CIS0910SD01 IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS MÓVILES INTELIGENTES

Autores: ANDREA ARIZA DÍAZ JUAN CAMILO RUÍZ CARO

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C. Diciembre de 2009

1    

IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS MÓVILES INTELIGENTES

Autores: ANDREA ARIZA DÍAZ JUAN CAMILO RUÍZ CARO

Trabajo de grado presentado para optar el título de Ingeniero de Sistemas

Director: Ingeniero Jeimy José Cano Martínez, PhD

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C. Diciembre de 2009 2    

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS

Rector Magnífico Padre Joaquín Emilio Sánchez García S.J. Decano Académico Facultad de Ingeniería Ingeniero Francisco Javier Rebolledo Muñoz Decano del Medio Universitario Facultad de Ingeniería Padre Sergio Bernal Restrepo S.J. Director Carrera de Ingeniería de Sistemas Ingeniero Luis Carlos Díaz Chaparro Director Departamento de Ingeniería de Sistemas Ingeniero Germán Alberto Chavarro Flórez

3    

Nota de Aceptación ______________________________________________________ ______________________________________________________ ______________________________________________________ ______________________________________________________ ________________________________________ Jeimy José Cano Martínez Director del Proyecto ________________________________________ María Isabel Serrano Gómez Jurado ________________________________________ Nelson Gómez de la Peña Jurado 4     .

Antes bien.Diciembre de 2009 Artículo 23 de la Resolución No. que se vean en ellos el anhelo de buscar la verdad y la Justicia” 5     . Sólo velará porque no se publique nada contrario al dogma y la moral católica y porque no contengan ataques o polémicas puramente personales. 1 de Junio de 1946 “La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado.

.22   Estructura lógica y física del iPhone ........................................   2....3.....1...................   2................   2..................................1........................................1.........2...   2.................1..........................   2.......................1.................1..........................................25   Software del iPhone...................................................................3.....................................1...........................................22   Especificaciones técnicas del iPhone .................3.......2.   1................2...3...........1.. Spoofing y Spamming .................................................1..............1..............................................................................35   Phishing...............................................   2.........................................................................................................................CONTENIDO ÍNDICE DE ILUSTRACIONES.....38   Inyección de mensajes cortos en teléfonos inteligentes................................................................................   1.....5.....................................24   Hardware del iPhone ......................34   2................4............................28   Tecnología de capas del iPhone OS .........................4...   2.........1............................2....3............................2.................................3..2..19   Conociendo el iPhone......................2....31   Estructura del volumen.30   Conceptos del núcleo........   2..............   2.......................1..........2.....................................1...........................   ¿Qué es el iPhone? ................17   1........................2.   2.............1.............................1..................................   2.........................................1....................2.........................................12   RESUMEN ...........................................36   Ataque directo .2........................................................................................18   REVISIÓN DE LITERATURA .2.................................   2.........2....13   1..................................2..............   1...................   2.................3.12   INTRODUCCIÓN ..................................3...........................................9   ÍNDICE DE TABLAS ...........................1...............18   Objetivos específicos.......................2........................17   Objetivo general .....1...2........................................................     ..................................................................................................11   ABSTRACT.   2..............................................   Problemas de seguridad en el iPhone 3G ..................   2..........................................1...................................19   2................................1................................................2.......41   6   2...3...........................................................35   Jailbreak ...........................................................................................4..............................................32   HFSX.....................................................2...................3............   Formulación ....................................................1...................27   El sistema operativo iPhone OS ..3.....................34   Zona de Metadatos .................3...........3..................2.................17   Justificación.......2....................................1.2........2.................30   HFS+ Básico ................................2......................   2..2...................................3.....   2.............   DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO .29   El sistema de archivos HFS+..........................

........3.....................1.............46   Modelos y procedimientos en una investigación forense digital .3.3...................1.........................................................3....   2..1.........48   Modelo forense Mandia (2003) .......................   2...........................XACT 4.........................45   Análisis de la evidencia .........3........................1...........................   2...........................................2......3....42   Informática forense clásica.   2.3...............2...................3........54   Informática forense en iPhone 3G .......3...........................1...........................3.3.................2................3.........44   Recolección de la evidencia ....48   Modelo forense digital abstracto (2002)...................3.........61   CellDEK ..............................2.......7.....1..3.....3.2...........3.......62   MEGA ..........3...........................   2.....1...............................................   3.......46   Consideraciones legales ...2.............1..57   Cellebrite UFED.........................................................50   Roles y funciones en una investigación forense digital ..................................1.....3....................49   Modelo de investigación digital integrado – IDIP (2003) .....2............3..................................................2......1..............   2......................................5.............   2....   2................   GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)......58   Paraben Device Seizure (DS) .............................   Informática forense en teléfonos inteligentes ............2.........48   Departamento de Justicia de Estados Unidos (2001).......2.....1..................1......................2..........1.....1..........................................4.60   .....2.................   2......44   Producción de la evidencia ..........43   Administración de evidencia digital ...........................47   Cualidades de un modelo forense.......................59   MDBackup Extract.....1............3....4..........61   iLiberty+............................2.........................1.   2...2........3...........   2......................1..........................................1.....46   Determinación de la relevancia de la evidencia.....................................1.....................................2.2..   2.....1...44   Diseño de la evidencia.   2............2...........................................3..3........................   2............6.......................   2............................1 ......................   2....3....2....2.....................3....   2...1...54   WOLF de Sixth Legion ..................................................................3....   2..................................................   2....4.......1........4.......2...........   2..............................1....3..................1....9........................1....3.....................................1...................................   2..............8...............   2......3......   2.................   2..63   2..2..3........1................6........................1.....   2..........................2......53   Usos de la informática forense ......   2..................3........................................45   Reporte y presentación ............................42   Evidencia digital.................XRY/........1................64   7     ....2...............1.................1....3..47   Modelos forenses existentes .......................1..................1......2........1..........1.......................5......2............3.........1......   2..............................   2..........1............1.......2..................2..1.............3.......59   MacLockPick II (MLP) .....................

..................71   Etapa de investigación digital........................................................................................................................................   3..2.....1.........................................   4.............84   REFERENCIAS......................................80   4....................................   Aplicación guía metodológica.............................70   4.....78   Etapa de presentación y revisión ....................   8................3..................3................................................64   Etapa de investigación física ...................................   5........................70   Etapa de investigación física ......................1................................70   4...............................................   3............   RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA........................................................................................................   4........   6.............................3.................2................4.   Escenario de prueba ..   3......70   Definición del ataque y herramientas ........   4..69   VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA..............................2.................................................83   TRABAJOS FUTUROS .......1...................................85   8     ................81   CONCLUSIONES ......................1.............................................2.   4..67   Etapa de presentación y revisión .....   7...........4................................................................................................2........................................................   Etapa de preparación e implementación.................................................   4......................................1.........................................64   Etapa de investigación digital..............................2.........................2.................70   Etapa de preparación e implementación .................................

........................................... Interacción iPhone OS...........................41   Ilustración 20................. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA [56] con sistema operativo Windows XP............................37   Ilustración 14... Partición del disco del iPhone......................... traducción libre de los autores ...36   Ilustración 13.................................. Ciclo administración de la evidencia digital [70] ........... traducción libre de los autores ........................ Modelo lógico del inyector SMS...40   Ilustración 18................................... Tomado de [43].......... Estado del Mercado Mundial de Dispositivos Móviles 2006-2007............................................... Tomado de [42]..................................................... Tomado de [4]................................. Ingreso de usuario y contraseña WinCSP Login ...... Tomado de [9].............................................................................................. Experiencia de Incidentes de Seguridad en las Organizaciones.....................................................................................42   Ilustración 21..................................................14   Ilustración 3............................................. Descarga automática de imágenes adjuntas desde iPhone Mail ........................ Ingreso datos para acceder al dispositivo por SSH........ iPhone Linksys................................15   Ilustración 5............ Tomado de [37].............................................................. Tecnología de capas del iPhone OS....... Tomado de [90].................................................21   Ilustración 7..... Fases de investigación física de la escena del crimen................................................49   Ilustración 23... Tomado de [3]...........................................................44   Ilustración 22............. Tomado de [7]..........................40   Ilustración 17.........................................................................37   Ilustración 15.............................. Modelo respuesta a incidentes Kevin Mandia.............. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008.... Desmontar iPhone desde iTunes ..............................71   Ilustración 28................ Acceso a ficheros del iPhone usando WinSCP Login .......................................... Porcentaje de Incidentes al Año en Organizaciones.................... Página falsa accedida por medio del iPhone 3G.............................................................................40   Ilustración 19.....27   Ilustración 9. traducción libre de los autores ......................... traducción libre de los autores ........73   Ilustración 30................................................51   Ilustración 25.....72   Ilustración 29......................................................38   Ilustración 16................................................................ Tomado de [37]..........34   Ilustración 12...............21   Ilustración 8...................................... Tomado de [42] ....... Estructura general del volumen HFS+... Foto computador portátil V3718LA no incautado........................................................ Escaneo de red y puertos abiertos con Zenmap...................................................... Tomado de [24] .......... Tomado de [80].....................29   Ilustración 10............................ traducción libre de los autores............................. iPhone 3G........... Foto de estado general de la escena del crimen..............................ÍNDICE DE ILUSTRACIONES Ilustración 1..... traducción libre de los autores ............................ traducción libre de los autores ....73   9     .. ROKR..... traducción libre de los autores...................... ........................................... traducción libre de los autores ........................................15   Ilustración 4.......................................... Foto router Linksys no incautado ............................................ Tomado de [37].....................52   Ilustración 26...........................................29   Ilustración 11................................... traducción libre de los autores...13   Ilustración 2................. traducción libre de los autores .........................................20   Ilustración 6................... Recorte de URL en la aplicación iPhone Mail ... Fases de investigación digital de la escena del crimen. Tomado de [7].......... traducción libre de los autores....... Tomado de [101] ........ Fases del modelo IDIP..... Foto cable USB incautado.51   Ilustración 24...............................................................65   Ilustración 27.. Tomado de [19] ............

. Foto iPhone 3G incautado ..........................................................................................................73   Ilustración 33...73   Ilustración 32........................................................................................ Foto adaptador de corriente incautado ......................77   10     ..................... Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática ....................................................................Ilustración 31........

...............................................ÍNDICE DE TABLAS Tabla 1....................................................16   Tabla 2.76   Tabla 10.................................... traducción libre de los autores ........ Registro de cadena de custodia diligenciado.......... traducción libre de los autores ................................................. Tomado de [23].......................................................26   Tabla 5................. traducción libre de los autores ...........77   11     ........................................... Formulario de identificación del dispositivo vulnerado diligenciado .72   Tabla 9.............. Hardware iPhone 3G..... Formato documentación escena del crimen diligenciado ................ Hardware iPhone primeras generaciones........ Asignación de roles ................... Características HFS+ [43]............. Especificaciones Técnicas del iPhone [21] ....... Tomado de [7]..............71   Tabla 8............................ Tomado de [5]........... traducción libre de los autores..................70   Tabla 7.......................... Formato actuación primer respondiente diligenciado .......... Porcentaje Anual de Incidentes Sobre Dispositivos Móviles......................25   Tabla 4...24   Tabla 3.31   Tabla 6.....................................................................

the common and the corporate users. razón por la que igualmente. As a consequence of its popularity. which offers integrated services of cell phone. Therefore this work. such as a computer. RESUMEN En la actualidad. the iPhone is now considered as a working tool. proponiendo un protocolo de análisis que ayude a formalizar los procedimientos al momento de realizar este tipo de investigaciones en un iPhone 3G. in which sensitive information is stored. mobile telephony has become very popular world wide due to it’s wide range of functionality. presents an analysis protocol which helps in the formalization of procedures in iPhone 3G forensic investigations. Como consecuencia de su popularidad ha logrado convertirse en una herramienta de trabajo en la cual se almacena información sensible. combined with its mobile capacity that offer to final users. gracias a los servicios integrados de teléfono celular. En este escenario se encuentra el iPhone el cual. ha alcanzado gran aceptación tanto para el usuario común como para los usuarios corporativos. Por lo tanto este trabajo de grado. attacks to its vulnerabilities grow too. music player and Web browser features. As its popularity grows. presenta un aporte a la informática forense orientada a dispositivos móviles. 12     . se han incrementado los ataques a las vulnerabilidades que el dispositivo presenta. as a contribution to mobile forensics. In this scenario appears the iPhone. It has achieved great user acceptance for both. la telefonía móvil ha adquirido gran popularidad en el mundo entero debido a las características de portabilidad y usabilidad que ofrece a sus clientes.ABSTRACT Now days. reproductor de música y navegador web.

Existe gran variedad de gamas de dispositivos móviles. esto gracias a la innovación en cuanto a diseño e interfaz de usuario que soporta [3]. realiza anualmente una investigación acerca del estado del mercado de los dispositivos móviles inteligentes. siendo así. Canalys estimó que Apple en el 2007 tomó el 28% del mercado de dispositivos móviles de EE. Tomado de [3]. debido a su capacidad tanto para realizar llamadas como para navegar por Internet con el objetivo de intercambiar información a través de diferentes enlaces y además porque permiten desarrollar y ejecutar aplicaciones que no necesariamente son incluidas por el fabricante [2]. y desde hace aproximadamente diez años. Ilustración 1.UU [3]. Las investigaciones indican que en el 2007 los teléfonos móviles inteligentes representaron el 10% del mercado mundial de telefonía móvil por unidades. con un crecimiento anual del 60%. Canalys.   13     . principalmente por su facilidad de uso y la propiedad de mantener en contacto permanente a sus usuarios. empresa que realiza análisis expertos de la industria de alta tecnología. traducción libre de los autores De los resultados observados anteriormente cabe rescatar que Apple1 se introdujo en el mercado en tercer lugar con el dispositivo móvil iPhone.                                                                                                                           1  Empresa  estadounidense  de  tecnología  informática.INTRODUCCIÓN Según [1] en la actualidad. el empleo de dispositivos móviles se ha incrementado notablemente. uno de los segmentos de más rápido crecimiento en la industria de la tecnología (Ver Ilustración 1) [3]. por lo cual se ha generado un cambio significativo en la forma en que las personas se comunican. dentro de los cuales el mayor crecimiento en popularidad y uso se presenta en los dispositivos móviles inteligentes. En los dos últimos años (2007-2008) se ha presentado el mayor crecimiento en el uso de estos dispositivos comparándolo con años anteriores. “El uso de sistemas de telecomunicaciones móviles en todo el mundo ha llegado a proporciones casi epidémicas”. pero también por su proliferación se ha incrementado su uso en actividades de orden delictivo. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007.

y cuyo objetivo principal es conocer si las mejores prácticas de seguridad informática implantadas producen resultados. Tomado de [4]. gracias a su uso en organizaciones y al uso de las personas en su vida cotidiana. los resultados que se obtuvieron en el 2008 se pueden ver en la Ilustración 3. traducción libre de los autores De lo anterior. Apple se posicionó en el segundo lugar de ventas de dispositivos móviles inteligentes [4]. los cuales son más fáciles de realizar y son más lucrativos para quienes los desarrollan y llevan a cabo. La encuesta año tras año se encarga de preguntar qué tipo de incidentes se presentan dentro de las organizaciones. Un tipo de estos ataques. Al alcanzar tanta popularidad en el mercado mundial de dispositivos móviles y por la variedad de funcionalidades que ofrecen los teléfonos inteligentes. son los llamados ataques fuertes. con la llegada del iPhone 3G al mercado. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. no solo a nivel de dispositivos móviles sino a nivel de cualquier otro sistema informático dentro de una organización [7]. Su amplio rango de funcionalidades. Anualmente el Instituto de Seguridad Informática CSI (Computer Security Institute) [6] publica reporte llamado CSI Computer Crime and Security Survey [5] en el cual se realiza un análisis de la situación actual de la seguridad informática y del crimen cibernético de las organizaciones participantes de la encuesta (alrededor de 522 organizaciones). también se han incrementado notablemente los ataques a las vulnerabilidades que ellos presentan. 14     .Las investigaciones realizadas en el 2008 indican que los teléfonos móviles inteligentes representaron el 13% del mercado mundial de telefonía móvil por unidades (Ver Ilustración 2). Ilustración 2. De tal manera que el iPhone 3G se ha convertido rápidamente en líder en el mercado de dispositivos móviles. combinado con el hecho de ser móvil permite que sea considerado como una oficina móvil o como un computador en sí [5].

traducción libre de los autores Además. Tabla 1 Robo/Pérdida de información de propietarios De dispositivos móviles De todas las otras fuentes Robo/Pérdida de datos de clientes 17% 2004 10% 2005 9% 2006 9% 2007 8% 2008 9% 4% 5% 17% 15     . el número de incidentes que se presentan sigue siendo grande. una de las razones por las cuales su popularidad ha aumentado al igual que los incidentes de inseguridad (robo de información de propietarios y pérdida de datos de clientes) que ocurren sobre ellos (Ver Tabla 1) [8]. Pero aún así. el uso de dispositivos móviles inteligentes dentro de estas se ha incrementado notablemente. Tomado de [7]. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7]. pues hay gran cantidad de ellos que no son detectados [8]. Ilustración 4. Experiencia de Incidentes de Seguridad en las Organizaciones.Ilustración 3. traducción libre de los autores Es rescatable que año tras año la cifra se reduce en una proporción considerable (Ver Ilustración 4) debido a que las organizaciones advierten la necesidad de invertir presupuesto en la seguridad informática. debido a la necesidad de movilidad dentro de las organizaciones y la necesidad de poder tener la información necesaria disponible en cualquier lugar y en cualquier momento.

Tomado de [7].De dispositivos móviles De todas las otras fuentes 8% 8% Tabla 1. su operación estará comprometida en cierto nivel [5]. el análisis forense sobre dispositivos móviles inteligentes y específicamente sobre iPhone. pues el hecho que haya utilizado este dispositivo para cometer el ataque implicará que se siga un procedimiento estándar establecido para la realizar la investigación. En la actualidad existen una gran cantidad de proveedores y de fabricantes de dispositivos móviles inteligentes lo que produce heterogeneidad en todo sentido en el campo de la informática forense. Como se mencionó anteriormente el iPhone 3G es uno de los teléfonos móviles más populares en el mercado. de proveedor a proveedor. de analista a analista. y el personal de muchas organizaciones lo utiliza para manejar información sensible de la misma. la legalidad y la admisibilidad del proceso seguido para obtener evidencia puede variar de jurisdicción en jurisdicción [9]. de tal manera que los fabricantes crean sus propios protocolos para este propósito [2]. traducción libre de los autores “Gran porcentaje de los encuestados intenta realizar la identificación del perpetrador de los ataques. es decir. puede ser admitido o no. control. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Este es uno de los objetivos principales de la informática forense ya que ésta disciplina es la encargada de recuperar y recolectar evidencia digital del sistema vulnerado para lograr identificar la acción realizada y demás detalles del ataque efectuado” [8]. 16     . por su amplio rango de funcionalidades que hace que sea considerado como una oficina móvil [5]. convirtiéndose rápidamente en líder de ventas a nivel mundial. Por tal razón las investigaciones forenses sobre este tipo de dispositivos es considerada un área de investigación reciente. análisis y presentación de las evidencias. es un campo relativamente nuevo y los procedimientos y las normas no se han completado. Por ejemplo si un criminal utiliza un iPhone para llevar a cabo algún tipo de ataque. Es más fácil y debe ser más importante para lograr la identificación de estos perpetradores. A diferencia de la informática forense clásica. dependiendo de lo que considere el juez que lleve el caso y la formalidad con que se desarrolle el procedimiento de recolección. especialmente en las herramientas que se utilizan para obtener evidencia de los dispositivos en una investigación forense. monitorear los terminales de comunicación que la comunicación en si misma. por lo cual un análisis forense que se lleve a cabo sobre un dispositivo como este. Es en esencia un computador.

pero no existen procedimientos formalizados para realizar este tipo de análisis específicamente sobre este dispositivo. Formulación Actualmente la información almacenada en cualquier computador y/o dispositivo móvil puede considerarse como el activo de información más valioso para cualquier organización e incluso para cualquier persona del común. frecuentemente la aparición de nuevas tecnologías y la heterogeneidad que estas presentan.   2 17     . donde podemos tener acceso a dispositivos móviles como el iPhone 3G.  para  luego  usar  dichas  evidencias  como  elemento  material  probatorio  en  un  proceso   judicial  [34]  [14]. esta investigación trata de dar respuesta a la pregunta: ¿Qué pasos se deben seguir para realizar un análisis forense sobre un iPhone con tecnología 3G luego de ser víctima de un ataque? 1.  una  banda  base  y  una  pila  de  protocolos  [11]. que en esencia tiene las mismas características de un computador y permite almacenar y transferir varios tipos de información en el momento y lugar deseado por el usuario [5] [16]. registro de llamadas.  preservar. Por tanto. información valiosa al momento de realizar un análisis forense en una escena del crimen donde se encuentre un iPhone 3G [13]. Por otra parte debido a su gran popularidad y la importancia de la información que almacenan y transmiten.  documentar  e  interpretar  [5]  pruebas  o  evidencias   procedentes   de   fuentes   digitales   con   el   fin   de   facilitar   la   reconstrucción   de   los   hechos   encontrados   en   la   escena  del  crimen  [36].   4  La  informática  forense  es  una  rama  de  las  ciencias  forenses.  por  medio  de  un  transmisor  RF.  que  involucra  la  aplicación  de  la  metodología  y   la  ciencia  para  identificar.  recuperar. imágenes. DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO 1. Por consiguiente. esto debido a que se tiene como base los procedimientos realizados en la informática forense clásica4. contactos telefónicos. el constante desarrollo de las tecnologías móviles ha permitido aumentar la portabilidad de la información.  extraer. Esto se ve reflejado con la llegada de la tercera generación de telefonía móvil. historial de páginas web visitadas. como mensajes de texto.2. En consecuencia uno de los retos que enfrenta actualmente la computación forense es realizar análisis forense sobre dispositivos móviles y en el caso de esta investigación específicamente sobre el iPhone 3G. y teniendo en cuenta lo anterior. Con los métodos de comunicación que existen actualmente como la red wireless2 o tecnologías de corto alcance como Bluetooth3 se puede hacer uso de la información y compartir la misma de manera eficiente sin necesidad de encontrarse en una estación de trabajo fija conectada a algún medio físico. Justificación Se ha evidenciado que si bien el investigador forense tiende a seguir una metodología para realizar un análisis. estos dispositivos pueden ser víctimas de ataques criminales que buscan afectar la integridad. mensajes multimedia.   3   Tecnología   que   consiste   en   la   comunicación   entre   dos   o   más   dispositivos   sin   la   intervención   de   cables   (Wireless). sonidos y correos electrónicos [12].1.1. no permiten que el seguimiento sea estricto y que varíen los procedimientos que se                                                                                                                           Tecnología   inalámbrica   que   provee   a   las   computadoras   y   otros   dispositivos   comunicación   sin   tener   que   estar  conectadas  a  algún  medio  físico  [10]. confiabilidad y disponibilidad de la información que estos administran.

Por otra parte. En la segunda fase de la investigación se propondrá una guía metodológica donde se definirá el proceso especializado en la obtención de detalles de incidentes ocurridos en un iPhone 3G. y al crecimiento tecnológico y popularidad alcanzada. luego de su aplicación en casos concretos de ataques sobre iPhone 3G. 1. Probar la guía metodológica propuesta. Analizar los modelos actuales de la informática forense clásica orientada a dispositivos móviles iPhone 3G. 18     . definiendo el proceso de análisis forense sobre iPhone 3G. Diseñar una guía metodológica. además de probar escenarios reales en incidentes de seguridad informática sobre el dispositivo.utilizan. perteneciente a una de las áreas que requiere hoy en día mas investigación y profundización [14]. presentan características particulares que facilitan o dificultan algunas actividades necesarias en el proceso de análisis de datos. Identificar los problemas de seguridad de la información del iPhone 3G. debido a que los procedimientos y las normas para su análisis aún se encuentran en desarrollo. 1. la variedad de herramientas de análisis de datos que existen. Caracterizar los tipos de ataques y herramientas forenses orientadas a iPhone 3G existentes hasta el momento.4. Este documento establece un conjunto de elementos conceptuales y aplicados sobre el dispositivo móvil iPhone 3G.3. • • • • • • Objetivos específicos Identificar las características físicas y funcionales del iPhone 3G. Objetivo general Desarrollar una guía metodológica para realizar análisis forense sobre dispositivos móviles luego de ser víctima de un ataque (Caso de estudio: iPhone 3G).

 que     permite  determinar  en  todo  el  mundo  la  posición  de  un  objeto.   empresa   norte   americana   que   se   caracteriza   por   producir   computadores. la cual se diferencia de la segunda principalmente por hacer uso de la tercera generación de telefonía móvil y por tener nuevas funcionalidades como GPS7 [29] (Ver sección 2. debido la llegada al mercado de los teléfonos inteligentes que unían la posibilidad de tener un teléfono celular y escuchar música en el mismo dispositivo [17].  caracterizado  por  ser  una  biblioteca  multimedia  digital  [28]   7  Sistema  de  posicionamiento  global. se lanzó al mercado el ROKR (Ver Ilustración 5). este producto no fue exitoso. pero sin importar estos inconvenientes Apple comenzó a registrar la marca de iPhone en varios países como Singapur y Australia [19]. En la actualidad existen 2 generaciones.1.  que  reproduce  música  digital  y  sincroniza  el  contenido   del  iPod. La velocidad de las redes no permitirían crear un dispositivo móvil que accediera de manera eficiente a internet. un iPod6 de pantalla ancha y un innovador dispositivo de internet que permite navegar en la web.  impresoras.   8  Inicialmente  fueron  una  solución  que  se  dio  a  la  necesidad  de  interconexión  entre  personal  de  empresas   [20]   9  Aplicación  para  MAC  y  computadores  personales. un BlackBerry8 y un reproductor de música.  un  vehículo  o  una  nave. debido a que hasta ese momento los usuarios adquirían cada uno de estos por separado. la generación más reciente de estos dispositivos es llamada iPhone 3G. vio la necesidad de crear un dispositivo que uniera las características propias de un teléfono celular. Según [16]. pero tenía algunos inconvenientes. gráficos y las funciones de un teléfono celular. Para esa época la idea de Steve Jobs era buena.  con  una  precisión  hasta  de  centímetros.. recibir correos electrónicos con HTML enriquecido y navegación web completa [27]. con el objetivo de aumentar la comodidad al momento de utilizar estos productos. Conociendo el iPhone). y además Apple tuvo que crear un sistema operativo completamente nuevo. en este año Motorola había lanzado al mercado su teléfono celular RAZR.  portátiles.  iPhone  y  Apple  TV  [22]   5 19     . resultado de la alianza entre Apple y Motorola. teléfono celular llamado “un iPod Shuffle en tu teléfono” por Steve Jobs [18]. En el 2004 la popularidad del iPod disminuyó. cuando el presidente de Apple. ¿Qué es el iPhone? El iPhone es un dispositivo móvil creado por Apple5.  cámaras  y  sistemas  operativos  con  tecnología  innovadora  por  más  de   30  años  [9]   6  Reproductor  de  música  creado  por  Apple  Inc. ya que tenía problemas de capacidad al solo poder almacenar 100                                                                                                                             Formalmente   Apple   Computer   Inc.. En septiembre de 2005.1. debido a que el sistema operativo del iPod no era suficientemente sofisticado para manejar redes.2. caracterizado principalmente por combinar tres productos en uno: un teléfono revolucionario.1.   una  persona. Al ver la popularidad de este dispositivo Steve Jobs se alió con Motorola para crear un teléfono celular innovador que uniera las funcionalidades del iTunes9 con un teléfono celular [16]. la historia del iPhone comienza en el año 2002 poco tiempo después de haber sido lanzado al mercado el reproductor de música iPod (Ver Anexo 1). Steve Jobs. REVISIÓN DE LITERATURA 2.

Por tal razón. ROKR. el software y hardware del iPhone se desarrolló en diferentes equipos de trabajo.canciones. En ese momento Jobs estaba confiado de los resultados que podría obtener. En Noviembre del mismo año. lanzó al mercado su teléfono celular llamado iPhone (Ver Ilustración 6). Tomado de [19] En octubre de ese año. Apple consiguió la patente del iPhone y un mes después cuando los ingenieros de Apple seguían trabajando en el prototipo del iPhone. pero luego de un mes las dos partes llegaron a un acuerdo que consistía en compartir el nombre. un computador y un iPod [16]. luego del fracaso del ROKR. Internamente en Apple. ya que los ingenieros de Apple habían trabajado aproximadamente un año en la tecnología de pantalla táctil para los monitores de los computadores de escritorio MAC y gracias al lanzamiento del microprocesador ARM. 20     . nombre adquirido por ellos desde el año 2000 [19]. dando a conocer que Apple tenía la tecnología necesaria para construir un dispositivo revolucionario. los equipos se reunieron para unir estas dos partes [16]. Steve Jobs se reunió con los directivos de Cingular (AT&T desde diciembre del 2006). y faltando pocos meses para su lanzamiento. finalmente el procesador del teléfono podía ser más eficiente para un dispositivo que tenía como objetivo combinar la funcionalidad de un teléfono celular. no se podían descargar canciones directamente desde iTunes y su apariencia física no era agradable [17] [18]. Ilustración 5. a comienzos del 2007 Cisco demandó a Apple por haber patentado el dispositivo con el nombre “iPhone”. este proyecto fue conocido como P2 (Purple 2). El diseño y construcción del iPhone comenzó a mediados del 2006. Linksys adquirido por Cisco. y estaba dispuesto a considerar un acuerdo de exclusividad con esta empresa de telefonía [17].

sin embargo. iPhone 3G. Conociendo el iPhone).1. Tomado de [24]                                                                                                                           10  Evento  usado  por  Apple  para  promocionar  sus  productos  más  importantes  [16]   21     . Durante la segunda mitad del 2007 Apple se dedicó a perfeccionar las aplicaciones del iPhone y a crear varias gamas del mismo dispositivo. Luego de 6 meses de espera. el 29 de Junio de 2007 se realizó el lanzamiento oficial del iPhone al mercado. antes que Cisco instaurara la demanda contra Apple por el nombre del iPhone. que en pocos meses sería el lanzamiento oficial de la primera generación del dispositivo [19].1. Ilustración 7. Steve Jobs anunció en el MacWorld10 de ese año. iPhone Linksys.Ilustración 6. estos problemas se fueron solucionando a través de las actualizaciones de software. Aunque el dispositivo tuvo gran acogida por parte de los usuarios. dispositivo conocido como iPhone 3G [16] [19] (Ver Ilustración 7). se perdían las llamadas y no se podían ejecutar programas hechos en Flash o Java. Tomado de [101] En enero de 2007. y finalmente el 11 de Julio de 2008 fue lanzado al mercado la segunda generación de iPhone. tenía problemas al cargar la batería. caracterizado por hacer uso de la tercera generación de tecnología móvil (Ver sección 2.

2. Las principales funciones del primer iPhone fueron: • • • • Comunicación celular Acceso Web Correo electrónico Asistente personal de datos (PDA)  Calendario  Agenda  Notas Conexión con iTunes y YouTube11 • La segunda generación de iPhone presenta más funcionalidades como servicios de GPS. De la segunda generación se lanzaron modelos con las mismas capacidades. video. el GPS14.   14  Sistema  de  Posicionamiento  Global   11 22     .1. el modelo de 4 GB fue descontinuado del mercado dos meses después de su lanzamiento. es capaz de manejar rutas y localizar servicios a través de la función de Google Map. que pueden ser vinculados con Google Maps12 para indicarle al usuario su ubicación exacta. Debido a lo anterior el iPhone puede actuar como cualquier dispositivo GPS. Existen 19 categorías diferentes de aplicaciones para descargar directamente al iPhone ya sea vía App Store o iTunes. De la primera generación se lanzaron modelos con capacidad de almacenamiento de 4 GB y 8 GB.com/t/about   12  Servicio  gratuito  de  Google  que  ofrece  un  servidor  de  aplicaciones  de  mapas  web. han podido hacer lo que el iPhone es capaz de hacer desde hace mucho tiempo. Cuando el iPhone 3G se introdujo en el mercado presentaba problemas con esta funcionalidad.1. Conociendo el iPhone Diferentes dispositivos móviles. con la actualización 2. Otra funcionalidad permitió el acceso a la App Store13 tanto para iPhones de primera generación como para iPhones de segunda generación. estos problemas se resolvieron.   dispositivos   móviles. por lo cual se lanzó el modelo de 16 GB de capacidad de almacenamiento.youtube. Según [9]. 2.1 sobre el software del mismo.1.2. es decir. y añade mas funcionalidades [9]. Especificaciones técnicas del iPhone La Tabla 2 muestra las especificaciones técnicas tanto del iPhone clásico como las del iPhone 3G.                                                                                                                             Sitio   web   diseñado   para   cargar   y   compartir   videos   en   Internet   a   través   de   sitios   web.   blogs  y  correo  electrónico. audio. lo cual permite que el tamaño de la pantalla sea superior a cualquier otro dispositivo permitiendo que la visualización de películas. Actualmente existen dos generaciones de iPhone. fotos y el navegar por la web se pueda realizar de manera mas sencilla y cómoda. es su diseño de pantalla táctil con un teclado virtual. dichas aplicaciones pueden utilizar algunas características del iPhone como el acelerómetro.  http://www. lo que lo diferencia de los demás y ha logrado hacerlo tan popular en el mercado de la tecnología móvil. la diferencia radica en que el iPhone de segunda generación utiliza tecnología 3G (dispositivo de comunicación celular de tercera generación). herramientas de productividad y juegos [9].   13  Mercado  para  aplicaciones  con  costo  o  gratis  que  se  pueden  ejecutar  sobre  el  iPhone. sin embargo. incluyendo celulares.

30 cuadros por segundo. 48kHz. portugués (Portugal). • Conector base de 30 pines • Mini-conector estéreo para auriculares de 3. y 4). 48kHz.mp4 y . francés (Canadá). • Soporte de teclado internacional y diccionario para inglés (Estados Unidos). MP3 VBR. AIFF. 3. . finés. italiano.m4v.5 mm / 115 mm* • Ancho: 62.0 + EDR Formatos de video soportados: video H. 30 cuadros por segundo.3mm • Altavoz incorporado • Micrófono • Bandeja para tarjeta SIM • Volumen (subida/bajada) • Botón Home • Timbre/Silencio • Temporizador encendido y apagado • Acelerómetro • Sensor de proximidad 23     . 8GB o 16 GB • Modelo de 8GB: Negro • Modelo de 16GB: Negro* o Blanco • Pantalla ancha de 3. italiano. . noruego. inglés (Reino Unido). video H.3 mm / 11. 640 por 480 píxeles. 2100 MHz) / No lo soporta* • GSM/EDGE (850.0 Mega pixeles • Rotulado geográfico de fotos • Integración con aplicaciones del iPhone y de terceros • Soporte de idiomas para inglés. . video MPEG-4. Simple Profile con audio AAC-LC de hasta 160 Kbps.264 Baseline Profile con audio AAC-LC de hasta 160 Kbps. chino tradicional.5 Mbps.5 Mbps. alemán. chino simplificado. español. polaco. 1800. alemán. 320 por 240 píxeles.3 con audio AAC-LC de hasta 160 Kbps. chino simplificado. 48kHz. hasta 1.m4v. y WAV • Límite de volumen máximo configurable por el usuario • UMTS/HSDPA (850.264. coreano (sin diccionario). 1900 MHz) • Wi-Fi (802. versión de Baja Complejidad del H.6 mm* • Peso: 133 g / 135 g* Disco flash de 4GB*. danés. holandés. hasta 2. finés. holandés. AAC Protegido. ruso.5 pulgadas (diagonales) con Multi-Toque • Resolución de 480x320 pixeles a 163 ppi • Soporte para mostrar múltiples lenguajes y caracteres simultáneamente • Respuesta de frecuencia: 20Hz a 20.mp4 y . 640 por 480 píxeles. ruso. japonés. portugués (Brasil). coreano. 900.000Hz • Formatos de audio soportados: AAC. noruego.1 mm / 61 mm* • Fondo: 12. español. Audible (formatos 2. sueco. polaco. sueco. Apple Lossless. portugués. 1900. danés.mov.mov GPS Asistido / No lo soporta* • 2. francés (Francia).mp4 y .mov file. turco y ucraniano. hasta 768 Kbps. audio estéreo en formatos de archivo . francés. audio estéreo en formatos de archivo .264. 30 cuadros por segundo. japonés.m4v. Baseline Profile hasta Nivel 1. chino tradicional.11b/g) • Bluetooth 2.Característica Dimensiones y peso Capacidad Color Pantalla Audio Telefonía y conectividad inalámbrica Video GPS Cámara y fotos Soporte para idiomas Conectores y entradas /salidas Botones y controles externos Sensores Especificación • Alto: 115. MP3. turco y ucraniano. audio estéreo en formatos de archivo .

000 pies (3000 m) Tabla 2. incluso por mucho mas tiempo que lo que un computador de escritorio podría hacerlo [5].5 (Leopard) que es similar a la versión del sistema operativo MAC para computadores portátiles y de escritorio [5].1. Especificaciones Técnicas del iPhone [21] *Características soportadas únicamente por el iPhone de primera generación 2. aunque modelos diferentes se han lanzado.0 Windows Vista. Estructura lógica y física del iPhone Como se mencionó anteriormente. el iPhone es un teléfono inteligente que integra funcionalidades de iPod y teléfono celular.7 o posterior Computadora PC con puerto USB 2. pero que aún conservan son: • Arquitectura ARM: el iPhone utiliza arquitectura de procesador ARM15 (Máquina RISC avanzada) Hardware: hardware especial fue añadido al iPhone. y varios radios incluyendo GSM.3.0 Mac OS X v10. Las características principales.4. Es en esencia un computador ejecutando una versión del sistema operativo Leopard UNIX OS de Apple. Sensores como el acelerómetro y el sensor de proximidad. diseñado principalmente para minimizar las escrituras sobre la memoria flash. o Windows XP Home o Professional con Service Pack 2 o posterior iTunes 7. •                                                                                                                           15  Familia  de  microprocesadores  RISC   24     .7 o posterior Temperatura de funcionamiento: 0° a 35° C Temperatura apagado: -20° a 45° C Humedad relativa: 5% a 95% no condensada Altitud de funcionamiento máxima: 10. El iPhone ejecuta una versión móvil de MAC OS X 10.Energía y batería • • • • • Requerimientos de sistema para Mac Requerimientos de sistema para Windows • • • • • • • • • • • • Requerimientos ambientales Sensor de luz ambiente Batería de litio-ion recargable incorporada Carga a través de un puerto USB de la computadora o del adaptador de corriente Tiempo de conversación:  Hasta 5 horas con 3G / No lo soporta*  Hasta 10 horas con 2G / Hasta 8 horas*  Tiempo en espera activa: Hasta 300 horas / Hasta 250 horas* Uso en Internet:  Hasta 5 horas con 3G / No lo soporta*  Hasta 6 horas con Wi-Fi / Hasta 6 horas* Reproducción de Video: Hasta 7 horas Reproducción de Audio: Hasta 24 horas Computadora Mac con puerto USB 2. de forma tal que se puede conservar y preservar datos por periodos largos de tiempo.10 o posterior iTunes 7. pantalla multi-toque. Wi-Fi16 y Bluetooth.

• 2.   18  Amplificador  de  señales  UMTS   25     .• Interfaz de usuario: Apple acondicionó controles amigables para el contacto.1. Kernel: usa un núcleo firmado diseñado para prevenir su manipulación. package-onpackage. Como cualquier dispositivo electrónico complejo. Debido a la las múltiples características que este dispositivo posee la lista de componentes es extensa como se puede ver en las siguientes tablas. el iPhone es una colección de módulos.  que   permite  la  mejora  de  transmisión  de  datos  como  una  extensión  en  la  parte  superior  de  la  norma  GSM  [96]. traducción libre de los autores Los componentes que se muestran en la Tabla 4 pertenecen al modelo 3G. 128 Mbytes of stacked. 4GB (K9HBG08U1M) MLC NAND Flash SKY77340-13 Signal Amplifier 90-nm 88W8686 BCM5973A PF38F1030W0YTQ2 (32 MB NOR + 16 MB SRAM) WM8758 BlueCore 4 LPC2221/02992 Tabla 3. chips y otros componentes electrónicos de diferentes fabricantes [23].3.   17  Es  una  tecnología  compatible  con  versiones  anteriores  de  tecnología  digital  de  telefonía  móvil. Función Unidad central de procesamiento (CPU) EDGE17 GSM Disco Amplificador Tarjeta de red inalámbrica Controlador en Entrada/Salida Memoria Flash Procesador de audio Bluetooth Pantalla táctil Fabricante Samsung Infineon Infineon Samsung Skyworks Marvell Broadcom Intel Wolfson CSR Phillips Modelo ARM S5L890DB01 512 Mbit SRAM PMB8876 S-Gold 2 EDGE Baseband Processor M1817A11 GSM RF Transceiver 65-nm 8/16 GB (K9MCG08U5M).11  [95]. Los componentes que se muestran en la Tabla 3 se conservaron para todos los modelos de la primera generación. Función Unidad central de procesamiento (CPU) Aceleración Gráfica 3D Amplificador de potencia UMTS18 16 Fabricante Samsung Tecnologías Imagination TriQuint Modelo S5L8900B01 – 412 MHz ARM1176Z(F)-S RISC.   los   dispositivos   basados   en   los   estándares  IEEE  802. DDR SDRAM Power VR MBX Lite TQM676031 – Band 1 – HSUPA TQM666032 – Band 2 – HSUPA                                                                                                                                                                                                                                                                                                                                                                                     Es   una   marca   registrada   de   Wi-­‐Fi   Alliance   que   pueden   utilizarse   con   productos   certificados   que   pertenecen   a   una   clase   de   red   inalámbrica   de   área   local   inalámbrica   (WLAN). Hardware iPhone primeras generaciones. Hardware del iPhone Aunque los primeros modelos del iPhone tuvieron variaciones.1. además de interfaces que se acomodaran al hardware multi-toque implantado en forma de páginas y no de ventanas como lo maneja la versión del sistema operativo de escritorio. Tomado de [5].

Procesador Base: es el componente del iPhone que gestiona todas las funciones que requiere la antena (servicios celulares). Tomado de [23]. La CPU ejecuta a una tasa de reloj más baja que la especificada por el fabricante. Wi-fi y BT Gestor de comunicaciones Gestor a nivel de sistema Cargador de batería / controlador USB GPS Flash NAND Chip flash serial Acelerómetro Wi-Fi Bluetooth Codec de audio Controlador de la pantalla táctil Interfaz de enlace con la pantalla Controlador de línea de pantalla táctil Infineon Infineon Numonyx Skyworks NXP Infineon NXP Tecnología Linear Infineon Toshiba SST ST Microelectronics Marvell CSR Wolfson Broadcom National Semiconductor Texas Instruments TQM616035 – Band 5/6 .   presentadas   en   un   reducido   número   de   formatos.   21   Memoria   que   permite   que   múltiples   posiciones   de   memoria   sean   escritas   o   borradas   en   una   misma   operación  de  programación  mediante  impulsos  eléctricos.to 915-MHz) OM3805.   20  Memoria  de  acceso  aleatorio  desde  donde  el  procesador  recibe  las  instrucciones  y  guarda  los  resultados.16 Mbytes of NOR flash y 8 Mbytes of pseudo-SRAM SKY77340 (824.Transceptor UMTS Procesador Base Memoria base de apoyo Amplificador de cuatro bandas GSM / EDGE Antena GPS. esto para extender la vida útil de la batería [23].   19 26     . Hardware iPhone 3G. El Wi-Fi y el Bluetooth son •                                                                                                                            Es  un  tipo  de  microprocesador  con  las  siguientes  características  fundamentales:  Instrucciones  de  tamaño   fijo. a variant of PCF50635/33 SMARTi Power 3i (SMP3i) PCF50633 LTC4088-2 PMB2525 Hammerhead II TH58G6D1DTG80 (8 GB NAND Flash) SST25VF080B (1 MB) LIS331 DL 88W8686 BlueCore6-ROM WM6180C BCM5974 LM2512AA Mobile Pixel Link CD3239 Tabla 4. como recurso de la CPU principal. El procesador base tiene su propia memoria RAM20 y firmware en flash NOR21.WCDMA/HSUPA PA-duplexer PMB 6272 GSM/EDGE and WCDMA PMB 5701 X-Gold 608 (PMB 8878) PF38F3050M0Y0CE . traducción libre de los autores A continuación se presenta una breve descripción del funcionamiento de dos de los componentes más importantes del iPhone: • Unidad central de procesamiento (CPU): es una unidad de procesamiento RISC19 que ejecuta el núcleo de los procesos del iPhone y trabaja conjuntamente con el coprocesador PowerVR para la aceleración de gráficos.   Sólo   las   instrucciones   de   carga   y   almacenamiento   acceden  a  la  memoria  por  datos. se ejecuta a 412 MHz de 667 MHz posibles.

