Antes de comenzar queremos agradecer a todos los participantes de este primer reto y a todas las personas que realizaron la descarga del entorno virtualizado, esperamos que a “pesar” de que publiquemos los reportes entregados por los participantes, las demás personas se animen  a desarrollar las actividades propuestas.

Es necesario aclarar y realizar un resumen de lo que fue esta primera experiencia como desarrolladores/participantes de este primer reto forense de la comunidad. Pues de esta actividad depende la comprensión de los resultados presentados.

El escenario que se planteó fue el siguiente:

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Los objetivos y reglas del reto son los siguientes:

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias

Como se observa, las reglas y objetivos de este reto pueden resultar algo exigentes para tratarse de un primer reto y acercamiento a estas temáticas (aunque ya habían sido tratadas en profundidad en varios laboratorios de la comunidad), por lo tanto tratamos de no ser tan rigurosos en el proceso de evaluación, aunque esto no debería ser así, pues de ello depende la calidad de los analistas forenses y de la validez de la evidencia presentada por estos ante un Juez.

El número total de personas oficialmente registradas a participar en el reto fue 71, de los cuales solo 7 personas presentaron los reportes solicitados.

Como bien se explica en los objetivos del reto. Se libera un Snapshot (instantánea) de un sistema virtualizado en VMWare.

El primer objetivo por lo tanto será descargar la imagen, comprobar la integridad de los archivos y realizar la implementación/montaje del entorno de análisis (Más información>>)

Aunque no se especificó claramente la idea inicial es personificar el papel de un análisista forense, el cual y como primera medida obligatoria debe velar por la conservación de la evidencia. Por esto y aunque hayamos distribuido la imagen descargable y comprimida del entorno era obligatorio responder correctamente frente al proceso de cadena de custodia, en la cual se debe realizar los procedimientos científicos necesarios para generar mínimo tres copias de seguridad del sistema implicado, entre otras prácticas. (Más información >>)

Vulevo y repito, esta parte no fue especificada de la mejor manera por nosotros, pues damos por entendido que es el primer objetivo en todo análisis forense.

La idea es que en conjunto mejoremos todos, tanto nosotros como desarrolladores de los retos, como ustedes los participantes, por ello se ignoró en gran medida este primer objetivo de conservación de la evidencia. Aunque claro está, para el próximo reto sera indispensable presentar el registro de como fue llevado a cabo este proceso de tanta importancia en las tareas de análisis forense digital.

A excepcion de dos participantes, todos los demás reportes mostraron que contaban ya, como copia de seguridad, la imagen publicada por nosotros. Aunque el reto pretendía meter a los participantes en la escena donde llegaban a modo de allanamiento a la casa del implicado y debían realizar las copias necesarias del sistema.

Por lo tanto solo se evaluó la profundidad y exactitud del análisis demostrativo de las actividades que realizaba el implicado desde dicho computador.

Consideramos que una gran fuente de referencias y de ayuda fue el enlace a los resultados del 3 reto de informática forense de la UNAM, los cuales ofrecen unos perfectos ejemplos a seguir en materia de realización de análisis y reportes. Observamos como entonces solo unos pocos se apoyaron en estos invaluables recursos. Pues dichos reportes presentan de manera muy profesional lo que debería ser un reporte ejecutivo (gerencial) y un reporte técnico (académico).

Los resultados de las evaluaciones quedaron así:

• Primer puesto: Javi G. (descargar informes)
• Segundo puesto: Mario Alfonso Riaño (descargar informes)

Vuelvo y repito, para este primer resultado intentamos no ser completamente rigurosos en el proceso de calificación, pues tratamos simplemente de resaltar las buenas prácticas o técnicas presentadas por los concursantes.

No todos los informes pueden estar en el podio ganador, pero en reconocimiento a su trabajo y tiempo realizando el reto forense, vamos a hablar un poco de cada uno de los informes, comentando sus puntos a favor y en contra, para que en nuevas ediciones de nuestro reto forense corrigan sus errores y fortalezcan sus talentos (En orden de resultados -Pudium).

1 – Javier G.

• PRO’s: Correcto uso del reporte ejecutivo para el objetivo del mismo. Muy detallado y acertado el proceso de análisis y resultados obtenidos.
• CONTRA’s: Se hecha de menos el detalle técnico del proceso de preservación de la evidencia.

2 – Mario Alfonso Riaño Rojas

• PRO’s: Buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. Correcto análisis cronológico de las actividades delictivas del implicado. Muy buenos resultados para tratarse de un primer análisis forense digital. Correcto y acertado procedimiento de preservación de la evidencia. Buen nivel de detalle descriptivo del sistema objetivo.
• CONTRA’s: Se hecha de menos un poco más de detalle y acierto en el proceso de análisis de la evidencia.

3 – Manuel Antonio Meléndez Andrade

• PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. El reporte técnico refleja muy buenos hallazgos, pero carece de los procedimientos utilizados para llegar a estos.
• CONTRA’s: Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Aunque las conclusiones son buenas, no se detallan los procedimientos técnicos realizados para llegar a estos. (preservación de la evidencia, montaje del entorno de análisis, copia y análisis de datos volátiles, memoria ram, etc)

4 – Julián Sotos Sepúlveda

• PRO´s: Se percibe que hubo buena documentación para la realización del análisis. El reporte ejecutivo reflejan unas buenas conclusiones del análisis. Correcto el uso descriptivo de como debería realizarse de adquisición de la evidencia. Buenas conclusiones. Buenas recomendaciones y compromisos a los padres y a los menores de edad/jóvenes.
• CONTRA´s: No se detalla técnicamente el proceso de preservación de la evidencia. No se realizó análisis de memoria. El uso de la herramienta COFEE es de uso restrictivo a organismos policiales de algunos países. No se detallan las técnicas utilizadas para obtener la mayoría de resultados

5 – Seifreed:

• PRO’s: Fue quien más información adjunta envío y documento cada instrucción con que obtuvo esta información. Se percibe que hubo buena documentación para la realización del análisis.
• CONTRA’s: No realizó ningún tipo de análisis, se limitó a sacar información sin buscar realacion alguna entre ella y sin analizar en detalle los resultados obtenidos por estas. La mayor parte del reporte técnico se enfocó a verificar la integridad del archivo descargado (4 páginas), proceso que podría ser realizado de manera más óptima con el objetivo de documentar actividades más relevantes. No detalló el procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Tan solo se limita a mostrar como sería el proceso de generación de una imagen del sistema en GNU/Linux (Asumo que booteo el sistema desde un LiveCD GNU/Linux para realizar dicha copia). Muchas aplicaciones software pueden automatizar ese proceso de extracción de datos, generación de logs del sistema, etc… Pero el sentido de un análisis forense es verificar, análizar, detallar, organizar, y presentar estos resultados. No se realizó análisis de memoria.

6 – Víctor J.

• PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Buena la iniciativa de realización del copiado del sistema, pero esta se debe detallar más (herramientas, horario, firmas, copias de seguridad, etc.). Muy bueno el análisis con X-Ways Forensics, aunque solo se limitó a analizar para ADS.
• CONTRA’s: Solo se entregó un reporte técnico y otro documento que no refleja los objetivos de un reporte ejecutivo. Se mencionan intentos fallidos de actividades. No detalló el procedimiento de preservación de la evidencia. No se realizó análisis de memoria.

7 – Henry Fernando Montalvan Celi:

• PRO’s: Buena iniciativa y decisión de abordar un reto forense sin ningún tipo de experiencia en este campo. Se percibe que hubo buena documentación para la realización del análisis, pero no es recomendable copiar esa misma información en los reportes.
• CONTRA’s: Solo envió un reporte ejecutivo, que a la vez parece más un reporte técnico incompleto, pues enumera las actividades relizadas a nivel técnico pero no en el detalle requerido. No detalló ningún procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Cuando enumera hallazgos de actividades realizadas en el equipo implicado, no se detallan como se consiguió obtener dichos hallazgos. El reporte refleja que los análisis se realizaron en el sistema en ¨caliente¨ y como se mencionó anteriormente no se realizó copias de seguridad de la evidencia, por lo tanto se está alterando la evidencia. No es recomendado instalar software de terceros en el sistema objetivo. No se realizó análisis de memoria.

Listaremos algunas recomendaciones generales a raíz de todos los reportes presentados para este concurso,  las cuales deben ser tenidas en cuenta para la realización de los análisis y reportes de futuros concursos. Enumeraremos también los aciertos presentados por todos los reportes de los participantes de este primer concurso, los cuales servirán de guía a todos los interesados en estas temáticas y a futuros participantes de los próximos retos de análisis forense digital que se publicarán en el portal.

