Académique Documents
Professionnel Documents
Culture Documents
Autores:
1
IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS
MÓVILES INTELIGENTES
Autores:
Director:
Ingeniero Jeimy José Cano Martínez, PhD
2
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
Rector Magnífico
Padre Joaquín Emilio Sánchez García S.J.
3
Nota de Aceptación
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
________________________________________
Jeimy José Cano Martínez
Director del Proyecto
________________________________________
María Isabel Serrano Gómez
Jurado
________________________________________
Nelson Gómez de la Peña
Jurado
4
Diciembre de 2009
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus
proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y
porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el
anhelo de buscar la verdad y la Justicia”
5
CONTENIDO
ÍNDICE DE ILUSTRACIONES.........................................................................................................9
ÍNDICE DE TABLAS ......................................................................................................................11
ABSTRACT......................................................................................................................................12
RESUMEN .......................................................................................................................................12
INTRODUCCIÓN ............................................................................................................................13
1.
DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO ....................................................17
1.1.
Formulación ..................................................................................................................17
1.2.
Justificación...................................................................................................................17
1.3.
Objetivo general ............................................................................................................18
1.4.
Objetivos específicos.....................................................................................................18
2.
REVISIÓN DE LITERATURA ................................................................................................19
2.1.
¿Qué es el iPhone? ............................................................................................................19
2.1.1.
Conociendo el iPhone....................................................................................................22
2.1.2.
Especificaciones técnicas del iPhone ............................................................................22
2.1.3.
Estructura lógica y física del iPhone .............................................................................24
2.1.3.1.
Hardware del iPhone .............................................................................................25
2.1.3.2.
Software del iPhone...............................................................................................27
2.1.3.2.1.
El sistema operativo iPhone OS ............................................................................28
2.1.3.2.1.1.
Tecnología de capas del iPhone OS ..................................................................29
2.1.3.2.2.
El sistema de archivos HFS+.................................................................................30
2.1.3.2.2.1.
HFS+ Básico .....................................................................................................30
2.1.3.2.2.2.
Conceptos del núcleo.........................................................................................31
2.1.3.2.2.3.
Estructura del volumen......................................................................................32
2.1.3.2.2.4.
HFSX.................................................................................................................34
2.1.3.2.2.5.
Zona de Metadatos ............................................................................................34
2.2.
Problemas de seguridad en el iPhone 3G ..........................................................................35
2.2.1.
Jailbreak ....................................................................................................................35
2.2.2.
Phishing, Spoofing y Spamming ...............................................................................36
2.2.3.
Ataque directo ...........................................................................................................38
2.2.4.
Inyección de mensajes cortos en teléfonos inteligentes.............................................41
6
2.3.
Informática forense en teléfonos inteligentes ....................................................................42
2.3.1.
Informática forense clásica........................................................................................42
2.3.1.1.
Evidencia digital....................................................................................................43
2.3.1.1.1.
Administración de evidencia digital ......................................................................44
2.3.1.1.1.1.
Diseño de la evidencia.......................................................................................44
2.3.1.1.1.2.
Producción de la evidencia ................................................................................44
2.3.1.1.1.3.
Recolección de la evidencia ..............................................................................45
2.3.1.1.1.4.
Análisis de la evidencia .....................................................................................45
2.3.1.1.1.5.
Reporte y presentación ......................................................................................46
2.3.1.1.1.6.
Determinación de la relevancia de la evidencia.................................................46
2.3.1.1.2.
Consideraciones legales ........................................................................................46
2.3.1.2.
Modelos y procedimientos en una investigación forense digital ...........................47
2.3.1.2.1.
Cualidades de un modelo forense..........................................................................47
2.3.1.2.2.
Modelos forenses existentes ..................................................................................48
2.3.1.2.2.1.
Departamento de Justicia de Estados Unidos (2001).........................................48
2.3.1.2.2.2.
Modelo forense digital abstracto (2002)...........................................................48
2.3.1.2.2.3.
Modelo forense Mandia (2003) .........................................................................49
2.3.1.2.2.4.
Modelo de investigación digital integrado – IDIP (2003) .................................50
2.3.1.3.
Roles y funciones en una investigación forense digital .........................................53
2.3.1.4.
Usos de la informática forense ..............................................................................54
2.3.2.
Informática forense en iPhone 3G .............................................................................54
2.3.2.1.
WOLF de Sixth Legion .........................................................................................57
2.3.2.2.
Cellebrite UFED....................................................................................................58
2.3.2.3.
Paraben Device Seizure (DS) ................................................................................59
2.3.2.4.
MacLockPick II (MLP) .........................................................................................59
2.3.2.5.
MDBackup Extract................................................................................................60
2.3.2.6.
.XRY/.XACT 4.1 ..................................................................................................61
2.3.2.7.
iLiberty+................................................................................................................61
2.3.2.8.
CellDEK ................................................................................................................62
2.3.2.9.
MEGA ...................................................................................................................63
3.
GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE
DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)..............................................................64
7
3.1.
Etapa de preparación e implementación............................................................................64
3.2.
Etapa de investigación física .............................................................................................64
3.3.
Etapa de investigación digital............................................................................................67
3.4.
Etapa de presentación y revisión .......................................................................................69
4.
VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA..........................................70
4.1.
Escenario de prueba ..........................................................................................................70
4.1.1.
Definición del ataque y herramientas ........................................................................70
4.2.
Aplicación guía metodológica...........................................................................................70
4.2.1.
Etapa de preparación e implementación ....................................................................70
4.2.2.
Etapa de investigación física .....................................................................................71
4.2.3.
Etapa de investigación digital....................................................................................78
4.2.4.
Etapa de presentación y revisión ...............................................................................80
5.
RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA...............................................81
6.
CONCLUSIONES ....................................................................................................................83
7.
TRABAJOS FUTUROS ...........................................................................................................84
8.
REFERENCIAS........................................................................................................................85
8
ÍNDICE DE ILUSTRACIONES
Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3],
traducción libre de los autores...........................................................................................................13
Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4],
traducción libre de los autores...........................................................................................................14
Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7],
traducción libre de los autores...........................................................................................................15
Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre
de los autores.....................................................................................................................................15
Ilustración 5. ROKR. Tomado de [19] ..............................................................................................20
Ilustración 6. iPhone Linksys. Tomado de [101] ..............................................................................21
Ilustración 7. iPhone 3G. Tomado de [24] ........................................................................................21
Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores ..........27
Ilustración 9. Interacción iPhone OS. Tomado de [42] .....................................................................29
Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores
..........................................................................................................................................................29
Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los
autores ...............................................................................................................................................34
Ilustración 12. Recorte de URL en la aplicación iPhone Mail ..........................................................36
Ilustración 13. Página falsa accedida por medio del iPhone 3G........................................................37
Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil
Compaq V37l8LA [56] con sistema operativo Windows XP. ..........................................................37
Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail ................................38
Ilustración 16. Escaneo de red y puertos abiertos con Zenmap.........................................................40
Ilustración 17. Ingreso datos para acceder al dispositivo por SSH....................................................40
Ilustración 18. Ingreso de usuario y contraseña WinCSP Login .......................................................40
Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login ...............................................41
Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores .42
Ilustración 21. Ciclo administración de la evidencia digital [70] ......................................................44
Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de
los autores .........................................................................................................................................49
Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores .................51
Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción
libre de los autores ............................................................................................................................51
Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción
libre de los autores ............................................................................................................................52
Ilustración 26. Desmontar iPhone desde iTunes ...............................................................................65
Ilustración 27. Foto de estado general de la escena del crimen.........................................................71
Ilustración 28. Foto computador portátil V3718LA no incautado.....................................................72
Ilustración 29. Foto router Linksys no incautado ..............................................................................73
Ilustración 30. Foto cable USB incautado.........................................................................................73
9
Ilustración 31. Foto adaptador de corriente incautado ......................................................................73
Ilustración 32. Foto iPhone 3G incautado .........................................................................................73
Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática
..........................................................................................................................................................77
10
ÍNDICE DE TABLAS
Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción
libre de los autores ............................................................................................................................16
Tabla 2. Especificaciones Técnicas del iPhone [21] .........................................................................24
Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores .25
Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores..............................26
Tabla 5. Características HFS+ [43], traducción libre de los autores .................................................31
Tabla 6. Asignación de roles .............................................................................................................70
Tabla 7. Formato actuación primer respondiente diligenciado .........................................................71
Tabla 8. Formato documentación escena del crimen diligenciado ....................................................72
Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado ................................76
Tabla 10. Registro de cadena de custodia diligenciado.....................................................................77
11
ABSTRACT
Now days, mobile telephony has become very popular world wide due to it’s wide range of
functionality, combined with its mobile capacity that offer to final users. In this scenario appears the
iPhone, which offers integrated services of cell phone, music player and Web browser features. It
has achieved great user acceptance for both, the common and the corporate users. As a consequence
of its popularity, the iPhone is now considered as a working tool, such as a computer, in which
sensitive information is stored. As its popularity grows, attacks to its vulnerabilities grow too.
Therefore this work, as a contribution to mobile forensics, presents an analysis protocol which helps
in the formalization of procedures in iPhone 3G forensic investigations.
RESUMEN
En la actualidad, la telefonía móvil ha adquirido gran popularidad en el mundo entero debido a las
características de portabilidad y usabilidad que ofrece a sus clientes. En este escenario se encuentra
el iPhone el cual, gracias a los servicios integrados de teléfono celular, reproductor de música y
navegador web, ha alcanzado gran aceptación tanto para el usuario común como para los usuarios
corporativos. Como consecuencia de su popularidad ha logrado convertirse en una herramienta de
trabajo en la cual se almacena información sensible, razón por la que igualmente, se han
incrementado los ataques a las vulnerabilidades que el dispositivo presenta. Por lo tanto este trabajo
de grado, presenta un aporte a la informática forense orientada a dispositivos móviles, proponiendo
un protocolo de análisis que ayude a formalizar los procedimientos al momento de realizar este tipo
de investigaciones en un iPhone 3G.
12
INTRODUCCIÓN
Según [1] en la actualidad, y desde hace aproximadamente diez años, el empleo de dispositivos
móviles se ha incrementado notablemente. “El uso de sistemas de telecomunicaciones móviles en
todo el mundo ha llegado a proporciones casi epidémicas”, principalmente por su facilidad de uso y
la propiedad de mantener en contacto permanente a sus usuarios, por lo cual se ha generado un
cambio significativo en la forma en que las personas se comunican, pero también por su
proliferación se ha incrementado su uso en actividades de orden delictivo.
Existe gran variedad de gamas de dispositivos móviles, dentro de los cuales el mayor crecimiento
en popularidad y uso se presenta en los dispositivos móviles inteligentes, debido a su capacidad
tanto para realizar llamadas como para navegar por Internet con el objetivo de intercambiar
información a través de diferentes enlaces y además porque permiten desarrollar y ejecutar
aplicaciones que no necesariamente son incluidas por el fabricante [2]. Canalys, empresa que realiza
análisis expertos de la industria de alta tecnología, realiza anualmente una investigación acerca del
estado del mercado de los dispositivos móviles inteligentes. En los dos últimos años (2007-2008) se
ha presentado el mayor crecimiento en el uso de estos dispositivos comparándolo con años
anteriores. Las investigaciones indican que en el 2007 los teléfonos móviles inteligentes
representaron el 10% del mercado mundial de telefonía móvil por unidades, con un crecimiento
anual del 60%, siendo así, uno de los segmentos de más rápido crecimiento en la industria de la
tecnología (Ver Ilustración 1) [3].
Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3], traducción libre de
los autores
De los resultados observados anteriormente cabe rescatar que Apple1 se introdujo en el mercado en
tercer lugar con el dispositivo móvil iPhone, esto gracias a la innovación en cuanto a diseño e
interfaz de usuario que soporta [3]. Canalys estimó que Apple en el 2007 tomó el 28% del mercado
de dispositivos móviles de EE.UU [3].
1
Empresa
estadounidense
de
tecnología
informática.
13
Las investigaciones realizadas en el 2008 indican que los teléfonos móviles inteligentes
representaron el 13% del mercado mundial de telefonía móvil por unidades (Ver Ilustración 2).
Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4],
traducción libre de los autores
De lo anterior, con la llegada del iPhone 3G al mercado, Apple se posicionó en el segundo lugar de
ventas de dispositivos móviles inteligentes [4]. De tal manera que el iPhone 3G se ha convertido
rápidamente en líder en el mercado de dispositivos móviles, gracias a su uso en organizaciones y al
uso de las personas en su vida cotidiana. Su amplio rango de funcionalidades, combinado con el
hecho de ser móvil permite que sea considerado como una oficina móvil o como un computador en
sí [5].
14
Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7], traducción
libre de los autores
Es rescatable que año tras año la cifra se reduce en una proporción considerable (Ver Ilustración 4)
debido a que las organizaciones advierten la necesidad de invertir presupuesto en la seguridad
informática. Pero aún así, el número de incidentes que se presentan sigue siendo grande, pues hay
gran cantidad de ellos que no son detectados [8].
15
De dispositivos móviles 8%
De todas las otras fuentes 8%
Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción libre de
los autores
“Gran porcentaje de los encuestados intenta realizar la identificación del perpetrador de los ataques.
Este es uno de los objetivos principales de la informática forense ya que ésta disciplina es la
encargada de recuperar y recolectar evidencia digital del sistema vulnerado para lograr identificar la
acción realizada y demás detalles del ataque efectuado” [8]. Es más fácil y debe ser más importante
para lograr la identificación de estos perpetradores, monitorear los terminales de comunicación que
la comunicación en si misma. Por ejemplo si un criminal utiliza un iPhone para llevar a cabo algún
tipo de ataque, su operación estará comprometida en cierto nivel [5], pues el hecho que haya
utilizado este dispositivo para cometer el ataque implicará que se siga un procedimiento estándar
establecido para la realizar la investigación.
Como se mencionó anteriormente el iPhone 3G es uno de los teléfonos móviles más populares en el
mercado, convirtiéndose rápidamente en líder de ventas a nivel mundial. Es en esencia un
computador, y el personal de muchas organizaciones lo utiliza para manejar información sensible de
la misma, por su amplio rango de funcionalidades que hace que sea considerado como una oficina
móvil [5]. A diferencia de la informática forense clásica, el análisis forense sobre dispositivos
móviles inteligentes y específicamente sobre iPhone, es un campo relativamente nuevo y los
procedimientos y las normas no se han completado, por lo cual un análisis forense que se lleve a
cabo sobre un dispositivo como este, puede ser admitido o no, dependiendo de lo que considere el
juez que lleve el caso y la formalidad con que se desarrolle el procedimiento de recolección,
control, análisis y presentación de las evidencias.
16
1. DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO
1.1. Formulación
1.2. Justificación
Se ha evidenciado que si bien el investigador forense tiende a seguir una metodología para realizar
un análisis, frecuentemente la aparición de nuevas tecnologías y la heterogeneidad que estas
presentan, no permiten que el seguimiento sea estricto y que varíen los procedimientos que se
2
Tecnología
inalámbrica
que
provee
a
las
computadoras
y
otros
dispositivos
comunicación
sin
tener
que
estar
conectadas
a
algún
medio
físico
[10].
3
Tecnología
que
consiste
en
la
comunicación
entre
dos
o
más
dispositivos
sin
la
intervención
de
cables
(Wireless),
por
medio
de
un
transmisor
RF,
una
banda
base
y
una
pila
de
protocolos
[11].
4
La
informática
forense
es
una
rama
de
las
ciencias
forenses,
que
involucra
la
aplicación
de
la
metodología
y
la
ciencia
para
identificar,
preservar,
recuperar,
extraer,
documentar
e
interpretar
[5]
pruebas
o
evidencias
procedentes
de
fuentes
digitales
con
el
fin
de
facilitar
la
reconstrucción
de
los
hechos
encontrados
en
la
escena
del
crimen
[36],
para
luego
usar
dichas
evidencias
como
elemento
material
probatorio
en
un
proceso
judicial
[34]
[14].
