Investigación Digital Forense€¦ · • La Computación Forense Computación Forense Computación Forense es parte de las ciencias forenses • Preservar, recuperar, validar, identificar,

Investigación Digital Forense

Denys A. Flores Denys A. Flores Denys A. Flores Denys A. Flores

Sakura Consulting GroupSakura Consulting GroupSakura Consulting GroupSakura Consulting Group

Quito, 21 de septiembre de 2013Quito, 21 de septiembre de 2013Quito, 21 de septiembre de 2013Quito, 21 de septiembre de 2013

unimos talento. creamos futuro

Acerca de… mí

• Ingeniero en Sistemas, EPN, EC

• MSc. in Forensic Computing & Security, U. of Derby, GB

• Especialista en Investigación de Lavado de Activos

• Consultor en Informática Forense y Seguridad de la Información

• Académico/Investigador

• Jefe del Área de Sistemas en Sakura CG.


Por qué ser un investigador digital

1. Los criminales aprovechan la tecnología criminales aprovechan la tecnología criminales aprovechan la tecnología criminales aprovechan la tecnología para tomar ventaja de situaciones y personas… La gestión de evidencia digital es vitalgestión de evidencia digital es vitalgestión de evidencia digital es vitalgestión de evidencia digital es vital

2. Es una profesión nueva profesión nueva profesión nueva profesión nueva e interesante con oportunidades con oportunidades con oportunidades con oportunidades laboraleslaboraleslaboraleslaborales y científicasy científicasy científicasy científicas

3. Es requerida en empresas requerida en empresas requerida en empresas requerida en empresas privadas, públicas y gubernamentales

4. Es de gran ayuda para agencias e instituciones del orden agencias e instituciones del orden agencias e instituciones del orden agencias e instituciones del orden públicopúblicopúblicopúblico

5.5.5.5. No existen muchos investigadores digitalesNo existen muchos investigadores digitalesNo existen muchos investigadores digitalesNo existen muchos investigadores digitales… te necesitamos en el frente


Cómo ser un investigador digital

1. Usar tus habilidades con la tecnología para ayudar a tecnología para ayudar a tecnología para ayudar a tecnología para ayudar a otrosotrosotrosotros

2. Estar preparado mentalmente para enfrentar situaciones insólitas relacionadas con crímenessituaciones insólitas relacionadas con crímenessituaciones insólitas relacionadas con crímenessituaciones insólitas relacionadas con crímenes de diversos tipos

3. Utilizar herramientas especializadas herramientas especializadas herramientas especializadas herramientas especializadas para recolectar recolectar recolectar recolectar evidencia digitalevidencia digitalevidencia digitalevidencia digital

4. Tener pasión por aprender e investigarpasión por aprender e investigarpasión por aprender e investigarpasión por aprender e investigar


Agenda

• Ciencias Forenses• Malversación de Computadores• Evidencia y Cadena de Custodia• Casos de Investigación Digital• Ciclo de Vida de la Investigación

Digital• Conclusiones


Qué son las Ciencias Forenses

• Tienen pertinencia pertinencia pertinencia pertinencia con con con con las cortes o foros de las cortes o foros de las cortes o foros de las cortes o foros de justiciajusticiajusticiajusticia

• La Computación Forense Computación Forense Computación Forense Computación Forense es parte de las ciencias forenses

• Preservar, recuperar, validar, identificar, analizar, interpretar, documentar, y presentar evidencia evidencia evidencia evidencia digital digital digital digital almacenada en fuentes electrónicas (Palmer, 2001)

• Evidencia digital relacionada con crímenes crímenes crímenes crímenes informáticos o relacionados con computadoresinformáticos o relacionados con computadoresinformáticos o relacionados con computadoresinformáticos o relacionados con computadores


Tipificación de la Malversación de Computadoras

• Un computador es todo dispositivo con capacidad de procesamiento, computador es todo dispositivo con capacidad de procesamiento, computador es todo dispositivo con capacidad de procesamiento, computador es todo dispositivo con capacidad de procesamiento, almacenamiento y/o distribución de almacenamiento y/o distribución de almacenamiento y/o distribución de almacenamiento y/o distribución de informacióninformacióninformacióninformación (Clough, 2011)


