Академический Документы
Профессиональный Документы
Культура Документы
A N Á LIS I S FOR E N S E D E
S I S T EM A S DE
I N F ORM AC IÓN
DEFINICIONES 5
ANÁLISIS DIGITAL 6
TIPOS 6
METODOLOGÍA DE ANÁLISIS 7
FASES 9
Normativa RFC3227 9
ADQUISICIÓN DE DATOS 11
LECTURA DE DATOS DE ORIGEN 11
ESCRITURA DE DATOS 11
Integridad a través de los valores hash 12
DD 13
SLEUTH KIT 14
AUTOPSY 16
MAC-ROBBER 16
DISTRIBUCIONES LIVE-CD LINUX 16
CASOS PRÁCTICOS 17
CONCLUSIONES 29
BIBLIOGRAFÍA 30
2
ÍNDICE DE FIGURAS
FIGURA 1. NIVELES DE ANÁLISIS DIGITAL SEGÚN LA ESTRUCTURA DE LOS DATOS A
ANALIZAR ................................................................................................................................6
FIGURA 2. FASES DE LA METODOLOGÍA DE ANÁLISIS PROPUESTA POR CARRIER Y
SPAFFORD................................................................................................................................7
FIGURA 3. FASES DE LA INVESTIGACIÓN DE UNA ESCENA DEL CRIMEN DIGITAL ................9
FIGURA 4. AUTOPSY: AÑADIR IMAGEN AL HOST ..................................................................... 18
FIGURA 5. AUTOPSY: ANÁLISIS DE FICHEROS .......................................................................... 18
FIGURA 6. AUTOPSY: ANÁLISIS DE LA IMAGEN ....................................................................... 20
FIGURA 7. AUTOPSY: ANÁLISIS DEL CONTENIDO DE UN CONJUNTO DE SECTORES.......... 21
FIGURA 8. CONTENIDO DEL FICHERO DE PRUEBA REALIZADO CON MICROSOFT PAINT.22
FIGURA 9. CONTENIDO DEL FICHERO COVERPAGE.JPG........................................................ 22
FIGURA 10. AUTOPSY: DETALLES DE LA IMAGEN .................................................................. 24
FIGURA 11. AUTOPSY: CONTENIDO DEL ESPACIO NO ASIGNADO. ...................................... 25
3
ANÁLISIS FORENSE DE
S I S T E M A S D E I N F O R M AC I Ó N
I N T RO D U C C I Ó N
Los sistemas de información han pasado de ser una herramienta reservada a unos pocos a un
recurso utilizado masivamente en los últimos 20-25 años. Debido a esto y dado que existen
numerosos tipos de delitos que en su consecución han hecho uso (en mayor o menor medida) de
algún tipo de sistema de información, el análisis forense de los mismos ha adquirido gran
relevancia en las investigaciones criminales.
Algunos autores (como Brian Carrier y Eugene Spafford) prefieren omitir el término forense,
ya que entonces el análisis variará en función de las leyes del país o países en los que se pretende
presentar las evidencias como prueba judicial, y sin embargo, existen pautas comunes a la hora de
realizar el análisis, al margen de las leyes que imperen en el país determinado. También es posible
realizar un análisis de sistemas de información en un entorno corporativo, donde el término
forense pierde su sentido. En este trabajo seguiré su filosofía, eludiendo los detalles legales del
análisis de sistemas de información y omitiendo, por tanto, el término forense.
1 El sistema de información puede haber sido utilizado bien para cometer el crimen bien para
ejecutar un evento digital que haya violado alguna política o ley (por ejemplo, acceder ilícitamente
a un sistema).
4
DEFINICIONES
Datos digitales son los datos representados de forma numérica (en los sistemas de
información comunes, en forma binaria).
Objeto digital es una colección de datos digitales, como pueden ser un archivo, un sector de
disco duro, un paquete (en terminología de redes), una página de memoria o un proceso del
sistema operativo.
Los datos digitales tienen también una representación física. Por ejemplo, los datos de un
disco duro son impulsos magnéticos en un disco que son leídos por un sensor analógico. Las
redes cableadas utilizan señales eléctricas para representar los datos.
Los datos digitales poseen características o rasgos únicos, que pueden ser utilizados para
identificarlos. El estado de un objeto es el valor de sus características.
Un suceso digital es un acontecimiento que modifica el estado de uno o más objetos
digitales. Como un objeto digital tiene representaciones numérica y física, su estado puede verse
alterado por eventos digitales y físicos.
Algunos entornos desarrollan políticas y leyes que prohíben ciertos sucesos. Un incidente
es un suceso o secuencia de sucesos que violan una política y un crimen es un suceso o secuencia
de sucesos que violan una ley. Un incidente digital es un suceso digital o una colección de ellos
que violan una política y/o ley.
