Ningún teléfono es una isla

(1)

www.encase.com/ceic

Ningún teléfono es una isla

Encontrando conexiones entre el teléfono y la computadora

La ciencia forense dedicada a los dispositivos móviles tiene como su propósito el análisis de los dispositivos portátiles: teléfonos celulares, tabletas y los GPS, entre otros.

Aunque son portátiles, esos mismos teléfonos también tienen que “volver a base” de vez en cuando en el sentido de que, tarde o temprano, la mayoría de ellos van a conectarse al PC, ya sea para hacerse una copia de respaldo, sincronizar las configuraciones y/o datos del dispositivo, hacer una actualización, o simplemente para descargar música, fotos, podcasts o videos. Vamos a investigar esas conexiones.

Introducción

(2)

Casado con tres niños varones

Soldado retirado con 18 años de experiencia en la inteligencia militar (SIGINT)

Especializado en la ciencia forense aplicada a los dispositivos móviles

Puedo reconocer dos de cada tres idiomas de programación (Python especialmente)

Me gusta analizar los datos crudos del teléfono mientra tomo unas cervezas

¿Quién soy yo?

Page 3

Los iPhone, Android y BlackBerry se pueden conectar y sincronizar sus datos con la computadora de su usuario.

Muchos de nosotros examinadores nos olvidamos de la información que se puede encontrar en la PC, lo cual puede mostrar cuándo, cómo y por qué se conectó.

También podemos encontrar información que actualmente NO se

encuentra en el teléfono mismo pero si existe en la computadora en forma de respaldo.

¿Por qué escogí este tema?

Ningún teléfono es una isla

(3)

Esos datos nos pueden ayudar de las siguientes maneras:

Saber exactamente cuándo se conectó el teléfono con la PC

Vincular el usuario de la PC con el usuario del teléfono, o por lo menos el PC con el teléfono

Recuperar las claves de la carpeta “Lockdown” para poder extraer los datos de un dispositivo iOS. (Extracción Lógica Avanzada)

Recuperar los datos de un respaldo de iTunes o BlackBerry

Saber cuáles fueron los archivos copiados al dispositivo

Más

Page 5

Algunos artefactos que se producen cuando se conecta un iPhone, Android o BlackBerry a la computadora

Rastros que se dejan cuando se hace un respaldo de un teléfono iOS o BlackBerry en la computadora

La estructura básica de los respaldos de iTunes

Las copias de respaldo de BlackBerry

Ejemplos de los registros de un router típico mostrando la conexión de dispositivo móviles

¿Qué vamos a ver?

(4)

Android

Page 7

Android

Ningún teléfono es una isla

(5)

Android

Page 9

Los dispositivos Android no tienen un iTunes, ni un BlackBerry Desktop Manager, ni ningún software semejante en uso general.

Sin embargo, algunos fabricantes tienen sus propias soluciones de respaldo y actualización, entre ellos Samsung y Motorola.

Samsung Kies

Motorola PC Suite

Google Android Backup

Android

Ningún teléfono es una isla

Lo que vamos a ver es cuáles son algunos rastros creados por la conexión de un teléfono Android al PC para copiar archivos, hacer actualización, descargar música, videos, fotos, etc.

Podemos utilizar esta información en cualquier caso que involucra la transferencia de archivos del PC al teléfono o al revés, ya sea del robo de propiedad intelectual, pornografía infantil o hacking.

(6)

Caso 1:

El sospechoso, al averiguar que su compañía le iba a despedir, presuntamente robó información propietaria de la compañía. Lo copió a su teléfono Android, lo llevó a su casa, lo copió a su PC personal. Después, ofreció la información a una compañía competidora a cambio de un empleo con la compañía nueva. Unos meses despues…

El sospechoso afirma que no había copiado nada de propiedad intelectual. De hecho: “Nunca he conectado mi teléfono a ninguna computadora en el trabajo, entonces no lo podía haber hecho”.

Android

Page 11

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

(7)

Se conectó un dispositivo Android al PC?

Page 13

Algunos protocolos posibles por USB (Android):

Almacenamiento masivo (Mass-Storage Device): el dispositivo actúa como cualquier

dispositivo de almacenamiento masivo, como un Flash Drive u otro dispositivo USB.

MTP (Media Transfer Protocol): el dispositivo actúa como un reproductor de música. El

dispositivo es un “servidor”, controlando el acceso y transferencia de datos. No es un “volúmen” como un dispositivo de almacenamiento masivo.

