Afusb Gsiupn Alonso Reydes

ConferenciadeHackingtico
AnlisisForense
(aunamemoriaUSB)
AlonsoEduardoCaballeroQuezada
ConsultordeiDevConsultoresenT.I.S.A.C.(Trujillo)& NetworkProfessionalSecurityPerS.A.C.(Lima) email:ReYDeS@gmail.com SitioWeb:http://www.ReYDeS.com
Viernes13deMayodel2011,TrujilloPer
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
Temario
*ComputerForensics? *ElementosdeunbuenprocesoForense *ProcesoForense *Todoes0y1 *USB *MemoriaUSB *CasoRealBTR *Preguntas,comentarios,sugerencias?
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
QuinSoy? 1986Atari800XL 1997Internet
1998/2004RareGazz
2007/2011PeruSEC
2008/2011NPROS 2010/2011iDev
2009/2010Linux+DVD
2011Ecuador
Hackingtico<>CmputoForense<>GNU/Linux
58Presentaciones(Cursos&Conferencias)
ComputerForensics?ForensedeComputadoras
Esunaramadelacienciaforensequecompetealaevidencialegalencontradaen computadorasymediosdealmacenamientodigitales.ElcmputoForensetambinse conocecomoForenseDigital. ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.El trminoartefactodigitalpuedeincluirunsistemadecmputo,unmediode almacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensaje decorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoen unareddecomputadoras.Laexplicacinpuedesertansimplecomoresponderala pregunta;Quinformacinhayaqu?yquesedetallarespondiendoalapregunta; Cualeslasecuenciadeeventosresponsablesdelasituacinactual? Algunasrazonesparaaplicartcnicasdecmputoforensepuedenser;encasos legalesutilizadoparaanalizarcomputadorasquepertenecenalosacusados(casos penal)olitigantes(casoscivil),recuperardatos,paradeterminarcomounaatacante obtuvoacceso,obtenerevidenciacontraunempleado,etc. Fuente:Wikipedia.
ElementosdeunbuenprocesoForense
Validacincruzadadeloshallazgos
Manejoadecuadodelaevidencia
Administracindearchivos(Backup) Competenciatcnica
Completarlainvestigacin
Justificacinexplcitadelproceso
Cumplimientolegal
Flexibilidad
ProcesoForense
BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciade DescubrimientoElectrnico.
Identificacin Recoleccin Anlisis
EVIDENCIA
Presentacin
Todoes0y1
Lascapasdeunacomputadora Aplicacin SistemaOperativo BIOS(BasicInputOuputSystem) Hardware
TiposdeMediosdealmacenamiento DiscoDuro(HardDisk) UnidadesFlashUSB DVD CDROM DiscoFlexible(FloppyDisk) etc.
USB
USB(UniversalSerialBus)BusUniversalSerie,esunpuerto Queseutilizaparaconectarperifricosaunacomputadora. Fuecreadoen1996porsieteempresas. EldiseodelUSBtenacomopropsitoeliminarlanecesidaddeadquirirtarjetas separadasparaqueseancolocadasenlospuertosbusISAyPCI,ademsdemejorar lascapacidadesPlugAndPlay,permitiendoaestosdispositivosserconectadoso desconectadosdelsistemasinlanecesidaddereiniciar.Sinembargoenaplicaciones dondesenecesitaunanchodebandaparagrandestransferenciasdedatosouna latenciabaja,losbusestradicionalessalenganando. ElUSBpuedeconectarperifricoscomo;ratones,teclados,escners, cmarasdigitales,telfonosmviles,reproductoresmultimedia, impresoras,discosdurosexternos,tarjetasdesonido,sistemasde adquisicindedatosycomponentesdered.
Fuente:Wikipedia. AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
MemoriaUSB
UnamemoriaUSB,pendrive,USBFlashDrive,esundispositivo dealmacenamientoqueutilizamemoriaflashparaguardar Informacin. LamemoriaflashesunamemoriatipoEEPROMquepermiterealizaroperacionesde escriturayborradodevariasposicionesdememoriaalavez,medianteimpulsos elctricos.Porellopuedenfuncionaravelocidadsuperiorescuandolossistemas empleanlecturayescrituraendiferentespuntosdelamemoriaalmismotiempo. EEPROMsiglastraducidasalespaoldeROMProgramableyBorrable Electrnicamente.EsuntipodememoriaROMquepuedeserprogramado,borradoy reprogramadoelectrnicamente. Aunquepuedeserledaunnmeroilimitadode veces,solopuedeserreprogramadaentre 100mily1millndeveces.
Fuente:Wikipedia. AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
