Recuperación forense en iPods

Buenas,

Estaba trasteando con mi iPod, y lo que son las cosas … me he cepillado una canción que me interesaba. Me he puesto a mirar cómo está el mercado a la hora de recuperar contenidos en iPods, y me he topado con un paper bastante interesante: iPod Forensics: Forensically Examination of an Apple iPod.

En este documento hallaremos respuesta a algunas interrogantes sobre la gestión del almacenamiento de los iPod:

* ¿Qué tipos de datos se guardan en un iPod, dónde se almacenan y cómo podríamos extraerlos?
* ¿Cuál es la naturaleza de los datos propietarios almacenados en un iPod?
* ¿Qué metadatos se almacenan y cómo pueden usarse en una investigación? ¿Se guardan datos del propietario/persona que insertó contenidos en el iPod, la hora o el ordenador empleado para cargar contenido en el dispositivo?
* ¿Qué datos relacionados con fecha y hora se almacenan, y cómo se puede correlacionar en una secuencia de eventos fecha y hora con el resto de metadatos?
* ¿Cambian los datos si el iPod es cargado en un equipo Windows o un equipo Mac?

El documento habla también de herramientas. No olvidemos que los iPod, al menos los primeros modelos, empleaban lazy deletion, o si se prefiere, borrados suaves que realmente no son borrados. Esta técnica de falso borrado está orientada a conservación de batería, y permite la recuperación de elementos borrados en los iPod.

El paper contiene igualmente instrucciones para la generación de imágenes de los discos duros de iPod (aplicable a la cuarta generación de iPods y posteriores). Para hacer un examen, qué duda cabe que lo primero es extraer del aparato la información en un formato no corrompible, como una imagen.

El documento tiene buena pinta. ¿Alguien se anima a cacharrear un poco? Los que tengáis dificultades con Linux (por eso de generar la imagen, principalmente) podéis probar la herramienta iPod Data Recovery Software. Es una demo, pero permite recuperar contenidos en iPods. No conozco herramientas gratuítas para recuperar iPods en Windows, con lo que si alguien sabe de alguna … que lo comente ;)

En FreeBSD podemos montar el dispositivo e inspeccionarlo:

mount -t msdos /dev/da0s1 /mnt/ipod
cd iPod_Control/

Yo tengo un shuffle de 512 MB, antiguo, pero servirá para el experimento. Dentro de la carpeta iPod_Control tenemos dos carpetas: Music e Itunes. La primera contiene los ficheros de música, y la segunda tiene los siguientes contenidos:

nas# ls
ITUNES~2 iTunesDB iTunesPlaylists iTunesPrefs iTunesStats winPrefs
iTunesControl iTunesPState iTunesPodcasts iTunesSD ml_pmp.ini

En su mayoría son datos para iTunes, relacionados con la base de datos, las estadísticas de uso, las preferencias. Mediante gtkpod podéis acceder a sus contenidos y administrar el dispositivo. Para poder parsear el contenido de la base de datos de iTunes podéis emplear este script Python.

Un saludo,

Anatomía de un incidente de inyección SQL

Hola,

Acabo de echar un ojo a un artículo que se llama Anatomy of a SQL Injection Incident, publicado en el blog de Neil Carpenter, un ingeniero de Microsoft especializado en escalabilidad al que leo de vez en cuando.

Es una lectura amena sobre lo que representa muchas veces un incidente de este tipo. Las inyecciones SQL son famosas, pero no son tantos los ejemplos que documenten los pasos seguidos en un evento de este tipo. Tampoco es abundante la documentación en lenguage llano a la hora de explicar en qué consiste este tipo de manipulaciones, especialmente en un caso real.

El documento consta de dos partes. Aquí tenéis la primera, y aquí la segunda.

Un saludo,