Análisis Forense de una memoria USB Alonso Eduardo Caballero Quezada Consultor de iDev Consultores en T.I. S.A.C. Consultor de NPROS S.A.C. Brainbench Computer Forensics (U.S.) GIAC – SSP CNSA
Página web: http://www.ReYDeS.com Correo electrónico:
[email protected] Trujillo, Perú 22 de Mayo del 2010
iDev Consultores en T.I. S.A.C. / www.idev.pe
Temario * ¿Computer Forensics? * Elementos de un buen proceso Forense * Proceso Forense * Todo es 0 y 1 * USB * Memoria USB * Caso Real BTR * ¿Preguntas, comentarios, sugerencias?
iDev Consultores en T.I. S.A.C. / www.idev.pe
¿Computer Forensics? Es una rama de la ciencia forense que compete a la evidencia legal encontrada en computadoras y medios de almacenamiento digitales. El cómputo Forense también se conoce como Forense Digital. El objetivo del Cómputo Forense es explicar el estado actual de un artefacto digital. El término artefacto digital puede incluir un sistema de cómputo, un medio de almacenamiento (como un disco duro o DVD), un documento electrónico (un mensaje de correo electrónico o imagen JPEG) o una secuencia de paquetes en movimiento en una red de computadoras. La explicación puede ser tan simple como responder a la pregunta; ¿Qué información hay aquí ? y que se detalla respondiendo a la pregunta; ¿Cual es la secuencia de eventos responsables de la situaci ón actual? Algunas razones para aplicar técnicas de cómputo forense pueden ser; en casos legales utilizado para analizar computadoras que pertenecen a los acusados (casos penal) o litigantes (casos civil), recuperar datos, para determinar como una atacante obtuvo acceso, obtener evidencia contra un empleado, etc. Fuente: Wikipedia.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Elementos de un buen proceso Forense * Validación cruzada de los hallazgos * Manejo adecuado de la evidencia * Completar la investigación * Administración de archivos (Backups, Originales) * Competencia técnica * Justificación y definición explícita del proceso * Cumplimiento legal * Flexibilidad
iDev Consultores en T.I. S.A.C. / www.idev.pe
Proceso Forense Basado en Electronic Discovery Reference Model (EDRM) – Modelo de Referencia de Descubrimiento Electrónico.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Todo es 0 y 1 Las capas de una computadora Aplicaci ón Sistema Operativo BIOS (Basic Input Ouput System) Hardware
Tipos de Medios de almacenamiento Disco Duro (Hard Disk) Unidades Flash USB DVD CDROM Disco Flexible (Floppy Disk)
iDev Consultores en T.I. S.A.C. / www.idev.pe
USB USB (Universal Serial Bus) Bus Universal Serie, es un puerto que se utiliza para conectar periféricos a una computadora. Fue creado en 1996 por siete empresas. El diseño del USB tenía como propósito eliminar la necesidad de adquirir tarjetas separadas para que sean colocadas en los puertos bus ISA y PCI, además de mejorar las capacidades Plug And Play, permitiendo a estos dispositivos ser conectados o desconectados del sistema sin la necesidad de reiniciar. Sin embargo en aplicaciones donde se necesita un ancho de banda para grandes transferencias de datos o una latencia baja, los buses tradicionales salen ganando. El USB puede conectar periféricos como; ratones, teclados, escáners, cámaras digitales, teléfonos móviles, reproductores multimedia, impresoras, discos duros externos, tarjetas de sonido, sistemas de adquisición de datos y componentes de red. Fuente: Wikipedia.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Memoria USB Una memoria USB, pendrive, USB Flash Drive, es un dispositivo de almacenamiento que utiliza memoria flash para guardar Información. La memoria flash es una memoria tipo EEPROM que permite realizar operaciones de escritura y borrado de varias posiciones de memoria a la vez, mediante impulsos eléctricos. Por ello pueden funcionar a velocidad superiores cuando los sistemas emplean lectura y escritura en diferentes puntos de la memoria al mismo tiempo. EEPROM siglas traducidas al español de ROM programable y borrable electrónicamente. Es un tipo de memoria ROM que puede ser programado, borrado y reprogramado electrónicamente. Aunque puede ser leída un número ilimitado de veces, solo puede ser reprogramada entre 100 mil y 1 millón de veces. Fuente: Wikipedia.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR A continuación se procede a realizar un breve análisis de este caso.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Cronología: 8 enero 2009. Giselle Giannotti es detenida y, entre otras cosas, le incautan dos USB. 12 enero 2009. Giannotti autoriza a la policía y el fiscal revisar sus archivos electrónicos, incluidos los USB, de 1GB y 2GB. 13 febrero 2009. Jueza María Martínez pide al fiscal entregar todos los archivos electrónicos de BTR, incluidos los de Giannotti. 3 de abril 2009. Jueza traslada su despacho al cuarto piso de Palacio de Justicia. 28 abril 2009. Fiscal solicita por tercera vez a la jueza priorizar revisión de USBs de Giannotti, pero la jueza dice no. 5 marzo 2010. Se inicia visualización de USBs de Giannotti. Se detecta que los USBs han sido manipulados. 17 y 22 marzo 2010. Peritos y veedores confirman que los USBs de Giannotti tuvieron un último acceso y modificación el 4 de mayo del 2009. En esa fecha se borraron archivos. Fuente: http://www.larepublica.pe/archive/all/larepublica/20100326/1/pagina/01
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Personal Presente: Mayor PNP (Personal Técnico PNP), Comandante PNP(Dirandro PNP), Representante del Ministerio Público, Fiscal Adjunta Provincial de la 3era Fiscalia contra La Criminalidad Organizada, el abogado, la detenida. etc.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Tableau T8 Forensic USB Bridge Es un bloqueador de escritura basado en hardware para dispositivos de almacenamiento usb a nivel mundial. Soporta USB 2.0, USB 1.1 Funciona con unidades USB, discos externos, iPOPs con interfaz USB, cámaras USB. Soporta conexiones USB 2.0 y Firewire400 a una computadora, permitiendo operaciones de un amplio rango de hosts forenses y herramientas de software. A través del LCD el usuario puede ver el fabricante, modelo, capacidad, número de serie, y otros detalles técnicos de la unidad USB conectada.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Western Digital Modelo WD2500 250GB Tableau T35es eSATA Forensic Bridge Ofrece opciones de conexión más nativas entre computadoras y dispositivos que cualquier otro bloqueador de escritura en la actualidad. Contiene cuatro diferentes interfaces de conexión (eSATA, FireWire800, FireWire400 y USB) además de dos conexiones (SATA e IDE). Lo cual permite adquirir unidades IDE y SATA más rápido que FireWire800.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR ¿Formatear?=/ Sanitizar, Limpiar Antes de utilizar un medio para guardar evidencia; copias espejo o copias bit a bit; se debe de proceder a esterilizar “WIPE” el medio. Este procedimiento consiste en utilizar algún estándar para sobrescribir de muchas maneras y varias veces la unidad, para que no quede huella de algún dato existente. Ejemplo: US Department of Defense DoD 5220.22M (3 pasadas) DoD 5220.22M Es un algoritmo de limpieza de sobrescritura de tres pasadas: 1era pasada con ceros, 2da pasada con unos y la última pasada con bytes aleatorios. Con verificación de todas las pasadas. Peter Gutmann (35 pasadas)
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR EnCASE Forensics, es la aplicación forense principal existente en el mercado. Permite al investigador la habilidad de hacer una réplica o imagen de una unidad y preservarla de manera forense, utilizando el formato de archivo para EnCASE (LEF, E01), un contenedor de evidencia digital validada y aprobada por cortes a nivel mundial. EnCASE Forensics también contiene una completa suite de análisis, con interesantes características de reporte. Guidance Software y otros proveedores proporcionan soporte con capacidades extendidas para asegurar que los investigadores forenses tenga un conjunto útil de herramientas. Nota: ¿Debería decir UltraBlock, NO Ultrablocks.?
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR ¿Qué es un HASH? Un hash es una función o método para generar claves o llaves que representen de manera unívoca un documento, registro, archivo, etc, resumir o identificar un dato mediante la probabilidad. Un hash es el resultado de dicha función o algoritmo. Existen diferentes algoritmos, MD5, SHA, su principal “diferencia” entre ellos es su fortaleza. Ejemplo: Que dos objetos no tengan el mismo código hash. En este caso el hash SHA1 obtenido fue: 106F2277BC32371C269986E3BF771FBD
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Como ya se ha mencionado el MD5 o SHA son algoritmos para generar un código o valor hash de un objeto.
En este caso se ha indicado a EnCASE que divida la imagen de 1Gb en partes de 650 Megabytes; es decir el tamaño promedio de un CDROM; de esta manera la evidencia de gran tamaño puede ser quemada en CDs o DVDs de ser necesario. En este caso dos archivos: Giselle Giannoti – USB 2 GB 12ENE2009.E01 y Giselle Giannoti – USB 2 GB 12ENE2009.E02
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR ¿Primero la capacidad de la memoria USB era de 2GB ahora es de 1GB?
El Cómputo Forense SIEMPRE se trabaja con las copias bit a bit, NUNCA con el original y por LEY siempre se realizan como mínimo 2 (DOS) copias de la evidencia. En este caso se procede con una metodología adecuada para la visualización y escucha de audios, aunque no se especifica si se procedió a realizar las dos copias.
Se procede a listar y visualizar las copias bit a bit de la evidencia
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Antes de realizar la visualización y audición de la evidencia, se procede a verificar los códigos hash. El procedimiento es el siguiente: 1. Se obtiene un código o valor hash de la evidencia original. 2. Se procede a realizar la réplica o copia bit a bit de la evidencia. 3. Se obtiene un código o valor hash de la réplica o imagen bit a bit de la evidencia. Estos dos códigos hash deben ser iguales, en caso no sea así, debe procederse a realizar la copia de la evidencia nuevamente, dado que NO puede continuarse con la fase de análisis hasta que la copia bit a bit sea un reflejo exacto de la evidencia original.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Sistema de archivos Estructuran la información guardada en una unidad de almacenamiento (un disco duro, una memoria USB, etc.) que luego será representada de forma textual o gráfica utilizando un gestor de archivos. La mayoría de Sistemas Operativos manejan su propio Sistema de Archivos. Se puede pensar en un Sistema de Archivos como en una Biblioteca. El Sistema de Archivos tiene marcas de tiempo; esta triada se conoce como MAC por sus siglas en inglés. Las cuales son: 1. Tiempo de Creación 2. Tiempo de Modificación 3. Tiempo de Acceso.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Detalle de la estructura de objetos (Carpetas) de la memoria USB. Se debe anotar que las herramientas forenses, permiten obtener detalle de archivos o carpetas eliminadas o borradas, previsualizar de archivos, verificar de extensiones y muchos otros procesos y tareas vitales en un análisis forense.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Se debe anotar también que esta es una investigación preliminar. Pues se pueden utilizar otras técnicas o procedimientos para tratar de ubicar por ejemplo, fragmentos de archivos, buscar palabras claves para el caso, búsqueda de cadenas que identifiquen archivos, lo cual constituye un análisis más profundo.
Por ejemplo este es el detalle de unos de los archivos del reporte. Nótese que se muestra La ruta y Nombre, Último Acceso, Creación de Archivo, Última Escritura, Tamaño Lógico, Tamaño Físico y Contenido.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Las copias bit a bit de la evidencia almancenadas en el disco duro, quedan a cargo de la PNP. NO se hace mención a que la copia bit a bit se haya grabado en un medio de solo lectura, como “quemarlos” a CDs o DVDs, con sus respectivos valores hashs.
Se menciona nuevamente que la memoria USB es de 1GB NO de 2GB.
Información que compete a la diligencia, luego los presentes proceden a firmar el acta.
iDev Consultores en T.I. S.A.C. / www.idev.pe
Caso Real BTR Cadena de Custodia Una cadena de custodia es un documento extraído de las fuerzas de la aplicación de la ley que rastrea la evidencia desde el momento en el que investigador forense gana posesión de un artículo hasta que es presentado en una corte o directorio. Este documento contiene información básica sobre el cliente y personas relacionadas, así como los medios, tipo, números de serie y otra información básica. El formulario también rastrea cada persona que ha tocado los artículos de evidencia, como por ejemplo en la recolección o la réplica. El formulario tiene una línea de entrada para cada vez que es manipulada. Si la cadena de custodia se rompe la integridad de la evidencia puede ser comprometida y no ser válida en un juicio.
iDev Consultores en T.I. S.A.C. / www.idev.pe
¿Preguntas, comentarios, sugerencias, correcciones?
Aprovecho la oportunidad para invitarlos al curso de Fundamentos de C óm puto Forense, que se realizar á por segundo a ño consecutivo los d ías S áb ado 29 de y Domingo 30 de Mayo del 2010 en la ciudad de Trujillo.
Análisis Forense de una memoria USB Muchas Gracias por su atención Alonso Eduardo Caballero Quezada Consultor de iDev Consultores en T.I. S.A.C. Consultor de NPROS S.A.C. Brainbench Computer Forensics (U.S.) GIAC – SSP CNSA
Página web: http://www.ReYDeS.com Correo electrónico:
[email protected] Trujillo, Perú 22 de Mayo del 2010