Informática aplicada a la Criminalística: agosto 2016

miércoles, 3 de agosto de 2016

Caso prueba desarrollado con Sleuth Kit y Autopsy.

DESARROLLO CON SLEUTH KIT

Y AUTOPSY

1.- Imagen de datos.

Suministrada junto al marco circunstancial del caso.

2.-Verificación d la integridad de la imagen.

Se realizo la verificación de la integridad del archivo comprimido que tenia l imagen original; sin embargo, dado que el compendio criptográfico de la fuente original no fue suministrado, no fue posible validar la integridad de la imagen con respecto a su fuente

3.-Creación de una copia de la imagen suministrada.

Se hizo una copia (imagen-copy) de la imagen original (image).

4.-Aseguramiento de la imagen suministrada.

El archivo original de imagen (el archivo comprimido) fue almacenado en un sitio seguro.

5.-Revisión de antivirus y verificación de la integridad de la copia de la imagen.

Como no se contaba con ningún programa de antivirus para Linux, fue necesario realizar este proceso en un sistema operativo Windows, usando una proyección de image-copy sobre un disco flexible de 3 ½ haciendo uso del comando:

*dd if/home/diego/FORENSICS/caso-paper/image of=/devf1oppy

Luego de comprobar la ausencia de virus se realizo la verificación del compendio criptográfico de los dos archivos

6.-Identificación de las participaciones actuales y anteriores (las que sea posible recuperar)

Se utilizo el comando mmls para descubrir las participaciones en la imagen, pero el resultado indico que solamente avía una sola participación

7.-Detección de información entre los espacios entre los participantes

Debido a los resultados del paso anterior, eta actividad fue omitida.

8.-Detección de HPA

Dado que se trata de la imagen de un floppy, este paso no aplica

9.-Identificación del sistema de archivos.

Se procede a revisas el sistema de archivos de la imagen lo anterior se logra desde la pantalla central del host, por medio del botón details-filesystem, que despliega la misma información que el comando fsstat.

10.-Recuperación de archivos borrados

En autopsy, en la pantalla del host se selecciona analyse-file analysis, para visualizar todos los archivos contenidos en la imagen incluyendo los que han sido borrados y que fue capas de recuperar.

11-Recuperación de información escondida.

A través del uso de autopsy (data unit-allocationlist) se buscaron los sectores asignados sin metadatos (sectores perdidos) con base en la revisión del primer sector perdido se determino que en el probablemente comenzaban los datos de una imagen

Con esta información se procedió extraer los datos de la imagen que se adicionaron al grupo de archivos potencialmente analizables.

12.-Identificación de archivos existentes.

La pestaña file analysis de la interfaz de autopsy lista los archivos contenidos en la imagen.

13.-Identificación de archivos protegidos.

Uno de los archivos identificado en el paso anterior estaba comprimido. Se procedió a tratar de accederlo pero aparentaba estar corrupto. A continuación se noto, por medio de la lista de sectores asignados, que el tamaño notificado por la metadata del archivo (file analysis-metadata) no coincidía con el número de sectores continuos asignados. Por lo anterior hubo que extraerlo en su totalidad por medio de dcat, logrando recuperarlo mas no accederlo ya que este estaba protegido con contraseña, por esta razón fue incluido en los archivos sospechosos

14.-Consolidación de archivos potencialmente analizables.

Tomando como base los archivos encontrados durante las fases anteriores se procede a realizar una agrupación de los archivos que se analizaran durante el proceso.

15.-Determinación del sistema operativo y las aplicaciones instaladas.

Debido a que se está trabajando sobre la imagen del disquete, no e requiere hacer este paso

16.-Filtrado basado en archivos bueno conocidos.

Debido al reducido número de archivos comprometidos en la investigación los dos últimos pasos obviados en el proceso.

17.-Consolidación de archivos sospechosos

Para este caso, este conjunto equivale al de los archivos potencialmente analizables

18.-Primera clasificación

Se encontró una inconsciencia entre el contenido de un archivo y su extensión, el cual tendrá una máxima prioridad al momento de realiza el análisis

19.-Segunda clasificación.

No fue posible determinar una relación entre los archivos y el usuario, debido al que sistema de archivos particular no mantiene este tipo de información. A su vez se determino que todos los archivos encontrados tienen alta prioridad

20.-Analizar los archivos.

A la hora de de analizar los archivos, se encontró un documento que proveía información sobre el proveedor del inculpado. Además referencia a la existencia de un archivo que contenía la contraseña del archivo protegido

Se tomo la imagen y se procedió a buscaren en la firma de los archivos de terminación JPEG la cual se hallo por medio de la aplicación grep sobre el volcado hexadecimal de dichos archivos.

21.-Archivos comprometidos con el caso.

Este grupo de archivos es igual al de los archivos sospechosos, mas el archivo de Excel que logro ser accedido dentro del archivo comprimido.

22.-Obtención de la línea de tiempo definitiva

Dado que la información de tiempo de los archivos no estaba disponible, no fue posible desarrollar este pasó de la metodología.

Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.

Autor: Jeimy J. Cano M.

Paginas:205-211.

Caso prueba desarrollado con Encase.

DESARROLLO CON ENCASE

1.- Imagen de datos

Fue provista junto a su marco circunstancial (The Honeynet project) .

2.- Verificación de integridad de imagen

Se realizo de integridad del archivo proveído con el caso tomando en cuenta que se hace frente a otra imagen no frente a la fuente original .

3.- Creación de una imagen suministrada

En el momento que se recibe una imagen encase se genera el archivo de trabajo por lo tanto no se genera una copia d seguridad.

4.- Aseguramiento de la imagen suministrada

Debido a que se trabaja en una copia de segura de solo lectura se puede asegurar la imagen original ubicándolas en un lugar seguro del disco del investigador o copiándola en algún dispositivo de almacenamiento en una carpeta asignada al caso.

5.- Revisión antivirus y verificación de la integridad de la copia de la imagen

El primer paso es crear una copia de dicha imagen la cual se analiza con el antivirus por alguna infección que traiga para este caso se realiza en un disquete, usando dd en Linux para después hacer la revisión antivirus sobre Windows, usando norton antivirus (Symantec.(s.f.)).

Posterior se realiza el cálculo del compendio criptográfico del archivo de trabajo para compararlo con el compendio inicial de la imagen obtenida con el caso.

6.- Identificación de las particiones actuales y anteriores (las que sea posible recuperar)

Según Guídense software (julio de 2004) Encase identifica las particiones del disco por medio de la búsqueda del carácter 0x55AA y las enumera como partes no usadas del disco

7.- Detección de información en los espacios entre las particiones

Al no haber particiones no existe espacio en las particiones que pueda ser analizado.

8.- Detección de HPA

Este caso no aplica por que se está trabajando sobre la imagen de un disquete.

9.- Identificación del sistema de archivo

Aunque Encase identifica automáticamente el sistema de archivos de la imagen, y por esta razón puede mostrar de manera ordenada sus archivos; se debe realizar una búsqueda en el sector de boot en la imagen para identificar el tipo de sistema de archivos y que Encase no muestra este dato.

10.- Recuperación de archivos borrados

En la recuperación inicial de la imagen Encase reconoce algunos clústers no asignados y archivos eliminados mostrándolos en el árbol de archivos, también para tener la certeza de que no había más archivos escondidos se realiza una recuperación de carpetas que no arrojo ningún resultado indicios que hace concluir que solo fue un archivo borrado.

11.- Recuperación de información escondida.

Esta fase se concentra en los clusters de la imagen con el fin de tratar de recuperar la información que contiene .en la imagen se pueden encontrar clusters perdidos o dañados que pueden dar información relevante para el caso con solo una palabra puede ser evidencia para el caso en cuestión.

12.- Identificación de archivos existentes.

Con base en el análisis de clusters y en la recuperación de archivos proveído por Encase se pueden identificar dos archivos; Schedule visits.exe y coveredpage.jpgc.

13.- Identificación de archivos protegidos.

Durante esta fase, en particular, no se identifica ningún archivo protegido con contraseña.

14.- Consolidación de archivos potencialmente analizables.

En este punto del análisis se reúnen los archivos dispuestos a ser analizados.

15.- Determinación del sistema operativo y las aplicaciones instaladas.

En este caso no aplica, debido a que se está trabajando sobre la imagen de un disquete.

16.- filtrado basado en archivos buenos conocidos.

En este caso tampoco plica, debido a que se está trabajando sobre la imagen de un disquete.

17.- Consolidación de archivos sospechosos.

Al encontrarse pocos archivos en la imagen, no es necesario realizar un filtro. Esto indica que todos los archivos son sospechosos

18.- Primera clasificación.

Durante este paso se debe hacer una ponderación de los archivos, teniendo en cuenta diferentes criterios. En este caso uno de los archivos con mas prioridad es el archivo de Word que se encuentra eliminado aunque también se debe realizar el análisis de los otros archivos existentes

Encase no arrojo ninguna inconsistencia entre los archivos y su extensión; sin embargo, sse identifico manualmente que el contenido de dos de los archivos no correspondían a su extensión: coverpage.jpgc y Schedule visits.exe.

19.- Segunda clasificación

Durante esta fase, se analiza el archivo de Word identificando el paso de recuperación de archivos borrados, lo que revela datos concretos relevantes a la investigación.

20.- Analizar los archivos.