Los orígenes del iPhone provienen del iPod y del Apple TV. fotos. y es donde se encuentran todas las aplicaciones que vienen por defecto en el iPhone. el iPhone está configurado con dos particiones de disco que no residen en una unidad de disco física debido a que utiliza una NAND flash25 de estado sólido que es tratada como un disco de almacenamiento. Allí se almacenan una tabla de particiones y un formato de sistema de archivos. seguida de la segunda partición que se divide en dos: una parte HFSX27 que en un principio almacena el sistema operativo. traducción libre de los autores                                                                                                                            Es  un  identificador  de  48  bits  que  corresponde  de  forma  única  a  un  dispositivo.com/es/appletv/whatis. videos. información de contactos. que cuentan con dos particiones: una únicamente para operación y otra únicamente para almacenamiento (Ver Ilustración 8). y usa el sistema de archivos HFSX.3. • Primera Partición: el tamaño de la primera partición está generalmente entre los 300MB y los 500MB. Software del iPhone Según [5] y [9]. entre otros.   23 22 27     .html   25     Memorias   que   usan   un   túnel   de   inyección   para   la   escritura   y   para   el   borrado   un   túnel   de   ‘soltado’. donde se almacena música. el esquema de partición del disco de un iPhone se asemeja al de un Apple TV24.   http://www. otra área libre Apple_Free area. Tomado de [9]. Aunque el esquema de partición es diferente.  visualizar  fotos  en  HD  y  visualizar  podcasts  gratuitos.2.1.gestionados por la CPU principal a pesar que el procesador base almacena su dirección MAC22 en su NVRAM23 [23].apple.   Permiten  acceso  secuencial  (más  orientado  a  dispositivos  de  almacenamiento  masivo). Partición del disco del iPhone. 2.   27  Es  un  sistema  de  archivos  desarrollado  por  Apple  Inc.   24  El  Apple  TV  permite  escuchar  los  temas  de  iTunes. y la segunda parte HFSX que contiene todos los datos de usuario. Esta partición es de solo lectura para conservar el estado de fábrica durante todo el ciclo de vida del iPhone. Por defecto.   26   Sector   de   almacenamiento   de   datos   que   contiene   código   de   arranque   de   un   sistema   operativo   almacenado  en  otros  sectores  del  disco. A continuación existe un área libre conocida como Apple_Free area. Ilustración 8.    La  memoria  de  acceso  aleatorio  no  volátiles  un  tipo  de  memoria  que  no  pierde  la  información  almacenada   al  cortar  la  alimentación  eléctrica. los sistemas de archivos son similares en su estructura [9]. La primera partición se conoce como Master Boot Record26 (MRB) y es la responsable de cargar el sistema operativo.

cs. fotos y contactos son:  Caches de teclado. para proteger de cambios subyacentes en el hardware [42].5 (Leopard). Basado en el mismo núcleo MACH28 y compartiendo algunos elementos básicos con el OS X 10. los medios de comunicación y una capa resistente denominada Cocoa Touch [23]. Esta contiene el sistema de archivos HFSX y un volumen llamado “Data”. en uno de 8 GB es de 7. el núcleo API de servicios.  Cache del buscador y objetos eliminados del buscador que identifican que sitios web fueron visitados.  Fotos eliminadas de la librería y de la memoria. compartiendo la mayoría de tecnologías y características provenientes de él.edu/afs/cs/project/mach/public/www/mach.  Grabaciones de correo de voz eliminadas. El sistema operativo iPhone OS El iPhone OS es el sistema operativo que se ejecuta sobre los dispositivos iPhone y iPod Touch.1.07 GB.  Pantallazos del último estado de una aplicación son preservados cuando el botón Home es presionado o cuando se cierra alguna aplicación. En un alto nivel. contraseñas. Las aplicaciones no interactúan directamente con el hardware. incluyendo el sistema operativo básico.1 GB. el iPhone OS actúa como un intermediario entre el hardware del dispositivo. marcas de tiempo y banderas de comunicación (con quien y en que dirección la comunicación tuvo lugar).  Direcciones. mensajes de texto. otro tipo de datos que se almacenan además de la música. En esta partición es donde la mayoría de la información y de datos de valor se aloja y puede ser localizada [9]. nombres de usuario. y provee las tecnologías básicas para implementar aplicaciones nativas en el teléfono [41]. la arquitectura del iPhone OS es similar a la arquitectura base del Mac OS X. contactos.2. el iPhone se compone de 4 capas. • Segunda Partición: en un iPhone de 16 GB esta partición es de 14.html.  Información entre el dispositivo y el computador relacionado.  Correos electrónicos eliminados. términos de búsqueda y fragmentos de documentación tecleada.  Historial de llamadas. además de las que se despliegan.   28 28     .Esta partición es la encargada de cargar el sistema operativo del iPhone. en su lugar. el iPhone OS.1. las últimas 100 llamadas y entradas eliminadas. 2. Como se mencionó anteriormente.  Imágenes de mapas de mapas de Google Maps y búsquedas por longitud/latitud de coordenadas. Se encarga principalmente de la gestión del hardware del dispositivo.                                                                                                                            Es  un  sistema  operativo  a  nivel  de  micro  núcleo  desarrollado  como  soporte  tanto  para  computación   paralela  como  distribuida  http://www2. eventos de calendario y otros datos personales.cmu. videos. y las aplicaciones que aparecen en la pantalla (Ver Ilustración 9). el cual es una variante del núcleo del sistema operativo OS X de Apple.3. Según [5]. utilizan interfaces que interactúan con los controladores asociados.

se encuentran el núcleo MACH y los controladores de hardware. Las capas inferiores contienen los servicios fundamentales en los que todas las aplicaciones se basan. 29     . En la parte superior. en el iPhone OS la arquitectura del sistema. y la mayoría de las tecnologías son similares a las que se encuentran en el Mac OS X. El núcleo o kernel. Tecnología de capas del iPhone OS.1. Estas incluyen aquellas usadas para acceder a los archivos. Y. que gestionan la ejecución de aplicaciones en el dispositivo. se encuentran capas adicionales que contienen las tecnologías básicas e interfaces asociadas a los controladores hardware. se basa en una variante del kernel MACH que se encuentra en dicho sistema operativo. Ilustración 10. traducción libre de los autores La capa del Núcleo OS y la capa de Servicios del Núcleo contienen las interfaces fundamentales del iPhone OS.1.1.2.Ilustración 9. tipos de datos de bajo nivel. Tomado de [42] El iPhone OS utiliza una pila de software sencilla.3. Tecnología de capas del iPhone OS Según [42]. Interacción iPhone OS. 2. mientras las capas superiores contienen servicios y tecnologías más sofisticados. En la parte inferior de esta pila. La implementación de las tecnologías del iPhone OS se puede representar como un conjunto de capas (Ver Ilustración 10). si expone las tecnologías (Ver sección Tecnología de capas del iPhone OS) en los niveles superiores de la pila [42]. Tomado de [42]. aunque el iPhone OS no expone el núcleo o las interfaces de los controladores.

audio y video. A medida que se sube de capa. incluye clases para ventanas. El sistema de archivos HFS+ Como se mencionó anteriormente. Otro framework.2. 2. Fue introducido con el Mac OS 8.2. vistas. Quartz36. manejo de archivos. HFS+ Básico HFS+ es un formato de volumen para Mac OS.   31  Sistema  de  gestión  de  bases  de  datos.1.servicios Bonjour29.   30   Es   un   framework   de   los   servicios   básicos. que se muestran en la Tabla 5 [43]. Incluye tecnologías bajo C como OpenGL ES35. entre otros.  diseñado  para  permitir  programación  orientada  a  objetos  sofisticada   [98].  pero  no  utiliza  un   protocolo  de  red  para  la  comunicación.                                                                                                                             Los   servicios   Bonjour. desarrolladas bajo una mezcla entre el lenguaje de programación C y Objective-C34. CFNetwork30. SQLite31. es el UIKit que provee la infraestructura para la aplicación. acceso a hilos POSIX32 y sockets UNIX33 [41]. Para entender su estructura es necesario conocer en detalle el sistema de archivos HFS+ y mencionar las características que lo diferencian. Éste provee soporte para colecciones orientadas a objetos. y los frameworks que la componen proveen la infraestructura fundamental necesaria para ejecutar las aplicaciones. se encontrarán tecnologías más avanzadas.  teléfonos.   que   ofrece   una   colección   de   abstracciones   de   protocolos   de   red   [97]. que mas adelante serán mencionadas. La mayoría de estas interfaces se encuentran desarrolladas bajo el lenguaje de programación C.1.   32  Código  multihilo  portable. e incluyen tecnologías como CoreFunction.1. la mayoría de tecnologías están desarrolladas en Objective-C. En general.   37  Es  una  API  de  bajo  nivel  para  tratar  con  el  sonido  en  el  sistema  de  Apple  Mac  OS  X.   33  Es  un  punto  final  de  comunicaciones  de  datos  que  es  similar  a  un  socket  de  Internet. sockets de red.   que   permiten   el   descubrimiento  automático  de  computadores. la capa de medios de comunicación contiene tecnologías fundamentales usadas para soportar gráficos 2D y 3D.   también   son   conocidos   como   servicios   de   configuración   de   red.2. operaciones de red. controles y controladores que manejan esos objetos. Otros marcos de trabajo a este nivel dan acceso a la información de contactos y fotos del usuario.2. es decir. y es arquitectónicamente muy similar a HFS.1. En la capa superior Cocoa Touch. que es una variante del sistema de archivos HFS+ de Apple. el disco del iPhone utiliza un sistema de archivos HFSX. Por ejemplo. entre otros. uno de los frameworks contenidos en esta capa es conocido como Foundation.   36   Quartz   2D   es   un   avanzado   motor   de   dibujo   de   dos   dimensiones   para   el   desarrollo   de   aplicaciones   del   iPhone  y  para  todos  los  entornos  Mac  OS  X  fuera  de  la  aplicación  del  núcleo  [99].  aparatos  y  vehículos.   34  El  Objective-­‐C  es  un  lenguaje  simple.   29 30     .3. Por ejemplo.     35  Es  una  plataforma  cruzada  para  permitir  funciones  de  gráficos  2D  y  3D  en  sistemas  embebidos  incluyendo   las  consolas.3. pero se diferencian por ciertas características.  dispositivos  y  servicios  en  redes  IP  [94]. Audio Core37 y un motor de animación llamado Animación Core que está basado en Objective-C [41]. HFSX es casi idéntico en su totalidad a HFS+. al acelerómetro y otras características de hardware del dispositivo [41]. 2. aunque ha presentado una serie de cambios importantes.

además de los apuntadores y descriptor de nodo. que a su vez significa menos espacio desperdiciado.1. El nombre de un archivo puede ocupar hasta 512 bytes (incluyendo el campo de longitud). Características HFS+ [43]. traducción libre de los autores • Uso del Disco: HFS+ utiliza valores de 32 bits para identificar bloques de asignación. Por tal razón. Conceptos del núcleo HFS+ utiliza estructuras interrelacionadas para la gestión de los datos en el volumen [43]. se puede almacenar un mayor número de archivos. Más bloques de asignación significan un menor tamaño del bloque. Estas estructuras incluyen: • • • • •   Cabecera del volumen Archivo del catálogo Archivo de grados de desbordamiento Archivo de atributos Archivo de asignaciones 31   . Las llaves en un nodo deben ocupar una cantidad de espacio variable determinada por el tamaño actual de la llave. lo cual es útil cuando el nombre es generado por el computador automáticamente. • 2. ya que el espacio de disco disponible se puede distribuir de mejor manera. el catálogo de HFS+ debe usar un tamaño de nodo mayor.2.2. Esto permite que no se desperdicie mucho espacio en los nodos ya que se crea un factor de mayor ramificación en el árbol. Esto permite tener nombres largos descriptivos. es decir. Generalmente el tamaño del nodo para el catálogo del árbol B es de 4 KB.2. especialmente en volúmenes de 1 GB o mayores. como el árbol B de índices debe almacenar al menos dos llaves.3.Característica Nombre de usuario visible Número de asignación de bloques Nombres de archivos largos Codificación de nombres de archivos Atributos de archivos / carpetas Soporte de inicio del SO Tamaño del catálogo de nodo Tamaño máximo de archivo HFS+ Mac OS Extendido 32 bits 255 caracteres Unicode Permite futuras extensiones de metadatos También soporta un archivo dedicado de inicio 4KB 263 bytes Tabla 5.967. Nombres de archivos: HFS+ utiliza hasta 255 caracteres Unicode para almacenar nombres de archivos. se requiere un menor número de accesos para encontrar algún registro.296) bloques de asignación en un volumen. Esto permite hasta 232 (4’294. Y.

conocida como la cabecera alterna del volumen. El tamaño de estos grupos siempre es múltiplo del tamaño de un bloque de asignación y se define en la cabecera del volumen. e información vital de todos los archivos y carpetas dentro de un volumen. los cuales almacenan las estructuras requeridas para acceder a la carga útil del sistema de archivos. Un sector es la mínima parte que puede ser escrita o leída en una sola operación por el controlador del disco. Cada una de las estructuras se describirá con mayor detalle en las siguientes secciones.2. y su extensión también está descrita en la cabecera del volumen [43]. Cada volumen debe tener una cabecera.• Archivo de inicio A continuación se describirá cómo estas estructuras se relacionan entre sí. que describe la jerarquía de carpetas y archivos en un volumen. que ocupa de igual manera 1024 bytes. El espacio de almacenamiento en el disco está dividido en unidades llamadas sectores. son parte de uno o más bloques de asignación. incluyendo la cabecera. la ubicación de las otras estructuras dentro de él. Estructura del volumen Los primeros 1024 bytes de un volumen. y su tamaño se basa en la forma en que es establecido físicamente (para discos duros los sectores son de 512 bytes. Se encuentra organizado en un árbol-B. como fecha y hora de creación. y atributos. Además. El tamaño de estos bloques. Un volumen contiene cinco archivos especiales.2. es decir. El archivo de catálogo es un tipo de archivo especial. tamaño del bloque de asignación e información para localizar metadatos de los archivos [43] [44]. HFS+ es una especificación de cómo un volumen (archivos que contienen datos de usuario. así como la información del catálogo. de forma tal que pueden existir 232 bloques de asignación en un volumen. se establece cuando el volumen es inicializado. HFS+ asigna espacio en unidades llamadas bloques de asignación. nombrados anteriormente). 32     . se encuentra una copia de la cabecera. Todas las estructuras del volumen. Contiene la mayoría de los metadatos de los mismos.3. Contiene información descriptiva y atributos del volumen. para medios ópticos son de 2048 bytes) [43]. se hace mediante un número de 32 bits. que son simplemente un grupo de bytes consecutivos. para archivos y carpetas que se almacenan allí. así como la estructura para obtener esos datos) existe en el disco (el medio en el que los datos de usuario son almacenados).1. y los últimos 512 son espacios reservados. Para promover la contigüidad de archivos y evitar la fragmentación. Estos archivos especiales contienen una única bifurcación ó fork de datos. y es utilizada únicamente para funciones de reparación del disco [43]. 2. versión. La forma de identificación de estos bloques.3. carpetas. el número de archivos que contiene. para permitir búsquedas rápidas y eficientes a través de una jerarquía extensa de carpetas. y se definen los tipos de datos primitivos usados por HFS+. almacenando allí los nombres de los archivos y carpetas (255 caracteres Unicode. y puede ser superior o igual a 512 bytes. archivos de usuario. antes de los 512 bytes reservados al final del volumen. estos son asignados a grupos de bloques. la cual ocupa 1024 bytes después del primer espacio reservado.

Al igual que el archivo de catálogo. Archivos forks de usuario Archivo de asignación (mapa de bits) Archivo de catálogo Archivo de grados de desbordamiento Archivo de atributos Archivo de inicio Espacio no usado La estructura general del volumen HFS+ se ilustra a continuación: 33     . HFS+ hace un seguimiento acerca de cuáles bloques pertenecen a un fork manteniendo una lista de las extensiones de los forks. El archivo de asignación es otro archivo especial. se usará para almacenar información adicional sobre los forks. 4. 6. es decir. que facilita el arranque del volumen HFS+ en computadores que no son Mac. el cual se organiza también en un árbol-B. las primeras ocho extensiones se almacenan en el archivo de catálogo. listas de control y tiempos de máquina [43] [44]. el archivo de bloques defectuosos previene al volumen de usar ciertos bloques debido a que el medio que los almacena se encuentra defectuoso [43]. Una extensión es un rango contiguo de asignaciones de bloques para un fork específico. En un futuro. Para un archivo de usuario.El archivo de atributos es otro tipo de archivo especial. El archivo de inicio es otro archivo especial. 3. 7. qué específica cuales bloques de asignación están siendo utilizados y cuáles no. Las extensiones adicionales se almacenan en el archivo especial de grados de desbordamiento. 5. 2. Finalmente. metadatos extensibles. el cual contiene datos adicionales para un archivo o carpeta. El volumen HFS+ consiste de siete tipos de información o áreas: 1. representado por un par de números: el número del primer bloque de asignación y el número de bloques de asignación. se organiza en un árbol-B.

es de al menos 512 bytes.3 introdujo una nueva política para determinar cómo distribuir el espacio para los archivos. Si se añaden funciones incompatibles con versiones anteriores (es decir. actualmente solo está definido el valor de 5. El volumen HFSX tiene una firma de "HX" (0x4858) en el campo de firma de la cabecera.1. lo que reduce el 34     . Significa que se puede tener dos objetos.1. traducción libre de los autores La cabecera del volumen se encuentra siempre en una ubicación fija. Tomado de [43]. Estos archivos pueden aparecer en cualquier orden y no necesariamente están contiguos [43]. un número nuevo de versión se utilizará. en el mismo directorio al mismo tiempo.3. La información en el volumen HFS+ está organizada exclusivamente en bloques de asignación. "Bob". HFSX Según [43].4. que permite características adicionales incompatibles con HFS+. Estructura general del volumen HFS+. Sin embargo. se podría tener "Bob". La única de esas características que está definida actualmente es la distinción de mayúsculas y minúsculas en los nombres de archivos.Ilustración 11. y se fija cuando el volumen es inicializado como un parámetro de la cabecera [43].5. Por ejemplo.2. En el campo de versión se identifica la versión HFSX usada en el volumen.3. Esta política sitúa el volumen de metadatos y pequeños archivos de uso frecuente ("archivos calientes") cerca unos de otros en el disco.2. Zona de Metadatos Mac OS X versión 10.2. HFSX es una extensión para HFS+. 2. El tamaño de un bloque de asignación es potencia de dos. 2. los archivos especiales pueden aparecer en cualquier ubicación entre el bloque de la cabecera del volumen y el bloque de la cabecera alterna del volumen. lo cual mejora el rendimiento. versiones anteriores no podrán modificar o tener acceso al volumen). cuyos nombres se diferencian sólo en letras. y "bob" en el mismo directorio.2.

sacando provecho de una vulnerabilidad descubierta en el gestor de arranque de estos dispositivos [49] [50]. Después de arrancar. 2. pero con el paso del tiempo y la aparición de aplicaciones corporativas se ha ido convirtiendo en una herramienta empresarial. Debido a que se aplica un parche sobre la comprobación de la firma. y fotos). este dispositivo era visto como una herramienta de entretenimiento. Según [50]. LLB. y las claves de cifrado están disponibles. confiabilidad y disponibilidad de esta. Además. se aplica un parche sobre la verificación de la firma en la extensión AppleImage2NorAccess. con el objetivo de liberar a dicho dispositivo de las limitaciones impuestas por Apple y los operadores de telefonía celular como AT&T en Estados Unidos. y a su incorporación en ambientes empresariales.                                                                                                                            Grupo  de  Hackers  dedicados  a  desarrollar  soluciones  orientadas  al  desbloqueo  de  los  productos  móviles   de  Apple  [48]. las cuales permiten realizar el Jailbreak sobre el iPhone que se pretende atacar.2. Jailbreak A través del Jailbreak.1. que permite aplicar parches sobre el núcleo (kernel). gracias al iPhone. DeviceTree. sin embargo. Apple aumentó su participación en el mercado mundial de teléfonos inteligentes de un 2. Según lo anterior.3 %. por lo tanto. y se continúa con la implantación de los nuevos archivos de instalación (iBoot. se han identificado algunos ataques.   38 35     . la información que se maneja en este tipo de dispositivos cada vez es más sensible. En principio. tales como la configuración del dispositivo para lograr su funcionamiento con cualquier otro operador de telefonía celular.tiempo de búsqueda de accesos típicos. añade otro dispositivo de memoria. Así mismo. Aumento debido a la “experiencia de usuario” que este dispositivo ofrece a sus compradores. las herramientas nombradas anteriormente inician arrancando desde un dispositivo de memoria (disco RAM) en un entorno “seguro". apuntando al espacio de direcciones del núcleo. personalizar su apariencia e instalar aplicaciones ofrecidas en el Apple Store de Apple sin ningún costo [46]. los cuales se describirán a continuación. Actualmente existen varias herramientas como Pwnage Tool [30] y Redsn0w [10] desarrolladas por el iPhone Dev Team38 [48]. Esta área en el disco se conoce como la zona de metadatos [43]. para evitar que el núcleo desactive las llaves de cifrado. el propietario del iPhone es consciente y en algunos casos responsable de realizar este tipo de ataque. puede llegar a ser objeto de ataque de agentes malintencionados (Hackers) con el fin de afectar la integridad.8 % a un 13. Este tipo de ataque ha logrado adquirir popularidad debido a los beneficios económicos y funcionales que ofrece. En la actualidad no existe una taxonomía detallada que especifique que tipo de ataques puede sufrir un iPhone 3G.2. Problemas de seguridad en el iPhone 3G Según [45]. 2. los cuales tienen contratos exclusivos para la venta de este tipo de dispositivos [46].

  39 36     . con esto.                                                                                                                             Capacidad   de   duplicar   una   página   web   para   hacer   creer   al   visitante   que   se   encuentra   en   el   sitio   web   original.2. ya que no las muestra en su totalidad si no que por el contrario oculta por medio de puntos suspensivos el centro de dicha dirección (Ver Ilustración 12) [55]. los usuarios del iPhone 3G pueden gestionar y ver el correo electrónico como si lo estuvieran haciendo desde un computador. la cual es visualizada en el iPhone. Con respecto a lo anterior. Las aplicaciones nombradas anteriormente son vulnerables al URL spoofing. 2. Spoofing40 y Spamming41 Actualmente.   Generalmente  este  engaño  se  realiza  tomando  las  sesiones  ya  establecidas  por  la  víctima  u  obteniendo  su   nombre  de  usuario  y  contraseña  [84]. Ilustración 12.  enviados  de  forma   masiva.   41  Capacidad  de  enviar  mensajes  no  solicitados. parezca un dominio de confianza.   Normalmente   se   usa   con   el   objetivo   de   robar   información   confidencial   del   usuario  como  contraseñas. la victima solo verá la parte conocida y hará clic sobre el enlace malicioso (Ver Ilustración 13).  números  de  tarjetas  de  crédito  y  datos  financieros  o  bancarios  [51]. debido al tamaño de su pantalla este dispositivo tiene un problema al momento de mostrar direcciones electrónicas muy largas. en donde la primera parte. por medio del cual se pueden realizar ataques de phishing contra los usuarios de este dispositivo [53]. Después de eso. el dispositivo puede ser reiniciado. es posible que un atacante construya un URL muy largo y lo envíe por medio de un correo electrónico.     40     Tipo   de   ataque   que   tiene   como   objetivo   engañar   al   sistema   de   la   víctima   para   ingresar   al   mismo. Recorte de URL en la aplicación iPhone Mail Por lo tanto.  habitualmente  de  tipo  publicitario. por medio de la aplicación iPhone Mail o a través del navegador Safari el cual viene por defecto en este dispositivo [52].el AppleImage2NORAccess las escribe en el lugar adecuado del disco.  La  vía  mas  utilizada  es  basada  en  el  correo  electrónico  pero  también  se  puede  presentar  por   programas  de  mensajería  instantánea  o  por  telefonía  celular  [57]. y aceptará cualquier archivo sin ningún tipo de complicación. Phishing39.   en   lugar   del   falso.2.

