VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
1
XIX Congreso Nacional de Estudiantes de Ingeniería
de Sistemas - XIX CONEISC UNCP 2011
Virtualización de Evidencia en una
Investigación Forense Informática18 Agosto 2011 , Huancayo Perú
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
[email protected]://www.presman.com.ar
Linkedin: http://ar.linkedin.com/in/gpresmanTwitter: @gpresman
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
2
AGENDA
Introducción a la Informática Forense
Evolución de las VM y su implicancia en la
investigación digital
Virtualización de Evidencia Digital
Análisis forense de las VM
Casos reales
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
3
INFORMATICA FORENSE
=
INFORMATICA + BASE LEGAL
• AMBITO JUDICIAL
• AMBITO CORPORATIVO
CONCEPTOS PRELIMINARES
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
4
“ Es la ciencia de adquirir ,
preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático”
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
DEFINICION DE INFORMATICA FORENSE
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
5
“ Es la ciencia de adquirir ,
preservar , obtener y presentardatos que han sido procesados electronicamente yalmacenados o transmitidos a través de un medio informático”
EVIDENCIA INFORMATICA
DEFINICION DE INFORMATICA FORENSE
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
6
Que es Evidencia Digital ?EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL =
EVIDENCIA ELECTRONICA
... “ Datos que han sido procesados
electronicamente y almacenados o
transmitidos a través de un medio
informático”...(FBI)
MEMORIA DE ALMACENAMIENTO
MEMORIA RAM
TRAFICO DE RED
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
7
EL MODELO FORENSE DE
LOS DATOS
Datos Obtenidos con
herramientas comunes
(p/ej Windows Explorer)
Datos adicionales obtenidos
con herramientas forenses(Borrados, Renombrados, Ocultos,
Dificiles de obtener…)
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
8
ETAPAS DEL ANÁLISIS FORENSE INFORMÁTICO
• Adquisición : Recolección efectiva del
objeto
• Preservación : Conservación del objeto
• Obtención : Análisis y búsqueda
• Presentación : Informe de resultados
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
9
Tenemos entonces dos grandes grupos de actuación con requerimientos específicos de
tecnología:
Resguardo (Recolección Efectiva) : Discos , rígidos memorias , arrays , telefonos celulares y dispositivos móviles
Procesamienteo (Obtención y Presentación ):Herramientas para la búsqueda de elementos específicos sobre el grup anterior
CAMPOS DE ACTUACION
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
10
PUNTOS DE APOYO DEL ANALISIS FORENSE
METADATOS
ARTEFACTOS
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
11
ALGUNAS FUENTES DE METADATOS Y
ARTEFACTOS FORENSE
• El proceso de almacenamiento y borrado
• El acceso a Internet
• La ejecucion de impresiones
• El sistema operativo de la computadora
• Las listas de búsquedas
• Los contáctos de un IM
• Las IP de descarga de P2P
• …
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
12
QUE COSAS PODEMOS OBTENER DEL
ANALISIS FORENSE DE LA EVIDENCIA ?Con los datos visibles …
• Documentos
• Correos electronicos
• Fotos digitales
• Listados y logs
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
13
Con los Metadatos y Artefactos…
• Usuarios del sistema y sus claves
• Actividad en el sistema operativo
• Lineas de tiempo
• Actividad en Internet
• Ubicacion geografica de una computadora
• Webmail
• Impresiones realizadas
• Medios removibles conectados
• Fotos digitales y su relacion con camaras
QUE COSAS PODEMOS OBTENER DEL ANALISIS
FORENSE DE LA EVIDENCIA ?
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
14
QUE ES UNA MAQUINA VIRTUAL ?
Es una aplicación de software que emula
a una computadora y puede ejecutar
programas como si fuese una
computadora real
Conceptualmente , al ser una aplicación
de software puede emular cualquier
sistema operativo
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
15
COMPONENTES DE UNA MAQUINA VIRTUAL
• HOST (Anfitrión) : Plataforma de
virtualización que contiene las
maquinas virtuales (VM)
• GUEST (Invitado) : VM corriendo
en el host
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
16
Tecnologías Actuales de Virtualización
• Server
• Desktop
• Storage
• Aplicaciones
Principales actores
• VMWARE
• Citrix
• Microsoft
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
17
Evolución de las VM
Las VM han pasado de simples recursos
informáticos a poderosos sistemas de producción
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
18
ANALISIS FORENSE DE UN MEDIO MAGNETICO
Frecuentemente el investigador contara con un
archivo de evidencia* de la CPU bajo análisis.
