2011

CASO UNIVERSIDAD DE LA VIDA INVESTIGACIN A JACOBO MARULANDA el suave

Examen Final
El documento contiene el informe de la investigacin desarrollada en base al contenido de la imagen forense de una memoria USB encontrada en posesin del acusado Jacobo Marulanda el suave al momento de su arresto. La investigacin se llev a cabo usando herramientas forenses de ltima generacin.

5
24/06/2011

TABLA DE CONTENIDO

LISTA DE ILUSTRACIONES .............................................................................................. 7 OBJETIVO ............................................................................................................................. 8 INFORMACIN GENERAL DEL ANLISIS .................................................................... 9 RESUMEN EJECUTIVO .................................................................................................... 10 ELEMENTOS INCAUTADOS ....................................................................................... 10 EQUIPO UTILIZADO PARA EL ANALISIS ................................................................ 10 SOFTWARE UTILIZADO .............................................................................................. 10 PROCESOS Y RESULTADOS ....................................................................................... 11 ACUERDO DE CONFIDENCIALIDAD ............................................................................ 43 CONCLUSIONES ................................................................................................................ 44

LISTA DE ILUSTRACIONES

Ilustracin 1. Creacin de Caso C03.USB.Marulanda. ........................................................ 11 Ilustracin 2. Resultado valor MD5. .................................................................................... 12 Ilustracin 3. Estructura archivos imagen USB. .................................................................. 13 Ilustracin 4. Recuperacin de datos con foremost. ............................................................. 14 Ilustracin 5. Archivos extraidos con foremost. ................................................................... 14 Ilustracin 6. Recuperacin de datos con scalpel. ................................................................ 15 Ilustracin 7. Recuperacin de datos con scalpel (parte 2) .................................................. 16 Ilustracin 8. Busqueda palabra clave clave. .................................................................... 17 Ilustracin 9. Contenido busqueda palabra clave (clave). .................................................... 17 Ilustracin 10. Busqueda palabra clave "pista". ................................................................... 18 Ilustracin 11. Estructura interna de calve.wav.................................................................... 19 Ilustracin 12. Imagen resultante cambio de extensin de clave.wav a clave.bmp ............. 19 Ilustracin 13. Imagen bmp luego de cambiar valores hexadcimales. ................................. 21 Ilustracin 14. Extraccin de archivos protegidos................................................................ 22

OBJETIVO Identificar rastros digitales en el dispositivo de almacenamiento USB suministrado por la Polica Nacional para su anlisis y recuperacin de informacin.

INFORMACIN GENERAL DEL ANLISIS Caso N. Fecha de Anlisis: Solicitado por: Ejecutado por: C03-USB.Marulanda 18 junio de 2011 Ing. Daniel Torres Falkonert Ing. Juan Ignacio Oliver Ing. Mnica Gonzlez Ing. Yenny Leguzamo Cel. 301 5777753 juanoliver@msn.com Cel. 311 2649626 moniquilla25@hotmail.com Cel. 311 5242313 Yenny.leguizamoa@gmail.com

RESUMEN EJECUTIVO Resultado del anlisis aplicado al dispositivo de almacenamiento USB suministrado por la Polica Nacional, se identificaron varios archivos: Beca.zip (protegido por contrasea) Clave.wav Windows XP-Pirated Edition.gif (borrado - recuperado)

ELEMENTOS INCAUTADOS Dispositivo de almacenamiento USB Marca Capacidad de almacenamiento de Espacio utilizado Espacio disponible XXXX XXX XXX xxx

EQUIPO UTILIZADO PARA EL ANALISIS Para realizar el respectivo anlisis se utiliz un equipo de cmputo porttil Dell XPS 1501 6Gb de RAM, as como un dispositivo de almacenamiento USB adicional al original con 2 Gb de capacidad. SOFTWARE UTILIZADO Con el objetivo de proporcionar la confiabilidad al proceso, se ejecutaron herramientas para anlisis forense ampliamente conocidas y aceptadas por la comunidad, como lo son: Backtrack 5 Autopsy Forensic Browser VMWare Wordkstation Foremost Scalpel Bless (editor Hexadecimal)

PROCESOS Y RESULTADOS Con el fin de garantizar que la fuente original de informacin ni el dispositivo de almacenamiento (contenedor) suministrado como parte de la evidencia de un caso en investigacin pueda ser alterado, previamente se esterilizo la USB para garantizar que no tiene contenidos que puedan alterar la integridad y disponibilidad de los rastros del dispositivo original, as mismo el dispositivo original es custodiado en sitio alterno al lugar de anlisis bajo medidas de seguridad y control de acceso razonablemente adecuadas.