Por otro lado. 2.      Mensajes  no  solicitados.0. Actualmente la mayoría de clientes de correo electrónico requieren autorización para realizar la descarga de imágenes desde un servidor remoto (Ver Ilustración 14). y luego marcará su cuenta de correo como una cuenta activa con el fin de enviar mas spam43 [54]. el spammer42 que controla el servidor remoto sabrá que el usuario leyó el mensaje.2.1. la aplicación iPhone Mail también es vulnerable debido a la forma cómo gestiona las imágenes adjuntas a los correos electrónicos [55].  habitualmente  de  tipo  publicitario.  enviados  en  forma  masiva. Ilustración 14.1.0 y 3.                                                                                                                            Persona  dedicada  a  enviar  spam  [57].Ilustración 13.0. ya que no ha salido ninguna actualización donde se corrija esta vulnerabilidad por parte de Apple [54].  La  vía  más   utilizada  es  la  basada  en  el  correo  electrónico  pero  puede  presentarse  por  programas  de  mensajería   instantánea  o  por  teléfono  celular  [93]   43 42 37     . 2. 3. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA [56] con sistema operativo Windows XP.01. Página falsa accedida por medio del iPhone 3G Cabe resaltar que el ataque nombrado anteriormente hasta el momento puede ser realizado en los iPhone con firmware 2. si estas imágenes se descargarán automáticamente.

y no hay forma de desactivar esta característica (Ver Ilustración 15) [54].Con respecto a lo anterior. esto se puede hacer de varias formas. Otra forma de realizar este ataque es ubicando al dispositivo mientras se encuentre conectado a una red.   45    Número  que  identifica  de  manera  lógica  y  jerárquica  a  una  interfaz  de  un  dispositivo  dentro  de  una  red   que  utilice  el  protocolo  IP  (Internet  Protocol). cualquier persona que pueda obtener una dirección IP de dicha red podrá localizar el dispositivo. radica en que la descarga de imágenes es realizada automáticamente. la vulnerabilidad de la aplicación iPhone mail. en el cual el Hacker encuentra el dispositivo y toma acciones deliberadas para vulnerarlo. lo único que necesita el atacante es identificar el tipo de dispositivo que está siendo usado y determinar el tipo de exploit44 que puede ejecutar sobre este. Descarga automática de imágenes adjuntas desde iPhone Mail 2. Para realizar este ataque en primera instancia el hacker tiene que encontrar e identificar el dispositivo.   44 38     .3. Si alguien está revisando su correo electrónico desde su dispositivo móvil o realizando una llamada en un espacio público. A continuación se muestran algunas acciones que se pueden tomar: • • Extracción de información almacenada en el dispositivo. Ilustración 15. Con respecto a lo anterior.2. Si el dispositivo móvil se encuentra conectado a internet implica que tiene asignada una dirección IP45 perteneciente a alguna red. una de ellas consiste simplemente en observarlo. en este escenario no es necesario ver al dispositivo o al usuario físicamente. Ataque directo Según [58]. una de las maneras más peligrosas en las que un dispositivo móvil puede ser atacado es por un ataque directo.                                                                                                                             Programa   o   código   que   "explota"   una   vulnerabilidad   del   sistema   o   de   parte   de   él   para   aprovechar   esta   deficiencia  en  beneficio  del  creador  del  mismo  [85]. Modificación de información almacenada en el dispositivo. por lo tanto. luego que el dispositivo móvil sea encontrado por el hacker las acciones que se pueden realizar sobre éste varían según el tipo de dispositivo y la tecnología que éste use.

para esto existen gran variedad de herramientas como Nmap [60] y Netcat [61]. Conseguir contraseña root Como se explicó en capítulos anteriores el iPhone es en esencia un computador el cual tiene sistema operativo. root y mobile. Según [59].   46 39     . Hacer uso de este de forma no autorizada.   48  Aplicación  que  permite  instalar  cualquier  tipo  de  aplicación  que  no  sea  fabricada  por  APPLE  en  dispositivos   iPod  e  iPhone. este último usado por dicho dispositivo para poder sincronizarse con iTunes (Ver Ilustración 16). En este dispositivo existen dos cuentas de usuario. Con respecto a lo anterior. buscando algún dispositivo que tenga abiertos los puertos 22 (OpenSSH) y 62078. con el objetivo de poder transferir aplicaciones de Apple sin pagar desde un computador al dispositivo.   47  Versión  libre  del  paquete  de  herramientas  de  comunicación  segura  del  protocolo  SSH/SecSH  para  redes   [87]. los puertos abiertos y el tipo de sistema operativo que usan. Modificación de la configuración del dispositivo. ya que una de las acciones habituales al momento de desbloquear el dispositivo es instalar OpenSSH47 a través de Cydia48. OpenSSH es un demonio que se inicia automáticamente al momento de encender el iPhone y se mantiene a la escucha de peticiones por el puerto 22 (por defecto). este tipo de ataque puede ser realizado sobre un iPhone 3G luego que el usuario realice Jailbreak sobre éste (Ver sección Jailbreak). Dejar sin uso el dispositivo.• • • • Cargar información al dispositivo (incluyendo Malware46). Identificar el dispositivo y encontrar puertos abiertos Para lograr conocer la dirección IP que tiene asignada el dispositivo es necesario realizar una búsqueda de todos los dispositivos activos dentro de la red que estamos usando. por lo tanto tiene cuentas de acceso de usuario. 2. al momento de realizar la búsqueda del iPhone objetivo es necesario explorar la red en la cual se encuentra la máquina atacante. Las herramientas nombradas anteriormente son usadas para realizar exploración sobre redes. por medio de estas herramientas se puede conocer la dirección IP de los dispositivos que se encuentren conectados en una red. A continuación se muestran los pasos necesarios para realizar un ataque directo sobre un iPhone 3G: 1.  es  cualquier  tipo  de  software  dañino  que  puede  afectar  un   sistema  [86]. Cómo necesitamos ingresar con todos los privilegios usaremos la cuenta root que tiene como contraseña alpine.                                                                                                                            También  conocido  como  Virus  Informáticos. el problema de estas contraseñas es que son públicas y conocidas por todos los iPhone 3G.

se obtienen todos los derechos de acceso sobre la información contenida en el iPhone como se muestra en la Ilustración 19. Ilustración 18. Ilustración 17. el programa por el cual se está realizando la conexión pedirá el nombre de usuario y la contraseña. Ingreso de usuario y contraseña WinCSP Login Luego de confirmar la contraseña. en este caso se debe ingresar root y alpine respectivamente (Ver Ilustración 18).                                                                                                                           49  Cliente  SFTP  gráfico  para  Windows  que  emplea  SSH   40     . se procede a acceder al dispositivo por medio del programa WinSCP Login49 usando como datos la dirección IP encontrada y el puerto 22 como se muestra en la Ilustración 17. Escaneo de red y puertos abiertos con Zenmap Una vez encontrado el dispositivo.Ilustración 16. Ingreso datos para acceder al dispositivo por SSH Si el dispositivo está escuchando por el puerto 22.

Es usado principalmente para el envío de mensajes de texto por parte de los usuarios. La inyección se realiza por debajo de la pila software del teléfono móvil. Uno de los problemas que presenta este servicio. ya que mensajes importantes pueden retrasarse o ser descartados por razones no determinísticas.Ilustración 19. Debido a lo anterior. Es un acercamiento que fue capaz de identificar problemas de seguridad no conocidos previamente. se presenta un método que aprovecha una vulnerabilidad en implementaciones SMS. y que se pueden usar principalmente para la denegación de servicios (DoS) en teléfonos inteligentes. A continuación. Acceso a ficheros del iPhone usando WinSCP Login 2. En el iPhone. Inyección de mensajes cortos en teléfonos inteligentes El servicio de mensajes cortos (SMS). además del de notificación de mensajes 41     . que el acercamiento nombrado anteriormente elimina la necesidad de la red telefónica móvil a través de la inyección de mensajes cortos a nivel local en el teléfono inteligente.4. Es por esto. llevar a cabo pruebas de ataques utilizando este servicio puede tomar mucho tiempo y estas pueden llegar a ser difíciles de reproducir. de las cuales dos son utilizadas para transmisiones SMS. algunos ataques se pueden llevar a cabo remotamente sin necesidad de tener algún tipo de interacción con el usuario. debido a que. y además porque al servicio no se le pueden aplicar filtros de contenido o desactivarlo. la pila de telefonía consiste principalmente de una aplicación binaria llamada CommCenter. de forma tal que es posible analizar y probar todos los servicios que están basados en SMS que se ejecutan en dicha pila. usando un número de líneas seriales. es la incertidumbre de recepción del mensaje original. la seguridad en este servicio es crítica. mediante un software que requiere acceso únicamente a nivel de aplicación en el teléfono inteligente. puesto que los operadores de telefonía móvil pueden filtrar y modificar el contenido de los mensajes durante su entrega. es un servicio que se creó exclusivamente para el servicio de telefonía móvil. es un servicio poco fiable. En segundo lugar. Maneja la recepción de mensajes por sí solo. Esta aplicación se comunica directamente con el módem. Según [90] y [91]. así como para algunos servicios ocultos del teléfono móvil. sin la necesidad de otro tipo de procesos.2.

A continuación explicaremos que es la informática forense y la importancia de su aplicación en dispositivos móviles como el iPhone 3G. como si se reenviara un mensaje SMS real desde el módem. 2.spi-baseband [0-15]. leer los resultados del módem y reenviarlos al multiplexor.entrantes. La implementación en el iPhone OS está separada en dos partes: una librería y un demonio. A esta nueva capa se le da el nombre de inyector. Si los archivos respectivos son abiertos. y para la composición de nuevos mensajes. La única función de la librería es re direccionar las líneas seriales al demonio. El demonio implementa la inyección del mensaje actual y registra su funcionalidad. Modelo lógico del inyector SMS. y en el sentido contrario. Para inyectar un mensaje SMS en la capa de aplicación. Informática forense en teléfonos inteligentes La informática forense aplicada a dispositivos móviles y especialmente a teléfonos inteligentes. el inyector genera un nuevo resultado CMT50 y lo envía al multiplexor. y su propósito es realizar un ataque de hombre en el medio (man in the middle) en la comunicación entre el módem y la pila de telefonía. Su funcionalidad básica es leer comandos del multiplexor y reenviarlos al módem. El método de inyección de mensajes se basa en la adición de una capa entre la capa de las líneas seriales y la capa del multiplexor (la capa más baja en la pila de telefonía). los mensajes SMS son gestionados por el proceso CommCenter. Informática forense clásica El constante aprovechamiento de fallas sobre los sistemas de computación por parte de agentes mal intencionados. y más aún en lo relacionado con la atención de incidentes [14]. La interfaz para el CommCenter consiste de 16 líneas seriales virtuales /dev/dlci. ofrece un escenario perfecto para que se cultiven tendencias relacionadas con                                                                                                                           50    Reenvío  de  un  mensaje  SMS  recibido  recientemente  al  computador   42     .1. 2. La librería es inyectada en el proceso CommCenter mediante la pre-carga de la librería.3. Ilustración 20. Tomado de [90]. traducción libre de los autores En el iPhone 3G. es un área de investigación relativamente nueva. Es por esto que existe poca literatura sobre el tema. La aplicación de usuario SMS se usa exclusivamente para la lectura de mensajes SMS almacenados en la base de datos. la librería reemplaza el archivo descriptor con uno conectado al demonio. Además se encarga de gestionar los comandos de acuse de recibo enviados por el multiplexor (Ver Ilustración 20).3.

• •                                                                                                                           51  Conjunto  de  técnicas. archivos de aplicaciones de ofimática51. en consecuencia. que abarcan desde lucro monetario hasta satisfacción personal. la evidencia digital puede ser dividida en 3 categorías: • Registros almacenados en el equipo de tecnología informática: correos electrónicos. imágenes. alterable y eliminable. duplicable. a diferencia de la evidencia física en un crimen clásico. análisis. según [32]. vistas parciales de datos.  aplicaciones  y  herramientas  informáticas  que  se  utilizan  en  funciones  de  oficina. se puede considerar la evidencia como “cualquier información. música. Evidencia digital Según [32]. interpretación. por lo tanto.intrusos informáticos [32]. recuperar. registros de transacciones. es importante anotar que la informática forense al ser un recurso importante para las ciencias forense modernas. preservación. extraer. anónima. etc. según [32]. la criminalística ofrece un espacio de análisis y estudio sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones criminales. Con respecto a lo citado anteriormente. documentación y presentación de las pruebas en el contexto de la situación bajo inspección. es necesario establecer un conjunto de herramientas. Según [32]. asume dentro de sus procedimientos las tareas propias a la evidencia física en la escena del crimen como son: identificación.1. registros de eventos. que involucra la aplicación de la metodología y la ciencia para identificar. y en algunos casos es un estilo de vida [33].   43     . consultas especializadas en bases de datos. ha sido extraída de un medio informático”. Registros generados por los equipos de tecnología informática: registros de auditoría. La informática forense es una rama de las ciencias forenses. etc. 2. Registro generados y almacenados parcialmente en los equipos de tecnología informática: hojas de cálculo financieras. preservar. que sujeta a la intervención humana u otra semejante. la evidencia digital es un desafío para aquellas personas que la identifican y analizan debido a que se encuentran en un ambiente cambiante y dinámico [67] [68]. estrategias y acciones que ayuden a identificar estos hechos y evidencias dentro del contexto informático [65]. estos agentes malintencionados varían según sus estrategias y motivaciones. documentos informativos. documentar e interpretar [5] pruebas o evidencias procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los hechos encontrados en la escena del crimen [36].3. etc. Con respecto a lo anterior.1. extracción. La evidencia digital tiene como características principales el hecho de ser volátil. para luego usar dichas evidencias como elemento material probatorio en un proceso judicial [34] [14].

3.1. Producción de la evidencia • • • • 2. es necesario que el sistema de información produzca los registros electrónicos.1.3. Ciclo administración de la evidencia digital [70] 2.1.3.2. el objetivo principal de esta fase es fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologías de información. Los registros electrónicos deben tener un autor claramente identificado. Diseño de la evidencia Según [70].1.1.1.1. el cual se expone en las buenas prácticas de evidencia digital establecidas en el Handbook Guidlines for the Management of IT [70] y consta de 6 fases.1. Ilustración 21. verificar que la aplicación esté operando 44     .1. que sean identificados. Por lo tanto. Según [70]. Los registros electrónicos cuentan con elementos que permiten validar su autenticidad. a continuación se muestran cinco objetivos que deben ser considerados para el diseño de la evidencia digital: • Asegurar la relevancia de los registros electrónicos.2. estén disponibles y sean utilizables. Los registros electrónicos cuentan con una hora y fecha de creación o modificación. el objetivo de ésta fase consiste en producir la mayor cantidad de información posible con el fin de aumentar las probabilidades de identificar y extraer la mayor cantidad de evidencia digital relacionada con el incidente.1. Administración de evidencia digital A continuación se muestra el ciclo de vida de la evidencia digital (Ver Ilustración 21). identificar el autor de los registros electrónicos almacenados. identificar la fecha y hora de creación de estos. Verificar la confiabilidad de la producción o generación de los registros electrónicos por parte del sistema de información.

es recomendable tener en cuenta las siguientes actividades al momento de realizar el análisis de la evidencia: • Realizar copias autenticadas de los registros electrónicos originales sobre medios forenses estériles.3.3.1. Con respecto a lo anterior. cual fue la vulnerabilidad explotada y en lo posible identificar al atacante [40]. es necesario tener en cuenta las siguientes prácticas: • Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de registros electrónicos. ya que un cambio insignificante a la vista podría invalidar todo el proceso de investigación en un proceso judicial. Según [70]. permisos de acceso y estado de los archivos.1. 2.4. establecer un servidor contra los cuales se pueda verificar la fecha y hora de creación de los registros electrónicos. Recolección de la evidencia • • • • 2. es importante que al momento de realizar la inspección del (los) equipo (s) se evite alterar cualquier variable. Diseñar mecanismos de seguridad basados en certificados digitales para validar que es la aplicación en cuestión la que genera los registros electrónicos.1.3. Contar con pruebas y auditorias frecuentes alrededor de confiabilidad de los registros. • 45     . marcas de tiempo.1. Análisis de la evidencia El objetivo de esta fase es lograr identificar como fue efectuado el ataque. De ser posible. Diseñar y mantener el control de integridad de los registros electrónicos.correctamente al momento de generar o modificar registros.1. Por otro la recolección debe ser realizada mediante herramientas especializadas y certificadas con el objetivo de evitar modificaciones en las fechas de acceso y en la información del registro del sistema [38] [39] [40]. para lo cual se debe recolectar la información de los archivos asociados. El objetivo de esta fase es localizar toda la evidencia digital y asegurar que todos los registros electrónicos originales no han sido alterados [70].1. Capacitar y formar en aspectos técnicos y legales a los profesionales que adelantaran las labores de análisis de datos. que permita identificar cambios que hayan sido realizado sobre ellos. para lograr lo anterior es necesario reconstruir la secuencia temporal del ataque. Dicha recolección debe realizarse empezando por la información más volátil hasta la menos volátil. y finalmente verificar la completitud de los registros generados.

se sugieren dos criterios para tener en cuenta: • Valor probatorio: establece aquel registro electrónico que tenga signo distintivo de autoría.3. Consideraciones legales • 2. lo que se encontró en la fase de análisis de la evidencia.1.5. Reporte y presentación • • 2. el formulario de recolección de evidencias y el formulario de medios de almacenamiento [14].1. Esta documentación se debe llevar a cabo por medio de formularios que hacen parte del proceso estándar de investigación. entre los cuales se encuentran el documento de custodia de la evidencia nombrado en el numeral 5 de esta sección. y el investigador forense debe estar en capacidad de representar el origen de la misma. Con respecto a lo anterior.1.1. cada movimiento por parte del investigador o su equipo de trabajo se debe documentar hasta que se resuelva o se dé por concluido el caso. Según [5] y [35].3.1.• Validar y verificar la confiabilidad y limitaciones de las herramientas de hardware y software utilizadas para adelantar los análisis de los datos.6. • 46     .1. desentrañar lo escondido y validando las limitaciones de las tecnologías o aplicaciones que generaron los registros electrónicos.1. El objetivo de esta fase es presentar los resultados por parte del investigador sobre su búsqueda y análisis de los medios. el formulario de incidencias tipificadas.3.2. Autenticidad: la evidencia debe ser relevante al caso. Determinación de la relevancia de la evidencia Según [70]. la evidencia digital debe cumplir con las siguientes características para poder ser usada en procesos judiciales: • Admisibilidad: toda evidencia recolectada debe ajustarse a ciertas normas jurídicas para poder ser presentadas ante un tribunal. Debido al rigor que requiere una investigación de este tipo. Mantener la perspectiva de los análisis efectuados sin descartar lo obvio.1. así como información puntual de los hechos y posibles responsables [83]. el formulario de identificación de equipos y componentes. Reglas de la evidencia: establece que se han seguido los procedimientos y reglas establecidas para la adecuada recolección y manejo de la evidencia. Establecer el rango de tiempo de análisis y correlacionar los eventos en el contexto de los registros electrónicos recolectados y validados previamente. 2. el objetivo de esta fase es valorar las evidencias de tal manera que se identifiquen aquellas que sean relevantes y que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo. autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.

Habilidad de modelar ataques en múltiples escenarios. Entendimiento y Credibilidad: se debe explicar con claridad y pleno consentimiento. lo cual puede afectar la efectividad y la integridad de la investigación [65]. evitando dudas sobre la autenticidad y veracidad de las evidencias. Capacidad de registrar datos en varios niveles de abstracción. que proceso se siguió en la investigación y como la integridad de la evidencia fue preservada. incluyendo los que no pertenecen explícitamente al sistema que se está analizando. los procedimientos forenses empleados están constituidos de manera informal.2. ya sea legal u organizacional [32]. por lo tanto un modelo forense debe tener las siguientes cualidades [69].2. es preciso extremar las medidas de seguridad y control que los investigadores deben tener a la hora de realizar sus labores. Modelos y procedimientos en una investigación forense digital Debido a las características de la evidencia digital (Ver sección Evidencia digital). Fiabilidad: las técnicas usadas para la obtención y análisis de la evidencia deben gozar de credibilidad y ser aceptadas en el campo en cuestión.1. Disposición de métricas automatizadas. y recopilar datos ataques anteriormente desconocidos y métodos de ataques.3. porciones de • • • Habilidad de registrar información sobre las condiciones de antes y después de la ocurrencia del incidente.• Completitud: la evidencia debe contar todo en la escena del crimen y no una perspectiva en particular. Cualidades de un modelo forense En algunos casos.1. Capacidad de poner límites a. y un parámetro de ajuste que permita a un analista forense decidir qué tipo de información es importante. para que esta sea comprensible y creíble en el tribunal. como la longitud de una ruta de un archivo dentro de un sistema.3. • • 47     . Capacidad de traducir uno a uno los datos registrados con los acontecimientos que se produzcan. 2.1. • • 2. pues cualquier imprecisión en los procedimientos relacionados con esta puede llegar a comprometer el proceso. • • Habilidad de realizar un registro de todo. acerca de.

