Sesión 4 - Introducción a la informatica forense

Introduccin a la Computacin Forense

10/22/2011

Informtica Forense: Herramientas para combatir la ciberdelincuenciaIng. Daniel Torres Falkonert Email: [email protected] Twitter: @bytemarehack1 22/10/2011 Daniel Torres Falkonert (c) 2011

Anlisis de la evidencia

2 22/10/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

1


10/22/2011

Anlisis de la Evidencia Escrutinio detallado de los datos recolectados Reconstruir el escenario Correlacionar datos Bsqueda por palabras clave Recuperacin de datos


Hay Muchos Obstculos Informacin Cifrada Manipulacin del sistema de Archivos Archivos corruptos y/o Incompletos Archivos con Contrasea Formatos Desconocidos Relojes no sincronizados Medios daados fsicamente Tcnicas anti-forenses4 22/10/2011 Daniel Torres Falkonert (c) 2011


2


10/22/2011

Confiabilidad de la informacinA mayor cantidad de fuentes de informacin y entre ms independencia exista entre ellas, mayor confiabilidad tendrn las conclusiones de la investigacin


Recordar el taller del factor clave



3


10/22/2011

El factor clave Cada registro por si mismo no prueba que un evento ocurri. Ni la ausencia de uno prueba lo contrario. Pero al mirarlos en conjunto se puede sacar una conclusin


Arqueologa Digital Vs Geologa DigitalLa Arqueologa digital se refiere a los efectos directos de la actividad de los usuarios, tal como los contenidos de un archivo, el tiempo de acceso, informacin de los archivos borrados y los registros de la red La Geologa Digital se refiere a los efectos autnomos del sistema sobre los que el usuario no tiene control directo como la asignacin y reutilizacin de bloques de disco, los identificadores de los procesos o las pginas de memoria8 22/10/2011 Daniel Torres Falkonert (c) 2011


4


10/22/2011

La fosilizacin digital Eliminar informacin es ms difcil de lo que uno puede imaginarse. Una vez borrados, los datos permanecen hasta que son sobreescritos por nuevos datos


Persistencia de la informacinA pesar que la informacin borrada es cada vez ms y ms ambigua a medida que bajamos a travs de los niveles de abstraccin, se puede observar que los datos son cada vez ms persistentes. El reto de buscar en la basura digital, es recuperar informacin que est parcialmente destruida y encontrarle algn sentido que sea relevante para la investigacin.10 22/10/2011 Daniel Torres Falkonert (c) 2011


5


10/22/2011

Procesos observados Vs Procesos ejecutados


Anlisis de la Evidencia Sacar por lo menos 2 Copias del medio No hay metodologa especfica para realizar el anlisis


6


10/22/2011

Recuperacin y reconstruccin Analizar el contenido de diferentes medios de almacenamiento en busca de: Archivos Fragmentos de Informacin Espacio no utilizado Informacin Oculta Contar con herramientas Tecnolgicas y Humanas Adecuadas

Recuperacin y Reconstruccin Diferentes grados de complejidad segn el sistema y medio analizado. Existe una infinidad de diferentes tecnologas Muchos Obstculos (Anti-Forensics) Tcnicas de ocultamiento Informacin Cifrada Manipulacin maliciosa del sistema de Archivos Archivos corruptos y/o Incompletos Archivos con Contrasea Formatos Desconocidos


7


10/22/2011

Filtrado Extraer la informacin directamente relacionada con el incidente Conservar la integridad de la informacin Realizacin de bsquedas con algn criterio (palabras clave) Descartar Archivos Conocidos

Correlacin Reconstruir el escenario No debe ser totalmente dependiente de la evidencia digital Recordar: Escena del crimen distribuida Relojes de los diferentes sistemas sincronizados


8


10/22/2011

ConsejoSe recomienda que para cada investigacin se desarrolle un diario de investigacin cientfica, donde se pueda registrar el proceso de investigacin o los pasos tomados durante la investigacin del evidencia y que permita aplicar el mtodo de investigacin como herramienta para resolver el problema.17 22/10/2011 Daniel Torres Falkonert (c) 2011