CasoRealBTR
Acontinuacinseprocedearealizarunbreveanlisisdeestecaso.
CasoRealBTR
Cronologa: 8enero2009.GiselleGiannottiesdeteniday,entreotrascosas,leincautandosUSB. 12enero2009.Giannottiautorizaalapolicayelfiscalrevisarsusarchivos electrnicos,incluidoslosUSB,de1GBy2GB. 13febrero2009.JuezaMaraMartnezpidealfiscalentregartodoslosarchivos electrnicosdeBTR,incluidoslosdeGiannotti. 3deabril2009.JuezatrasladasudespachoalcuartopisodePalaciodeJusticia. 28abril2009.FiscalsolicitaporterceravezalajuezapriorizarrevisindeUSBsde Giannotti,perolajuezadiceno. 5marzo2010.SeiniciavisualizacindeUSBsdeGiannotti.SedetectaquelosUSBs hansidomanipulados. 17y22marzo2010.PeritosyveedoresconfirmanquelosUSBs deGiannottituvieronunltimoaccesoymodificacinel4demayo del2009.Enesafechaseborraronarchivos.
Fuente:http://www.larepublica.pe/archive/all/larepublica/20100326/1/pagina/01 AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
CasoRealBTR
PersonalPresente: MayorPNPLuisLpezRuiz(PersonalTcnicoPNP),ComandantePNPRaldel CastilloVidal(DirandroPNP),RepresentantedelMinisterioPblico,Dra.Vamessa AranibarCovarrubias,FiscalAdjuntaProvincialdela3eraFiscaliacontraLa CriminalidadOrganizada,elabogadoDr.HugoManuelCanevaroFernandez(CAL 18289),Dra.MadelaineMilagrosReydesGastelu(CAL44204)yladetenidaGiselle MayraGianottiGrados(41).
ConstitucinPoltica delPer Artculo2.Derechos Fundamentalesdela Persona.Punto10. Secretoe inviolabilidaddesus comunicaciones.
CasoRealBTR
TableauT8ForensicUSBBridge Estdiseadoparapermitirextraerimagenes forensesdesdedispositivosUSB.Sepuedeleer desdedispositivosUSBsintemoraquelos datoseneldispositivoUSBseanmodificados inadvertidamenteduranteelprocesodeadquisicin. Seledenominaunpuente,debidoaqueseconectaalacomputadorapormediode unaconexinUSB2.0oFireWire400/1394A.Enelcampoforensetambinsele denominaunBloqueadordeEscrituraUSB.
CasoRealBTR
TableauT35eseSATAForensicBridge Ofrecevariasopcionesdeconexinnativaentre computadorasydispositivosquecualquierotro bloqueadordeescriturad.Contienecuatro diferentesinterfacesdeconexin(eSATA, FireWire800,FireWire400yUSB)ademsdedos conexiones(SATAeIDE).Locualpermiteadquirir unidadesIDEySATAmsrpidoqueFireWire800.
WesternDigitalModeloWD2500250GB
CasoRealBTR
Formatear?=/Sanitizar,Limpiar Antesdeutilizarunmedioparaguardarevidencia;copiasespejoocopiasbitabit;se debedeprocederaesterilizarWIPEelmedio.Esteprocedimientoconsisteenutilizar algnestndarparasobrescribirdemuchasmanerasyvariasveceslaunidad,para quenoquedehuelladealgndatoexistente.Ejemplo: USDepartmentofDefenseDoD5220.22M(3pasadas) DoD5220.22MEsunalgoritmodelimpiezadesobrescrituradetrespasadas:1era pasadaconceros,2dapasadaconunosylaltimapasadaconbytesaleatorios.Con verificacindetodaslaspasadas. PeterGutmann(35pasadas)
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico iDevConsultoresenT.I.S.A.C./www.idev.pe
CasoRealBTR
EnCASEForensics,eslasolucinestndardelaindustriaparainvestigacinde computadoras,diseadoparaprofesionalesforensesquenecesitanrealizaruna eficienterecoleccindedatoseinvestigacinutilizandounprocesorepetibley defendible.Permitealinvestigadorlahabilidaddehacerunarplicaoimagendeuna unidadypreservarlademaneraforense,utilizandoelformatodearchivoparaEnCASE (LEF,E01),uncontenedordeevidenciadigitalvalidadayaprobada porcortesanivelmundial. EnCASEForensicstambincontieneunacompletasuitedeanlisis, Coninteresantescaractersticasdereporte.GuidanceSoftwarey Otrosproveedoresproporcionansoporteconcapacidadesextendidas paraasegurarquelosinvestigadoresforensestengaunconjuntotil deherramientas. Nota:DeberadecirUltraBlock,NOUltrablocks.?
CasoRealBTR
QuesunHASH? Unhashesunafuncinomtodoparagenerarclaveso llavesquerepresentendemaneraunvocaundocumento, registro,archivo,etc,resumiroidentificarundato mediantelaprobabilidad.Unhasheselresultadode dichafuncinoalgoritmo.Existendiferentesalgoritmos, MD5,SHA,suprincipaldiferenciaentreellosessu fortaleza.Ejemplo:Quedosobjetosnotenganelmismocdigohash. EnestecasoelhashMD5obtenidofue:106F2277BC32371C269986E3BF771FBD