3. Recolección: buscar y recolectar la evidencia electrónica  Asegurar y evaluar la escena: asegurar la escena para garantizar la seguridad de las personas y la integridad de la evidencia.2. Por tal razón.2.2.1. Según [36] [37] [71]. a continuación se muestra una descripción de varios modelos de investigación forense. existentes hasta el momento.3. esta fase está diseñada para facilitar la visibilidad de las pruebas. Análisis: el equipo de investigación revisa los resultados de la fase anterior para darle un valor al caso.2. investigadores de la Fuerza Aérea de Estados Unidos identificaron las características comunes en varios procesos de modelos e incorporaron otros en un modelo de procesos abstracto. Departamento de Justicia de Estados Unidos (2001) Según [37]. La evidencia potencial debe ser definida en esta fase. se hace necesaria la aplicación de procedimientos estrictos y cuidadosos.  Recolección de evidencia: recolectar el sistema físico o realizar una copia de los datos del sistema. hasta que se obtienen los resultados posteriores a la investigación [14] [38]. Modelo forense digital abstracto (2002) • • • 2. desde el momento en que se realiza la recolección de la evidencia. Este modelo consta de 9 componentes: • Identificación: reconocimiento del incidente para indicar y determinar el tipo de incidente o crimen. el Departamento de Justicia de Estados Unidos publicó un modelo sobre investigación de crímenes electrónicos.3.2. • Examinación: revisión técnica de la evidencia encontrada en el sistema.1. Presentación de informes: escribir informe sobre el proceso de examinación y los datos recuperados en la investigación forense en general.2.  Documentar la escena: documentar los atributos físicos de la escena incluyendo fotografías del computador. Consta de las siguientes 4 fases: • Preparación: preparar los equipos y las herramientas para realizar las tareas necesarias dentro de la investigación. al explicar su origen y significado.1.1. 48     . 2. La guía hace referencia a un primer nivel de respuesta a distintos tipos de evidencia e incluye procedimientos para la manipulación segura de esta [71].2.2. Modelos forenses existentes Con respecto a lo citado anteriormente.

mientras que se minimiza el impacto a la víctima. Presentación: resumir y proporcionar una explicación sobre las conclusiones obtenidas. Recolección: registrar la escena física y realizar una copia de la evidencia digital usando procedimientos estandarizados y aceptados.• Preparación: preparación de herramientas. así como la determinación y pruebas penales sobre la evidencia que fue removida.3.2. El objetivo de la estrategia debe ser maximizar la obtención de pruebas no contaminadas. técnicas. Análisis: determinar el significado. Preservación: aislar. Construir la documentación detallada para el análisis. Modelo forense Mandia (2003) • • • • • • • 2. posiblemente en lugares no convencionales. Kevin Mandia propone un modelo de respuesta a incidentes simple y preciso compuesto por 7 componentes (Ver Ilustración 22) [80]. Esta fase se centra en la identificación y localización de la evidencia potencial. Ilustración 22. Tomado de [80].3. traducción libre de los autores 49     . Modelo respuesta a incidentes Kevin Mandia. Examinación: búsqueda en profundidad sistemática de la evidencia relativa a la sospecha del crimen. Retorno de la evidencia: garantizar que la evidencia física sea devuelta al propietario. órdenes de registro y autorizaciones de seguimiento y apoyo a la gestión. reconstruir los fragmentos de datos y plantear conclusiones teniendo en cuanta la evidencia encontrada. Acercamiento a la estrategia: formular dinámicamente un procedimiento basado en el impacto potencial y la tecnología en cuestión.2.1. asegurar y preservar el estado de la evidencia física y digital.

Preparación al incidente: involucra la preparación de la organización como tal, así como del personal de investigación, para dar inicio a la respuesta al incidente ocurrido. Detección del incidente: esta fase es uno de los aspectos más importantes en la respuesta a incidentes. Normalmente los incidentes de seguridad se identifican cuando alguien sospecha que un evento no autorizado, inaceptable o ilegal se ha producido, y la participación de redes informáticas de la organización o equipo de procesamiento de datos se ve involucrada. Respuesta inicial: uno de los primeros pasos en cualquier investigación, es obtener información suficiente para determinar la respuesta adecuada que se debe dar al incidente. La fase de respuesta inicial implica la recolección de datos de la red, la determinación del tipo de incidente que ha ocurrido, y evaluar el impacto del incidente. La idea es reunir suficiente información para comenzar la siguiente fase, que es desarrollar una estrategia de respuesta. Formular estrategia de respuesta: el objetivo de esta fase es determinar la estrategia respuesta más adecuada, dadas las circunstancias del incidente. La estrategia debe tener cuenta aspectos políticos, técnicos, jurídicos, comerciales y de factores que rodean incidente. La solución final depende de los objetivos del grupo o individuo con responsabilidad de la selección de la estrategia. de en el la

Investigar el incidente: consiste en determinar el quién, el qué, el cuándo, el dónde, el cómo y el por qué, alrededor de un incidente. Se llevará a cabo la recolección de datos y se realizara la investigación de la evidencia recolectada. Presentación de informes: esta puede ser la etapa más difícil del proceso de respuesta a incidentes. El desafío es crear los informes que describen con precisión los detalles de un incidente, de forma tal que sean comprensibles para el personal que toma decisiones, que puedan soportar la barrera del análisis y escrutinio jurídico, y que se produzcan en el momento oportuno. Resolución: el objetivo de esta fase, es poner en práctica las medidas y procedimientos determinados, para evitar que un incidente cause más daños. De forma tal, que se retorne a una situación estable, operativa y saludable. En otras palabras, en esta fase, se contiene el problema, se resuelve el problema, y se toman medidas para evitar que el problema ocurra de nuevo. Modelo de investigación digital integrado – IDIP (2003)

2.3.1.2.2.4.

Según [37], Brian Carrier y Eugene Spafford proponen un modelo que organiza el proceso de investigación forense en 5 grupos con un total de 17 fases (Ver Ilustración 23).

50    

Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores

Fases de preparación: el objetivo de esta fase es garantizar que las operaciones y la infraestructura están en condiciones para apoyar la investigación.  Fase de preparación de operaciones: asegura que el insumo humano está capacitado y equipado para enfrentar el incidente.  Fase de preparación de la infraestructura: asegura que la infraestructura subyacente es suficiente para hacer frente a los incidentes futuros.

Fases de implementación: el objetivo de esta fase es proporcionar mecanismos para identificar y confirmar un incidente.  Fase de detección y notificación: dónde se detectó el incidente y avisar a las personas apropiadas.  Fase de confirmación y autorización: se confirma el incidente y se obtiene una autorización legal para llevar a cabo la búsqueda de evidencia.

Fases de investigación física de la escena del crimen: el objetivo de esta fase es reconstruir y analizar las pruebas físicas, para poder reconstruir las acciones que se realizaron durante el incidente (Ver Ilustración 24).

Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción libre de los autores

 Fase de preservación: preservar la escena del crimen con el fin de posteriormente poder identificar la evidencia.

51    

 Fase de encuesta(s): requiere un investigador que "entre" en la escena del crimen para identificar piezas de evidencia física.  Fase de documentación: consiste en tomar fotografías, dibujos y videos de la escena del crimen y de la evidencia.  Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia física adicional.  Fase de reconstrucción: organización de los resultados de los análisis realizados para poder desarrollar una teoría sobre el incidente.  Fase de presentación: presentación de la evidencia física o digital ante un tribunal. • Fases de investigación digital de la escena del crimen: el objetivo de esta fase es recoger y analizar la evidencia digital que se ha obtenido en la fase de investigación física (Ver Ilustración 25).

Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción libre de los autores

 Fase de preservación: preservar la escena del crimen digital, de manera que posteriormente puedan ser sincronizadas y analizadas para realizar otras pruebas.  Fase de encuesta: el investigador transfiere los datos relevantes a un lugar controlado.  Fase de documentación: consiste en documentar adecuadamente la evidencia digital, esta información es útil en la fase de presentación.  Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia digital. Las herramientas de software usadas revelan datos escondidos, eliminados, modificados o corruptos.  Fase de reconstrucción: la cual incluye poner juntas las piezas de un rompecabezas digital y desarrollar hipótesis investigativas.

52    

Son responsables de identificar y recolectar evidencia. aislar. Además de esto. preparar el reporte del caso. análisis y reporte de la evidencia electrónica. e informar cualquier hallazgo o determinación a los oficiales asignados. los roles son similares [81]. Fase de presentación: que involucra la presentación de la evidencia digital encontrada. Las responsabilidades de este rol son identificar la escena del incidente. acudir al personal de apoyo adecuado. o simplemente se cuenta con técnicos expertos en diferentes áreas.  sitio  exacto. registrar. y asistir en la recolección y preservación de evidencia. 2.  fecha  y  hora  de  los  traspasos  y  traslados  del  elemento  materia  de  prueba  o   evidencia  física. es importante para generar la cadena de custodia52 de la evidencia. la persona puede o no tener acceso a la evidencia asegurando en cierta forma la admisibilidad de la evidencia y su preservación. Su responsabilidad es establecer la cadena de mando. exanimación. al equipo de investigación. Ellos aceptan la evidencia recolectada por los • • •                                                                                                                             Actividad   por   la   cual   se   hace   constar   las   particularidades   de   los   elementos   materia   de   prueba. Investigadores: personal encargado de planear y manejar la preservación. • Fase de revisión: el objetivo de esta fase es realizar una revisión de todo el proceso de investigación.3.   52 53     . para identificar responsabilidades asociadas y asegurar que el alcance de las actividades sea completo y suficiente [8] [81] [82]: • Personal de primera respuesta: personal entrenado para llegar en primer lugar a la escena. usualmente involucra diferentes tipos de roles [82]. es por esto que generalmente son expertos en computación forense.   de   los   custodios. Independientemente del tipo de incidente. transportar y procesar la evidencia.3. para identificar mejoras en el mismo. Roles y funciones en una investigación forense digital El proceso de recolección de evidencia digital en un caso determinado. la realización de la búsqueda en la escena del crimen. Custodios de la evidencia: personal encargado de proteger toda la evidencia reunida y almacenada en una ubicación central. identificar.  entre  otros  [89]. Dentro de un proceso investigativo de tipo forense. Técnicos: personal encargado de llevar a cabo tareas bajo la supervisión del investigador líder. así como de documentar la escena del incidente. proveer una evaluación inicial y empezar con el primer nivel de respuesta del incidente. asegurar la escena del incidente. es importante definir una serie de roles con el objetivo de definir responsabilidades entregadas al personal correspondiente. debido a que dependiendo del rol. Otras responsabilidades que tienen son.1. Son entrenados especialmente para incautar los equipos electrónicos y obtener imágenes digitales de ellos y preservar los datos volátiles.  el  lugar. El NIST (National Institute of Standards and Technology Special Publication) hace distinción de una serie de roles genéricos. desarrollar la evidencia. El investigador líder es quién está a cargo de asegurar que las actividades que se llevan a cabo en la escena del crimen se ejecutan en el orden y momento correcto. adquisición.

técnicos, se aseguran que esté correctamente identificada, y mantienen una estricta cadena de custodia. • Examinadores forenses: personal especialmente entrenado para reproducir las imágenes obtenidas de los dispositivos incautados y recuperar datos digitales, haciendo visible la potencial evidencia digital en el dispositivo. Además, pueden encontrar más datos, utilizando equipos altamente especializados, ingeniería inversa, entre otros medios. Analistas forenses: personal encargado de evaluar el resultado obtenido por el examinador forense, de acuerdo a su significancia y valor probatorio.

2.3.1.4. Usos de la informática forense Según [66], la informática forense puede ser aplicada en varios ámbitos, de los cuales muchos provienen de la vida diaria y no tienen que estar directamente relacionados con la informática forense. • Prosecución criminal: casos que tratan de usar evidencia incriminatoria con el objetivo de procesar gran variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de estupefacientes, evasión de impuestos o pornografía infantil. Litigación civil: casos relacionados con fraude, discriminación, acoso y divorcio pueden ser resueltos con ayuda de la informática forense. Investigación de seguros: la evidencia digital encontrada en computadores, puede ayudar a las compañías de seguros a disminuir costos en los reclamos por accidentes y compensaciones. Temas corporativos: casos que tratan de usar evidencia incriminatoria para procesar incidentes relacionados con acoso sexual, mal uso o apropiación de información confidencial y espionaje industrial. Mantenimiento de la ley: la informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información digital una vez se tiene la orden judicial para hacer la búsqueda exhaustiva de evidencia.

2.3.2. Informática forense en iPhone 3G El objetivo principal de la informática forense aplicada a dispositivos móviles, al igual que el objetivo de la informática forense clásica como se mencionó anteriormente, es la búsqueda y recolección de información relacionada con un incidente en el cual se pueda encontrar posible evidencia digital incriminatoria, y esta sea utilizada como elemento material probatorio en un proceso judicial [14]. Actualmente, el 80% de los casos en procesos judiciales contienen algún tipo de evidencia digital [2], razón por la cual el proceso de recolección y el valor de la evidencia resulta ser de vital importancia. Sin embargo, y debido a que el mercado de la telefonía móvil inteligente se ha incrementado primordialmente por la variedad de fabricantes y modelos de teléfonos que existen, la 54    

heterogeneidad que se presenta tanto en su configuración de hardware, su sistema operativo y tipo de aplicaciones que manejan, como en las herramientas adoptadas para recuperar contenidos que se puedan utilizar en una investigación forense, es bastante significativa [12] [62]. En la mayoría de los casos, los fabricantes de dispositivos móviles optan por crear y aplicar sus propios protocolos para uso de sus sistemas operativos y cables, ocasionando que para los analistas forenses sea más difícil realizar una investigación por la variedad de herramientas que existen para cada tipo de dispositivo [2] [14]. Es por esto que para que se logre un análisis forense digital confiable, y la evidencia que se recoja logre ser admisible, auténtica, completa, fiable, entendible y creíble, es importante conservar los lineamientos presentados en la sección Consideraciones legales (Ver sección Evidencia digital) parámetros concernientes a la manipulación de teléfonos móviles celulares, y los puntos que pueden variar dependiendo del fabricante y modelo [13]. Hoy en día, como ya se ha mencionado, existe poca literatura sobre el análisis forense en dispositivos móviles y específicamente sobre el iPhone. Sin embargo, se han desarrollado herramientas y algunas técnicas forenses no formales para llevar a cabo dicho proceso. Como en cualquier investigación forense, existen variedad de enfoques que se pueden utilizar para la recolección y análisis de información [13]. Un aspecto clave para ello, por no decir el más importante, es que el procedimiento que se siga, no modifique la fuente de información de ninguna manera, o que de ser esto absolutamente necesario, el analista esté en la capacidad de justificar por qué realizó esta acción [23]. Según [23], existen tres técnicas diferentes para la recolección de evidencia sobre un iPhone: 1. Obtener datos directamente del iPhone: este enfoque es preferible a la recuperación archivos desde el computador con el que el iPhone se sincronizó. Sin embargo, el analista forense debe entender cómo ocurrió la adquisición de información, si el iPhone fue modificado en algún aspecto y qué tipo de información no se logró adquirir. 2. Obtener una copia de respaldo o una copia lógica del sistema de archivos del iPhone utilizando el protocolo de Apple: ésta aproximación consiste en la lectura de archivos del iPhone, mediante el protocolo de sincronización de Apple, el cual solo es capaz de obtener archivos explícitamente sincronizados a través de el. Piezas claves de información son almacenadas en bases de datos de tipo SQLite, las cuales son soportadas por el protocolo. Hacer consultas sobre estas bases de datos generará la recuperación de información como mensajes de texto y correos electrónicos eliminados del dispositivo. 3. Una copia física bit a bit: este proceso crea una copia física bit a bit del sistema de archivos del iPhone, de manera similar al procedimiento que se sigue sobre computadores personales. Este proceso, de todos los anteriores, es el que más potencial tiene para recuperar información, incluyendo los datos eliminados, pero resulta ser complicado pues requiere que se modifique la partición del sistema del iPhone.

55    

Según [5], el proceso técnico que se debe seguir para realizar un análisis forense sobre un iPhone, debe seguir fuertemente los lineamientos nombrados en la sección Consideraciones legales (Ver sección Evidencia digital), y consta de cuatro pasos que se describen a continuación: 1. Manipulación física: Es el paso más importante antes de examinar el dispositivo, ya que se debe contar con el equipo adecuado para mantener el dispositivo cargado y conectado. Se debe retirar la tarjeta SIM o bloquear cualquier tipo de comunicación o alteración que pueda sufrir el dispositivo mediante una jaula de Faraday que bloquee los campos eléctricos alrededor de él, incluyendo las transmisiones celulares [12]. 2. Establecer comunicación: este paso consiste en organizar las conexiones físicas y de red apropiadas para instalar una herramienta forense y realizar la recuperación de información. 3. Recuperación forense: extraer la información original para crear una copia y trabajar sobre ella. Esto requiere revisiones de integridad para evitar alteraciones de datos. 4. Descubrimiento electrónico: es el proceso en el cual toda la información extraída es procesada y analizada. Durante esta etapa, los archivos eliminados son recuperados y el sistema de archivos es analizado, para la recolección de evidencia. Para llevar a cabo el proceso anteriormente descrito, se han desarrollado de igual manera herramientas que permiten la extracción de información del dispositivo, y se ha hecho un enfoque del equipo necesario que se requiere para ello [15]: • Un computador ejecutando el sistema operativo Mac OS X Leopard ó Windows XP. Algunas de las herramientas que existen hasta el momento funcionan sobre Mac OS Tiger y Windows Vista pero no han sido probadas en su totalidad sobre estos sistemas, por lo cual no se garantiza que la extracción de datos sea completa. Un cable de tipo USB para instalar las herramientas de recuperación, y mantener el dispositivo cargado. Una implementación de SSH en el computador incluyendo ssh y scp, para establecer comunicación con el dispositivo. Una instalación en el computador de iTunes 7.6 o 7.7 dependiendo del firmware del iPhone en cuestión. De igual manera versiones superiores deberían funcionar correctamente. Espacio adecuado en el computador, para almacenar las copias del sistema de archivos del iPhone. Se recomienda reservar un espacio de mínimo tres veces la capacidad del iPhone en cuestión.

La situación con las herramientas forenses para teléfonos celulares es considerablemente diferente a los computadores personales. Si bien los computadores personales se han diseñado como sistema de propósito general, los teléfonos celulares están diseñados como dispositivos específicos que realizan un conjunto de tareas predefinidas. Los fabricantes de teléfonos celulares también tienden a basarse en una variedad de sistemas operativos en lugar del enfoque más uniforme que se da con los

56    

2.computadores personales. sin necesidad de realizar el Jailbreak . Es capaz de eludir el código de seguridad tanto del dispositivo como el de la tarjeta SIM.2. La siguiente información es recolectada: • • • • • • • • Información del teléfono Contactos Registro de llamadas Mensajes Información de internet Fotos Música/Videos Historiales La realización de la adquisición forense con WOLF es bastante intuitiva.4. además de presentar las siguientes características al momento de realizar la adquisición de evidencia: • Almacena el historial de las investigaciones realizadas. Soporta todos los modelos. Por lo anterior. la variedad de kits de herramientas para dispositivos móviles es diversa [8]. se solicitará la información correspondiente al caso que se desea investigar.2. WOLF de Sixth Legion Según [73]. ya que la adquisición de información se hace sobre una copia de la lógica de datos. luego de realizar la activación. Contiene las siguientes opciones:  Datos del teléfono  Fotos 57     . que ejecutan cualquier versión de firmware desde la 1.1. es una herramienta forense diseñada específicamente para el iPhone. Sin embargo.11 o mayor).0 hasta la 2. 2G y 3G. Debido a esto. WOLF afirma ser la única herramienta forense orientada a iPhone que no realiza modificaciones sobre él. Existen variedad de herramientas para este propósito cada una con características y propiedades diferentes. Dentro de los datos que almacena se encuentran:     • Nombre de los investigadores Nombre del caso Numero del caso Estado del iPhone (Bloqueado/Desbloqueado) Permite seleccionar el tipo de datos que se desea analizar. se debe contar con una herramienta para su análisis. una vez se cree un ambiente más confiable que limite la contaminación cruzada sobre las copias del sistema de archivos obtenidas. aunque existe una versión compatible con Windows llamada Beowulf. A continuación describiremos algunas de las que existen en la actualidad según [23] [45]. una desventaja de la herramienta es que no recupera contenido suprimido del dispositivo.3. si se tiene acceso al computador en el que fue usado el iPhone. Este software solo se puede ejecutar sobre el sistema operativo Mac OS X (10.

eliminando la necesidad de bolsas que no permitan cualquier tipo de conexión usando los principios de la jaula de Faraday54. fotos y detalles del teléfono entre otros. una es la estándar y la otra es mediante el volcado de memoria. videos y audio/música) Conectar el iPhone al puerto origen con el cable de conexión 110 y la memoria USB en el puerto destino. Medios del iPod  Recuperación total de datos Al terminar la adquisición de información. el sistema forense Cellebrite UFED es un dispositivo autónomo (stand-alone). y la posibilidad de que los datos del teléfono sean actualizados o eliminados. agenda. recibidas.2. Incluyen protocolos de conexión serial. fotos. Usando Cellebrite UFED se puede extraer los siguientes datos: • • • • • • • • • Agenda telefónica Mensajes de Texto Historial de llamadas (marcadas. El paquete viene con alrededor de 70 cables para conectar a la mayoría de los dispositivos móviles disponibles en la actualidad.     58     . capaz de adquirir datos desde dispositivos móviles y almacenar la información en una unidad USB. historial de llamadas. tarjeta SD53 o computador. Permite extraer información de contactos. SMS. perdidas) Clonación SIM ID Mensajes de texto eliminados Grabaciones de audio Videos Fotos Detalles del teléfono La adquisición forense en un iPhone 3G se puede realizar de dos formas. se deben seguir los siguientes pasos: • • • • • • Seleccionar Extract Phone Data Seleccionar Apple Seleccionar iPhone 2G/3G Seleccionar unidad destino Seleccionar los tipos de contenido (registros de llamadas incluidas. Después de encender el dispositivo. grabaciones. infrarrojos y Bluetooth. mensajes de texto. no se registrará con el operador de telefonía móvil de la red. 2.                                                                                                                           53 54    Es  un  formato  de  tarjeta  de  memoria  flash  utilizado  en  dispositivos  portátiles.2. se podrán ver los resultados por medio de la aplicación.3. Este proceso es rápido y simple con esta herramienta. video. mensajes de texto eliminados. Sin embargo. o se pueden guardar los informes en formato HTML.    Es  un  tipo  de  blindaje  de  campo  eléctrico. Cellebrite UFED Según [74]. La posibilidad de clonar una tarjeta SIM es una potente característica que puede crear e insertar un clon de la tarjeta SIM original y el teléfono funcionará con normalidad. USB. UFED incorpora un lector y generador de copias de tarjetas SIM.

destacándose por la capacidad para realizar adquisición física. La información se almacena en un dispositivo USB y el software 59     . Outlook Express y CSV o simplemente imprimirlo.4.2. Presenta dos opciones para realizar la adquisición de información del iPhone. DS presenta al investigador una interfaz de usuario consistente. categoría y descripción).Cellebrite también incluye UFED Report Manager. PDAs y dispositivos GPS) y es compatible con Microsoft Windows. 2. Paraben Device Seizure (DS) Según [75].3. DS puede almacenar la información de cada caso y de los investigadores relacionados con él. 2.2. Cuando la adquisición es finalizada. una es iPhone advanced (logical) y la otra es iPhone Jailbroken (si el iPhone en cuestión tiene Jailbreak). El paquete está diseñado para apoyar la adquisición completa de información.3. El objetivo de MLP es proporcionar una solución de plataforma cruzada forense que realiza una adquisición en vivo de una máquina sospechosa. lo cual permite recuperar datos eliminados. es una herramienta forense que sirve para la adquisición de información en más de 2700 dispositivos (incluidos los teléfonos. el cual provee una interfaz intuitiva para realizar reportes sobre las investigaciones y además permite exportar dichos reportes en Excel. y el proceso de investigación. donde se muestran las propiedades de los datos adquiridos (MD5 y SHA1. Usando esta herramienta se pueden extraer los siguientes datos: • • • • Historial de mensajes de texto Mensajes de texto eliminados Agenda telefónica (Almacenados en la memoria del dispositivo o en la tarjeta SIM) Registro de llamadas  Recibidas  Realizadas  Perdidas • • • Datos sobre las llamadas y duraciones Calendario Sistema de archivos (Volcados de memoria):      • Sistema de archivos Archivos multimedia Archivos Java Archivos eliminados Notas rápidas Correo electrónico Como la mayoría de las herramientas. además de mostrar el contenido de forma clara. esta herramienta tiene un enfoque único para la adquisición forense. MS Outlook.3. MacLockPick II (MLP) Según [76].

