analisis forense de si
TRANSCRIPT
ANÁLISIS FORENSE DE SISTEMAS DE INFORMACIÓN
S E G U R I D A D I N F O R M Á T I C A 2 0 0 7 - 2 0 0 8
C A R M E N R O D R Í G U E Z V Á Z Q U E Z
2
ÍNDICE
INTRODUCCIÓN 4
DEFINICIONES 5
ANÁLISIS DIGITAL 6
TIPOS 6 METODOLOGÍA DE ANÁLISIS 7
INVESTIGACIÓN DE LA ESCENA DEL CRIMEN DIGITAL 9
FASES 9 Normativa RFC3227 9 ADQUISICIÓN DE DATOS 11 LECTURA DE DATOS DE ORIGEN 11 ESCRITURA DE DATOS 11 Integridad a través de los valores hash 12
HERRAMIENTAS ÚTILES EN EL ANÁLISIS DIGITAL DE SISTE MAS DE ARCHIVOS 13
DD 13 SLEUTH KIT 14 AUTOPSY 16 MAC -ROBBER 16 DISTRIBUCIONES LIVE -CD LINUX 16
CASOS PRÁCTICOS 17
SCAN OF THE MONTH #24. HONEYNET PROJECT 17 INVESTIGACION 18 coverpage.jpgc 19 jimmy jungle.doc 19 scheduled visits.exe 20 coverpage.jpgc (de nuevo) 21 scheduled visits.exe (de nuevo) 22 Bonus question 22 SCAN OF THE MONTH #26. HONEYNET PROJECT 23 INVESTIGACIÓN 24 Análisis del espacio no asignado 25 Conclusiones 26
CONCLUSIONES 29
BIBLIOGRAFÍA 30
3
ÍNDICE DE F IGURAS
FIGURA 1. NIVELES DE ANÁLISIS DIGITAL SEGÚN LA ESTRUCTURA DE LOS DATOS A
ANALIZAR ................................................................................................................................6 FIGURA 2. FASES DE LA METODOLOGÍA DE ANÁLISIS PROPUESTA POR CARRIER Y
SPAFFORD................................................................................................................................7 FIGURA 3. FASES DE LA INVESTIGACIÓN DE UNA ESCENA DEL CRIMEN DIGITAL ................9 FIGURA 4. AUTOPSY: AÑADIR IMAGEN AL HOST..................................................................... 18 FIGURA 5. AUTOPSY: ANÁLISIS DE FICHEROS .......................................................................... 18 FIGURA 6. AUTOPSY: ANÁLISIS DE LA IMAGEN ....................................................................... 20 FIGURA 7. AUTOPSY: ANÁLISIS DEL CONTENIDO DE UN CONJUNTO DE SECTORES. ......... 21 FIGURA 8. CONTENIDO DEL FICHERO DE PRUEBA REALIZADO CON MICROSOFT PAINT.22 FIGURA 9. CONTENIDO DEL FICHERO COVERPAGE.JPG........................................................ 22 FIGURA 10. AUTOPSY: DETALLES DE LA IMAGEN .................................................................. 24 FIGURA 11. AUTOPSY: CONTENIDO DEL ESPACIO NO ASIGNADO. ...................................... 25
4
ANÁLIS I S FORENSE DE S I STEMAS DE INFORMACIÓN
INTRODUCCIÓN
Es irremediable que el término análisis forense traiga a la memoria de muchos numerosas
series y/o películas de ciencia ficción donde policías muy hábiles resuelven crímenes, a simple vista perfectos o inexplicables. Otros muchos pensarán en salas frías embaldosadas de blanco. Sin embargo, el término forense en nuestro caso no se refiere a la medicina forense, sino a la recopilación de evidencias que puedan servir como prueba judicial.
Análisis forense de sistemas de información vs. análisis forense digital
El análisis forense de sistemas de información es el análisis de las evidencias recogidas en un sistema de información (involucrado en algún delito o crimen1) con el objeto de extraer conclusiones que sirvan para incluir dichas evidencias como pruebas en procesos judiciales. El análisis forense digital se refiere a cualquier medio digital del que se puedan recoger dichas evidencias (desde un teléfono móvil a una red de ordenadores).
Aunque en muchos textos utilizan ambos términos como sinónimos, el análisis forense de sistemas de información es un tipo de análisis forense digital.
Los sistemas de información han pasado de ser una herramienta reservada a unos pocos a un
recurso utilizado masivamente en los últimos 20-25 años. Debido a esto y dado que existen numerosos tipos de delitos que en su consecución han hecho uso (en mayor o menor medida) de algún tipo de sistema de información, el análisis forense de los mismos ha adquirido gran relevancia en las investigaciones criminales.
Algunos autores (como Brian Carrier y Eugene Spafford) prefieren omitir el término forense,
ya que entonces el análisis variará en función de las leyes del país o países en los que se pretende presentar las evidencias como prueba judicial, y sin embargo, existen pautas comunes a la hora de realizar el análisis, al margen de las leyes que imperen en el país determinado. También es posible realizar un análisis de sistemas de información en un entorno corporativo, donde el término forense pierde su sentido. En este trabajo seguiré su filosofía, eludiendo los detalles legales del análisis de sistemas de información y omitiendo, por tanto, el término forense.
Existen dos áreas independientes de análisis de sistemas de información: el análisis de medios
físicos (por ejemplo, discos duros) y el análisis basado en dispositivos de comunicación (análisis de redes). En este trabajo nos centraremos en el primer área.
1 El sistema de información puede haber sido utilizado bien para cometer el crimen bien para ejecutar un evento digital que haya violado alguna política o ley (por ejemplo, acceder ilícitamente a un sistema).
5
DEFINICIONES
Datos digitales son los datos representados de forma numérica (en los sistemas de información comunes, en forma binaria). Objeto digital es una colección de datos digitales, como pueden ser un archivo, un sector de disco duro, un paquete (en terminología de redes), una página de memoria o un proceso del sistema operativo. Los datos digitales tienen también una representación física. Por ejemplo, los datos de un disco duro son impulsos magnéticos en un disco que son leídos por un sensor analógico. Las redes cableadas utilizan señales eléctricas para representar los datos. Los datos digitales poseen características o rasgos únicos, que pueden ser utilizados para identificarlos. El estado de un objeto es el valor de sus características. Un suceso digital es un acontecimiento que modifica el estado de uno o más objetos digitales. Como un objeto digital tiene representaciones numérica y física, su estado puede verse alterado por eventos digitales y físicos. Algunos entornos desarrollan políticas y leyes que prohíben ciertos sucesos. Un incidente es un suceso o secuencia de sucesos que violan una política y un crimen es un suceso o secuencia de sucesos que violan una ley. Un incidente digital es un suceso digital o una colección de ellos que violan una política y/o ley. Una investigación es el proceso de desarrollar y probar hipótesis sobre sucesos que hayan ocurrido. Evidencias de un incidente son cualquier objeto que contiene información fiable que confirma o niega una hipótesis sobre un incidente. Normalmente son objetos que pueden establecer si un delito ha sido cometido, crear una conexión entre el delito y la victima o entre un delito y quien lo perpetró. Según su naturaleza se pueden clasificar en evidencias físicas y evidencias digitales. Como los datos digitales poseen una forma física, las evidencias físicas de un incidente pueden contener evidencias digitales. A su vez, la única diferencia entre evidencia física y digital es su formato, por lo que podemos poseer evidencia digital de un crimen o incidente físico (por ejemplo, una cámara de video crea una representación digital de un suceso físico y el fichero resultante será una evidencia digital del suceso) o evidencia física de un crimen digital. La escena del crimen físico es el entorno en el cual existe evidencia de un crimen o incidente. La escena del crimen digital es el entorno virtual creado por el conjunto de software-hardware donde existe evidencia digital de un crimen o incidente.
6
ANÁLISIS DIGITAL
TIPOS
Al existir numerosos formatos para los datos digitales, existen a su vez numerosos tipos de análisis digital. Los más comunes se resumen en este grafico:
Los dispositivos de almacenamiento no-volátil (como un disco duro o una memoria flash) están normalmente organizados en volúmenes. Hay dispositivos, como los disquetes, que únicamente poseen un volumen. Las particiones son utilizadas para dividir un volumen en otros más pequeños. A su vez, se pueden organizar volúmenes para formar otros más grandes (como en los sistemas RAID). Los volúmenes de los dispositivos pueden contener sistemas de ficheros (lo más común), espacios de intercambio (denominados swap) o bases de datos. Es necesario conocer la información referente a los volúmenes porque nos permitirá encontrar datos ocultos y descubrir donde se encuentran los sistemas de archivos. Los sistemas de ficheros son estructuras de datos que permiten a las aplicaciones crear, leer y escribir ficheros en el disco. El análisis de un sistema de ficheros nos permite encontrar ficheros, recuperar ficheros borrados y encontrar ficheros ocultos. Para poder analizar los ficheros encontrados necesitamos analizarlos a nivel de aplicación, ya que su estructura depende de las aplicaciones que los crearon (y del sistema operativo sobre el que estas funcionaban). El análisis de aplicación se divide a su vez en varias categorías, como pueden ser:
• Análisis de sistemas operativos, en el que se examinan los ficheros de configuración y salida del SO para obtener información sobre los sucesos ocurridos.
• Análisis de programas ejecutables, en el que se examinan los sucesos que podrían desencadenan los mismos.
Figura 1. Niveles de análisis digital según la estructura de los datos a analizar
Análisis de medios de
almacenamiento fisíco
Análisis de volúmenes
Análisis de memoria
Análisis de sistemas de
ficheros
Análisis del espacio de intercambio
(swap)
Análisis de bases de datos
Análisis de aplicaciones /
SO
Analisis de redes
7
• Análisis de imágenes, en el que se trata de buscar información en las fotografías, como por ejemplo quién está en la foto o quién la tomó y cuándo. También se buscan indicios de esteganografía2.
• Análisis de videos, como el utilizado con webcams o cámaras de vigilancia, en el que se busca, al igual que en el análisis de imágenes, información de quién aparece, dónde y cuándo fue grabado.
METODOLOGÍA DE ANÁLISIS
En principio, un ordenador no deja de ser una evidencia física, pero al ser procesada puede producir cientos de evidencias digitales. Estas evidencias pueden ser analizadas de la misma manera que se hace con las evidencias físicas para obtener información válida para probar hipótesis o rechazarlas. Así, la investigación de miles de evidencias digitales recogidas es similar a la investigación de una casa en la que el investigador debe analizar cientos de objetos, superficies y fibras.
En la investigación de una escena del crimen físico se aplica el principio de intercambio de Locard: “siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. Un efecto similar se produce en una escena del crimen digital. Los ficheros temporales, fragmentos de ficheros eliminados o contenidos de la memoria transferidos al disco pueden existir porque el sospechoso haya ejecutado algún software. Los datos entran y salen de la escena del crimen digital y, al igual que en las escenas de crimen físicas, dejan rastros de evidencia digital tras ellos.
Por todo ello, Brian Carrier y Eugene Spafford proponen en [ 1 ] una metodología de análisis digital basada en las fases que se documentan en las investigaciones de crímenes “físicos”. Esta metodología se compone de cinco fases, cuya relación se representa en la siguiente figura:
La fase de preparación debe ser mantenida constantemente e incluye:
• la fase de preparación de operaciones, en la que se enseña al personal a utilizar las herramientas que serán usadas a lo largo del proceso de investigación de un sistema.
• La fase de preparación de infraestructuras, donde se configura el equipamiento que asegura que los datos necesarios existirán cuando un incidente ocurra. Por ejemplo, en
2 La esteganografía es la ocultación de mensajes, para evitar que se perciba la existencia del mismo.
Figura 2. Fases de la metodología de análisis propuesta por Carrier y Spafford
Fase de preparacion
Fase de despliegue
Fase de investigacion de la escena del crimen
fisico
Fase de investigacion de la escena del crimen
digital
Fase de presentacion
8
un entrono corporativo esta fase podría incluir añadir sistemas de monitorización de redes.
La fase de despliegue provee los mecanismos necesarios para detectar y confirmar que un incidente ha sucedido. Esta fase incluye:
• La fase de detección y notificación, en donde el incidente es detectado (por la víctima o un tercero) y los investigadores son alertados. Por ejemplo, un acceso ilegítimo a un sistema puede ser detectado por un sistema de detección de intrusiones. Esta fase supone el comienzo de la investigación como tal.
• La fase de confirmación y autorización, donde los investigadores son autorizados a analizar la escena del crimen e iniciar una investigación. Las tareas que se desarrollen dentro de esta fase difieren si se trata de una investigación en un sistema corporativo o con fines judiciales.
La fase de investigación de la escena del crimen físico supone examinar los objetos que existen en una escena del crimen en la que existe algún dispositivo digital. En esta fase se recogen evidencias físicas que permitan enlazar una persona con un uso sospechoso de algún sistema de información. Cuando se encuentra un objeto que pueda contener evidencia digital da comienzo una investigación digital. Esta fase y la fase de investigación de la escena del crimen digital se comunican permanentemente: las conclusiones de la investigación de la escena del crimen digital se utilizan en la investigación de la escena del crimen físico.
La fase de investigación de la escena del crimen3 digital incluye las fases que suponen examinar los datos en busca de pruebas (evidencias), es detallada mas adelante.
La fase de presentación incluye el presentar las conclusiones extraídas de las fases anteriores ante quien corresponda (normalmente, ante quien ha autorizado la investigación).
En [ 1 ], Carrier y Spafford presentan dos casos de estudio de aplicación de esta metodología
que ayudan a comprenderla mejor y que por razones temporales, se omiten aquí.
3 Recordemos que una escena del crimen digital no es necesariamente un sitio donde se haya producido un crimen, sino el entorno virtual creado por el conjunto de software-hardware donde existe evidencia digital de un crimen o incidente.
9
INVESTIGACIÓN DE LA ESCENA DEL CRIMEN DIGITAL
FASES
Las fases de la investigación de la escena en un crimen digital, se muestran en el siguiente grafico:
Como se puede observar, no tienen por qué darse en un orden concreto. Este proceso puede ser aplicado a análisis vivos o muertos. Un análisis vivo es aquel que utiliza el sistema operativo u otros recursos del sistema investigado para encontrar pruebas. Un análisis muerto es aquel que utiliza aplicaciones de confianza en un entorno seguro para encontrar pruebas. Con un análisis vivo es posible obtener información falsa, ya que el sistema podría estar ocultando o falsificando maliciosamente la información (utilizando algún tipo de rootkit, por ejemplo).
Las evidencias digitales se clasifican en dos tipos: volátiles y no volátiles. Las primeras son
aquellas que se pierden al apagar el equipo, por ejemplo, estado de la memoria, procesos en ejecución o conexiones de red; y las evidencias no volátiles son aquellas que se encuentran almacenadas en el sistema de ficheros, como por ejemplo, un programa.
La fase de conservación del sistema tiene con objetivo preservar el estado de la escena del
crimen original, previniendo cualquier suceso que pueda modificar dicho estado. A su vez, se debe documentar adecuadamente la escena.
Las acciones a realizar en esta fase dependen en gran medida del entorno en el que se realiza la investigación (judicial, corporativo, etc.). En un entorno judicial , esta fase es vital. En otros entornos no es necesaria.
La fase de búsqueda de evidencias tiene como objetivo determinar qué objetos digitales
contienen información útil sobre el incidente. Es muy importante documentar este proceso, aunque la investigación se lleve a cabo en entornos corporativos. Para buscar evidencias es necesario fijar objetivos donde pueden ser encontradas, a lo que suele ayudar la experiencia. Por ejemplo, si queremos obtener indicios de un delito relacionado con la pornografía podemos realizar una búsqueda sobre ficheros de imágenes .jpg. Si un objeto es identificado como prueba debe ser documentado y preservado correctamente. En las investigaciones digitales esto se puede conseguir realizando resúmenes criptográficos (como MD-5 o SHA-1) y realizando copias de seguridad de la información.
Normativa RFC3227
Indica ciertas actuaciones que deberemos evitar si no queremos destruir alguna evidencia, aunque sea de forma accidental:
• No apagar el ordenador hasta que no se ha acabado de recopilar evidencias. Muchas evidencias podrían perderse por el simple hecho de apagar y además el atacante podría haber modificado los script/servicios de inicio/apagado para destruir evidencias.
• No confiar en los programas del sistema. El atacante podría haberlos modificado o utilizar un rootkit para hacerlos funcionar de forma distinta. Es mejor utilizar herramientas de captura de evidencias desde un entorno protegido.
Figura 3. Fases de la investigación de una escena del crimen digital
Fase de conservación del sistema
Fase de búsqueda de evidencias
Fase de reconstrucción
de sucesos
10
• No utilizar programas que modifican la hora de acceso de todos los archivos del sistema (por ejemplo: "tar" o "xcopy").
• No desconectar el sistema de la red. Esto podría disparar programas que detectan cuando se desconecta la red y eliminan todas las evidencias generadas.
Establece el siguiente orden de volatibilidad de las evidencias, y por tanto el orden en el que
deberían ser recogidas: 1. Registros, caché. 2. Tabla de enrutado, caché arp, tabla de procesos, estadísticas del kernel, memoria. 3. Ficheros temporales del sistema. Discos. 4. Registros y datos de monitorización remotos que sean relevantes para el sistema en
cuestión. 5. Configuración física, topología de la red.
Fija el protocolo a seguir a la hora de recoger evidencias:
• ¿Dónde está la evidencia? Listar qué sistemas están involucrados en el incidente y desde qué sistema se recogerán las evidencias.
• Establecer lo que es susceptible de ser relevante. En caso de duda es mejor pecar por exceso que por defecto.
• Para cada sistema obtener el orden de volatibilidad. Eliminar agentes externos que puedan provocar cambios.
• Siguiendo el orden de volatibilidad, recoger las evidencias con herramientas adecuadas.
• Preguntarse qué más puede ser una evidencia a medida que se realizan estos pasos. • Documentar cada paso. • No olvidar a las personas involucradas. Tomar nota de quién estaba en el lugar y qué
estaba haciendo, qué observaron y cual fue su reacción.
La fase de reconstrucción de sucesos tiene como objetivo examinar las evidencias recogidas y determinar en qué sucesos estuvieron envueltas para poder determinar qué pasó en la escena del crimen. Un ejemplo es un fichero sospechoso encontrado en la caché de un navegador web. Es necesario probar la hipótesis de que fue descargado a través del navegador (y no fue puesto allí por algún tipo de malware, por ejemplo), y ello se lleva a cabo en esta fase. Lo ideal sería poder disponer de dos equipos o máquinas virtuales:
• En un equipo se montará el sistema de ficheros en modo lectura para su análisis. • En el otro se simulará de la forma más precisa posible el equipo antes de ser atacado. De
esta forma se podrán reproducir los pasos del ataque y así comprender mejor determinadas evidencias que ayudarán en la toma de decisiones.
11
ADQUISICIÓN DE DATOS
Como se ha mencionado con anterioridad, se puede realizar un análisis vivo de un sistema utilizando su sistema operativo para obtener los datos necesarios o un análisis muerto (lo más común) para lo cual se realizan copias de los datos del sistema para analizarlos posteriormente en un entorno “seguro” (aquel que sabemos que no está modificado para falsear datos). Se puede concluir por tanto (y de manera acertada) que adquirir los datos de un sistema mediante la realización de copias o imágenes es un proceso vital en un análisis de un sistema de información y el punto de partida para cualquier investigación.
A la hora de adquirir los datos debemos tener en cuenta que los mismos están interpretados en diferentes niveles (discos, volúmenes, ficheros, etc.) y que puede que sea necesario realizar una copia de todo el disco o solo de unos cuantos ficheros, dependiendo del nivel al que creamos que se encuentran los datos que nos proporcionaran evidencias.
La adquisición de datos desde un dispositivo (supongamos que queremos obtener los datos a nivel de disco) tiene dos fases: la lectura de la información y la posterior escritura. Como se ha visto con anterioridad, una de las premisas del análisis digital debe ser modificar los datos originales lo menos posible. Para ello se pueden utilizar durante esta fase bloqueadores de escritura (hardware o software) que se interponen entre el controlador y el disco duro y evitan que se realicen las operaciones de escritura.