CasoRealBTR
ComoyasehamencionadoelMD5oSHAsonalgoritmosparageneraruncdigoo valorhashdeunobjeto.
EnestecasolaconfiguracindeEnCASEhadividolaimagenbitabitde1Gben partesde650Megabytes;esdecireltamaopromediodeunCDROM;deesta maneralaevidenciadegrantamaopuedesergrabadaenCDsoDVDsdeser necesario.Enestecasosehancreadotresarchivos:GiselleGiannotiUSB2GB 12ENE2009.E01yGiselleGiannotiUSB2GB12ENE2009.E02yCasoSagitario DIRANDROPNP.
CasoRealBTR
PrimerolacapacidaddelamemoriaUSBerade2GBahoraesde1GB?
ElCmputoForenseSIEMPREsetrabajaconlascopiasbitabit,NUNCAconel originalyporLEYsiempreserealizancomomnimo2(DOS)copiasdelaevidencia. Enestecasoseprocedeconunametodologaadecuadaparalavisualizaciny escuchadeaudios,aunquenoseespecificasiseprocediarealizarlasdoscopias.
Seprocedealistaryvisualizarlascopiasbitabitdelaevidencia
CasoRealBTR
Antesderealizarlavisualizacinyaudicindelaevidencia,seprocedeaverificarlos cdigoshash.Elprocedimientoeselsiguiente: 1.Seobtieneuncdigoovalorhashdelaevidenciaoriginal. 2.Seprocedearealizarlarplicaocopiabitabitdelaevidencia. 3.Seobtieneuncdigoovalorhashdelarplicaoimagenbitabitdelaevidencia. Estosdoscdigoshashdebenseriguales,encasonoseaas,debeprocedersea realizarlacopiadelaevidencianuevamente,dadoqueNOpuedecontinuarseconla fasedeanlisishastaquelacopiabitabitseaunreflejoexactodelaevidencia original.
CasoRealBTR
Sistemadearchivos Estructuranlainformacinguardadaenunaunidaddealmacenamiento(undiscoduro, unamemoriaUSB,etc.)queluegoserrepresentadadeformatextualogrfica utilizandoungestordearchivos.LamayoradeSistemasOperativosmanejansu propioSistemadeArchivos.SepuedepensarenunSistemadeArchivoscomoenuna Biblioteca. ElSistemadeArchivostienemarcasdetiempo;generalmentetres;estatriadase conocecomoMACporsussiglaseningls.Lascualesson: 1.TiempodeCreacin 2.TiempodeModificacin 3.TiempodeAcceso.
CasoRealBTR
Detalledelaestructuradeobjetos(Carpetas)delamemoriaUSB.Sedebeanotarque lasherramientasforenses,permitenobtenerdetalledearchivosocarpetaseliminadas oborradas,previsualizardearchivos,verificardeextensionesymuchosotros procesosytareasvitalesenunanlisisforense.
CasoRealBTR
Sedebeanotartambinqueestaesunainvestigacinpreliminar.Puessepueden utilizarotrastcnicasoprocedimientosparatratardeubicarporejemplo,fragmentos dearchivos,buscarpalabrasclavesparaelcaso,bsquedadecadenasque identifiquenarchivos,locualconstituyeunanlisismsprofundo.
Porejemploesteeseldetalledeunosdelosarchivosdelreporte.Ntesequese muestraLarutayNombre,ltimoAcceso,CreacindeArchivo,ltimaEscritura, TamaoLgico,TamaoFsicoyContenido.
CasoRealBTR
Lascopiasbitabitdelaevidenciaalmancenadaseneldiscoduro,quedanacargode laPNP.NOsehacemencinaquelacopiabitabitsehayagrabadoenunmediode sololectura,comoquemarlosaCDsoDVDs,consusrespectivosvaloreshashs.
SemencionanuevamentequelamemoriaUSBesde1GBNOde2GB.
Informacinquecompetealadiligencia,luegolospresentesprocedenafirmarelacta.
CasoRealBTR
CadenadeCustodia Unacadenadecustodiaesundocumentoextradoporlasfuerzasdelaaplicacinde laley,querastrealaevidenciadesdeelmomentoenelqueinvestigadorforense obtieneposesindeunartculo,hastaqueespresentadoenunajuzagadoodirectorio. Estedocumentocontieneinformacinbsicasobreelclienteypersonasrelacionadas, ascomolosmedios,tipo,nmerosdeseriey otrainformacinbsica.Elformulariotambin rastreacadapersonaquehatocadolos artculosdeevidencia,comoporejemploenla recoleccinolarplica.Elformulariotieneuna lneadeentradaparacadavezqueesmanipulada. Silacadenadecustodiaserompelaintegridad delaevidenciapuedesercomprometidayno servlidaenunjuicio.
Preguntas,comentarios, sugerencias,correcciones?
Seminario de Informtica Forense
Sbado 11 de Junio del 2011
Seminario de Hacking tico