5.2. Se conecta el dispositivo en el equipo destino Windows XP.3.se proporciona para analizar los resultados. Analiza los datos. se encuentra cada archivo extraído en el directorio. las imágenes son almacenadas en un documento con formato HTML. y una subcarpeta denominada Original_Files que permite abrir / analizar los archivos extraídos y aún conservar una copia original. La interfaz de usuario es sencilla y permite hacer búsquedas rápidas. la adquisición de datos es muy simple. en su lugar se centra en el directorio de copia de seguridad MDBACKUP donde se almacenan la gran mayoría de los archivos. MLP no funciona directamente en el iPhone. aunque la información extraída es mostrada como archivo de texto y solo se puede exportar en formato HTML. 2. es una herramienta forense de BlackBag Technologies.plist principal con la información básica del dispositivo. Si se hace clic sobre la información del dispositivo. Entre los datos que son recuperables se encuentran: • • • • • • • • • Historial de llamadas Mensajes de texto Contactos Notas Fotos Cuentas de correo sincronizadas Favoritos – Marcación rápida Estado. se debe copiar el directorio de respaldo desde un computador Windows a un Mac para poder realizar el análisis. MDBackup Extract Según [77]. compatible únicamente con computadores Mac. En el momento de seleccionar la carpeta. Al iniciar la aplicación se debe seleccionar la carpeta donde se encuentra almacenada la copia de seguridad del iPhone que se desea analizar. desde el directorio de respaldo del sincronizador móvil iTunes. La ventana principal permite ver los resultados de la extracción y analizar la información. La herramienta está actualmente en una versión beta y la producción de información es limitada. historial y bookmarks del navegador Detalles del teléfono Luego de actualizar y licenciar la herramienta. Las imágenes se pueden visualizar haciendo clic en las vistas en miniatura presentadas en la pantalla principal. Allí. se inicia la reproducción automática. Luego de seleccionar el archivo se presenta la pantalla principal donde se permite examinar los resultados obtenidos. Al momento de iniciar la herramienta. y la herramienta se encarga de realizar la adquisición. se pide seleccionar un archivo keylog. se debe ingresar la ruta donde se van a extraer los resultados. se presenta el archivo Info. Como es una utilidad solo de Mac. 60     .

y se pueda acceder a el por medio de la interfaz de usuario. diseñada por Youssef Francis y Pepij Oomen.1 Según [78]. HTML. etc. sistema para clonar tarjetas SIM. Es importante señalar que los estados de información en pantalla y los mensajes de correo electrónico no se recuperarán a menos que el teléfono esté desbloqueado.0.Esta herramienta ofrece las búsquedas por palabra clave.6. lector de tarjetas de memoria y un CD con el software.2. Plist. . así como volcados físicos de memoria. 2.3.) Al final del proceso se muestra un resumen con el tipo de información recuperada. iLiberty+ se aprovecha de una vulnerabilidad en el firmware v1. es una herramienta forense orientada a dispositivos móviles que realiza adquisición lógica de datos. que permite desbloquear el iPod/iPhone e instalar en él varias cargas útiles. es una herramienta libre.7. Inicialmente pregunta a qué tipo de dispositivo se le va a hacer la extracción. cables de corriente. La adquisición de información con esta herramienta es sencilla. iLiberty+ fue mejorado para permitir que se instale de forma segura el paquete de investigación forense en el iPhone. un adaptador de licencias. permitiendo que cualquier tipo de software sea instalado en el dispositivo. 2. despliega información como: 61     .x.2. Además tiene visualizados de bases de datos SQLite. basta con seleccionar el botón de búsqueda y aparece una ventana nueva con los resultados. Los siguientes son los datos que se pueden extraer con . El paquete de investigación forense contiene: • • • • • Un entorno Unix básico OpenSSH (Shell seguro) Netcat (herramienta para enviar datos a través de la red) MD5 (compendio criptográfico para la creación de la imagen del disco) Herramienta de copia/imagen dd (para acceder al disco) Inicialmente esta herramienta al reconocer el iPhone. lector de tarjetas SIM.XRY/.3.XACT 4. de para que el iPhone de inicie desde un disco RAM sin firma.XRY: • • • • • • • • Registros de llamadas Contactos Calendario Notas Mensajes de texto Fotos Coordenadas GPS Otros documentos (archivos XML. iLiberty+ Según [5] [79]. El sistema viene en un maletín pequeño que incluye: una unidad de comunicación USB 2.

Igualmente la conexión mediante infrarrojo o Bluetooth viene integrada. si alguno de los dos tipos de bloqueo que tiene el iPhone (SIM o código a nivel de sistema operativo) está activo. una característica llamada smart adapter. • • • Hora y fecha del teléfono Número de serie (IMEI.pero. el paquete de investigación no podrá ser instalado. es necesario ejecutar el Jailbreak que la misma herramienta realiza sobre el dispositivo o hacerlo utilizando alguna otra herramienta. y posteriormente. dentro de los cuales se pueden encontrar: • • • • • • • • • • • • • Diccionarios dinámicos Mensajes de voz Listas de propiedad Bases de datos SQLite Correos electrónicos Páginas web Otro tipo de archivos (PDF.IMSI) Llamadas marcadas y/o recibidas 62     . y dispositivos de navegación satelital. iluminará el adaptador USB correspondiente (entre 40) para realizar la extracción de información. Sin embargo.3. Permite al usuario identificar dispositivos de acuerdo a la marca. Una vez se lleva a cabo el proceso anterior. dimensiones y/o fotografías del mismo. CellDEK captura los datos almacenados en el dispositivo. Microsoft Word) Bloques PGP Imágenes Historial de llamadas Mensajes SMS Notas Calendario 2. se podrá empezar la recuperación de datos.• • • • • Firmware Tipo de dispositivo Estado Particiones Sistema de archivos Una vez activado el paquete de investigación forense.8. para aceptar conexiones SSH. CellDEK Esta herramienta es compatible con hasta 1600 teléfonos celulares. y automáticamente. también se puede hacer manualmente utilizando una herramienta llamada iPhone Utility Client. lleva a cabo la extracción forense de los datos que se listan a continuación desplegándolos por pantalla. número del modelo. Inicialmente se seleccionará el tipo de dispositivo en el cual se llevará a cabo el análisis. y será necesario deshabilitar el bloqueo activo. PDAs. iLiberty+ proporciona una característica para desbloquear el dispositivo llamada Bypass Passcode. en aproximadamente cinco minutos.2.

Herramientas de apoyo a MEGA se están desarrollando para interpretar los archivos escritos por aplicaciones comunes del Mac OS.                                                                                                                           55  Herramienta  que  permite  cifrar  la  información  de  la  carpeta  de  inicio  en  Mac  OS  X. MEGA Las herramientas de informática forense para equipos Mac se han centrado tradicionalmente en los detalles de bajo nivel del sistema de archivos. Una vez se cumple este requisito. el reporte es generado y desplegado por pantalla automáticamente.• • • • • • Agenda telefónica (tanto del dispositivo como se la SIM) Mensajes MMS (no disponible en todos los teléfonos móviles) Mensajes SMS eliminados de la SIM Calendario Recordatorios Imágenes. Mail. También puede ayudar a los investigadores para evaluar los directorios cifrados del FileVault55. permitiendo al usuario seleccionar el tipo de información que desea ver. directorios. y registros. e iTunes [64]. proporciona un acceso sencillo al sistema de indexación de metadatos Spotlight mantenida por el sistema operativo. MEGA es un conjunto de herramientas extensibles para el análisis de archivos sobre imágenes de disco con Mac OS X.2. videos y sonidos Para realizar la adquisición de información de un iPhone. El sistema operativo Mac OS X y las aplicaciones comunes en la plataforma Mac proporcionan abundante información sobre las actividades del usuario en la configuración de archivos. es necesario instalar iTunes en el equipo en que dicha adquisición se va a llevar a cabo. como Safari.9. se seguirán los pasos nombrados anteriormente para la extracción de datos. 2.3. con un rendimiento eficiente de búsqueda de contenido de archivos y la exposición de. Posterior a ello. Esta herramienta.   63     .

2. es proponer formalmente una guía metodológica para realizar análisis forense sobre dispositivos móviles.3. 1. • Tipo de dispositivo • Marca • Modelo • Número serial • Estado (Encendido/apagado) 1. dicha guía será evaluada en un escenario con el objetivo de validarla y realizar las correcciones correspondientes. Posteriormente.3. 2.4. 3.1. 1. La guía mencionada anteriormente consta de 4 etapas con un total de 11 fases. Identificación y documentación de los componentes electrónicos que no van a ser incautados: es necesario realizar la identificación y documentación de todos los componentes electrónicos que se encuentren en la escena del crimen. 3. Fase de identificación de la escena: el objetivo de esta fase es realizar la identificación y documentación de todos los elementos encontrados en la escena del crimen. Los datos que deben ser recolectados por cada dispositivo son los siguientes. 1.2. Etapa de investigación física El objetivo de esta etapa. Etapa de preparación e implementación El objetivo de esta etapa es seleccionar el personal adecuado para realizar la investigación y proporcionar mecanismos para identificar y confirmar la ocurrencia de un incidente. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G) El objetivo principal de esta investigación. luego de ser víctima de un ataque. Fase de identificación de roles y funciones: asignar el equipo de investigadores forenses (Ver sección Roles y funciones en una investigación forense digital). diligenciando el formulario de documentación escena del crimen (Ver Anexo 6). diferentes al equipo que fue vulnerado.1. Fase de detección: identificar el lugar dónde se presentó el incidente y diligenciar el formulario de actuación del primer respondiente (Ver Anexo 5). Identificación y documentación de los componentes electrónicos que van a ser incautados: es necesario realizar la identificación y documentación de todos los 64     . se puede encontrar alguna conexión asociada a alguno de los dispositivos mencionados anteriormente. basada en el modelo de investigación digital integrado (Ver sección 2.2. y decidir qué tipo de elementos se utilizarán para llevar a cabo la investigación. es realizar la identificación física de la escena del crimen. específicamente en iPhone 3G. Modelo de investigación digital integrado – IDIP (2003)). debido a que en el momento de realizar la búsqueda de evidencia.1.2.

Desmontar iPhone desde iTunes • Identificar y documentar los siguientes ítems sobre el dispositivo vulnerado. Identificación y documentación del dispositivo vulnerado: para realizar esta actividad es necesario tener en cuenta los siguientes pasos y diligenciar el formulario de identificación del dispositivo vulnerado (Ver Anexo 8).4.   57 56 65     . comandos de eliminación de archivos. Realización de entrevista al usuario del dispositivo vulnerado: es necesario realizar una entrevista al usuario del dispositivo vulnerado con el objetivo de recolectar toda la información posible sobre este. • Verificar si el dispositivo se encuentra conectado a algún computador o cargador. Dichos componentes pueden ser los siguientes: • • • • • Manuales del dispositivo Cargadores Memorias extraíbles Códigos de acceso PIN56 y PUK57 Accesorios del dispositivo (manos libres. 1. pues al desconectarlo. verificar si el dispositivo se encuentra montado58.3. entre otros) 1. el uso que se le daba al dispositivo y si el equipo ha sufrido algunas modificaciones físicas o lógicas con respecto a su estado de fábrica (Ver Anexo 2). audífonos. Dentro de la información que se desea recolectar. pues el disco puede fallar o presentar daños. se debe desmontar desde iTunes (Ver Ilustración 26 ) antes de desconectarlo. • Ilustración 26.   58   Acción   de   integrar   un   sistema   de   archivos   alojado   en   un   determinado   dispositivo   dentro   del   árbol   de   directorios  de  un  sistema  operativo. de ser así. se pueden ejecutar en él. En caso de estar conectado a un computador.componentes electrónicos relacionados con el dispositivo.    Es  un  código  de  8  cifras  que  sirve  para  desbloquear  el  PIN  cuando  éste  ha  sido  previamente  bloqueado. que más adelante faciliten el acceso y uso del mismo dentro de la investigación. están los códigos de seguridad. se deben tener en cuenta los siguientes datos: a) b) c) d) e) Estado (prendido/apagado) Estado de protección PIN (activado/desactivado) Estado de protección código de seguridad (activado/desactivado) Modelo (número/generación) Capacidad de almacenamiento                                                                                                                            Es  un  código  personal  de  4  cifras  que  permite  acceder  o  bloquear  el  uso  del  teléfono  móvil.

Aseguramiento de la evidencia física: es necesario aislar y etiquetar el dispositivo y los demás elementos electrónicos incautados como evidencia. Aislamiento del dispositivo: es necesario aislar el dispositivo de cualquier tipo de red (3G. teniendo en cuenta que no debe ser almacenado cerca a medios magnéticos debido a que esto puede llegar a alterar la evidencia. Fase de elección de herramienta(s) forenses: el objetivo de esta fase es realizar la elección de la(s) herramienta(s) forense(s) que va(n) a ser utilizada(s) durante la investigación. 2. 3. dichas herramientas serán seleccionadas dependiendo del nivel de análisis que se quiera tener en la investigación o el contexto en el cual haya sido vulnerado el dispositivo. Creación registro de cadena de custodia: el objetivo de esta actividad es iniciar la documentación de la cadena de custodia.   60 59 66     . la cual debe ser diligenciada durante toda la investigación de manera estricta. Fase de aseguramiento y preservación de la evidencia física: el objetivo de esta fase es preservar la escena del crimen con el fin de posteriormente identificar la evidencia digital.                                                                                                                            Número  de  identificación  internacional  de  la  tarjeta  SIM.1. 2. Edge. Informática forense en iPhone 3G). Esta elección se puede llevar a cabo teniendo en cuenta las herramientas nombradas en la sección Informática forense en iPhone 3G (Ver sección 2.     Código   de   15   o   17   dígitos   que   identifica   de   manera   individual   a   cada   estación   móvil   en   la   red     GSM   o   UMTS  [88].3. Wi-Fi.2.2. 2.3. GPRS) con la cual pueda iniciarse o existir alguna conexión.f) g) h) i) j) k) l) m) n) o) p) q) r) s) t) Número de Serie Número ICCID59 Versión Firmware IMEI60 Número de teléfono Operador de telefonía celular Cobertura Conexiones soportadas Dirección MAC Wi-Fi Dirección MAC Bluetooth Número de canciones Número de videos Número de fotos Número de Aplicaciones Dimensiones 2. GSM.

es importante verificar que la aplicación Cydia. modificados o corruptos. Etapa de investigación digital El objetivo de esta etapa. revelan datos escondidos. dd) para realizar la adquisición física de la imagen. debido a que la adquisición física requiere que el iPhone esté liberado. Icy o RockYourPhone instalada en el iPhone funcione correctamente. pues esta aplicación es la encargada de descargar los programas que se necesitaran instalar en el iPhone (Netcat. Se debe tener especial cuidado en la preservación de la integridad y admisibilidad de la evidencia digital. Para realizar esta actividad es necesario seguir los siguientes pasos: 2. b) Utilizar una herramienta para crear un paquete de firmware personalizado. Esta información es útil en la fase de presentación de la evidencia. Fase de documentación: consiste en la creación y aseguramiento de un documento. La(s) herramienta(s) de software escogida(s) para ello.1. de forma tal que se haga Jailbreak en el iPhone sin pérdida de información. Es importante tener conocimiento de esto. diligenciando el formulario de Documentación evidencia digital (Ver Anexo 7). es importante seguir una serie de pasos.1. Verificación de Jailbreak: esta actividad consiste en verificar si el dispositivo incautado ha sido liberado mediante el proceso de Jailbreak (Ver sección 2. es llevar a cabo la recolección y análisis de la evidencia digital obtenida en la fase anterior. 1. • Verificación: para verificar que el iPhone se encuentre liberado mediante el proceso de Jailbreak.3. eliminados. ya sea físico o electrónico. iPhone no liberado: en caso que el iPhone no esté liberado. • • 67     . es necesario que el investigador tenga acceso físico al dispositivo y se asegure que la aplicación Cydia se encuentre disponible. Jailbreak). Fase de búsqueda y recolección de evidencia digital: el objetivo de esta fase es realizar la búsqueda en profundidad de evidencia digital. que actualizará el NOR (caché del kernel) sin destruir datos en tiempo real.3.2. Los pasos que se deben seguir son los siguientes: a) En un computador instalar y ejecutar alguna herramienta que realice Jailbreak. preferiblemente PwnageTool. iPhone liberado: en caso que el iPhone esté liberado. 2. que permita llevar a cabo un historial de todas las actividades que se llevan a cabo durante el proceso de adquisición de evidencia [92].

de forma tal que los eventos se puedan correlacionar y a partir de esto reconstruir la escena y obtener la mayor cantidad de detalles del incidente. 4. con sus respectivos compendios criptográficos. Es recomendable obtener una imagen de la tarjeta SIM debido a que es posible que se encuentren rastros del incidente en dicho medio de almacenamiento. 2. identificando principalmente datos físicos y lógicos.   68     . O. es necesario verificar la integridad de cada imagen recolectada usando MD5. generar varias copias de la evidencia recolectada. Fase de análisis de la evidencia digital: el objetivo de esta fase es realizar el análisis de los datos obtenidos en la recolección de evidencia. utilizar la aplicación Cydia. para ganar acceso al dispositivo 2. para descargar las aplicaciones Netcat y dd desde el dispositivo. para construir una línea de tiempo. que instalará el paquete de herramientas de recuperación en el iPhone. se deben realizar las siguientes acciones: • • 61 Identificar propiedades generales de la adquisición Estructura de la adquisición                                                                                                                            Es  una  forma  de  sobrepasar  el  iBoot  del  iPhone  de  forma  tal  que  se  pueda  alterar  el  firmware  del   dispositivo. Adquisición lógica: consiste en llevar a cabo la obtención de información del tipo: a) b) c) d) e) f) g) Lista de contactos Historial de llamadas Historial de mensajes Fotos imágenes y videos Correo electrónico Eventos de calendario Información entre el dispositivo y el computador relacionado 3. Con respecto a lo anterior. d) Con el iPhone en modo DFU61.2. Fase de aseguramiento y preservación de la evidencia digital: el objetivo de esta fase es preservar y asegurar toda la evidencia digital recolectada para conservar su integridad. Para ello. instalar el firmware personalizado a través de iTunes.3. Adquisición física: esta actividad consiste en llevar a cabo el volcado de memoria tanto volátil como no volátil de memoria. Esto consiste en tomar la imagen binaria bit a bit de la memoria del dispositivo comprometido.c) Utilizar la herramienta anterior para crear un paquete de firmware personalizado. Icy o RockYourPhone. asegurarlas en un lugar restringido y trabajar siempre con una copia de respaldo exactamente igual a la original para prevenir alteraciones sobre su contenido durante la fase de análisis de evidencia digital.

Los reportes de resultados generalmente. cable) • • • • Consolidación de archivos sospechosos Análisis de los archivos sospechosos Determinación de los archivos comprometidos con el caso Obtención de la línea de tiempo definitiva 5. Además. eventos y hallazgos obtenidos durante el proceso de investigación.• • • • • • • • • • Identificación de las particiones actuales y anteriores (las que sea posible recuperar) Identificación del sistema de archivos Identificación de archivos existentes Determinación del sistema operativo Recuperación de archivos eliminados Identificación de información oculta Identificación de archivos protegidos Identificación de aplicaciones instaladas Consolidación de archivos potencialmente analizables Análisis de datos [8]: a) b) c) d) e) f) g) h) i) j) k) l) m) n) Identificadores del dispositivo y del proveedor de servicio Fecha/hora Lenguaje Información de la lista de contactos Información del calendario Mensajes de texto Registro de llamadas (recibidas. perdidas. Todo el personal está involucrado en ésta etapa y es vital para asegurar la cadena de custodia de la evidencia.4. son generados por la herramienta que se utiliza para efectuar el análisis. Infrarrojo. Etapa de presentación y revisión El objetivo de esta etapa es documentar todas las acciones. 3. y los resultados del análisis de la misma al equipo de investigación. marcadas) Correo electrónico Fotos /Videos / Audio Mensajes multimedia Mensajería instantánea y navegación web Documentos electrónicos Revisar los registros del sistema Identificar rastros de conexiones (Bluetooth. Fase de presentación de la evidencia digital: involucra la presentación de la evidencia digital encontrada. se realiza una revisión de todo el proceso de investigación. 69     . para identificar mejoras en el mismo.

3. es necesario realizar un ataque sobre el iPhone 3G destinado para dicha prueba (Ver Anexo 9).1. Aplicación guía metodológica A continuación se presentan los resultados de la guía metodológica propuesta. Fase de detección: a continuación se muestra la documentación del lugar de los hechos (Ver Tabla 7) y el estado general de la escena del crimen (Ver Ilustración 27).2. sin embargo al no contar con el suficiente personal y recursos económicos. aplicada al caso de estudio (Ver sección 4. Etapa de preparación e implementación 1.50 Teléfono 345 55 31 Observación del lugar de los hechos El dispositivo fue encontrado en un apartamento ubicado en una zona residencial de Galerías y se encuentra la presencia de varias redes inalámbricas públicas Personas encontradas en el lugar de los hechos Nombres y Apellidos Identificación Paola Isabel Ruiz Caro Juan Camilo Ruiz Caro 1019007331 Victimas Nombres y Apellidos Identificación 70     .3.2. Asignación de roles 2. Roles y funciones en una investigación forense digital). 4. Definición del ataque y herramientas Para llevar a cabo el escenario de prueba con el cual será validada la guía metodológica propuesta en el capitulo anterior (Ver sección 3. Rol Personal de primera respuesta Investigador Técnico Custodio de la evidencia Examinador forense Analista forense Nombre Andrea Ariza Díaz Juan Camilo Ruiz Andrea Ariza Díaz Juan Camilo Ruiz Andrea Ariza Díaz Juan Camilo Ruiz Identificación 1018405780 1019007331 1018405780 1019007331 1018405780 1019007331 Tabla 6. la totalidad de los roles serán asignados a los autores de la investigación (Ver Tabla 6).1. VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA 4.4. Escenario de prueba).1. 4. 2 1 0 Año 2 0 0 11:55 Día 7 Mes 9 Hora(Militar) Departamento Bogotá DC Barrio Bogotá DC Dirección Carrera 20 # 52 . Fase de identificación de roles y funciones: para el desarrollo de la presente investigación se realizará la asignación de roles según lo mencionado anteriormente (Ver sección 2. Escenario de prueba 4.1.1.1. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)).