Diario de investigacin CientficaMetodologa: 1. Escribir el diario o registrar la informacin 2. Discutir y registrar el problema investigacin o preguntar qu se est investigando. 3. Iniciar la discusin con el objeto de que los investigadores planteen sus preguntas sobre el problema. Solicitar a los investigadores que registren sus preguntas 4. Revisar las diferentes fuentes de informacin a disposicin de los investigadores para adelantar la investigacin y monitoreo, el desarrollo de una lluvia de ideas y proyectar la evidencia potencial que contribuir a aclarar las preguntas registradas 5. La tarea del investigador es animarlos registrar las posibles hiptesis 6. Preparar un rea trabajo, seleccionar el material y adelantar exmenes. 7. Reunirse con los investigadores para analizar la informacin y las conclusiones, al igual que dar retroalimentacin e instrucciones cuando sea necesario. Pedir a los investigadores que registren sus conclusiones en el cuestionario o en el informe de la investigacin. 8. Retomar el proceso investigativo estimulando la evaluacin del proceso que recibi para resolver el problema



9


10/22/2011

Tcnicas de recuperacin de datosAnalizar el contenido de diferentes medios de almacenamiento en busca de: Archivos Fragmentos de Informacin Analizar el espacio no utilizado Informacin Oculta22/10/2011

Track sobreescrito en un disco duro.tomado de http://www.veeco.com

19 Daniel Torres Falkonert (c) 2011

El Sistema de ArchivosQu Hace? Estructura la informacin guardada en una unidad de almacenamiento Cmo? Provee mtodos para crear, mover, renombrar y eliminar tanto archivos como directorios20 22/10/2011 Daniel Torres Falkonert (c) 2011


10


10/22/2011

Qu tanto se puede llegar a recuperar?Por si todava tiene dudas del computador de Ral Reyes


Un Buen ejemplo Disco duro de 400 MB que se encontraba en el transbordador Columbia. El disco era parte del sistema utilizado para un experimento cientfico. Se pudo recuperar el 90 % de la informacin.22 22/10/2011 Daniel Torres Falkonert (c) 2011


11


10/22/2011

Y si todava le quedan dudas


File CarvingQu es? Identificacin y Recuperacin de Archivos de un medio de almacenamiento basada en sus caractersticas de formato.

24


12


10/22/2011

File CarvingFile Carving es una poderosa herramienta porque: 1. 2. Es independiente del sistema de archivos Asistir en la recuperacin de archivos y datos que no son referenciados Recuperar datos en el ms bajo nivel posible con herramientas de software Tambin es posible identificar y extraer archivos dentro de otros archivos

3.

4.

25

Limitaciones y Retos Muchos Falsos positivos Se puede recuperar el contenido de los archivos pero no sus metadatos ni la estructura de directorios Tcnicas Anti-forenses Proceso muy Lento Puede Requerir de mucho espacio Archivos fragmentadosTomado de: http://www.cartoonstock.com26


13


10/22/2011

Archivos Fragmentados Si se encuentra una referencia del sistema de archivos (metadatos) a la cadena de clusters del archivo puede no ser necesario realizar Data Carving Los sistemas de archivos modernos evitan al mximo la fragmentacin, incluso llegan a reubicar archivos que han cambiado su tamao

27

FragmentacinVolumen (C:) Tamao del volumen Tamao de clster Espacio utilizado Espacio libre Porcentaje de espacio disponible Fragmentacin del archivo Cantidad de archivos Tamao promedio de archivo Cantidad de archivos fragmentados Cantidad de fragmentos en exceso Promedio de fragmentos por archivo = 35,00 GB = 4 KB = 18,92 GB = 16,08 GB = 45 % = 107.736 = 263 KB = 11.884 = 59.574 = 1,55

La fragmentacin ocurre naturalmente

28


14


10/22/2011

Archivo bi-fragmentadoEncabezado S1 Terminador F1 Sectores

gap

F2 Sectores

Caso comn de fragmentacin

e1

S2

e2

Solo se conoce el encabezado (header) y el terminador (footer) F1 y F2 pueden ser mayores o iguales a 0 Garfinkel propone probar todas las posibles combinaciones de sectores entre F1 y F2 hasta encontrar un archivo vlido [5] Complejidad O(n2) [5]

29

Resultados del equipo de Korelogic [8]

Anlisis de un archivo .zipTomado de [8]30


15


10/22/2011

Resultados del equipo de Korelogic [8]

