Análisis Forense de Dispositivos iOS – Fase de Informes
Esta es la ultima entrega de la serie "Análisis Forense de Dispositivos iOS", una iniciativa de La Comunidad DragonJAR que pretende aportar un poco de documentación en español sobre las metodologías y procedimientos forenses necesarios para llevar a cabo el análisis de un dispositivo móvil con sistema operativo iOS de Apple (iPhone, iPad, iPod Touch, etc…).
En la entrega anterior de esta serie, comentábamos los procesos de análisis, se enumeraron algunos de los archivos mas importantes de los cuales podemos extraer información útil para nuestra investigación, también vimos el funcionamiento de las herramientas que permiten automatizar estos procesos y algunas herramientas adicionales que nos pueden ayudar en estos procesos.
El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de informes, en la cual debemos generar los informes que sustenten toda nuestra investigación, el producto final de un análisis forense son los informes tanto ejecutivo (con lenguaje común que explican puntualmente lo sucedido) como técnico (donde se detalla técnicamente los procesos realizados de tal forma que cualquiera pueda replicarlos), recordemos que en nuestra tarea como analistas no es realizar acusaciones, ya que esta es la tarea de los jueces o en su defecto de la persona que contrató el análisis, solo debemos proporcionar toda la información necesaria para puedan tomar una decisión acertada.
Análisis Forense de Dispositivos iOS – Fase de Informes
En esta fase se debe iniciar la organización de la información, para poder escribir los informes que sustentarán las pruebas en un proceso legal, para esto básicamente debemos tener en cuenta los siguientes pasos:
- Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el.
- Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros:
- Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.
- Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario.
- Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió.
- Pruebas: Debes proporción una descripción de las pruebas adquiridas durante la investigación, las evidencias, cómo fueron adquiridas y quien las adquirió.
- Detalles: Debemos proporcionar una descripción detallada de lo que se analizó, los métodos que se utilizaron, explicar los resultados del análisis, listar los procedimientos que se llevaron a cabo durante la investigación y las técnicas de análisis que se utilizaron, también se deben incluir pruebas de sus resultados, los informes de servicios y las entradas de registro/logs del sistema.
- Justificar: Cada conclusión que se extrae del análisis debe estar justificada, debemos adjuntar documentos justificativos que incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como documentos que describen los procedimientos de investigación de equipos usados, panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tanto como sea posible.
- Conclusión: Las conclusiones deben ser lo más claras posibles y sin ambigüedades, en ellas debemos resumir los resultados de la investigación, debemos ser específicos y citar pruebas concretas para demostrar las conclusiones, pero sin dar muchos detalles sobre ellos para no ser redundantes (ya que esta información esta en la sección “Detalles”).
- Glosario: Se debe considerar la creación de un glosario de términos utilizados en el informe, este glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez, jurado debe revisar los documentos.
- El informe ejecutivo: Debe ser claro, conciso y no debe contener lenguaje técnico, por el contrario debe ser escrito para la gente del común ya que por lo general va dirigido a gerentes, jueces que poco están relacionados con la informática en general y los términos ingenieriles que solemos utilizar.
- El informe técnico: Este informe contrario al informe ejecutivo, va dirigido por lo general al departamento de sistemas u otros investigadores forense, por tanto debemos detallar todos los procedimientos realizados, debemos utilizar información técnica que permita a cualquier persona que siga esos pasos conseguir los mismos resultados que conseguimos nosotros.
Análisis Forense de Dispositivos iOS – Fase de Informes – Parte técnica
Los procedimientos realizados en la etapa de informes, son tramites que poco tienen que ver con procesos técnicos, sino mas bien documentales, debemos recopilar y organizar la información para después escribir los informes requeridos; Realizar estos informes por primera vez es algo laborioso, por eso siempre es bueno contar con documentos de referencia para realizar nuestros informes y tener una base sobre la cual partir en vez de empezar de cero.
Por tal motivo les dejo algunas buenos informes forenses de nuestros pasados retos, para que te bases en ellos y generar los tuyos, te recomiendo leerlos todos ya que se complementan entre si y puedes sacar una idea mas general de como presentar los informes de un análisis forense:
Informes de nuestro primer reto sobre análisis forense:
- Primer puesto: Javi G. (descargar informes)
- Segundo puesto: Mario Alfonso Riaño (descargar informes)
Informes de nuestro segundo reto sobre análisis forense:
- Primer puesto: Duvan Gallego y Raúl Chavarría (descargar informes)
Informes de nuestro tercer reto sobre análisis forense:
- Primer puesto: Facundo Guzmán (descargar informes)
- Segundo puesto: Oscar Ruiz (descargar informes)
Los informes del tercer reto forense realizado por la RedIRIS (España) y UNAM-CERT (México) no tienen ningún pierde y representan una buena referencia para aprender a realizar un informe forense.
Lugar | Nombre(s) | Reporte Ejecutivo | Reporte Técnico | País |
1 | Germán Martín Boizas | r3_ejecutivo1.pdf | r3_tecnico1.pdf | España |
2 | José Antonio Valero | r3_ejecutivo2.doc | r3_tecnico2.doc | España |
3 | Juan Ángel Hurtado | r3_ejecutivo3.pdf | r3_tecnico3.pdf | México |
4 | Fernando Gozalo | r3_ejecutivo4.pdf | r3_tecnico4.pdf | España |
5 | Juan Garrido Caballero | r3_ejecutivo5.pdf | r3_tecnico5.pdf | España |
6 | José Salvador González | r3_ejecutivo6.pdf | r3_tecnico6.pdf | México |
7 | Hugo Eduardo Escobedo | r3_ejecutivo7.doc | r3_tecnico7.doc | México |
8 | Rubén Recabarrén Rossana Ludeña Leandro Leoncini |
r3_ejecutivo8.doc | r3_tecnico8.doc | Vene |
Los informes de nuestro cuarto reto realizado para la Campus Party Colombia 2011, no se publicarán vía web (a petición de la CP), nuestro cuarto reto forense llamado "Analiza un iPad y GANATELO" lo realizaremos en el transcurso de la EKOParty 2011 y los analistas se enfrentarán precisamente al Análisis Forense de Dispositivos iOS para ganar un iPad, si deseas participar en este reto y no sabes nada sobre forense en iOS, tendremos también un workshop sobre esta temática de forma gratuita, para tener una buena cantidad de participantes en nuestro reto.
Este articulo hace parte de una serie titulada Análisis Forense de Dispositivos iOS, conformada por cuatro entregas: