Tipos de evidencias forenses en Mac OS X

Mac OS X almacena evidencias forenses importantes dentro del sistema de archivos según profesionales de seguridad informática en México. Estas evidencias se almacenan utilizando diferentes tipos de formatos. Algunos de ellos son bien conocidos tales como texto plano ASCII, archivos XML o bases de datos; mientras que otros son estructuras binarias utilizadas sólo por Mac OS X.

Experto de International Institute of Cyber Security que proporciona servicios de forense digitales, hacking ético en México, seguridad en la nube en México señaló Los archivos binarios tienen muy poca documentación necesaria para comprender cómo la información se almacena. Por esta razón, se requiere una ingeniería reversa para entender cómo se guarda esta información.

El primero y fácil método para comprender los archivos de formato es leer el contenido del archivo con un editor hexadecimal que puede representar la información como una representación en valores hexadecimales, valores binarios o caracteres ASCII.

Algunos archivos binarios tienen cabecera y registros, mientras que otros no tienen cabecera indico experto de seguridad en la nube en México. La identificación si el binario tiene cabecera es cuando la cabecera termina y cuando los registros comienzan. Debe realizarse eso para identificar qué parte del archivo corresponde la cabecera y que parte los registros. Los investigadores de seguridad informática de dicen que proceso de análisis que debe hacerse para tratar de reconocer la información teniendo en cuenta las cadenas ASCII y el valor entero de la combinación hexadecimal entre: nibble, byte, 2 bytes, 4 bytes y 8 bytes que se pueden guardar en Little Endian o Big Endian que puede representar valores como la fecha y hora, longitud, UID, GID, PID, la dirección IP, los valores de retorno, etc.

Apple por lo general proporciona sus propias herramientas que pueden leer estas evidencias. Por lo tanto, tener los resultados de estas herramientas y tener los archivos binarios como fuentes, el investigador puede tratar de igualar los valores para entender cómo funciona el proceso de almacenamiento indica investigador de seguridad en la nube. A continuación se presentan diferentes tipos de archivos de evidencias:

• Módulo básico de seguridad (BSM): archivos binarios que almacenan los registros de auditoría del kernel. Cada archivo BSM tiene una o más registros. Cada registro es un grupo de estructuras C llamada fichas donde cada una de estas fichas guarda un tipo de información específica.

• ASL (Binary Apple System Log): es el servicio de daemon log por defecto para Mac OS X llamada Apple System Log.

• Keychain: archivos binarios de base de datos que contiene tablas para almacenar diferentes tipos de registros. El archivo se utiliza para almacenar las contraseñas y las certificaciones de las aplicaciones, recursos de Internet, redes como wifi o bluetooth, y así sucesivamente.

• Propio formato binario: algunas evidencias almacenan su información a través de su propia estructura binaria de datos. Como ejemplo Java IDX y Cookies binarios.

• Plist: archivos utilizados por aplicaciones externas y Mac OS X. Se utiliza para almacenar configuraciones de aplicación y del sistema. Puede almacenar en dos formatos diferentes: XML y formato binario Plist llamada BPlist.

• Texto plano: archivos que se requieren unas expresiones regulares para ser analizados. Estos archivos representan datos de timestamp y de rendimiento.

• XML: archivos con una estructura específica.

• SQLite: pequeña base de datos que se utiliza porque es fácil a acceso y guardar los datos sin necesitar un servidor de base de datos de pesada. Por lo general, contiene

el registro de las aplicaciones de usuario, tales como Skype, Chrome o Firefox y algunos cachés de Mac OS X.

Estas evidencias se almacenan en el sistema de archivos de Mac OS X usando uno de los tipos de archivo se ha explicado anteriormente con ayuda de experto de hacking ético.