VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

1

XIX Congreso Nacional de Estudiantes de Ingeniería

de Sistemas - XIX CONEISC UNCP 2011

Virtualización de Evidencia en una

Investigación Forense Informática18 Agosto 2011 , Huancayo Perú

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

gustavo@presman.com.arhttp://www.presman.com.ar

Linkedin: http://ar.linkedin.com/in/gpresmanTwitter: @gpresman

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

2

AGENDA

Introducción a la Informática Forense

Evolución de las VM y su implicancia en la

investigación digital

Virtualización de Evidencia Digital

Análisis forense de las VM

Casos reales

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

3

INFORMATICA FORENSE

=

INFORMATICA + BASE LEGAL

• AMBITO JUDICIAL

• AMBITO CORPORATIVO

CONCEPTOS PRELIMINARES

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

4

“ Es la ciencia de adquirir ,

preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático”

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

DEFINICION DE INFORMATICA FORENSE

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

5

“ Es la ciencia de adquirir ,

preservar , obtener y presentardatos que han sido procesados electronicamente yalmacenados o transmitidos a través de un medio informático”

EVIDENCIA INFORMATICA

DEFINICION DE INFORMATICA FORENSE

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

6

Que es Evidencia Digital ?EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL =

EVIDENCIA ELECTRONICA

... “ Datos que han sido procesados

electronicamente y almacenados o

transmitidos a través de un medio

informático”...(FBI)

MEMORIA DE ALMACENAMIENTO

MEMORIA RAM

TRAFICO DE RED

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

7

EL MODELO FORENSE DE

LOS DATOS

Datos Obtenidos con

herramientas comunes

(p/ej Windows Explorer)

Datos adicionales obtenidos

con herramientas forenses(Borrados, Renombrados, Ocultos,

Dificiles de obtener…)

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

8

ETAPAS DEL ANÁLISIS FORENSE INFORMÁTICO

• Adquisición : Recolección efectiva del

objeto

• Preservación : Conservación del objeto

• Obtención : Análisis y búsqueda

• Presentación : Informe de resultados

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

9

Tenemos entonces dos grandes grupos de actuación con requerimientos específicos de

tecnología:

Resguardo (Recolección Efectiva) : Discos , rígidos memorias , arrays , telefonos celulares y dispositivos móviles

Procesamienteo (Obtención y Presentación ):Herramientas para la búsqueda de elementos específicos sobre el grup anterior

CAMPOS DE ACTUACION

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

10

PUNTOS DE APOYO DEL ANALISIS FORENSE

METADATOS

ARTEFACTOS

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

11

ALGUNAS FUENTES DE METADATOS Y

ARTEFACTOS FORENSE

• El proceso de almacenamiento y borrado

• El acceso a Internet

• La ejecucion de impresiones

• El sistema operativo de la computadora

• Las listas de búsquedas

• Los contáctos de un IM

• Las IP de descarga de P2P

• …

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

12

QUE COSAS PODEMOS OBTENER DEL

ANALISIS FORENSE DE LA EVIDENCIA ?Con los datos visibles …

• Documentos

• Correos electronicos

• Fotos digitales

• Listados y logs

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

13

Con los Metadatos y Artefactos…

• Usuarios del sistema y sus claves

• Actividad en el sistema operativo

• Lineas de tiempo

• Actividad en Internet

• Ubicacion geografica de una computadora

• Webmail

• Impresiones realizadas

• Medios removibles conectados

• Fotos digitales y su relacion con camaras

QUE COSAS PODEMOS OBTENER DEL ANALISIS

FORENSE DE LA EVIDENCIA ?

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

14

QUE ES UNA MAQUINA VIRTUAL ?

Es una aplicación de software que emula

a una computadora y puede ejecutar

programas como si fuese una

computadora real

Conceptualmente , al ser una aplicación

de software puede emular cualquier

sistema operativo

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

15

COMPONENTES DE UNA MAQUINA VIRTUAL

• HOST (Anfitrión) : Plataforma de

virtualización que contiene las

maquinas virtuales (VM)

• GUEST (Invitado) : VM corriendo

en el host

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

16

Tecnologías Actuales de Virtualización

• Server

• Desktop

• Storage

• Aplicaciones

Principales actores

• VMWARE

• Citrix

• Microsoft

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

17

Evolución de las VM

Las VM han pasado de simples recursos

informáticos a poderosos sistemas de producción

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

18

ANALISIS FORENSE DE UN MEDIO MAGNETICO

Frecuentemente el investigador contara con un

archivo de evidencia* de la CPU bajo análisis.