LECTURA DE DATOS DE ORIGEN
Diferentes herramientas de obtención de datos desde discos pueden proporcionar diferentes tamaños de disco. Esto es debido a que muchas de ellas utilizan la BIOS del ordenador para conocer el tamaño del disco, y ésta puede proporcionar información inexacta. Por tanto, es vital asegurarse de que utilizamos una herramienta que no hace uso de la BIOS para informarse del tamaño de los discos.
En un disco duro ATA pueden existir zonas “ocultas” denominadas HPA (Host protected area) y DCO (device configuration overlay), a las que no se tiene acceso. Para que dichas zonas ocultas sean accesibles es necesario modificar la configuración del disco, por tanto, si nos encontramos con una de estas zonas deberemos realizar dos imágenes: una antes de modificar la configuración del disco y otra después , por si en el cambio de configuración pudiéramos perder datos.
ESCRITURA DE DATOS
Antes de existir software especializado la copia de datos se realizaba disco a disco, lo que supone un problema en el momento que el disco origen tiene un mayor tamaño que el disco destino, o cuando se utiliza un sistema operativo que monte automáticamente cualquier disco (como Microsoft Windows) ya que se podría modificar el contenido del disco donde se ha almacenado la copia.
Actualmente lo mas común es realizar la copia de datos a un archivo en un disco duro o incluso en un CD-ROM, este archivo será denominado una imagen del sistema original. También se pueden crear imágenes de manera remota, a través de una red. Algunas herramientas incluso permiten encriptar el canal de comunicación para garantizar la confidencialidad.
Existen, principalmente, tres sistemas de creación de imágenes: crear imágenes raw (contiene únicamente los datos del dispositivo fuente) , crear imágenes embebidas (que, además de los datos del dispositivo fuente incluye datos sobre la adquisición, como fechas o valores hash) y, finalmente, crear imágenes en las que por una parte se almacena la imagen raw y por otra parte los metadatos sobre la adquisición.
Las imágenes también pueden ser comprimidas, pero hay que tener en cuenta que:
12
• No todas las herramientas de análisis soportan todos los formatos de compresión.
• La adquisición ocupará más tiempo.
• El análisis puede resultar mucho más lento, ya que la herramienta deberá descomprimir los datos cada vez que lea la imagen original.
Integridad a través de los valores hash
Se ha mencionado anteriormente que es muy importante calcular resúmenes hash de los datos en las investigaciones digitales para documentarlos. De esta manera nos aseguramos que siempre podemos verificar si los datos originales han sido modificados y por tanto, las pruebas anuladas. Los resúmenes hash, en definitiva, nos ayudan a asegurar la integridad de los datos, pero bajo ciertas condiciones.
Cuando se realizan resúmenes hash de imágenes hay que tener en cuenta que lo ideal es almacenar dichos valores hash de manera separada. Imaginemos que utilizamos una imagen de formato embebido: si alguien accede a ella y modifica los datos puede perfectamente recalcular los valores hash e intercambiarlos con los verdaderos. Si los valores hash se almacenan aparte este tipo de modificaciones siguen siendo posibles, pero más difíciles de realizar.
A su vez, los resúmenes hash ayudan a probar que durante el proceso de adquisición de datos no se ha realizado ninguna modificación sobre el dispositivo original.
13
HERRAMIENTAS ÚTILES EN EL ANÁLISIS DIGITAL DE SISTEMAS DE ARCHIVOS
Existen numerosas herramientas en el mercado de software que se utilizan a lo largo del desarrollo de una investigación digital. Muchas son de pago, sin embargo, las mayoritariamente utilizadas son código libre. Presentamos aquí las más utilizadas en el análisis digital de sistemas de archivos, sin embargo existen muchas más.
DD
En el proceso de adquisición de datos se puede utilizar cualquier herramienta que permita realizar una copia bit a bit de la información seleccionada. La más utilizada es dd, incluida en la mayor parte de sistemas UNIX y disponible también para Windows.
dd copia bloques de datos de un fichero a otro. No tiene en cuenta el tipo de datos que esta copiando y no entiende de sistemas de archivos, ni volúmenes, sólo archivos. El tamaño del bloque por defecto es de 512 bytes (se puede modificar utilizando la bandera bs=). Utilizando la bandera if= indicamos la fuente de los datos (si if= es omitido, dd toma como fuente la entrada por defecto del sistema, que normalmente es el teclado). Con la bandera of= se especifica el fichero de salida (al igual que con if=, si se omite of= se utiliza como salida la salida estándar, que normalmente es el monitor). Por ejemplo, para copiar el contenido de archivo1.dat (cuyo tamaño es 1024 bytes) a archivo2.dat utilizando bloques de 512 bytes ejecutaremos en un terminal la orden:
dd if=archivo1.dat of=archivo2.dat bs=512
que nos mostrará como salida:
2+0 records in
2+0 records out
lo que significa que dos bloques completos fueron leídos del fichero fuente (records in) y que dos bloques completos fueron escritos al fichero destino (records out). Si no se puede realizar la lectura de un bloque completo el resultado muestra un +1 en lugar de +0.
Recordemos que en UNIX un dispositivo es representado como un archivo también, por lo que podemos realizar una imagen de un disco utilizando dd.
Para calcular los resúmenes hash de las imágenes que generemos utilizando dd podemos utilizar las herramientas que incluyen los sistemas UNIX como, por ejemplo, md5sum , redirigiendo la salida de dd a la entrada de los mismos.
dd if=/dev/hda bs=2k | md5sum
lo que nos muestra en pantalla la suma MD5 del disco maestro del primer canal IDE. Existen ampliaciones de dd desarrolladas por el departamento de defensa de los EEUU que permiten realizar el resumen hash del contenido a medida que este es copiado, como ddfldd y dccidd.
Es posible realizar la copia a un servidor seguro localizado en alguna parte de la red o Internet utilizando herramientas como netcat o cryptcat. En ese caso en el servidor (10.0.0.1) se iniciará el proceso de escucha en un puerto elegido (por ejemplo, 7000) y se guardarán los datos a un fichero de nombre archivo.dd (en el ejemplo, se utiliza netcat):
14
nc –l –p 7000 > archivo.dd
en el sistema que queramos analizar (a través de un live-cd o el propio sistema operativo, dependiendo de si se trata de un análisis vivo o muerto) ejecutaremos la orden:
dd if=/dev/hda bs=2k | nc –w 3 10.0.0.1 7000
-w 3 implica que la conexión se cerrará tras 3 segundos de inactividad.
SLEUTH KIT
Durante la fase de reconstrucción de sucesos se realiza un análisis minucioso de las evidencias recogidas en la fase anterior con el objeto de obtener conclusiones que nos permitan probar o rechazar hipótesis sobre el crimen o incidente acontecido.
