ACTUALIZADO: Hemos vuelto a subir los retos y he añadido alguna información sobre el Reto Forense Campus Party Colombia 2011 (lo que se podía) y sobre el reto forense realizado en la ekoparty 2011 en Argentina.

En la comunidad desde hace un tiempo, hemos estado publicando una serie de retos forenses, los cuales han tenido gran acogida entre nuestros visitantes y miembros, realizamos retos para nuestra Comunidad, la Campus Party Colombia y la EKOparty en Argentina, pero algunos de las imágenes publicadas en servicios de alojamientos de archivos han dejado de funcionar, razón por la que muchas personas me pidan al correo que vuelva a subir las mismas.

La razón de este post no es solo enumerar nuestros retos publicados, sino anunciar que se han vuelto a subir todas las imágenes para que puedan ser descargadas y usadas como objeto de estudio en sus procesos de aprendizaje.

Primer Reto Forense de La Comunidad DragonJAR

Primera versión de nuestro reto forense, totalmente online y con gran cantidad de participantes, un puno de partida para muchas personas que querían empezar con el tema forense dentro de nuestra comunidad, logrando motivar a muchos a estudíar esta rama de la seguridad informática.

• Planteamiento del Reto y Participantes
• Resultado del Reto y Comentarios a Participantes

Segundo Reto Forense de La Comunidad DragonJAR

Reto exclusivo en primera instancia para los asistentes a la Campus Party Colombia 2010 y evento principal de la nueva zona de “Seguridad”, después publicado para resolver de forma online.

• Planteamiento del Reto, Imágenes y Vídeo de Presentación
• Resultado del Reto, Ganadores e Informes

Aprovecho para anunciar que desde ya estamos confirmados para realizar el reto forense de La Campus Party Colombia 2011…. prepárate

Tercer Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2010, donde fuimos un poco mas allá y creamos toda una escena del crimen para que los analistas (quienes tenían solo día y medio para resolver el reto), pusieran a prueba sus habilidades en un entorno mucho mas realista, esto llamo mucho la atención de los asistentes y participantes quienes quedaron muy satisfechos con este reto.

• Planteamiento del Reto, Reglas y Vídeo de Presentación
• Resultado del Reto, Imágenes, Ganadores e Informes

Cuarto Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la Campus Party 2011, donde se puso a prueba la pericia de los investigadores forenses, para testear sus habilidades en un entorno mucho mas realista, combinando el análisis forense en entornos windows, con el backup de un teléfono con sistema operativo iOS clave para resolver el caso, el premio para este reto fue un computador valorado en 3000USD por lo que la participación fue muy buena y los informes también.

A petición de la organización de la Campus Party Colombia, este reto forense fué exclusivo para este evento, por tanto no publicaremos las imágenes, lo que si podemos publicar son los slides de presentación y premiación que realizamos para esa ocasión.

• Planteamiento del Reto, Reglas y Precedentes
• Resultado del Reto y Ganadores

PD. Si alguien tiene fotos de la premiación, que las publique en los comentarios…

Quinto Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2011, donde fuimos un poco mas allá y creamos un ecosistema de contenidos (charla, workshop y reto) para que las personas aprendieran a realizar un análisis forense a un dispositivo con sistema iOS, generando así mas documentación en español sobre el análisis de estos dispositivos que poco a poco van formando parte esencial del día a día de muchas personas.

• Planteamiento del Reto, Reglas y Presentación
• Resultado del Reto, Imágenes, Ganadores e Informes

También puede interesarte...

• Segundo Reto Forense de La Comunidad DragonJAR
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Tercer Reto Forense de La Comunidad DragonJAR
• Consejos Simples de Seguridad para ir a la Campus Party
• ENDIAN una solución gratuita de seguridad perimetral
• IPSec las redes del futuro cercano
• Seguridad Informática en la Campus Party Colombia
• Laboratorios de Seguridad Informática

Les recuerdo el correo donde deben realizar la inscripcion SOLO PARA CAMPUSEROS COLOMBIANOS 2011 (luego abriré para el publico en general), del 2do Reto Forense Campus Party Colombia (y 4to comunidad DragonJAR) es seguridadyredes(arroba)campus-party.com.co, en ese correo deben enviar los nombres, correos  y las cedulas de los participantes (maximo 3) de cada equipo.