Una investigación es el proceso de desarrollar y probar hipótesis sobre sucesos que hayan
ocurrido.
Evidencias de un incidente son cualquier objeto que contiene información fiable que
confirma o niega una hipótesis sobre un incidente. Normalmente son objetos que pueden
establecer si un delito ha sido cometido, crear una conexión entre el delito y la victima o entre un
delito y quien lo perpetró. Según su naturaleza se pueden clasificar en evidencias físicas y
evidencias digitales. Como los datos digitales poseen una forma física, las evidencias físicas de
un incidente pueden contener evidencias digitales. A su vez, la única diferencia entre evidencia
física y digital es su formato, por lo que podemos poseer evidencia digital de un crimen o
incidente físico (por ejemplo, una cámara de video crea una representación digital de un suceso
físico y el fichero resultante será una evidencia digital del suceso) o evidencia física de un crimen
digital.
La escena del crimen físico es el entorno en el cual existe evidencia de un crimen o
incidente. La escena del crimen digital es el entorno virtual creado por el conjunto de
software-hardware donde existe evidencia digital de un crimen o incidente.
5
A N Á L I S I S D I G I TA L
TIPOS
Al existir numerosos formatos para los datos digitales, existen a su vez numerosos tipos de
análisis digital. Los más comunes se resumen en este grafico:
Análisis de
aplicaciones /
SO
Análisis de Análisis de
volúmenes memoria
Análisis de medios
de
Analisis de redes
almacenamiento
fisíco
Los dispositivos de almacenamiento no-volátil (como un disco duro o una memoria flash)
están normalmente organizados en volúmenes. Hay dispositivos, como los disquetes, que
únicamente poseen un volumen. Las particiones son utilizadas para dividir un volumen en otros
más pequeños. A su vez, se pueden organizar volúmenes para formar otros más grandes (como
en los sistemas RAID).
Los volúmenes de los dispositivos pueden contener sistemas de ficheros (lo más común),
espacios de intercambio (denominados swap) o bases de datos. Es necesario conocer la
información referente a los volúmenes porque nos permitirá encontrar datos ocultos y descubrir
donde se encuentran los sistemas de archivos.
Los sistemas de ficheros son estructuras de datos que permiten a las aplicaciones crear, leer
y escribir ficheros en el disco. El análisis de un sistema de ficheros nos permite encontrar
ficheros, recuperar ficheros borrados y encontrar ficheros ocultos.
Para poder analizar los ficheros encontrados necesitamos analizarlos a nivel de aplicación, ya
que su estructura depende de las aplicaciones que los crearon (y del sistema operativo sobre el
que estas funcionaban). El análisis de aplicación se divide a su vez en varias categorías, como
pueden ser:
• Análisis de sistemas operativos, en el que se examinan los ficheros de configuración y
salida del SO para obtener información sobre los sucesos ocurridos.
• Análisis de programas ejecutables, en el que se examinan los sucesos que podrían
desencadenan los mismos.
6
• Análisis de imágenes, en el que se trata de buscar información en las fotografías, como
por ejemplo quién está en la foto o quién la tomó y cuándo. También se buscan indicios
de esteganografía2.
• Análisis de videos, como el utilizado con webcams o cámaras de vigilancia, en el que se
busca, al igual que en el análisis de imágenes, información de quién aparece, dónde y
cuándo fue grabado.
METODOLOGÍA DE ANÁLISIS
En principio, un ordenador no deja de ser una evidencia física, pero al ser procesada puede
producir cientos de evidencias digitales. Estas evidencias pueden ser analizadas de la misma
manera que se hace con las evidencias físicas para obtener información válida para probar
hipótesis o rechazarlas. Así, la investigación de miles de evidencias digitales recogidas es similar a
la investigación de una casa en la que el investigador debe analizar cientos de objetos, superficies
y fibras.
Por todo ello, Brian Carrier y Eugene Spafford proponen en [ 1 ] una metodología de análisis
digital basada en las fases que se documentan en las investigaciones de crímenes “físicos”. Esta
metodología se compone de cinco fases, cuya relación se representa en la siguiente figura:
Fase de
preparacion
Fase de
Fase de investigacion de la Fase de
despliegue escena del crimen presentacion
fisico
Fase de
investigacion de la
escena del crimen
digital
2La esteganografía es la ocultación de mensajes, para evitar que se perciba la existencia del
mismo.
7
un entrono corporativo esta fase podría incluir añadir sistemas de monitorización de
redes.