*archivo de evidencia (NIST :National Institute of standards and technology
http://www.cftt.nist.gov/)
Copia bit a bit del contenido del medio magnético , que incluye:
Metadatos del sistema operativoEspacio utilizado y no utilizado y Slack space
Mecanismo de Autenticación y Validación
ARCHIVO DE EVIDENCIA
HD ORIGINAL
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
19
FORMATOS DE ARCHIVO DE EVIDENCIA• Formato Abierto : dd
Formato universal de Linux/Unix
• Formatos Propietarios : Encase (EW) , SMART, SafeBACK…
Formatos aceptados en numerosas cortes del mundo y validados por instituciones independientes
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
20
VIRTUALIZACION DE EVIDENCIA DIGITAL
Acceder a la evidencia de manera directa para…
Utilizar una herramienta sobre la unidad(Casos de Hacking y pornografía infantil)
Ejecutar una aplicación propietaria
Visualizar y presentar la evidencia de modomas “real” (operadores judiciales)
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
21
HERRAMIENTAS DE VIRTUALIZACION
VMWARE
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
22
ALTERNATIVAS DE PROCESAMIENTO :
Restaurar la evidencia original en un medio alternativo
Utilizar procesamiento intermedio
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
23
HERRAMIENTAS DE VIRTUALIZACION DE EVIDENCIA
LiveView : Virtualiza controladores para evitar BSOD ( GNU GPL)
FTK Imager
Mount Image PRO
VFC Virtual Forensic Computer Toolkit
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
24
VIRTUALIZACION DE HD CON FTK IMAGER
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
25
HERRAMIENTAS DE VIRTUALIZACION
VMWARE
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
26
HERRAMIENTAS DE VIRTUALIZACION
LIVE View
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
27
INVESTIGANDO MAQUINAS VIRTUALES
La difusión de VMs en entorno de producción y la utilización de las mismas para actividades informáticas que “no dejen rastro” es cada vez mas frecuente
METODOLOGIA :
Identificación del uso de VMs
Extracción del archivo de evidencia
Montaje virtual de la unidad o utilización de
Toolkit Forense con soporte de discos virtuales
Analisis de artefactos tradicionales
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
28
ESTRUCTURA DE MAQUINAS VIRTUALES
Virtual Box A
APLICACIONES VMVirtual Box
•VMware (Win/*nix –Fussion)
•Virtual PC / Virtual Server
•Virtual Box
•Parallels
•KVM
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
29
COMPONENTES DE UNA MAQUINA VIRTUAL
Veamos como ejemplo los componentes deuna maquina virtual VmWare
NombreMV.Vmx : Archivo de configuración
de la VM
NombreMV.Vmdk : Disco virtual de la VM
NombreMV.Vmdk : Logs de la VM
Vmware.log : Log de actividades
Nvram : BIOS emulado de la VM
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
30
COMPONENTES DE UNA MAQUINA VIRTUAL
NombreMV.Vswp : Archivo de intercambio de la VM
NombreMV.-s00x.Vmdk : Snapshots de la VM
NombreMV-***.Vmss : Contenido de RAM de VM suspendidas
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
31
PASOS PARA EL ANALISIS DE UNA MAQUINA VIRTUAL
1. Extracción
2. Acceso al disco virtual
The SleuthKit
Vmware Disk Utility
Encase -FTK-WinHex
3. Utilización del Toolkit , según objeto de la investigación
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
32
MONTANDO EL DISCO VIRTUAL DE LA MAQUINA VIRTUAL
Precaución al utilizar software no forense !
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
33
CONCLUSIONES
Las VM son valiosas auxiliares del
investigador forense informático
Las VM se utilizan para ocultar
actividades
Al montar V M utilizar herramientas que
independicen la capa de hardware
Al investigar VM utilice software forense
VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION
FORENSE INFORMATICA
34
Muchas Gracias por su participación
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
[email protected]://www.presman.com.ar
Linkedin: http://ar.linkedin.com/in/gpresmanTwitter: @gpresman