Análisis forense de teléfonos iPhone 2G/3G

Hola,

Me topé ayer con un paper bastante interesante que habla sobre análisis forense de teléfonos iPhone. Ahora que estos aparatos están tan de moda (algo que yo personalmente jamás comprenderé existiendo teléfonos táctiles muy superiores como el Nokia 5800) creo que puede resultarnos útil saber qué productos existen en el mercado para su análisis.

Otro valor añadido del paper es que el autor, además de probar las diferentes soluciones forenses, ha elaborado su propia matriz de valoración, con lo que aquellos que estén pensando en adquirir alguna de los productos mencionados pueden disponer de una opinión cualificada a tener en cuenta para el proceso de compra. El documento incluye también referencias técnicas para identificar el hardware que conforma estos teléfonos.

Las herramientas valoradas, por desgracia, son todas comerciales, y algunas son particularmente costosas. Se trata de WOLF, Cellbrite, Device Seizure, MacLock Pick, MDBackup Extract, .XRY y CellDEK, así como una técnica conocida como de Jonathan Zdziarski. Algunas están exclusivamente orientadas a iPhone, mientras que otras son genéricas para cualquier tipo de móvil o tarjeta SIM. Los criterios para valorar son más o menos los de siempre. En este caso el autor ha valorado la capacidad de recuperación forense del registro de llamadas, de mensajería corta y multimedia, contactos, correo electrónico, videos, calendario, eventos, imágenes, canciones, historial de navegación, cookies, favoritos, aplicaciones instaladas, correo de voz, datos de Google Maps, claves, ficheros de configuración, conexiones VPN, Bluetooth y alguna que otra característica adicional.

Según el autor, el mejor parado es Cellebrite UFED, opinión que comparto, ya que puede ser usado con más de 2000 dispositivos distintos incluyendo GSM, TDMS, CDMA e iDEN, y tiene un cómodo lector de tarjetas SIM integrado. Entre los muchos modelos que se pueden analizar con este dispositivo están los teléfonos basados en Palm OS, Microsoft, Blackberry, Symbian, iPhone yGoogle Android. Es una solución profesional que tiene como principal virtud no requerir un PC para obtener los datos del terminal, ya que es un toolkit hardware portable, y cuyo principal inconveniente es el precio: sin llegar a ser el juego de herramientas forenses más caro que podamos encontrar (un CellDEK de Logicube ronda los 11.000 euros), el modelo de Cellebrite puede alcanzar los 3.000 euros por unidad.

Entre las soluciones software analizadas me quedo con un clásico: Paraben Device Seizure, que aunque da mejores resultados con el toolkit hardware autónomo, ofrece muy buenas prestaciones cuando usamos el software vía PC de investigador únicamente. Este software es mucho más económico, rondando los 900 dólares por licencia, y tiene una magnífica relación calidad-precio.

Tenéis el documento a vuestra disposición en http://viaforensics.com/wpinstall/wp-content/uploads/2009/03/iPhone-Forensics-2009.pdf

Un saludo, y buen fin de semana.

Xplico. Una herramienta de análisis forense de tráfico de red

Buenas,

Con el curioso nombre de Xplico se ha publicado una herramienta de análisis forense orientada al tráfico de red.

En funcionamiento de Xplico es tremendamente sencillo: con esta herramienta se pretende que el investigador, una vez obtenido un fichero de tráfico de red, sea capaz de extraer, clasificado por categorías, la totalidad de datos de las aplicaciones intervinientes en la generación de dicho tráfico. Así, por ejemplo, de una captura pcap Xplico extraerá correos, contenidos HTTP, llamadas VoIP, sesiones SFTP/FTP, etc. Xplico soporta un buen número de protocolos y a buen seguro irá aumentando su compatibilidad.

Otras características interesantes de la herramienta son su capacidad de extracción de datos en formatos SQLite/MySQL, capacidad de proceso en tiempo real, soporte IPv6 y una buena modularidad, ya que cada componente es en sí un módulo, lo que facilita el uso de porciones de nuestro interés en detrimento de módulos que consideremos innecesarios.

La documentación está disponible en este enlace, y Xplico se puede descargar sin coste alguno a través de http://www.xplico.org/download. Está liberado según GNU/GPL.

Un saludo,