Tambien les dejo algunas metodologias Basicas para realizar un analisis forense:

• Metodología Básica de Análisis Forense – Parte 1 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 4 de 4

Ademas de los retos forenses que ya hemos realizado en la comunidad:

Primer Reto Forense de La Comunidad DragonJAR

Primera versión de nuestro reto forense, totalmente online y con gran cantidad de participantes, un puno de partida para muchas personas que querían empezar con el tema forense dentro de nuestra comunidad, logrando motivar a muchos a estudiar esta rama de la seguridad informática.

• Planteamiento del Reto y Participantes
• Resultado del Reto y Comentarios a Participantes

Segundo Reto Forense de La Comunidad DragonJAR

Reto exclusivo en primera instancia para los asistentes a la Campus Party Colombia 2010 y evento principal de la nueva zona de “Seguridad”, después publicado para resolver de forma online.

• Planteamiento del Reto, Imágenes y Vídeo de Presentación
• Segundo Reto Forense de La Comunidad DragonJAR
• Resultado del Reto, Ganadores e Informes

Aprovecho para anunciar que desde ya estamos confirmados para realizar el reto forense de La Campus Party Colombia 2011…. prepárate

Tercer Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2010, donde fuimos un poco mas allá y creamos toda una escena del crimen para que los analistas (quienes tenían solo día y medio para resolver el reto), pusieran a prueba sus habilidades en un entorno mucho mas realista, esto llamo mucho la atención de los asistentes y participantes quienes quedaron muy satisfechos con este reto.

• Planteamiento del Reto, Reglas y Vídeo de Presentación
• Resultado del Reto, Imágenes, Ganadores e Informes

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4
• Análisis Forense en Facebook
• Ganadores del Reto Forense Campus Party Colombia 2010

CAINE (Computer Aided INvestigative Environment), es una distribución Live CD para realizar análisis forense informático, de la que hemos hablado en varios ocasiones en nuestra comunidad, creada por Giancarlo Giustini es una de las mejores opciones que tenemos a la mano cuando deseamos realizar un análisis forense de algún equipo informático.

CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes.

Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español.

CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense  o poder guardar los cambios realizados en el sistema.

Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente

dd if=nbcaine.dd of=/dev/sdX

Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb.

En la nueva version 2.0 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 2.6.32-24) se agregaron los siguientes programas:

• Air 2.0.0
• MountManager
• Disk Utility
• Storage Device Manager
• SSdeep
• ByteInvestigator
• DMIdecode
• HDSentinel
• WVSummary
• Read_open_Xml
• Fiwalk
• Bulk Extractor
• Log2Timeline
• Midnight Commander
• SQLJuicer
• CDFS 2.6.27
• Nautilus Scripts
• Fake Casper patch
• Manual updated

Y se actualizaron o arreglaron estas aplicaciones

• md5deep
• foremost
• lanzadores
• manual
• README.txt
• Photorec y Testdisk and XSteg en el menú de Forense

Por el lado de Windows (CAINE También funciona en Microsoft Windows) se actualizó y mejoró Wintaylor

Descargar la ultima versión de CAINE

Mas Información:
Pagina Oficial de CAINE
CAINE, LiveCD GNU/Linux para Informática Forense
Nueva Versión del CAINE, LiveCD para Informática Forense

También puede interesarte...