La fase de despliegue provee los mecanismos necesarios para detectar y confirmar que un
incidente ha sucedido. Esta fase incluye:
• La fase de detección y notificación, en donde el incidente es detectado (por la víctima o
un tercero) y los investigadores son alertados. Por ejemplo, un acceso ilegítimo a un
sistema puede ser detectado por un sistema de detección de intrusiones. Esta fase
supone el comienzo de la investigación como tal.
• La fase de confirmación y autorización, donde los investigadores son autorizados a
analizar la escena del crimen e iniciar una investigación. Las tareas que se desarrollen
dentro de esta fase difieren si se trata de una investigación en un sistema corporativo o
con fines judiciales.
La fase de investigación de la escena del crimen físico supone examinar los objetos que
existen en una escena del crimen en la que existe algún dispositivo digital. En esta fase se recogen
evidencias físicas que permitan enlazar una persona con un uso sospechoso de algún sistema de
información. Cuando se encuentra un objeto que pueda contener evidencia digital da comienzo
una investigación digital. Esta fase y la fase de investigación de la escena del crimen digital se
comunican permanentemente: las conclusiones de la investigación de la escena del crimen digital
se utilizan en la investigación de la escena del crimen físico.
La fase de investigación de la escena del crimen3 digital incluye las fases que suponen
examinar los datos en busca de pruebas (evidencias), es detallada mas adelante.
La fase de presentación incluye el presentar las conclusiones extraídas de las fases
anteriores ante quien corresponda (normalmente, ante quien ha autorizado la investigación).
3Recordemos que una escena del crimen digital no es necesariamente un sitio donde se haya
producido un crimen, sino el entorno virtual creado por el conjunto de software-hardware donde
existe evidencia digital de un crimen o incidente.
8
I N V E S T I G A C I Ó N D E L A E S C E NA D E L C R I M E N D I G I TA L
FASES
Como se puede observar, no tienen por qué darse en un orden concreto. Este proceso puede
ser aplicado a análisis vivos o muertos. Un análisis vivo es aquel que utiliza el sistema operativo u
otros recursos del sistema investigado para encontrar pruebas. Un análisis muerto es aquel que
utiliza aplicaciones de confianza en un entorno seguro para encontrar pruebas. Con un análisis
vivo es posible obtener información falsa, ya que el sistema podría estar ocultando o falsificando
maliciosamente la información (utilizando algún tipo de rootkit, por ejemplo).
Las evidencias digitales se clasifican en dos tipos: volátiles y no volátiles. Las primeras son
aquellas que se pierden al apagar el equipo, por ejemplo, estado de la memoria, procesos en
ejecución o conexiones de red; y las evidencias no volátiles son aquellas que se encuentran
almacenadas en el sistema de ficheros, como por ejemplo, un programa.
La fase de conservación del sistema tiene con objetivo preservar el estado de la escena del
crimen original, previniendo cualquier suceso que pueda modificar dicho estado. A su vez, se
debe documentar adecuadamente la escena.
Las acciones a realizar en esta fase dependen en gran medida del entorno en el que se realiza
la investigación (judicial, corporativo, etc.). En un entorno judicial , esta fase es vital. En otros
entornos no es necesaria.
La fase de búsqueda de evidencias tiene como objetivo determinar qué objetos digitales
contienen información útil sobre el incidente. Es muy importante documentar este proceso,
aunque la investigación se lleve a cabo en entornos corporativos. Para buscar evidencias es
necesario fijar objetivos donde pueden ser encontradas, a lo que suele ayudar la experiencia. Por
ejemplo, si queremos obtener indicios de un delito relacionado con la pornografía podemos
realizar una búsqueda sobre ficheros de imágenes .jpg. Si un objeto es identificado como prueba
debe ser documentado y preservado correctamente. En las investigaciones digitales esto se puede
conseguir realizando resúmenes criptográficos (como MD-5 o SHA-1) y realizando copias de
seguridad de la información.
Normativa RFC3227
Indica ciertas actuaciones que deberemos evitar si no queremos destruir alguna evidencia,
aunque sea de forma accidental:
• No apagar el ordenador hasta que no se ha acabado de recopilar evidencias. Muchas
evidencias podrían perderse por el simple hecho de apagar y además el atacante podría
haber modificado los script/servicios de inicio/apagado para destruir evidencias.
• No confiar en los programas del sistema. El atacante podría haberlos modificado o
utilizar un rootkit para hacerlos funcionar de forma distinta. Es mejor utilizar
herramientas de captura de evidencias desde un entorno protegido.
9
• No utilizar programas que modifican la hora de acceso de todos los archivos del sistema
(por ejemplo: "tar" o "xcopy").
• No desconectar el sistema de la red. Esto podría disparar programas que detectan
cuando se desconecta la red y eliminan todas las evidencias generadas.