ADB (Android Debug Bridge – Puente de Depuración Android): protocolo para la

depuración de aplicaciones por desarroladores de software para Android. También se utiliza para obtener permisos “root” y para hacer extracciones forenses de los datos del teléfono.

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

Algunos protocolos posibles por USB (Android):

Fastboot: modo de “programación” de algunos Android, entre ellos, HTC (extracciones

físicas de muchos HTC se llevan a cabo en este modo)

Modo de descargue (Odin Mode): modo de “programación” de los Android de Samsung

(8)

Se conectó un dispositivo Android al PC?

Page 15

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

El identificador de ADB (Android Debug Bridge – Puente de Depuración de Android) es el número del fabricante (vendor ID) que identifica en forma única a un dispositivo Android cuando se conecta al PC por medio de ADB. Este identificador funciona como ID del dispositivo, tal como el número de serie de un dispositivo USB.

(9)

Se conectó un dispositivo Android al PC?

Page 17

/data/log/recovery_log.txt (sistema de archivos del Android)

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

ID de ADB (Vendor ID)

(10)

Se conectó un dispositivo Android al PC?

Page 19

ID de ADB (Vendor ID)

C:\Windows\inf\setupapi.dev.{fecha/hora de última escritura}.log

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

Usando USBDView de Nirsoft:

ID de ADB (Vendor ID)

Volúmenes asociados con el

dispositivo

(11)

Se conectó un dispositivo Android al PC?

Page 21

Un dispositivo en modo MTP (reproductor de medios) que NO tiene ADB activado:

http://www.nirsoft.net/utils/usb_devices_view.html

Fabricante

ID de ADB (Vendor ID)

No hay volúmenes asociados

con el dispositivo

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

Un dispositivo en modo MTP (reproductor de medios) que NO tiene ADB activado:

El ID de ADB actúa como

número de serie

(12)

Se conectó un dispositivo Android al PC?

Page 23

HKLM\SYSTEM\ControlSet001\Enum\USB\VID_04E8&PID_685E\65d83156

Buscamos “65d83156” en el registro de Windows (regedit):

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

Marca

Modelo

Identificador

(13)

Se conectó un dispositivo Android al PC?

Page 25

Ref: http://www.nirsoft.net/utils/usb_devices_view.html

ID de ADB (Vendor ID)

Volúmenes asociados con el

dispositivo

Fabricante

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

Memoria Interna del

Android(J:)

Tarjeta microSD colocada en el

Android (K:)

(14)

Se conectó un dispositivo Android al PC?

Page 27

Vista en EnCase al realizar la búsqueda “65d83156”. En total, 36 coincidencias dentro de un plazo de aproximadamente diez segundos.

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

¿Qué tal si copiamos un archivo a la memoria (interna o microSD) del Android desde el PC?

Copiamos el archivo “Secretos Propietarios.pdf” a la memoria de nuestro Android por medio de USB. Después lo abrimos a ver si se copió correctamente. Lamentablemente, esas acciones se registran por Windows. Jeje.

En este ejemplo, es el propio Adobe Acrobat Reader que nos traiciona. Así también pasó en el caso de nuestro sospechoso.

(15)

Se conectó un dispositivo Android al PC?

Page 29

Ruta y nombre del archivo copiado

que abrimos con Acrobat Reader

HKCU\Software\Adobe\Acrobat Reader\11.0\AVGeneral\cRecentFiles

Se conectó un dispositivo Android al PC?

Ningún teléfono es una isla

Ruta: C:\Users\{usuario}\Recent (Windows 7)

(16)

Caso 1:

El sospechoso confesó lo que había hecho ya que las autoridades sabían que les había mentido.

Android

Page 31

¿Qué tal el Bluetooth?

Ningún teléfono es una isla

C:\Windows\inf\setupapi.dev.log

Casualmente, el ID de

ADB de este Android

(17)

Dirección MAC y su OUI (Identificador Único de Organización)

Page 33

El OUI corresponde

a Samsung

http://www.macvendors.com

http://es.wikipedia.org/wiki/MAC_address

Android ADB ID:

Registro de Windows (entre otros):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\WDM

Android (en el propio sistema de archivos del Android: /cache/recovery/last_log

/data/log/recovery_log.txt /data/log/recovery_kernel_log.txt

En Android, haga una búsqueda de “ro.serialno” para encontrar el ID de ADB si no se encuentra en los logs. Las rutas varían.