17
utilizan. Por otra parte, la variedad de herramientas de análisis de datos que existen, presentan
características particulares que facilitan o dificultan algunas actividades necesarias en el proceso de
análisis de datos.
Desarrollar una guía metodológica para realizar análisis forense sobre dispositivos móviles luego de
ser víctima de un ataque (Caso de estudio: iPhone 3G).
18
2. REVISIÓN DE LITERATURA
El iPhone es un dispositivo móvil creado por Apple5, caracterizado principalmente por combinar
tres productos en uno: un teléfono revolucionario, un iPod6 de pantalla ancha y un innovador
dispositivo de internet que permite navegar en la web, recibir correos electrónicos con HTML
enriquecido y navegación web completa [27]. En la actualidad existen 2 generaciones, la generación
más reciente de estos dispositivos es llamada iPhone 3G, la cual se diferencia de la segunda
principalmente por hacer uso de la tercera generación de telefonía móvil y por tener nuevas
funcionalidades como GPS7 [29] (Ver sección 2.1.1. Conociendo el iPhone).
Según [16], la historia del iPhone comienza en el año 2002 poco tiempo después de haber sido
lanzado al mercado el reproductor de música iPod (Ver Anexo 1), cuando el presidente de Apple,
Steve Jobs, vio la necesidad de crear un dispositivo que uniera las características propias de un
teléfono celular, un BlackBerry8 y un reproductor de música, con el objetivo de aumentar la
comodidad al momento de utilizar estos productos, debido a que hasta ese momento los usuarios
adquirían cada uno de estos por separado.
Para esa época la idea de Steve Jobs era buena, pero tenía algunos inconvenientes. La velocidad de
las redes no permitirían crear un dispositivo móvil que accediera de manera eficiente a internet, y
además Apple tuvo que crear un sistema operativo completamente nuevo, debido a que el sistema
operativo del iPod no era suficientemente sofisticado para manejar redes, gráficos y las funciones
de un teléfono celular; pero sin importar estos inconvenientes Apple comenzó a registrar la marca
de iPhone en varios países como Singapur y Australia [19].
En el 2004 la popularidad del iPod disminuyó, debido la llegada al mercado de los teléfonos
inteligentes que unían la posibilidad de tener un teléfono celular y escuchar música en el mismo
dispositivo [17], en este año Motorola había lanzado al mercado su teléfono celular RAZR. Al ver
la popularidad de este dispositivo Steve Jobs se alió con Motorola para crear un teléfono celular
innovador que uniera las funcionalidades del iTunes9 con un teléfono celular [16].
En septiembre de 2005, se lanzó al mercado el ROKR (Ver Ilustración 5), resultado de la alianza
entre Apple y Motorola, teléfono celular llamado “un iPod Shuffle en tu teléfono” por Steve Jobs
[18]; este producto no fue exitoso, ya que tenía problemas de capacidad al solo poder almacenar 100
5
Formalmente
Apple
Computer
Inc.,
empresa
norte
americana
que
se
caracteriza
por
producir
computadores,
portátiles,
impresoras,
cámaras
y
sistemas
operativos
con
tecnología
innovadora
por
más
de
30
años
[9]
6
Reproductor
de
música
creado
por
Apple
Inc.,
caracterizado
por
ser
una
biblioteca
multimedia
digital
[28]
7
Sistema
de
posicionamiento
global,
que
permite
determinar
en
todo
el
mundo
la
posición
de
un
objeto,
una
persona,
un
vehículo
o
una
nave,
con
una
precisión
hasta
de
centímetros.
8
Inicialmente
fueron
una
solución
que
se
dio
a
la
necesidad
de
interconexión
entre
personal
de
empresas
[20]
9
Aplicación
para
MAC
y
computadores
personales,
que
reproduce
música
digital
y
sincroniza
el
contenido
del
iPod,
iPhone
y
Apple
TV
[22]
19
canciones, no se podían descargar canciones directamente desde iTunes y su apariencia física no era
agradable [17] [18].
En octubre de ese año, luego del fracaso del ROKR, Steve Jobs se reunió con los directivos de
Cingular (AT&T desde diciembre del 2006), dando a conocer que Apple tenía la tecnología
necesaria para construir un dispositivo revolucionario, y estaba dispuesto a considerar un acuerdo
de exclusividad con esta empresa de telefonía [17]. En ese momento Jobs estaba confiado de los
resultados que podría obtener, ya que los ingenieros de Apple habían trabajado aproximadamente
un año en la tecnología de pantalla táctil para los monitores de los computadores de escritorio MAC
y gracias al lanzamiento del microprocesador ARM, finalmente el procesador del teléfono podía ser
más eficiente para un dispositivo que tenía como objetivo combinar la funcionalidad de un teléfono
celular, un computador y un iPod [16].
El diseño y construcción del iPhone comenzó a mediados del 2006. Internamente en Apple, este
proyecto fue conocido como P2 (Purple 2), el software y hardware del iPhone se desarrolló en
diferentes equipos de trabajo, y faltando pocos meses para su lanzamiento, los equipos se reunieron
para unir estas dos partes [16]. En Noviembre del mismo año, Apple consiguió la patente del iPhone
y un mes después cuando los ingenieros de Apple seguían trabajando en el prototipo del iPhone,
Linksys adquirido por Cisco, lanzó al mercado su teléfono celular llamado iPhone (Ver Ilustración
6), nombre adquirido por ellos desde el año 2000 [19]. Por tal razón, a comienzos del 2007 Cisco
demandó a Apple por haber patentado el dispositivo con el nombre “iPhone”, pero luego de un mes
las dos partes llegaron a un acuerdo que consistía en compartir el nombre.
20
Ilustración 6. iPhone Linksys. Tomado de [101]
En enero de 2007, antes que Cisco instaurara la demanda contra Apple por el nombre del iPhone,
Steve Jobs anunció en el MacWorld10 de ese año, que en pocos meses sería el lanzamiento oficial de
la primera generación del dispositivo [19]. Luego de 6 meses de espera, el 29 de Junio de 2007 se
realizó el lanzamiento oficial del iPhone al mercado. Aunque el dispositivo tuvo gran acogida por
parte de los usuarios, tenía problemas al cargar la batería, se perdían las llamadas y no se podían
ejecutar programas hechos en Flash o Java, sin embargo, estos problemas se fueron solucionando a
través de las actualizaciones de software.
Durante la segunda mitad del 2007 Apple se dedicó a perfeccionar las aplicaciones del iPhone y a
crear varias gamas del mismo dispositivo, y finalmente el 11 de Julio de 2008 fue lanzado al
mercado la segunda generación de iPhone, dispositivo conocido como iPhone 3G [16] [19] (Ver
Ilustración 7), caracterizado por hacer uso de la tercera generación de tecnología móvil (Ver sección
2.1.1. Conociendo el iPhone).
10
Evento
usado
por
Apple
para
promocionar
sus
productos
más
importantes
[16]
21
2.1.1. Conociendo el iPhone
Diferentes dispositivos móviles, incluyendo celulares, han podido hacer lo que el iPhone es capaz
de hacer desde hace mucho tiempo. Según [9], lo que lo diferencia de los demás y ha logrado
hacerlo tan popular en el mercado de la tecnología móvil, es su diseño de pantalla táctil con un
teclado virtual, lo cual permite que el tamaño de la pantalla sea superior a cualquier otro dispositivo
permitiendo que la visualización de películas, fotos y el navegar por la web se pueda realizar de
manera mas sencilla y cómoda.
• Comunicación celular
• Acceso Web
• Correo electrónico
• Asistente personal de datos (PDA)
Calendario
Agenda
Notas
• Conexión con iTunes y YouTube11
La segunda generación de iPhone presenta más funcionalidades como servicios de GPS, que pueden
ser vinculados con Google Maps12 para indicarle al usuario su ubicación exacta. Debido a lo
anterior el iPhone puede actuar como cualquier dispositivo GPS, es decir, es capaz de manejar rutas
y localizar servicios a través de la función de Google Map. Cuando el iPhone 3G se introdujo en el
mercado presentaba problemas con esta funcionalidad, sin embargo, con la actualización 2.1 sobre
el software del mismo, estos problemas se resolvieron. Otra funcionalidad permitió el acceso a la
App Store13 tanto para iPhones de primera generación como para iPhones de segunda generación.
Existen 19 categorías diferentes de aplicaciones para descargar directamente al iPhone ya sea vía
App Store o iTunes, dichas aplicaciones pueden utilizar algunas características del iPhone como el
acelerómetro, el GPS14, video, audio, herramientas de productividad y juegos [9].
La Tabla 2 muestra las especificaciones técnicas tanto del iPhone clásico como las del iPhone 3G.
11
Sitio
web
diseñado
para
cargar
y
compartir
videos
en
Internet
a
través
de
sitios
web,
dispositivos
móviles,
blogs
y
correo
electrónico.
http://www.youtube.com/t/about
12
Servicio
gratuito
de
Google
que
ofrece
un
servidor
de
aplicaciones
de
mapas
web.
13
Mercado
para
aplicaciones
con
costo
o
gratis
que
se
pueden
ejecutar
sobre
el
iPhone.
14
Sistema
de
Posicionamiento
Global
22
Característica Especificación
Dimensiones y peso • Alto: 115,5 mm / 115 mm*
• Ancho: 62,1 mm / 61 mm*
• Fondo: 12,3 mm / 11,6 mm*
• Peso: 133 g / 135 g*
Capacidad Disco flash de 4GB*, 8GB o 16 GB
Color • Modelo de 8GB: Negro
• Modelo de 16GB: Negro* o Blanco
Pantalla • Pantalla ancha de 3.5 pulgadas (diagonales) con Multi-Toque
• Resolución de 480x320 pixeles a 163 ppi
• Soporte para mostrar múltiples lenguajes y caracteres
simultáneamente
Audio • Respuesta de frecuencia: 20Hz a 20,000Hz
• Formatos de audio soportados: AAC, AAC Protegido, MP3, MP3
VBR, Audible (formatos 2, 3, y 4), Apple Lossless, AIFF, y WAV
• Límite de volumen máximo configurable por el usuario
Telefonía y conectividad • UMTS/HSDPA (850, 1900, 2100 MHz) / No lo soporta*
inalámbrica • GSM/EDGE (850, 900, 1800, 1900 MHz)
• Wi-Fi (802.11b/g)
• Bluetooth 2.0 + EDR
Video Formatos de video soportados: video H.264, hasta 1.5 Mbps, 640 por 480
píxeles, 30 cuadros por segundo, versión de Baja Complejidad del H.264
Baseline Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio
estéreo en formatos de archivo .m4v, .mp4 y .mov file; video H.264,
hasta 768 Kbps, 320 por 240 píxeles, 30 cuadros por segundo, Baseline
Profile hasta Nivel 1.3 con audio AAC-LC de hasta 160 Kbps, 48kHz,
audio estéreo en formatos de archivo .m4v, .mp4 y .mov; video MPEG-4,
hasta 2.5 Mbps, 640 por 480 píxeles, 30 cuadros por segundo, Simple
Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio estéreo en
formatos de archivo .m4v, .mp4 y .mov
GPS GPS Asistido / No lo soporta*
Cámara y fotos • 2.0 Mega pixeles
• Rotulado geográfico de fotos
• Integración con aplicaciones del iPhone y de terceros
Soporte para idiomas • Soporte de idiomas para inglés, francés, alemán, japonés, holandés,
italiano, español, portugués, danés, finés, noruego, sueco, coreano,
chino simplificado, chino tradicional, ruso, polaco, turco y
ucraniano.
• Soporte de teclado internacional y diccionario para inglés (Estados
Unidos), inglés (Reino Unido), francés (Francia), francés (Canadá),
alemán, japonés, holandés, italiano, español, portugués (Portugal),
portugués (Brasil), danés, finés, noruego, sueco, coreano (sin
diccionario), chino simplificado, chino tradicional, ruso, polaco,
turco y ucraniano.
Conectores y entradas • Conector base de 30 pines
/salidas • Mini-conector estéreo para auriculares de 3.3mm
• Altavoz incorporado
• Micrófono
• Bandeja para tarjeta SIM
Botones y controles • Volumen (subida/bajada)
externos • Botón Home
• Timbre/Silencio
• Temporizador encendido y apagado
Sensores • Acelerómetro
• Sensor de proximidad
23
• Sensor de luz ambiente
Energía y batería • Batería de litio-ion recargable incorporada
• Carga a través de un puerto USB de la computadora o del adaptador
de corriente
• Tiempo de conversación:
Hasta 5 horas con 3G / No lo soporta*
Hasta 10 horas con 2G / Hasta 8 horas*
Tiempo en espera activa: Hasta 300 horas / Hasta 250
horas*
• Uso en Internet:
Hasta 5 horas con 3G / No lo soporta*
Hasta 6 horas con Wi-Fi / Hasta 6 horas*
• Reproducción de Video: Hasta 7 horas
• Reproducción de Audio: Hasta 24 horas
Requerimientos de sistema • Computadora Mac con puerto USB 2.0
para Mac • Mac OS X v10.4.10 o posterior
• iTunes 7.7 o posterior
Requerimientos de sistema • Computadora PC con puerto USB 2.0
para Windows • Windows Vista; o Windows XP Home o Professional con Service
Pack 2 o posterior
• iTunes 7.7 o posterior
Requerimientos • Temperatura de funcionamiento: 0° a 35° C
ambientales • Temperatura apagado: -20° a 45° C
• Humedad relativa: 5% a 95% no condensada
• Altitud de funcionamiento máxima: 10.000 pies (3000 m)
Tabla 2. Especificaciones Técnicas del iPhone [21]
El iPhone ejecuta una versión móvil de MAC OS X 10.5 (Leopard) que es similar a la versión del
sistema operativo MAC para computadores portátiles y de escritorio [5]. Las características
principales, aunque modelos diferentes se han lanzado, pero que aún conservan son:
15
Familia
de
microprocesadores
RISC
24
• Interfaz de usuario: Apple acondicionó controles amigables para el contacto, además de
interfaces que se acomodaran al hardware multi-toque implantado en forma de páginas y no
de ventanas como lo maneja la versión del sistema operativo de escritorio.
Aunque los primeros modelos del iPhone tuvieron variaciones. Como cualquier dispositivo
electrónico complejo, el iPhone es una colección de módulos, chips y otros componentes
electrónicos de diferentes fabricantes [23]. Debido a la las múltiples características que este
dispositivo posee la lista de componentes es extensa como se puede ver en las siguientes tablas.
Los componentes que se muestran en la Tabla 3 se conservaron para todos los modelos de la
primera generación.
16
Es
una
marca
registrada
de
Wi-‐Fi
Alliance
que
pueden
utilizarse
con
productos
certificados
que
pertenecen
a
una
clase
de
red
inalámbrica
de
área
local
inalámbrica
(WLAN),
los
dispositivos
basados
en
los
estándares
IEEE
802.11
[95].
17
Es
una
tecnología
compatible
con
versiones
anteriores
de
tecnología
digital
de
telefonía
móvil,
que
permite
la
mejora
de
transmisión
de
datos
como
una
extensión
en
la
parte
superior
de
la
norma
GSM
[96].
18
Amplificador
de
señales
UMTS
25
TQM616035 – Band 5/6 - WCDMA/HSUPA
PA-duplexer
PMB 6272 GSM/EDGE and WCDMA PMB
Transceptor UMTS Infineon
5701
Procesador Base Infineon X-Gold 608 (PMB 8878)
PF38F3050M0Y0CE - 16 Mbytes of NOR flash
Memoria base de apoyo Numonyx
y 8 Mbytes of pseudo-SRAM
Amplificador de cuatro
Skyworks SKY77340 (824- to 915-MHz)
bandas GSM / EDGE
Antena GPS, Wi-fi y BT NXP OM3805, a variant of PCF50635/33
Gestor de comunicaciones Infineon SMARTi Power 3i (SMP3i)
Gestor a nivel de sistema NXP PCF50633
Cargador de batería /
Tecnología Linear LTC4088-2
controlador USB
GPS Infineon PMB2525 Hammerhead II
Flash NAND Toshiba TH58G6D1DTG80 (8 GB NAND Flash)
Chip flash serial SST SST25VF080B (1 MB)
ST
Acelerómetro LIS331 DL
Microelectronics
Wi-Fi Marvell 88W8686
Bluetooth CSR BlueCore6-ROM
Codec de audio Wolfson WM6180C
Controlador de la pantalla
Broadcom BCM5974
táctil
Interfaz de enlace con la National
LM2512AA Mobile Pixel Link
pantalla Semiconductor
Controlador de línea de
Texas Instruments CD3239
pantalla táctil
Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores
A continuación se presenta una breve descripción del funcionamiento de dos de los componentes
más importantes del iPhone:
• Procesador Base: es el componente del iPhone que gestiona todas las funciones que
requiere la antena (servicios celulares). El procesador base tiene su propia memoria RAM20
y firmware en flash NOR21, como recurso de la CPU principal. El Wi-Fi y el Bluetooth son
19
Es
un
tipo
de
microprocesador
con
las
siguientes
características
fundamentales:
Instrucciones
de
tamaño
fijo,
presentadas
en
un
reducido
número
de
formatos.
Sólo
las
instrucciones
de
carga
y
almacenamiento
acceden
a
la
memoria
por
datos.
20
Memoria
de
acceso
aleatorio
desde
donde
el
procesador
recibe
las
instrucciones
y
guarda
los
resultados.
21
Memoria
que
permite
que
múltiples
posiciones
de
memoria
sean
escritas
o
borradas
en
una
misma
operación
de
programación
mediante
impulsos
eléctricos.
26
gestionados por la CPU principal a pesar que el procesador base almacena su dirección
MAC22 en su NVRAM23 [23].
Según [5] y [9], el esquema de partición del disco de un iPhone se asemeja al de un Apple TV24. Por
defecto, el iPhone está configurado con dos particiones de disco que no residen en una unidad de
disco física debido a que utiliza una NAND flash25 de estado sólido que es tratada como un disco de
almacenamiento. Allí se almacenan una tabla de particiones y un formato de sistema de archivos.
La primera partición se conoce como Master Boot Record26 (MRB) y es la responsable de cargar el
sistema operativo. Esta partición es de solo lectura para conservar el estado de fábrica durante todo
el ciclo de vida del iPhone, y es donde se encuentran todas las aplicaciones que vienen por defecto
en el iPhone. A continuación existe un área libre conocida como Apple_Free area, seguida de la
segunda partición que se divide en dos: una parte HFSX27 que en un principio almacena el sistema
operativo, otra área libre Apple_Free area, y la segunda parte HFSX que contiene todos los datos de
usuario, donde se almacena música, videos, fotos, información de contactos, entre otros.
• Primera Partición: el tamaño de la primera partición está generalmente entre los 300MB y
los 500MB, y usa el sistema de archivos HFSX. Los orígenes del iPhone provienen del iPod
y del Apple TV, que cuentan con dos particiones: una únicamente para operación y otra
únicamente para almacenamiento (Ver Ilustración 8). Aunque el esquema de partición es
diferente, los sistemas de archivos son similares en su estructura [9].
Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores
22
Es
un
identificador
de
48
bits
que
corresponde
de
forma
única
a
un
dispositivo.
23
La
memoria
de
acceso
aleatorio
no
volátiles
un
tipo
de
memoria
que
no
pierde
la
información
almacenada
al
cortar
la
alimentación
eléctrica.
24
El
Apple
TV
permite
escuchar
los
temas
de
iTunes,
visualizar
fotos
en
HD
y
visualizar
podcasts
gratuitos.
http://www.apple.com/es/appletv/whatis.html
25
Memorias
que
usan
un
túnel
de
inyección
para
la
escritura
y
para
el
borrado
un
túnel
de
‘soltado’.
Permiten
acceso
secuencial
(más
orientado
a
dispositivos
de
almacenamiento
masivo).
26
Sector
de
almacenamiento
de
datos
que
contiene
código
de
arranque
de
un
sistema
operativo
almacenado
en
otros
sectores
del
disco.
27
Es
un
sistema
de
archivos
desarrollado
por
Apple
Inc.
27
Esta partición es la encargada de cargar el sistema operativo del iPhone, el iPhone OS, el
cual es una variante del núcleo del sistema operativo OS X de Apple. Basado en el mismo
núcleo MACH28 y compartiendo algunos elementos básicos con el OS X 10.5 (Leopard), el
iPhone se compone de 4 capas, incluyendo el sistema operativo básico, el núcleo API de
servicios, los medios de comunicación y una capa resistente denominada Cocoa Touch [23].
El iPhone OS es el sistema operativo que se ejecuta sobre los dispositivos iPhone y iPod Touch. Se
encarga principalmente de la gestión del hardware del dispositivo, y provee las tecnologías básicas
para implementar aplicaciones nativas en el teléfono [41].
Como se mencionó anteriormente, la arquitectura del iPhone OS es similar a la arquitectura base del
Mac OS X, compartiendo la mayoría de tecnologías y características provenientes de él. En un alto
nivel, el iPhone OS actúa como un intermediario entre el hardware del dispositivo, y las
aplicaciones que aparecen en la pantalla (Ver Ilustración 9). Las aplicaciones no interactúan
directamente con el hardware, en su lugar, utilizan interfaces que interactúan con los controladores
asociados, para proteger de cambios subyacentes en el hardware [42].
28
Es
un
sistema
operativo
a
nivel
de
micro
núcleo
desarrollado
como
soporte
tanto
para
computación
paralela
como
distribuida
http://www2.cs.cmu.edu/afs/cs/project/mach/public/www/mach.html.
28
Ilustración 9. Interacción iPhone OS. Tomado de [42]
El iPhone OS utiliza una pila de software sencilla. En la parte inferior de esta pila, se encuentran el
núcleo MACH y los controladores de hardware, que gestionan la ejecución de aplicaciones en el
dispositivo. En la parte superior, se encuentran capas adicionales que contienen las tecnologías
básicas e interfaces asociadas a los controladores hardware. Y, aunque el iPhone OS no expone el
núcleo o las interfaces de los controladores, si expone las tecnologías (Ver sección Tecnología de
capas del iPhone OS) en los niveles superiores de la pila [42].
Según [42], en el iPhone OS la arquitectura del sistema, y la mayoría de las tecnologías son
similares a las que se encuentran en el Mac OS X. El núcleo o kernel, se basa en una variante del
kernel MACH que se encuentra en dicho sistema operativo.
Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores
La capa del Núcleo OS y la capa de Servicios del Núcleo contienen las interfaces fundamentales del
iPhone OS. Estas incluyen aquellas usadas para acceder a los archivos, tipos de datos de bajo nivel,
29
servicios Bonjour29, sockets de red, entre otros. La mayoría de estas interfaces se encuentran
desarrolladas bajo el lenguaje de programación C, e incluyen tecnologías como CoreFunction,
CFNetwork30, SQLite31, acceso a hilos POSIX32 y sockets UNIX33 [41].
A medida que se sube de capa, se encontrarán tecnologías más avanzadas, desarrolladas bajo una
mezcla entre el lenguaje de programación C y Objective-C34. Por ejemplo, la capa de medios de
comunicación contiene tecnologías fundamentales usadas para soportar gráficos 2D y 3D, audio y
video. Incluye tecnologías bajo C como OpenGL ES35, Quartz36, Audio Core37 y un motor de
animación llamado Animación Core que está basado en Objective-C [41].
Como se mencionó anteriormente, el disco del iPhone utiliza un sistema de archivos HFSX, que es
una variante del sistema de archivos HFS+ de Apple. En general, HFSX es casi idéntico en su
totalidad a HFS+, pero se diferencian por ciertas características, que mas adelante serán
mencionadas. Para entender su estructura es necesario conocer en detalle el sistema de archivos
HFS+ y mencionar las características que lo diferencian.
HFS+ es un formato de volumen para Mac OS. Fue introducido con el Mac OS 8.1, y es
arquitectónicamente muy similar a HFS, aunque ha presentado una serie de cambios importantes,
que se muestran en la Tabla 5 [43].
29
Los
servicios
Bonjour,
también
son
conocidos
como
servicios
de
configuración
de
red,
que
permiten
el
descubrimiento
automático
de
computadores,
dispositivos
y
servicios
en
redes
IP
[94].
30
Es
un
framework
de
los
servicios
básicos,
que
ofrece
una
colección
de
abstracciones
de
protocolos
de
red
[97].
31
Sistema
de
gestión
de
bases
de
datos.
32
Código
multihilo
portable.
33
Es
un
punto
final
de
comunicaciones
de
datos
que
es
similar
a
un
socket
de
Internet,
pero
no
utiliza
un
protocolo
de
red
para
la
comunicación.
34
El
Objective-‐C
es
un
lenguaje
simple,
diseñado
para
permitir
programación
orientada
a
objetos
sofisticada
[98].
35
Es
una
plataforma
cruzada
para
permitir
funciones
de
gráficos
2D
y
3D
en
sistemas
embebidos
incluyendo
las
consolas,
teléfonos,
aparatos
y
vehículos.
36
Quartz
2D
es
un
avanzado
motor
de
dibujo
de
dos
dimensiones
para
el
desarrollo
de
aplicaciones
del
iPhone
y
para
todos
los
entornos
Mac
OS
X
fuera
de
la
aplicación
del
núcleo
[99].
37
Es
una
API
de
bajo
nivel
para
tratar
con
el
sonido
en
el
sistema
de
Apple
Mac
OS
X.
30
Característica HFS+
Nombre de usuario
Mac OS Extendido
visible
Número de asignación
32 bits
de bloques
Nombres de archivos
255 caracteres
largos
Codificación de nombres
Unicode
de archivos
Atributos de archivos / Permite futuras extensiones
carpetas de metadatos
También soporta un archivo
Soporte de inicio del SO
dedicado de inicio
Tamaño del catálogo de
4KB
nodo
Tamaño máximo de
263 bytes
archivo
Tabla 5. Características HFS+ [43], traducción libre de los autores
• Uso del Disco: HFS+ utiliza valores de 32 bits para identificar bloques de asignación. Esto
permite hasta 232 (4’294.967.296) bloques de asignación en un volumen. Más bloques de
asignación significan un menor tamaño del bloque, especialmente en volúmenes de 1 GB o
mayores, que a su vez significa menos espacio desperdiciado. Por tal razón, se puede
almacenar un mayor número de archivos, ya que el espacio de disco disponible se puede
distribuir de mejor manera.
• Nombres de archivos: HFS+ utiliza hasta 255 caracteres Unicode para almacenar nombres
de archivos. Esto permite tener nombres largos descriptivos, lo cual es útil cuando el
nombre es generado por el computador automáticamente. El nombre de un archivo puede
ocupar hasta 512 bytes (incluyendo el campo de longitud). Y, como el árbol B de índices
debe almacenar al menos dos llaves, además de los apuntadores y descriptor de nodo, el
catálogo de HFS+ debe usar un tamaño de nodo mayor. Generalmente el tamaño del nodo
para el catálogo del árbol B es de 4 KB.
Las llaves en un nodo deben ocupar una cantidad de espacio variable determinada por el
tamaño actual de la llave. Esto permite que no se desperdicie mucho espacio en los nodos
ya que se crea un factor de mayor ramificación en el árbol, es decir, se requiere un menor
número de accesos para encontrar algún registro.
HFS+ utiliza estructuras interrelacionadas para la gestión de los datos en el volumen [43]. Estas
estructuras incluyen:
31
• Archivo de inicio
A continuación se describirá cómo estas estructuras se relacionan entre sí, y se definen los tipos de
datos primitivos usados por HFS+. Cada una de las estructuras se describirá con mayor detalle en
las siguientes secciones.
HFS+ es una especificación de cómo un volumen (archivos que contienen datos de usuario, así
como la estructura para obtener esos datos) existe en el disco (el medio en el que los datos de
usuario son almacenados). El espacio de almacenamiento en el disco está dividido en unidades
llamadas sectores. Un sector es la mínima parte que puede ser escrita o leída en una sola operación
por el controlador del disco, y su tamaño se basa en la forma en que es establecido físicamente (para
discos duros los sectores son de 512 bytes, para medios ópticos son de 2048 bytes) [43].
HFS+ asigna espacio en unidades llamadas bloques de asignación, que son simplemente un grupo
de bytes consecutivos. El tamaño de estos bloques, se establece cuando el volumen es inicializado,
y puede ser superior o igual a 512 bytes. La forma de identificación de estos bloques, se hace
mediante un número de 32 bits, de forma tal que pueden existir 232 bloques de asignación en un
volumen.
Todas las estructuras del volumen, incluyendo la cabecera, son parte de uno o más bloques de
asignación. Para promover la contigüidad de archivos y evitar la fragmentación, estos son asignados
a grupos de bloques. El tamaño de estos grupos siempre es múltiplo del tamaño de un bloque de
asignación y se define en la cabecera del volumen.
Los primeros 1024 bytes de un volumen, y los últimos 512 son espacios reservados. Cada volumen
debe tener una cabecera, la cual ocupa 1024 bytes después del primer espacio reservado. Contiene
información descriptiva y atributos del volumen, como fecha y hora de creación, el número de
archivos que contiene, la ubicación de las otras estructuras dentro de él, versión, tamaño del bloque
de asignación e información para localizar metadatos de los archivos [43] [44]. Además, antes de
los 512 bytes reservados al final del volumen, se encuentra una copia de la cabecera, conocida como
la cabecera alterna del volumen, que ocupa de igual manera 1024 bytes, y es utilizada únicamente
para funciones de reparación del disco [43].
Un volumen contiene cinco archivos especiales, los cuales almacenan las estructuras requeridas
para acceder a la carga útil del sistema de archivos, es decir, carpetas, archivos de usuario, y
atributos. Estos archivos especiales contienen una única bifurcación ó fork de datos, y su extensión
también está descrita en la cabecera del volumen [43].
32
El archivo de atributos es otro tipo de archivo especial, el cual contiene datos adicionales para un
archivo o carpeta. Al igual que el archivo de catálogo, se organiza en un árbol-B. En un futuro, se
usará para almacenar información adicional sobre los forks, es decir, metadatos extensibles, listas de
control y tiempos de máquina [43] [44].
HFS+ hace un seguimiento acerca de cuáles bloques pertenecen a un fork manteniendo una lista de
las extensiones de los forks. Una extensión es un rango contiguo de asignaciones de bloques para un
fork específico, representado por un par de números: el número del primer bloque de asignación y el
número de bloques de asignación. Para un archivo de usuario, las primeras ocho extensiones se
almacenan en el archivo de catálogo. Las extensiones adicionales se almacenan en el archivo
especial de grados de desbordamiento, el cual se organiza también en un árbol-B.
El archivo de asignación es otro archivo especial, qué específica cuales bloques de asignación están
siendo utilizados y cuáles no.
El archivo de inicio es otro archivo especial, que facilita el arranque del volumen HFS+ en
computadores que no son Mac.
Finalmente, el archivo de bloques defectuosos previene al volumen de usar ciertos bloques debido a
que el medio que los almacena se encuentra defectuoso [43].
33
Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los autores
La cabecera del volumen se encuentra siempre en una ubicación fija. Sin embargo, los archivos
especiales pueden aparecer en cualquier ubicación entre el bloque de la cabecera del volumen y el
bloque de la cabecera alterna del volumen. Estos archivos pueden aparecer en cualquier orden y no
necesariamente están contiguos [43].
