Professional Documents
Culture Documents
AnlisisForense
(aunamemoriaUSB)
AlonsoEduardoCaballeroQuezada
ConsultordeiDevConsultoresenT.I.S.A.C.(Trujillo)& NetworkProfessionalSecurityPerS.A.C.(Lima) email:ReYDeS@gmail.com SitioWeb:http://www.ReYDeS.com
Viernes13deMayodel2011,TrujilloPer
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
Temario
*ComputerForensics? *ElementosdeunbuenprocesoForense *ProcesoForense *Todoes0y1 *USB *MemoriaUSB *CasoRealBTR *Preguntas,comentarios,sugerencias?
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
1998/2004RareGazz
2007/2011PeruSEC
2008/2011NPROS 2010/2011iDev
2009/2010Linux+DVD
2011Ecuador
Hackingtico<>CmputoForense<>GNU/Linux
58Presentaciones(Cursos&Conferencias)
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
ComputerForensics?ForensedeComputadoras
Esunaramadelacienciaforensequecompetealaevidencialegalencontradaen computadorasymediosdealmacenamientodigitales.ElcmputoForensetambinse conocecomoForenseDigital. ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.El trminoartefactodigitalpuedeincluirunsistemadecmputo,unmediode almacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensaje decorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoen unareddecomputadoras.Laexplicacinpuedesertansimplecomoresponderala pregunta;Quinformacinhayaqu?yquesedetallarespondiendoalapregunta; Cualeslasecuenciadeeventosresponsablesdelasituacinactual? Algunasrazonesparaaplicartcnicasdecmputoforensepuedenser;encasos legalesutilizadoparaanalizarcomputadorasquepertenecenalosacusados(casos penal)olitigantes(casoscivil),recuperardatos,paradeterminarcomounaatacante obtuvoacceso,obtenerevidenciacontraunempleado,etc. Fuente:Wikipedia.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
ElementosdeunbuenprocesoForense
Validacincruzadadeloshallazgos
Manejoadecuadodelaevidencia
Administracindearchivos(Backup) Competenciatcnica
Completarlainvestigacin
Justificacinexplcitadelproceso
Cumplimientolegal
Flexibilidad
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
ProcesoForense
BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciade DescubrimientoElectrnico.
EVIDENCIA
Presentacin
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
Todoes0y1
Lascapasdeunacomputadora Aplicacin SistemaOperativo BIOS(BasicInputOuputSystem) Hardware
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
USB
USB(UniversalSerialBus)BusUniversalSerie,esunpuerto Queseutilizaparaconectarperifricosaunacomputadora. Fuecreadoen1996porsieteempresas. EldiseodelUSBtenacomopropsitoeliminarlanecesidaddeadquirirtarjetas separadasparaqueseancolocadasenlospuertosbusISAyPCI,ademsdemejorar lascapacidadesPlugAndPlay,permitiendoaestosdispositivosserconectadoso desconectadosdelsistemasinlanecesidaddereiniciar.Sinembargoenaplicaciones dondesenecesitaunanchodebandaparagrandestransferenciasdedatosouna latenciabaja,losbusestradicionalessalenganando. ElUSBpuedeconectarperifricoscomo;ratones,teclados,escners, cmarasdigitales,telfonosmviles,reproductoresmultimedia, impresoras,discosdurosexternos,tarjetasdesonido,sistemasde adquisicindedatosycomponentesdered.
Fuente:Wikipedia. AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
MemoriaUSB
UnamemoriaUSB,pendrive,USBFlashDrive,esundispositivo dealmacenamientoqueutilizamemoriaflashparaguardar Informacin. LamemoriaflashesunamemoriatipoEEPROMquepermiterealizaroperacionesde escriturayborradodevariasposicionesdememoriaalavez,medianteimpulsos elctricos.Porellopuedenfuncionaravelocidadsuperiorescuandolossistemas empleanlecturayescrituraendiferentespuntosdelamemoriaalmismotiempo. EEPROMsiglastraducidasalespaoldeROMProgramableyBorrable Electrnicamente.EsuntipodememoriaROMquepuedeserprogramado,borradoy reprogramadoelectrnicamente. Aunquepuedeserledaunnmeroilimitadode veces,solopuedeserreprogramadaentre 100mily1millndeveces.
