1 Trabajo_colaborativo_informatica forense_FINAL_233012_7_MI CASITA FELIZ

Vista previa del material en texto

1 
 
INFORMATICA FORENSE 
 
INFORME FINAL 
 
 
 
 
 
 
 
 
 
PRESENTADO POR: 
 
 
ING.GILBERT JAIR SANCHEZ AVILA 
 
 
 
 
 
GRUPO: 233012_7 
 
 
 
 
 
 
 
PRESENTADO A: 
 
ING-ESP. HAROLD EMILIO CABRERA MEZA 
Director del curso 
 
 
 
 
 
 
 
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD 
ESPECIALIZACION EN SEGURIDAD INFORMATICA 
MAYO 2015 
 
 
INTRODUCCIÓN 
 
 
 
2 
 
En este informe vamos a analizar un caso en el que se denuncia un caso de espionaje 
industrial y fuga de información ya que la empresa DISEÑAR MUEBLES se rumora que ha 
copiado diseño de los muebles de la empresa MI CASITA FELIZ perjudicando la 
productividad y su rol en el mercado debido a estos problemas. 
Basado en lo dicho por la gerente nuestro equipo procederá a buscar la evidencia dentro del 
dispositivo de almacenamiento del Sr. Kemssi que le fue entregado por la empresa para el 
trabajo y se busque señales de la información de diseños de los muebles y el fraude 
realizado. 
En este informe final mostraremos cada uno de los pasos a realizar junto con el software 
para esta finalidad y resolver el caso asignado a nuestro equipo. 
 
 
3 
 
CONTENIDO 
 
Mejorarla luego de que este todo terminado 
PAGINA: 
 
 
 
PORTADA ............................................................................................................................... 1 
INTRODUCCION ..................................................................................................................... 2 
CONTENIDO ........................................................................................................................... 3 
OBJETIVOS ............................................................................................................................ 4 
PLANTEAMIENTO DEL PROBLEMA ................................................................................... 5 
FASE IDENTIFICACION ......................................................................................................... 6 
FASE VALIDACION Y PRESERVACION ............................................................................... 7 
FASE ANALISIS Y DESCUBRIMIENTO EVIDENCIA ............................................................. 8 
FASE DE DOCUMENTACION Y PRESENTACION DE LAS PRUEBAS…………………… 20 
CONCLUSIONES DE LOS HALLAZGOS, PRUEBAS DETERMINACION DE 
RESPONSABILIDADES DE LOS IMPLICADOS………………………………………………..22 
 
REFERENCIAS ..................................................................................................................... 23 
 
 
4 
 
 
 
OBJETIVOS 
 
 
GENERAL 
 
Realizar el análisis forense de la imagen entregada para el caso de la empresa MI CASITA 
FELIZ, para encontrar las evidencias del fraude realizado y llevar el culpable ante las 
autoridades competentes. 
 
ESPECIFICOS 
 
• Buscar los archivos borrados y ocultos y demás movimientos que se hayan realizado 
en la imagen entregada. 
 
• Utilizar el programa AUTOPSY para realizar el peritaje de la imagen sea la versión 
para Windows o la incluida en CAINE para capturar pantallas y comprobar el análisis 
realizado encontrando las pruebas del caso. 
 
• Utilizar como apoyo la herramienta XIAO STENOGRAPHY para ayudar a buscar los 
documentos dentro de fotografías y probar el fraude y OSFORENSCIS para creación 
de imágenes binarias. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
 
 
 
PLANTEAMIENTO DEL PROBLEMA 
 
La señora Greia Smith, gerente general de le empresa MI CASITA FELIZ la cual diseña y 
elabora muebles para oficinas, empieza a inquietarse al ver sus diseños expuestos en un 
empresa de la competencia antes de su lanzamiento. Esto empieza desde el mes de 
noviembre de 2014 hasta el 10 de diciembre del 2014. Esto hace presumir que existe una 
fuga de información de su empresa y uno de sus empleados le está siendo desleal. 
 
Al indagar un poco entre el personal interno le comentan que en la empresa DISEÑAR 
MUEBLES que es la competencia de MI CASITA FELIZ, labora la enamorada del Sr. Paul 
Kemssi, esto hace sospechar a la gerente ya que el Sr Paul labora en la empresa MI CASITA 
FELIZ en el área de despachos. La Gerente Greia Smith encarga al personal de sistemas 
que analice algo dentro de los log del servidor de correo electrónico para ver si encontraban 
algo anormal. 
 