Rutas (Android)

(18)

Android ADB ID (Vendor ID):

Si no se encuentra en C:\Windows\inf\:

Busca el ID de ADB dentro de: HKLM\SYSTEM\CurrentControlSet\Enum\USB.

O se puede hacer una búsqueda general en el registro usando EnCase.

En su software forense para dispositivos móviles (Cellebrite, XRY, etc) se puede hacer una búsqueda dentro del sistema de archivos para el ID de ADB. Se debe encontrar en la partición Cache o en /data/log/.

Rutas (Android)

Page 35

Si no encuentro el ID de ADB:

Android ID

Dirección MAC de Bluetooth y de WiFi

IMEI o MEID (en la etiqueta debajo la batería del teléfono)

Marca y modelo del teléfono (Samsung T769 o HTC PC36100)

?

Búsquedas (¿Qué busco?)

Ningún teléfono es una isla

(19)

Apple iOS

Page 37

Caso 2:

“No hay información de mi iPhone en mi computadora

porque nunca lo he conectado a una computadora… ni una

sola vez”.

(20)

Nosotros podemos utilizar el UDID de un dispositivo de Apple para vincular el teléfono (o iPod/iPad) con una computadora. ¿Por qué?

Para encontrar más datos que tal vez no se encuentren en el iPhone mismo

Para poder encontrar la carpeta Lockdown y hacer una extracción lógica avanzada de un iPhone bloqueado

Si sólo queremos demostrar una conexión entre el iDispositivo y un PC (transferencia de archivos, fotos, etc.)

Expandir nuestro caso…

Apple iOS - UDID

Page 39

Apple iOS - UDID

(21)

¿Dónde se encuentra el UDID?

En el dispositivo mismo, usualmente en los registros de “activation”

Muchos software forenses no lo encuentran (Busca “UniqueDeviceID” en los datos crudos)

En la computadora con la cual se sincronizó el dispositivo

Copias de respaldo de iTunes

Carpeta de Lockdown

Apple iOS - UDID

Page 41

UDID (Unique Device ID – Identificador Único del Dispositivo): una cadena de 40

dígitos hexadecimales que identifica únicamente a un dispositivo de Apple (iDevice). Se utiliza para identificar el dispositivo a iTunes y al Apple Store.

Apple iOS - UDID

Ningún teléfono es una isla

UDID de un iPod 4G en la ruta

(22)

UDID (Unique Device ID – Identificador Único del Dispositivo): una cadena de 40

dígitos hexadecimales que identifica únicamente a un dispositivo de Apple (iDevice). Se utiliza para identificar el dispositivo a iTunes y al Apple Store.

Apple iOS - UDID

Page 43

UDID de un iPhone 4 CDMA en la ruta

/private/var/root/Library/Lockdown/activation_records/activation_record.plist

Apple iOS

Ningún teléfono es una isla

(23)

Apple iOS

Page 45

Vista del dispositivo en iTunes – UDID

Caso 2:

“No hay información de mi iPhone en mi computadora

porque nunca lo he conectado a una computadora… ni una

sola vez”.

(24)

Page 47

En este caso, la sospechosa no mintió. No había conectado su teléfono a SU propia

computadora, lo había conectado a dos computadoras.

Tengo el iPhone…

Tengo el UDID…

Tengo la computadora…

¿Qué hago ahora?

Apple iOS - UDID

(25)

Apple iOS – La conexión

al PC

Page 49

Los UDID de dispositivos

que se han conectado al PC

C:\Windows\inf\setupapi.dev.log

Ningún teléfono es una isla

UDID del dispositivo

Fecha/Hora

(26)

C:\Windows\inf\setupapi.dev.log

Page 51

ID de clase en el registro de Windows

Ningún teléfono es una isla

(27)

HKLM\SYSTEM\ControlSet001\Enum\USB\VID_05AC&PID_129E

Page 53

Apple – Respaldos de iTunes

Ningún teléfono es una isla

(28)

Carpeta de Respaldos (Backup):

Windows XP:

C:\Documents & Settings\{usuario}\Application Data\Apple Computer\MobileSync\Backup

Windows 7: C:\Users\{usuario}\AppData\Roaming\Apple Computer\MobileSync\Backup Mac/OSX: /Users/{usuario}/Library/Application Support/MobileSync/Backup

Rutas (Apple)

Page 55

Apple iOS – Respaldos (Windows)

Ningún teléfono es una isla

(29)

Apple iOS – Respaldos (Mac)

Page 57

Carpetas de respaldo del Mac: /Users/{usuario}/Library/Application

Support/MobileSync/Backup

UDIDs de varios dispositivos

Apple iOS - Respaldos

Ningún teléfono es una isla

El formato es “llano” o “plano”.