• La presentación de los informes debe realizarse con buena ortografía y dejando de lado bromas o chistes que nada tienen que ver con la finalidad del reporte.
• No se deben enumerar intentos fallidos de una u otra acción o actividad común para un analista forense. El objetivo es presentar en el informe ejecutivo los resultados finales de los procedimientos científicos realizados.
• Es necesario siempre realizar la cronología de las actividades realizadas en el sistema.
• Informar en detalle las características / antecedentes del sistema analizado.
• Cuando se realizan análisis con herramientas de pago, estas deben estar debidamente licenciadas y adquiridas a sus proveedores.
• Todo análisis forense está sujeto a unos objetivos planteados por los interesados, como pueden ser, demostrar el robo de información, el desprestigio por medio de internet, rastreo de correos electrónicos, recuperación de información, etc. Para este caso el objetivo era demostrar con pruebas contundentes que la persona que operaba dicho sistema realizaba actos criminales relacionados con la pedofilia. Por ende estos informes deben presentar dichas pruebas de lo contrario serán inefectivos pues no cumplen con el objetivo del reto.

Aunque no habíamos anunciado nada acerca de premiación a los dos mejores informes en el momento de plantear el reto, siempre teniamos presente recompensar de alguna manera a las personas que cumplieron con los objetivos del reto, por su esfuerzo y dedicación y por compartir su conocimiento con los demás.

Por ello decidimos entregar un premio a cada uno de ellos.

Javi G. - Libro: Análisis Forense Digital en Entornos Windows de Juan Garrido

Mario Alfonso Riaño - Libro: Computer Forensics JumpStart de la editorial sybex

Nuevamente muchas gracias a todos los participantes de este primer reto forense de nuestra comunidad. Esperamos que los próximos tengan aún más acogida por parte de nuestros visitantes, pues esperamos publicar muchos otros retos con diferentes grados de dificultad.

Los ganadores pueden ponerse en contacto con nosotros con los mismos emails con los que se registraron, para acordar el proceso de envío de los premios.

Quienes estén interesados en realizar o continuar con el análisis de este reto puede hacerlo por medio del proyecto colaborativo de entrenamiento en seguridad Sec-Track, el cual viene publicando de manera colaborativa el paso a paso para realizar de la mejor manera el análisis.

También puede interesarte...

• Registraduría Nacional de Colombia.. ¿DoS o Negligencia?
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• Análisis del caso “Autopsy hecho en Medellín”
• CAINE – Distribución Live CD para Análisis Forense
• Foro de BackTrack en Español
• Instalación, Configuración y Uso del Microsoft Cofee
• E-zine #4 Comunidad DragonJAR
• Curso gratuito de Análisis Forense Basico

La lista oficial de participantes (quienes enviaron los informes a tiempo) es la siguiente:

• Seifreed
• Víctor J. González (TRumAN)
• Henry Fernando Montalvan Cel
• Julián Sotos Sepúlveda
• Mario Alfonso
• Manuel Antonio Melendez Andrade

Como ya tenemos el listado de participantes oficiales, abro el reto forense a todo el que quiera poner en practica sus habilidades como analista forense, la contraseña para descomprimir el archivo es:

la clave que me dieron en dragonjar.org

Espero que hayan disfrutado el Primer Reto de Análisis Forense de la Comunidad DragonJAR.

También puede interesarte...

• Nuevo Plazo de Entrega para el Reto Forense
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• COMBAT Training v2.0 en Colombia
• Ezine Comunidad DragonJAR Online
• Boletín de La Comunidad DragonJAR #0008
• Confirmado el COMBAT Training en Colombia
• Boletín de La Comunidad DragonJAR #0007
• Nuestros propósitos para el 2010

Si ya enviaste tu informe, pero quieres hacerle algunas modificaciones, todavía estas a tiempo, tendremos en cuenta el ultimo informe enviado de cada usuario, si tienes dudas o estas atascado, puedes preguntar en el foro destinado para esto.

También puede interesarte...

• Finaliza plazo para la entrega de los Informes
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• COMBAT Training v2.0 en Colombia
• Ezine Comunidad DragonJAR Online
• Boletín de La Comunidad DragonJAR #0008
• Confirmado el COMBAT Training en Colombia
• Boletín de La Comunidad DragonJAR #0007
• Nuestros propósitos para el 2010

—

Como en todo ámbito de investigación, y más en disciplinas tan vivas como el Análisis Forense son muchas las definiciones posibles, pero todas convergen en lo escencial: El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. Normalmente se aplican los estudios de Análisis Forense sobre un sistema debido a que se sospecha o se tiene la certeza de que ha sido víctima de una intrusión, un ataque o desde él se ha realizado alguna acción maliciosa. El objetivo del Análisis será obtener evidencias que puedan certificar lo ocurrido.