El informe del departamento de sistemas indica que lo único raro de la cuenta del Sr. Kemssi 
es el envío a una misma dirección unas 2 veces por semana durante el último mes la imagen 
de unos perros con el asunto: me haces falta y te envío otro. 
 
Esto inquieta un poco a la gerente de la empresa y contrata el análisis del forense de la 
unidad de almacenamiento de la cual se extrajo una imagen forense y se depara su 
investigación. 
 
La Gerente Greia Smith comenta que requiere se investigue el dispositivo de 
almacenamiento del Sr. Kemssi que le fue entregado por la empresa para el trabajo y se 
busque señales de la información de diseños de los muebles y el fraude realizado 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
6 
 
 
FASE DE IDENTIFICACION 
 
 
En esta fase procederemos a analizar que es el dispositivo de almacenamiento del Sr. 
Kemssi dialogando con la gerente consiguiendo información en su testimonio y recopilando 
datos basados en lo que ella nos redacte en los formularios diseñados para este fin. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
7 
 
 
FASE DE VALIDACION Y PRESERVACION 
 
 
Realizamos la preservación de la evidencia debido a que tenemos la copia de la imagen de 
disco guardada en nuestros equipos para empezar a realizar el análisis y con su respectivo 
código HASH Registro MD5: 90724097354e8426d01622fd776d32b3 el cual nos sirve para 
verificar que la imagen de disco es auténtica y solo el personal autorizado por nuestra 
empresa la pueda manipular. 
Tambien procederemos a realizar la cadena de custodia en cual se lleva un registro del 
personal autorizado que cuida y revisa la evidencia, ver las siguientes imagenes: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
8 
 
 
FASE DE ANALISIS Y DESCUBRIMIENTO DE LA EVIDENCIA 
 
Ahora vamos a proceder a la fase de análisis de la evidencia, esta fase es la que toma más 
tiempo pero es la que da los resultados en la investigación del caso dada, para esto vamos a 
usar el programa AUTOPSY de Windows, para proceder a analizar la imagen de disco que 
tenemos en custodia 
Vamos a mostrar unas imágenes de cómo el AUTOPSY procede a analizar la imagen binaria 
del disco duro a analizar: 
 
Como primera medida procedemos a crear el caso: 
 
 
 
Luego enumeramos el caso y colocamos el nombre de los investigadores, como indica la 
guía con las iníciales del primer nombre y primer apellido: 
 
 
9 
 
 
En esta imagen buscaremos la imagen que tenemos del caso para procederla a analizar: 
 
 
 
10 
 
 
 
 
Aquí configuramos la aplicación para que a esa imagen le busque los parámetros que vemos 
aquí en la foto: 
 
11 
 
 
Se procede a analizar la imagen de disco una vez configurada los parámetros de análisis: 
 
 
Esto es lo que nos muestra la herramienta en primera instancia: 
 
 
 
Observamos los archivos existentes generados en el proceso de análisis. 
 
 
12 
 
 
 
Al realizar un análisis inicial y teniendo en cuenta la información inicial suministrada por el 
departamento de sistemas de la empresa, se realizó una búsqueda de todas y cada una de 
las imágenes relacionadas con perritos, dando como resultado: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
logro encontrar una imagen llamada amor de perros. 
 
 
 
 
 
 
 
 
13 
Dentro de las imágenes encontradas encontramos una imagen sospechosa con el título amor 
de perros.bmp; por esta razón extraemos la imagen de disco para hacerle un estudio más 
detallado. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Como observamos la imagen sospechosa que índico el área de sistemas en su reporte inicial 
esta en formato BMP y cuyo tamaño es exagerado para la calidad de la misma. Por lo 
anteriorse puede continuar con un análisis de Esteganografíapara determinar si existe 
algún archivo oculto. 
 