Fase de identificación de la escena 1.2.Juan Camilo Ruiz Caro 1019007331 Nombres Andrea Número de identificación Entidad Cargo Firma Primer respondiente Apellidos Ariza Díaz 1018405780 Pontificia Universidad Javeriana Personal de primera respuesta Tabla 7. Código único del caso Día 2 7 Mes I-001 1 0 Año 2 0 0 9 Hora(Militar) Elementos no incautados Tipo dispositivo Marca Modelo Numero Serial Computador portátil (Ver COMPAQ V3718LA 2CE8224KV1 Ilustración 28) Router (Ver Ilustración 29) Tipo dispositivo Marca Linksys WRT54G V8 CDFG1H51513 1 11:56 Propietario Juan Camilo Ruiz Caro Juan Camilo Ruiz Caro Estado Código Elementos incautados Numero Modelo Descripción 71     .1.2. Identificación y documentación de los componentes electrónicos que no van a ser incautados: en la escena del crimen se identificaron los componentes electrónicos listados en la sección de elementos no incautados del formulario de documentación de la escena del crimen (Ver Tabla 8) 1.2. Formato actuación primer respondiente diligenciado Ilustración 27. Foto de estado general de la escena del crimen 4. Identificación y documentación de los componentes electrónicos que van a ser incautados: en la escena el crimen se identificaron y recolectaron los componentes electrónicos listados en la sección de elementos incautados del formulario de documentación de la escena del crimen (Ver Tabla 8). Etapa de investigación física 1.

por lo tanto de ser necesario se hará uso de los manuales electrónicos obtenidos desde el portal web del fabricante (Apple). Por otro lado no se encontraron los manuales físicos del dispositivo. Tabla 8. Foto computador portátil V3718LA no incautado 72     .Serial Cable que puede ser usado para conectar el dispositivo a un computador o para conectar el adaptador de corriente correspondiente a la evidencia numero E002. con el objetivo de recargar la batería de este Dispositivo vulnerado evidencia Cable USB (Ver Ilustración 30) Apple N/A N/A N/A E-001 Adaptador de corriente (Ver Ilustración 31) Apple 1X83024 57ZJ3 A1265 N/A E-002 iPhone 3G (Ver Ilustración 32) Apple 868312F 4Y7H A1241 Encendid o E-003 Accesorio del dispositivo por medio Audífonos del cual se puede Apple N/A N/A N/A E-004 (manos libres) escuchar música y tener conversaciones telefónicas. Formato documentación escena del crimen diligenciado Ilustración 28. Observaciones: El equipo se encontró encendido. Adaptador que puede ser conectado al dispositivo usando el cable USB identificado con el código E-001. por tal razón no es necesario obtener el número PIN y PUK. con el objetivo de cargar la batería de este o sincronizarlo. sin embargo se encuentra protegido con código de seguridad.

Foto iPhone 3G incautado 73     . Foto cable USB incautado Ilustración 31. Foto adaptador de corriente incautado Ilustración 32.Ilustración 29. Foto router Linksys no incautado Ilustración 30.

2. ¿Con cuál herramienta fue realizado? Respuesta: Pwnage 10. ¿El dispositivo está protegido con código de seguridad? Respuesta: Si 11. El dispositivo está protegido con número PIN? Respuesta: Si 13. Si la respuesta anterior es si. ¿Qué sucesos extraños le indicaron que su teléfono había sido vulnerado? Respuesta: Algunas aplicaciones que tenía instaladas no servían de un momento a otro. con un computador Compaq V3718LA. Si la respuesta anterior es si. 18. ¿Podría facilitar el código de seguridad? Respuesta: 1946 12. ¿Utiliza frecuentemente la tecnología Bluetooth? 16. Además de las conexiones con las manos libres. ¿Usualmente que uso le da a su teléfono celular? Respuesta: Lo uso principalmente para escuchar música. Si la respuesta anterior es si. Número de identificación Respuesta: 1019007331 3. ¿En cuál operador de telefonía celular está inscrito el dispositivo? Respuesta: Comcel 6. 8.1. Si la respuesta anterior es si. Mac)? ¿Cómo realiza este procedimiento? Respuesta: Si. ¿Desde cuándo es propietario del dispositivo? Respuesta: Aproximadamente 6 meses. Nombres y Apellidos Respuesta: Juan Camilo Ruiz Caro. ¿Lo compró nuevo o usado? Respuesta: Nuevo 5. ¿Tiene habilitada la tecnología Bluetooth? Respuesta: No 15. los mensajes de texto y la lista de contactos desaparecieron 19. ¿Dentro de los últimos días alguien más ha tenido acceso a su dispositivo? Respuesta: No 74     . revisar mis correos electrónicos y para recibir y realizar llamadas. ¿Ha utilizado últimamente Bluetooth con algún otro dispositivo? Respuesta: No 17. ¿Al dispositivo se le ha realizado Jailbreak? Respuesta: Si 9. ¿Podría facilitar el número PIN? Respuesta: 1945 14. ¿Cuál es el número de teléfono celular asociado con el dispositivo? Respuesta: 320 840 60 41 7. ¿Sincroniza el contenido de su teléfono con algún computador en especial (Windows. 4.3. El procedimiento que hago es conectarlo por medio del cable USB y automáticamente iTunes sincroniza los datos. Realización de entrevista al usuario del dispositivo vulnerado 1.

Wi-fi) Respuesta: El dispositivo se conecta normalmente a la red 3G de Comcel y cuando estoy en mi casa o en la universidad se conecta automáticamente a las redes Wi-Fi de estos sitios. videos.1 (7C144) IMEI 01 161400 991961 9 Número de teléfono 320 8406041 Operador de telefonía celular Comcel 5. 1. 1. 1. Código único del caso Día 2 7 Mes Año 2 0 0 9 11:58 Estado del dispositivo Estado de conexión (conectado/desconectado) Desconectado Estado (encendido/apagado) Encendido Estado de protección PIN (activado/desactivado) Activado Estado de protección código de seguridad Desactivado (activado/desactivado) Información general Modelo (número/generación) MB489LA / 3G Capacidad de almacenamiento 8 GB Número de serie 868312F4Y7H Número ICCID 8957 1010 0081 3199 4597 Versión Firmware 3. contactos.100 MHz).0 Dirección MAC Wi-Fi 00:21:E9:13:A2:6B Dirección MAC Bluetooth 00:21:E9:13:A2:6A Canciones 718 Videos 1 Fotos 12 Aplicaciones 11 Dimensiones Peso 135 gramos Alto 115.20. 2. contactos. Identificación y documentación del dispositivo vulnerado: a continuación se muestra la información correspondiente al dispositivo vulnerado (Ver Tabla 9). GSM/EDGE (850. documentos) que se encontraba almacenada en su teléfono celular? Respuesta: Mensajes de texto y contactos 21.800 y 1.3mm 1 0 I-001 Hora(Militar) 75     . 900.3G. ¿Realiza alguna otra conexión con su teléfono celular distinta a las ya mencionadas? (WAP.1 mm Grosor 12.900 MHz).4. documentos) que se encontraba almacenada en su teléfono celular? Respuesta: No 22. mensajes.0 Cobertura UMTS/HSDPA (850. mensajes.5 mm Ancho 62.900.11b/g) Conexiones soportadas Bluetooth. ¿Ha algún tipo de modificación de información (fotos. ¿Ha notado la ausencia de algún tipo de información (fotos. Wi-Fi. videos. Wi-Fi (802. USB 2.

Adquisición de la evidencia Examinador Forense E-002.1. Código único del caso I-001 Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) Fecha Hora Identificación y Código Propósito del traspaso o (dd/mm/aa) cargo de quien evidencia traslado recibe la evidencia 27/10/09 11:56 1018405780 / E-001.Navegador de internet Mensajería Navegación y Mensajería HTML SMS.SMTP) Tabla 9. Recolección y aseguramiento de E-004 la evidencia física 27/10/09 11:58 1018405780 / E-003 Manipulación física del Personal de primera dispositivo con el objetivo de respuesta obtener información general de este. 11:56 Firma                                                                                                                           62  Servicio  de  mensajería  multimedia  (fotos. Creación registro de cadena de custodia: a continuación se muestra el registro de cadena de custodia diligenciado (Ver Tabla 10). Formulario de identificación del dispositivo vulnerado diligenciado 2. digital E-007. Fase de aseguramiento y preservación de la evidencia física: 2. Identificación de la escena del Personal de primera E-002.  audio. E-008 27/10/09 20:17 1019007331 / E-005. E-008 27/10/09 20:19 1018405780 / E-001. respuesta E-003. 27/10/09 20:15 1019007331 / E-005. Entrega de evidencia digital E-005. evidencia E-003. Almacenamiento de evidencia Técnico E-002. Entrega de evidencia física usada Custodio de la E-002. crimen. MMS62. digital E-003. obtenidas del dispositivo E-007. 27/10/09 11:59 1018405780 / E-003 Aislamiento de las redes 3G y Personal de primera Wi-Fi respuesta 27/10/09 11:59 1018405780 / E-001. Aseguramiento de la evidencia Examinador Forense E-006. E-006.  video)   76     . física en un lugar seguro E-003. POP. correo electrónico (IMAP. E-004 27/10/09 12:00 1019007331 / E-001. Identificación de imágenes Examinador Forense E-006. para obtener la evidencia digital.

Entrega de la copia analizada con sus respectivos resultados. Ver Ilustración 32).2. a los cuales solo los investigadores pueden tener acceso luego de realizar el debido trámite de registro de cadena de custodia (Ver Tabla 10).3. E-006. Ver Ilustración 31. E-008 Tabla 10. E-005. Se realizo una copia de las adquisiciones físicas con el objetivo de iniciar con el análisis de las misma. dichas copias serán devueltas cuando se termine su análisis. E-008 24/11/09 21:21 1018405780 / Custodio de la evidencia E-005. Ilustración 33. Registro de cadena de custodia diligenciado 2. Entrega de la evidencia. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática 2. Aislamiento del dispositivo: el dispositivo vulnerado fue aislado de las redes 3G y Wi-Fi introduciéndolo en una bolsa anti estática (Ver Ilustración 33).28/10/09 14:00 1019007331 / Examinador Forense E-007. Aseguramiento de la evidencia física: la totalidad de la evidencia incautada fue etiquetada y almacenada en sobres de manila (Ver Ilustración 30. Fase de elección de herramienta(s) forenses: 77     . dicha copia será devuelta cuando se termine su análisis. reporte y resultados del análisis realizado. E-008 E-007 28/10/09 15:00 28/10/09 16:15 1018405780 / Custodio de la evidencia 1019007331 / Examinador Forense E-007 Se realizo una copia de la imagen lógica con el objetivo de iniciar con el análisis de la misma. 3. E-006.

1.   63 78     . 2. fue necesario realizar un Toolkit forense compuesto por varias herramientas hardware y software provenientes de distintos fabricantes y desarrolladores respectivamente. se muestra una descripción global de cada una de las fases pertenecientes a esta etapa.2. Verificación de Jailbreak: para realizar esta verificación fue necesario que los investigadores tuvieran acceso directo al dispositivo vulnerado.1. SQLite Browser: administrador de bases de datos SQLite.1 con sistema operativo Mac OS X Leopard: computador necesario para poder acceder a las imágenes adquiridas en la etapa de investigación digital. debido a que hasta el momento aunque existen herramientas forenses enfocadas a este tipo de dispositivos.3. con el objetivo de identificar si en este se encontraba disponible la aplicación Cydia. Con respecto a lo anterior. • Computador MacBook 5. con el objetivo de tener acceso a los archivos ocultos y protegidos que se encuentran dentro de las imágenes que se van a analizar. Etapa de investigación digital A continuación. la cual es                                                                                                                            Un  término  genérico  para  la  parte  de  una  GUI  que  permite  al  usuario  interactuar  con  la  aplicación  y   sistema  operativo. • • • • • 4.  menús  desplegables. algunas son licenciadas y otras por el contrario todavía no soportan iPhone 3G con firmware superior al 2. Fase de búsqueda y recolección de evidencia digital 2. todavía tienen falencias.Para la investigación en curso. MobileSyncBrowser: herramienta necesaria para tener acceso visual a la información contenida en la adquisición lógica. es recomendable usar este tipo de computadores. necesario para acceder a la información almacenada en el dispositivo vulnerado. a continuación se muestra la lista de herramientas utilizadas en esta investigación. Para ver entrar en más detalle de lo realizado en estas fases consultar el Anexo 10. MAC Marshal: herramienta necesaria para identificar el sistema operativo y el tipo de sistema de archivos y usado en el dispositivo vulnerado.  ventanas  pop-­‐up.1 como es el caso de Paraben Device Seizure. ya que al ser un producto Apple tiene características similares a las del dispositivo vulnerado y al momento de realizar el análisis se tiene un ambiente nativo. Netcat: herramienta de red necesaria para transferir las particiones desde el dispositivo vulnerado hacia el computador donde se va a realizar el análisis.  entre  otros.  Incluyen  botones. Fase de documentación: se realizó el registro paso a paso del proceso realizado para obtener la evidencia digital. Con respecto a la anterior. Hiddenfiles: widget63 instalado en el MacBook nombrado anteriormente.  iconos.

la cual permitía ver la información anteriormente nombrada. mensajes de texto. Una vez realizado el análisis. red inalámbrica a la cual solo tienen acceso el dispositivo mencionado anteriormente y el computador en el cual va a ser almacenada la imagen. Fase de presentación de la evidencia digital: después de realizar el análisis de la evidencia digital.3. Análisis de adquisición física: para realizar este análisis. para determinación de sistema operativo e información general del dispositivo. iTunes permite realizar una copia de respaldo. el cual permite realizar una copia de respaldo del dispositivo en la que principalmente se almacenan los contactos. 5. Para su análisis se utilizó la herramienta MobileSyncBrowser. 4. y permite ver el contenido con facilidad.instalada por defecto al momento de realizar la liberación del dispositivo por medio del proceso de Jailbreak. Cabe resaltar. poder realizar la obtención de la línea de tiempo definitiva. El contenido se despliega en forma de directorios. se obtuvieron resultados a partir de los archivos comprometidos con 79     . se hizo uso del gestor de música iTunes desarrollado por Apple. pues el sistema de archivos HFSX del iPhone es nativo para el MacBook que utiliza HFS+. Esta consiste en una carpeta que la aplicación genera. Fase de aseguramiento y preservación de la evidencia digital: la totalidad de la evidencia fue almacenada en el computador portátil perteneciente a uno de los investigadores.7 iLiberty+). se determinaron en primer lugar los archivos sospechosos. 4. el cual debe ser usado por los investigadores al momento de diligenciar el registro de cadena de custodia cuando sea necesario. dentro de los cuales se encuentran archivos descriptivos de la información y bases de datos con la misma. Adquisición lógica: para realizar la adquisición lógica. para así. Fase de análisis de la evidencia digital 4. 3.2. 2. que a cada evidencia recolectada se le asigno un número único de identificación.3. el cual consiste en realizar la extracción de la imagen física del dispositivo vulnerado por medio de una red inalámbrica haciendo uso del servicio SSH. donde se encuentra información general del dispositivo y los datos que contiene. Adquisición física: para realizar la adquisición física se utilizó el enfoque de Jonathan Zdziarski (Ver sección 2. fue necesario utilizar un MacBook el cual es capaz de montar las imágenes físicas. en segundo lugar los archivos comprometidos con el caso.2.1.2. historial de llamadas e información de los datos almacenados como música y fotos. Además se utilizó una herramienta llamada Mac Marshal. 2. Análisis de adquisición lógica: como se mencionó anteriormente.

4. Entrevista al usuario del dispositivo vulnerado (Ver fase de identificación de la escena en la sección Etapa de investigación física). Etapa de presentación y revisión Para el desarrollo de la presente investigación. los cuales se describen en esta fase. 80     .). Formulario de identificación del dispositivo vulnerado (Ver Tabla 9). no fue posible hacer uso de estas. se pudo concluir la fecha en la cual se perpetró el ataque contra el dispositivo.2. Línea de tiempo definitiva (Ver Ilustración 57 en Anexo10Error! Reference source not found. Análisis de datos (Ver Tabla 5 a Tabla 122 en Anexo 10) Determinación archivos comprometidos en el caso (Ver etapa de determinación de los archivos comprometidos en el caso en la sección Etapa de investigación digital). 4. Conclusiones de la investigación (Ver Fase de presentación de la evidencia digital en la sección Etapa de investigación digital en Anexo 10). Formato documentación escena del crimen (Ver Tabla 8). la totalidad de reportes fueron creados manualmente por los investigadores. Así mismo. A continuación se muestra el listado de reportes realizados para tener en cuenta al momento de presentar esta investigación en un proceso judicial. • • • • • • • • • • •                   Formato actuación primer respondiente (Ver Tabla 7). Lo anterior debido a que por falta de presupuesto y actualización en algunas herramientas. Registro de cadena de custodia (Ver Tabla 10). Formulario documentación evidencia digital (Ver Tabla 1 en Anexo 10) Consolidación archivos potencialmente analizables (Ver Tabla 3 y Tabla 4 en Anexo 10).el caso y la línea de tiempo.

se propone realizar una entrevista al propietario del iPhone en cuestión. • La fase de identificación de roles y funciones es vital durante el desarrollo de una investigación forense digital. debido a que tanto el escenario planteado para el ataque como la aplicación de la guía la llevaron a cabo las mismas personas. no es necesario asignar la totalidad de los roles. se debe argumentar y documentar el porqué de la decisión. Durante la aplicación de la guía se desarrolló un cuadro comparativo con las herramientas que soportan análisis en iPhone. Actualmente no existe ninguna forma de obtener una copia bit a bit del iPhone 3G. En la fase de identificación de la escena en el paso número 3. las cuales se exponen a continuación. 81     • • • • • • . así como las conclusiones a las cuales se llegaron. sin tener que llevar a cabo el proceso de Jailbreak sobre el dispositivo.5. preservando la integridad y admisibilidad de la evidencia digital. RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA Después de llevar a cabo la aplicación de la guía metodológica propuesta en la presente investigación. para evitar cualquier alteración en la escena del crimen. en una situación real se deben incautar y documentar todos los componentes electrónicos relacionados con la investigación bajo ningún supuesto. GPRS. dependiendo del tipo de investigación que se esté realizando. dentro de las herramientas gratuitas que se encontraron. La etapa de investigación digital tiene como objetivo llevar a cabo la recolección y análisis de evidencia digital. Edge. Lo ideal en una investigación forense digital es preservar la escena del crimen para posteriormente identificar evidencia digital. se dificulta presentar este tipo de casos en un proceso judicial debido a la alteración de datos en el dispositivo. Es recomendable que el registro de cadena de custodia esté sujeto a un formato estándar sugerido por los entes de control del país en que se lleva a cabo la investigación. o la Wi-Fi. Además si esta guía es utilizada para llevar a cabo una investigación sobre otro modelo del iPhone se puede ajustar a las necesidades que se requieran. El iPhone a diferencia de cualquier otro tipo de dispositivo móvil celular. Sin embargo. Sin embargo. esta entrevista puede variar según la investigación que se esté llevando a cabo. Sin embargo. por tal razón es indispensable aislarlo de todas estas redes. La fase de identificación de la escena durante la aplicación de la guía se realizó bajo supuestos. ninguna logró cumplir con los requisitos mínimos para ser utilizada en la investigación. Sin embargo. La tercera fase de la etapa de investigación física planteada en la guía metodológica consiste en realizar la elección de herramientas forenses que se van a utilizar durante la investigación. GSM. Con respecto a lo anterior. De ser así. se presentaron ciertas mejoras en ella. puede hacer parte de varias redes como lo son la red 3G. Ya que de esta manera la presentación del caso puede ser admitida en la corte.

• Durante la fase de análisis de la evidencia digital. debido a que no se utilizó una herramienta especializada en la obtención de este tipo de archivos. la recuperación de archivos eliminados no se pudo llevar a cabo. y determinar cuáles fueron las acciones tomadas por el atacante sobre el dispositivo. •                                 82     . La línea de tiempo es útil para plasmar de forma gráfica los hechos y sucesos importantes ocurridos.

efectividad y viabilidad de aplicación en un caso dado. realizando pruebas y retroalimentación de la misma.6. se presentó un escenario de prueba de la misma. requiere de otro tipo de herramientas y métodos (como el Jailbreak) que pueden llegar a ser no del todo admisibles en una investigación dada. para realizar análisis sobre dispositivos móviles como el iPhone. este trabajo de grado. Es indispensable que Apple Inc. pretende contribuir conceptualmente en cada uno de los aspectos relacionados con la informática forense clásica y los procedimientos para realizar este tipo de investigaciones en dispositivos móviles como el iPhone 3G. con el objetivo de presentar la guía metodológica basada en dichos conceptos. Para llevar a cabo lo mencionado anteriormente. En primera instancia. los problemas de seguridad en este y la informática forense tanto clásica como orientada a dispositivos móviles. proporcione algún tipo de ayuda en el campo de la informática forense orientada a este tipo de dispositivos. es por esto que llevar a cabo análisis sobre dispositivos como el iPhone 3G que constantemente presenta actualizaciones en el firmware. • • •         83     . En segunda instancia. campo que aún está en crecimiento. es necesario actualizar la guía de acuerdo a los cambios que se presentan en el dispositivo iPhone. sin embargo se recomienda ajustar la guía de acuerdo a lo planteado en la retroalimentación de la misma. Una vez aplicada la guía se llegó a lo siguiente: • Actualmente las herramientas forenses para dispositivos móviles se encuentran desactualizadas. CONCLUSIONES Uno de los campos que requiere más investigación y profundización. de forma tal que los resultados se utilizaron para verificar su eficacia. con lo cual se puede poner en riesgo una investigación completa al momento de ser presentada en un proceso judicial. Lo anterior. Debido a los avances tecnológicos que se presentan en la actualidad. además de proponer la guía metodológica. es el de la informática forense en dispositivos móviles. bajo un ataque controlado. Se concluye que la aplicación de la guía es viable para un caso real. ya sea brindando algún tipo de libración en el dispositivo o desarrollando una herramienta forense que permita realizar análisis sobre este dispositivo sin necesidad de realizar algún proceso extra para poder liberarlo como se hace en la actualidad. fue necesario realizar una exhaustiva recolección de información con el objetivo de formalizar el estado del arte de cada una de las variables presentes en la investigación como lo son el iPhone 3G.

se propone realizar la ejecución de la guía metodológica propuesta en el iPhone 3GS y de darse el caso. en sus posteriores actualizaciones con el objetivo de mantener actualizada la guía metodológica. y gracias a la popularidad que han adquirido este tipo de dispositivos. Lo anterior debido a la falta de presupuesto para poder utilizar alguna herramienta licenciada y a la falta de actualización de las herramientas freeware que no soportaban análisis de iPhone 3G con firmware superior a 2. se propone la ejecución de la guía metodológica propuesta en un escenario de prueba en el cual es dispositivo no esté liberado y no haya necesidad de realizar dicho proceso. TRABAJOS FUTUROS A continuación se presentan los trabajos futuros sugeridos una vez culminada la presente investigación: • La presente investigación se hizo orientada al dispositivo móvil iPhone 3G. se propone realizar un caso de estudio más profundo donde además de realizar la investigación sobre el dispositivo. Con respecto a lo anterior. también pueda ser analizada la tecnología de red que usa dicho dispositivo (3G). la cual lastimosamente solo soporta este tipo de análisis para iPhone 3G con firmware inferior al 2. Por lo tanto. El análisis de la presente investigación fue desarrollado usando como herramienta forense un MacBook.1. con el tiempo existirán nuevos sucesores que mejoren su rendimiento. Con respecto a lo anterior. utilizando alguna herramienta forense que soporte análisis sobre este tipo de dispositivos sin Jailbreak como Paraben Device Seizure. pero debido a la gran rapidez con que evoluciona la tecnología. lo cual puede poner en riesgo el resultado de la investigación cuando esta sea presentada en un proceso judicial. en estos momentos existe el sucesor del iPhone 3G llamado iPhone 3GS.1. En caso contrario es responsabilidad del investigador realizar este proceso. se propone ejecutar la guía metodología propuesta haciendo uso de alguna herramienta actualizada con el objetivo de comparar resultados y de ser el caso realizar la retroalimentación pertinente a la guía metodológica. La presente investigación fue realizada enfocada a un dispositivo de última tecnología como lo es el iPhone 3G. para poder realizar el análisis del dispositivo era necesario que este estuviera previamente liberado por medio del proceso de Jailbreak. Con respecto a lo anterior. • • •         84     . Por lo tanto. usabilidad y amplíen los servicios que presta actualmente el dispositivo.7. por lo tanto la guía metodológica propuesta en este documento se realizó enfocada únicamente al análisis de dicho dispositivo.