(Fragmento del libro Análisis Forense Digital en Entornos Windows- Juan Garrido, Luis G. Rambla, Chema Alonso)

Con el fin de fomentar la investigación y creación de conocimiento en nuestra Comunidad DragonJAR, hemos decidido realizar este primer reto de Análisis Forense en esta fecha de navidad, la idea es que este tipo de retos en áreas definidas se vuelvan cada vez mas frecuentes y con mayor nivel de dificultad, para que disfrutemos todos.

ESCENARIO

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

OBJETIVO Y REGLAS

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias

La instantánea a analizar podrá ser descargada desde los siguientes enlaces:

Imagen completa desde Adrive (.rar +/- 1.3 Gb)

MD5: fb5a51c9273b9fe7f0139b8f663c9a1e

Parte 1 del Reto Forense Comunidad DragonJAR

CRC32: 76B78AE4
MD5: D542187FF2C9D651BAF40FF488C367FE
SHA-1: A51BA56118F094C910F9BF428ACF27FBD935679A

Parte 2 del Reto Forense Comunidad DragonJAR

CRC32: 2F55CB1E
MD5: C33FA1AF1EBA82EB07182106E1A1B060
SHA-1: 63052A87F323BD729ACDB8AEF4FD311080E2D9C8

Parte 3 del Reto Forense Comunidad DragonJAR

CRC32: 59CD3705
MD5: 08FF1B6A0E8CBD1DF1724B40B20228E2
SHA-1: D228E81F5FDC20F561967C8EBF15CD49B7EB6F96

Parte 4 del Reto Forense Comunidad DragonJAR

CRC32: 125309ED
MD5: 6F0D583A6560D49004B9FD52065CDBC2
SHA-1: 29E52CD2A28CA65007CD16FD95418B566B1F0980

Parte 5 del Reto Forense Comunidad DragonJAR

CRC32: 731CF2D6
MD5: 4FD27F4415BE756B0C47BD04C54D586C
SHA-1: FB6B31CD8A4D2ED5E6D9EF96B974485826F2399D

PARTICIPANTES

Para descomprimir el reto deben solicitar la clave a 4v4t4r@gmail.com o dragonjar@gmail.com (como el reto ha finalizado les dejo la contraseña del reto forense: la clave que me dieron en dragonjar.org), después de obtener la clave quedaran inscritos como participantes en el reto y aparecerán en el siguiente listado de participantes oficiales:

1. Epsilon77
2. JKO
3. Jeffto
4. Seifreed
5. Mr Blaster
6. Alvaro Durán
7. RAMbo
8. Winlix
9. Wilmer Fernandez
10. Topo
11. Mariohades
12. SantiagoV
13. Jerusalem
14. Jupi
15. Carlospromo97
16. sceuss
17. Gustavo (LA Secta) Mafiaz
18. Osvaldo2606
19. Omar García
20. Luis Eduardo Melendez
21. Diego Morales
22. Jairosll
23. ZeroWolf
24. Eduardiyo
25. Bry Gom
26. Henry Montalval
27. MOC
28. Teofilo Copa
29. Telu
30. Noe Cruz Hernandez
31. Oscar s
32. ArkangelX
33. Guillermo
34. Cr1pt3x
35. elusuario
36. Antonio Leon
37. cipoguns
38. IceLoN
39. Delia Angélica Chávez
40. Telu
41. Aetsu
42. ilarrazarai
43. Odrick1
44. Jorge A. Camacho
45. K434730n
46. Javi G
47. Alanovich
48. Wiz@rD
49. Vanghuld
50. Mako
51. F3z!xW0|f
52. Avinadab
53. Alexander López
54. Winston Smith
55. TRumAN
56. Pedro Picapiedra
57. Viraje D’Trosca
58. Jorge Casali
59. Efren Cepeda
60. Xsheik
61. Naskyaha
62. Carlos Sanchez
63. Manuel Melendez
64. Maruja
65. Edson Vallejos
66. Ismael C
67. Haner Bon
68. Danny Tao
69. Misterio Místico
70. -CrUnCh-
71. Luís Tejeda
    

Como solucionario al reto forense, es necesario presentar dos reportes a los organizadores:

DragoN (dragonjar-arroba-gmail.com)

4v4t4r (4v4t4r-arroba-gmail.com).

Estos reportes consisten en un reporte ejecutivo (no técnico) el cual evidencie en lenguaje común las pruebas encontradas en el equipo de la persona sospechosa (3 páginas) y un reporte técnico que detalle los puntos enumerados anteriormente (20 páginas).

Se tendrá en cuenta a la hora de evaluar los análisis, el ingenio y creatividad para realizar los reportes de resultados, además de las destrezas técnicas.

El plazo de entrega de los reportes será hasta el próximo 25 de enero de 2010.

PISTAS Y AYUDAS / ENLACES DE INTERÉS

• Reto Forense Realizado por RedIRIS (España) y UNAM-CERT (México)
• Laboratorios: Análisis Forense Digital
• Sec-Track

También puede interesarte...

• Finaliza plazo para la entrega de los Informes
• Nuevo Plazo de Entrega para el Reto Forense
• CAINE – Distribución Live CD para Análisis Forense
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4

Hace solo unas horas me enteré de un hecho bastante cómico a la vez de controversial relacionado con el aplicativo Autopsy.

Resulta que en el año 2007 un programa de televisión realizó una nota a una persona (Juan Fernando Jaramillo) sobre lo innovadora de su empresa y sobre las herramientas utilizadas en sus procesos.

Esta nota dió a entender que este grupo de empresarios eran los desarrolladores del software Autopsy. Dicha nota además sirvió al autor del blog el Lado Oscuro (no confundir con Un Informático en el Lado del Mal de Chema Alonso) para acercar a sus lectores sobre procesos de informática forense, el software Autopsy y su autor.

El contenido del corto video realmente nos dá a entender esto… el joven empresario manifestó que pensaba desarrollar una solución software de código libre que permitiera administrar y gestionar casos y procesos forenses… y justo en ese momento y por azares del destino veíamos la interfaz web Autopsy y cómo venían implementando en su “invento” el paso a paso en un análisis forense digital.

Lo “cómico” de este asunto (para mi) no es la autoría del Autopsy  (por que todos sabemos que finalmente será propiedad de Microsoft), pues en ningún momento se manifiesta explícitamente que dichos empresarios sean los autores de esta herramienta. No lo expresa ni el joven Juan Fernando Jaramillo ni los autores de la nota en video… El único que generó dicho interrogante fue el autor del blog El Lado Oscuro… Y así lo pensamos todos los que vimos el video y las coincidencias entre las imágenes y el parlamento del joven y los periodistas.

El motivo de este post es debido a las conversaciones y respuestas generadas a raiz de dicha publicación. Es cómico encontrarnos como siempre con las típicas respuestas de que todos los que aparecen en televisión hablando de seguridad informática sean “script-kiddies, lammers, newbies, etc” y que quienes respondan en los post siempre son los H4×0rs 31173 de la super muerte.

Aquí un ejemplo de un experto (Abogado Alexánder Días) hablando sobre legislación en seguridad informática. (Porque no todo es malo lo que se ve en TV)

http://tinyurl.com/yeg6mda

Otro de los puntos que quiero resaltar es sobre las supuestas amenazas de identificación y rastreo por parte del joven Juan Fernando Jaramillo (supuestas por que no podemos dar completa fé de que él sea el autor de éstas.), quién manifestaba que pondría todo su empeño y conocimiento para rastrear a un personaje público en internet.

1 – Aclarar que si es posible publicar video extensos en google video y no solo en este servicio, sino que muchos otros de internet (vimeo, Seven Upload, etc..) Sería bueno ver la totalidad de dicho video. Este espacio está disponible para la publicación del mismo.

2 - Según vemos en el blog, el autor siempre firma como Lado Oscuro al inicio de sus post y como Carlos S. Alvarez al final de los mismos… No entiendo lo del afán de “descubrir” quien se “esconde” detrás de dicho seudónimo.

3 - Supongamos que sólo tenemos el nick Lado Oscuro, sabemos dónde publica y el medio utilizado y queremos obtener más información sobre dicha persona (esto suponiendo que no leímos el final de cada post y no veíamos el nombre del personaje).

Para ello utilizaremos google (una herramienta solo manejable por hackers de alto nivel):

http://www.google.com.co/search?hl=es&q=%22Lado+Oscuro%22+%2BEl+Tiempo+%2BBlogs&btnG=Buscar&meta=&aq=f&oq=

Allí nos encontramos con el blog oficial del personaje y su verdadero nombre (Carlos S. Alvarez)

Esta información es más que suficiente para encontrar otros datos relacionados con una persona. Lo frustrante del “reto” es que en la misma página el autor siempre firmó con su verdadero nombre y nunca escodió su identidad como aseguraba la contraparte.

De todas maneras veamos que información podemos obtener con el nombre Carlos S. Alvarez, y  la herramienta de alto nivel google (solo para h4×0rs) y una que otra utilidad en internet:

http://www.alfa-redi.org/miembro.shtml?x=1145

Con solo leer el primer párrafo podemos darnos cuenta que “este tío es la leche”. Por tanto y si es ésta persona y todo lo que se dice allí es verdad, sólo podemos afirmar que Carlos Alvarez sabe de lo que habla en su blog.

Pero dejemos de lado a google, y veamos otra herramienta más entretenida y más gráfica.

Maltego

Es una herramienta para la obtención de información en internet que le permitirá visualizar las relaciones entre los resultados de las búsquedas. MALTEGO permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

Veamos una consulta para el nombre Carlos S. Alvarez :

Según los resultados obtenidos y si la magia no miente podemos completar el nombre a Carlos Santiago Alvarez Cabrera.

Veamos entonces los resultados a una búsqueda para el nombre completo (relaciones entre ambos)

Finalmente veamos la relación entre todos los implicados (Carlos, Juan, ElTiempo y por supuesto Autopsy XD)

Es broma XD

No queda duda de la identidad de Carlos S. Alvarez, y se me hace extraño que Juan Jaramillo no conociera a este reconocido experto en Seguridad Informática de Colombia.

Ahora desde otros servicios en internet

http://www.spock.com/q/%5ECarlos-Santiago-Alvarez-Cabrera%5E

http://www.123people.com/s/carlos+santiago+alvarez+cabrera/world

http://pipl.com/search/?FirstName=carlos+santiago&LastName=alvarez+cabrera&City=&State=&Country=CO&CategoryID=2&Interface=1

Como conclusión a este “mi post Flame” XD sólo queda hacer un llamado a la mesura cuando nos manifestemos y nos expresemos en internet, muy poco de este contenido podrá ser eliminado y sólo quedará el sin sabor y arrepentimiento de lo dicho.

Como segunda y última conclusión vemos que tan sencillo puede ser el rastreo de una persona en internet y todo el abanico de herramientas disponibles para ello…

Muy pronto estaremos publicando un artículo en conjunto con un experto en el tema de rastreos/ubicación avanzados de personas en internet.

Además si estás interesado en profundizar sobre temáticas relacionadas con el Análisis Forense Digital te invito a que desarrolles los laboratorios planteados en la sección Labs.

Labs Informática Forense

También puede interesarte...

• Resultado del Primer Reto Forense de La Comunidad DragonJAR
• Primer Reto de Análisis Forense de la Comunidad DragonJAR
• CAINE – Distribución Live CD para Análisis Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4

Esta nueva versión de DECAF incluye la posibilidad de añadir nuestras propias firmas, por lo que podemos detectar cualquier software antiforense en nuestra maquina y realizar una acción especifica.

Aqui les dejo el enlace de descarga a modo de mirror, por si la herramienta vuelve a desaparece, aunque la pagina oficial sigue siendo www.decafme.org

Hace poco les comentaba en la comunidad sobre el COFEE (Computer Online Forensic Evidence Extractor), la herramienta forense que Microsoft le regaló a varias entidades policiales en diferentes países, para realizar fácilmente el levantamiento de pruebas digitales en equipos de computo, también comentábamos que se había filtrado por la redutilizaba este Kit de Herramientas Forenses.

Ahora me entero de la existencia de DECAF (Detect and Eliminate Computer Assisted Forensics) una herramienta anti forense, que monitores en tiempo real el PC y tan pronto detecta la presencia del Microsoft COFEE, realiza una serie de tareas pre establecidas, que pueden ir desde borrar los registros del COFEE, expulsar la Memoria USB desde donde se ejecuto y bloquear el computador para que no puedan trabajar mas en el.

DECAF es totalmente configurable y personalizable, permitiendo al usuario definir que quiere hacer cuando se detecte la presencia del Microsoft COFEE, podria borrar archivos específicos, desactivar casi cualquier parte de hardware del PC, matar procesos, contaminar la Mac del equipo, entre otras opciones, DECAF permite simular el COFEE para poner a prueba las configuraciones que pusiste y ver que todo funciona correctamente.

Su autor promete en futuras versiones, la posibilidad de enviar por correo electrónico un mensaje notificando que se ha detectado la presencia del COFEE, bloqueo remoto de la maquina y la posibilidad de ejecutar el DECAF como un servicio de Windows.

Descargar DECAF

Mas Información:
Pagina Oficial de DECAF

También puede interesarte...

• Process Hacker, Mata Procesos en Windows
• Memoria USB Booteable con Varias Distribuciones de Seguridad Informática
• Como detectar y prevenir escalada de privilegios en GNU/Linux
• CAINE – Distribución Live CD para Análisis Forense
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee
• Nueva versión de Cain & Abel
• Denegacion de Servicio desde el WordPad

CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes.

Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español.

CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense  o poder guardar los cambios realizados en el sistema.

Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente

dd if=nbcaine.dd of=/dev/sdX

Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb.

En la nueva version 1.5 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 2.6-24.25) se agregaron los siguientes programas:

• lnk_parse
• lnk.sh
• mork
• steghide
• UserAssist
• dos2unix
• chntpw
• tkdiff
• xdeview

Y se actualizaron o arreglaron estas aplicaciones

• md5deep
• foremost
• lanzadores
• manual
• README.txt
• Photorec y Testdisk and XSteg en el menú de Forense

Por el lado de Windows (CAINE También funciona en Micrsoft Windows) se actualizaron las siguientes aplicaciones:

• Wintaylor
• HexEdit
• Regmon
• FTKImager
• Photorec
• Testdisk
• Nigilant32
• UsbWriteProtect

Descargar la ultima versión de CAINE

Mas Información:
Pagina Oficial de CAINE
CAINE, LiveCD GNU/Linux para Informática Forense
Nueva Versión del CAINE, LiveCD para Informática Forense

También puede interesarte...

• Nueva Versión del CAINE, LiveCD para Informática Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Computación forense, análisis de “cadáveres” virtuales

Indice

1. Introducción
2. Obteniendo datos volátiles
3. Obteniendo datos no volátiles
4. Clonando el disco
5. Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

• Datos volátiles.
• Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

• Análisis forense de memoria RAM en entornos Windows
• Webcast de Microsoft sobre Seguridad Informática
• Vulnerabilidad 0-day en todas las versiones de Windows
• Herramienta Anti Forense para Windows
• CAINE – Distribución Live CD para Análisis Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Como quemar un archivo DMG en Windows y GNU Linux

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez descargada la herramienta, vamos a crear la unidad USB.

Creando Unidad USB

Ejecutamos Cofee.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Cofee

Ya tenemos nuestra unidad USB comprobemos…

Como veis aquí tenemos nuestra unidad USB Cofee.
Ahora vamos a utilizar Cofee

Utilizando Cofee

En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…

Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.

En cada una de esas carpetas hay información obtenida de nuestro equipo.

Información extraída

Después de los test que se han realizado, podemos entrar en cada una de las carpetas y ver la información extraída por el Cofee:

En este archivo por ejemplo podemos ver que ha extraído de nuestro equipo la informacion nuestros servicios en ejecución.

Microsoft Cofee ha creado diferentes archivos con informacion detallada de la maquina donde sea ejecutado, con la finalidad de facilitar el análisis de esta informacion mas adelante.

Aunque Microsoft Cofee no ofrece muchas novedades comparados con otras herramientas (por ejemplo el live cd para análisis forence CAINE) y solo funciona en entornos Microsoft Windows, no deja de ser una buena herramienta para tener dentro de nuestro arsenal.

¿Has utilizado Microsoft Cofee?, que opinas de el… cuéntalo en los comentarios.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Nueva Versión del CAINE, LiveCD para Informática Forense
• Herramienta Anti Forense para Windows
• Recogiendo Evidencias para Análisis Forense en Windows
• Nueva versión de Cain & Abel
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4

Parto suponiendo que se ha realizado un trabajo de copia byte a byte del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos:

- Fecha y Hora de Inicio de la Investigación:

Date /t >> c:\evidencia_dragonjar\

Time /t >> c:\evidencia_dragonjar\

• Realizar el análisis de Secuencia Temporal (“timeline”)
• Búsqueda de contenido
• Recuperación de binarios y documentos (borrados o corruptos)
• Análisis de código (virus, troyanos, rootkits, etc.)
• Buscar archivos ocultos o no usuales (slack space), comprensión de estructuras y bloques.
• Buscar procesos no usuales y sockets abiertos
• Buscar cuentas de usuario extrañas
• Determinar el nivel de seguridad del sistema, posibles agujeros, etc…

Los Objetivos son:

• Qué?
• Cuándo?
• Cómo?
• Quién ?
• Porqué ?

Buscar en Fuentes adicionales, que hagan parte de la Tipo-logia del sistema comprometido y de la imagen del Dispositivo de almacenamiento.

1. Logs de elementos perimetrales, appliance, UMT, Routers, Switches, Firewalls, IDS’s, IPS’s. VPN Servidores de Autenticacion TACAS, Radius, etc.
2. Información de los DHCP o DNS’s, Port mirroring.
3. Servidores de Logs, Servidores Web, de Correo.
4. Del Sistema, Seguridad, Aplicaciones, BD’s
5. Analizadores de trafico y Monitoreo de Red, FTP’s, SSH, etc.
6. Cache del Sistema, temporales, directorio Prefetch, index.dat, cookies (C:\Documents and Settings\Nombre_Usuario\Cookies), directorio temporales de internet, historial, logs de mensajerías instantáneas, contactos, correos, pst, ost,etc.
7. Perfiles de usuarios (C:\Documents and Settings\usuario).
8. Archivos borrados, papelera de reciclaje (C:\Recycler\%USERSID%\INFO2).
9. Documentos recientes (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU).
10. Sistema de Registro de Windows (%systemroot%\system32\config) o recuperar de %SystemRoot%\repair.
11. Archivos de Service Pack y Hot fix.
12. Realizar búsquedas de ADS (Alterna Data Stream).
13. Identificar las cuentas de usuario (SAM).
14. Las ultimas 25 URLs listadas recientemente en Internet Explorer o Windows Explorer
(HKCU\Software\Microsoft\Internet Explorer\TypedURLs)
15. Almacenamiento de datos privados del usuario, como passwords, autocompletar, etc
(HKCU\Software\Microsoft\Protected Storage System Provider)
16. Mantiene registro de los programas, accesos directos y opciones del panel de control que el usuario a accesado (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist)
17. Mantiene los mapeos de red y la carpeta compartida
(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU)
(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2)
18. Contiene información de la configuración de los adaptadores de la Wireless HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\GUID
19. Contiene información de la configuración de los adaptadores de Red (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID)
20. Utilizado por malware para activar un .exe
HKCR\exefile\shell\open\command\
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKCR\Drive\shell\
HKCR\Folder\shell\
21. Mapea un malware (programa) como debbuger (HKLM\SOFTWARE\Microsoft\Windows) NT\CurrentVersion\Image File Execution Options\
22. Listado de los servicios de windows (HKLM\SYSTEM\CurrentControlSet\Services\)
23. USB o Pen drives montadas en windows (HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR)
24. Dispositivos montados (HKLM \SYSTEM\MountedDevices)
25. HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\
26. Aplicaciones des instaladas en Windows (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall)
27. Términos buscados con el buscador de windows
(HKCU \Software\Microsoft\Search Assistant\ACMru)
28. Key del registro del archivo de paginacion de windows (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management)
29. Listado de comandos ejecutados con Inicio-Ejecutar HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
30. Archivos abiertos o almacenados recientemente (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU)
31. Revisión de Autoruns
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run)
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce)
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnceE)x
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices)
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce)
(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
32. Programas ejecutados recientemente HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
33. Lita de archivos abiertos o grabados con Windows Explorer HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
34. Software instalado en el sistema
HKLM\SOFTWARE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
35. Determinar Zona Horaria
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName:
‘Pacific Standard Time’
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName:
‘Pacific Daylight Time’
Tipos de archivos como:
pfirewall.log = Firewall de Windows
schedlgu.txt = Tareas calendarizadas (programadas)
Logs Dr. Watson = Fallos en las aplicaciones
setupapi.log = Información de instalación de dispositivos y aplicaciones
NTUser.dat = almacena las key de registro del sistema (datos supremamente importantes como cuentas de correo usadas HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail)
Pagefile.sys = Memoria virtual del sistema
index.dat = Indice de referencia que Internet Explorer usa para buscar dentro de su historial
WindowsUpdate.log = Log de actualizaciones
memory.dump = Volcados de memoria

También puede interesarte...

• Recogiendo Evidencias para Análisis Forense en Windows
• “Crean” un navegador pensando en su seguridad
• ¿Cómo tomar control de un Dominio en Windows?
• Antivirus Gratuito con Poco Consumo
• Como realizar un borrado seguro usando BleachBit
• Video: Explotando WM Downloader
• Vulnerabilidad 0-day en todas las versiones de Windows
• GNU Linux con apariencia de Windows XP