2.1.3.2.2.4. HFSX
Según [43], HFSX es una extensión para HFS+, que permite características adicionales
incompatibles con HFS+. La única de esas características que está definida actualmente es la
distinción de mayúsculas y minúsculas en los nombres de archivos. Significa que se puede tener dos
objetos, cuyos nombres se diferencian sólo en letras, en el mismo directorio al mismo tiempo. Por
ejemplo, se podría tener "Bob", "Bob", y "bob" en el mismo directorio.
El volumen HFSX tiene una firma de "HX" (0x4858) en el campo de firma de la cabecera. En el
campo de versión se identifica la versión HFSX usada en el volumen, actualmente solo está
definido el valor de 5. Si se añaden funciones incompatibles con versiones anteriores (es decir,
versiones anteriores no podrán modificar o tener acceso al volumen), un número nuevo de versión
se utilizará.
Mac OS X versión 10.3 introdujo una nueva política para determinar cómo distribuir el espacio para
los archivos, lo cual mejora el rendimiento. Esta política sitúa el volumen de metadatos y pequeños
archivos de uso frecuente ("archivos calientes") cerca unos de otros en el disco, lo que reduce el
34
tiempo de búsqueda de accesos típicos. Esta área en el disco se conoce como la zona de metadatos
[43].
Según [45], gracias al iPhone, Apple aumentó su participación en el mercado mundial de teléfonos
inteligentes de un 2.8 % a un 13.3 %. Aumento debido a la “experiencia de usuario” que este
dispositivo ofrece a sus compradores, y a su incorporación en ambientes empresariales. En
principio, este dispositivo era visto como una herramienta de entretenimiento, pero con el paso del
tiempo y la aparición de aplicaciones corporativas se ha ido convirtiendo en una herramienta
empresarial.
Según lo anterior, la información que se maneja en este tipo de dispositivos cada vez es más
sensible, por lo tanto, puede llegar a ser objeto de ataque de agentes malintencionados (Hackers)
con el fin de afectar la integridad, confiabilidad y disponibilidad de esta. En la actualidad no existe
una taxonomía detallada que especifique que tipo de ataques puede sufrir un iPhone 3G, sin
embargo, se han identificado algunos ataques, los cuales se describirán a continuación.
2.2.1. Jailbreak
A través del Jailbreak, el propietario del iPhone es consciente y en algunos casos responsable de
realizar este tipo de ataque, con el objetivo de liberar a dicho dispositivo de las limitaciones
impuestas por Apple y los operadores de telefonía celular como AT&T en Estados Unidos, los
cuales tienen contratos exclusivos para la venta de este tipo de dispositivos [46].
Este tipo de ataque ha logrado adquirir popularidad debido a los beneficios económicos y
funcionales que ofrece, tales como la configuración del dispositivo para lograr su funcionamiento
con cualquier otro operador de telefonía celular. Así mismo, personalizar su apariencia e instalar
aplicaciones ofrecidas en el Apple Store de Apple sin ningún costo [46].
Actualmente existen varias herramientas como Pwnage Tool [30] y Redsn0w [10] desarrolladas por
el iPhone Dev Team38 [48], las cuales permiten realizar el Jailbreak sobre el iPhone que se pretende
atacar, sacando provecho de una vulnerabilidad descubierta en el gestor de arranque de estos
dispositivos [49] [50].
Según [50], las herramientas nombradas anteriormente inician arrancando desde un dispositivo de
memoria (disco RAM) en un entorno “seguro", para evitar que el núcleo desactive las llaves de
cifrado. Además, añade otro dispositivo de memoria, apuntando al espacio de direcciones del
núcleo, que permite aplicar parches sobre el núcleo (kernel). Después de arrancar, se aplica un
parche sobre la verificación de la firma en la extensión AppleImage2NorAccess, y se continúa con
la implantación de los nuevos archivos de instalación (iBoot, LLB, DeviceTree, y fotos). Debido a
que se aplica un parche sobre la comprobación de la firma, y las claves de cifrado están disponibles,
38
Grupo
de
Hackers
dedicados
a
desarrollar
soluciones
orientadas
al
desbloqueo
de
los
productos
móviles
de
Apple
[48].
35
el AppleImage2NORAccess las escribe en el lugar adecuado del disco. Después de eso, el
dispositivo puede ser reiniciado, y aceptará cualquier archivo sin ningún tipo de complicación.
Actualmente, los usuarios del iPhone 3G pueden gestionar y ver el correo electrónico como si lo
estuvieran haciendo desde un computador, por medio de la aplicación iPhone Mail o a través del
navegador Safari el cual viene por defecto en este dispositivo [52].
Las aplicaciones nombradas anteriormente son vulnerables al URL spoofing, por medio del cual se
pueden realizar ataques de phishing contra los usuarios de este dispositivo [53]. Con respecto a lo
anterior, debido al tamaño de su pantalla este dispositivo tiene un problema al momento de mostrar
direcciones electrónicas muy largas, ya que no las muestra en su totalidad si no que por el contrario
oculta por medio de puntos suspensivos el centro de dicha dirección (Ver Ilustración 12) [55].
Por lo tanto, es posible que un atacante construya un URL muy largo y lo envíe por medio de un
correo electrónico, en donde la primera parte, la cual es visualizada en el iPhone, parezca un
dominio de confianza, con esto, la victima solo verá la parte conocida y hará clic sobre el enlace
malicioso (Ver Ilustración 13).
39
Capacidad
de
duplicar
una
página
web
para
hacer
creer
al
visitante
que
se
encuentra
en
el
sitio
web
original,
en
lugar
del
falso.
Normalmente
se
usa
con
el
objetivo
de
robar
información
confidencial
del
usuario
como
contraseñas,
números
de
tarjetas
de
crédito
y
datos
financieros
o
bancarios
[51].
40
Tipo
de
ataque
que
tiene
como
objetivo
engañar
al
sistema
de
la
víctima
para
ingresar
al
mismo.
Generalmente
este
engaño
se
realiza
tomando
las
sesiones
ya
establecidas
por
la
víctima
u
obteniendo
su
nombre
de
usuario
y
contraseña
[84].
41
Capacidad
de
enviar
mensajes
no
solicitados,
habitualmente
de
tipo
publicitario,
enviados
de
forma
masiva.
La
vía
mas
utilizada
es
basada
en
el
correo
electrónico
pero
también
se
puede
presentar
por
programas
de
mensajería
instantánea
o
por
telefonía
celular
[57].
36
Ilustración 13. Página falsa accedida por medio del iPhone 3G
Cabe resaltar que el ataque nombrado anteriormente hasta el momento puede ser realizado en los
iPhone con firmware 2.0.1, 2.0.2, 2.1, 3.0 y 3.01, ya que no ha salido ninguna actualización donde
se corrija esta vulnerabilidad por parte de Apple [54].
Por otro lado, la aplicación iPhone Mail también es vulnerable debido a la forma cómo gestiona las
imágenes adjuntas a los correos electrónicos [55]. Actualmente la mayoría de clientes de correo
electrónico requieren autorización para realizar la descarga de imágenes desde un servidor remoto
(Ver Ilustración 14), si estas imágenes se descargarán automáticamente, el spammer42 que controla
el servidor remoto sabrá que el usuario leyó el mensaje, y luego marcará su cuenta de correo como
una cuenta activa con el fin de enviar mas spam43 [54].
Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA
[56] con sistema operativo Windows XP.
42
Persona
dedicada
a
enviar
spam
[57].
43
Mensajes
no
solicitados,
habitualmente
de
tipo
publicitario,
enviados
en
forma
masiva.
La
vía
más
utilizada
es
la
basada
en
el
correo
electrónico
pero
puede
presentarse
por
programas
de
mensajería
instantánea
o
por
teléfono
celular
[93]
37
Con respecto a lo anterior, la vulnerabilidad de la aplicación iPhone mail, radica en que la descarga
de imágenes es realizada automáticamente, y no hay forma de desactivar esta característica (Ver
Ilustración 15) [54].
Según [58], una de las maneras más peligrosas en las que un dispositivo móvil puede ser atacado es
por un ataque directo, en el cual el Hacker encuentra el dispositivo y toma acciones deliberadas para
vulnerarlo. Para realizar este ataque en primera instancia el hacker tiene que encontrar e identificar
el dispositivo, esto se puede hacer de varias formas, una de ellas consiste simplemente en
observarlo. Si alguien está revisando su correo electrónico desde su dispositivo móvil o realizando
una llamada en un espacio público, lo único que necesita el atacante es identificar el tipo de
dispositivo que está siendo usado y determinar el tipo de exploit44 que puede ejecutar sobre este.
Otra forma de realizar este ataque es ubicando al dispositivo mientras se encuentre conectado a una
red, en este escenario no es necesario ver al dispositivo o al usuario físicamente. Si el dispositivo
móvil se encuentra conectado a internet implica que tiene asignada una dirección IP45 perteneciente
a alguna red, por lo tanto, cualquier persona que pueda obtener una dirección IP de dicha red podrá
localizar el dispositivo.
Con respecto a lo anterior, luego que el dispositivo móvil sea encontrado por el hacker las acciones
que se pueden realizar sobre éste varían según el tipo de dispositivo y la tecnología que éste use. A
continuación se muestran algunas acciones que se pueden tomar:
44
Programa
o
código
que
"explota"
una
vulnerabilidad
del
sistema
o
de
parte
de
él
para
aprovechar
esta
deficiencia
en
beneficio
del
creador
del
mismo
[85].
45
Número
que
identifica
de
manera
lógica
y
jerárquica
a
una
interfaz
de
un
dispositivo
dentro
de
una
red
que
utilice
el
protocolo
IP
(Internet
Protocol).
38
• Cargar información al dispositivo (incluyendo Malware46).
• Modificación de la configuración del dispositivo.
• Hacer uso de este de forma no autorizada.
• Dejar sin uso el dispositivo.
Según [59], este tipo de ataque puede ser realizado sobre un iPhone 3G luego que el usuario realice
Jailbreak sobre éste (Ver sección Jailbreak), ya que una de las acciones habituales al momento de
desbloquear el dispositivo es instalar OpenSSH47 a través de Cydia48, con el objetivo de poder
transferir aplicaciones de Apple sin pagar desde un computador al dispositivo. OpenSSH es un
demonio que se inicia automáticamente al momento de encender el iPhone y se mantiene a la
escucha de peticiones por el puerto 22 (por defecto). A continuación se muestran los pasos
necesarios para realizar un ataque directo sobre un iPhone 3G:
Para lograr conocer la dirección IP que tiene asignada el dispositivo es necesario realizar
una búsqueda de todos los dispositivos activos dentro de la red que estamos usando, para
esto existen gran variedad de herramientas como Nmap [60] y Netcat [61].
Las herramientas nombradas anteriormente son usadas para realizar exploración sobre
redes, por medio de estas herramientas se puede conocer la dirección IP de los dispositivos
que se encuentren conectados en una red, los puertos abiertos y el tipo de sistema operativo
que usan.
46
También
conocido
como
Virus
Informáticos,
es
cualquier
tipo
de
software
dañino
que
puede
afectar
un
sistema
[86].
47
Versión
libre
del
paquete
de
herramientas
de
comunicación
segura
del
protocolo
SSH/SecSH
para
redes
[87].
48
Aplicación
que
permite
instalar
cualquier
tipo
de
aplicación
que
no
sea
fabricada
por
APPLE
en
dispositivos
iPod
e
iPhone.
39
Ilustración 16. Escaneo de red y puertos abiertos con Zenmap
Una vez encontrado el dispositivo, se procede a acceder al dispositivo por medio del
programa WinSCP Login49 usando como datos la dirección IP encontrada y el puerto 22
como se muestra en la Ilustración 17.
Si el dispositivo está escuchando por el puerto 22, el programa por el cual se está realizando
la conexión pedirá el nombre de usuario y la contraseña, en este caso se debe ingresar root
y alpine respectivamente (Ver Ilustración 18).
49
Cliente
SFTP
gráfico
para
Windows
que
emplea
SSH
40
Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login
El servicio de mensajes cortos (SMS), es un servicio que se creó exclusivamente para el servicio de
telefonía móvil. Es usado principalmente para el envío de mensajes de texto por parte de los
usuarios, así como para algunos servicios ocultos del teléfono móvil.
Según [90] y [91], la seguridad en este servicio es crítica, debido a que, algunos ataques se pueden
llevar a cabo remotamente sin necesidad de tener algún tipo de interacción con el usuario, y además
porque al servicio no se le pueden aplicar filtros de contenido o desactivarlo. A continuación, se
presenta un método que aprovecha una vulnerabilidad en implementaciones SMS. Es un
acercamiento que fue capaz de identificar problemas de seguridad no conocidos previamente, y que
se pueden usar principalmente para la denegación de servicios (DoS) en teléfonos inteligentes.
Uno de los problemas que presenta este servicio, es la incertidumbre de recepción del mensaje
original, puesto que los operadores de telefonía móvil pueden filtrar y modificar el contenido de los
mensajes durante su entrega. En segundo lugar, es un servicio poco fiable, ya que mensajes
importantes pueden retrasarse o ser descartados por razones no determinísticas. Debido a lo
anterior, llevar a cabo pruebas de ataques utilizando este servicio puede tomar mucho tiempo y estas
pueden llegar a ser difíciles de reproducir. Es por esto, que el acercamiento nombrado anteriormente
elimina la necesidad de la red telefónica móvil a través de la inyección de mensajes cortos a nivel
local en el teléfono inteligente, mediante un software que requiere acceso únicamente a nivel de
aplicación en el teléfono inteligente. La inyección se realiza por debajo de la pila software del
teléfono móvil, de forma tal que es posible analizar y probar todos los servicios que están basados
en SMS que se ejecutan en dicha pila.
41
entrantes. La aplicación de usuario SMS se usa exclusivamente para la lectura de mensajes SMS
almacenados en la base de datos, y para la composición de nuevos mensajes.
El método de inyección de mensajes se basa en la adición de una capa entre la capa de las líneas
seriales y la capa del multiplexor (la capa más baja en la pila de telefonía). A esta nueva capa se le
da el nombre de inyector, y su propósito es realizar un ataque de hombre en el medio (man in the
middle) en la comunicación entre el módem y la pila de telefonía. Su funcionalidad básica es leer
comandos del multiplexor y reenviarlos al módem, y en el sentido contrario, leer los resultados del
módem y reenviarlos al multiplexor.
Para inyectar un mensaje SMS en la capa de aplicación, el inyector genera un nuevo resultado
CMT50 y lo envía al multiplexor, como si se reenviara un mensaje SMS real desde el módem.
Además se encarga de gestionar los comandos de acuse de recibo enviados por el multiplexor (Ver
Ilustración 20).
Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores
En el iPhone 3G, los mensajes SMS son gestionados por el proceso CommCenter. La interfaz para
el CommCenter consiste de 16 líneas seriales virtuales /dev/dlci.spi-baseband [0-15]. La
implementación en el iPhone OS está separada en dos partes: una librería y un demonio. La librería
es inyectada en el proceso CommCenter mediante la pre-carga de la librería. Si los archivos
respectivos son abiertos, la librería reemplaza el archivo descriptor con uno conectado al demonio.
La única función de la librería es re direccionar las líneas seriales al demonio. El demonio
implementa la inyección del mensaje actual y registra su funcionalidad.
El constante aprovechamiento de fallas sobre los sistemas de computación por parte de agentes mal
intencionados, ofrece un escenario perfecto para que se cultiven tendencias relacionadas con
50
Reenvío
de
un
mensaje
SMS
recibido
recientemente
al
computador
42
intrusos informáticos [32], estos agentes malintencionados varían según sus estrategias y
motivaciones, que abarcan desde lucro monetario hasta satisfacción personal, y en algunos casos es
un estilo de vida [33].
Con respecto a lo citado anteriormente, según [32], la criminalística ofrece un espacio de análisis y
estudio sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las
acciones criminales, por lo tanto, es necesario establecer un conjunto de herramientas, estrategias y
acciones que ayuden a identificar estos hechos y evidencias dentro del contexto informático [65].
