4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
1
TALLER
ANALISIS FORENSE DE UN
CASO DE ROBO DE IDENTIDAD
11 Abril 2008
Universidad Tecnológica Nacional , Facultad Regional Santa Fe
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE
www.presman.com.ar
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
2
AGENDA
� Planteo del caso . Marco Legal
� Evidencias disponibles
� Que busco en un caso de robo de identidad ?
� Virtualizacion de Evidencia
� Analisis del disco compacto incautado
� Analisis de la imagen forense disponible .
� Analisis de Signatures y hashes
� Analisis de la geometria de las unidades
� Analisis de Papeleras de reciclaje
� Analisis de Actividad en Internet
� Hallazgos y Conclusiones
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
3
El caso
El domicilio del imputado Gustavo Presas es compartido por otros estudiantes que utilizan todos la misma PC. En fecha 03/02/2008 se realiza un allanamiento en el domicilio y se secuestra la PC , dos días después la dependencia policial realiza una imagen forense de la misma , la cual se le remite junto con un disco compacto que se encontraba con las pertenencias del imputado en el momento de su detención . Se pide que determine :
• 1) Si la PC ha sido utilizada para actividades vinculadas con el Robo de Identidad denunciado
• 2) Si el imputado puede ser considerado el usuario de la PC , vinculándolo al hecho investigado.
• 3) Cualquier otro dato de interés para la Investigación
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
4
MATERIAL APORTADO
1) ARCHIVO DE EVIDENCIA*
2) DISCO COMPACTO
HD Presas.E01
d1aedf4cdc83b4c724ab989291375f1a
*Fuente : NIST : National Institute of standards and technology - http://www.cftt.nist.gov/
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
5
Que busco en un caso de robo de identidad ?
� Listados e Imágenes de tarjetas de Credito
� Listados e Imágenes de Documentos de Identidad
� Listados de passwords
� Sitios visitados
� Documentos de procedimientos
� Impresiones realizadas de documentos , cheques , etc...
� Conversaciones de chat
� ...
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
6
VIRTUALIZANDO LA EVIDENCIA
Frecuentemente el investigador necesitara acceder a la evidencia de manera
directa :
• Para utilizar una herramienta sobre la unidad
• Para ejecutar un analisis antivirus
• Para Visualizar y presentar la evidencia de modo mas “real”
� Restaurar la evidencia original en un medio alternativo
� levantar la evidencia en una VM
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
7
VIRTUALIZANDO LA EVIDENCIA
*http://www.mountimage.com/
http://liveview.sourceforge.net/
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
8
VIRTUALIZANDO LA
EVIDENCIA CON VMWare
LABORATORIO
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
9
• La autenticacion MD5 de un CD/DVD puede fallar por el
corrimiento de las unidades de lectoescritura
• La Estructura fisica de un CD/DVD esta formada por tracks
(pistas) .Un disco puede ser grabado :
– Track at Once
– Disk at Once
– Packet writing/Incremental recording
Un CD/DVD puede contener multiples sesiones
La Estructura Logica de los HD no es apta para CD/DVD:
– ISO 9660 (Win/Mac)
– UDF (Win/Mac)
– JOLIET (Win)
– HFS/HS+ (Mac)
ANALISIS DE CD/DVD
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
10
PROCESANDO EL CD CON
ENCASE FORENSIC
LABORATORIO
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
11
ANALISIS DE LA IMAGEN FORENSE DISPONIBLE
Independientemente de las herramientas empleadas , se trata de
buscar suficiente evidencia para sostener un caso , en nuestro
caso , esto incluye :
• Obtencion de elementos eliminados (Particiones , carpetas
y archivos)
• Analisis de signatures y hashes
• Analisis de Papelera de reciclaje
• Actividades en internet (sitios visitados , actividades realizadas)
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
12
ANALISIS DE FIRMAS (SIGNATURE ANALYSIS)
El Analisis de Firmas permite:
� Encontrar , dentro del File System , archivos
que han sido renombrados
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
13
ANALISIS DE FIRMAS (SIGNATURE ANALYSIS)
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
14
ANALISIS DE INDICES (HASH ANALYSIS)
El Analisis de Hash permite:
� Restringir el objeto de estudio :El Investigador forense utilizara hash sets publicos (NIST , Hash) , privados (LE) o propios
� Identificar univocamente archivos “notables” : El investigador creara sus propios Hash sets para encontrar de manera univoca archivos determinados
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
15
ANALISIS DE INDICES (HASH ANALYSIS)
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
16
ANALISIS DE LA GEOMETRIA DE UNIDADES
� El investigador debe analizar la geometría
de las unidades. Determinar la totalidad de
sectores en el dispositivo y verificar que los
mismos estén asignados a particiones de la
unidad , de lo contrario realizar una
recuperación y montar las eventuales
particiones eliminadas
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
17
Es el análisis de los sitios visitados y su correlación temporal
con la investigación . Incluye la evacuación de las eventuales
actividades.
Este análisis se realiza sobre las carpetas y archivos del
espacio conocido como cache de Internet , el cual es creado y
mantenido por los navegadores de Internet .
Para nuestro caso el cache del Internet Explorer se
encuentra en los archivos INDEX.DAT
ANALISIS DE ACTIVIDAD EN INTERNET
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
18
PROCESANDO EL CASO CON
ENCASE FORENSIC
LABORATORIO
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
19
HALLAZGOS
Es posible afirmar que el usuario :
� Borro la carpeta Mis documentos en la segunda Partición
� Borro la carpeta Musica para mis oidos en la segunda partición
� Elimino la segunda partición
� Renombro un ZIP como MP3
� Renombro una imagen JPG como DLL
� Navego por sitios relacionados con el delito cometido
� Descargo imágenes para cometer sus ilicitos
� Grabo imágenes y documentos en una sesion oculta del CD
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
20
CONCLUSIONES
Del Analisis Forense Informatico que acabamos de efectuar :
�Se prueba que las las imágenes y el documento escondidos en
el CD son idénticos a los existentes en la PC
�Se prueba que el usuario deliberadamente ocultó y eliminó
información
4to Seminario y Taller de Segu-Info
PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
21
TALLER
ANALISIS FORENSE DE UN CASO DE ROBO
DE IDENTIDAD
Muchas Gracias por su participacion
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE
www.presman.com.ar