Sbado 18 de Junio del 2011
MsInformacineInscripciones:
Correoelectrnico:eventos@idev.pe Pginaweb:http://www.idev.pe Oficina:Jr.Ayacucho414Of.109 Telfono:(044)222613
ConferenciadeHackingtico
MuchasGracias!
AlonsoEduardoCaballeroQuezada
ConsultordeiDevConsultoresenT.I.S.A.C.(Trujillo)& NetworkProfessionalSecurityPerS.A.C.(Lima) email:ReYDeS@gmail.com SitioWeb:http://www.ReYDeS.com
Viernes13deMayodel2011,TrujilloPer

Afusb Gsiupn Alonso Reydes

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Afusb Gsiupn Alonso Reydes

Uploaded by

Copyright:

Available Formats

ConferenciadeHackingtico

QuinSoy? 1986Atari800XL 1997Internet

Identificacin Recoleccin Anlisis

TiposdeMediosdealmacenamiento DiscoDuro(HardDisk) UnidadesFlashUSB DVD CDROM DiscoFlexible(FloppyDisk) etc.

AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico iDevConsultoresenT.I.S.A.C./www.idev.pe

ElCmputoForenseSIEMPREsetrabajaconlascopiasbitabit,NUNCAconel originalyporLEYsiempreserealizancomomnimo2(DOS)copiasdelaevidencia. Enestecasoseprocedeconunametodologaadecuadaparalavisualizaciny escuchadeaudios,aunquenoseespecificasiseprocediarealizarlasdoscopias.

Porejemploesteeseldetalledeunosdelosarchivosdelreporte.Ntesequese muestraLarutayNombre,ltimoAcceso,CreacindeArchivo,ltimaEscritura, TamaoLgico,TamaoFsicoyContenido.

Seminario de Hacking tico

You might also like