Anlisis de un archivo .zipTomado de [8]31

Cmo simular la fragmentacin?Creacin del espacio de pruebas con datos aleatorios dcfldd if=/dev/urandom of=fs.random.dd bs=1M count=45 Creacin del espacio de pruebas en cero dcfldd if=/dev/zero of=fs.random.dd bs=1M count=45

Creacin de los fragmentos de un archivo split -b 4k -d atlantis.jpg

32


16


10/22/2011

Fabricacin de CasosArchivo sin fragmentacin

dd if=x00 dd if=x01 dd if=x02 dd if=x03

of=fs.random.dd bs=4k seek=100 count=1 conv=notrunc of=fs.random.dd bs=4k seek=101 count=1 conv=notrunc of=fs.random.dd bs=4k seek=102 count=1 conv=notrunc of=fs.random.dd bs=4k seek=103 count=1 conv=notrunc

Archivo bi-fragmentado



33

Fabricacin de CasosArchivo incompleto

dd if=x00 of=fs.random.dd bs=4k seek=100 count=1 conv=notrunc dd if=x01 of=fs.random.dd bs=4k seek=101 count=1 conv=notruncArchivo multi-fragmentado



34


17


10/22/2011

Casos PatolgicosArchivo secuencial con fragmentos en orden inverso



Archivo con fragmentos muy dispersos



35

Herramientas- Foremost - Ftimes (con xmagic) - Scalpel - Photo Rec ..

- WinHex, FTK, Encase, etc.

36


18


10/22/2011

Metodologa

37

CaracterizacinMuerte por Fragmentacin En general, los archivos de diferentes formatos poseen caractersticas invariantes Ejemplo. Archivos JPG: Encabezado(header) \xff\xd8\xff\xe0\x00\x10 xff\xd8\xff\xe0\x00\ Fin de archivo (footer) \xff\xd9 xff\

Tomado de: http://www.cartoonstock.com38


19


10/22/2011

IdentificacinPara recuperar un archivo JPEG: a. Encontrar la informacin de encabezado y fin de archivo b. En general, las tcnicas actuales solo analizan el encabezado y el final del archivo Hexdump de atlantis.jpg Encabezado 00000000 ff d8 ff e0 00 10 4a 46 49 46 00 01 01 00 00 01 00000010 00 01 00 00 ff db 00 43 00 1f 15 17 1b 17 13 1f 00000020 1b 19 1b 23 21 1f 24 2e 4d 32 2e 2a 2a 2e 5e 43 00000030 47 38 4d 6f 62 75 73 6d 62 6c 6a 7b 8a b1 96 7b 00000040 83 a7 84 6a 6c 9a d1 9c a7 b6 bc c6 c8 c6 77 94 00000050 d9 e8 d7 c0 e6 b1 c2 c6 be ff db 00 43 01 21 23 00000060 23 2e 28 2e 5a 32 32 5a be 7f 6c 7f be be be be 00000070 be be be be be be be be be be be be be be be be Fin de archivo 000001b0 1a 25 a9 88 c7 3a 0a d5 df 73 ce 81 eb 9f ed f9 000001c0 6a a6 2e 42 7b 4d 49 10 08 1f 2a 58 7d 98 c7 de 000001d0 a6 6e 89 0b 07 7c 7e 55 2b b2 ee 13 d9 20 50 a8 000001e0 8e 19 42 3d 28 74 b5 1e a3 ba 48 6d b8 20 0d 3c 000001f0 a8 14 c5 c1 96 59 1e 5f 90 a8 51 2e 6e 50 a7 d0 00000200 b6 b5 28 06 c2 4f 69 9c c6 69 66 a3 b5 4e af 0c 00000210 89 ac 57 46 f5 2e 0c de a1 2d 2f 42 41 c9 d5 24 00000220 d0 d9 b9 5b 28 d2 90 98 99 c8 a2 5e 12 a0 85 13 00000230 90 00 a5 c0 91 54 53 4f ff d9

|......JFIF......| |.......C........| |...#!.$.M2.**.^C| |G8Mobusmblj{...{| |...jl.........w.| |............C.!#| |#.(.Z22Z..l.....| |................|

|.%...:...s......| |j..B{MI...*X}...| |.n...|~U+.... P.| |..B=(t....Hm. .

Documents

Sesión 4 - Introducción a la informatica forense