Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 INFORMATICA FORENSE INFORME FINAL PRESENTADO POR: ING.GILBERT JAIR SANCHEZ AVILA GRUPO: 233012_7 PRESENTADO A: ING-ESP. HAROLD EMILIO CABRERA MEZA Director del curso UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD ESPECIALIZACION EN SEGURIDAD INFORMATICA MAYO 2015 INTRODUCCIÓN 2 En este informe vamos a analizar un caso en el que se denuncia un caso de espionaje industrial y fuga de información ya que la empresa DISEÑAR MUEBLES se rumora que ha copiado diseño de los muebles de la empresa MI CASITA FELIZ perjudicando la productividad y su rol en el mercado debido a estos problemas. Basado en lo dicho por la gerente nuestro equipo procederá a buscar la evidencia dentro del dispositivo de almacenamiento del Sr. Kemssi que le fue entregado por la empresa para el trabajo y se busque señales de la información de diseños de los muebles y el fraude realizado. En este informe final mostraremos cada uno de los pasos a realizar junto con el software para esta finalidad y resolver el caso asignado a nuestro equipo. 3 CONTENIDO Mejorarla luego de que este todo terminado PAGINA: PORTADA ............................................................................................................................... 1 INTRODUCCION ..................................................................................................................... 2 CONTENIDO ........................................................................................................................... 3 OBJETIVOS ............................................................................................................................ 4 PLANTEAMIENTO DEL PROBLEMA ................................................................................... 5 FASE IDENTIFICACION ......................................................................................................... 6 FASE VALIDACION Y PRESERVACION ............................................................................... 7 FASE ANALISIS Y DESCUBRIMIENTO EVIDENCIA ............................................................. 8 FASE DE DOCUMENTACION Y PRESENTACION DE LAS PRUEBAS…………………… 20 CONCLUSIONES DE LOS HALLAZGOS, PRUEBAS DETERMINACION DE RESPONSABILIDADES DE LOS IMPLICADOS………………………………………………..22 REFERENCIAS ..................................................................................................................... 23 4 OBJETIVOS GENERAL Realizar el análisis forense de la imagen entregada para el caso de la empresa MI CASITA FELIZ, para encontrar las evidencias del fraude realizado y llevar el culpable ante las autoridades competentes. ESPECIFICOS • Buscar los archivos borrados y ocultos y demás movimientos que se hayan realizado en la imagen entregada. • Utilizar el programa AUTOPSY para realizar el peritaje de la imagen sea la versión para Windows o la incluida en CAINE para capturar pantallas y comprobar el análisis realizado encontrando las pruebas del caso. • Utilizar como apoyo la herramienta XIAO STENOGRAPHY para ayudar a buscar los documentos dentro de fotografías y probar el fraude y OSFORENSCIS para creación de imágenes binarias. 5 PLANTEAMIENTO DEL PROBLEMA La señora Greia Smith, gerente general de le empresa MI CASITA FELIZ la cual diseña y elabora muebles para oficinas, empieza a inquietarse al ver sus diseños expuestos en un empresa de la competencia antes de su lanzamiento. Esto empieza desde el mes de noviembre de 2014 hasta el 10 de diciembre del 2014. Esto hace presumir que existe una fuga de información de su empresa y uno de sus empleados le está siendo desleal. Al indagar un poco entre el personal interno le comentan que en la empresa DISEÑAR MUEBLES que es la competencia de MI CASITA FELIZ, labora la enamorada del Sr. Paul Kemssi, esto hace sospechar a la gerente ya que el Sr Paul labora en la empresa MI CASITA FELIZ en el área de despachos. La Gerente Greia Smith encarga al personal de sistemas que analice algo dentro de los log del servidor de correo electrónico para ver si encontraban algo anormal. El informe del departamento de sistemas indica que lo único raro de la cuenta del Sr. Kemssi es el envío a una misma dirección unas 2 veces por semana durante el último mes la imagen de unos perros con el asunto: me haces falta y te envío otro. Esto inquieta un poco a la gerente de la empresa y contrata el análisis del forense de la unidad de almacenamiento de la cual se extrajo una imagen forense y se depara su investigación. La Gerente Greia Smith comenta que requiere se investigue el dispositivo de almacenamiento del Sr. Kemssi que le fue entregado por la empresa para el trabajo y se busque señales de la información de diseños de los muebles y el fraude realizado 6 FASE DE IDENTIFICACION En esta fase procederemos a analizar que es el dispositivo de almacenamiento del Sr. Kemssi dialogando con la gerente consiguiendo información en su testimonio y recopilando datos basados en lo que ella nos redacte en los formularios diseñados para este fin. 7 FASE DE VALIDACION Y PRESERVACION Realizamos la preservación de la evidencia debido a que tenemos la copia de la imagen de disco guardada en nuestros equipos para empezar a