Establece el siguiente orden de volatibilidad de las evidencias, y por tanto el orden en el que
deberían ser recogidas:
1. Registros, caché.
2. Tabla de enrutado, caché arp, tabla de procesos, estadísticas del kernel, memoria.
3. Ficheros temporales del sistema. Discos.
4. Registros y datos de monitorización remotos que sean relevantes para el sistema en
cuestión.
5. Configuración física, topología de la red.
10
ADQUISICIÓN DE DATOS
A la hora de adquirir los datos debemos tener en cuenta que los mismos están interpretados
en diferentes niveles (discos, volúmenes, ficheros, etc.) y que puede que sea necesario realizar una
copia de todo el disco o solo de unos cuantos ficheros, dependiendo del nivel al que creamos que
se encuentran los datos que nos proporcionaran evidencias.
La adquisición de datos desde un dispositivo (supongamos que queremos obtener los datos a
nivel de disco) tiene dos fases: la lectura de la información y la posterior escritura. Como se ha
visto con anterioridad, una de las premisas del análisis digital debe ser modificar los datos
originales lo menos posible. Para ello se pueden utilizar durante esta fase bloqueadores de
escritura (hardware o software) que se interponen entre el controlador y el disco duro y evitan
que se realicen las operaciones de escritura.
En un disco duro ATA pueden existir zonas “ocultas” denominadas HPA (Host protected
area) y DCO (device configuration overlay), a las que no se tiene acceso. Para que dichas zonas
ocultas sean accesibles es necesario modificar la configuración del disco, por tanto, si nos
encontramos con una de estas zonas deberemos realizar dos imágenes: una antes de modificar la
configuración del disco y otra después , por si en el cambio de configuración pudiéramos perder
datos.
ESCRITURA DE DATOS
Antes de existir software especializado la copia de datos se realizaba disco a disco, lo que
supone un problema en el momento que el disco origen tiene un mayor tamaño que el disco
destino, o cuando se utiliza un sistema operativo que monte automáticamente cualquier disco
(como Microsoft Windows) ya que se podría modificar el contenido del disco donde se ha
almacenado la copia.
Existen, principalmente, tres sistemas de creación de imágenes: crear imágenes raw (contiene
únicamente los datos del dispositivo fuente) , crear imágenes embebidas (que, además de los
datos del dispositivo fuente incluye datos sobre la adquisición, como fechas o valores hash) y,
finalmente, crear imágenes en las que por una parte se almacena la imagen raw y por otra parte los
metadatos sobre la adquisición.
Las imágenes también pueden ser comprimidas, pero hay que tener en cuenta que:
11
• No todas las herramientas de análisis soportan todos los formatos de compresión.
Se ha mencionado anteriormente que es muy importante calcular resúmenes hash de los datos
en las investigaciones digitales para documentarlos. De esta manera nos aseguramos que siempre
podemos verificar si los datos originales han sido modificados y por tanto, las pruebas anuladas.
Los resúmenes hash, en definitiva, nos ayudan a asegurar la integridad de los datos, pero bajo
ciertas condiciones.
Cuando se realizan resúmenes hash de imágenes hay que tener en cuenta que lo ideal es
almacenar dichos valores hash de manera separada. Imaginemos que utilizamos una imagen de
formato embebido: si alguien accede a ella y modifica los datos puede perfectamente recalcular
los valores hash e intercambiarlos con los verdaderos. Si los valores hash se almacenan aparte este
tipo de modificaciones siguen siendo posibles, pero más difíciles de realizar.
A su vez, los resúmenes hash ayudan a probar que durante el proceso de adquisición de datos
no se ha realizado ninguna modificación sobre el dispositivo original.
12
H E R R A M I E N TA S Ú T I L E S E N E L A N Á L I S I S D I G I TA L D E S I S T E M A S D E
A RC H I VO S
DD
dd copia bloques de datos de un fichero a otro. No tiene en cuenta el tipo de datos que esta
copiando y no entiende de sistemas de archivos, ni volúmenes, sólo archivos. El tamaño del
bloque por defecto es de 512 bytes (se puede modificar utilizando la bandera bs=). Utilizando la
bandera if= indicamos la fuente de los datos (si if= es omitido, dd toma como fuente la entrada
por defecto del sistema, que normalmente es el teclado). Con la bandera of= se especifica el
fichero de salida (al igual que con if=, si se omite of= se utiliza como salida la salida estándar, que
normalmente es el monitor). Por ejemplo, para copiar el contenido de archivo1.dat (cuyo tamaño
es 1024 bytes) a archivo2.dat utilizando bloques de 512 bytes ejecutaremos en un terminal la
orden:
2+0 records in
lo que significa que dos bloques completos fueron leídos del fichero fuente (records in) y que
dos bloques completos fueron escritos al fichero destino (records out). Si no se puede realizar la
lectura de un bloque completo el resultado muestra un +1 en lugar de +0.