Teniendo una copia exacta del contenido de la USB se procede a crear un nuevo caso en la herramienta Autopsy Forensic Browser como se muestra a continuacin:

Ilustracin 1. Creacin de Caso C03.USB.Marulanda.

Para garantizar la integridad de la imagen cargada se calcula el hash de la misma, obteniendo como resultado:
Ilustracin 2. Resultado valor MD5.

Los datos internos de la unidad de almacenamiento identificados son: FILE SYSTEM INFORMATION File System Type: FAT16 OEM Name: MSDOS5.0 Volume ID: 0xe433694e Volume Label (Boot Sector): NO NAME Volume Label (Root Directory): FLASHGORDON File System Type Label: FAT16 Sectors before file system: 59 File System Layout (in sectors) Total Range: 0 - 1023000 * Reserved: 0 - 3 ** Boot Sector: 0 * FAT 0: 4 - 253 * FAT 1: 254 - 503 * Data Area: 504 - 1023000 ** Root Directory: 504 - 535 ** Cluster Area: 536 - 1022999 ** Non-clustered: 1023000 - 1023000

METADATA INFORMATION Range: 2 - 16359958 Root Directory: 2 CONTENT INFORMATION Sector Size: 512 Cluster Size: 8192 Total Cluster Range: 2 - 63905 FAT CONTENTS (in sectors) 536-2087 (1552) -> EOF 2088-2775 (688) -> EOF Luego de crear el caso y adjuntar la imagen logramos ver la estructura del archivo de imagen .dd, el cual tena la siguiente estructura:
Ilustracin 3. Estructura archivos imagen USB.

Los archivos que aparecen en azul son los que estn actualmente y el que est en rojo es porque fue borrado, sin embargo al ejecutar herramientas como foremost y scalpel logramos encontrar otros archivos que no aparecen usando autopsy.

Ilustracin 4. Recuperacin de datos con foremost.

La recuperacin de datos con foremost arroj los siguientes resultados:

Ilustracin 5. Archivos extraidos con foremost.

Ilustracin 6. Recuperacin de datos con scalpel.

Ilustracin 7. Recuperacin de datos con scalpel (parte 2)

La recuperacin de datos con scalpel arroj los siguientes resultados:

Teniendo en cuenta la cantidad de archivos recuperados, estos no sern anexados a este documento. Posteriormente a la imagen forense se le hizo una bsqueda de palabras clave para encontrar algunas pistas para tener acceso al archivo zip protegido por contrasea:

Ilustracin 8. Busqueda palabra clave clave.

La bsqueda especificada en la imagen anterior, para la cual se busc la palabra clave nos da un indicio sobre como descubrir la contrasea del archivo beca.zip.

Ilustracin 9. Contenido busqueda palabra clave (clave).

La imagen anterior muestra el resultado al hacer una bsqueda de palabras claves usando la palabra clave. Claramente se puede leer que en el mensaje dice que la clave est en el archivo clave, el cual corresponde a clave.wav. Como se puede ver, el mensaje est incompleto, pero racionalizando un poco sobre las palabras que podran ser usadas despus de Le doy u que es con lo que termina el

extracto de la imagen anterior, procedimos a hacer una bsqueda con la palabra pista, esperando que arrojara resultados ms esclarecedores sobre como abrir el archivo comprimido. El resultado de dicha bsqueda fue el siguiente:

Ilustracin 10. Busqueda palabra clave "pista".

La bsqueda anterior, usando la palabra clave pista, nos muestra que hay contenido que contiene dicha palabra, el contenido es el siguiente:

Como podemos ver en la imagen anterior, el extracto corresponde con el anteriormente mostrado que fue arrojado con la bsqueda de la palabra clave clave. En este extracto podemos ver una frase que llama mucho la atencin:

Lo menos significativo es lo que m.s vale, se asume que m.s significa ms. Teniendo en cuenta los resultados anteriores procedimos a analizar el archivo clave.wav se encontr que el nombre del archivo no corresponde a su estructura interna y basado en los valores hexadecimales del archivo se procedi a cambiar la extensin del archivo a bmp:
Ilustracin 11. Estructura interna de calve.wav

Como se puede ver en la imagen anterior, el archivo comienza con BM, lo cual indica que es un archivo de imagen bmp. El resultado del cambio de tipo de archivo, al cambiarle la extensin, es la siguiente imagen:
Ilustracin 12. Imagen resultante cambio de extensin de clave.wav a clave.bmp

Hasta este punto la investigacin haba dado buenos frutos, pero nos encontrbamos con algo un poco ms difcil que no habamos visto antes. Luego de hacer uso de herramientas de esteganografa, foremost, scalpel, revisar lnea a lnea el contenido de la imagen, etc., investigamos un poco ms sobre los archivos bmp, esta investigacin dio sus frutos en cuanto a que es lo menos significativo en la imagen bmp corresponda al color negro. Al saber este dato procedimos a investigar cmo se mostraba el color negro en hexadecimal dentro de la imagen bmp, para esto creamos archivos en diferentes formatos usando el color negro. Como lo que nos interesaba era el color negro en bmp lo identificamos y procedimos a cambiar el hexadecimal que corresponda a este color en la imagen, el hexadecimal correspondiente es el 00, el cual cambiamos por el equivalente al color completamente contrario, es decir, el blanco, cuyo cdigo hexadecimal corresponde a FF. El resultado fue el siguiente:

Ilustracin 13. Imagen bmp luego de cambiar valores hexadcimales.

Esto nos dio muchas luces sobre la clave del archivo, as que comenzamos a probar secuencias con los caracteres encontrados en la imagen sin color negro. Podemos ver que a pesar de que el archivo no contiene el color negro, la imagen se muestra en ese color porque los archivos bmp no son capaces de mostrar transparencias. Siguiendo con lo que respecta a la bsqueda de la clave, luego de muchos intentos, desaciertos, futraciones, etc., logramos dar con la clave del archivo beca.zip, la cual corresponde a la cadena hexadecimal: e0633a9df92059b2b3087abd42e40c3a

Luego de descomprimir el archivo protegido hemos encontrado la siguiente informacin:

Ilustracin 14. Extraccin de archivos protegidos.

El contenido de cada uno de los archivos se muestra a continuacin: Archivo: Clave laU.txt Contenido:

Archivo: datos.txt Contenido:

Archivo: email.txt Contenido:

Archivo: examen.pdf Contenido:

ACUERDO DE CONFIDENCIALIDAD Los analistas forenses responsables de identificar y extraer la informacin contenida en el dispositivo de almacenamiento suministrado por la Polica Nacional, como parte de la evidencia en el caso CO3.USB.JMarulanda, se comprometen a guardar absoluta reserva respecto a la informacin extrada, identificada y conocida durante el proceso, sta informacin solo podr ser divulgada por personas explcitamente autorizados para ello o a solicitud expresa de los responsables del caso. En constancia de lo anterior se firma el presente acuerdo el da 12 de Junio de 2011, en las instalaciones de la Polica Nacional. Ing. Juan Ignacio Oliver cc. Ing. Mnica Gonzlez cc. Ing. Yenny Leguzamo cc. ______________________ ______________________ _______________________

CONCLUSIONES Producto del anlisis realizado a travs de las tcnicas expuestas en el presente informe y las herramientas utilizadas se extrajo informacin que pueden servir de evidencias para el caso en investigacin contra Jacobo Marulanda el suave por el que se encuentra arrestado bajo los cargos que se le imputan, se identificaron los archivos que incriminan al acusado con los hechos denunciados.