realizar el análisis y con su respectivo código HASH Registro MD5: 90724097354e8426d01622fd776d32b3 el cual nos sirve para verificar que la imagen de disco es auténtica y solo el personal autorizado por nuestra empresa la pueda manipular. Tambien procederemos a realizar la cadena de custodia en cual se lleva un registro del personal autorizado que cuida y revisa la evidencia, ver las siguientes imagenes: 8 FASE DE ANALISIS Y DESCUBRIMIENTO DE LA EVIDENCIA Ahora vamos a proceder a la fase de análisis de la evidencia, esta fase es la que toma más tiempo pero es la que da los resultados en la investigación del caso dada, para esto vamos a usar el programa AUTOPSY de Windows, para proceder a analizar la imagen de disco que tenemos en custodia Vamos a mostrar unas imágenes de cómo el AUTOPSY procede a analizar la imagen binaria del disco duro a analizar: Como primera medida procedemos a crear el caso: Luego enumeramos el caso y colocamos el nombre de los investigadores, como indica la guía con las iníciales del primer nombre y primer apellido: 9 En esta imagen buscaremos la imagen que tenemos del caso para procederla a analizar: 10 Aquí configuramos la aplicación para que a esa imagen le busque los parámetros que vemos aquí en la foto: 11 Se procede a analizar la imagen de disco una vez configurada los parámetros de análisis: Esto es lo que nos muestra la herramienta en primera instancia: Observamos los archivos existentes generados en el proceso de análisis. 12 Al realizar un análisis inicial y teniendo en cuenta la información inicial suministrada por el departamento de sistemas de la empresa, se realizó una búsqueda de todas y cada una de las imágenes relacionadas con perritos, dando como resultado: logro encontrar una imagen llamada amor de perros. 13 Dentro de las imágenes encontradas encontramos una imagen sospechosa con el título amor de perros.bmp; por esta razón extraemos la imagen de disco para hacerle un estudio más detallado. Como observamos la imagen sospechosa que índico el área de sistemas en su reporte inicial esta en formato BMP y cuyo tamaño es exagerado para la calidad de la misma. Por lo anteriorse puede continuar con un análisis de Esteganografíapara determinar si existe algún archivo oculto. 14 Al tener la imagen en nuestro equipo nos disponemos a hacerle un análisis con la herramienta XiaoSteganography, dando como resultado que efectivamente dentro de esta imagen hay un archivo oculto. El archivo encontrado es un archivo de Word y contiene información de diseños de ArtMuebles como lo vemos en la siguiente imagen, se adjunta archivo extraído: 15 amor de perros.doc Analizando los archivos eliminados encontramos que el archivo original usado para el ocultamiento del documento de Word enviado fue suprimido y tenía un tamaño mucho menor lo que confirma la hipótesis del uso de Esteganografía. 16 Al analizar las imágenes encontradas en todo el HDD observamos que existe otra con características similares en tamaño exagerado y en formato BMP, vemos el archivo batman forever.bmp Al extraerlo vemos las propiedades y como se mencionó antes no es normal en las dimensiones de esa imagen BMP tener ese peso tan exagerado. 17 Realizamos el proceso de extracción con la aplicación XiaoStenography y observamos que encuentra otro documento de Word. Después del proceso obtenemos el archivo: Aquí adjuntamos el archivo extraído como evidencia de la fuga de información: batman forever.doc Y encontramos que el documento está otros diseños que fueron enviados a la competencia: 18 Al igual que la imagen amor de perros.bmp encontramos la de batman forever.bmp en los archivos eliminados, lo que indica que se usaron las imágenes y se eliminaron cundo ya se tenían cargados los documentos de Word en las nuevas imágenes. La evidencia que sustenta aún más el uso de Esteganografía es que en la carpeta programas encontramos el instalador y el acceso directo al programa XiaoStenography con ello se 19 demuestra que en dicho PC se ocultó la información en imágenes BMP con el uso de este software. Con el programa OSForensics, en el menú Deleted Files Search>Timeline podemos apreciar las fechas en que se ha realizado la actividad de borrado de archivos imagen alterados con el programa XiaoStenography, corresponde exactamente a los meses de Agosto y Septiembre de 2010: Observando con mas detalle el dia Septiembre 28 de 2010 a las 11:00 a.m., presenta una actividad de 6 arcihvos de imagen que fueron borrados: 20 21 FASE DE DOCUMENTACION Y PRESENTACION DE LAS PRUEBAS En esta fase mostraremos a la gerente un informe ejecutivo (documento aparte) resumiendo todo lo sucedido y la solución del caso, en este informe mostraremos unos ítems(vamos resumiendo aquí el informe de los pantallazos mostrados en la fase de análisis) que se deben tener en cuenta para el informe técnico que es más detallado. Antecedentes: En este caso podemos usar la información dada en planteamiento del problema Recolección de los datos: Se recolectan hablando con la gerente que es la afectada del caso, también con formularios diseñados para recolectar evidencia y características tenicas del equipo afectado por el fraude. Descripción de la evidencia: La evidencia en este caso que vamos a analizar es el disco duro del señor Kemsy que es de un 1TB, su computador es un Lenovo con 4BG de RAM y procesador CORE 3 Entorno de análisis: Para este caso usamos el software autopsy en su versión Windows para poder analizar la imagen ya creada del equipo afectado usando Osforensics. Herramientas utilizadas: El computador se investigo con las siguientes herramientas: Autopsy: software especial que nos permite realizar análisis a imágenes binarias de discos duros y dispositivos de almacenamiento, buscando archivos, eliminados, modificados , información de los correos , archivos del mismo tipo independiente de su extensión , Logs entre otras cosas. Osforensics: este programa nos sirve para crear la imagen binaria de la copia analizar con su respectivo Hash, también nos sirve para analizar características hardware de los equipos a analizar. Xiao Stenography: programa para revisar dentro de archivos .jpg,bmp ,gif si dentro de estos tipos de formatos existe algún documento escondidos Windows 7: sistema operativo usado en el equipo. Descripción de los hallazgos: Una vez usado el autopsy para la fases de análisis y viendo los pantallazos mostrados en esta fase se determino que el usuario elimino y modifico imágenes para ocultar las fotos de los diseños como hizo esto: el usuario dentro de unas fotos de mascotas en formato jpeg,gif 22 ,bmp uso un programa para ocultar dentro de estas las fotos de los diseños pero antes de usar ese programa coloco las fotos en un documento en Word, al usar el xiao stenography oculto dentro de las fotos batman forever.bmp y amor de perros.bmp los respectivos documentos con las fotos de los muebles.Nuestro equipo de investigación cuenta con herramientas como el xiao stenography para revisar las fotos que estaban dentro de la imagen de disco extrayendo las fotos que están dentro de la imagen binaria usando el autopsy y colocándolas en la carpeta export para revisarlas con el xiao. Herramientas usadas por el atacante Se puede decir que uso el programa XIAO STENOGRAPHY para hacer procesos de esteganografia , la cual se oculta dentro de imágenes con formatos bmp,gif,jpeg documentos Word con información que no se quiere mostrar o en este caso para esconder el fraude. También uso programas como Skype para comunicarse y enviar estos archivos o alguna cuenta de correo para enviar información a la persona como archivo adjunto. Vulnerabilidades Nuestro equipo detecto que la vulnerabilidad más grande que tiene la empresa MI CASITA FELIZ es una falta de políticas de seguridad informática en su organización, que son políticas de seguridad informática son un conjunto de normas para el manejo y cuidado de la información de la empresa aplicándola al uso de dispositivos hardware, software, redes, bases de datos, archivos, instalaciones y manejo del personal. Se evidencia que el personal de la empresa no tiene conciencia en temas de seguridad informática y en el manejo de los equipos de cómputo de la empresa. Alcance de la intrusión Esto es grave porque se le envía a la competencia información de los muebles diseñados y la competencia puede mejorar sus diseños y ganar mas dinero en el mercado.aqui podemos ver un caso de espionaje industrial. Recomendaciones La recomendación más importante que damos es establecer políticas de seguridad informática en el uso de los equipos de computo, manejo del correo , manejo del internet ,instalación de programas , uso de las instalaciones ,manejo de los datos corporativos. Estas normas con el fin de concientizar al personal de la empresa de que son responsables en el cuidado de la información e instalaciones de computo y que alguna falla o percance como el caso investigado puede afectar a futuro el patrimonio de la empresa. 23 Conclusiones de los hallazgos, pruebas, determinación de responsabilidades o no del inculpado. Dentro del análisis realizado a las evidencias recolectadas en el caso en mención, se lograron determinar las siguientes conclusiones: El señorPaul Kemsyel principal responsable en el robo de información ya que las pruebas indican que el cometió el delito, ya que se encontró en su computador una imagen con información oculta dentro de ella donde se evidenciaba que eran los nuevos diseños de la empresa Mi Casita Feliz; la cual fue enviada por correo electrónico a otra persona; por tal motivo este señor deberá ser entrevistado para que declare su responsabilidad en este delito. Otra conclusión es que el funcionario oculto archivosdentrodeimágenes MBP aplicando técnicas de Esteganografía,que es el arte de ocultar documentos dentro de un contenedor que por lo general es una imagen (gif o bmp)por ser formatos sencillos; oculto los nuevos diseños dentro de una imagen .BMP llamada amor de perros. Se evidencia instalación de software XiaoStenography para realizar Esteganografía y eliminación de archivos originales para disuadir responsabilidad. 24 REFERENCIAS Fases de la informática Forense, (2014), Informática Forense Helena Rifà Pous ,Jordi Serra Ruiz ,José Luis Rivas López.Análisis forense de sistemas informáticos. Disponible en: http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas %20informaticos.pdf http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf
Compartir