Para calcular los resúmenes hash de las imágenes que generemos utilizando dd podemos
utilizar las herramientas que incluyen los sistemas UNIX como, por ejemplo, md5sum ,
redirigiendo la salida de dd a la entrada de los mismos.
lo que nos muestra en pantalla la suma MD5 del disco maestro del primer canal IDE.
Existen ampliaciones de dd desarrolladas por el departamento de defensa de los EEUU que
permiten realizar el resumen hash del contenido a medida que este es copiado, como ddfldd y
dccidd.
13
nc –l –p 7000 > archivo.dd
SLEUTH KIT
Sleuth kit es un conjunto de herramientas para ayudar en este análisis, desarrollado a partir de
su predecesor “The Coroner’s Toolkit” y que puede utilizarse en cualquier sistema Unix (como
Linux, OS X, FreeBSD, OpenBSD y Solaris) y en Windows (sólo si no se pretende utilizar
Autopsy). Está compuesto por las siguientes aplicaciones:
o fls: lista los archivos en un directorio (incluso aunque hayan sido borrados).
Estas herramientas procesan las estructuras de metadatos, que almacenan los detalles
de un archivo. Por ejemplo, las entradas de directorio de los sistemas FAT o los i-
nodos de los sistemas ext2 o ext3.
Estas herramientas son utilizadas para procesar las unidades de datos donde se
almacena el contenido de los ficheros.
14
o dls: muestra los detalles de las unidades de datos y puede mostrar el espacio libre
del sistema de archivos.
Algunos sistemas de archivos (como ext3 o NTFS) almacenan una bitácora con los
cambios recientes en los metadatos de los archivos. Estas herramientas permiten
analizar dichas bitácoras.
• Disk Tools
Estas herramientas son utilizadas para detectar y eliminar áreas “ocultas” en los
discos ATA denominadas HPA (host protected area).
o disk_sreset: elimina temporalmente una zona HPA si existe. Cuando el disco sea
reiniciado, la zona HPA volverá a existir.
• Other Tools
o hfind: permite buscar un resumen hash en las bases de datos de resúmenes hash
creadas con el objetivo de identificar ficheros “buenos” y “malos” según el valor
de sus funciones hash.
o macticme: utiliza las herramientas fls e ils para crear una línea del tiempo de la
actividad con los ficheros que se ha dado en determinada imagen.
15
La alternativa comercial a Sleuth kit es EnCase, que posee algunas características mas
avanzadas, como por ejemplo, la detección de ficheros encriptados. Una comparación entre
diversos kits de herramientas se presenta en el documento [ 2 ] .
AUTOPSY
Utilizar directamente los comandos de Sleuth kit puede resultar un poco difícil. Para
simplificar el proceso de análisis se puede utilizar la aplicación web Autopsy, que nos reporta las
siguientes ventajas:
• Organiza el manejo de la investigación digital en los casos en los que ésta contiene uno o
más equipos.
• Mantiene logs sobre las acciones realizadas por cada uno de los investigadores del
sistema.
• Permite navegar por el sistema de archivos que se encuentra en las imágenes (incluso en
los archivos borrados).
MAC-ROBBER
Mac-robber es una herramienta que recoge datos de los archivos asignados en un sistema de
ficheros montado. Esto es útil durante la respuesta a incidentes, en el análisis de un sistema vivo
o al analizar un sistema en un laboratorio. Los datos recogidos pueden ser utilizados por la
herramienta mactime de Sleuth kit para hacer una línea de tiempo sobre la actividad de los archivos.
Mac-robber requiere que el sistema de archivos esté montado por un sistema operativo, a
diferencia de las herramientas de Sleuth kit para el sistema de archivos. Por lo tanto, mac-robber
no recogerá datos de los archivos borrados o archivos que han sido ocultados por rootkits. Mac-
robber también modifica los tiempos de acceso a directorios que se han montado con permisos
de escritura.
Aunque no lo parezca, mac-robber es útil en una investigación, por ejemplo, cuando se trata
de analizar un sistema de archivos que no es compatible con Sleuth kit u otras herramientas de
análisis del sistema de archivos. El programa puede ser compilado en cualquier sistema UNIX.
Existen numerosas distribuciones Linux de tipo live-cd (no realizan instalación en el disco
duro) que permiten realizar un análisis de un sistema de ficheros sin escribir en él (estas
distribuciones suelen integrar las herramientas antes mencionadas.). Algunas muy conocidas son
Helix o FIRE.