• Nueva Versión del CAINE, LiveCD para Informática Forense
• Información para Reto Forense Campus party 2011
• Instalación, Configuración y Uso del Microsoft Cofee
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4
• Metodología Básica de Análisis Forense – Parte 2 de 4
• Metodología Básica de Análisis Forense – Parte 1 de 4

Durante la EKO Party 2010 realizada en Buenos Aires Argentina, se llevó a cabo el tercer reto forense de nuestra comunidad, este reto especialmente diseñada para la EKO Party, contó con una escenografía que simulaba ser una escena de un crimen (algo nunca antes visto para un reto forense publico), donde los analista no solo tendrán que investigar lo sucedido en la maquina que se les entrega, sino que también será necesario que observen muy bien el entorno donde se encuentra esta máquina.

Este reto llegó a su final, al igual que la EKOParty, arrojando como ganadores a Facundo de Guzmán y Oscar Eduardo Ruiz a quienes entregamos jugosos premios obsequio de los organizadores de la EKO Party….

Pero hoy estamos de Cumpleaños y queremos celebrarlo, abriendo al publico el Reto Forense que realizamos en la EKOParty, para que cualquiera pueda resolverlo… Pero además de esto, volveremos a premiar el mejor informe con varios libros sobre análisis forense (o su valor comercial transferido a una cuenta paypal).

¿Que tengo que hacer?

Básicamente tendrás que realizar el análisis forense a una maquina virtual que te proporcionaremos y entregar 2 informes:

• Reporte Ejecutivo: Debe explicar en un lenguaje entendible a cualquier persona, cuáles fueron las pruebas encontradas en la maquina y porque gracias a ellas puede estar seguro de lo que sucedió (no debe superar las 4 páginas).
• Reporte Técnico: Debe explicar de forma técnica, todos los pasos realizados para obtener la evidencia, realizar los análisis y sacar las conclusiones (20 páginas o más).

Nota: El reto está diseñado para ser resuelto en 2 días (tiempo que dura la EKOParty), pero tendrás 5 días (hasta el 10 de octubre) para resolverlo y enviar los informes a la cuenta de correo dragon /arroba/ dragonjar.org.

¿En qué consiste el reto?

ESCENARIO PLANTEADO

0xBlack, un reconocido Hacker Black Hat de la scene Underground, ha sido encontrado muerto colgado del techo de su apartamento, por investigadores que lo tenían como principal sospechoso en un delito de espionaje industrial realizado a la empresa PlanEx.

OBJETIVO DEL RETO

El objetivo es realizar un análisis forense al sistema de 0xBlack y recolectar información en el entorno donde se encontraba. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma), PERO debe ser tratada como si fuera la maquina física del atacante, realizando los procedimientos necesarios, para no alterar la evidencia en ella.

La finalidad del análisis será determinar solo los siguientes puntos:

• Determinar si 0xBlack realmente se suicido
• Si fue un suicidio, identificar las causas que hicieron que 0xBlack, se suicidara
• Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato
• Recuperar la información robada a la empresa PlanEx
• Documentar todo en los informes técnico y ejecutivo.

Se debe entregar un informe técnico detallado y uno ejecutivo que respalde las respuestas a las preguntas planteadas, el cual tendrá una calificación máxima de 100 puntos, distribuidos de la siguiente forma:

• 30 Puntos – Metodología, Procedimiento y Documentación
• 30 Puntos – Evidencia y Correlación con el Delito
• 20 Tiempo de Entrega (el primero 20 puntos y a los siguientes se les restara de a 5 puntos, según el orden de llegada)
• 20 Puntos – Extras (para las personas que realizaron algo más de lo que nosotros solicitábamos, que aporte a la investigación)

Puedes descargar la imagen del reto y algunas fotos de la escena del crimen de los siguientes enlaces, recuerda que la clave para descomprimir el reto es “iniciaelreto” sin comillas y en minúsculas.

• Descargar Maquina del 3r Reto Forense de La Comunidad DragonJAR

  MD5 5bd8d97db2248df76f1e1ab18ae338c8
  SHA1 888dcfb92edbd487623568a912c420cb27e415e9
  CRC32 876b4a3a

• Fotos de la Escena del Crimen

PD. La imagen fue generada con VMWare 7 (si quieres utilizar otra versión u otro software de emulación, puedes hacer uso del VMWare Converter) y esta comprimida con WinRar, necesitaras por lo menos 7GB de espacio en disco para poderla utilizar.

TIEMPOS DE ENTREGA

El reto inicia desde el lunes 5 de octubre de 2010 y finaliza el domingo 10 de octubre de 2010 a las 14:00, solo se reciben informes al correo dragon /arroba/ dragonjar.org y los tiempos de entrega, serán los mismos de llegada en la bandeja de correo.

Informes Presentado por los Ganadores del Reto en la EKOParty

• Informe Presentado por Facundo de Guzmán
• Informe Presentado por Oscar Ruiz (1.5GB, incluye capturas de ram, fotos, el vídeo robado a planex)

Informe ganador del Re-Lanzamiento del Reto Forense

• Informes Presentado por Julian Sotos

Les recomiendo leer debidamente los enlaces de ayuda que les dejaremos a continuación, especialmente los informes de retos anteriores, para que tengan una mejor idea de lo que estamos solicitando:

PISTAS Y AYUDAS / ENLACES DE INTERÉS

• Reto Forense Realizado por RedIRIS (España) y UNAM-CERT (México)
• Laboratorios: Análisis Forense Digital
• Resultado del Segundo Reto Forense de La Comunidad DragonJAR
• Resultado del Primer Reto Forense de La Comunidad DragonJAR
• Foro de Informática Forense Comunidad DragonJAR
• Curso de informática forense-básico nivel i
• Artículos Sobre Informática Forense

HERRAMIENTAS

• BackTrack
• CAINE Live CD Análisis Forense

También puede interesarte...

• Segundo Reto Forense de La Comunidad DragonJAR
• Nuestros Retos Forenses
• Tercer Reto Forense de La Comunidad DragonJAR
• Laboratorios de Seguridad Informática
• HackArmoury herramientas de seguridad siempre disponibles
• Así fue el Hacking Day en Medellín – Seguridad Wireless
• Consejos Simples de Seguridad para ir a la Campus Party
• Así fue el Hacking Day en Medellín – Pentesting con Backtrack

Durante la EKO Party 2010 realizada en Buenos Aires Argentina, La Comunidad DragonJAR, lanzara la tercera versión de su reto forense, la cual está especialmente diseñada para la EKO Party, contará con una escenografía que simula ser la escena de un crimen, donde los analista no solo tendrán que investigar lo sucedido en la maquina que se les entrega, sino que también será necesario que observen muy bien el entorno donde se encuentra esta máquina.

En el siguiente vídeo, podrás ver rápidamente de que se trata este reto forense.

ESCENARIO PLANTEADO

0xBlack, un reconocido Hacker Black Hat de la scene Underground, ha sido encontrado muerto colgado del techo de su apartamento, por investigadores que lo tenían como principal sospechoso en un delito de espionaje industrial realizado a la empresa PlanEx.

OBJETIVO DEL RETO

El objetivo es realizar un análisis forense al sistema de 0xBlack y recolectar información en el entorno donde se encontraba. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma), PERO debe ser tratada como si fuera la maquina física del atacante, realizando los procedimientos necesarios, para no alterar la evidencia en ella.

Al tratarse de un reto diseñado para ser resuelto en un máximo de 2 días (duración de la EKO Party), no se pedirán informes ejecutivos y la finalidad del análisis será determinar solo los siguientes puntos:

• Determinar si 0xBlack realmente se suicido
• Si fue un suicidio, identificar las causas que hicieron que 0xBlack, se suicidara
• Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato
• Recuperar la información robada a la empresa PlanEx

Se debe entregar un informe técnico detallado que respalde las respuestas a las preguntas planteadas, el cual tendrá una calificación máxima de 100 puntos, distribuidos de la siguiente forma:

• 30 Puntos – Metodología, Procedimiento y Documentación
• 30 Puntos – Evidencia y Correlación con el Delito
• 20 Tiempo de Entrega (el primero 20 puntos y a los siguientes se les restara de a 5 puntos, según el orden de llegada)
• 20 Puntos – Extras (para las personas que realizaron algo más de lo que nosotros solicitábamos, que aporte a la investigación)

La imagen del reto, te la entregan en el puesto de información, ubicada en el área de sponsors dentro de la EKO Party, la clave para descomprimir el archivo “iniciaelreto” sin comillas y en minúsculas.

TIEMPOS DE ENTREGA

El reto inició desde el anuncio realizado, al finalizar la charla de Deviant Ollam y el tiempo de entrega máximo del informe técnico, es hasta el día viernes, 17 de septiembre, a las 14:00.

Solo se reciben informes al correo retoeko@dragonjar.org y los tiempos de entrega, serán los mismos de llegada en la bandeja de correo.

PISTAS Y AYUDAS / ENLACES DE INTERÉS

• Reto Forense Realizado por RedIRIS (España) y UNAM-CERT (México)
• Laboratorios: Análisis Forense Digital
• Resultado del Primer Reto Forense de La Comunidad DragonJAR
• Foro de Informática Forense Comunidad DragonJAR
• Curso de informática forense-básico nivel i
• Articulos Sobre Informática Forense

HERRAMIENTAS

• BackTrack
• CAINE Live CD Análisis Forense

PD. sacamos 100 copias de las imágenes, pero no alcanzaron a cubrir la demanda que tubo el reto en la EKO, por favor las personas que ya copiaron el archivo a sus equipos, compartan el dvd para que otros puedan jugar…

Finalmente el reto forense llegó a su fin, arrojando como ganadores a Facundo de Guzmán (quien tendrá un training de 2 días, valorado en $845USD, + Kit Regalos EKOParty) y Oscar Eduardo Ruiz (quien tendrá un training de 1 día, valorado en 4472USD)

!!!FELICITACIONES¡¡¡

También puede interesarte...

• Nuestros Retos Forenses
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Segundo Reto Forense de La Comunidad DragonJAR
• Entrevista a Deviant Ollam de Toool
• Lo mejor de Kungfoosion.com
• Laboratorios de Seguridad Informática
• HackArmoury herramientas de seguridad siempre disponibles
• Taller Gratuito, Análisis Forense de Dispositivos iOS

Como en todo ámbito de investigación, y más en disciplinas tan vivas como el Análisis Forense son muchas las definiciones posibles, pero todas convergen en lo esencial: El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. Normalmente se aplican los estudios de Análisis Forense sobre un sistema debido a que se sospecha o se tiene la certeza de que ha sido víctima de una intrusión, un ataque o desde él se ha realizado alguna acción maliciosa. El objetivo del Análisis será obtener evidencias que puedan certificar lo ocurrido.

(Fragmento del libro Análisis Forense Digital en Entornos Windows- Juan Garrido, Luis G. Rambla, Chema Alonso)

Para fomentar la investigación y creación de conocimiento en nuestra Comunidad DragonJAR, hemos decidido realizar nuestro segundo reto de Análisis Forense, la idea es que este tipo de retos en áreas definidas se vuelvan cada vez más frecuentes y con mayor nivel de dificultad, para que disfrutemos todos.

Estoy muy orgulloso que este segundo reto de la comunidad, sea lanzado desde la Campus Party Colombia 2010, donde fue el evento inaugural de la nueva área “Seguridad y Redes” con una gran acogida (a la fecha el evento con mas asistentes de la CParty CO 2010), realmente esperábamos la presencia de unas 30 o 40 personas y terminamos con mas de 250 asistentes.

De estos asistentes tenemos más de 120 personas inscritas en el reto y unas 50 se quedaron por fuera ya que no enviaron su inscripción a tiempo (Solo podían participar campuseros que enviaran un correo con datos en los 20 minutos después de la charla) lo que augura una gran cantidad de informes y un excelente trabajo en ellos.

