jueves, 2 de enero de 2014

SnaptChat: análisis forense

Mucho se ha hablado en este blog sobre las aplicaciones de mensajería para los smartphones y de los fallos de seguridad de las mismas.

No hace mucho tiempo leí este artículo sobre la aplicación de la que os voy a hablar a continuación, esta aplicación y cuyo nombre está en el título del Post es SNAPCHAT.

Podría deciros que SNAPCHAT no es más que otra aplicación de mensajería instantánea, pero no es así, el gancho que tiene dicha aplicación es que permite a los usuarios enviar imágenes, videos cortos o mensajes a través de sus smartphones. El remitente elige el tiempo que desea que su mensaje sea visible para la otra persona, con un mínimo de 10 segundos. Y después es eliminada del mensaje, vamos que desaparece. Pero...¿Desaparece totalmente?


Bien, pues ya os hacéis una idea de lo que hace la aplicación, no obstante en el artículo que menciono en los párrafos superiores, su uso entre adolescentes es para casos de sexting, así que como disponía de algo de tiempo libre me dispuse a instalarla en mi smartphone y ver si realmente cumplía su objetivo, pero eso sí, iba a ir un poco más allá en mi investigación.

Tras una primera prueba he de decir que realmente la aplicación cumple su objetivo, recibes una foto (es la prueba que hice) y al tiempo estipulado por el remitente de la misma ésta se borra.

Pues bien, aquí es donde entra mi curiosidad, y me acordé del principio de transferencia de Locard, que viene a decir en resumen "cada contacto deja un rastro", así que me puse manos a la obra.

He decir que la "mini" investigación está realizada sobre un terminal Android rooteado.

En primer lugar fué localizar la aplicación en el terminal, por regla general las aplicaciones que se instalan en terminales Android se almacenan en el directorio data o datadata (según versión).

Ya tenía localizada el directorio de la aplicación, así que para ver los datos que contenía de forma más cómoda me la descargué a un directorio de mi equipo:

Como podéis observar, he desplegado todo el contenido de los directorios para que os hagáis una idea de lo que contiene.

Mi primera intención, y en la consola antes de descargarla a mi equipo, fué dirigirme al directorio Files a ver si hay se almacenaba una copia de la imagen recibida, pero...Mi gozo en un pozo.

Mi siguiente paso fué abrir una de las bases de datos, las de google anaytics no me interesaban, así que abrítcspahn.db. Tras indagar en la base de datos, la cual como podréis ver en la siguiente imagen, tiene unas cuantas tablas, personalmente me llamaron la atención las tablas "StoryImageFiles" y "StoryImageThumbnailFiles", pues dicho y hecho a por ellas :)

La primera tabla "StoryImageFiles" no contiene datos, al menos en mis pruebas, ya que son eliminados de la misma, pero la siguiente "StoryImageThumbnailsFiles" si como podéis ver:


No hay que ser un hacha, nos está diciendo en qué directorio hay almacenada una miniatura de la imagen, pues ya tenemos la evidencia :) (Volved a mirar la captura de los directorios), y he aquí la imagen que me remití en mis pruebas, las zapatillas de mi niña :) :


Comentar, que la miniatura se guarda con la extensión jpg.no-media así que hay que eliminar el no-media para que sea legible su visualización.

Mi investigación no quedo ahí, me propuse indagar algo más, el resto de tablas que componen la BBDD podemos encontrar información de números de teléfonos añadidos a la aplicación, quién te ha mandado un mensaje, a quién se lo has mandado, campos TIMESTAMP etc... y además, podríamos obtener información EXIF de la imagen recuperada. Además, en los ficheros XML, se puede ver la información de la cuenta de correo que se ha utilizado para crear la cuenta, aunque el resto de datos esté cifrada.

No he realizado pruebas con los videos ni ninguna otra, así que animo a otros investigadores a realizar sus propias pruebas, y quien sabe, quizás algun investigador con más conocimientos es capaz de obtener más datos.

Nota: el post me lo publicaron en Security by Default

JAP (JonDo Anon Proxy) - Alternativa a Tor



Dada la época en la que estamos y viendo como están las cosas, cada vez es más personas están interesadas en preservar su anonimato en su navegación (no vamos entrar en detalle del por qué). 

Todos conocemos TOR (The Onion Project) al igual que conocemos, en cierto modo, que no toda la información que pasa por TOR vaya cifrada, no voy a entrar en explicar como funciona la red TOR ya que doy la doy por sabida (No obstante os recomiendo este post en el que está muy bien explicada).

Si bien, al menos los que hemos usado TOR por una u otra razón, hemos podido ver que, en ocasiones, es excesivamente lento (aunque eso se puede solventar en cierto y ya os hablaré de cómo hacerlo en otro post).


Hace unos días encontré una alternativa a TOR y cuyo funcionamiento se basa en las mismas bases de TOR, es decir, se establece una red entre varios nodos y se transmite la información.

Vale vale no has decubierto la pólvora, y dónde está la diferencia, que más vale malo conocido…pues veámoslas: 

  • Velocidad: los servidores están optimizados, así obtienen mayor rendimiento que su homólogo TOR.
  • Seguridad: los nodos son ofrecidos por instituciones independientes las cuales, previamente, firman una declaración pública en las que aseguran que NO almacenan ningún tipo de información sobre el tráfico que reciben y envían (digamos que de forma legal están atados de manos) Así funciona JAP:

(si queréis más detalle y una comparativa TOR vs JAP lo podéis leer aqui)
Aquí los nodos se llaman mix providers, las rutas mix cascades y podemos seleccionar desde su configurador la ruta más rápida y/o más segura.

Podremos comprobar que la velocidad de navegación con JAP aumenta con respecto a TOR, que como comenté anteriormente, puede ser lento y pesado.

Pero…no todo lo que reluce es oro, aunque es gratuito, en JAP para obtener una velocidad y seguridad idónea, tendremos que contratar un servicio de pago llamado JonDonym cuyo precio oscila desde los 5€ hasta los 100€ los cuales se facturan por volumen. Podéis ver los precios aquí, no obstante, y para los más vagos :), os dejo una pequeña comparativa de la versión free y la de pago más básica.

También, y al igual que TOR, cuenta con un addon para firefox, el cuál podemos descargar e instalar una vez hemos completado el proceso de instalación, dicho addon se llama JonDoFox y sería el equivalente a TorButton, pero con la diferencia de que éste automáticamente nos creará un nuevo perfil en Firefox


y nos configurará el navegador para funcionar con JAP, trabajo que nos ahorraremos, y es más, y se me olvidaba comentarlo, en el mismo instalador se da la posibilida de realizar un test de anonimato con nuestro navegador actual.

El aspecto final de JAP funcionando es el siguiente:


[+] Sitio Web del proyectohttp://anon.inf.tu-dresden.de/index_en.html

Bueno, ya tenéis una alternativa a la red TOR la cual os recomiendo probar, en las pruebas que yo he realizado (y sin cuenta Premium) los resultados han sido bastante buenos, ahora os toca probar a vosotros :)

Nota: el post me lo publicaron en Security by Default