16
CASOS PRÁCTICOS
http://www.honeynet.org/scans/scan24
Este caso de prueba se utiliza para familiarizarnos con el uso de Autopsy y las herramientas de
Sleuth kit.
En la página web del proyecto Honeynet se publican retos (normalmente basados en hechos
ficticios) que los participantes deben realizar, respondiendo a diversas preguntas. Cuando el reto
ha finalizado, se presentan las soluciones que han dado algunos de los miembros del proyecto.
En este caso la resolución que se presenta aquí fue dada por Brian Carrier. Se ha elegido su
respuesta porque utiliza herramientas libres, como Autopsy – Sleuth kit, al contrario que la otra
solución, que utiliza herramientas propietarias y la cual no podríamos seguir paso a paso.
La policía ha arrestado a un hombre llamado Job Jacobs tras ofrecer éste marihuana a un
policía de incógnito a la salida de un instituto, el Smith Hill High School. El individuo ha sido
visto rondando las salidas de diversos institutos, por lo que se sospecha que provee de
marihuana a más alumnos de instituto aparte de los de Smith Hill. El individuo niega este
hecho y rehúsa decir quién es su proveedor. En un registro de su casa se ha encontrado un
disquete cuyo contenido ha sido copiado a una imagen, la cual se nos entrega.
La policía requiere nuestros servicios para obtener toda la información posible del
disquete relacionada con el caso.
4. ¿Qué acciones realizó el sospechoso con cada fichero para tratar de ocultar su
contenido?
5. ¿Qué proceso has seguido (tu, el investigador) para contestar a estas preguntas?
Bonus Question:
17
INVESTIGACION
Por lo que verificamos que la imagen es integra y podemos, por tanto, trabajar con ella.
Tras seleccionar nuestra imagen en host manager, pulsamos analyze y utilizamos la opción ‘File
Browsing’ de Autopsy para examinar el contenido de la imagen del disquete. Nos indica que
existen tres ficheros en el directorio raíz del mismo:
18
Procedemos a analizarlos en orden alfabético.
coverpage.jpgc
Si seleccionamos el fichero coverpage.jpgc, Autopsy nos muestra como tipo de fichero ‘PC
formatted floppy with no filesystem’. Para obtener más información sobre este extraño fichero
seleccionamos su entrada de directorio correspondiente (8). Autopsy nos muestra que el fichero
utiliza un sólo sector, el número 451. Sin embargo, el fichero ocupa 15585 bytes. Si cada sector
está formado por 512 bytes, el número de sectores que debería ocupar es ((15585 + 511) / 512)
= 31. Existe por tanto, una incongruencia entre el tamaño del archivo y los sectores que, según
sus metadatos, ocupa. En este estadio de la investigación todavía no podemos concluir nada útil,
sólo podemos saber que este fichero ha sido manipulado para que no sea de fácil acceso (ya que
además de lo anterior se ha modificado su extensión natural).
jimmy jungle.doc
Autopsy muestra que el fichero jimmy jungle.doc fue eliminado, que su tipo es ‘Microsoft
Office Document’, que el fichero comienza en el sector 33 y tiene un tamaño de 20480 bytes. La
herramienta nos permite recuperar el contenido del fichero automáticamente. Sin embargo, este
proceso puede ser realizado “a mano”:
Utilizando la opción ‘Image details’ de Autopsy accedemos a la tabla de asignación FAT, que
nos indica que los sectores 73 al 103 y 104 al 108 están ocupados. También observamos que el
primer sector accesible es el 33, lo que confirma nuestra teoría de que el archivo se encuentra en
los sectores 33 al 72.
Para extraer los datos de este fichero fantasma elegimos la opción ‘Data Browsing’. Como
sector de inicio elegimos 33 y como número de sectores 40. (Para que el contenido sea
“amigable” utilizamos la opción strings-display).
Jimmy Jungle
Jungle, NY 11111
Jimmy:
Dude, your pot must be the best – it made the cover of High Times Magazine! Thanks
for sending me the Cover Page. What do you put in your soil when you plant the
marijuana seeds? At least I know your growing it and not some guy in Columbia.
These kids, they tell me marijuana isn’t addictive, but they don’t stop buying from
me. Man, I’m sure glad you told me about targeting the high school students. You
19
must have some experience. It’s like a guaranteed paycheck. Their parents give them
money for lunch and they spend it on my stuff. I’m an entrepreneur. Am I only one
you sell to? Maybe I can become distributor of the year!
I emailed you the schedule that I am using. I think it helps me cover myself and not be
predictive. Tell me what you think. To open it, use the same password that you sent
me before with that file. Talk to you later.