La informática forense es una rama de las ciencias forenses, que involucra la aplicación de la
metodología y la ciencia para identificar, preservar, recuperar, extraer, documentar e interpretar [5]
pruebas o evidencias procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los
hechos encontrados en la escena del crimen [36], para luego usar dichas evidencias como elemento
material probatorio en un proceso judicial [34] [14].
Según [32], es importante anotar que la informática forense al ser un recurso importante para las
ciencias forense modernas, asume dentro de sus procedimientos las tareas propias a la evidencia
física en la escena del crimen como son: identificación, preservación, extracción, análisis,
interpretación, documentación y presentación de las pruebas en el contexto de la situación bajo
inspección.
Con respecto a lo anterior, según [32], se puede considerar la evidencia como “cualquier
información, que sujeta a la intervención humana u otra semejante, ha sido extraída de un medio
informático”. La evidencia digital tiene como características principales el hecho de ser volátil,
anónima, duplicable, alterable y eliminable, en consecuencia, a diferencia de la evidencia física en
un crimen clásico, la evidencia digital es un desafío para aquellas personas que la identifican y
analizan debido a que se encuentran en un ambiente cambiante y dinámico [67] [68].
51
Conjunto
de
técnicas,
aplicaciones
y
herramientas
informáticas
que
se
utilizan
en
funciones
de
oficina.
43
2.3.1.1.1. Administración de evidencia digital
A continuación se muestra el ciclo de vida de la evidencia digital (Ver Ilustración 21), el cual se
expone en las buenas prácticas de evidencia digital establecidas en el Handbook Guidlines for the
Management of IT [70] y consta de 6 fases.
• Los registros electrónicos cuentan con una hora y fecha de creación o modificación.
• Los registros electrónicos cuentan con elementos que permiten validar su autenticidad.
Según [70], el objetivo de ésta fase consiste en producir la mayor cantidad de información posible
con el fin de aumentar las probabilidades de identificar y extraer la mayor cantidad de evidencia
digital relacionada con el incidente. Por lo tanto, es necesario que el sistema de información
produzca los registros electrónicos, identificar el autor de los registros electrónicos almacenados,
identificar la fecha y hora de creación de estos, verificar que la aplicación esté operando
44
correctamente al momento de generar o modificar registros, y finalmente verificar la completitud de
los registros generados.
• De ser posible, establecer un servidor contra los cuales se pueda verificar la fecha y hora de
creación de los registros electrónicos.
El objetivo de esta fase es localizar toda la evidencia digital y asegurar que todos los registros
electrónicos originales no han sido alterados [70]. Dicha recolección debe realizarse empezando por
la información más volátil hasta la menos volátil, es importante que al momento de realizar la
inspección del (los) equipo (s) se evite alterar cualquier variable, ya que un cambio insignificante a
la vista podría invalidar todo el proceso de investigación en un proceso judicial. Por otro la
recolección debe ser realizada mediante herramientas especializadas y certificadas con el objetivo
de evitar modificaciones en las fechas de acceso y en la información del registro del sistema [38]
[39] [40].
El objetivo de esta fase es lograr identificar como fue efectuado el ataque, cual fue la vulnerabilidad
explotada y en lo posible identificar al atacante [40], para lograr lo anterior es necesario reconstruir
la secuencia temporal del ataque, para lo cual se debe recolectar la información de los archivos
asociados, marcas de tiempo, permisos de acceso y estado de los archivos.
Según [70], es recomendable tener en cuenta las siguientes actividades al momento de realizar el
análisis de la evidencia:
• Realizar copias autenticadas de los registros electrónicos originales sobre medios forenses
estériles.
• Capacitar y formar en aspectos técnicos y legales a los profesionales que adelantaran las
labores de análisis de datos.
45
• Validar y verificar la confiabilidad y limitaciones de las herramientas de hardware y
software utilizadas para adelantar los análisis de los datos.
El objetivo de esta fase es presentar los resultados por parte del investigador sobre su búsqueda y
análisis de los medios, lo que se encontró en la fase de análisis de la evidencia, así como
información puntual de los hechos y posibles responsables [83]. Debido al rigor que requiere una
investigación de este tipo, cada movimiento por parte del investigador o su equipo de trabajo se
debe documentar hasta que se resuelva o se dé por concluido el caso. Esta documentación se debe
llevar a cabo por medio de formularios que hacen parte del proceso estándar de investigación, entre
los cuales se encuentran el documento de custodia de la evidencia nombrado en el numeral 5 de esta
sección, el formulario de identificación de equipos y componentes, el formulario de incidencias
tipificadas, el formulario de recolección de evidencias y el formulario de medios de
almacenamiento [14].
Según [70], el objetivo de esta fase es valorar las evidencias de tal manera que se identifiquen
aquellas que sean relevantes y que permitan presentar de manera clara y eficaz los elementos que se
desean aportar en el proceso y en el juicio que se lleve a cabo. Con respecto a lo anterior, se
sugieren dos criterios para tener en cuenta:
• Valor probatorio: establece aquel registro electrónico que tenga signo distintivo de
autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.
Según [5] y [35], la evidencia digital debe cumplir con las siguientes características para poder ser
usada en procesos judiciales:
• Admisibilidad: toda evidencia recolectada debe ajustarse a ciertas normas jurídicas para
poder ser presentadas ante un tribunal.
• Autenticidad: la evidencia debe ser relevante al caso, y el investigador forense debe estar
en capacidad de representar el origen de la misma.
46
• Completitud: la evidencia debe contar todo en la escena del crimen y no una perspectiva en
particular.
• Fiabilidad: las técnicas usadas para la obtención y análisis de la evidencia deben gozar de
credibilidad y ser aceptadas en el campo en cuestión, evitando dudas sobre la autenticidad y
veracidad de las evidencias.
Debido a las características de la evidencia digital (Ver sección Evidencia digital), es preciso
extremar las medidas de seguridad y control que los investigadores deben tener a la hora de realizar
sus labores, pues cualquier imprecisión en los procedimientos relacionados con esta puede llegar a
comprometer el proceso, ya sea legal u organizacional [32].
En algunos casos, los procedimientos forenses empleados están constituidos de manera informal, lo
cual puede afectar la efectividad y la integridad de la investigación [65], por lo tanto un modelo
forense debe tener las siguientes cualidades [69].
• Capacidad de traducir uno a uno los datos registrados con los acontecimientos que se
produzcan.
47
2.3.1.2.2. Modelos forenses existentes
Según [37], el Departamento de Justicia de Estados Unidos publicó un modelo sobre investigación
de crímenes electrónicos. La guía hace referencia a un primer nivel de respuesta a distintos tipos de
evidencia e incluye procedimientos para la manipulación segura de esta [71]. Consta de las
siguientes 4 fases:
• Preparación: preparar los equipos y las herramientas para realizar las tareas necesarias
dentro de la investigación.
• Análisis: el equipo de investigación revisa los resultados de la fase anterior para darle un
valor al caso.
Según [36] [37] [71], investigadores de la Fuerza Aérea de Estados Unidos identificaron las
características comunes en varios procesos de modelos e incorporaron otros en un modelo de
procesos abstracto. Este modelo consta de 9 componentes:
48
• Preparación: preparación de herramientas, técnicas, órdenes de registro y autorizaciones
de seguimiento y apoyo a la gestión.
• Recolección: registrar la escena física y realizar una copia de la evidencia digital usando
procedimientos estandarizados y aceptados.
• Retorno de la evidencia: garantizar que la evidencia física sea devuelta al propietario, así
como la determinación y pruebas penales sobre la evidencia que fue removida.
Kevin Mandia propone un modelo de respuesta a incidentes simple y preciso compuesto por 7
componentes (Ver Ilustración 22) [80].
Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de los autores
49
• Preparación al incidente: involucra la preparación de la organización como tal, así como
del personal de investigación, para dar inicio a la respuesta al incidente ocurrido.
• Detección del incidente: esta fase es uno de los aspectos más importantes en la respuesta a
incidentes. Normalmente los incidentes de seguridad se identifican cuando alguien sospecha
que un evento no autorizado, inaceptable o ilegal se ha producido, y la participación de
redes informáticas de la organización o equipo de procesamiento de datos se ve
involucrada.
• Presentación de informes: esta puede ser la etapa más difícil del proceso de respuesta a
incidentes. El desafío es crear los informes que describen con precisión los detalles de un
incidente, de forma tal que sean comprensibles para el personal que toma decisiones, que
puedan soportar la barrera del análisis y escrutinio jurídico, y que se produzcan en el
momento oportuno.
Según [37], Brian Carrier y Eugene Spafford proponen un modelo que organiza el proceso de
investigación forense en 5 grupos con un total de 17 fases (Ver Ilustración 23).
50
Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores
Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción libre de los autores
51
Fase de encuesta(s): requiere un investigador que "entre" en la escena del crimen
para identificar piezas de evidencia física.
• Fases de investigación digital de la escena del crimen: el objetivo de esta fase es recoger
y analizar la evidencia digital que se ha obtenido en la fase de investigación física (Ver
Ilustración 25).
Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción libre de los
autores
52
Fase de presentación: que involucra la presentación de la evidencia digital
encontrada, al equipo de investigación.
• Fase de revisión: el objetivo de esta fase es realizar una revisión de todo el proceso de
investigación, para identificar mejoras en el mismo.
• Personal de primera respuesta: personal entrenado para llegar en primer lugar a la escena,
proveer una evaluación inicial y empezar con el primer nivel de respuesta del incidente. Las
responsabilidades de este rol son identificar la escena del incidente, asegurar la escena del
incidente, acudir al personal de apoyo adecuado, y asistir en la recolección y preservación
de evidencia.
• Técnicos: personal encargado de llevar a cabo tareas bajo la supervisión del investigador
líder. Son responsables de identificar y recolectar evidencia, así como de documentar la
escena del incidente. Son entrenados especialmente para incautar los equipos electrónicos y
obtener imágenes digitales de ellos y preservar los datos volátiles, es por esto que
generalmente son expertos en computación forense, o simplemente se cuenta con técnicos
expertos en diferentes áreas. Otras responsabilidades que tienen son, identificar, registrar,
aislar, transportar y procesar la evidencia.
52
Actividad
por
la
cual
se
hace
constar
las
particularidades
de
los
elementos
materia
de
prueba,
de
los
custodios,
el
lugar,
sitio
exacto,
fecha
y
hora
de
los
traspasos
y
traslados
del
elemento
materia
de
prueba
o
evidencia
física,
entre
otros
[89].
53
técnicos, se aseguran que esté correctamente identificada, y mantienen una estricta cadena
de custodia.
Según [66], la informática forense puede ser aplicada en varios ámbitos, de los cuales muchos
provienen de la vida diaria y no tienen que estar directamente relacionados con la informática
forense.
• Prosecución criminal: casos que tratan de usar evidencia incriminatoria con el objetivo de
procesar gran variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y
venta de estupefacientes, evasión de impuestos o pornografía infantil.
• Litigación civil: casos relacionados con fraude, discriminación, acoso y divorcio pueden
ser resueltos con ayuda de la informática forense.
• Temas corporativos: casos que tratan de usar evidencia incriminatoria para procesar
incidentes relacionados con acoso sexual, mal uso o apropiación de información
confidencial y espionaje industrial.
54
heterogeneidad que se presenta tanto en su configuración de hardware, su sistema operativo y tipo
de aplicaciones que manejan, como en las herramientas adoptadas para recuperar contenidos que se
puedan utilizar en una investigación forense, es bastante significativa [12] [62]. En la mayoría de
los casos, los fabricantes de dispositivos móviles optan por crear y aplicar sus propios protocolos
para uso de sus sistemas operativos y cables, ocasionando que para los analistas forenses sea más
difícil realizar una investigación por la variedad de herramientas que existen para cada tipo de
dispositivo [2] [14].
Es por esto que para que se logre un análisis forense digital confiable, y la evidencia que se recoja
logre ser admisible, auténtica, completa, fiable, entendible y creíble, es importante conservar los
lineamientos presentados en la sección Consideraciones legales (Ver sección Evidencia digital)
parámetros concernientes a la manipulación de teléfonos móviles celulares, y los puntos que pueden
variar dependiendo del fabricante y modelo [13].
Hoy en día, como ya se ha mencionado, existe poca literatura sobre el análisis forense en
dispositivos móviles y específicamente sobre el iPhone. Sin embargo, se han desarrollado
herramientas y algunas técnicas forenses no formales para llevar a cabo dicho proceso.
Como en cualquier investigación forense, existen variedad de enfoques que se pueden utilizar para
la recolección y análisis de información [13]. Un aspecto clave para ello, por no decir el más
importante, es que el procedimiento que se siga, no modifique la fuente de información de ninguna
manera, o que de ser esto absolutamente necesario, el analista esté en la capacidad de justificar por
qué realizó esta acción [23].
Según [23], existen tres técnicas diferentes para la recolección de evidencia sobre un iPhone:
2. Obtener una copia de respaldo o una copia lógica del sistema de archivos del iPhone
utilizando el protocolo de Apple: ésta aproximación consiste en la lectura de archivos del
iPhone, mediante el protocolo de sincronización de Apple, el cual solo es capaz de obtener
archivos explícitamente sincronizados a través de el. Piezas claves de información son
almacenadas en bases de datos de tipo SQLite, las cuales son soportadas por el protocolo.
Hacer consultas sobre estas bases de datos generará la recuperación de información como
mensajes de texto y correos electrónicos eliminados del dispositivo.
3. Una copia física bit a bit: este proceso crea una copia física bit a bit del sistema de archivos
del iPhone, de manera similar al procedimiento que se sigue sobre computadores personales.
Este proceso, de todos los anteriores, es el que más potencial tiene para recuperar
información, incluyendo los datos eliminados, pero resulta ser complicado pues requiere que
se modifique la partición del sistema del iPhone.
55
Según [5], el proceso técnico que se debe seguir para realizar un análisis forense sobre un iPhone,
debe seguir fuertemente los lineamientos nombrados en la sección Consideraciones legales (Ver
sección Evidencia digital), y consta de cuatro pasos que se describen a continuación:
2. Establecer comunicación: este paso consiste en organizar las conexiones físicas y de red
apropiadas para instalar una herramienta forense y realizar la recuperación de información.
3. Recuperación forense: extraer la información original para crear una copia y trabajar sobre
ella. Esto requiere revisiones de integridad para evitar alteraciones de datos.
Para llevar a cabo el proceso anteriormente descrito, se han desarrollado de igual manera
herramientas que permiten la extracción de información del dispositivo, y se ha hecho un enfoque
del equipo necesario que se requiere para ello [15]:
• Una instalación en el computador de iTunes 7.6 o 7.7 dependiendo del firmware del iPhone
en cuestión. De igual manera versiones superiores deberían funcionar correctamente.
• Espacio adecuado en el computador, para almacenar las copias del sistema de archivos del
iPhone. Se recomienda reservar un espacio de mínimo tres veces la capacidad del iPhone en
cuestión.
La situación con las herramientas forenses para teléfonos celulares es considerablemente diferente a
los computadores personales. Si bien los computadores personales se han diseñado como sistema de
propósito general, los teléfonos celulares están diseñados como dispositivos específicos que realizan
un conjunto de tareas predefinidas. Los fabricantes de teléfonos celulares también tienden a basarse
en una variedad de sistemas operativos en lugar del enfoque más uniforme que se da con los
56
computadores personales. Debido a esto, la variedad de kits de herramientas para dispositivos
móviles es diversa [8].
Por lo anterior, una vez se cree un ambiente más confiable que limite la contaminación cruzada
sobre las copias del sistema de archivos obtenidas, se debe contar con una herramienta para su
análisis. Existen variedad de herramientas para este propósito cada una con características y
propiedades diferentes. A continuación describiremos algunas de las que existen en la actualidad
según [23] [45].
