Vista previa del material en texto
1 INFORMATICA FORENSE Trabajo colaborativo 2 PRESENTADO POR: ING.GILBERT JAIR SANCHEZ AVILA GRUPO: 233012_7 PRESENTADO A: ING-ESP. HAROLD EMILIO CABRERA MEZA Director del curso UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD ESPECIALIZACION EN SEGURIDAD INFORMATICA ABRIL 2015 2 INTRODUCCIÓN En este segundo informe colaborativo nuestro equipo va analizar la información obtenida de un disco duro con su clave SHA1 para preservar la imagen e información contenida en manos equivocadas,usando el programa AUTOPSY procederemos a analizar este disco para darle solución al enunciado que está en planteamiento del problema, también no solo usaremos este programa sino la información dada en el material didáctico del curso de informática forense y la última pero no menos importante nuestro criterio como futuros investigadores y profesionales de la seguridad informática. Esperamos que lo mostrado en este informe sirva como alternativa de solución de algún caso similar en el futuro. 3 CONTENIDO PAGINA: ❖ Portada ............................................................................................................................... 1 ❖ Introducción ................................................................................................................. 2 ❖ Contenido ..................................................................................................................... 3 ❖ Planteamiento del problema ............................................................................................. 4 ❖ Preguntas del caso ...................................................................................................... 5 ❖ Solución preguntas del caso ...................................................................................... 6 ❖ Conclusiones.............................................................................................................. 24 ❖ Referencias ................................................................................................................. 25 4 PLANTEAMIENTO DEL PROBLEMA La entidad educativa Golden reconocida empresa del sector educativo dirigida por la Dra. Raquel Sanders ha mostrado en los últimos meses gastos excesivos en material de papelería para su entidad, la Dra. Sanders giró los dineros del mes de febrero de 2015 de acuerdo al reporte realizado en una hoja de cálculo llamado 20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx que le envía su amiga y funcionaria la Sra. Dora Michel para que realice las compras correspondientes de ese mes. También comenta la Dra. Sanders que inexplicablemente su listado de empresas de la zona franca se perdió de su computador de trabajo siendo la única copia que se tenía de dicha información y con la que contaba para realizar alianzas educativas en su región. La Dra. Sanders en su confusión no se explica cómo se perdió la información de las empresas ya que todo se maneja en una red computacional con privilegios. Algo que ha llamado la atención, es que, se ha observado a la Sra. Michel algunas veces en los café internet cercanos a la entidad educativa donde confluyen muchos estudiantes de varias universidades algo sospechoso porque la funcionaria tiene oficina propia en la entidad educativa Golden. En su afán de observar los pasos de su funcionaria la Dra. Sanders comenta el caso a sus ingenieros de la entidad los cual proceden acertadamente a comentar el caso a las autoridades quienes avalan la realización de una imagen binaria del disco duro de la funcionaria Dora Michel la cual se resguarda bajo un protocolo adecuado de cadena de custodia con registro SHA1: 551bb28deb960af92fd0bf08258b9d8d6fbde091 Link descarga: https://www.dropbox.com/s/ige8biuse3wsyiu/551bb28deb960af92fd0bf08258b9d8d6fbde091.img?dl=0 Que quedó en manos de los peritos informáticos para su análisis https://www.dropbox.com/s/ige8biuse3wsyiu/551bb28deb960af92fd0bf08258b9d8d6fbde091.img?dl=0 5 PREGUNTAS DEL CASO El grupo de peritos informáticos (grupo colaborativo) los cuales tiene la imagen a examinar deben proceder con lo siguiente: Realizar un informe técnico únicamente con los