Agualimpia.edu/dawn.htm. R Milan. CSI.htm 2009. 85     . M Rossi. Digital Investigation . XXXIV Conferencia Latinoamericana de Informática.htm. 2008.com/pdf/CSIsurvey2008. Dic. Wired Magazine: issue 16. Última consulta: 13/09/09. Università di Roma “Tor Vergata”. redsn0w in june. http://www. Pontificia Universidad Javeriana. http://blog.spencer/Cis462/Homework/Ch4/Forensic%20examination%20of%20mob ile%20phones. “Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM”.edu/academic/institutes/ecii/publications/articles/1C33DF76D8D3-EFF5-47AE3681FD948D68. International Journal of Digital Evidence. Cano.canalys.htm.pdf [16] Fred Vogelstein. J Zdziarski.org/post/126908912/redsn0w-injune . http://www.org/corpora/bibliography_files/Mobile%20Memory%20Forensics. CSI. C. http://digitalcorpora. http://faculty. up 53% on 2006”.pdf. R. Reading (UK) – Thursday.cmpnet. “Análisis forense en dispositivos móviles con Symbian OS”. “Mac Os X. Última consulta: Enero de 2009. Última consulta: Febrero 2009.com/.es/guiateoria/gt_m142e1.upm. A. http://spanish. Castillo. “Descripción general del funcionamiento”.pdf Última consulta: Febrero de 2009. Personal Data & Corporate Assets”.pdf. “Global smart phone shipments rise 28%”.iphone-dev.Elsevier. Documento de maestría. “Smart mobile device shipments hit 118 million in 2007. “Análisis forense orientado a incidentes en teléfonos celulares GSM: Una guía metodológica”. J. http://www. Fall 2007. WIRED.02.com/pr/2008/r2008112. “The Untold Story: How the iPhone Blew Up the Wireless Industry”. [13] C. REFERENCIAS [1] B Mellar.com/v2. Castillo. Sept. http://www.8. “iPhone Forensics. Ingeniería electrónica. Hernández. Dept.canalys. [12] Forensic analysis of mobile phone internal memory. Computer Security Institute.colostatepueblo. pp. [14] C. Purdue University. 5 February 2008.criptored. “Mobile Phone Forensics Tool Testing: A Database Driven Approach”. “Internal forensic acquisition for mobile equipments”.utica. iPod and iPhone Forensic Analysis DVD Toolkit”. 2008.com/pr/2008/r2008021. 2009. Centro Latinoamericano de Estudios en Informática (CLEI). 2008.  Varsalone. Recovering Evidence. http://www. Kubasiak. Conf. Canalys. Expert Analysis for High-tech Industry.gocsi. Dipartimento di Informatica. Sistemi e Produzione.clei2008. http://i. M Rogers. 355-475. Singapore and Reading (UK) – Tuesday.gocsi. “Forensic examination of mobile phones”. [2] [3] [4] [5] [6] [7] [8] [9] [10] Dev-Team Blog.com/Bluetooth/Technology/Works/Default. The latest results from the longest-running project of its kind”.bluetooth.ar/ [15] I Baggilo. Expert Analysis for High-tech Industry. 2004. 2008.org. Canalys. http://www. “Computer Crime and Security Survey. Ramírez. M. R. 2008. Última consulta: Enero de 2009. Enero 2008. United Kingdom. J. Volume 6 Issue 2. Syngress Publishing Inc. Pontifica Universidad Javeriana. Última consulta: Febrero 2009. 6 November 2008. [11] Bluetooth. Romero.

com/pr/articulo/?id=1486. [33] Jeimy J.1000000189. Pastor. Chicago Electronic Discovery.uk/security/0.zdnet. [27] Apple Inc.com/moviles/historia-del-iphone. 2002. Ago. http://latam.net/2008/08/01/the-apple-iphone-story-1999-to-2008/. Última consulta: 23/03/09. “iPhones Target the Tech Elite”. http://www. Pags. “iPhone Timeline Highlights the Handset Through The Ages”. “Historia del iPhone”. “Crackers claim iPhone 3G hack”. “iPhone 3G: Caracteristicas”. [26] Lev Grossman. “Computación Forense: Conceptos Básicos”. Última consulta: 23/03/09. 2009 [24] Apple Inc.. 2008.ieee. Cano.htm UK Jul.96.apple. 2009. Última consulta: 23/03/09.html. “iPod Classic”.00. ZDNet http://news. Espiner. Jun. consulta: 14/04/2009. http://www. “Qué es iTunes”. http://www. Última [31] J. “Introducción a la informática forense: Una disciplina técnico-legal”. Última consulta: 23/03/09 2008. “iPhone 3G: Gallery”.http://www.com/la/iphone/features/.apple. Gadget Lab: hardware that rocks your world. Última consulta: 26/01/09 2009. TIME in partnership with CNN. http://www. “Especificaciones iPhone 3G”. “The BlackBerry Business”.html. Asociación Colombiana de Ingenieros de Sistemas (ACIS). IEEE. [18] “The Apple iPhone Story: 1999 to 2008”. [21] Apple Inc. 2006.com/iphone/gallery/.co/fileadmin/Revista_96/dos. 2008. [17] Javier Penalva.com/gadgets/wireless/magazine/16-02/ff_iphone?currentPage=all.org/xpl/freeabs_all. Jul. Última consulta: 24/03/09. pp.00.pdf. [19] Danny Dumas. Persasive Computing. 2009. Cano.wired. http://www. ProductReviews. Abr.co. Jun. 2009.apple. [23] Andrew Hoog.com/gadgets/2008/07/iphone-timeline. Volume 1. Última consulta: 24/03/09. http://www. [29] Apple Inc. 2002. http://ieeexplore. Última consulta: 14/04/2009. Revista Sistemas.org. May. Mar.html. Jun. http://www.productreviews. 86     . http://www. “Invention Of the Year: The iPhone”. “Apple introduce el Nuevo iPhone 3G: dos veces más rápido y a mitad de precio”./Jun. Última consulta: 24/03/09 [25] Michael Macedonia. [28] Apple Inc.1677329_1678542. Última consulta: 23/03/09. 2007. Última consulta: 25/03/09. Sala de prensa. 2009..apple. Jul. [22] Apple Inc. [30] T. Vol. Última consulta: 25/03/09. (no tiene autor). [20] Ashton Applewhite. 2008.apple.wired. 64-73. http://www. Última consulta: 24/03/09. WIRED. 2009. Xataca.acis. Issue 2.theinquirer. “El iPhone vulnerable al Phishing”.28804.com/la/ipodclassic/features.apple.com/es/itunes/whatis/.xataka.. http://www.com/es/iphone/specs.html..39446756. 2008. [32] Jeimy J.com/time/specials/2007/article/0. http://blog.jsp?arnumber=1012329. 9495.html.. Entertainment Computing.es/2008/07/25/el_iphone_vulnerable_al_phishing.time. “iPhone Forensics: Annual Report on iPhone Forensic Industry”.

Disponible en: http://www. http://m. http://developer. http://developer.org/.darkreading.com/iphone/library/documentation/Miscellaneous/Conceptual/iPhone OSTechOverview/Introduction/Introduction. Volume 1 Issue 3. A. Killalea. IOCE Best Practice Guide V1. Purdue University. Institute of Computer Science. http://www. Pontificia Universidad Católica del Ecuador. Burghardt. Meyers. Ago. www. http://blog. May.htm. http://wikee. 2009.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech. Última consulta: 28/08/09 87     . CERIAS.[34] Del Pino Santiago.org/rfc/rfc3227. [43] Technical Note TN1150 HFS Plus http://developer. 2008.com.dfrws. International Journal of Digital Evidence.about.org/news:pwnage.es/guiateoria/gt_m592b. Feldman. Última consulta: 25/08/09 [46] L. “An Examination of Digital Forensic Models”. 2006. Carr Clint. Dark Reading.apple.htm. Última consulta: 25/08/09. Delgado.com/iphone/gettingstarted/docs/iphoneosoverview. 2009. 2008. 2004. [37] Baryamureeba Venansius. Rogers.iphone-dev. http://www. Última consulta: 27/08/09 [47] K. “Computer Forensics: The Need for Standardization and Certification”. Última consulta: 27/08/09. “What Does It Mean to Jailbreak an iPhone?”. May.edu/academic/institutes/ecii/publications/articles/A04A40DC-A6F6-F2C198F94F16AF57232D.com/od/glossary/f/jailbreak_faq.action [42] iPhone OS Technology Overview.utica.utica. 2007. Cassavoy. About. Oct.0.txt [36] Reith Mark.criptored. El Tiempo.upm. www. Oct.htm [41] iPhone OS Overview. 2nd ed. Higgins.es/guiateoria/gt_m335a.html.iphwn.jsessionid=2E69ADA8DC4483AACF825D6 FE1778B9E. IETF RFC 3227. 2007. “Pwnage Project”.pdf. Brezinski.edu/academic/institutes/ecii/publications/articles/A0B7F51C-D8F9-A0D07F387126198F12F6.org/2008/proceedings/p76burghardt.upm. M. [38] M. “Análisis Forense Digital”.com/security/perimeter/showArticle. 2009. Fall 2004. Makerere University.eltiempo. “The Enhanced Digital Investigation Process Model”.eltiempo2. http://www.ietf. Hackers y Seguridad.ioce. Sandoval.pdf. Fall 2002. Mar. [49] iPhone Dev Team. International Journal of Digital Evidence.com/detail/key/86380/Tec/1. Tushabe Florence. “El iPhone está disparado a nivel mundial”.jhtml?articleID=208804751.apple. http://www. Volume 3 Issue 2.. 2002.html [40] M.criptored. “Introducción a la informática forense”.com/technotes/tn/tn1150. Jun. [35] D. T. “Guidelines for best practice in the forensic examination of digital technology”. Digital Forensic Research Workshop.pdf [45] A.apple. Gunsch Gregg. Guidelines for Evidence Collection and Archiving. “Using the HFSD journal for deleted file recovery”.html#HFSX Volume Format [44] A. [39] International Organization on Computer Evidence. Sep. Air Force Institute of Technology. [48] Dev-Team Blog. February 2002. http://www. http://smartphones. “Metasploit Adds iPhone Hacking Tools”.

http://www.aspx.com/query. “How Pwnage Works”. Oct.ar/malware/spam.apple. http://netcat.ar/malware/phishing. Issue 1. 2006.jhtml?articleID= 210605451. Adelstein. Última consulta: 28/08/09 2008. Oct. University of Idaho. Volume 2.net/. http://www. Jul.utica.net/2008/10/02/HappyNewYear. http://www. Leigland. http://crackeatuiphone. “Mail”. 2008 [65] R. (2003).edu/academic/institutes/ecii/publications/articles/A0B8472C-D1D2-8F988F7597844CF74DF8.segu- [58] Daniel V. “Happy New Year”. 3-13 [59] Crackea tu iPhone. Última consulta: 28/08/09.iphwn. http://www. Última consulta: 28/08/09 [53] Aviv Raff On. International Journal of Digital Evidence. Wiley Publishing Inc.utica. “Apple iPhone Vulnerabilities Disclosed”.org/.com/news/personal_tech/iphone/showArticle. International Journal of Digital Evidence. Hoffman.raffon. InformationWeek | the business value of technology. Volume 3.aspx. “A Formalization of Digital Forensics”.org.informationweek. 2007. M. 2009.: Evaluating Commercial Counter-Forensic Tools. Última consulta: 06/09/09. “Hackers pueden entrar a tu iPhone mediante OpenSSH”.htm. Issue 2. Carnegie Mellon University. http://aviv.sourceforge. Fall 2004. PDAs. Última consulta: 30/08/09 Spam. http://dfrws. 2008.org/s5l8900:pwnage. F. info. “Blackjacking: Security Threats to BlackBerrys. Última consulta: 28/08/09 [54] Aviv Raff On.com. [62] Adelstein. J.[50] iPhone Dev Team. Nov. and Cell Phones in the Enterprise”. 2009. [57] SeguInfo: Seguridad de la información.: MFP: The Mobile Forensic Platform.htm. [61] The GNU Netcat project. “Compaq V3718LA” http://search.com&cc=us&hpr=/country /index.pdf.html. [55] Thomas Claburn. Última consulta: 28/08/09 [56] Compaq.com/2008/09/hackers-pueden-entrar-a-tu-iphone-mediante-openssh/.segu- Apple Inc.com&la=en&hpn=Return+to+Co mpaq.hp. 2008. Digital Investigation. http://nmap. http://wikee.com&qp=web_section_id%3Ar163+site%3Ashopping. “iPhone is Phishable and SPAMable”. http://www.net/2008/07/23/iPhoneIsPhishableAndSPAMable. Última consulta: 28/08/09 [52] Jun.com/es/iphone/iphone-3g/mail.edu/academic/institutes/ecii/publications/articles/A066554D-DCDD75EE-BE7275064C961B5D.com. (2005). Última consulta: 06/09/09.pdf [63] Geiger. 88     . pp.raffon.org/2005/proceedings/geiger_couterforensics. “MEGA: A tool for Mac OS X operating system and application forensics”. 2008.html?lang=en&hps=Compaq. info. Joyce. http://www. Phishing. http://aviv. Powers. F.hp. Última consulta: 01/09/09 [60] Insecure.html&h_audience=hho&qt=compaq+v3718la.pdf [64] R. Digital Forensic Research Workshop (DFRWS). Última consulta: 28/08/09 [51] SeguInfo: Seguridad de la información.

WOLF”. http://viaforensics. M.edu/~peisert/research/PBKM-SADFE2007-ForensicModels. [71] B. Última consulta: 06/09/09 [78] A. [75] A.[66] O. http://viaforensics. “iPhone Forensics . ViaForensics. M.html. Mandia. Jun.org/2001/dfrws-rmfinal. 2002. 2009.pdf [72] N.com/iphone-forensic-software/iphone-forensics-white-paper-zdziarskitechnique. “iPhone Forensics . C. Gaffaney. K. J. http://www. Hook.com/iphone-forensic-software/iphone-forensics-white-paperparaben-device-seizure.Zdziarski Technique”.com/iphone-forensic-software/iphone-forensics-white-paper-wolf.XRY”. 2009. Marzullo. Issue 2. [70] J. 2001. K.0. “iPhone Forensics .edu/academic/institutes/ecii/publications/articles/A0AC5A7AFB6C-325D-BF515A44FDEE7459. Report From the First Digital Forensic Research Workshop (DFRWS). Hook. B. Jun. “Getting Physical with the Digital Investigation Process”. Hook. ViaForensics.utica. “iPhone Forensics . Hook. [69] S. K. Última consulta: 06/09/09 [76] A. “Guidelines For Best Practice in the Forensic Examination of Digital Technology”. “Incident Response & Computer Forensics ”. 2003. Gaffaney. ViaForensics. Jun. “Informática forense: generalidades. 2006. Última consulta: 07/09/09 [79] A.pdf [68] IOCE. Última consulta: 06/09/09. Última consulta: 06/09/09 [77] A. K.dfrws.html. Karin.htm [67] DFRWS.html.. Pepe.Cellebrite UFED (3. 2009.0)”.Paraben Device Seizure”.ioce. Spafford. Acosta. “Buenas prácticas en la administración de la evidencia digital”. [73] A. K. Hook. 2009.com/iphone-forensic-software/iphone-forensics-white-papermicrosystemation-xry.com/iphone-forensic-software/iphone-forensics-white-paper-maclockpick. Última consulta: 06/09/09. University of Idaho. Gaffaney. López. http://www. Peisert. “Toward Models for Forensic Analysis”. Jun. “A Hierarchical.MDBackup Extract”. draft v1. Clark.html.pdf. Gaffaney. McGraw-Hill. “iPhone Forensics . International Journal of Digital Evidence. Ag. “A Road Map for Digital Forensic Research”. León. “iPhone Forensics .0/5. Beebe.html. aspectos técnicos y herramientas”. Jun. Segunda Edición. Bishop.upm. Fall 2003. 2009. R. Hook. Digital Forensics Research Workshop (DFRWS).html. Digital Investigations Process Framework. http://viaforensics. ViaForensics. E.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech. Gaffaney.ucdavis. Gaffaney. H. http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paperufed. 2004. Universidad de los Andes. ViaForensics. K. 11-32 89     .html. [74] A. S. Volume 2. K. K. Objectives-Based Framework for the Digital Investigations Process”. Amaya. Jun. Carrier. http://viaforensics. Jun. Última consulta: 07/09/09 [80] K. Universidad de los Andes. Cano.es/guiateoria/gt_m180b. Gaffaney. http://www.com/iphone-forensic-software/iphone-forensics-white-paper-md-backupextract. http://www. ViaForensics. Hook. 2009.criptored. http://viaforensics. Prosise. 2009.html.cs. ViaForensics. “iPhone Forensics . http://www. pp.MacLock Pick”. http://viaforensics.

Spam. 2007. Inc. Origins”.htm.seguhttp://www. Syngress Publishing. [88] GSM Security. Amenazas Lógicas . p. [82] D. Última consulta: 13/09/09. BlackHat Conference. 2009. Tipos info.ar/malware/exploit. “What is an IMEI?”.segu- [87] OpenSSH.html.gov/publicati ons/nistpubs/800-101/SP800-101.edu/academic/institutes/ecii/publications/articles/1C349F35-C73B-DB8A926F9F46623A1842. http://www. Mulliner. http://www. http://developer.com/presentations/bh-usa-09/MILLER/BHUSA09Miller-FuzzingPhone-PAPER. Última consulta: 29/11/09.. W Jansen. Scene of the Cybercrime Computer Forensic Handbook. Volume 6. Miller.pdf. [90] C.htm. http://www. http://www.pdf . Issue 2.html.edu/homepage/computing/2009/summer/wi-fi-origins. Última consulta: 13/09/09. “Guidelines on CellPhone Forensics”. Huebner.pdf .segu-info.com. International Journal of Digital Evidence. “Introduction to CFNetwork Programming Guide”.utica. Última consulta: 23/11/09. 2009 http://www. National Institute of Standards and Technology Special Publication 800-101.shtml.ericsson. “Networking Bonjour”. “Computación Forense: descubriendo los rastros informáticos”. http://csrc. “Wi-Fi http://www. “Manual de procedimientos para cadena de custodia”. C. E.usenix. “Computer Forensic Analysis in a Virtual Environment”. [84] SeguInfo: Seguridad de la información.openssh. “Injecting SMS Messages into Smart Phones for Security Analysis”. http://www. info. Última consulta: 13/09/09. 2009.apple. [86] SeguInfo: Seguridad de la información. Miller. http://www. May.Última consulta: 29/11/09.apple. http://www.com/technology/whitepapers/3107_The_evolution_of_EDGE_A. 2002.blackhat. “The evolution of EDGE”.com.com/networking/bonjour/. Ago.Tipos de Ataques . Apple http://developer.seguInc.pdf.htm. consulta: 29/11/09.[81] R Ayers.org/events/woot09/tech/full_papers/mulliner. [83] D. http://happymundo.ar/malware/. 2007. [95] Carnegie Mellon University.Ataques de Autenticación.com/es/index. Exploit. Bem. [91] C. Última consulta: 29/11/09.nist.cmu. Shinder. Feb.gsm-security.pdf [92] J.com. Última consulta: 13/09/09. de Malware. Ago.shtml. http://www.ar/ataques/ataques_autenticacion.com/mac/library/DOCUMENTATION/Networking/Conceptual/CFN etwork/Introduction/Introduction. [85] SeguInfo: Seguridad de la información.pdf. info. Alfaomega. Última [94] Developer Connection. 180 [93] SeguInfo: Seguridad de la información. Cano.com/segob/MANUALES/manual%20de%20procedimientos%20para% 20cadena%2029%20de%20enero. Mulliner. 2009. [96] ERICSSON.ar/malware/spam. Última consulta: 13/09/09 [89] Fiscalía General de la Nación. “Fuzzing the Phone in your Phone”. C.com. 90     .net/faq/imei-internationalmobile-equipment-identity-gsm. [97] Developer Connection. Última consulta: Septiembre de 2009.

91     . “World Time Zone Abbreviations. 2009. Última consulta: 30/11/09. “Introduction to The Objective-C Programming Language”. [100] Arnotify. Última consulta: 30/11/09. http://www.com/IPhone/library/documentation/GraphicsImaging/Conceptual/dra wingwithquartz2d/Introduction/Introduction. 2009.html.[98] Developer Connection.smh. Description and UTC Offset”. http://developer.DS_Store”. http://arno.apple. Oct. launch”. [101] The Sydney Morning Herald.au/news/phones--pdas/surprise-iphonelaunch/2006/12/18/1166290484620.html. Última consulta: 29/11/09. “Surprise iPhone http://www. [102] World Time Zone.html.com.com/mac/library/documentation/cocoa/Conceptual/ObjectiveC/Introd uction/introObjectiveC. “On the Origins of . Última consulta: 29/11/09. http://developer. May.com/wtz-names/wtz-cot. Última consulta: 29/11/09.org/arnotify/2006/10/on-the-origins-ofds_store/.worldtimezone.html.apple. [99] Developer Connection. “Quartz 2D Programming Guide”.

Sign up to vote on this title
UsefulNot useful