Según [73], es una herramienta forense diseñada específicamente para el iPhone. Soporta todos los
modelos, 2G y 3G, que ejecutan cualquier versión de firmware desde la 1.0 hasta la 2.2. Este
software solo se puede ejecutar sobre el sistema operativo Mac OS X (10.4.11 o mayor), aunque
existe una versión compatible con Windows llamada Beowulf. Es capaz de eludir el código de
seguridad tanto del dispositivo como el de la tarjeta SIM, si se tiene acceso al computador en el que
fue usado el iPhone, sin necesidad de realizar el Jailbreak . WOLF afirma ser la única herramienta
forense orientada a iPhone que no realiza modificaciones sobre él, ya que la adquisición de
información se hace sobre una copia de la lógica de datos. Sin embargo, una desventaja de la
herramienta es que no recupera contenido suprimido del dispositivo. La siguiente información es
recolectada:
• Almacena el historial de las investigaciones realizadas. Dentro de los datos que almacena se
encuentran:
• Permite seleccionar el tipo de datos que se desea analizar. Contiene las siguientes opciones:
57
Medios del iPod
Recuperación total de datos
Al terminar la adquisición de información, se podrán ver los resultados por medio de la aplicación,
o se pueden guardar los informes en formato HTML.
Según [74], el sistema forense Cellebrite UFED es un dispositivo autónomo (stand-alone), capaz de
adquirir datos desde dispositivos móviles y almacenar la información en una unidad USB, tarjeta
SD53 o computador. UFED incorpora un lector y generador de copias de tarjetas SIM. La
posibilidad de clonar una tarjeta SIM es una potente característica que puede crear e insertar un clon
de la tarjeta SIM original y el teléfono funcionará con normalidad. Sin embargo, no se registrará
con el operador de telefonía móvil de la red, eliminando la necesidad de bolsas que no permitan
cualquier tipo de conexión usando los principios de la jaula de Faraday54, y la posibilidad de que los
datos del teléfono sean actualizados o eliminados. El paquete viene con alrededor de 70 cables para
conectar a la mayoría de los dispositivos móviles disponibles en la actualidad. Incluyen protocolos
de conexión serial, USB, infrarrojos y Bluetooth. Permite extraer información de contactos,
mensajes de texto, historial de llamadas, mensajes de texto eliminados, grabaciones, video, fotos y
detalles del teléfono entre otros. Usando Cellebrite UFED se puede extraer los siguientes datos:
• Agenda telefónica
• Mensajes de Texto
• Historial de llamadas (marcadas, recibidas, perdidas)
• Clonación SIM ID
• Mensajes de texto eliminados
• Grabaciones de audio
• Videos
• Fotos
• Detalles del teléfono
La adquisición forense en un iPhone 3G se puede realizar de dos formas, una es la estándar y la otra
es mediante el volcado de memoria. Este proceso es rápido y simple con esta herramienta. Después
de encender el dispositivo, se deben seguir los siguientes pasos:
53
Es
un
formato
de
tarjeta
de
memoria
flash
utilizado
en
dispositivos
portátiles.
54
Es
un
tipo
de
blindaje
de
campo
eléctrico.
58
Cellebrite también incluye UFED Report Manager, el cual provee una interfaz intuitiva para realizar
reportes sobre las investigaciones y además permite exportar dichos reportes en Excel, MS Outlook,
Outlook Express y CSV o simplemente imprimirlo.
Según [75], es una herramienta forense que sirve para la adquisición de información en más de 2700
dispositivos (incluidos los teléfonos, PDAs y dispositivos GPS) y es compatible con Microsoft
Windows. El paquete está diseñado para apoyar la adquisición completa de información, y el
proceso de investigación, destacándose por la capacidad para realizar adquisición física, lo cual
permite recuperar datos eliminados. Usando esta herramienta se pueden extraer los siguientes datos:
Recibidas
Realizadas
Perdidas
Sistema de archivos
Archivos multimedia
Archivos Java
Archivos eliminados
Notas rápidas
• Correo electrónico
Como la mayoría de las herramientas, DS puede almacenar la información de cada caso y de los
investigadores relacionados con él. Presenta dos opciones para realizar la adquisición de
información del iPhone, una es iPhone advanced (logical) y la otra es iPhone Jailbroken (si el
iPhone en cuestión tiene Jailbreak).
Según [76], esta herramienta tiene un enfoque único para la adquisición forense. El objetivo de
MLP es proporcionar una solución de plataforma cruzada forense que realiza una adquisición en
vivo de una máquina sospechosa. La información se almacena en un dispositivo USB y el software
59
se proporciona para analizar los resultados. MLP no funciona directamente en el iPhone, en su lugar
se centra en el directorio de copia de seguridad MDBACKUP donde se almacenan la gran mayoría
de los archivos. Entre los datos que son recuperables se encuentran:
• Historial de llamadas
• Mensajes de texto
• Contactos
• Notas
• Fotos
• Cuentas de correo sincronizadas
• Favoritos – Marcación rápida
• Estado, historial y bookmarks del navegador
• Detalles del teléfono
Según [77], es una herramienta forense de BlackBag Technologies, compatible únicamente con
computadores Mac. Analiza los datos, desde el directorio de respaldo del sincronizador móvil
iTunes. La herramienta está actualmente en una versión beta y la producción de información es
limitada. Como es una utilidad solo de Mac, se debe copiar el directorio de respaldo desde un
computador Windows a un Mac para poder realizar el análisis.
La ventana principal permite ver los resultados de la extracción y analizar la información. Allí, se
encuentra cada archivo extraído en el directorio, y una subcarpeta denominada Original_Files que
permite abrir / analizar los archivos extraídos y aún conservar una copia original. Si se hace clic
sobre la información del dispositivo, se presenta el archivo Info.plist principal con la información
básica del dispositivo.
Las imágenes se pueden visualizar haciendo clic en las vistas en miniatura presentadas en la
pantalla principal, las imágenes son almacenadas en un documento con formato HTML.
60
Esta herramienta ofrece las búsquedas por palabra clave, basta con seleccionar el botón de búsqueda
y aparece una ventana nueva con los resultados. Además tiene visualizados de bases de datos
SQLite.
Según [78], es una herramienta forense orientada a dispositivos móviles que realiza adquisición
lógica de datos, así como volcados físicos de memoria. El sistema viene en un maletín pequeño que
incluye: una unidad de comunicación USB 2.0, un adaptador de licencias, cables de corriente, lector
de tarjetas SIM, sistema para clonar tarjetas SIM, lector de tarjetas de memoria y un CD con el
software.
La adquisición de información con esta herramienta es sencilla. Inicialmente pregunta a qué tipo de
dispositivo se le va a hacer la extracción. Los siguientes son los datos que se pueden extraer con
.XRY:
• Registros de llamadas
• Contactos
• Calendario
• Notas
• Mensajes de texto
• Fotos
• Coordenadas GPS
• Otros documentos (archivos XML, HTML, Plist, etc.)
Al final del proceso se muestra un resumen con el tipo de información recuperada. Es importante
señalar que los estados de información en pantalla y los mensajes de correo electrónico no se
recuperarán a menos que el teléfono esté desbloqueado.
2.3.2.7. iLiberty+
Según [5] [79], es una herramienta libre, diseñada por Youssef Francis y Pepij Oomen, que permite
desbloquear el iPod/iPhone e instalar en él varias cargas útiles. iLiberty+ se aprovecha de una
vulnerabilidad en el firmware v1.x, de para que el iPhone de inicie desde un disco RAM sin firma,
permitiendo que cualquier tipo de software sea instalado en el dispositivo.
iLiberty+ fue mejorado para permitir que se instale de forma segura el paquete de investigación
forense en el iPhone, y se pueda acceder a el por medio de la interfaz de usuario. El paquete de
investigación forense contiene:
61
• Firmware
• Tipo de dispositivo
• Estado
• Particiones
• Sistema de archivos
Una vez activado el paquete de investigación forense, es necesario ejecutar el Jailbreak que la
misma herramienta realiza sobre el dispositivo o hacerlo utilizando alguna otra herramienta, para
aceptar conexiones SSH. Sin embargo, si alguno de los dos tipos de bloqueo que tiene el iPhone
(SIM o código a nivel de sistema operativo) está activo, el paquete de investigación no podrá ser
instalado, y será necesario deshabilitar el bloqueo activo. iLiberty+ proporciona una característica
para desbloquear el dispositivo llamada Bypass Passcode,pero, también se puede hacer
manualmente utilizando una herramienta llamada iPhone Utility Client. Una vez se lleva a cabo el
proceso anterior, se podrá empezar la recuperación de datos, dentro de los cuales se pueden
encontrar:
• Diccionarios dinámicos
• Mensajes de voz
• Listas de propiedad
• Bases de datos SQLite
• Correos electrónicos
• Páginas web
• Otro tipo de archivos (PDF, Microsoft Word)
• Bloques PGP
• Imágenes
• Historial de llamadas
• Mensajes SMS
• Notas
• Calendario
2.3.2.8. CellDEK
Esta herramienta es compatible con hasta 1600 teléfonos celulares, PDAs, y dispositivos de
navegación satelital. Permite al usuario identificar dispositivos de acuerdo a la marca, número del
modelo, dimensiones y/o fotografías del mismo. Inicialmente se seleccionará el tipo de dispositivo
en el cual se llevará a cabo el análisis, y posteriormente, una característica llamada smart adapter,
iluminará el adaptador USB correspondiente (entre 40) para realizar la extracción de información.
Igualmente la conexión mediante infrarrojo o Bluetooth viene integrada.
62
• Agenda telefónica (tanto del dispositivo como se la SIM)
• Mensajes MMS (no disponible en todos los teléfonos móviles)
• Mensajes SMS eliminados de la SIM
• Calendario
• Recordatorios
• Imágenes, videos y sonidos
2.3.2.9. MEGA
Las herramientas de informática forense para equipos Mac se han centrado tradicionalmente en los
detalles de bajo nivel del sistema de archivos. El sistema operativo Mac OS X y las aplicaciones
comunes en la plataforma Mac proporcionan abundante información sobre las actividades del
usuario en la configuración de archivos, directorios, y registros. MEGA es un conjunto de
herramientas extensibles para el análisis de archivos sobre imágenes de disco con Mac OS X. Esta
herramienta, proporciona un acceso sencillo al sistema de indexación de metadatos Spotlight
mantenida por el sistema operativo, con un rendimiento eficiente de búsqueda de contenido de
archivos y la exposición de. También puede ayudar a los investigadores para evaluar los directorios
cifrados del FileVault55. Herramientas de apoyo a MEGA se están desarrollando para interpretar los
archivos escritos por aplicaciones comunes del Mac OS, como Safari, Mail, e iTunes [64].
55
Herramienta
que
permite
cifrar
la
información
de
la
carpeta
de
inicio
en
Mac
OS
X.
63
3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE
SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)
El objetivo principal de esta investigación, es proponer formalmente una guía metodológica para
realizar análisis forense sobre dispositivos móviles, específicamente en iPhone 3G, luego de ser
víctima de un ataque. La guía mencionada anteriormente consta de 4 etapas con un total de 11
fases, basada en el modelo de investigación digital integrado (Ver sección 2.3.1.2.2.4. Modelo de
investigación digital integrado – IDIP (2003)). Posteriormente, dicha guía será evaluada en un
escenario con el objetivo de validarla y realizar las correcciones correspondientes.
El objetivo de esta etapa, es realizar la identificación física de la escena del crimen, diligenciando el
formulario de documentación escena del crimen (Ver Anexo 6), y decidir qué tipo de elementos se
utilizarán para llevar a cabo la investigación.
• Tipo de dispositivo
• Marca
• Modelo
• Número serial
• Estado (Encendido/apagado)
64
componentes electrónicos relacionados con el dispositivo, que más adelante
faciliten el acceso y uso del mismo dentro de la investigación. Dichos
componentes pueden ser los siguientes:
a) Estado (prendido/apagado)
b) Estado de protección PIN (activado/desactivado)
c) Estado de protección código de seguridad (activado/desactivado)
d) Modelo (número/generación)
e) Capacidad de almacenamiento
56
Es
un
código
personal
de
4
cifras
que
permite
acceder
o
bloquear
el
uso
del
teléfono
móvil.
57
Es
un
código
de
8
cifras
que
sirve
para
desbloquear
el
PIN
cuando
éste
ha
sido
previamente
bloqueado.
58
Acción
de
integrar
un
sistema
de
archivos
alojado
en
un
determinado
dispositivo
dentro
del
árbol
de
directorios
de
un
sistema
operativo.
65
f) Número de Serie
g) Número ICCID59
h) Versión Firmware
i) IMEI60
j) Número de teléfono
k) Operador de telefonía celular
l) Cobertura
m) Conexiones soportadas
n) Dirección MAC Wi-Fi
o) Dirección MAC Bluetooth
p) Número de canciones
q) Número de videos
r) Número de fotos
s) Número de Aplicaciones
t) Dimensiones
59
Número
de
identificación
internacional
de
la
tarjeta
SIM.
60
Código
de
15
o
17
dígitos
que
identifica
de
manera
individual
a
cada
estación
móvil
en
la
red
GSM
o
UMTS
[88].
66
3.3. Etapa de investigación digital
El objetivo de esta etapa, es llevar a cabo la recolección y análisis de la evidencia digital obtenida
en la fase anterior, diligenciando el formulario de Documentación evidencia digital (Ver Anexo 7).
Se debe tener especial cuidado en la preservación de la integridad y admisibilidad de la evidencia
digital.
67
c) Utilizar la herramienta anterior para crear un paquete de
firmware personalizado, que instalará el paquete de
herramientas de recuperación en el iPhone. O, utilizar la
aplicación Cydia, Icy o RockYourPhone, para descargar las
aplicaciones Netcat y dd desde el dispositivo.
2.2. Adquisición física: esta actividad consiste en llevar a cabo el volcado de memoria
tanto volátil como no volátil de memoria. Esto consiste en tomar la imagen binaria
bit a bit de la memoria del dispositivo comprometido, con sus respectivos
compendios criptográficos. Es recomendable obtener una imagen de la tarjeta SIM
debido a que es posible que se encuentren rastros del incidente en dicho medio de
almacenamiento.
2.3. Adquisición lógica: consiste en llevar a cabo la obtención de información del tipo:
a) Lista de contactos
b) Historial de llamadas
c) Historial de mensajes
d) Fotos imágenes y videos
e) Correo electrónico
f) Eventos de calendario
g) Información entre el dispositivo y el computador relacionado
68
• Identificación de las particiones actuales y anteriores (las que sea posible
recuperar)
• Identificación del sistema de archivos
• Identificación de archivos existentes
• Determinación del sistema operativo
• Recuperación de archivos eliminados
• Identificación de información oculta
• Identificación de archivos protegidos
• Identificación de aplicaciones instaladas
• Consolidación de archivos potencialmente analizables
• Análisis de datos [8]:
El objetivo de esta etapa es documentar todas las acciones, eventos y hallazgos obtenidos durante el
proceso de investigación. Todo el personal está involucrado en ésta etapa y es vital para asegurar la
cadena de custodia de la evidencia. Los reportes de resultados generalmente, son generados por la
herramienta que se utiliza para efectuar el análisis. Además, se realiza una revisión de todo el
proceso de investigación, para identificar mejoras en el mismo.
69
4. VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA
Para llevar a cabo el escenario de prueba con el cual será validada la guía metodológica propuesta
en el capitulo anterior (Ver sección 3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS
FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)), es necesario
realizar un ataque sobre el iPhone 3G destinado para dicha prueba (Ver Anexo 9).
Victimas
Nombres y Apellidos Identificación
70
Juan Camilo Ruiz Caro 1019007331
Primer respondiente
Nombres Andrea Apellidos Ariza Díaz
Número de identificación 1018405780
Entidad Pontificia Universidad Javeriana
Cargo Personal de primera respuesta
Firma
Tabla 7. Formato actuación primer respondiente diligenciado
71
Serial evidencia
Cable que puede ser
usado para conectar el
dispositivo a un
computador o para
conectar el adaptador
Cable USB (Ver
Apple N/A N/A de corriente N/A E-001
Ilustración 30)
correspondiente a la
evidencia numero E-
002, con el objetivo de
cargar la batería de este
o sincronizarlo.