El reto forense finalizo con grandes sorpresas y anunciamos sus ganadores hace un tiempo en nuestra comunidad, como no fué diseñado para Internet, no se publicó inmediatamente en nuestro portal, pero varias personas por twitter, correo electrónico y otros medios muchos mas públicos, han solicitado copias de este reto para poner en práctica sus habilidades como analistas forenses y yo no podría dejarlos sin material de estudio.

Es por eso que les dejo las 2 imágenes del reto forense, realizado por La Comunidad DragonJAR en la Campus Party Colombia 2010

• Maquina 1 del Segundo Reto Forense – Comunidad DragonJAR

• Maquina 2 del Segundo Reto Forense – Comunidad DragonJAR

Y el informe ganador realizado por Duvan Gallego y Raúl Chavarría, quienes realizaban por primera vez un reto de este tipo y su trabajo fue elogiable.

Les dejo las diapositivas, el vídeo de la charla y algunos enlaces de referencia:

Descargar Diapositivas en Formato PDF

Vídeo Completo de la Charla sobre el Reto Forense:

PISTAS Y AYUDAS / ENLACES DE INTERÉS

• Reto Forense Realizado por RedIRIS (España) y UNAM-CERT (México)
• Laboratorios: Análisis Forense Digital
• Resultado del Primer Reto Forense de La Comunidad DragonJAR
• Foro de Informática Forense Comunidad DragonJAR
• Curso de informática forense-básico nivel i
• Articulos Sobre Informática Forense

HERRAMIENTAS

• BackTrack
• CAINE Live CD Análisis Forense

También puede interesarte...

• Nuestros Retos Forenses
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Tercer Reto Forense de La Comunidad DragonJAR
• Consejos Simples de Seguridad para ir a la Campus Party
• ENDIAN una solución gratuita de seguridad perimetral
• IPSec las redes del futuro cercano
• Seguridad Informática en la Campus Party Colombia
• Laboratorios de Seguridad Informática

Antes de comenzar queremos agradecer a todos los participantes de este primer reto y a todas las personas que realizaron la descarga del entorno virtualizado, esperamos que a “pesar” de que publiquemos los reportes entregados por los participantes, las demás personas se animen  a desarrollar las actividades propuestas.

Es necesario aclarar y realizar un resumen de lo que fue esta primera experiencia como desarrolladores/participantes de este primer reto forense de la comunidad. Pues de esta actividad depende la comprensión de los resultados presentados.

El escenario que se planteó fue el siguiente:

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Los objetivos y reglas del reto son los siguientes:

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias

Como se observa, las reglas y objetivos de este reto pueden resultar algo exigentes para tratarse de un primer reto y acercamiento a estas temáticas (aunque ya habían sido tratadas en profundidad en varios laboratorios de la comunidad), por lo tanto tratamos de no ser tan rigurosos en el proceso de evaluación, aunque esto no debería ser así, pues de ello depende la calidad de los analistas forenses y de la validez de la evidencia presentada por estos ante un Juez.

El número total de personas oficialmente registradas a participar en el reto fue 71, de los cuales solo 7 personas presentaron los reportes solicitados.

Como bien se explica en los objetivos del reto. Se libera un Snapshot (instantánea) de un sistema virtualizado en VMWare.

El primer objetivo por lo tanto será descargar la imagen, comprobar la integridad de los archivos y realizar la implementación/montaje del entorno de análisis (Más información>>)

Aunque no se especificó claramente la idea inicial es personificar el papel de un análisista forense, el cual y como primera medida obligatoria debe velar por la conservación de la evidencia. Por esto y aunque hayamos distribuido la imagen descargable y comprimida del entorno era obligatorio responder correctamente frente al proceso de cadena de custodia, en la cual se debe realizar los procedimientos científicos necesarios para generar mínimo tres copias de seguridad del sistema implicado, entre otras prácticas. (Más información >>)

Vulevo y repito, esta parte no fue especificada de la mejor manera por nosotros, pues damos por entendido que es el primer objetivo en todo análisis forense.

La idea es que en conjunto mejoremos todos, tanto nosotros como desarrolladores de los retos, como ustedes los participantes, por ello se ignoró en gran medida este primer objetivo de conservación de la evidencia. Aunque claro está, para el próximo reto sera indispensable presentar el registro de como fue llevado a cabo este proceso de tanta importancia en las tareas de análisis forense digital.

A excepcion de dos participantes, todos los demás reportes mostraron que contaban ya, como copia de seguridad, la imagen publicada por nosotros. Aunque el reto pretendía meter a los participantes en la escena donde llegaban a modo de allanamiento a la casa del implicado y debían realizar las copias necesarias del sistema.

Por lo tanto solo se evaluó la profundidad y exactitud del análisis demostrativo de las actividades que realizaba el implicado desde dicho computador.

Consideramos que una gran fuente de referencias y de ayuda fue el enlace a los resultados del 3 reto de informática forense de la UNAM, los cuales ofrecen unos perfectos ejemplos a seguir en materia de realización de análisis y reportes. Observamos como entonces solo unos pocos se apoyaron en estos invaluables recursos. Pues dichos reportes presentan de manera muy profesional lo que debería ser un reporte ejecutivo (gerencial) y un reporte técnico (académico).

Los resultados de las evaluaciones quedaron así:

• Primer puesto: Javi G. (descargar informes)
• Segundo puesto: Mario Alfonso Riaño (descargar informes)

Vuelvo y repito, para este primer resultado intentamos no ser completamente rigurosos en el proceso de calificación, pues tratamos simplemente de resaltar las buenas prácticas o técnicas presentadas por los concursantes.

No todos los informes pueden estar en el podio ganador, pero en reconocimiento a su trabajo y tiempo realizando el reto forense, vamos a hablar un poco de cada uno de los informes, comentando sus puntos a favor y en contra, para que en nuevas ediciones de nuestro reto forense corrigan sus errores y fortalezcan sus talentos (En orden de resultados -Pudium).

1 – Javier G.

• PRO’s: Correcto uso del reporte ejecutivo para el objetivo del mismo. Muy detallado y acertado el proceso de análisis y resultados obtenidos.
• CONTRA’s: Se hecha de menos el detalle técnico del proceso de preservación de la evidencia.

2 – Mario Alfonso Riaño Rojas

• PRO’s: Buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. Correcto análisis cronológico de las actividades delictivas del implicado. Muy buenos resultados para tratarse de un primer análisis forense digital. Correcto y acertado procedimiento de preservación de la evidencia. Buen nivel de detalle descriptivo del sistema objetivo.
• CONTRA’s: Se hecha de menos un poco más de detalle y acierto en el proceso de análisis de la evidencia.

3 – Manuel Antonio Meléndez Andrade

• PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. El reporte técnico refleja muy buenos hallazgos, pero carece de los procedimientos utilizados para llegar a estos.
• CONTRA’s: Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Aunque las conclusiones son buenas, no se detallan los procedimientos técnicos realizados para llegar a estos. (preservación de la evidencia, montaje del entorno de análisis, copia y análisis de datos volátiles, memoria ram, etc)

4 – Julián Sotos Sepúlveda

• PRO´s: Se percibe que hubo buena documentación para la realización del análisis. El reporte ejecutivo reflejan unas buenas conclusiones del análisis. Correcto el uso descriptivo de como debería realizarse de adquisición de la evidencia. Buenas conclusiones. Buenas recomendaciones y compromisos a los padres y a los menores de edad/jóvenes.
• CONTRA´s: No se detalla técnicamente el proceso de preservación de la evidencia. No se realizó análisis de memoria. El uso de la herramienta COFEE es de uso restrictivo a organismos policiales de algunos países. No se detallan las técnicas utilizadas para obtener la mayoría de resultados

5 – Seifreed:

