Tienes una Mac??

EVIDENCIAS FORENSES EN MAC OS X

Si eres uno de los amantes de Mac OS X debes saber que este sistema operativo de Apple almacena evidencias forenses importantes dentro del sistema de archivos que podrían ser explotadas por personas con conocimientos. Estas evidencias se almacenan utilizando diferentes tipos de formatos. Algunos de ellos son bien conocidos tales como texto plano ASCII, archivos XML o bases de datos; mientras que otros son estructuras binarias utilizadas sólo por Mac OS X.

Los archivos binarios tienen muy poca documentación necesaria para comprender cómo la información se almacena. Por esta razón, se requiere una ingeniería reversa para entender cómo se guarda esta información. El primero y fácil método para comprender los archivos de formato es leer el contenido del archivo con un editor hexadecimal que puede representar la información como una representación en valores hexadecimales, valores binarios o caracteres ASCII.

Algunos archivos binarios tienen cabecera y registros, mientras que otros no tienen cabecera.

La identificación si el binario tiene cabecera es cuando la cabecera termina y cuando los registros comienzan. Debe realizarse eso para identificar qué parte del archivo corresponde a la cabecera y que parte a los registros. El proceso de análisis debe hacerse para tratar de reconocer la información teniendo en cuenta las cadenas ASCII y el valor entero de la combinación hexadecimal entre: nibble, byte, 2 bytes, 4 bytes y 8 bytes que se pueden guardar en Little Endian o Big Endian que puede representar valores como la fecha y hora, longitud, UID, GID, PID, la dirección IP, los valores de retorno, etc.

Apple por lo general proporciona sus propias herramientas que pueden leer estas evidencias. Por lo tanto se debe contar con los resultados de estas herramientas y tener los archivos binarios como fuentes, el investigador puede tratar de igualar los valores para entender cómo funciona el proceso de almacenamiento.

A continuación les muestro diferentes tipos de archivos de evidencias:

• Módulo básico de seguridad (BSM): archivos binarios que almacenan los registros de auditoría del kernel. Cada archivo BSM tiene uno o más registros. Cada registro es un grupo de estructuras C llamada fichas donde cada una de estas fichas guarda un tipo de información específica.
• ASL (Binary Apple System Log): es el servicio de daemon log por defecto para Mac OS X llamada Apple System Log.
• Keychain: archivos binarios de base de datos que contiene tablas para almacenar diferentes tipos de registros. El archivo se utiliza para almacenar las contraseñas y las certificaciones de las aplicaciones, recursos de Internet, redes como wifi o bluetooth, y así sucesivamente.
• Propio formato binario: algunas evidencias almacenan su información a través de su propia estructura binaria de datos. Como ejemplo Java IDX y Cookies binarios.
• Plist: archivos utilizados por aplicaciones externas y Mac OS X. Se utiliza para almacenar configuraciones de aplicación y del sistema. Puede almacenar en dos formatos diferentes: XML y formato binario Plist llamada BPlist.
• Texto plano: archivos que se requieren unas expresiones regulares para ser analizados. Estos archivos representan datos de timestamp y de rendimiento.
• XML: archivos con una estructura específica.
• SQLite: Es una pequeña base de datos que se utiliza porque es de fácil acceso y guardado de datos sin necesitar un servidor de base de datos pesada. Por lo general, contiene el registro de las aplicaciones de usuario, tales como Skype, Chrome o Firefox y algunos cachés de Mac OS X.

Y es así que un analisis forense puede darnos resultados de archivos con los tipos antes descritos y definitivamente muy serviciales para los expertos en seguridad informática o para cyberdelincuentes.

Disclaimer: El equipo de Sky Security no se hace responsable por el mal uso de la información aquí vertida. publicándola unicamente como informativa y de aprendizaje.