Al correlacionar el archivo encontrado en el paso 18 y la información obtenida en el paso anterior se pudo determinar que el contenido de este archivo está protegido posiblemente con una contraseña que resulto ser la palabra sospechosa identificada en el paso 11

Es imposible notar que el proceso de recuperación del archivo Zip se hizo mediante el mismo procedimiento de exportación de contenido por clusters empleando el paso 11

21.- Archivos comprometidos con el caso.

A partir del análisis se identificaron tres archivos comprometidos

*coverpage.jfif.

*Schedule visits.xls

*Jimmy jungle.doc

22.-Obtención de la línea de tiempo definitiva.

En este caso no es necesario hacer una línea de tiempo, ya que el caso se resolvió completamente mediante los archivos encontrados y sus relaciones.

Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.

Autor: Jeimy J. Cano M.

Paginas:198-205.

Introducción a Autopsy

AUTOPSY

Tiene la noción de investigador, a quien relaciona cada uno o más casos, permitiendo tomar notas y generar más resultados y reportes con base a su investigación en el caso.

Permite navegar por los archivos que se encuentran en cada una de las imágenes incluso de aquellos borrados que logran ser recuperados.

Indexación y Búsqueda de Palabras Clave

Autopsy utiliza el poderoso motor de indexación Apache SOLR para dar poder a la velocidad y robustez a las características de búsquedas de palabras claves. Las listas predefinidas de palabras claves y expresiones regulares pueden ser configuradas para ejecutarse mientras la imagen está siendo asimilada. Por defecto, Autopsy incluye expresiones regulares de búsqueda para:

Direcciones de correo electrónicos
Número de teléfono
Direcciones IP
URL

Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.

Autor: Jeimy J. Cano M.

Paginas:196-197

Introducción a Sleuth Kit

THE SLEUTH KIT (TSK)

Está compuesto por 21 herramientas de acceso a la información no volátil.

Su primer desarrollo, llamado TASK fue mantenido por @stak, de aquí su nombre THE STAKE SLEUHT KIT. Hoy en día conocido como (STK)

Actualmente su desarrollo independiente y abierto.

Existen cuatro herramientas que comienza con la letra D:

Dcat: muestra los contenidos de una o más unidades de datos consecutivas.

Dls: permite extraer una imagen de los datos contenidos en el espacio no asignado por el sistema de archivo.

Dstat: despliega los datos relacionados con una unidad de datos en particular su estado de asignación.

Dcalc: crea una biyección entre las unidades de datos no asignados en la imagen original y de las imágenes de datos generadas con dls.

Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.

Autor: Jeimy J. Cano M.

Paginas:191-195

Introducción a Encase.

ENCASE

Surgió en 1998 como una herramienta de apoyo integral al ejercicio forense rompiendo el esquema de trabajos de los investigadores ya que operaban sobre Windows, en una época que no se usaba este sistema operativo para las investigaciones forenses.

Sus funciones de Encase son: generación de imágenes binarias, disco duro y disco flexibles.

DESCRIPCIÓN DEL FUNCIONAMIENTO

1.- RECUPERACIÓN DE ARCHIVOS BORRADOS EN ENCASE:

Muestra y reconstruye los archivos borrados, mostrándolos comparte del árbol de archivos en la carpeta recovered files.

2.- VERIFICACIÓN DE FIRMAS TIPO DE ARCHIVO:

Encase emplea una base de datos que contiene patrones características tipo archivos de firmas.

3.- PONDERACIÓN DE ARCHIVOS:

Encase le provee al examinador forense la capacidad buscar, filtrar y organizar archivos según diferentes criterios lo que les permite alcanzar una visión más clara del caso.

4.- RECONSTRUCCIÓN TEMPORAL:

Encase regenera líneas de tiempo que reconstruye temporalmente los hechos ocurridos sobre los datos contenidos en el archivos.

Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.

Autor: Jeimy J. Cano M.

Paginas:185-191

Análisis de datos.

METODOLOGÍA DE EXAMEN

Y ANÁLISIS DE DATOS

Para realizar un análisis de datos forenses es necesario seguir una serie de pasos para la obtención de la evidencia. En el caso de la metodología propuesta es necesario definir un conjunto de elementos requeridos que constituyen la información inicial.

Los elementos son:

Imágenes binarias de los dispositivos de almacenamiento digital comprometidos en el caso con sus respectivos compendios criptográficos.
Descripción del caso ilustrado el marco circunstancial.
El objetivo de esta guía metodológica es obtener de hallazgos que describan la evidencia hallada y la formo como se obtuvo.

DESCRIPCIÓN DE LOS DATOS

1.- Creación del archivo de hallazgos:

Creación de aseguramiento de un documento ya sea físico o electrónico. Que permita llevar un historial de todas las actividades que se llevan a cabo durante el proceso.

2.- Imagen de datos:

Consiste en la recepción de las imagines de datos que conciernen al caso en investigación.

3.- Verificación de la integridad de la imagen:

Cada imagen suministrada se debe calcular su compendio criptográfico (md5)

4.- Creación de una copia de la imagen suministrada:

Es un análisis de datos nunca se debe trabajar sobre la imagen original suministrada, si no sobre una copia.

5.-Aseguramiento de la imagen suministrada:

Que no sufra ningún tipo de alteración, con el fin de la conservación de la cadena de custodia y del manteniendo de la validez judicial de la evidencia.

6.- Revisión antivirus y verificación de la integridad de la copia de la imagen:

Una vez obtenido la copia de la imagen es necesario asegurar que no tenga ningún tipo de virus conocido.

7.- Identificación de las peticiones actuales y anteriores:

La identificación de las particiones del dispositivo es de importancia ya que reconocerías implica la identificación de su sistema de archivos.

8.- Detección de información en los espacios entre las aplicaciones:

Cuando se detecta datos en las zonas de la imagen se debe proceder a hacer un análisis para determinar si representa algún tipo de información.

9.- Detección de un hpa:

Se debe realizar solo si en los metadatos se indica la existencia del hpa ya que de otro modo es imposible de identificar.

10.- Identificación del sistema de archivo:

Identificar los sistemas de archivos, con el fin de realizar las actividades del análisis de datos.

11.- Recuperación de los archivos borrados:

Durante esta actividad se debe de tratar de recuperar los archivos borrados del sistema de archivos, lo que es conveniente, dado el frecuente el borrado de archivos para destruir evidencia.

12.- Recuperación de información escondida:

En esta etapa se debe examinar exhaustivamente el sclak space, los campos reservados en el sistema de archivos y lo espacios etiquetados como dañados por el sistema de archivos.

13.- Identificación de archivos existentes:

Seguidamente, se los archivos restantes entre protegidos y no protegidos, donde estos últimos harán parte de los archivos potencialmente analizable, mientras los primeros harán parte la fase de análisis de archivos protegidos.

14.- Identificación de archivos protegidos:

Esta la fase de consolidación de archivos protegidos identificados en las fases anteriores. Durante estas fases se pretende descifrar romper tal protección en estos archivos, con el fin de adicionarlas al conjunto de archivos potencialmente analizables.

15.- Consolidación de archivos potencialmente analizables:

Durante esta fase se reúnen todos los archivos encontrados durante las fases: recuperación de archivos borrados, recuperación de archivos borrados, recuperación de información escondida, identificación de archivos no borrados e identificación de archivos protegidos.

16.- Determinación del sistema operativo y las aplicaciones instaladas:

Al determinar el sistema operativo y las aplicaciones instaladas, se está en la capacidad de obtener la lista de compendios, criptográficos de los archivos típicos del sistema operativos y de las aplicaciones.

17.- Filtrado basado en archivos buenos conocidos:

Con la lista de compendios criptográficos obtenida con el paso anterior, se procede verificar la integridad de los archivos en la imagen que aparecen en la lista. Si dicha comprobación es ¨buena¨ y por lo tanto es descartado del proceso del análisis.

18.- Consolidación de archivos sospechosos:

Como resultado del infiltrado de ¨bueno¨ conocidos, se obtiene un conjunto de archivos susceptibles a análisis.

19.- Primera clasificación:

Divide los archivos sospechosos en:

Archivos “buenos” modificados: son identificados en la fase filtrado como archivos buenos cuya versión original.
Archivos “malos”: se obtienen a partir de la comparación de los archivos sospechosos contra los compendios criptográficos de archivos malos relacionados con el sistema operativo particular.
Archivo con extensión modificada: aquellos cuya extensión no es consistente con su contenido.

20.- Segunda clasificación:

Toma los archivos que no han sido considerado máxima prioridad, los examina y los evalúa respecto a dos criterios: relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso.

21.- Analizar archivos:

Este proceso se basa en la discriminación de los archivos prioritarios con respecto a su relevancia del caso y el criterio del investigador. Este proceso cesa cuando el investigador, a partir de si criterio y experiencia considera suficiente evidencia recolectada para resolver el caso.

22.- Archivos comprometidos con el caso:

Es el conjunto de archivos que forman parte de la evidencia del caso.

23.- Obtención de la línea de tiempo obtenida:

Se procede a realizar la reconstrucción de los hechos a partir de los atributos de tiempos de los archivos, que permite correlacionarlos enriqueciendo la evidencia.

24.- Generación del informe;

Se elabora el informe del hallazgo que contiene una descripción detallada de los hallazgos relevantes del caso y la forma como fueron encontrados, apoyándose en la documentación continua de la aplicación metodológica.

Extraído del libro: COMPUTACIÓN FORENSE,descubriendo los rastros informáticos.

Autor: Jeimy J. Cano M.

Paginas:179-185