Thanks,
Joe
scheduled visits.exe
Si seleccionamos el fichero scheduled visits.exe, Autopsy nos muestra como tipo de fichero
‘Zip archive data, at least v2.0 to extract’. Como la extensión del fichero no coincide con su tipo
(debería ser .zip y no .exe) utilizamos la opción export para obtener el fichero. Si tratamos de
descomprimir el mismo a través del comando unzip obtenemos un error, no se encuentra el final
del fichero. Así que existen dos posibilidades: o el fichero está corrupto o existe una parte que no
hemos obtenido. Accediendo a los metadatos del archivo correspondiente (11) observamos que
el tamaño del fichero son 1000 bytes y que ocupa los sectores 104 y 105.
Por tanto, es posible que alguien haya modificado el tamaño del archivo para que no
aparezca que el archivo también ocupa los sectores 106 y 107. Para comprobar esta teoría
utilizamos la opción ‘Data Unit’ de Autopsy para obtener el contenido de los sectores 104 a 108.
(Utilizamos la opción string para que el resultado sea ‘amigable’). Podemos observar en el
contenido que el fichero Scheduled visits.xls es nombrado dos veces, así que éste podría ser el
20
nombre del fichero contenido en el archivo zip. Descargamos, usando la función export contents,
dicho archivo zip (sectores 104 a 108) al disco duro e intentamos descomprimirlo. Esta vez no da
ningún error, pero nos solicita una contraseña que no tenemos.
• los sectores 104 a 108 forman el archivo zip ya visto, del cual necesitamos averiguar
su contraseña.
21
Utilizamos la opción export para obtener el fichero JPEG y si lo abrimos con un visualizador
vemos que se menciona al tal Jimmy Jungle en la portada de una revista sobre marihuana.
Bonus question
(La respuesta a esta pregunta es dada por Daniel J. Kalil, no por Carrier).
22
SCAN OF THE MONTH #26. HONEYNET PROJECT
http://www.honeynet.org/scans/scan26
En este caso la respuesta aquí presentada fue dada por Brian Carrier.
Tras averiguar el nombre y dirección del proveedor de Job Jacobs, Jimmy Jungle, la
policía realiza un registro en su domicilio. Se ha encontrado un disquete con la etiqueta
dfrws.org impresa. La policía ha realizado una imagen del disquete que está a nuestra
disposición.
La policía requiere nuestros servicios para obtener toda la información posible del
disquete relacionada con el caso.
6. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada
en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el
área de datos.
23
INVESTIGACIÓN
Seguimos los pasos del caso anterior para añadir un caso, un host y la imagen del disquete
proporcionada (comprobando su integridad).
Como no sabemos exactamente qué buscar, procedemos a analizar los archivos incluidos en
el disquete utilizando la opción ‘File Analisys’. Autopsy nos indica que no hay ficheros en el
disquete. Esto puede ser debido a que o bien el disco esta en blanco o la información está oculta.
Para intentar determinar la causa utlizamos la opción ‘Image Details’:
Además, según la tabla FAT, no existe ningún archivo en el sistema (FAT contents).
24
El análisis de los sectores 19 al 32 no muestra ningún contenido.
Analizamos ahora los sectores 33 al 2879. Autopsy nos indica que el tipo de archivo residente
en dichos sectores es un archivo JPEG.
A través del menú keyword search accedemos a la opción extract unallocated, que nos permite
obtener el contenido del espacio de disco que según la tabla FAT no está asignado. Lo podemos
extraer también con la opción extract strings, que devuelve el resultado en caracteres ASCII o
Unicode (o ambos). Analizando la salida observamos que las dos últimas líneas del fichero
contienen datos interesantes:
Por una parte tenemos que con un desplazamiento de 1210704 bytes aparece la cadena de
texto ‘pw=help’. Dicha dirección se corresponde con el sector nº (1210704 / 512 = 2364). Si
utilizamos la opción ‘Data unit’ de autopsy (con la opción adress type=unallocated para que autopsy
realice la traducción del sector del espacio no asignado al espacio de direccionamiento de la
imagen completa, que en este caso es el sector 2397) para acceder a dicho sector comprobamos
que aparte de la cadena de texto mencionada, no hay nada más.
Realizamos el mismo procedimiento para la cadena de texto ‘John Smith's Address: 1212
Main Street, Jones, FL 00001’ con un desplazamiento de 1385824 bytes (1385824 / 512 = 2706).
Al igual que en el caso anterior, no hay nada salvo la cadena de texto ya encontrada.
25
------------------------------------------------------------------
File: scan26-0-0-fat12.unalloc
0: 0.jpg 31 KB 0
2 FILES EXTRACTED
jpg:= 1
bmp:= 1
------------------------------------------------------------------
• un fichero bmp de tamaño 1 MB a partir del sector 32768 del espacio no asignado.
