¿Sabes cómo funcionan los sistemas de adquisición de evidencia en Apple? Existen varias formas para hacer adquisición de evidencias, ya sea evidencia digital y adquisición lógica, o cualquier otro tipo de adquisición en informática forense para dispositivos Apple.
Veamos algunas formas de llevar a cabo este tipo de procedimiento.
Sistemas de adquisición de evidencia en Apple
Los sistemas de adquisición de evidencia en Apple son las herramientas y procesos utilizados para recopilar y preservar datos de dispositivos Apple con fines forenses. Estos sistemas pueden ser empleados por investigadores, agencias de aplicación de la ley y otros profesionales de seguridad para recuperar datos almacenados en dispositivos Apple.
Apple ha desarrollado sus propios sistemas de adquisición de evidencia, como el Apple File System (APFS), que se usa para recuperar datos de dispositivos iOS y macOS. También hay herramientas de terceros disponibles que pueden ser empleadas para adquirir evidencia de dispositivos Apple.
Existen varios modos en los que funcionan los sistemas de adquisición de evidencia en Apple. Por ejemplo, se puede hacer adquisición del siguiente modo:
- Realizar un backup de iOS. Para ello se puede:
- Podemos usar iTunes para Mac y Windows.
- Podemos utilizar el Libimobildevice en la suite Santoku, que es una librería para hacer adquisiciones.
La biblioteca Libimobiledevice se utiliza para proporcionar herramientas de línea de comandos para la gestión de dispositivos iOS, como la instalación de aplicaciones, la copia de archivos y la obtención de información del dispositivo. - La copia bit a bit es otra alternativa y se convierte en nuestra última opción. Para hacer este tipo de adquisición, que correspondería a una adquisición física, tendríamos que hacerle jailbreak al teléfono, porque lo que hacemos es acceder a través de SSH al propio dispositivo. Al acceder a todo el contenido de este, hacemos un delete.
- Existen diferentes herramientas para la adquisición:
- dd
- ftk imager
- También podemos utilizar aplicaciones de uso comercial que automatizan el proceso:
Tipos de sistemas de adquisición de evidencia en Apple
Adquisición de pruebas clásico
Con dd
dd es un comando utilizado para copiar y convertir datos de un archivo o dispositivo. El comando «dd» es una herramienta muy poderosa y flexible que se utiliza para la copia bit a bit de archivos o dispositivos, incluyendo discos duros, unidades flash USB y CD/DVD.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEn este tipo de sistemas de adquisición de evidencia en Apple se hace una adquisición física; por tanto, debemos tener en cuenta algunas especificaciones:
- El equipo del cual vamos a hacer la adquisición de dispositivo iOS debe tener el jailbreak ya hecho.
- Deben estar instalados en el dispositivo el servidor SSH y netcat.
- El servidor SSH debe tener la clave por defecto o, si no la tiene, una clave muy débil.
Lo primero que haremos es levantar un netcat en nuestra máquina. Le decimos, por un lado, que debe escuchar en el puerto que indiquemos y, por otro, que la salida de lo que él recibe por ese puerto, mediante un dd, nos lo guarde en una imagen. De esta forma, todo lo que reciba por determinado puerto lo va a meter en un fichero de imagen.
Nos conectamos mediante SSH al dispositivo y le decimos que un origen sea el volumen del dispositivo, con un tamaño de bloque, y que la salida de esto nos la redirija por medio de netcat a la IP y al puerto que le hayamos puesto por defecto a la máquina.
Con FTK Imager
También podemos utilizar otro de los sistemas de adquisición de evidencia en Apple, que es hacer la adquisición con FTK Imager. Para ello debemos:
- Obtener el Phone Disk.
- Hacer que el dispositivo iOS tenga jailbreak.
- Que tenga instalado el componente afc2add (para datos ocultos).
- Usar cualquier herramienta forense para adquirir imagen (en este caso es FTK Imager).
Lo primero que tendríamos que hacer para usar el segundo de los sistemas de adquisición de evidencia en Apple sería, obviamente, conectar el dispositivo. Una vez conectado el dispositivo, podríamos acceder al volumen donde están todos los datos y hacer una copia.
Anexos
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué son y cómo funcionan los sistemas de adquisición de evidencia en Apple. Si quieres seguir aprendiendo acerca de las numerosas disciplinas que incluye la seguridad informática, no te pierdas nuestro Ciberseguridad Full Stack Bootcamp, la formación íntegra e intensiva con la que, en muy pocos meses, te convertirás en un gran profesional dentro del sector IT. ¡Pide ahora mismo más información e impulsa ya tu futuro!