No hay sub-directorios. Los

nombres de los archivos se

derivan del SHA-1 del dominio y

ruta completa del archivo

original. Los archivos, sin

embargo, son iguales que

siempre. O sea, un .jpg es un

.jpg todavía.

http://theiphonewiki.com/wiki/ITunes_Backup

(30)

Apple iOS - Respaldos

Page 59

Info.plist abierto en XRY Plist Explorer

Dueño o

nombre del

dispositivo

UDID

tipo de dispositivo

Apple iOS – Abriendo respaldos en software forense

Ningún teléfono es una isla

(31)

Apple iOS – Abriendo respaldos en software forense

Page 61

Seleccionar dispositivo

Apple iOS

Page 69

Copia de respaldo de iTunes (del mismo

iPhone 4S) – cargado en software forense.

Esta mujer “nunca conectó su iPhone a la

computadora”.

La carpeta de Lockdown de Apple contiene claves a los dispositivos que se han conectado al PC para sincronizarse con iTunes.

Page 79

Nos da unas instrucciones…

Apple iOS – Usando Lockdown en el software forense

Ningún teléfono es una isla

(41)

El dispositivo está bloqueado. ¿Qué hacemos?

Copiamos la carpeta “Lockdown” de la computadora del sospechoso a nuestro propio sistema en la ruta apropiada, y volvemos a intentar…

Apple iOS – Usando Lockdown en el software forense

Page 81

Apple iOS – Usando Lockdown en el software forense

Ningún teléfono es una isla

(42)

Apple iOS – Usando Lockdown en el software forense

Page 83

Todos tus datos me pertenecen a mí…

Apple iOS – Usando Lockdown en el software forense

Ningún teléfono es una isla

(43)

Caso 3:

Page 85

Un sospechoso, antes de ser sospechoso en sí, dejó que los investigadores se fijaran en

su iPhone. Cuando averiguó él que los agentes ya le consideraban como sospechoso en

el caso, cambió la contraseña de su iPhone.

Lamentablemente para él, los investigadores tenían sus archivos de Lockdown,

entonces pudieron hacer una extracción del teléfono.

El sospechoso, pensando que ya le hubieron agarrado “con las manos en la masa” les

dio la contraseña para poder cooperar y hacer un trato con el fiscal. Eso les permitió

hacer una extracción del sistema de archivos del teléfono, lo cual les dio aún más

evidencia.

Carpeta “Lockdown”:

Windows XP:

C:\Documents and Settings\All Users\Application Data\Apple\Lockdown Windows 7:

C:\ProgramData\Apple\Lockdown Mac/OSX:

/private/var/db/lockdown

Rutas (Apple)

(44)

UDID – Identificador del iDispositivo

Vincula el teléfono a un respaldo encontrado en el PC (más evidencia)

Actúa como Device ID en la instalación de drivers en el PC

Carpeta de Lockdown – contiene la “llave que abre la puerta del iDispositivo”

Vincula el teléfono con una instalación de iTunes

Permite que se desbloquea el iDispositivo para extraer datos (evidencia)

Apple iOS - Repaso

Page 87

BlackBerry

(45)

BlackBerry

Page 89

BlackBerry – USB Device ID

Ningún teléfono es una isla

ID del dispositivo

Volumen (I:) de la SD interna

(46)

BlackBerry – setupapi.dev.log

Page 91

BlackBerry – Flash.bin (Cellebrite PA)

Ningún teléfono es una isla

Mismo ID del dispositivo encontrado en la

memoria NAND del teléfono mismo, usando

(47)

BlackBerry - Respaldos

Page 93

Respaldos de BlackBerry: (Archivos BBB)

Window XP:

C:\Documents and Settings\{usuario}\My Documents\BlackBerry\Backup Windows 7:

C:\Users\{usuario}\Documents\BlackBerry\Backup Mac/OSX:

Instalación de drivers: Windows 7: C:\Windows\inf\setupapi.dev.log setupapi.dev.{fecha/hora}.log C:\Windows\inf\setupapi.app.log setupapi.app.{fecha/hora}.log

Haga una búsqueda dentro de regedit o EnCase para encontrar más instancias del ID del dispositivo o “vendor ID” en caso del Android, el UDID de iOS y el ID del dispositivo de BlackBerry.