Delitos informáticos. Primer nivel de análisis informático. Nuevas tecnologías de análisis forense.

por Pablo Llanos

Análisis Forense Informático

Se ocupa de adquirir, preservar y presentar datos que han sido procesados electrónicamente y guardados en un medio informático.

OBJETIVOS:Recrear qué ha ocurrido en un dispositivo digital.Analizar y esquematizar incidencias de forma que se

impida la repetición de incidencias similares en el futuro.

Puesta a disposición y procesado judicial de pruebas incriminatorias.

Principios Forenses

• Evitar la contaminación

• Actuar metódicamente

• Controlar la cadena de evidencias

Dificultades del Investigador Forense Dificultad para conseguir las herramientas necesarias para

guardar, preservar y presentar los datos como evidencia.

Averías y sabotajes en los soportes de almacenamiento.

Técnicas anti forenses, ocultación de datos, claves y encriptación.

Avalancha de soportes para analizar en una redada.

Burocracia: Dificultades para una realización ágil de informes.

Dificultades para presentar y explicar los informes ante el órgano competente.

Metodología: Proceso Forense Informático

Estudio PreliminarAdquisición de DatosRecuperación de Soporte en caso de Avería

o SabotajeRecuperación de Datos Ocultos o BorradosAnálisis de las evidenciasGeneración de InformesPresentación de las pruebasEsterilización de los equipos del laboratorio

Estudio Preliminar

Recoger la mayor información posible sobre:

• Qué ha ocurrido, qué se llevaron o intentaron llevar y cuándo ocurrió.

• Organización, topología de red, usuarios con acceso, sistemas afectados.

• Estado físico del disco, causas del posible fallo, sistema operativo, sistema de archivos.

• Necesidad de una posible investigación en caliente.

SHADOW Drive

Investigación en caliente

Debido a que las evidencias en un disco sospechoso no se pueden alterar, la investigación y el análisis de los datos se realiza habitualmente en un laboratorio especializado.

Shadow es una herramienta de investigación diseñada para habilitar la investigación del disco duro en la máquina sospechosa.

Investigación en caliente

Permite utilizar el ordenador sospechoso para analizar el contenido del Disco Duro utilizando cualquier herramienta de software ya instalada en el ordenador o instalando software de análisis y recuperación de datos.

• Puede arrancar bajo cualquier O.S.• Es posible realizar un estudio de los

procesos del sistema (memoria, registro, logs, cookies, Ntuser.dat, eventos, Pagefile.sys, etc.)• Es posible acceder a los datos Borrados in situ instalando herramientas especificas.• Puede ser utilizado como write-blocker para no alterar las pruebas.

Investigación en caliente

Los cambios son escritos en un HD que se encuentra en el interior de la unidad Shadow. No quedan restos en el Disco Duro sospechoso.

Si se considera conveniente, después de ver la evidencia de primera mano, siempre se puede decidir embalar y etiquetar para mandarlo a un laboratorio, las pruebas no habrán sido contaminadas.

Investigación en caliente

Adquisición de Datos: Clonado

• Los datos digitales adquiridos de copias no se deben alterar de los originales del disco, ya que esto invalidaría la evidencia.

• Los investigadores deben revisar que sus copias sean exactas a las del disco sospechoso.

• Para esto sirve la comprobación de la integridad criptográfica mediante funciones hash.

Clonado: Integridad Criptográfica

• Digest: Número característico utilizado para la verificación de la autenticidad de datos, que detectan cualquier cambio que haya ocurrido en los archivos.

• Función Hash: Hace posible obtener un hash (resumen de mensaje) de un dato, creando una serie corta de caracteres que representan al dato al cual se le aplica esta función hash.

• Algoritmos Hash más utilizados: MD5 (128bits), SHA1 (160bits)

Clonado por Software

◦Dependemos de la velocidad del PC y de sus características y estabilidad para la velocidad del clonado.

◦La mayoría de las herramientas por software dejan marca en el disco al arrancarlo, con lo cual se produce una contaminación.

◦Esto provoca que haya que utilizar herramientas write-blockers que ralentizan aun más el proceso e clonado.

◦Cuelgues. Sobretodo en zonas de sectores defectuosos.

◦Necesitamos llevar un ordenador para hacerlo in-situ.

• No es necesario llevar encima nada más que la clonadora y el disco de destino.

• Más velocidad. (Hasta 6 veces más rápido que el PC más veloz)

• No es necesario el uso de write-blockers, no marca el disco sospechoso.

• Comprobación al vuelo de las funciones hash.

• No dependemos del hardware del PC y de su buen funcionamiento.

Clonado: HardCopy II

• Clona y realiza imágenes de discos. • Realiza imágenes de tipo raw que pueden ser

analizadas con EnCase.• Verifica la integridad criptográfica de la imagen

mediante un hash MD5 y lo escribe en un archivo de cabecera asociado con la imagen.. Notifica las disparidades si las hay.

• Se recupera de errores de lectura en sectores defectuosos del disco sospechoso.

• Con sectores defectuosos recálcula o aborta el hashing.

• Rellena el sector que falla con un valor especificado y sigue al hash con estos valores de reemplazo insertados.

• Permite realizar un borrado seguro de los discos cuando sea necesario “esterilizar” el material del laboratorio

Clonado: HardCopy II

Discos Duros defectuosos

En las intervenciones normalmente encontramos dispositivos en funcionamiento.

Pero no debemos desestimar ningún dispositivo que pueda contener información relevante por estar defectuoso.

Tenemos disponibles recursos de recuperación de datos para la mayoría de averías que se presentan.

¡Incluidas las intencionadas!

Disco Duro

• Es un dispositivo compuesto por partes mecánicas, electrónicas, electromagnéticas y digitales.

• Ante una avería intencionada o no, cualquiera de estas partes se puede reparar con el objetivo de recuperar la información almacenada.

Averías más comunes y porcentaje de éxito en su recuperación

Averías Mecánicas

• Cabezas rotas o desmagnetizadas• Paradas de motor.• Fallos en bloque mecánico.• Platos magnéticos contaminados.

Todas esta averías necesitan de la apertura del soporte en

cámara limpia en un laboratorio especializado

Averías Electrónicas

• Circuitos integrados quemados debidos a sobretensiones

• Cortocircuitos

Estas averías se reparan sustituyendo los

componentes dañados. Pueden llevar asociados

problemas en el Firmware

Averías en el Firmware

En los platos hay una zona llamada System Area que el microprocesador de la placa del disco utiliza para operar en la unidad.En ella se almacena el Firmware, la información SMART, las tablas de sectores defectuosos, las tablas de configuración del disco, el password, etc.Si un disco tiene daños en la System Area queda inutilizado.

Estas averías se solucionan reprogramando el firmware del disco con herramientas que se

comunican con el HD a bajo nivel.

Geometría del Disco Duro• Pistas: Sucesión de bits en rutas circulares formadas por

sectores contiguos.• Cilindros: Serie de pistas alineadas verticalmente.• Sectores: Unidad más pequeña de almacenamiento del disco.• Clusters: Mínimo espacio en disco que es posible asignar a un

archivo.• FAT: Tabla de asignación de archivos. Se encarga de controlar

los clústeres que se asignan.

Averías Lógicas

• Pérdida de FAT• Sectores

Defectuosos• Archivos borrados • Soportes

Formateados

Estas averías se solucionan mediante

herramientas software de recuperación de

datos

Averías Lógicas

Actualmente conviven en el mercado un sinfín de herramientas de recuperación de datos, tanto de carácter general como especifico.

Estas herramientas aprovechan la geometría del disco para recuperar la información.

Recuperación de Correo Electrónico

• Gestores de Correo: Outlook, Outlook Express, Thuderbird, Eudora, Exchange, Lotus Notes

• Emails Web: Hotmail, Gmail, Yahoo. Etc.

• Exploradores: Internet Explorer, Firefox, Google Chrome, Safari.

Analisis de las Evidencias

Una vez adquiridos los datos necesitamos analizarlos, para ello existen diferentes herramientas de Sofware Forense:

• EnCase Forensics• Access Data• WinHex• Helix

EnCase: El estándar de Analisis Forense

• Copiado Comprimido de Discos Fuente. • Búsqueda y Análisis de Múltiples partes de archivos

adquiridos• Varios Campos de Ordenamiento, Incluyendo Estampillas de

tiempo• Análisis Compuesto del Documento• Búsqueda Automática y Análisis de archivos de tipo Zip y

Attachments de E-Mail.• Firmas de archivos, Identificación y Análisis. • Análisis Electrónico Del Rastro De Intervención• Soporte de Múltiples Sistemas de Archivo• Vista de archivos y otros datos en el espacio Unallocated• Integración de Reportes• Visualizador Integrado de imágenes con Galería

ProblemáticaActual

Presentación de Resultados

Presentación de Resultados

¿Y si presentamos las pruebas “en caliente”?

Shadow puede ser un medio eficaz para presentar las pruebas de forma visual al tiempo que el investigador las explica.

Todos estamos familiarizados con el entorno gráfico de un sistema operativo.

Jueces, jurados o defensa ven qué ha ocurrido directamente sobre el ordenador sospechoso sin alterar ninguna evidencia.

Una vez terminada la investigación es necesario esterilizar el material utilizado para no dejar restos en los discos que utilizaremos en siguientes investigaciones.

Hardcopy II Permite realizar un borrado seguro y rápido de los discos cuando sea necesario “esterilizar” el material del laboratorio

Esterilización del Material

Hasta aquí ha llegado nuestro proceso de análisis forense.

Muchas gracias por su atención y buena suerte en el futuro