siguientes criterios que permitan esclarecer el caso. • Identificar el sistema operativo y las acciones a realizadas para preservar la información de la imagen suministrada. • ¿Qué cuidados se aplicaron en la evidencia entregada? • ¿Cómo se obtuvo de la reconstrucción de la secuencia del ataque? • ¿Qué aspectos se tuvieron en cuenta para la preparación del análisis de la imagen suministrada? • ¿Qué se determinó como tipo de ataque realizado? • Informe de Análisis de la evidencia recolectada: buscar todos los archivos que se involucran con el caso que pudieron ser renombrados, creados o modificados, valor del fraude realizado en el mes de febrero, correos enviados y destinatarios • Conclusiones de los hallazgos, pruebas, determinación de responsabilidades o no de la inculpada Utilice Autopsy para verificar la evidencia. (Versión Windows o Linux a su gusto) 6 SOLUCION PREGUNTAS DEL CASO Haciendo un resumen de lo que va del caso hasta ahora hicimos la fase de identificación del objeto que se va a investigar en este caso es el disco duro de la funcionaria Dora Michel con base a la solicitud forense realizada a la Dra. Raquel Sanders donde ella nos da información sobre el caso y características del equipo con base a unos formularios que ella diligencia para tener mejor información del caso, también se hizo la fase de validación y preservación en cual hicimos una imagen exacta del contenido de la evidencia que es el disco duro de esta funcionaria y le asignamos un código SHA1: 551bb28deb960af92fd0bf08258b9d8d6fbde091 ayudados con programas como OSFORENSICS esto con el fin de evitar que persona no autorizado de nuestra organización, manipule la evidencia a favor de la funcionaria investigada. Ahora vamos a proceder a la fase de análisis de la evidencia, esta fase es la que toma más tiempo pero es la que da los resultados en la investigación del caso dada, para esto vamos a usar el programa AUTOPSY de Windows, para proceder a analizar la imagen de disco que tenemos en custodia Vamos a mostrar unas imágenes de cómo el AUTOPSY procede a analizar la imagen binaria del disco duro a analizar: Como primera medida abrimos el programa AUTOPSY, le colocamos un nombre al caso y ese caso lo guardamos en una ubicación de nuestro equipo que usamos en nuestra organización para guardar las imágenes de disco a analizar • Luego procedemos a enumerar el caso y colocamos en examinador el nombre de un funcionario de nuestra organización que procederá con el análisis: • Luego seleccionamos que queremos analizar una imagen de disco que ya tenemos resguarda anteriormente en nuestro equipo base y su ubicación donde tenemos guarda la copia binaria: • Aquí podemos observar la imagen binaria del disco duro dela funcionaria investigada, la seleccionamos para que nuestro programa comience a hacer el respetivo análisis: Una vez el programa ha terminado de hacer el análisis podemos ver en la parte izquierda de la siguiente imagen, un árbol de directorios con características de la imagen binaria analizada, para más adelante nuestro equipo procederá a revisar esas características y ayudar a dar respuesta a las preguntas del caso de la funcionaria. 7 • Identificar el sistema operativo y las acciones a realizadas para preservar la información de la imagen suministrada. Como primera medida tenemos que aislar la zona donde está la evidencia es decir aislar la oficina de la funcionaria investigada ya que aparte del computador como tal podemos encontrar documentos, notas escritas a mano memorias USB, CD, DVD entre otros quenos ayudaran a investigar el caso y restringir el acceso a personas no autorizadas en especial la persona sospechosa, ya que al acceder a la oficina podría borrar información o adulterarla, incluso dañar el computador que se va investigar, revisamos las conexiones del equipo si están en buen estado o el equipo esta prendido en ese momento, hacer una documentación del estado inicial de la máquina, una forma de hacerlo sería tomarle fotos al monitor del computador investigado mostrando en la foto lo que se ve en pantalla y anotar los programas en ejecución, dado caso proceder a apagar la maquina retirando el cable de