se puede acceder, con permiso del usuario, por AppleCare con fines de diagnóstino.
• com.apple.mobile.house_arrest. Utilizado por iTunes para la transferencia de documentos y por XCode durante el desarrollo de aplicaciones y pruebas

Existen algunas preguntas más sobre el funcionamiento de estos servicios, por ejemplo ¿Hay alguna forma más segura de realizar las tareas que manejan? Al menos, con el comunicado de Apple se ve una intención de trasparencia por parte de la empresa de Cupertino. Con lo que se sofocará la especulación de los últimos días sobre el asunto de las puertas traseras en los dispositivos iOS. El día 23 de Julio, Zdziarski respondió a Apple por la publicación del documento de soporte de Apple. Él reconoce las revelaciones de Apple, pero argumenta que Apple está minimizando el poder de estos servicios.

Doy crédito a Apple por el reconocimiento de esos servicios, y por tratar de dar una respuesta a las personas que quieren saber por qué estos servicios están allí. Me pregunto si los altos mandos de la empresa son realmente conscientes de la cantidad de información personal que se copia mediante cualquier vía. 

Zdziarski también ha hecho hincapié en que nunca ha sugerido que Apple esté involucrado en una conspiración, solo que podría ser utilizados por aquellos que buscan tener acceso a los datos. 

Moderm SmartPhone Forensics: iCloud & Find My iPhone

En la pasada Hack in The Box 2013 en Malaysia, investigadores de la empresa Elcomsoft impartieron una sesión sobre el análisis forenses de los sistemas operativos utilizados por los más modernos smartphones. Entre ellos, por supuesto, centraron gran parte de su atención en iOS y la necesidad de analizar los datos almacenados en Apple iCloud o Find My iDevice para poder hacer el análisis forense. La presentación se puede descargar ya en formato PDF desde: Moderm SmartPhone Forensics.

 

Figura 1: Presentación de Moderm Smartphone Forensics

Parte de la presentación se basa en explicar lo que ya habían publicado anteriormente en varias charlas, en las que había contado el problema de que el 2nd Factor no esté aplicado a Apple iCloud, que permitiría a cualquiera que tuviera la contraseña e hiciera un análisis del protocolo.

Figura 2: Explicación del sistema de autenticación en Apple iCloud

Estas tecnologías son las que ellos mismos utilizan en su herramienta de ElcomSoft Phone Password Breaker, que como ya vimos permite gestionar los backups online.

Figura 3: ElcomSoft Phone Password Breaker

En la sesión analizaron el protocolo paso a paso, explicando cómo interactuar con él y obtener ficheros, contactos, citas, etcétera, mediante las llamadas necesarias a la web, pero también lo hicieron con otros servicios, como son Find My iDevice, que permite localiza la ubicación de un dispositivo en cualquier momento.

Figura 4: Protocolo de Find my iPhone para localizar la ubicación

La presentación también habla de otras debilidades en otros modelos de smartphones como Windows Phone o BlackBerry, y se centra en otros detalles a la hora de adquirir los datos, como la detección de la complejidad del passcode mirando el teclado de un dispositivo iOS.

Pac4Mac: Análisis forense de OS X desde un USB

La herramienta Pac4Mac (Plug and Check for Mac OS X) ha sido desarrollada por sud0man, y tal y como explica en su paper, permite realizar un análisis forense a equipos con sistemas OS X realizando su ejecución desde un dispositivo USB. La herramienta permite la extracción y el análisis de información para poder determinar qué situaciones han tenido lugar en un equipo Mac OS X. Permite obtener todo tipo de información, como puede ser el historial de navegación de usuarios, contraseñas cacheadas, acceso a la información privada en campos de autorelleno, etcétera.

Pac4Mac también permite comprobar algunso puntos importantes de la seguridad de un sistema Mac OS X, con el fin de encontrar evidencias y ayudar al forense con la investigación y para ello viene con algunos exploits que pueden ser utilizados. Además Pac4Mac analiza la fuga de información que se puede obtener a través de rutas del sistema que dan información sobre usuarios, software o herramientas de seguridad. Todas ellas están detalladasen el documento Mac-Security-Tips.

Figura 1: Ejeución de Pac4Mac

Las principales características de este framework son las siguientes:

• Desarrollado en Python 2.x. 
• Soporte para OS X 10.6, 10.7, 10.8 y 10.9, éste último no testeado.
• Extracción de datos a través de user o root. También se puede utilizar el modo single y target, en el cual se utiliza Firewire o Thunderbolt.
• Tres modos de dumpeo: rápido, forense y avanzado. El rápido saca un conjunto de elementos que pueden interesar para un análisis rápido. El volcado forense permite obtener un volcado rápido, un volcado de RAM y clonación de disco. Por último, el volcado avanzado permite realizar un volcado forense, es decir el anterior, fuerza bruta y mostrar secretos (técnicos y de negocio).
• Dump de usuarios normales y admins.
• Dumping users keychains.
• Dumping system keychains.
• Dumping password hashes.
• Dumping browser cookies (Safari, Chrome, Firefox, Opera).
• Dump de historial (Safari, Chrome, Firefox, Opera).
• Dump de archivos impresos.
• Dump de mensajes de iChat, Skype, email, etcétera.
• Dump de calendario.
• Adición de usuario root. 
• Dump memoria RAM.
• Dump de logs, audit, firewall.

Figura 2: Exploit Keychain Files

Este framework se puede probar descargándolo directamente desde la dirección URL del proyecto en GoogleCode. El número de opciones que ofrece la herramienta es alto, así que iremos desgranando en artículos siguientes algunas de ellas, para que podáis sacarle más partido, pero desde ya te animamos a que lo pruebes.