 
14 
 
Al tener la imagen en nuestro equipo nos disponemos a hacerle un análisis con la 
herramienta XiaoSteganography, dando como resultado que efectivamente dentro de esta 
imagen hay un archivo oculto. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
El archivo encontrado es un archivo de Word y contiene información de diseños de 
ArtMuebles como lo vemos en la siguiente imagen, se adjunta archivo extraído: 
 
 
15 
amor de perros.doc
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Analizando los archivos eliminados encontramos que el archivo original usado para el 
ocultamiento del documento de Word enviado fue suprimido y tenía un tamaño mucho menor 
lo que confirma la hipótesis del uso de Esteganografía. 
 
 
 
 
16 
Al analizar las imágenes encontradas en todo el HDD observamos que existe otra con 
características similares en tamaño exagerado y en formato BMP, vemos el archivo batman 
forever.bmp 
 
 
 
 
 
Al extraerlo vemos las propiedades y como se mencionó antes no es normal en las 
dimensiones de esa imagen BMP tener ese peso tan exagerado. 
 
 
 
 
17 
Realizamos el proceso de extracción con la aplicación XiaoStenography y observamos que 
encuentra otro documento de Word. 
 
 
Después del proceso obtenemos el archivo: 
 
 
 
 
 
 
 
 
 
 
 
Aquí adjuntamos 
el archivo 
extraído como 
evidencia de la 
fuga de 
información: 
 
batman forever.doc
 
 
 
 
Y encontramos que el documento está otros diseños que fueron enviados a la competencia: 
 
18 
 
 
Al igual que la imagen amor de perros.bmp encontramos la de batman forever.bmp en los 
archivos eliminados, lo que indica que se usaron las imágenes y se eliminaron cundo ya se 
tenían cargados los documentos de Word en las nuevas imágenes. 
 
 
 
La evidencia que sustenta aún más el uso de Esteganografía es que en la carpeta programas 
encontramos el instalador y el acceso directo al programa XiaoStenography con ello se 
 
19 
demuestra que en dicho PC se ocultó la información en imágenes BMP con el uso de este 
software. 
 
 
 
Con el programa OSForensics, en el menú Deleted Files Search>Timeline podemos 
apreciar las fechas en que se ha realizado la actividad de borrado de archivos imagen 
alterados con el programa XiaoStenography, corresponde exactamente a los meses de 
Agosto y Septiembre de 2010: 
 
 
Observando con mas detalle el dia Septiembre 28 de 2010 a las 11:00 a.m., presenta 
una actividad de 6 arcihvos de imagen que fueron borrados: 
 
20 
 
 
 
 
 
 
21 
 
 
FASE DE DOCUMENTACION Y PRESENTACION DE LAS PRUEBAS 
 
En esta fase mostraremos a la gerente un informe ejecutivo (documento aparte) resumiendo 
todo lo sucedido y la solución del caso, en este informe mostraremos unos ítems(vamos 
resumiendo aquí el informe de los pantallazos mostrados en la fase de análisis) que se 
deben tener en cuenta para el informe técnico que es más detallado. 
 
Antecedentes: 
 
En este caso podemos usar la información dada en planteamiento del problema 
 
Recolección de los datos: 
 
Se recolectan hablando con la gerente que es la afectada del caso, también con formularios 
diseñados para recolectar evidencia y características tenicas del equipo afectado por el 
fraude. 
 
Descripción de la evidencia: 
 
La evidencia en este caso que vamos a analizar es el disco duro del señor Kemsy que es de 
un 1TB, su computador es un Lenovo con 4BG de RAM y procesador CORE 3 
 
Entorno de análisis: 
 
Para este caso usamos el software autopsy en su versión Windows para poder analizar la 
imagen ya creada del equipo afectado usando Osforensics. 
 
Herramientas utilizadas: 
 
El computador se investigo con las siguientes herramientas: 
 
Autopsy: software especial que nos permite realizar análisis a imágenes binarias de discos 
duros y dispositivos de almacenamiento, buscando archivos, eliminados, modificados , 
información de los correos , archivos del mismo tipo independiente de su extensión , Logs 
entre otras cosas. 
Osforensics: este programa nos sirve para crear la imagen binaria de la copia analizar con 
su respectivo Hash, también nos sirve para analizar características hardware de los equipos 
a analizar. 
Xiao Stenography: programa para revisar dentro de archivos .jpg,bmp ,gif si dentro de estos 
tipos de formatos existe algún documento escondidos 
Windows 7: sistema operativo usado en el equipo. 
 