Fuente:Wikipedia. AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Acontinuacinseprocedearealizarunbreveanlisisdeestecaso.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Cronologa: 8enero2009.GiselleGiannottiesdeteniday,entreotrascosas,leincautandosUSB. 12enero2009.Giannottiautorizaalapolicayelfiscalrevisarsusarchivos electrnicos,incluidoslosUSB,de1GBy2GB. 13febrero2009.JuezaMaraMartnezpidealfiscalentregartodoslosarchivos electrnicosdeBTR,incluidoslosdeGiannotti. 3deabril2009.JuezatrasladasudespachoalcuartopisodePalaciodeJusticia. 28abril2009.FiscalsolicitaporterceravezalajuezapriorizarrevisindeUSBsde Giannotti,perolajuezadiceno. 5marzo2010.SeiniciavisualizacindeUSBsdeGiannotti.SedetectaquelosUSBs hansidomanipulados. 17y22marzo2010.PeritosyveedoresconfirmanquelosUSBs deGiannottituvieronunltimoaccesoymodificacinel4demayo del2009.Enesafechaseborraronarchivos.
Fuente:http://www.larepublica.pe/archive/all/larepublica/20100326/1/pagina/01 AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
PersonalPresente: MayorPNPLuisLpezRuiz(PersonalTcnicoPNP),ComandantePNPRaldel CastilloVidal(DirandroPNP),RepresentantedelMinisterioPblico,Dra.Vamessa AranibarCovarrubias,FiscalAdjuntaProvincialdela3eraFiscaliacontraLa CriminalidadOrganizada,elabogadoDr.HugoManuelCanevaroFernandez(CAL 18289),Dra.MadelaineMilagrosReydesGastelu(CAL44204)yladetenidaGiselle MayraGianottiGrados(41).
ConstitucinPoltica delPer Artculo2.Derechos Fundamentalesdela Persona.Punto10. Secretoe inviolabilidaddesus comunicaciones.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
TableauT8ForensicUSBBridge Estdiseadoparapermitirextraerimagenes forensesdesdedispositivosUSB.Sepuedeleer desdedispositivosUSBsintemoraquelos datoseneldispositivoUSBseanmodificados inadvertidamenteduranteelprocesodeadquisicin. Seledenominaunpuente,debidoaqueseconectaalacomputadorapormediode unaconexinUSB2.0oFireWire400/1394A.Enelcampoforensetambinsele denominaunBloqueadordeEscrituraUSB.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
TableauT35eseSATAForensicBridge Ofrecevariasopcionesdeconexinnativaentre computadorasydispositivosquecualquierotro bloqueadordeescriturad.Contienecuatro diferentesinterfacesdeconexin(eSATA, FireWire800,FireWire400yUSB)ademsdedos conexiones(SATAeIDE).Locualpermiteadquirir unidadesIDEySATAmsrpidoqueFireWire800.
WesternDigitalModeloWD2500250GB
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Formatear?=/Sanitizar,Limpiar Antesdeutilizarunmedioparaguardarevidencia;copiasespejoocopiasbitabit;se debedeprocederaesterilizarWIPEelmedio.Esteprocedimientoconsisteenutilizar algnestndarparasobrescribirdemuchasmanerasyvariasveceslaunidad,para quenoquedehuelladealgndatoexistente.Ejemplo: USDepartmentofDefenseDoD5220.22M(3pasadas) DoD5220.22MEsunalgoritmodelimpiezadesobrescrituradetrespasadas:1era pasadaconceros,2dapasadaconunosylaltimapasadaconbytesaleatorios.Con verificacindetodaslaspasadas. PeterGutmann(35pasadas)
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
CasoRealBTR
EnCASEForensics,eslasolucinestndardelaindustriaparainvestigacinde computadoras,diseadoparaprofesionalesforensesquenecesitanrealizaruna eficienterecoleccindedatoseinvestigacinutilizandounprocesorepetibley defendible.Permitealinvestigadorlahabilidaddehacerunarplicaoimagendeuna unidadypreservarlademaneraforense,utilizandoelformatodearchivoparaEnCASE (LEF,E01),uncontenedordeevidenciadigitalvalidadayaprobada porcortesanivelmundial. EnCASEForensicstambincontieneunacompletasuitedeanlisis, Coninteresantescaractersticasdereporte.GuidanceSoftwarey Otrosproveedoresproporcionansoporteconcapacidadesextendidas paraasegurarquelosinvestigadoresforensestengaunconjuntotil deherramientas. Nota:DeberadecirUltraBlock,NOUltrablocks.?
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
QuesunHASH? Unhashesunafuncinomtodoparagenerarclaveso llavesquerepresentendemaneraunvocaundocumento, registro,archivo,etc,resumiroidentificarundato mediantelaprobabilidad.Unhasheselresultadode dichafuncinoalgoritmo.Existendiferentesalgoritmos, MD5,SHA,suprincipaldiferenciaentreellosessu fortaleza.Ejemplo:Quedosobjetosnotenganelmismocdigohash. EnestecasoelhashMD5obtenidofue:106F2277BC32371C269986E3BF771FBD
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
ComoyasehamencionadoelMD5oSHAsonalgoritmosparageneraruncdigoo valorhashdeunobjeto.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
PrimerolacapacidaddelamemoriaUSBerade2GBahoraesde1GB?
Seprocedealistaryvisualizarlascopiasbitabitdelaevidencia
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Antesderealizarlavisualizacinyaudicindelaevidencia,seprocedeaverificarlos cdigoshash.Elprocedimientoeselsiguiente: 1.Seobtieneuncdigoovalorhashdelaevidenciaoriginal. 2.Seprocedearealizarlarplicaocopiabitabitdelaevidencia. 3.Seobtieneuncdigoovalorhashdelarplicaoimagenbitabitdelaevidencia. Estosdoscdigoshashdebenseriguales,encasonoseaas,debeprocedersea realizarlacopiadelaevidencianuevamente,dadoqueNOpuedecontinuarseconla fasedeanlisishastaquelacopiabitabitseaunreflejoexactodelaevidencia original.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Sistemadearchivos Estructuranlainformacinguardadaenunaunidaddealmacenamiento(undiscoduro, unamemoriaUSB,etc.)queluegoserrepresentadadeformatextualogrfica utilizandoungestordearchivos.LamayoradeSistemasOperativosmanejansu propioSistemadeArchivos.SepuedepensarenunSistemadeArchivoscomoenuna Biblioteca. ElSistemadeArchivostienemarcasdetiempo;generalmentetres;estatriadase conocecomoMACporsussiglaseningls.Lascualesson: 1.TiempodeCreacin 2.TiempodeModificacin 3.TiempodeAcceso.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Detalledelaestructuradeobjetos(Carpetas)delamemoriaUSB.Sedebeanotarque lasherramientasforenses,permitenobtenerdetalledearchivosocarpetaseliminadas oborradas,previsualizardearchivos,verificardeextensionesymuchosotros procesosytareasvitalesenunanlisisforense.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Sedebeanotartambinqueestaesunainvestigacinpreliminar.Puessepueden utilizarotrastcnicasoprocedimientosparatratardeubicarporejemplo,fragmentos dearchivos,buscarpalabrasclavesparaelcaso,bsquedadecadenasque identifiquenarchivos,locualconstituyeunanlisismsprofundo.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
Lascopiasbitabitdelaevidenciaalmancenadaseneldiscoduro,quedanacargode laPNP.NOsehacemencinaquelacopiabitabitsehayagrabadoenunmediode sololectura,comoquemarlosaCDsoDVDs,consusrespectivosvaloreshashs.
SemencionanuevamentequelamemoriaUSBesde1GBNOde2GB.
Informacinquecompetealadiligencia,luegolospresentesprocedenafirmarelacta.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
CasoRealBTR
CadenadeCustodia Unacadenadecustodiaesundocumentoextradoporlasfuerzasdelaaplicacinde laley,querastrealaevidenciadesdeelmomentoenelqueinvestigadorforense obtieneposesindeunartculo,hastaqueespresentadoenunajuzagadoodirectorio. Estedocumentocontieneinformacinbsicasobreelclienteypersonasrelacionadas, ascomolosmedios,tipo,nmerosdeseriey otrainformacinbsica.Elformulariotambin rastreacadapersonaquehatocadolos artculosdeevidencia,comoporejemploenla recoleccinolarplica.Elformulariotieneuna lneadeentradaparacadavezqueesmanipulada. Silacadenadecustodiaserompelaintegridad delaevidenciapuedesercomprometidayno servlidaenunjuicio.
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
AnlisisForenseaunamemoriaUSB ConferenciadeHackingtico
Preguntas,comentarios, sugerencias,correcciones?
Seminario de Informtica Forense
Sbado 11 de Junio del 2011
MsInformacineInscripciones:
Correoelectrnico:eventos@idev.pe Pginaweb:http://www.idev.pe Oficina:Jr.Ayacucho414Of.109 Telfono:(044)222613
AlonsoEduardoCaballeroQuezadahttp://www.iDev.pecontacto@iDev.pe
ConferenciadeHackingtico
MuchasGracias!
AlonsoEduardoCaballeroQuezada
ConsultordeiDevConsultoresenT.I.S.A.C.(Trujillo)& NetworkProfessionalSecurityPerS.A.C.(Lima) email:ReYDeS@gmail.com SitioWeb:http://www.ReYDeS.com
Viernes13deMayodel2011,TrujilloPer