alimentación de la pared. Si miramos con calma lo hecho por la herramienta AUTOPSY es decir mirando los archivos cuidados y las características de este programa nos puede decir el sistema operativo, ver la siguiente imagen: 8 En la parte izquierda de la foto donde está el rectángulo de borde verde podemos ver que la imagen binaria tiene las carpetas distribuidas como cualquier Windows, si le damos clic a la carpeta desktop y miramos los archivos que están en la parte derecha aparece uno con el nombre desktop.ini al seleccionarlo miramos la información que está dentro del rectángulo con borde rojo y vemos que una de las rutas de acceso a ese archivo es system32, el cual es una carpeta características de los Windows . • ¿Qué cuidados se aplicaron en la evidencia entregada? Para hacer la recolección de la información se debe tener en cuenta la severidad y categoría del caso que se está analizando y así lograr determinar que evidencias se deben recolectar;estableciendo la importancia y contundencia de cada una de las evidencias que tomadas. Para realizar lo anteriormente dicho debemos mantener intactos todos y cada uno de los hallazgos encontrados en la escena del crimen. Dentro de los cuidados que se tuvieron en 9 cuenta en la recolección,fue la creación y verificación de copias de los medios informáticos que serán analizados durante la investigación; a continuación se creó la documentación donde quedó plasmada la información de los procedimientos y herramientas que se utilizaron en el análisis de la información recolectada.Además de esto se realizó un informe y presentación de los resultados de la investigación; loscuales serán entregados a la entidad educativa Golden. Para la realización de todo esto debimos tener en cuenta que la cadena de custodia de las evidencias encontradas debió ser las más rigurosa, para que no haya ninguna alteración de la misma y por último se realizó una auditoria a todas y cada uno de las actividades realizadas durante el desarrollo de la investigación, para garantizar los resultados obtenidos en todo el proceso de análisis forense. • ¿Cómo se obtuvo de la reconstrucción de la secuencia del ataque? Tendremos que crear una línea temporal de sucesos procurando recopilar información sobre los ficheros como: -Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado). - Ruta completa. - Tamaño en bytes y tipo de fichero. - Usuarios y grupos a quien pertenece. - Permisos de acceso. - Si fue borrado o no. Ordenando los archivos por sus fechas MACD, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros más antiguos, para mirar la línea de tiempo en AUTOPSY se ve de esta manera: 10 Esta opción la buscamos en la barra superior del programa donde dice tools y luego le damos clic a la opción timeline. Con el programa AUTOPSY tenemos que buscar ficheros y directorios que han sido creados, modificados o borrados recientemente o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes, la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar, como por ejemplo en los directorios temporales. Para guiarnos nos centraremos primero en buscar los archivos de sistema modificados tras la instalación del sistema operativo, averiguar después la ubicación de los archivos ocultos, de qué tipo son, identificar también los archivos borrados o LOGS que es un registro oficial de eventos durante un rango de tiempo en particular, lo usamos para revisar datos o información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo o aplicación, tambiéncon ayuda del programa AUTOPSY al revisar la sección de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado compararla con la actividad del resto de los archivos, ya con esto tendremos indicio de las acciones que hizo la funcionaria, por ejemplo veamos la siguiente foto: Si vemos la foto en el recuadro con borde verde podemos ver la sección donde están los archivos borrados, si los seleccionamos podemos ver en la parte derecha de la foto recuadro borde rojos los archivos eliminados y sus características a partir de aquí tenemos que revisar los archivos con más detalle, para poder probar si la funcionaria investigada elimino algún archivo del equipo y que tiene información relevante para investigar el caso. 11 • ¿Qué aspectos se tuvieron en cuenta para la preparación del análisis de la imagen suministrada? Al iniciar la investigación el equipo forense adecuo el sitio donde se va a desarrollar el proceso, iniciando en realizar una copia o copias exactas de la imagen recolectada como evidencia para evitar el daño de los discos originales; estas imágenes deben ser montadas en el equipo tal cual estaban montadas en el sistema que recibió el ataque. Para hacer un análisis efectivo debemos tener como mínimo dos estaciones de trabajo. En la primera estación debemos tener dos discos duros; en uno de los cuales se instalara un sistema operativo que tendrá la función de anfitrión y que servirá de plataforma para el estudio de todas y cada una de las evidencias. Y en el otro guardaremos las imágenes que tomamos como evidencia del equipo atacado, teniendo en cuenta que el sistema de archivos del disco duro debe ser idéntico al del disco duro del equipo atacado. En la segunda estación de trabajo instalaremos la imagen recolectada como evidencia; donde debemos tener en cuenta que el sistema operativo debe quedar configurado exactamente como estaba en la maquina atacada. Al tener esta infraestructura montada se comenzara a analizar las evidencias, de tal manera que logremos crear una línea de tiempo en donde se recopilara de manera cronológica, los eventos o acciones que se realizaron en el equipo atacado. La idea de realizar este proceso es la de buscar tanto ficheros como directorios que hayan sido creados, modificados o borrados durante el ataque; además de esto se hará un rastreo de los programas que se instalaron posteriormente a la instalación del sistema operativo. Teniendo en cuenta que debemos analizar todos los ficheros ya que los atacantes crearan rutas poco convencionales para instalar sus aplicaciones con el objetivo de no ser detectados. • ¿Qué se determinócomo tipo de ataque realizado? Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes. Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. • Informe de Análisis de la evidencia recolectada: buscar todos los archivos que se involucran con el caso que pudieron ser renombrados, creados o modificados, valor del fraude realizado en el mes de febrero, correos enviados y destinatarios 12 Si revisamos los archivos eliminados podemos ver que el archivo de la zona franca se encuentra eliminado ver imagen: Esto es lo que nos aparece en la sección metadata (si le damos clic a esa pestaña, ver imagen anterior), indicando características del archivo como su fecha de acceso (accesed), creación (created), modificado (changed): Name /img_551bb28deb960af92fd0bf08258b9d8d6fbde091.img/Downloads/lista- empresas-zona-franca.xls Type File System Size 264704 File NameAllocation Unallocated MetadataAllocation Allocated Modified 2015-03-05 13:04:42 COT Accessed 2015-03-16 14:53:01 COT Created 2015-03-16 14:43:08 COT Changed 2015-03-16 14:46:15 COT 13 MD5 7cf4250840d9d2baa375ab2cafa8aa56 Hash LookupResults UNKNOWN Internal ID 56 Si miramos la sección donde dice office (21) (ver en la imagen recuadro verde) y le damos clic vemos que aparece el archivo: 20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx podemos ver en esta imagen el recuadro con borde negro las propiedades que aparecen en metadata como cuando fue accedido, modificado, creado etc… Estos son los datos que aparecen en la sección demetadata con respecto a las fechas del archivo en cuanto a modificación, accesos y cambios. 14 Modified 2015-03-06 15:14:19 COT Accessed 2015-03-16 14:43:31 COT Created 2015-03-16 14:43:09 COT Changed 2015-03-09 15:53:20 COT Esto nos indica que ese archivo efectivamente ha sido modificado y para confirmar todo esto si observamos el archivo llamado lulu.gif que se encuentra en el ítem de resultados en específico en extracción de contenido, vemos que el archivo efectivamente ha sido modificado ya que contiene la información de la entidad educativa Golden. 15 Adicionalmente a lo anteriormente analizado, si revisamos la carpeta de descargas encontramos el archivo de lista de empresas zona franca. También vemos que la funcionaria al usar sus correos envió dentro de un archivo llamado reconocimiento_fundamentos_de_mercadeo-1.docx información sobre 20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsxver siguiente foto: 16 17 Si miramos esta foto con más detalle vemos que en el recuadro de borde verde vamos a revisar los correos de la funcionaria y vemos cada uno de los documentos que aparecen ahí vemos que en el que esta demarcado con azul y al revisar lo que aparece en la sección text, si seguimos bajando en la sección text vemos que aparece el listado de proveedores de insumos ya mencionado en el caso. Asi se ve ese archivo si seguimos bajando en la sección text. Y esto es que lo nos aparece en la sección metadata en cuanto a sus fechas de modificación: MetadataAllocation Allocated Modified 2015-03-16 15:04:21 COT Accessed 2015-03-16 15:04:21 COT Created 2015-03-16 14:43:08 COT Changed 2015-03-16 15:04:22 COT MD5 6f6d4c332673cfe599988839231a3fdb Hash LookupResults UNKNOWN Internal ID 59 Si observamos la siguiente imagen, podemos apreciar el correo electrónico (Cristcamiriya200168@hotmail.com) al cual fue enviada la información de las empresas dentro del archivo reconocimiento_fundamentos_de_mercadeo-1.docx. 18 Por la extensión del archivo reconocimiento_fundamentos_de_mercadeo-1.docx, podemos deducir que fue creado en un editor de texto Office 2010 o una versión posterior. Observando el archivo lista-empresas-zona-franca.xls, se puede decir que fue creado en Office 2007 o posterior. Los dos archivos llamadosreconocimiento_fundamentos_de_mercadeo-1.docx y lista- empresas-zona-franca.xls son archivos que normalmente se editan o se crean bajo sistema operativo Windows por su fácil manejo de ventanas. Si extraemos el archivo reconocimiento_fundamentos_de_mercadeo-1.docx y buscamos dentro de este el correo electrónico Cristcamiriya200168@hotmail.com, encontramos que este pertenece a una famiempresa llamada Rapitienda el mana de la 27, que se dedica a comercializar víveres y abarrotes a la comunidad del sector. mailto:Cristcamiriya200168@hotmail.com 19 Extrayendo el archivo lista-empresas-zona-franca.xls de la imagen, abriéndolo observamos que tiene cuatro hojas de cálculo llamadas LISTA TOTAL, PROCESADORAS Y DE SERVICIOS, COMERCIALIZACION COMPLEMENTARIA y COMERCIALIZADORAS Y SERVICIOS, haciendo un recorrido por estas hojas de cálculo se puede apreciar su contenido donde las hojas llamadas PROCESADORAS Y DE SERVICIOS, COMERCIALIZACION COMPLEMENTARIA y COMERCIALIZADORAS Y SERVICIOS, son clasificación de LISTA TOTAL. 20 Si extraemos de la imagen del disco el archivo encontrado llamado lulu.gif, el tratar de abrirlo con la extensión .gif nos trata de mostrar su contenido en ventana del navegador. Como no es posible ver su contenido se cambia al archivo lulu.gif por lulu.xls, teniendo una respuesta positiva pues al abrir el archivo se puede apreciar el mismo contenido del archivo llamado lista-empresas-zona-franca.xls, lo que indica que el archivo lulu fue renombrado con extensión de archivo imagen para pasar desapercibido. 21 22 23 Haciendo una búsqueda por textos en la Imagen RAW del HDD cargada podemos apreciar que al buscar insumos de oficina encontramos la siguiente similitud: Donde podemos apreciar los archivos utilizados para sacar la información confidencial de las compras de papelería que ha tenido la entidad. A continuación también observamos los movimientos que se realizaron con los archivos descargados y modificados para extraer la información de la compras. El archivo descargado inicialmente es un trabajo colaborativo de la universidad, pero después es eliminado y reemplazado por uno con él la información de las compras al final del mismo. 24 Conclusiones de los hallazgos, pruebas, determinación de responsabilidades o no de la inculpada. Dentro del análisis realizado a las evidencias recolectadas en el caso en mención, se lograron determinar las siguientes conclusiones: La señora Dora Michel es la principalmente responsable en el ataque ya que todas las pruebas indican que ella cometió el delito de robo de información, ya que se encontró información en su equipo de la entidad educativa Golden; la cual fue modificada, eliminada y enviada por correo electrónico a otra persona; por tal motivo esta señora deberá ser entrevistada para que declare su responsabilidad en este delito. Con ayuda de software AUTOPSY fue posible el análisis detallado de la imagen binario del disco duro de la funcionaria Dora Michel donde fue posible verificar que el archivo llamado listado de empresas zona franca que se encuentra en una hoja de cálculo con formato Excel, fue descargado en el disco duro de la funcionaria en mención, quien ha cambiado su nombre y extensión del archivo para no llamar la atención. La funcionaria creyó que lo más conveniente sería borrar todos los archivos de sus carpetas donde tuvieron actividad y de esta manera no quedaría rastro, pero el análisis de la imagen del disco duro demuestra las pruebas para vincular a la funcionaria como responsable de extracción del archivo importante ya mencionado Otra conclusión es que la funcionaria oculto un archivo dentro de una imagen aplicando técnicas de estenografía,que es el arte de ocultar documentos dentro de un contenedorque por la general es una imagen (gif o bmp)por ser formatos sencillos oculto el listado de empresas de zona de franca dentro de una imagen .gif llamada lulu, para saberlo nuestro grupo usando el AUTOPSY reviso la sección extracted content ,luego en la sección extracted mismatch detected nos aparece el la imagen lulu.gif y al revisar la parte de abajo donde dice text podemos ver que aparece el listado de la zona franca. Podemos decir que uso los correos electrónicos para enviar información de los listados de insumos de oficina (el archivo Excel perdido) en un documento en Word con otro nombre (reconocimiento_fundamentos_de_mercadeo-1.docx) y tiempo después si miramos los archivos eliminados aparece ese documento en Word eliminado para evitar dejar rastros del fraude cometido Podemos con toda información dada en el informe asegurar que la funcionaria cometido fraude y que tiene que responder ante las autoridades por los delitos informáticos cometido en cuanto a daño informático y violación de datos personales según las leyes colombianas. Agradecimientos al ING-ESP. HAROLD EMILIO CABRERA MEZA por la asesoría dada a lo largo de la creación de este informe, también por el material didáctico del curso que nos ha servido para desarrollar este informe 25 REFERENCIAS 1. Fases de la informática Forense, (2014), Informática Forense Cabrera H. (2013). Recolección de evidencia disponible en: http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_recoleccion%20evidencia %20digital.pdf 2. Hacking Evidencia digital, disponible en: http://books.google.com.co/books?id=3sX7u6chKPEC&pg=PA39&dq=evidencia+digita l&hl=es&sa=X&ei=HgOBUvq_BrLksASw1IGwBQ&redir_esc=y#v=onepage&q=evidenc ia%20digital&f=false 3. Analisis Forense De Sistemas Gnu, Dittrich David, disponible en: http://librosgratis.net/book/analisis-forense-desistemas-gnu-pdf_47496.html 4. Cabrera H (2013). Herramientas usadas eninformática forense, disponible en:http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_herramientas%20de% 20software%20utilizadas.pdf 5. Cabrera H (2013). Desarrollo de un caso, disponible en: http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_desarrollo%20de%20un %20caso.pdf 6. Pruebas electrónicas ante los tribunales en lalucha contra la cibercriminalidad, Autor: Insa Mérida, Fredesvinda; Lázaro Herrero,Carmen; García González, Nuria, disponible en: http://biblioteca.universia.net/html_bura/ficha/params/title/pruebas-electronicas- tribunales-luchacibercriminalidad-proyectoeuropeo/id/44757714.html http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_recoleccion%20evidencia http://books.google.com.co/books?id=3sX7u6chKPEC&pg=PA39&dq=evidencia%2Bdigita http://librosgratis.net/book/analisis-forense-desistemas-gnu-pdf_47496.html http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_herramientas%20de%25 http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_herramientas%20de%25 http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_desarrollo%20de%20un http://biblioteca.universia.net/html_bura/ficha/params/title/pruebas-electronicas-