Descripción de los hallazgos: 
 
Una vez usado el autopsy para la fases de análisis y viendo los pantallazos mostrados en 
esta fase se determino que el usuario elimino y modifico imágenes para ocultar las fotos de 
los diseños como hizo esto: el usuario dentro de unas fotos de mascotas en formato jpeg,gif 
 
22 
,bmp uso un programa para ocultar dentro de estas las fotos de los diseños pero antes de 
usar ese programa coloco las fotos en un documento en Word, al usar el xiao stenography 
oculto dentro de las fotos batman forever.bmp y amor de perros.bmp los respectivos 
documentos con las fotos de los muebles.Nuestro equipo de investigación cuenta con 
herramientas como el xiao stenography para revisar las fotos que estaban dentro de la 
imagen de disco extrayendo las fotos que están dentro de la imagen binaria usando el 
autopsy y colocándolas en la carpeta export para revisarlas con el xiao. 
 
Herramientas usadas por el atacante 
 
Se puede decir que uso el programa XIAO STENOGRAPHY para hacer procesos de 
esteganografia , la cual se oculta dentro de imágenes con formatos bmp,gif,jpeg documentos 
Word con información que no se quiere mostrar o en este caso para esconder el fraude. 
También uso programas como Skype para comunicarse y enviar estos archivos o alguna 
cuenta de correo para enviar información a la persona como archivo adjunto. 
 
Vulnerabilidades 
 
Nuestro equipo detecto que la vulnerabilidad más grande que tiene la empresa MI CASITA 
FELIZ es una falta de políticas de seguridad informática en su organización, que son 
políticas de seguridad informática son un conjunto de normas para el manejo y cuidado de la 
información de la empresa aplicándola al uso de dispositivos hardware, software, redes, 
bases de datos, archivos, instalaciones y manejo del personal. 
 Se evidencia que el personal de la empresa no tiene conciencia en temas de seguridad 
informática y en el manejo de los equipos de cómputo de la empresa. 
 
 
Alcance de la intrusión 
 
Esto es grave porque se le envía a la competencia información de los muebles diseñados y 
la competencia puede mejorar sus diseños y ganar mas dinero en el mercado.aqui podemos 
ver un caso de espionaje industrial. 
 
Recomendaciones 
 
 
La recomendación más importante que damos es establecer políticas de seguridad 
informática en el uso de los equipos de computo, manejo del correo , manejo del internet 
,instalación de programas , uso de las instalaciones ,manejo de los datos corporativos. Estas 
normas con el fin de concientizar al personal de la empresa de que son responsables en el 
cuidado de la información e instalaciones de computo y que alguna falla o percance como el 
caso investigado puede afectar a futuro el patrimonio de la empresa. 
 
 
 
 
 
 
 
 
23 
 
 
 
 
Conclusiones de los hallazgos, pruebas, determinación de responsabilidades o no del 
inculpado. 
 
Dentro del análisis realizado a las evidencias recolectadas en el caso en mención, se 
lograron determinar las siguientes conclusiones: 
 
 El señorPaul Kemsyel principal responsable en el robo de información ya que las 
pruebas indican que el cometió el delito, ya que se encontró en su computador una 
imagen con información oculta dentro de ella donde se evidenciaba que eran los 
nuevos diseños de la empresa Mi Casita Feliz; la cual fue enviada por correo 
electrónico a otra persona; por tal motivo este señor deberá ser entrevistado para que 
declare su responsabilidad en este delito. 
 
 Otra conclusión es que el funcionario oculto archivosdentrodeimágenes MBP 
aplicando técnicas de Esteganografía,que es el arte de ocultar documentos dentro de 
un contenedor que por lo general es una imagen (gif o bmp)por ser formatos sencillos; 
oculto los nuevos diseños dentro de una imagen .BMP llamada amor de perros. 
 
 Se evidencia instalación de software XiaoStenography para realizar Esteganografía y 
eliminación de archivos originales para disuadir responsabilidad. 
 
 
 
 
 
 
 
 
24 
REFERENCIAS 
 
 
Fases de la informática Forense, (2014), Informática Forense 
 
 
Helena Rifà Pous ,Jordi Serra Ruiz ,José Luis Rivas López.Análisis forense 
de sistemas informáticos. Disponible en: 
http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas
%20informaticos.pdf 
 
http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf
http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf