Análisis de la copia de seguridad de iTunes

Como se ha mencionado anteriormente, existen en el mercado herramientas forenses para la extracción de información de los backups de iTunes. Estas herramientas automatizan la labor forense y proporcionan un interfaz gráfico que simplifica y ameniza la labor forense.

En caso de disponer de una de estas herramientas como Cellebrite UFED, Oxygen Forensics Suite o Elcomsoft Forensics Tookit se recomienda su uso para el análisis de la copia de seguridad. Dado que estas herramientas no están disponible de forma gratuita ni son accesibles al público general, vamos a proceder a estudiar la estructura de la copia de seguridad de iOS realizada con iTunes y como utilizar la herramienta gratuita backup_tool.py proporcionada en el kit de iPhone data protection para su extracción.

Además daremos un repaso a la versión demo de iExplorer 4.0 para casos en los que el backup esté cifrado.

4.3.1.1 Estructura del backup de iOS 10:

Abrimos el directorio en el que se encuentra la copia de seguridad y vemos que tiene la siguiente estructura:

Info.plist:

Esta extensión de ficheros plist es muy conocida en el mundo Apple, y suele ser utilizada para ficheros de configuración. Para abrirlo en windows, podemos instalar algún Software como plist explorer.

Desde Mac, podemos instalar la herramienta de desarrollo de aplicaciones Xcode proporcionada por Apple.

En este caso, Info.plist contiene información a cerca del dispositivo. De este fichero podemos obtener los siguientes datos:

• Build version del dispositivo • Nombre del dispositivo.

• GUID (Global Unique Identifier)

• IMEI (Inernational Mobile Equipment Identity) • Aplicaciones instaladas.

• Fecha del último backup.

• Nombre comercial del dispositivo (Product Name). Por ejemplo iPhone 5 • Versión del dispositivo (Product Type). Por ejemplo iPhone 5.2

• Versión del sistema operativio (Product Version) • Número de serie

• Identificador del objetivo • Unique Identiier.

• Versión de iTunes con que se realizó la copia de seguridad

Manifest.bd:

Se trata de un fichero de base de datos de tipo sqlite que contiene información sobre la estructura de directorios de dominio en el backup.

Esta base de datos contiene una tabla llamada Files, con los campos fileID, domain, relativePath, falgs y file.

El campo fileID se corresponde con el nombre del fichero almacenado el la estructura de

directorios de la base de datos, y resulta de obtener el hash SHA-1 concatenando los valores de los campos domain seguido del símbolo “-” seguido del relativePath.

Por ejemplo, el fileID correspondiente al dominio CameraRollDomain y la ruta Media/PhotoData/ Videos se obtiene obteniendo el hash SHA-1 de “CameraRollDomain-Media/PhotoData/Videos”, que corresponde con cacc5a1aca7bb6e7428e88a8e9868d3430844f9c .

Manifest.plist

Se trata do otro fichero plist. En este caso la información que podemos extraer de el es la siguiente:

• Backup keybag

• Version del sistema operativo • Fecha y hora del backup

• Si el dispositivo tiene un pascode.

• Modelo y versión del dispositivo (ProductType y BuildVersion) • Unique Device ID

• Serial Number

• Nombre del dispositivo

• Si el backup está cifrado. (isEncripted) • Aplicaciones instaladas:

• Ruta en la que reside en el dispositivo

• CFBundleIdentifier (Identificador de aplicaciones de Apple) • CFBundleVersion (solo disponible en algunas aplicaciones)

Status.plist:

En este caso, la información que se guarda en el fichero es relativa al estado del backup, si se completo con éxito, si se trata de una copia de seguridad completa, el UDID y fecha de

Estructura de directorios:

Además de los ficheros descritos hasta ahora, el backup contiene una estructura de directorios cuya nomenclatura sigue un patrón de dos caracteres hexadecimales, lo que hace un total de 256 directorios desde el 00 hasta el ff.

Como hemos visto en el fichero Manifest.db, los nombres de los ficheros se sustituían en la base de datos con un hash SHA-1, es decir, sus nombres están formados por caracteres

hexadecimales.

Cada fichero de la copia de seguridad, se guarda en el directorio cuyo nombre coincide con los dos primeros caracteres de fichero, como se puede observar en la siguiente captura:

4.3.1.2 Obteniendo el contenido del backup con backup_tool.py:

Para poder interactuar con el backup de manera mas sencilla y navegar por su contenido con normalidad podemos utilizar el script backup_tool.py disponible en el kit de herramientas iPhone Data Protection.

Para ejecutar el comando, abrimos un terminal y nos colocamos en el directorio python_scripts dentro del directorio donde hayamos descargado iphone-dataprotection.

A continuación tecleamos el comando “python backup_tool.py RUTA_DEL_BACKUP RUTA_DESTINO.”

Tras pulsar ‘y’ + intro, se crea el directorio especificado, en el caso de la captura “extracted_backup”. En este directorio tenemos el contenido del backup:

Una vez que podemos acceder al contenido del backup, sus dominios y subdominios, será decisión de la persona que realiza el análisis que ficheros son de interés en función de que información se desee obtener. Se recomienda hacer un análisis minucioso de todo el backup, de

forma que se tenga una visión general sobre que datos y aplicaciones se dispone, para después centrarse en extraer la información que se considere ma relevante.

Como guía, vamos a analizar algunos directorios y ficheros interesantes a nivel general dentro del backup:

CameraRollDomain:

Este directorio contiene tanto las fotos realizadas con la cámara como información asociada de a estas en el fichero Photos.sqlite. Analizando las imágenes con la herramienta exiftool podemos obtener además los metadatos de la imagen, que revelan información, como la fecha, hora y posición GPS donde fue tomada, lo que podría situar el dispositivo, y como consecuencia a su propietario, en un determinado lugar a una determinada hora.

WirelessDomain:

En este directorio nos encontramos con el fichero Library/Databases/CellularUsage.db. Si consultamos esta base de datos podemos obtener el número de teléfono del dispositivo.

HomeDomain:

Contiene en su interior un directorio Library. Este directorio es uno de los mas jugosos, ya que en su interior albergar un conjunto de subdirectorios que contienen los datos de las principales aplicaciones del sistema operativo. Entre los mas destacables, se encuentran los directorios: AddressBook, Calendar, CallHistoryDB, Cookies, Notes, SMS y VoiceMail.

Todos estos directorios, contienen en su interior una o varias bases de datos con información acerca del tema que propone el nombre del directorio en el que están contenidos, y todos ellos pueden ser accedimos con la aplicación DB Browser for SQLite para consultar su contenido de forma sencilla. Cabe destacar que es posible obtener llamadas borradas del registro de llamadas o SMS eliminados, ya que estos no se borran de su base de datos correspondiente, sino que son marcados como eliminados.

Además, según el uso y contenido del dispositivo, es posible encontrar información interesante dentro de otros subdirectorios de este directorio Library.

SystemPreferencesDomain:

Dentro de este directorio encontramos otro llamado SystemConfiguration que contiene una serie de ficheros plist. Uno de ellos, llamado com.apple.wifi.plist, contiene todos los detalles de todas las redes Wi-Fi a las que se ha conectado del dispositivo, incluyendo nombre de la Wi-Fi, SSID, BSSID, Tipo de Seguridad que utiliza, fecha de conexión y de la última conexión automática. Así pues, esta información también podría ser válida para situar a un dispositivo en un lugar

determinado en una fecha y hora determinadas, ya que a partir del BSSID es posible obtener la localización geográfica en servicios específicos que alimientan sus bases de datos con

información recolectada realizando la técnica de wardriving.

AppDomainGroup-group.net.whatsapp.WhatsApp.shared:

Un alto porcentaje de dispositivos tienen la aplicación whatsapp instalada. Esta aplicación puede aportar información relevante a un análisis forense. En las bases de datos ChatStorage.sqlite y ChatSearch.sqlite pueden obtenerse conversaciones enteras personales y de grupos de

whatsapp. Es posible visualizar mensajes eliminados de la aplicación whatsapp, ya que estos no se borran de la base de datos, sino que son marcados como eliminados.

AppDomain-com.apple.mobilesafari:

Contiene el contenido guardado por la aplicación Safari. Entre los datos que podemos obtener se encuentra el historial de navegación y algunas thumbnails.

El único directorio del que no podremos sacar utilidad es el KeychainDomain, ya que el contenido de los ficheros de este directorio está cifrado con la clave derivada del UID del dispositivo, con lo cual es solo accesible desde el dispositivo del que generó el backup, ya que es el único conocedor de la clave.

4.3.1.3 Accediendo al backup con iExplorer 4.0:

iExplorer nos ofrece un interfaz gráfico sencillo. Se obtiene el contenido del backup de manera automática sin necesidad de hacer uso de ningún script. Podemos navegar por el contenido del backup desde la aplicación, y permite abrir los ficheros, mostrarlos en el Finder, añadir un marcador o exportarlos a un directorio para su posterior análisis con la herramienta correspondiente según el tipo de archivo:

Además de acceder al contenido del backup de forma similar a la que utilizamos tras extraer el contenido con backup_tool.py, permite obtener el contenido de un backup cifrado, siempre que se conozca la contraseña de cifrado, lo que lo convierte en una opción a tener en cuenta si

disponemos de un backup cifrado y su contraseña.

Al igual que antes, es necesario que el auditor analice el contenido de forma minuciosa en busca de los datos que puedan resultar interesantes para los fines del análisis forense.

iExplorer4 también permite obtener por medio de su interfaz gráfica información de Mensajes, contactos, Mensajes del buzón de voz, Historial de llamadas, Notas, Favoritos e Historial de Safari y eventos del Calendario.