Me parece que todavia hay ciertos vacios que no se han aclarado..en primer lugar, no pude encontrar ningun rastro de algunos de los archivos TXT y otro XML del usuario sospechoso. Pero tampoco encontre ninguna herramienta de borrado seguro (al menos las mas conocidas).

Tambien pienso que seria bueno publicar el resto de los informes de los otros participantes y asi todos puedan ver los distintos enfoques y aprender de los errores.

hasta luego…

Saludos.

Continuando con esta labor, vamos asi:

Para esta fase recomiendo:
“RFC-3227 (Recolección y manejo de evidencias)”
http://www.google.com.co/search?q=RFC3227&ie=utf-8&oe=utf-8&aq=t&rls=com.ubuntu:en-US:unofficial&client=firefox-a

Algunos principios para recoleccion de evidencias a tener en cuenta:

1.Capturar una imagen del sistema lo mas exacta posible
2.Mantener notas detalladas
3.Prepararse para testificar
4.Minimizar los cambios en los datos que se van a recolectar

Orden de volatilidad (Cosas a evitar)

1.No cerrar el sistema hasta que se concluyan las pruebas
2.No confiar en programas del sistema
3.No usar programas que modifiquen la hora de acceso a los archivos

Ahora si q hacer:

Interpretar comandos en modo consola (cmd, bash)
Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport)
Listar usuarios conectados local y remotamente al sistema (net user, whoami, etc)
Informacion del sistema (systeminfo, Doskey)
Obtener fecha y hora del sistema (date, time)
Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que lanzaron (ps, pslist)
Enumerar las direcciones IP del sistema y mapear la asignación de direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, etc)
Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
Visualizar registros y logs del sistema (reg, dumpel)
Visualizar la configuración de seguridad del sistema (auditpol)
Generar funciones hash de ficheros (sah1sum, md5sum)
Leer, copiar y escribir a través de la red (netcat, crypcat)
Realizar copias bit-a-bit de discos duros y particiones (dd, safeback, ghos, cain, bt, etc)
Analizar el tráfico de red (tcpdump, windump)

Utilizar herramientas conectadas con un shell remoto, o de SysInternals o como lo empezo a explicar 4v4t4r al dumpear o levantar una imagen de la memoria.

Esta informacion la doy, debido a que la gente no tomo informacion de datos volatiles. O lo que se hizo altero la evidencia. De igual forma, no podemos pretender tomar la imagen en Vmware y asumir que es nuestro insumo de trabajo, se deben generar como minimo un segundo original (copia bit a bit) , y de este a su vez las copias que consideremos necesarias, chekar su integridad, eso si no olvidemos el proceso de esterilizacion de medios.

Recuerden que estamos en la fase de Identificacion…………

http://www.dragonjar.org/metodologia-basica-de-analisis-forense-parte-1-de-4.xhtml

El producto final de esta fase, debe entregar un documento detallado con la informacion que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final.
Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando una bitácora de los procesos que se llevan a cabo y el embalaje de la Evidencia. Determinar
Quien?, Que?, Donde?, Por que? mantener una copia con la evidencia, Como?, Cuando?
Quien es el primero en tener la evidencia?
Donde, cuando y quien es el primero que tiene la evidencia
Donde, cuando y quien examino la evidencia
Quien va a tener custodia de la evidencia y por cuanto tiempo la tendrá
Quien y como se embalo y almaceno la evidencia
Cuando se realiza el cambio de custodia y como se realiza la transferencia

Mocion de Orden ( 18:17 2 de Marzo de 2010)
Voy pa’ clase, asi q por ahora hasta aquí llego

Bytes

Dino

Por peticion del señor DragonJAR, inicio un proceso critico a los resultados del reto forense, y esta vaina empieza así:

Definamos. Computación Forense
“Es la aplicación de técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal”

Ah vaina que si falto esto, puesto que no se siguió una metodología practica que garantizaran la veracidad y credibilidad de los resultados para la forensia. Posteriormente veremos de que hablo!!!

Sigamos,
Hagamos el ejercicio de traer a colación algunos principios de la Investigación Forense……

“Evitar la contaminación:
Para poder obtener un análisis veraz y certero la información debe estar lo mas estéril posible, al igual que en la medicina forense no se debe comprometer la evidencia de la investigación.

Actuar metódicamente:
El investigador debe ser responsable de sus procedimientos y desarrollo de la investigación, por lo tanto es importante que se documente claramente los procesos, herramientas y análisis durante la investigación. Así el investigador asegura la veracidad de la información y sirve como base para la resolución de casos similares en un futuro.

Tener control sobre la evidencia:
Debe mantenerse en custodia toda la evidencia relacionada con el caso y el investigador debe documentar cualquier evento que haya ocurrido con la evidencia mientras estaba en su poder. Quien entrego la evidencia, como se transporto, el acceso a la evidencia, etc. Estas son solo algunas de las preguntas que debe poder responder el investigador.”

Cuantos de ellos crees que se cumplieron??? Al menos hubo esterilizacion de medios??? Se contamino la evidencia??? Se documento???

Los invito a leer y analizar los Informes para hacer una retrospectiva de los mimos………

Dejando de un lado la Academia entremos de manera general con lo que puedo observar de primera mano, en mi primera lectura a los informes que pude observar en días pasados!!! Facilitados por mi gran @migo Gordito Sedsy xD

Yo diría que el Reto en realidad no esta mal planteado, pensaría que es la forma perfecta para emular un caso real. Como decía 4v4t4r, la idea (es lo que interprete) es ubicarse en la posición de un Investigador forense que se encuentra con una escena del crimen, y facilitar un Snap Shot fue el mecanismo perfecto para emularlo, y que se asemeja a una realidad. En el 90% de las ocasiones no hay respuesta a incidentes (First Responder), solo se detecta el incidente, se toman medidas correctivas y se pretende que las maquinas sigan en producción, por la falta de Cultura en procesos o mecanimos de respuesta a incidentes, o por que la operación de un negocio no puede parar o sencillamente por desconocimiento de causa de como proceder. E inician el proceso de investigación en muchos casos In Situ y Sistemas Muertos.
He ahí el primer error cometido por los participantes, nadie se ubico en el rol de un Investigador Forense o Analista Forense solo se limitaron a descargar una imagen y abusar de ella!!!!. (Se contamino la evidencia, se vicio el proceso, se violo el debido proceso, la evidencia no es admisible etc,etc,etc, etc…………………….)

A manera de información voy a enumerar los pasos que se deben seguir en una escena del crimen ( El investigador).

Verificar su propia Seguridad
Inventariar todo lo encontrado
Fotografiar los Equipos
Fotografiar las Conexiones entre Equipos
Fotografiar las Pantallas
Recolectar Información Volátil
Desconectar la Conectividad
Apagar las Computadoras
Guardar la Evidencia
Proteger la Cadena de Custodia
Investigación en el Laboratorio

Cuanto de esto se cumplió, se emulo, se comento, se tuvo en cuenta o simplemente fue registrado en la bitácora inicial o los documentos finales????? Hubo bitácora Inicial, se simulo la creación de una???

Regla de ORO…. Todo debe ser documentado, se debe iniciar una bitácora de la Investigación…

Continuando el proceso con base en lo anterior, a cuantos les dio por “Anclar cadena de custodia / Iniciar cadena de custodia”??? . O no tiene relevancia alguna???? De hecho en muchas ocasiones, se hace con un perito y un notario, etc,etc,etc. “GARANTIZAR QUE LA EVIDENCIA NO PIERDA SU INTEGRIDAD Y EN UN MOMENTO DADO SE CONVIERTA EN UNA PRUEBA ADMISIBLE”

Para garantizar que lo que se tomara como evidencia fuera admisible y se respetara su integridad, confidencialidad y veracidad… ( La finalidad es que se convierta en una prueba admisible).

De explicar al menos simulando la acción, o simplemente determinando que no hubo incautacion de equipos, embalaje y transporte y que estos son tomados como evidencias en producción!!. Y que mecanismos se utilizaron para tomar esta evidencia ???

Aun me pregunto, que paso con la Información volátil???? Hubo, no hubo??? (Sistemas Vivos / Forensia de Host)

Toda investigación, dentro de mi escaso conocimiento (al menos es lo que hacemos en una Investigación Forense), parte de una Investigación preliminar, en donde se hace la planeación de la Investigación Forense, como les hubiese servidor leer esto:

http://www.dragonjar.org/metodología-básica-de-análisis-forense-parte-1-de-4.xhtml

Sobre todo hago énfasis en estos puntos:

En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna.
Obtener por escrito la autorización para iniciar la Forense (Investigación de equipos). Acuerdos de confidencialidad.
Documentarse de todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. La cual determinara el curso de acción a seguir en la Investigación.
Organizar y definir el Team de Investigación, estableciendo Limites, funciones y responsabilidades.
Realice una Investigación preliminar (documente la) que le permita describir la situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación.
Identificar el Impacto y la sensibilidad de la informacion ( de clientes, financieros, comerciales, de Investigación y Desarrollo, etc)
Analizar el Impacto de los negocios a traves de la investigación del Incidente. Como, tiempos de inactividad, costos de equipos afectados o dañados, perdida en ingresos, costos de recuperación, perdida de información confidencial, perdida de credibilidad e imagen, etc.
SIN OBJETIVOS CLAROS, NAVEGAREMOS EN UN MUNDO DE INFORMACION, QUE SIN IMPORTAR LA aplicación DE ALTA TECNOLOGIA O TECNICA PROCEDIMENTAL, SI NO HAY CORRELACION CON EL DELITO (LOS OBJETIVOS DETERMINADOS) NO SIRVE PARA NADA LO QUE SE HIZO

Por que traigo a colación esto???. Sencillamente, por que es como se debe iniciar y una síntesis de esto hace parte de los informes.

Mocion de Orden…… (01:00 AM 2 Marzo de 2010)
Y como mañana tenemos que sustentar un Informe para entregar un proyecto, dejo hasta aquí, pero de seguro continuare…. Por que aun faltan cosas por determinar y que se me quedan en la mente y garganta electrónica XDDD

Bytes

Dino

Luego continuamos……

PD: Se deben conjugar estas tres variables para el éxito “La tecnica procedimental+ Lo legal+Correlacion con el Delito”. Sin una de ellas no se consigue una prueba admisible y por lo tanto no hay delito que juzgar.

This post was mentioned on Twitter by DragonJAR: Resultado del Primer Reto Forense de La Comunidad DragonJAR http://tinyurl.com/yglskg7 plz RT #FB…