• El mal uso o malversación mal uso o malversación mal uso o malversación mal uso o malversación de éstos es una ofensa legal es una ofensa legal es una ofensa legal es una ofensa legal que tiene dos connotaciones:• Crimen Crimen Crimen Crimen informáticoinformáticoinformáticoinformático

• Crimen relacionado con Crimen relacionado con Crimen relacionado con Crimen relacionado con computadorescomputadorescomputadorescomputadores

Evidencia

• Hecho o conjunto de hechos para reconstruir un eventoara reconstruir un eventoara reconstruir un eventoara reconstruir un evento

• Por su peso legalpeso legalpeso legalpeso legal

• Inculpatoria• Exculpatoria

• Por su naturalezanaturalezanaturalezanaturaleza

• Primaria

• Secundaria


Cadena de Custodia

• Registro documental (escrito, video, audio)

• Reporta la forma en que cualquier tipo de evidencia ha sido identificada, preservada, obtenida, transferida, analizada y protegida

• Todo tipo de evidencia se debe manejar con responsabilidad:• Identificador, fotografía, descripción física,

nombres y fechas de transferencia de custodia, firma de responsabilidad

• Determina la admisibilidad admisibilidad admisibilidad admisibilidad de la evidencia presentada en la corte


Casos de Investigación Digital


Procedimientos

Legales &

Evidenciales

Técnicas de

Investigación

Tecnología

Casos de Investigación Digital

• Sistemas Operativos y Medios Magnéticos

• Dispositivos Móviles

• Network/Database Forensics

• Cloud Forensics

• Live Forensics

• e-Discovery


Ciclo de Vida de una Investigación Digital


Identificación

Preservación

ObtenciónAnálisis

Presentación


Identificación de Evidencia

• Entender el alcance de la investigación

• Identificar los ítems de evidencia relacionados al caso

• Documentar la escena del crimen y estado de los ítems

• Apegarse rigurosamente a los requisitos de la Cadena de Custodia

• Al recolectar ítems, usar guantes para evitar contaminar la escena del crimen


Preservación de Evidencia

• Documentar los pasos de precautelación

• Relatarlos en audio

• Fotografiar el estado de la evidencia

• Decidir apagar o mantener encendidos los equipos

• Documentar la información de los ítems:

– Número de Serie– Marca– Capacidad de almacenamiento


Obtención de Evidencia

• Investigar el medio que almacena información que podría ser considerada evidencia

• Considerar el volumen de información – triaging

• Utilizar live forensics en caso de que se requiera obtener evidencia volátil (memoria caché, RAM, historial de browsers)

• Utilizar Bloqueadores de Lectura ‘Write Blockers’ para precautelar la información almacenada en el ítem de evidencia


Obtención de Evidencia - Práctica

1. Montar el ítem de evidencia (pen drive) en modo read-only• Tener cuidado de que el sistema operativo lo monte automáticamente• En la terminal buscar el drive con fdisk -l • Montar el disco en modo forense

2. Nótese que el disco original sigue desmontado!!3. Esto nos permite explorar el disco, sin alterar la evidencia

4. Crear una imagen del disco usando FTKImager en modo consola:


Obtención de Evidencia - Práctica

1. Los códigos hash códigos hash códigos hash códigos hash permiten verificar la integridad de la información


Análisis de Evidencia - Práctica

1. Usar la imagen 4Dell Latitude CPi.E01:

http://sdrv.ms/168pTUJ

2. Crear un caso en Autopsy

3. Añadir el host – hacker_pc



4. Determinar la zona horaria donde fue capturada la imagen

Windows/System32/Config/System

5. Poner la zona horaria en la imagen, es importante para determinar una línea de tiempo correcta

6. Una vez especificada la zona horaria, añadir la imagen



1. Se desea demostrar que han existido conversaciones entre un grupo dehackers para realizar actividades de intrusión

2. Con estas premisas, se ha pedido que se investigue este disco duro y sede respuesta a las siguientes interrogantes:

a) ¿A qué tipo de sistema operativo corresponde la imagen?b) ¿Existe evidencia inculpatoria de hacking?c) ¿Existen nombres, pseudónimos u otra información que identifique a

los hackers?d) ¿Se puede determinar cuándo existió la mayor cantidad de actividad

de hacking y establecer una línea de tiempo de actividad?