Sleuth kit es un conjunto de herramientas para ayudar en este análisis, desarrollado a partir de su predecesor “The Coroner’s Toolkit” y que puede utilizarse en cualquier sistema Unix (como Linux, OS X, FreeBSD, OpenBSD y Solaris) y en Windows (sólo si no se pretende utilizar Autopsy). Está compuesto por las siguientes aplicaciones:
• File System Layer tools
o fsstat: muestra información sobre los sistemas de archivos, como su tamaño, distribución y etiquetas.
• File Name Layer Tools
o ffind: localiza nombres de archivos que apunten a una determinada estructura de metadatos.
o fls: lista los archivos en un directorio (incluso aunque hayan sido borrados).
• Meta Data Layer Tools:
Estas herramientas procesan las estructuras de metadatos, que almacenan los detalles de un archivo. Por ejemplo, las entradas de directorio de los sistemas FAT o los i-nodos de los sistemas ext2 o ext3.
o icat: obtiene los datos de un fichero basándose en la dirección a la que apuntan sus metadatos (no a través del nombre del fichero).
o ifind: localiza la estructura de metadatos a la que apunta un determinado nombre de fichero o la estructura de metadatos que apunta a una unidad de datos determinada.
o ils: muestra las estructuras de metadatos y sus contenidos.
o istat: muestra las estadisticas y detalles de una estructura de metadatos dada de manera “amigable” para el usuario.
• Data Unit Layer Tools
Estas herramientas son utilizadas para procesar las unidades de datos donde se almacena el contenido de los ficheros.
o dcat: extrae el contenido de una unidad de datos determinada.
15
o dls: muestra los detalles de las unidades de datos y puede mostrar el espacio libre del sistema de archivos.
o dstat: muestra las estadisticas referentes a una unidad de datos dada.
• File System Journal Tools
Algunos sistemas de archivos (como ext3 o NTFS) almacenan una bitácora con los cambios recientes en los metadatos de los archivos. Estas herramientas permiten analizar dichas bitácoras.
o jcat: muestra el contenido de un bloque de la bitácora determinado.
o jls: muestra las entradas en la bitácora del sistema de archivos.
• Media Management Tools
o mmls: muestra la organización de un disco , incluido el espacio no utilizado. Se identifica para cada partición su tipo y longitud, lo cual permite extraer el contenido de las mismas mediante dd.
• Image File Tools
o img_stat: muestra los detalles sobre el formato en el que se ha almacenado una imagen.
o img_cat: muestra el contenido de un a imagen (útil cuando tenemos imágenes comprimidas o distribuidas en varios ficheros).
• Disk Tools
Estas herramientas son utilizadas para detectar y eliminar áreas “ocultas” en los discos ATA denominadas HPA (host protected area).
o disk_sreset: elimina temporalmente una zona HPA si existe. Cuando el disco sea reiniciado, la zona HPA volverá a existir.
o disk_stat: muestra si existe una zona HPA.
• Other Tools
o hfind: permite buscar un resumen hash en las bases de datos de resúmenes hash creadas con el objetivo de identificar ficheros “buenos” y “malos” según el valor de sus funciones hash.
o macticme: utiliza las herramientas fls e ils para crear una línea del tiempo de la actividad con los ficheros que se ha dado en determinada imagen.
o sorter: muestra los ficheros ordenados según su tipo, comprueba su extensión y realiza una búsqueda de sus resúmenes hash en las bases de datos mencionadas con anterioridad.
o sigfind: busca un valor binario determinado, de manera análoga a la búsqueda que realiza la herramienta grep con cadenas ASCII. Es útil para recuperar estructuras de datos “perdidas”.
16
La alternativa comercial a Sleuth kit es EnCase, que posee algunas características mas avanzadas, como por ejemplo, la detección de ficheros encriptados. Una comparación entre diversos kits de herramientas se presenta en el documento [ 2 ] .
AUTOPSY
Utilizar directamente los comandos de Sleuth kit puede resultar un poco difícil. Para simplificar el proceso de análisis se puede utilizar la aplicación web Autopsy, que nos reporta las siguientes ventajas:
• Permite utilizar de forma transparente los comandos de Sleuth kit.
• Organiza el manejo de la investigación digital en los casos en los que ésta contiene uno o más equipos.
• Mantiene logs sobre las acciones realizadas por cada uno de los investigadores del sistema.
• Permite navegar por el sistema de archivos que se encuentra en las imágenes (incluso en los archivos borrados).
• Permite realizar búsquedas directamente sobre la imagen, organizar archivos, crear y visualizar una línea de tiempo, etc.
MAC-ROBBER
Mac-robber es una herramienta que recoge datos de los archivos asignados en un sistema de ficheros montado. Esto es útil durante la respuesta a incidentes, en el análisis de un sistema vivo o al analizar un sistema en un laboratorio. Los datos recogidos pueden ser utilizados por la herramienta mactime de Sleuth kit para hacer una línea de tiempo sobre la actividad de los archivos.
Mac-robber requiere que el sistema de archivos esté montado por un sistema operativo, a diferencia de las herramientas de Sleuth kit para el sistema de archivos. Por lo tanto, mac-robber no recogerá datos de los archivos borrados o archivos que han sido ocultados por rootkits. Mac-robber también modifica los tiempos de acceso a directorios que se han montado con permisos de escritura.
Aunque no lo parezca, mac-robber es útil en una investigación, por ejemplo, cuando se trata de analizar un sistema de archivos que no es compatible con Sleuth kit u otras herramientas de análisis del sistema de archivos. El programa puede ser compilado en cualquier sistema UNIX.
DISTRIBUCIONES LIVE-CD LINUX
Existen numerosas distribuciones Linux de tipo live-cd (no realizan instalación en el disco duro) que permiten realizar un análisis de un sistema de ficheros sin escribir en él (estas distribuciones suelen integrar las herramientas antes mencionadas.). Algunas muy conocidas son Helix o FIRE.
17
CASOS PRÁCTICOS
SCAN OF THE MONTH #24. HONEYNET PROJECT
http://www.honeynet.org/scans/scan24
Este caso de prueba se utiliza para familiarizarnos con el uso de Autopsy y las herramientas de Sleuth kit.
En la página web del proyecto Honeynet se publican retos (normalmente basados en hechos ficticios) que los participantes deben realizar, respondiendo a diversas preguntas. Cuando el reto ha finalizado, se presentan las soluciones que han dado algunos de los miembros del proyecto.
En este caso la resolución que se presenta aquí fue dada por Brian Carrier. Se ha elegido su respuesta porque utiliza herramientas libres, como Autopsy – Sleuth kit, al contrario que la otra solución, que utiliza herramientas propietarias y la cual no podríamos seguir paso a paso.
La policía ha arrestado a un hombre llamado Job Jacobs tras ofrecer éste marihuana a un policía de incógnito a la salida de un instituto, el Smith Hill High School. El individuo ha sido visto rondando las salidas de diversos institutos, por lo que se sospecha que provee de marihuana a más alumnos de instituto aparte de los de Smith Hill. El individuo niega este hecho y rehúsa decir quién es su proveedor. En un registro de su casa se ha encontrado un disquete cuyo contenido ha sido copiado a una imagen, la cual se nos entrega.
La policía requiere nuestros servicios para obtener toda la información posible del disquete relacionada con el caso.
Para ello deberemos contestar las siguientes preguntas:
1. ¿Quién es el proveedor de Jacobs y cual es su dirección?
2. ¿Qué datos importantes se encuentran en el fichero coverpage.jpg y por qué son importantes?
3. ¿Cuales son los nombres de los institutos que frecuenta Jacobs?
4. ¿Qué acciones realizó el sospechoso con cada fichero para tratar de ocultar su contenido?
5. ¿Qué proceso has seguido (tu, el investigador) para contestar a estas preguntas?
Bonus Question:
6. ¿Qué programa de Microsoft fue utilizado para crear el fichero coverpage.jpg?
18
INVESTIGACION
Es necesario descargar la imagen desde la página web de Honeynet y comprobar su suma MD5. Iniciamos Autopsy y creamos un nuevo caso, con un único investigador. Una vez creada la investigación añadiremos un nuevo host, que es como autopsy denomina a las fuentes de evidencias digitales. Este host se llamará floppy y representa a nuestro disquete. Como zona horaria introduciremos EST5EDT (que es una zona genérica, deberíamos poner aquella en la que funcionaba el sistema). Ahora elegimos ‘add image file’ e introducimos el path al fichero de la imagen. Seleccionamos la opción de copy para que la imagen sea copiada a /var/lib/autopsy. Seleccionamos que se compruebe el valor hash, obteniendo la siguiente salida:
Por lo que verificamos que la imagen es integra y podemos, por tanto, trabajar con ella.
Tras seleccionar nuestra imagen en host manager, pulsamos analyze y utilizamos la opción ‘File Browsing’ de Autopsy para examinar el contenido de la imagen del disquete. Nos indica que existen tres ficheros en el directorio raíz del mismo:
Figura 4. Autopsy: añadir imagen al host
Figura 5. Autopsy: análisis de ficheros
19
Procedemos a analizarlos en orden alfabético.
coverpage.jpgc
Si seleccionamos el fichero coverpage.jpgc, Autopsy nos muestra como tipo de fichero ‘PC formatted floppy with no filesystem’. Para obtener más información sobre este extraño fichero seleccionamos su entrada de directorio correspondiente (8). Autopsy nos muestra que el fichero utiliza un sólo sector, el número 451. Sin embargo, el fichero ocupa 15585 bytes. Si cada sector está formado por 512 bytes, el número de sectores que debería ocupar es ((15585 + 511) / 512) = 31. Existe por tanto, una incongruencia entre el tamaño del archivo y los sectores que, según sus metadatos, ocupa. En este estadio de la investigación todavía no podemos concluir nada útil, sólo podemos saber que este fichero ha sido manipulado para que no sea de fácil acceso (ya que además de lo anterior se ha modificado su extensión natural).
jimmy jungle.doc
Autopsy muestra que el fichero jimmy jungle.doc fue eliminado, que su tipo es ‘Microsoft Office Document’, que el fichero comienza en el sector 33 y tiene un tamaño de 20480 bytes. La herramienta nos permite recuperar el contenido del fichero automáticamente. Sin embargo, este proceso puede ser realizado “a mano”:
En los sistemas FAT (como es el caso de un disquete) cuando un fichero es borrado el primer sector que ocupa sigue siendo conocido, no así el resto, que son sobrescritos con un 0 en la tabla de asignación FAT. Por tanto, lo primero es conocer cuantos sectores ocuparía el fichero: el tamaño del fichero es de 20480 bytes y cada sector son 512 bytes, por tanto, el fichero ocuparía ((20480 + 511) / 512) = 40 sectores. Si el fichero no se encuentra fragmentado, ocupará los sectores 33 al 72 (siempre que estos no hayan sido reasignados desde la eliminación del fichero).
Utilizando la opción ‘Image details’ de Autopsy accedemos a la tabla de asignación FAT, que nos indica que los sectores 73 al 103 y 104 al 108 están ocupados. También observamos que el primer sector accesible es el 33, lo que confirma nuestra teoría de que el archivo se encuentra en los sectores 33 al 72.
Para extraer los datos de este fichero fantasma elegimos la opción ‘Data Browsing’. Como sector de inicio elegimos 33 y como número de sectores 40. (Para que el contenido sea “amigable” utilizamos la opción strings-display).
Si utilizamos la opción export podemos abrir el documento doc resultante en un procesador de textos. El contenido de dicho fichero es:
Jimmy Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111
Jimmy:
Dude, your pot must be the best – it made the cover of High Times Magazine! Thanks for sending me the Cover Page. What do you put in your soil when you plant the marijuana seeds? At least I know your growing it and not some guy in Columbia.
These kids, they tell me marijuana isn’t addictive, but they don’t stop buying from me. Man, I’m sure glad you told me about targeting the high school students. You
20
must have some experience. It’s like a guaranteed paycheck. Their parents give them money for lunch and they spend it on my stuff. I’m an entrepreneur. Am I only one you sell to? Maybe I can become distributor of the year!
I emailed you the schedule that I am using. I think it helps me cover myself and not be predictive. Tell me what you think. To open it, use the same password that you sent me before with that file. Talk to you later.
Thanks,
Joe
scheduled visits.exe
Si seleccionamos el fichero scheduled visits.exe, Autopsy nos muestra como tipo de fichero ‘Zip archive data, at least v2.0 to extract’. Como la extensión del fichero no coincide con su tipo (debería ser .zip y no .exe) utilizamos la opción export para obtener el fichero. Si tratamos de descomprimir el mismo a través del comando unzip obtenemos un error, no se encuentra el final del fichero. Así que existen dos posibilidades: o el fichero está corrupto o existe una parte que no hemos obtenido. Accediendo a los metadatos del archivo correspondiente (11) observamos que el tamaño del fichero son 1000 bytes y que ocupa los sectores 104 y 105.
Si volvemos a utilizar la opción ‘Image Details’, accedemos a la tabla de asignación FAT, en la cual figura que los sectores 104 a 108 están ocupados por un solo archivo, como se observa en la siguiente imagen:
Por tanto, es posible que alguien haya modificado el tamaño del archivo para que no aparezca que el archivo también ocupa los sectores 106 y 107. Para comprobar esta teoría utilizamos la opción ‘Data Unit’ de Autopsy para obtener el contenido de los sectores 104 a 108. (Utilizamos la opción string para que el resultado sea ‘amigable’). Podemos observar en el contenido que el fichero Scheduled visits.xls es nombrado dos veces, así que éste podría ser el
Figura 6. Autopsy: análisis de la imagen
21
nombre del fichero contenido en el archivo zip. Descargamos, usando la función export contents, dicho archivo zip (sectores 104 a 108) al disco duro e intentamos descomprimirlo. Esta vez no da ningún error, pero nos solicita una contraseña que no tenemos.
coverpage.jpgc (de nuevo)
Resumiendo, la tabla de asignación FAT nos indica que:
• los sectores 33 a 72 forman el archivo .doc ya visto.
• los sectores 104 a 108 forman el archivo zip ya visto, del cual necesitamos averiguar su contraseña.
• los sectores 73 a 103 están ocupados por un archivo que desconocemos.
Como se ha mencionado con anterioridad, el archivo coverpage.jpg debería, según su tamaño, ocupar 31 sectores… ¿podrían ser los que van del 73 al 103? Si utilizamos la opción ‘Data Unit’ para visualizar el contenido de los sectores 73 a 103 autopsy nos indica que el archivo existente es un fichero de tipo JPEG. Si seleccionamos la opción ASCII strings-display para visualizar el contenido del archivo observamos la cadena de texto ‘pw=goodtimes’, que podría ser perfectamente la contraseña del archivo zip que necesitábamos.
Figura 7. Autopsy: análisis del contenido de un conjunto de sectores.
22
Utilizamos la opción export para obtener el fichero JPEG y si lo abrimos con un visualizador vemos que se menciona al tal Jimmy Jungle en la portada de una revista sobre marihuana.
scheduled visits.exe (de nuevo)
Utilizamos la contraseña goodtimes para descomprimir el fichero zip, obteniendo el fichero scheduled visits.xls (hoja de calculo Excel). Si lo abrimos, obtenemos una relación de institutos y días de visita.
Bonus question
(La respuesta a esta pregunta es dada por Daniel J. Kalil, no por Carrier).
El programa con el que se creó el fichero es Microsoft Paint. Lo sabemos porque si comparamos el contenido del área de datos del fichero coverpage.jpg con la de un fichero de prueba generado en Paint, el comienzo del fichero es el mismo. Otros programas producen otros comienzos de fichero diferentes.
Figura 8. Contenido del fichero de prueba realizado con Microsoft Paint.
Figura 9. Contenido del fichero coverpage.jpg.
23
SCAN OF THE MONTH #26. HONEYNET PROJECT
http://www.honeynet.org/scans/scan26
En este caso la respuesta aquí presentada fue dada por Brian Carrier.
Tras averiguar el nombre y dirección del proveedor de Job Jacobs, Jimmy Jungle, la policía realiza un registro en su domicilio. Se ha encontrado un disquete con la etiqueta dfrws.org impresa. La policía ha realizado una imagen del disquete que está a nuestra disposición.
La policía requiere nuestros servicios para obtener toda la información posible del disquete relacionada con el caso.
Para ello deberemos contestar las siguientes preguntas:
1. ¿Quién es (probablemente) el proveedor de drogas de Jimmy Jungle?
2. ¿Cuál es la dirección de correo de dicho proveedor?
3. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga?
4. ¿Dónde se esconde actualmente Jimmy Jungle?
5. ¿Qué tipo de coche posee?
6. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el área de datos.
24
INVESTIGACIÓN
Seguimos los pasos del caso anterior para añadir un caso, un host y la imagen del disquete proporcionada (comprobando su integridad).
Como no sabemos exactamente qué buscar, procedemos a analizar los archivos incluidos en el disquete utilizando la opción ‘File Analisys’. Autopsy nos indica que no hay ficheros en el disquete. Esto puede ser debido a que o bien el disco esta en blanco o la información está oculta. Para intentar determinar la causa utlizamos la opción ‘Image Details’:
Lo que nos indica que:
• Los sectores 1 al 9 eran utilizados por la tabla FAT primaria.
• Los sectores 10 al 18 eran utilizados por la tabla FAT secundaria.
• Los sectores 19 al 32 eran utilizados por el directorio raíz.
• Los sectores 33 al 2879 formaban el área de datos.
Además, según la tabla FAT, no existe ningún archivo en el sistema (FAT contents).
Procedemos a analizar los sectores correspondientes a la tabla FAT primaria, secundaria, al directorio raíz y al área de datos. Para ello utilizaremos la opción ‘Data Unit’ e iremos accediendo al contenido de los sectores que las conforman.
Si mostramos el contenido de los sectores 1 al 9 en la vista normal no parece tener ningún contenido. Sin embargo, si utilizamos la vista hexadecimal (Hex-display) observamos que los 24 primeros bits contienen información. Lo mismo sucede con el contenido de los sectores 10 al 18.
Figura 10. Autopsy: Detalles de la imagen
25
El análisis de los sectores 19 al 32 no muestra ningún contenido.
Analizamos ahora los sectores 33 al 2879. Autopsy nos indica que el tipo de archivo residente en dichos sectores es un archivo JPEG.
A través del menú keyword search accedemos a la opción extract unallocated, que nos permite obtener el contenido del espacio de disco que según la tabla FAT no está asignado. Lo podemos extraer también con la opción extract strings, que devuelve el resultado en caracteres ASCII o Unicode (o ambos). Analizando la salida observamos que las dos últimas líneas del fichero contienen datos interesantes:
Por una parte tenemos que con un desplazamiento de 1210704 bytes aparece la cadena de texto ‘pw=help’. Dicha dirección se corresponde con el sector nº (1210704 / 512 = 2364). Si utilizamos la opción ‘Data unit’ de autopsy (con la opción adress type=unallocated para que autopsy realice la traducción del sector del espacio no asignado al espacio de direccionamiento de la imagen completa, que en este caso es el sector 2397) para acceder a dicho sector comprobamos que aparte de la cadena de texto mencionada, no hay nada más.
Realizamos el mismo procedimiento para la cadena de texto ‘John Smith's Address: 1212 Main Street, Jones, FL 00001’ con un desplazamiento de 1385824 bytes (1385824 / 512 = 2706). Al igual que en el caso anterior, no hay nada salvo la cadena de texto ya encontrada.
Análisis del espacio no asignado
Utilizamos la herramienta foremost (que busca valores de cabeceras y finales de fichero conocidos para reconocer tipos de ficheros utilizados) con el fichero generado por Autopsy al extraer el contenido del espacio no asignado. Foremost proporciona el siguiente resultado:
Figura 11. Autopsy: contenido del espacio no asignado.
26
--------------------------------------------------- ---------------
File: scan26-0-0-fat12.unalloc
Start: Thu Jan 3 10:54:08 2008
Length: 1 MB (1457664 bytes)
Num Name (bs=512) Size File Offse t Comment
0: 0.jpg 31 KB 0
1: 64.bmp 1 MB 3276 8 (720 x 540)
Finish: Thu Jan 3 10:54:08 2008
2 FILES EXTRACTED
jpg:= 1
bmp:= 1
--------------------------------------------------- ---------------
Es decir, se han encontrado:
• un fichero jpg de tamaño 31 KB en el primer sector del espacio no asignado.
• un fichero bmp de tamaño 1 MB a partir del sector 32768 del espacio no asignado.
El contenido de ambos ficheros es similar, si bien el segundo muestra información que el primero no mostraba (un escondite).
Conclusiones
Los archivos .jpg y .bmp encontrados muestran un posible escondite de Jimmy Jungle y un muelle. Sin embargo, todavía no hemos utilizado la contraseña hallada en el espacio no asignado, por lo que revisamos la imagen JPEG en busca de signos de estaganografia utilizando la herramienta stegdetect.
stegdetect -n output/foremost/00000000.jpg
output/foremost/00000000.jpg : invisible[7771](***)
La cadena de texto invisible significa que la herramienta ‘invisible tools’ fue utilizada para esconder datos en la fotografía. Si utilizamos la herramienta para intentar abrir la fotografía, se nos pide una contraseña. ‘help’ no es valida, como tampoco lo es ‘goodtimes’ (del caso anterior).
27
Para proseguir la investigación accedemos a la pagina web cuya URL figuraba en el disquete, dfrws.org. La página web parece normal a simple vista, pero analizamos el código HTML. Como comentarios en medio del código se encuentran las cadenas de texto ‘PW=right’ y ‘PW=lefty’. Utilizamos ambas contraseñas para abrir el fichero en Invisible secrets, la segunda nos muestra el fichero John.doc, oculto en la fotografía. A su vez este fichero está protegido por contraseña, siendo esta ‘help’. El contenido del mismo se muestra a continuación:
Dear John Smith:
My biggest dealer (Joe Jacobs) got busted. The day of our scheduled meeting, he never showed up. I called a couple of his friends and they told me he was brought in by the police for questioning. I'm not sure what to do. Please understand that I cannot accept another shipment from you without his business. I was forced to turn away the delivery boat that arrived at Danny's because I didn't have the money to pay the driver. I will pay you back for the driver's time and gas. In the future, we may have to find another delivery point because Danny is starting to get nervous.
Without Joe, I can't pay any of my bills. I have 10 other dealers who combined do not total Joe's sales volume.
I need some assistance. I would like to get away until things quiet down up here. I need to talk to you about reorganizing. Do you still have the condo in Aruba? Would you be willing to meet me down there? If so, when? Also, please take a look at the map to see where I am currently hiding out.
Thanks for your understanding and sorry for any inconvenience.
Sincerely,
Jimmy Jungle
A su vez, abrimos el fichero bmp en Invisible Secrets utilizando la password right lo que produce el fichero Jimmy.wav que estaba oculto en el mapa de bits. El archivo de audio contiene instrucciones para mantener una reunión con Jimmy Jungle en el muelle, así como diversos detalles del vehiculo del mismo.
1. ¿Quién es (probablemente) el proveedor de drogas de Jimmy Jungle? John Smith
2. ¿Cuál es la dirección de correo de dicho supuesto proveedor? 1212 Main Street, Jones, FL 00001
3. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga? Según los ficheros de imagen encontrados, Jimmy recibía la droga en el muelle 12, en un lugar llamado Danny’s.
4. ¿Dónde se esconde actualmente Jimmy Jungle? Según los ficheros de imagen, en el número 22 de Jones Avenue.
5. ¿Qué tipo de coche posee? Un mustang azul del 78.
28
6. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el área de datos.
El disquete fue formateado de manera ‘rápida’ con una herramienta de Microsoft, es decir, borrando solo el contenido de la tabla FAT y el directorio raíz. Cuando un disco es formateado, se borra también su área de datos.
29
CONCLUSIONES
A través de dos prácticas muy simples hemos descubierto los aspectos básicos del análisis de ficheros, como descubrir ficheros ocultos o recuperar ficheros eliminados. Es notable que el uso de herramientas de análisis de sistemas de ficheros como Autopsy requiere un conocimiento al menos básico de los principales sistemas de ficheros (en los ejemplos, FAT).
El campo del análisis digital es muy amplio, en estas prácticas sólo hemos cubierto una de sus partes, si bien es la básica, el análisis de los sistemas de ficheros. Por ejemplo, las herramientas de análisis forense pueden ser utilizadas para descubrir si se han violado restricciones de protección de datos (la LOPD en el caso de España).
Se ha mostrado aquí la aplicación del análisis digital ‘post-mortem’, es decir, para sacar conclusiones sobre hechos ya acontecidos. Sin embargo, también se pueden aplicar estos procedimientos de análisis digital para responder ante incidentes identificando de dónde procede el ataque, por ejemplo.
La mayor parte de cuerpos de seguridad del planeta disponen ya de unidades especializadas en delitos digitales: en el caso de España, el grupo de delitos telemáticos de la Guardia Civil, la Brigada de Investigación Tecnológica de la Policía Nacional o, en el País Vasco, la Sección Central de Delitos en Tecnologías de la Información, (SCDTI), perteneciente a la Ertzaintza. El análisis digital de sistemas de ficheros es muy utilizado hoy en día, sobre todo, en la lucha contra el contrabando de pornografía infantil, pero también para obtener evidencias (pruebas) de numerosos delitos, como por ejemplo, el acceso inautorizado a algún sistema o los ataques deliberados (tipo DDoS). Las evidencias recabadas por este tipo de grupos han sido presentadas en procesos judiciales, lo cual nos da una idea de la importancia de seguir una metodología estricta en este ámbito.
No olvidemos que se pueden realizar también investigaciones en ámbitos corporativos, como por ejemplo, tras sufrir una intrusión para determinar hasta qué punto se ha visto comprometido el mismo.
30
BIBLIOGRAFÍA
1. Brian Carrier, Eugene Spafford. “Getting phisycal with the digital investigation process”. International Journal of Digital Evidence. Economic Crime Institute (ECI) , Utica College. Fall 2003, volume 2, issue 2.
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7A-FB6C-325D-BF515A44FDEE7459.pdf [consulta en 3 de enero de 2008]
2. Dan Manson, Anna Carlin, Steve Ramos, Alain Gyger, Matthew Kaufman, Jeremy Treichelt. “Is the Open Way a Better Way? Digital Forensics using Open Source Tools” 40th Hawaii International Conference on System Sciences, IEEE computer society. 2007.
http://csdl.computer.org/comp/proceedings/hicss/2007/2755/00/27550266b.pdf [consulta en 3 de enero de 2008]
3. Carrier, Brian. File System Forensic Analysis. Addison-Wesley, 2005.