Adaptador que puede
ser conectado al
dispositivo usando el
Adaptador de
1X83024 cable USB identificado
corriente (Ver Apple A1265 N/A E-002
57ZJ3 con el código E-001,
Ilustración 31)
con el objetivo de
recargar la batería de
este
iPhone 3G (Ver 868312F Dispositivo vulnerado Encendid
Apple A1241 E-003
Ilustración 32) 4Y7H o
Accesorio del
dispositivo por medio
Audífonos del cual se puede
Apple N/A N/A N/A E-004
(manos libres) escuchar música y
tener conversaciones
telefónicas.
Observaciones: El equipo se encontró encendido, por tal razón no es necesario obtener el número PIN y
PUK, sin embargo se encuentra protegido con código de seguridad.
Por otro lado no se encontraron los manuales físicos del dispositivo, por lo tanto de ser necesario se hará
uso de los manuales electrónicos obtenidos desde el portal web del fabricante (Apple).
Tabla 8. Formato documentación escena del crimen diligenciado
72
Ilustración 29. Foto router Linksys no incautado
73
1.3. Realización de entrevista al usuario del dispositivo vulnerado
1. Nombres y Apellidos
Respuesta: Juan Camilo Ruiz Caro.
2. Número de identificación
Respuesta: 1019007331
3. ¿Desde cuándo es propietario del dispositivo?
Respuesta: Aproximadamente 6 meses.
4. ¿Lo compró nuevo o usado?
Respuesta: Nuevo
5. ¿En cuál operador de telefonía celular está inscrito el dispositivo?
Respuesta: Comcel
6. ¿Cuál es el número de teléfono celular asociado con el dispositivo?
Respuesta: 320 840 60 41
7. ¿Usualmente que uso le da a su teléfono celular?
Respuesta: Lo uso principalmente para escuchar música, revisar mis correos
electrónicos y para recibir y realizar llamadas.
8. ¿Al dispositivo se le ha realizado Jailbreak?
Respuesta: Si
9. Si la respuesta anterior es si, ¿Con cuál herramienta fue realizado?
Respuesta: Pwnage
10. ¿El dispositivo está protegido con código de seguridad?
Respuesta: Si
11. Si la respuesta anterior es si, ¿Podría facilitar el código de seguridad?
Respuesta: 1946
12. El dispositivo está protegido con número PIN?
Respuesta: Si
13. Si la respuesta anterior es si, ¿Podría facilitar el número PIN?
Respuesta: 1945
14. ¿Tiene habilitada la tecnología Bluetooth?
Respuesta: No
15. Si la respuesta anterior es si, ¿Utiliza frecuentemente la tecnología Bluetooth?
16. Además de las conexiones con las manos libres, ¿Ha utilizado últimamente
Bluetooth con algún otro dispositivo?
Respuesta: No
17. ¿Sincroniza el contenido de su teléfono con algún computador en especial
(Windows, Mac)? ¿Cómo realiza este procedimiento?
Respuesta: Si, con un computador Compaq V3718LA. El procedimiento que hago es
conectarlo por medio del cable USB y automáticamente iTunes sincroniza los datos.
18. ¿Qué sucesos extraños le indicaron que su teléfono había sido vulnerado?
Respuesta: Algunas aplicaciones que tenía instaladas no servían de un momento a otro,
los mensajes de texto y la lista de contactos desaparecieron
19. ¿Dentro de los últimos días alguien más ha tenido acceso a su dispositivo?
Respuesta: No
74
20. ¿Ha notado la ausencia de algún tipo de información (fotos, videos, mensajes,
contactos, documentos) que se encontraba almacenada en su teléfono celular?
Respuesta: Mensajes de texto y contactos
21. ¿Ha algún tipo de modificación de información (fotos, videos, mensajes, contactos,
documentos) que se encontraba almacenada en su teléfono celular?
Respuesta: No
22. ¿Realiza alguna otra conexión con su teléfono celular distinta a las ya
mencionadas? (WAP,3G, Wi-fi)
Respuesta: El dispositivo se conecta normalmente a la red 3G de Comcel y cuando
estoy en mi casa o en la universidad se conecta automáticamente a las redes Wi-Fi de
estos sitios.
75
Navegación y Mensajería
Navegador de internet HTML
Mensajería SMS, MMS62, correo electrónico (IMAP,
POP,SMTP)
Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado
76
E-007,
E-008
28/10/09 14:00 1019007331 / E-007 Se realizo una copia de la imagen
Examinador Forense lógica con el objetivo de iniciar
con el análisis de la misma, dicha
copia será devuelta cuando se
termine su análisis.
28/10/09 15:00 1018405780 / E-007 Entrega de la copia analizada con
Custodio de la sus respectivos resultados.
evidencia
28/10/09 16:15 1019007331 / E-005, Se realizo una copia de las
Examinador Forense E-006, adquisiciones físicas con el
E-008 objetivo de iniciar con el análisis
de las misma, dichas copias serán
devueltas cuando se termine su
análisis.
24/11/09 21:21 1018405780 / E-005, Entrega de la evidencia, reporte y
Custodio de la E-006, resultados del análisis realizado.
evidencia E-008
Tabla 10. Registro de cadena de custodia diligenciado
2.2. Aislamiento del dispositivo: el dispositivo vulnerado fue aislado de las redes 3G y Wi-Fi
introduciéndolo en una bolsa anti estática (Ver Ilustración 33).
Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática
77
Para la investigación en curso, fue necesario realizar un Toolkit forense compuesto por varias
herramientas hardware y software provenientes de distintos fabricantes y desarrolladores
respectivamente, debido a que hasta el momento aunque existen herramientas forenses
enfocadas a este tipo de dispositivos, todavía tienen falencias, algunas son licenciadas y otras
por el contrario todavía no soportan iPhone 3G con firmware superior al 2.1 como es el caso de
Paraben Device Seizure. Con respecto a lo anterior, a continuación se muestra la lista de
herramientas utilizadas en esta investigación.
• Netcat: herramienta de red necesaria para transferir las particiones desde el dispositivo
vulnerado hacia el computador donde se va a realizar el análisis.
A continuación, se muestra una descripción global de cada una de las fases pertenecientes a esta
etapa. Para ver entrar en más detalle de lo realizado en estas fases consultar el Anexo 10.
1. Fase de documentación: se realizó el registro paso a paso del proceso realizado para
obtener la evidencia digital.
2.1. Verificación de Jailbreak: para realizar esta verificación fue necesario que los
investigadores tuvieran acceso directo al dispositivo vulnerado, con el objetivo de
identificar si en este se encontraba disponible la aplicación Cydia, la cual es
63
Un
término
genérico
para
la
parte
de
una
GUI
que
permite
al
usuario
interactuar
con
la
aplicación
y
sistema
operativo.
Incluyen
botones,
ventanas
pop-‐up,
menús
desplegables,
iconos,
entre
otros.
78
instalada por defecto al momento de realizar la liberación del dispositivo por
medio del proceso de Jailbreak.
2.3. Adquisición lógica: para realizar la adquisición lógica, se hizo uso del gestor de
música iTunes desarrollado por Apple, el cual permite realizar una copia de
respaldo del dispositivo en la que principalmente se almacenan los contactos,
mensajes de texto, historial de llamadas e información de los datos almacenados
como música y fotos.
4.2. Análisis de adquisición física: para realizar este análisis, fue necesario utilizar un
MacBook el cual es capaz de montar las imágenes físicas, y permite ver el
contenido con facilidad, pues el sistema de archivos HFSX del iPhone es nativo
para el MacBook que utiliza HFS+. El contenido se despliega en forma de
directorios, dentro de los cuales se encuentran archivos descriptivos de la
información y bases de datos con la misma. Además se utilizó una herramienta
llamada Mac Marshal, para determinación de sistema operativo e información
general del dispositivo.
79
el caso y la línea de tiempo, los cuales se describen en esta fase. Así mismo, se pudo
concluir la fecha en la cual se perpetró el ataque contra el dispositivo.
80
5. RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA
• Lo ideal en una investigación forense digital es preservar la escena del crimen para
posteriormente identificar evidencia digital. El iPhone a diferencia de cualquier otro
tipo de dispositivo móvil celular, puede hacer parte de varias redes como lo son la red
3G, GSM, Edge, GPRS, o la Wi-Fi, por tal razón es indispensable aislarlo de todas
estas redes, para evitar cualquier alteración en la escena del crimen.
81
• Durante la fase de análisis de la evidencia digital, la recuperación de archivos
eliminados no se pudo llevar a cabo, debido a que no se utilizó una herramienta
especializada en la obtención de este tipo de archivos.
• La línea de tiempo es útil para plasmar de forma gráfica los hechos y sucesos
importantes ocurridos, y determinar cuáles fueron las acciones tomadas por el atacante
sobre el dispositivo.
82
6. CONCLUSIONES
Uno de los campos que requiere más investigación y profundización, es el de la informática forense
en dispositivos móviles. En primera instancia, este trabajo de grado, pretende contribuir
conceptualmente en cada uno de los aspectos relacionados con la informática forense clásica y los
procedimientos para realizar este tipo de investigaciones en dispositivos móviles como el iPhone
3G. Para llevar a cabo lo mencionado anteriormente, fue necesario realizar una exhaustiva
recolección de información con el objetivo de formalizar el estado del arte de cada una de las
variables presentes en la investigación como lo son el iPhone 3G, los problemas de seguridad en
este y la informática forense tanto clásica como orientada a dispositivos móviles, campo que aún
está en crecimiento. Lo anterior, con el objetivo de presentar la guía metodológica basada en dichos
conceptos, para realizar análisis sobre dispositivos móviles como el iPhone.
• Se concluye que la aplicación de la guía es viable para un caso real, sin embargo se
recomienda ajustar la guía de acuerdo a lo planteado en la retroalimentación de la
misma.
83
7. TRABAJOS FUTUROS
A continuación se presentan los trabajos futuros sugeridos una vez culminada la presente
investigación:
• La presente investigación se hizo orientada al dispositivo móvil iPhone 3G, por lo tanto
la guía metodológica propuesta en este documento se realizó enfocada únicamente al
análisis de dicho dispositivo. Por lo tanto, se propone realizar un caso de estudio más
profundo donde además de realizar la investigación sobre el dispositivo, también pueda
ser analizada la tecnología de red que usa dicho dispositivo (3G).
• Con respecto a lo anterior, para poder realizar el análisis del dispositivo era necesario
que este estuviera previamente liberado por medio del proceso de Jailbreak. En caso
contrario es responsabilidad del investigador realizar este proceso, lo cual puede poner
en riesgo el resultado de la investigación cuando esta sea presentada en un proceso
judicial. Por lo tanto, se propone la ejecución de la guía metodológica propuesta en un
escenario de prueba en el cual es dispositivo no esté liberado y no haya necesidad de
realizar dicho proceso, utilizando alguna herramienta forense que soporte análisis sobre
este tipo de dispositivos sin Jailbreak como Paraben Device Seizure, la cual
lastimosamente solo soporta este tipo de análisis para iPhone 3G con firmware inferior
al 2.1.
84
8. REFERENCIAS
[1] B Mellar. “Forensic examination of mobile phones”. Digital Investigation - Elsevier, United
Kingdom, 2004, http://faculty.colostate-
pueblo.edu/dawn.spencer/Cis462/Homework/Ch4/Forensic%20examination%20of%20mob
ile%20phones.pdf Última consulta: Febrero de 2009.
[2] M Rossi. “Internal forensic acquisition for mobile equipments”. Dipartimento di
Informatica, Sistemi e Produzione, Università di Roma “Tor Vergata”, 2008.
[3] Canalys. Expert Analysis for High-tech Industry. “Smart mobile device shipments hit 118
million in 2007, up 53% on 2006”. Singapore and Reading (UK) – Tuesday, 5 February
2008, http://www.canalys.com/pr/2008/r2008021.htm, Última consulta: Febrero 2009.
[4] Canalys. Expert Analysis for High-tech Industry. “Global smart phone shipments rise
28%”. Reading (UK) – Thursday, 6 November 2008,
http://www.canalys.com/pr/2008/r2008112.htm, Última consulta: Febrero 2009.
[5] J Zdziarski. “iPhone Forensics, Recovering Evidence, Personal Data & Corporate Assets”,
2008.
[6] CSI. Computer Security Institute. http://www.gocsi.com/. Última consulta: Enero de 2009.
[7] CSI. “Computer Crime and Security Survey, The latest results from the longest-running
project of its kind”. 2008. http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf,
Última consulta: Enero de 2009.
[8] C. Castillo, R. Ramírez, “Guía metodológica para el análisis forense orientado a incidentes
en dispositivos móviles GSM”, Pontificia Universidad Javeriana, Dic. 2008.
[9] M.
Varsalone, J. Kubasiak, “Mac Os X, iPod and iPhone Forensic Analysis DVD Toolkit”,
Syngress Publishing Inc, 2009, pp. 355-475.
[10] Dev-Team Blog, redsn0w in june, http://blog.iphone-dev.org/post/126908912/redsn0w-in-
june , Última consulta: 13/09/09.
[11] Bluetooth, “Descripción general del funcionamiento”, 2009,
http://spanish.bluetooth.com/Bluetooth/Technology/Works/Default.htm
[12] Forensic analysis of mobile phone internal memory,
http://digitalcorpora.org/corpora/bibliography_files/Mobile%20Memory%20Forensics.pdf.
[13] C. Agualimpia, R. Hernández, “Análisis forense en dispositivos móviles con Symbian OS”,
Documento de maestría, Dept. Ingeniería electrónica, Pontifica Universidad Javeriana,
http://www.criptored.upm.es/guiateoria/gt_m142e1.htm.
[14] C. Castillo, A. Romero, J. Cano, “Análisis forense orientado a incidentes en teléfonos
celulares GSM: Una guía metodológica”, Conf. XXXIV Conferencia Latinoamericana de
Informática, Centro Latinoamericano de Estudios en Informática (CLEI), Sept. 2008,
http://www.clei2008.org.ar/
[15] I Baggilo, R Milan, M Rogers. “Mobile Phone Forensics Tool Testing: A Database Driven
Approach”. International Journal of Digital Evidence, Purdue University, Volume 6 Issue 2,
Fall 2007; http://www.utica.edu/academic/institutes/ecii/publications/articles/1C33DF76-
D8D3-EFF5-47AE3681FD948D68.pdf
[16] Fred Vogelstein, “The Untold Story: How the iPhone Blew Up the Wireless Industry”,
WIRED, Wired Magazine: issue 16.02, Enero 2008,
85
http://www.wired.com/gadgets/wireless/magazine/16-02/ff_iphone?currentPage=all, Última
consulta: 23/03/09.
[17] Javier Penalva, “Historia del iPhone”, Xataca, Jun. 2008,
http://www.xataka.com/moviles/historia-del-iphone, Última consulta: 23/03/09
[18] “The Apple iPhone Story: 1999 to 2008”, ProductReviews, Ago. 2008, http://www.product-
reviews.net/2008/08/01/the-apple-iphone-story-1999-to-2008/, (no tiene autor), Última
consulta: 23/03/09.
[19] Danny Dumas, “iPhone Timeline Highlights the Handset Through The Ages”, WIRED,
Gadget Lab: hardware that rocks your world, Jul. 2008,
http://blog.wired.com/gadgets/2008/07/iphone-timeline.html, Última consulta: 23/03/09.
[20] Ashton Applewhite, “The BlackBerry Business”, IEEE, Persasive Computing, Volume 1,
Issue 2, Abr./Jun. 2002, http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1012329,
Última consulta: 23/03/09.
[21] Apple Inc., “Especificaciones iPhone 3G”, 2009,
http://www.apple.com/es/iphone/specs.html, Última consulta: 26/01/09
[22] Apple Inc., “Qué es iTunes”, 2009, http://www.apple.com/es/itunes/whatis/, Última
consulta: 24/03/09.
[23] Andrew Hoog, “iPhone Forensics: Annual Report on iPhone Forensic Industry”, Chicago
Electronic Discovery, Mar. 2009
[24] Apple Inc., “iPhone 3G: Gallery”, 2009, http://www.apple.com/iphone/gallery/, Última
consulta: 24/03/09
[25] Michael Macedonia, “iPhones Target the Tech Elite”, Entertainment Computing, Pags. 94-
95, Jun. 2007.
[26] Lev Grossman, “Invention Of the Year: The iPhone”, TIME in partnership with CNN,
http://www.time.com/time/specials/2007/article/0,28804,1677329_1678542,00.html,
Última consulta: 24/03/09.
[27] Apple Inc., “iPhone 3G: Caracteristicas”, 2009, http://www.apple.com/la/iphone/features/,
Última consulta: 24/03/09.
[28] Apple Inc, “iPod Classic”, 2009, http://www.apple.com/la/ipodclassic/features.html, Última
consulta: 25/03/09.
[29] Apple Inc., “Apple introduce el Nuevo iPhone 3G: dos veces más rápido y a mitad de
precio”, Sala de prensa, 2009, http://latam.apple.com/pr/articulo/?id=1486, Última consulta:
25/03/09.
[30] T. Espiner, “Crackers claim iPhone 3G hack”, ZDNet UK Jul. 2008,
http://news.zdnet.co.uk/security/0,1000000189,39446756,00.htm
[31] J. Pastor, “El iPhone vulnerable al Phishing”, Jul. 2008,
http://www.theinquirer.es/2008/07/25/el_iphone_vulnerable_al_phishing.html, Última
consulta: 14/04/2009.
[32] Jeimy J. Cano, “Introducción a la informática forense: Una disciplina técnico-legal”,
Revista Sistemas, Asociación Colombiana de Ingenieros de Sistemas (ACIS), Vol.96, pp.
64-73, Jun. 2006, http://www.acis.org.co/fileadmin/Revista_96/dos.pdf, Última consulta:
14/04/2009.
[33] Jeimy J. Cano, “Computación Forense: Conceptos Básicos”, May. 2002.
86
[34] Del Pino Santiago, “Introducción a la informática forense”, Pontificia Universidad Católica
del Ecuador, Oct. 2007, Disponible en:
http://www.criptored.upm.es/guiateoria/gt_m592b.htm.
[35] D. Brezinski, T. Killalea, Guidelines for Evidence Collection and Archiving, IETF RFC
3227, February 2002; http://www.ietf.org/rfc/rfc3227.txt
[36] Reith Mark, Carr Clint, Gunsch Gregg, “An Examination of Digital Forensic Models”,
International Journal of Digital Evidence, Air Force Institute of Technology, Volume 1
Issue 3, Fall 2002,
www.utica.edu/academic/institutes/ecii/publications/articles/A04A40DC-A6F6-F2C1-
98F94F16AF57232D.pdf.
[37] Baryamureeba Venansius, Tushabe Florence, “The Enhanced Digital Investigation Process
Model”, Institute of Computer Science, Makerere University, May. 2004.
[38] M. Meyers, M. Rogers, “Computer Forensics: The Need for Standardization and
Certification”, International Journal of Digital Evidence, CERIAS, Purdue University,
Volume 3 Issue 2, Fall 2004,
www.utica.edu/academic/institutes/ecii/publications/articles/A0B7F51C-D8F9-A0D0-
7F387126198F12F6.pdf.
[39] International Organization on Computer Evidence, “Guidelines for best practice in the
forensic examination of digital technology”, IOCE Best Practice Guide V1.0, May. 2002,
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html
[40] M. Delgado, “Análisis Forense Digital”, Hackers y Seguridad, 2nd ed., Jun. 2007,
http://www.criptored.upm.es/guiateoria/gt_m335a.htm
[41] iPhone OS Overview,
http://developer.apple.com/iphone/gettingstarted/docs/iphoneosoverview.action
[42] iPhone OS Technology Overview, Oct. 2009,
http://developer.apple.com/iphone/library/documentation/Miscellaneous/Conceptual/iPhone
OSTechOverview/Introduction/Introduction.html.
[43] Technical Note TN1150 HFS Plus Volume Format
http://developer.apple.com/technotes/tn/tn1150.html#HFSX
[44] A. Burghardt, A. Feldman, “Using the HFSD journal for deleted file recovery”, Digital
Forensic Research Workshop, 2008, http://www.dfrws.org/2008/proceedings/p76-
burghardt.pdf
[45] A. Sandoval, “El iPhone está disparado a nivel mundial”, El Tiempo, Ago. 2009,
http://m.eltiempo.com/detail/key/86380/Tec/1;jsessionid=2E69ADA8DC4483AACF825D6
FE1778B9E.eltiempo2, Última consulta: 25/08/09
[46] L. Cassavoy, “What Does It Mean to Jailbreak an iPhone?”, About.com,
http://smartphones.about.com/od/glossary/f/jailbreak_faq.htm, Última consulta: 27/08/09
[47] K. Higgins, “Metasploit Adds iPhone Hacking Tools”, Dark Reading, Sep. 2006,
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208804751,
Última consulta: 27/08/09.
[48] Dev-Team Blog, 2009, http://blog.iphone-dev.org/, Última consulta: 25/08/09.
[49] iPhone Dev Team, “Pwnage Project”, Mar. 2008, http://wikee.iphwn.org/news:pwnage,
Última consulta: 28/08/09
87
[50] iPhone Dev Team, “How Pwnage Works”, Jun. 2008,
http://wikee.iphwn.org/s5l8900:pwnage, Última consulta: 28/08/09
[51] SeguInfo: Seguridad de la información, Phishing, http://www.segu-
info.com.ar/malware/phishing.htm, Última consulta: 28/08/09
[52] Apple Inc, “Mail”, 2009, http://www.apple.com/es/iphone/iphone-3g/mail.html, Última
consulta: 28/08/09
[53] Aviv Raff On, “iPhone is Phishable and SPAMable”, Jul. 2008,
http://aviv.raffon.net/2008/07/23/iPhoneIsPhishableAndSPAMable.aspx, Última consulta:
28/08/09
[54] Aviv Raff On, “Happy New Year”, Oct. 2008,
http://aviv.raffon.net/2008/10/02/HappyNewYear.aspx, Última consulta: 28/08/09
[55] Thomas Claburn, “Apple iPhone Vulnerabilities Disclosed”, InformationWeek | the
business value of technology, Oct. 2009,
http://www.informationweek.com/news/personal_tech/iphone/showArticle.jhtml?articleID=
210605451, Última consulta: 28/08/09
[56] Compaq, “Compaq V3718LA”
http://search.hp.com/query.html?lang=en&hps=Compaq.com&la=en&hpn=Return+to+Co
mpaq.com&qp=web_section_id%3Ar163+site%3Ashopping.hp.com&cc=us&hpr=/country
/index.html&h_audience=hho&qt=compaq+v3718la, Última consulta: 28/08/09.
[57] SeguInfo: Seguridad de la información, Spam, http://www.segu-
info.com.ar/malware/spam.htm, Última consulta: 30/08/09
[58] Daniel V. Hoffman, “Blackjacking: Security Threats to BlackBerrys, PDAs, and Cell
Phones in the Enterprise”, Wiley Publishing Inc, 2007, pp. 3-13
[59] Crackea tu iPhone, “Hackers pueden entrar a tu iPhone mediante OpenSSH”, 2008,
http://crackeatuiphone.com/2008/09/hackers-pueden-entrar-a-tu-iphone-mediante-openssh/,
Última consulta: 01/09/09
[60] Insecure.org, http://nmap.org/, Última consulta: 06/09/09.
[61] The GNU Netcat project, http://netcat.sourceforge.net/, Nov. 2006, Última consulta:
06/09/09.
[62] Adelstein. F.: MFP: The Mobile Forensic Platform. International Journal of Digital
Evidence. Volume 2. Issue 1. (2003).
http://www.utica.edu/academic/institutes/ecii/publications/articles/A066554D-DCDD-
75EE-BE7275064C961B5D.pdf
[63] Geiger, M.: Evaluating Commercial Counter-Forensic Tools. Carnegie Mellon University.
Digital Forensic Research Workshop (DFRWS). (2005).
http://dfrws.org/2005/proceedings/geiger_couterforensics.pdf
[64] R. Joyce, J. Powers, F. Adelstein, “MEGA: A tool for Mac OS X operating system and
application forensics”, Digital Investigation, 2008
[65] R. Leigland, “A Formalization of Digital Forensics”, International Journal of Digital
Evidence, University of Idaho, Volume 3, Issue 2, Fall 2004,
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0B8472C-D1D2-8F98-
8F7597844CF74DF8.pdf.
88
[66] O. López, H. Amaya, R. León, B. Acosta, “Informática forense: generalidades, aspectos
técnicos y herramientas”, Universidad de los Andes, 2002,
http://www.criptored.upm.es/guiateoria/gt_m180b.htm
[67] DFRWS, “A Road Map for Digital Forensic Research”, Report From the First Digital
Forensic Research Workshop (DFRWS), 2001, http://www.dfrws.org/2001/dfrws-rm-
final.pdf
[68] IOCE, “Guidelines For Best Practice in the Forensic Examination of Digital Technology”,
draft v1.0,
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html.
[69] S. Peisert, M. Bishop, S. Karin, K. Marzullo, “Toward Models for Forensic Analysis”,
http://www.cs.ucdavis.edu/~peisert/research/PBKM-SADFE2007-ForensicModels.pdf.
[70] J. Cano, “Buenas prácticas en la administración de la evidencia digital”, Universidad de los
Andes, 2006.
[71] B. Carrier, E. Spafford, “Getting Physical with the Digital Investigation Process”,
International Journal of Digital Evidence, University of Idaho, Volume 2, Issue 2, Fall
2003, http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7A-
FB6C-325D-BF515A44FDEE7459.pdf
[72] N. Beebe, J. Clark, “A Hierarchical, Objectives-Based Framework for the Digital
Investigations Process”, Digital Investigations Process Framework, Digital Forensics
Research Workshop (DFRWS), Ag. 2004.
[73] A. Hook, K. Gaffaney, “iPhone Forensics - WOLF”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-wolf.html,
Última consulta: 06/09/09.
[74] A. Hook, K. Gaffaney, “iPhone Forensics - Cellebrite UFED (3.0/5.0)”, ViaForensics, Jun.
2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-
ufed.html, Última consulta: 06/09/09.
[75] A. Hook, K. Gaffaney, “iPhone Forensics - Paraben Device Seizure”, ViaForensics, Jun.
2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-
paraben-device-seizure.html, Última consulta: 06/09/09
[76] A. Hook, K. Gaffaney, “iPhone Forensics - MacLock Pick”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-maclock-
pick.html, Última consulta: 06/09/09
[77] A. Hook, K. Gaffaney, “iPhone Forensics - MDBackup Extract”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-md-backup-
extract.html, Última consulta: 06/09/09
[78] A. Hook, K. Gaffaney, “iPhone Forensics - .XRY”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-
microsystemation-xry.html, Última consulta: 07/09/09
[79] A. Hook, K. Gaffaney, “iPhone Forensics - Zdziarski Technique”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-zdziarski-
technique.html, Última consulta: 07/09/09
[80] K. Mandia, C. Prosise, M. Pepe, “Incident Response & Computer Forensics ”, Segunda
Edición, McGraw-Hill, 2003, pp. 11-32
89
[81] R Ayers, W Jansen. “Guidelines on CellPhone Forensics”, National Institute of Standards
and Technology Special Publication 800-101; http://csrc.nist.gov/publicati
ons/nistpubs/800-101/SP800-101.pdf . Última consulta: Septiembre de 2009.
[82] D. Shinder, Scene of the Cybercrime Computer Forensic Handbook, Syngress Publishing,
Inc, 2002.
[83] D. Bem, E. Huebner, “Computer Forensic Analysis in a Virtual Environment”, International
Journal of Digital Evidence, Volume 6, Issue 2. 2007,
http://www.utica.edu/academic/institutes/ecii/publications/articles/1C349F35-C73B-DB8A-
926F9F46623A1842.pdf.
[84] SeguInfo: Seguridad de la información, Amenazas Lógicas - Tipos de Ataques - Ataques de
Autenticación, http://www.segu-info.com.ar/ataques/ataques_autenticacion.htm, Última
consulta: 13/09/09.
[85] SeguInfo: Seguridad de la información, Exploit, http://www.segu-
info.com.ar/malware/exploit.htm, Última consulta: 13/09/09.
[86] SeguInfo: Seguridad de la información, Tipos de Malware, http://www.segu-
info.com.ar/malware/, Última consulta: 13/09/09.
[87] OpenSSH, http://www.openssh.com/es/index.html, Última consulta: 13/09/09.
[88] GSM Security, “What is an IMEI?”, http://www.gsm-security.net/faq/imei-international-
mobile-equipment-identity-gsm.shtml, Última consulta: 13/09/09
[89] Fiscalía General de la Nación, “Manual de procedimientos para cadena de custodia”,
http://happymundo.com/segob/MANUALES/manual%20de%20procedimientos%20para%
20cadena%2029%20de%20enero.pdf.
[90] C. Mulliner, C. Miller, “Injecting SMS Messages into Smart Phones for Security Analysis”,
Ago. 2009 http://www.usenix.org/events/woot09/tech/full_papers/mulliner.pdf.
[91] C. Mulliner, C. Miller, “Fuzzing the Phone in your Phone”, Ago. 2009, BlackHat
Conference, http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-
Miller-FuzzingPhone-PAPER.pdf
[92] J. Cano, “Computación Forense: descubriendo los rastros informáticos”, Alfaomega, 2009,
p. 180
[93] SeguInfo: Seguridad de la información, Spam, http://www.segu-
info.com.ar/malware/spam.htm, Última consulta: 23/11/09.
[94] Developer Connection, “Networking Bonjour”, Apple Inc.,
http://developer.apple.com/networking/bonjour/, Última consulta: 29/11/09.
[95] Carnegie Mellon University, “Wi-Fi Origins”,
http://www.cmu.edu/homepage/computing/2009/summer/wi-fi-origins.shtml, Última
consulta: 29/11/09.
[96] ERICSSON, “The evolution of EDGE”, Feb. 2007,
http://www.ericsson.com/technology/whitepapers/3107_The_evolution_of_EDGE_A.pdf
,Última consulta: 29/11/09.
[97] Developer Connection, “Introduction to CFNetwork Programming Guide”, May. 2009,
http://developer.apple.com/mac/library/DOCUMENTATION/Networking/Conceptual/CFN
etwork/Introduction/Introduction.html, Última consulta: 29/11/09.
90
[98] Developer Connection, “Introduction to The Objective-C Programming Language”, Oct.
2009,
http://developer.apple.com/mac/library/documentation/cocoa/Conceptual/ObjectiveC/Introd
uction/introObjectiveC.html, Última consulta: 29/11/09.
[99] Developer Connection, “Quartz 2D Programming Guide”, May. 2009,
http://developer.apple.com/IPhone/library/documentation/GraphicsImaging/Conceptual/dra
wingwithquartz2d/Introduction/Introduction.html, Última consulta: 29/11/09.
[100] Arnotify, “On the Origins of .DS_Store”, http://arno.org/arnotify/2006/10/on-the-origins-of-
ds_store/, Última consulta: 29/11/09.
[101] The Sydney Morning Herald, “Surprise iPhone launch”,
http://www.smh.com.au/news/phones--pdas/surprise-iphone-
launch/2006/12/18/1166290484620.html, Última consulta: 30/11/09.
[102] World Time Zone, “World Time Zone Abbreviations, Description and UTC Offset”,
http://www.worldtimezone.com/wtz-names/wtz-cot.html, Última consulta: 30/11/09.
91