*archivo de evidencia (NIST :National Institute of standards and technology

http://www.cftt.nist.gov/)

Copia bit a bit del contenido del medio magnético , que incluye:

Metadatos del sistema operativoEspacio utilizado y no utilizado y Slack space

Mecanismo de Autenticación y Validación

ARCHIVO DE EVIDENCIA

HD ORIGINAL

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

19

FORMATOS DE ARCHIVO DE EVIDENCIA• Formato Abierto : dd

Formato universal de Linux/Unix

• Formatos Propietarios : Encase (EW) , SMART, SafeBACK…

Formatos aceptados en numerosas cortes del mundo y validados por instituciones independientes

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

20

VIRTUALIZACION DE EVIDENCIA DIGITAL

Acceder a la evidencia de manera directa para…

Utilizar una herramienta sobre la unidad(Casos de Hacking y pornografía infantil)

Ejecutar una aplicación propietaria

Visualizar y presentar la evidencia de modomas “real” (operadores judiciales)

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

21

HERRAMIENTAS DE VIRTUALIZACION

VMWARE

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

22

ALTERNATIVAS DE PROCESAMIENTO :

Restaurar la evidencia original en un medio alternativo

Utilizar procesamiento intermedio

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

23

HERRAMIENTAS DE VIRTUALIZACION DE EVIDENCIA

LiveView : Virtualiza controladores para evitar BSOD ( GNU GPL)

FTK Imager

Mount Image PRO

VFC Virtual Forensic Computer Toolkit

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

24

VIRTUALIZACION DE HD CON FTK IMAGER

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

25

HERRAMIENTAS DE VIRTUALIZACION

VMWARE

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

26

HERRAMIENTAS DE VIRTUALIZACION

LIVE View

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

27

INVESTIGANDO MAQUINAS VIRTUALES

La difusión de VMs en entorno de producción y la utilización de las mismas para actividades informáticas que “no dejen rastro” es cada vez mas frecuente

METODOLOGIA :

Identificación del uso de VMs

Extracción del archivo de evidencia

Montaje virtual de la unidad o utilización de

Toolkit Forense con soporte de discos virtuales

Analisis de artefactos tradicionales

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

28

ESTRUCTURA DE MAQUINAS VIRTUALES

Virtual Box A

APLICACIONES VMVirtual Box

•VMware (Win/*nix –Fussion)

•Virtual PC / Virtual Server

•Virtual Box

•Parallels

•KVM

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

29

COMPONENTES DE UNA MAQUINA VIRTUAL

Veamos como ejemplo los componentes deuna maquina virtual VmWare

NombreMV.Vmx : Archivo de configuración

de la VM

NombreMV.Vmdk : Disco virtual de la VM

NombreMV.Vmdk : Logs de la VM

Vmware.log : Log de actividades

Nvram : BIOS emulado de la VM

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

30

COMPONENTES DE UNA MAQUINA VIRTUAL

NombreMV.Vswp : Archivo de intercambio de la VM

NombreMV.-s00x.Vmdk : Snapshots de la VM

NombreMV-***.Vmss : Contenido de RAM de VM suspendidas

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

31

PASOS PARA EL ANALISIS DE UNA MAQUINA VIRTUAL

1. Extracción

2. Acceso al disco virtual

The SleuthKit

Vmware Disk Utility

Encase -FTK-WinHex

3. Utilización del Toolkit , según objeto de la investigación

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

32

MONTANDO EL DISCO VIRTUAL DE LA MAQUINA VIRTUAL

Precaución al utilizar software no forense !

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

33

CONCLUSIONES

Las VM son valiosas auxiliares del

investigador forense informático

Las VM se utilizan para ocultar

actividades

Al montar V M utilizar herramientas que

independicen la capa de hardware

Al investigar VM utilice software forense

VIRTUALIZACION DE EVIDENCIA EN UNA INVESTIGACION

FORENSE INFORMATICA

34

Muchas Gracias por su participación

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

gustavo@presman.com.arhttp://www.presman.com.ar

Linkedin: http://ar.linkedin.com/in/gpresmanTwitter: @gpresman