Conclusiones
Los archivos .jpg y .bmp encontrados muestran un posible escondite de Jimmy Jungle y un
muelle. Sin embargo, todavía no hemos utilizado la contraseña hallada en el espacio no asignado,
por lo que revisamos la imagen JPEG en busca de signos de estaganografia utilizando la
herramienta stegdetect.
stegdetect -n output/foremost/00000000.jpg
output/foremost/00000000.jpg : invisible[7771](***)
La cadena de texto invisible significa que la herramienta ‘invisible tools’ fue utilizada para
esconder datos en la fotografía. Si utilizamos la herramienta para intentar abrir la fotografía, se
nos pide una contraseña. ‘help’ no es valida, como tampoco lo es ‘goodtimes’ (del caso anterior).
26
Para proseguir la investigación accedemos a la pagina web cuya URL figuraba en el disquete,
dfrws.org. La página web parece normal a simple vista, pero analizamos el código HTML. Como
comentarios en medio del código se encuentran las cadenas de texto ‘PW=right’ y ‘PW=lefty’.
Utilizamos ambas contraseñas para abrir el fichero en Invisible secrets, la segunda nos muestra el
fichero John.doc, oculto en la fotografía. A su vez este fichero está protegido por contraseña,
siendo esta ‘help’. El contenido del mismo se muestra a continuación:
My biggest dealer (Joe Jacobs) got busted. The day of our scheduled meeting, he never
showed up. I called a couple of his friends and they told me he was brought in by the police
for questioning. I'm not sure what to do. Please understand that I cannot accept another
shipment from you without his business. I was forced to turn away the delivery boat that
arrived at Danny's because I didn't have the money to pay the driver. I will pay you back for
the driver's time and gas. In the future, we may have to find another delivery point because
Danny is starting to get nervous.
Without Joe, I can't pay any of my bills. I have 10 other dealers who combined do not
total Joe's sales volume.
I need some assistance. I would like to get away until things quiet down up here. I need to
talk to you about reorganizing. Do you still have the condo in Aruba? Would you be willing
to meet me down there? If so, when? Also, please take a look at the map to see where I am
currently hiding out.
Sincerely,
Jimmy Jungle
A su vez, abrimos el fichero bmp en Invisible Secrets utilizando la password right lo que
produce el fichero Jimmy.wav que estaba oculto en el mapa de bits. El archivo de audio contiene
instrucciones para mantener una reunión con Jimmy Jungle en el muelle, así como diversos
detalles del vehiculo del mismo.
2. ¿Cuál es la dirección de correo de dicho supuesto proveedor? 1212 Main Street, Jones, FL
00001
3. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga? Según los ficheros de
imagen encontrados, Jimmy recibía la droga en el muelle 12, en un lugar llamado
Danny’s.
27
6. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada
en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el
área de datos.
28
CONCLUSIONES
A través de dos prácticas muy simples hemos descubierto los aspectos básicos del análisis de
ficheros, como descubrir ficheros ocultos o recuperar ficheros eliminados. Es notable que el uso
de herramientas de análisis de sistemas de ficheros como Autopsy requiere un conocimiento al
menos básico de los principales sistemas de ficheros (en los ejemplos, FAT).
El campo del análisis digital es muy amplio, en estas prácticas sólo hemos cubierto una de sus
partes, si bien es la básica, el análisis de los sistemas de ficheros. Por ejemplo, las herramientas de
análisis forense pueden ser utilizadas para descubrir si se han violado restricciones de protección
de datos (la LOPD en el caso de España).
Se ha mostrado aquí la aplicación del análisis digital ‘post-mortem’, es decir, para sacar
conclusiones sobre hechos ya acontecidos. Sin embargo, también se pueden aplicar estos
procedimientos de análisis digital para responder ante incidentes identificando de dónde procede
el ataque, por ejemplo.
29
BIBLIOGRAFÍA
1. Brian Carrier, Eugene Spafford. “Getting phisycal with the digital investigation
process”. International Journal of Digital Evidence. Economic Crime Institute (ECI) ,
Utica College. Fall 2003, volume 2, issue 2.
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7A-
FB6C-325D-BF515A44FDEE7459.pdf [consulta en 3 de enero de 2008]
2. Dan Manson, Anna Carlin, Steve Ramos, Alain Gyger, Matthew Kaufman, Jeremy
Treichelt. “Is the Open Way a Better Way? Digital Forensics using Open Source
Tools” 40th Hawaii International Conference on System Sciences, IEEE computer
society. 2007.
http://csdl.computer.org/comp/proceedings/hicss/2007/2755/00/27550266b.pdf
[consulta en 3 de enero de 2008]
30