Análisis de Evidencia – Práctica

Tipo de Sistema Operativo

1.Abrir FTKImager, abrir la imagen2.Exportar el siguiente hive del registro y ponerlo en el Escritorio:Windows/System32/Config/Software3. Abrir el hive con Yaru4. Ir hasta5. Software/Microsoft/Windows

NT/CurrentVersion6. Al parecer hubo una actualización

de WIN98 a Windows XP



Evidencia de Hacking – Actividad Sospechosa



Evidencia de Hacking – Hackers Involucrados

alt.2600.hackerz

[email protected] (slim)

[email protected] (Lensman)

[email protected] (GraveReaper0)


Análisis de Evidencia –

Práctica

Cantidad de Actividad

Sospechosa

1. Crear una línea de tiempo enAutopsy para mirar el pico deactividad– Del 1 de enero del 2004 al 31

de diciembre de 2006– Agosto de 2004 fue un mes

bastante ocupado


Presentación de Evidencia – Práctica

En base a los eventos detectados y secuenciados (línea de tiempo), se puede concluirque:

1. Desde el viernes 20 de agosto de 2004, existían conversaciones entre hackers,intentando encontrar una forma más fácil de hackear y robar contraseñas dehotmail

2. El sospechoso en posesión del disco duro, era una persona que estabaaprendiendo a hackear, se había unido a algunos grupos y estaba haciendopruebas con herramientas de sniffing y captura de passwords (Ethereal,Cain&Abel)

3. El 20 de agosto instala en su computadora Cain&Abel y Anonimizer4. El 27 de agosto instala Ethereal y usa por primera vez Cain&Abel y Anonimizer5. El 27 de agosto se realiza una captura usando Ethereal a una PocketPC que

estaba accediendo a msn.com; no se sabe si es que esto era una prueba o unatentado real de robo de credenciales


Conclusiones

1. Es necesario conocerconocerconocerconocer yyyy manejarmanejarmanejarmanejar adecuadamenteadecuadamenteadecuadamenteadecuadamente lalalala CadenaCadenaCadenaCadena dededede CustodiaCustodiaCustodiaCustodia

2. Tanto la evidencia primaria como la imagen original, deben preservarse; paraesto, trabajartrabajartrabajartrabajar conconconcon copiascopiascopiascopias dededede lalalala imagenimagenimagenimagen

3. La creación de la línealínealínealínea dededede tiempotiempotiempotiempo yyyy lalalala secuenciaciónsecuenciaciónsecuenciaciónsecuenciación dededede eventoseventoseventoseventos es vital parapresentar el reporte

4. La presentación del reportereportereportereporte eseseses unaunaunauna actividadactividadactividadactividad exhaustivaexhaustivaexhaustivaexhaustiva y requiere de unaestructura detallada y muy bien sustentada – FormatoFormatoFormatoFormato deldeldeldel EWIEWIEWIEWI

5. El investigador digital debe manejarmanejarmanejarmanejar bienbienbienbien elelelel ciclociclociclociclo dededede vidavidavidavida dededede lalalala investigacióninvestigacióninvestigacióninvestigación… laslaslaslasherramientasherramientasherramientasherramientas sonsonsonson unununun apoyoapoyoapoyoapoyo, nada más que eso

Muchas Gracias!

¿Cuán a menudo te he dicho que cuando has eliminado lo imposible, lo que

queda, aunque improbable, debe ser la verdad?

Sherlock Holmes al Dr. Watson

The Sign of Four



Ing. Denys A. Flores

Jefe de Sistemas e Informática de Sakura CG

Especialista en Computación Forense y Seguridad

[email protected]

www.sakuracg.com.ec

Documents

Investigación Digital Forense€¦ · • La Computación Forense Computación Forense Computación Forense es parte de las ciencias forenses • Preservar, recuperar, validar, identificar,