• PRO’s: Fue quien más información adjunta envío y documento cada instrucción con que obtuvo esta información. Se percibe que hubo buena documentación para la realización del análisis.
• CONTRA’s: No realizó ningún tipo de análisis, se limitó a sacar información sin buscar realacion alguna entre ella y sin analizar en detalle los resultados obtenidos por estas. La mayor parte del reporte técnico se enfocó a verificar la integridad del archivo descargado (4 páginas), proceso que podría ser realizado de manera más óptima con el objetivo de documentar actividades más relevantes. No detalló el procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Tan solo se limita a mostrar como sería el proceso de generación de una imagen del sistema en GNU/Linux (Asumo que booteo el sistema desde un LiveCD GNU/Linux para realizar dicha copia). Muchas aplicaciones software pueden automatizar ese proceso de extracción de datos, generación de logs del sistema, etc… Pero el sentido de un análisis forense es verificar, análizar, detallar, organizar, y presentar estos resultados. No se realizó análisis de memoria.

6 – Víctor J.

• PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Buena la iniciativa de realización del copiado del sistema, pero esta se debe detallar más (herramientas, horario, firmas, copias de seguridad, etc.). Muy bueno el análisis con X-Ways Forensics, aunque solo se limitó a analizar para ADS.
• CONTRA’s: Solo se entregó un reporte técnico y otro documento que no refleja los objetivos de un reporte ejecutivo. Se mencionan intentos fallidos de actividades. No detalló el procedimiento de preservación de la evidencia. No se realizó análisis de memoria.

7 – Henry Fernando Montalvan Celi:

• PRO’s: Buena iniciativa y decisión de abordar un reto forense sin ningún tipo de experiencia en este campo. Se percibe que hubo buena documentación para la realización del análisis, pero no es recomendable copiar esa misma información en los reportes.
• CONTRA’s: Solo envió un reporte ejecutivo, que a la vez parece más un reporte técnico incompleto, pues enumera las actividades relizadas a nivel técnico pero no en el detalle requerido. No detalló ningún procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Cuando enumera hallazgos de actividades realizadas en el equipo implicado, no se detallan como se consiguió obtener dichos hallazgos. El reporte refleja que los análisis se realizaron en el sistema en ¨caliente¨ y como se mencionó anteriormente no se realizó copias de seguridad de la evidencia, por lo tanto se está alterando la evidencia. No es recomendado instalar software de terceros en el sistema objetivo. No se realizó análisis de memoria.

Listaremos algunas recomendaciones generales a raíz de todos los reportes presentados para este concurso,  las cuales deben ser tenidas en cuenta para la realización de los análisis y reportes de futuros concursos. Enumeraremos también los aciertos presentados por todos los reportes de los participantes de este primer concurso, los cuales servirán de guía a todos los interesados en estas temáticas y a futuros participantes de los próximos retos de análisis forense digital que se publicarán en el portal.

• La presentación de los informes debe realizarse con buena ortografía y dejando de lado bromas o chistes que nada tienen que ver con la finalidad del reporte.
• No se deben enumerar intentos fallidos de una u otra acción o actividad común para un analista forense. El objetivo es presentar en el informe ejecutivo los resultados finales de los procedimientos científicos realizados.
• Es necesario siempre realizar la cronología de las actividades realizadas en el sistema.
• Informar en detalle las características / antecedentes del sistema analizado.
• Cuando se realizan análisis con herramientas de pago, estas deben estar debidamente licenciadas y adquiridas a sus proveedores.
• Todo análisis forense está sujeto a unos objetivos planteados por los interesados, como pueden ser, demostrar el robo de información, el desprestigio por medio de internet, rastreo de correos electrónicos, recuperación de información, etc. Para este caso el objetivo era demostrar con pruebas contundentes que la persona que operaba dicho sistema realizaba actos criminales relacionados con la pedofilia. Por ende estos informes deben presentar dichas pruebas de lo contrario serán inefectivos pues no cumplen con el objetivo del reto.

Aunque no habíamos anunciado nada acerca de premiación a los dos mejores informes en el momento de plantear el reto, siempre teniamos presente recompensar de alguna manera a las personas que cumplieron con los objetivos del reto, por su esfuerzo y dedicación y por compartir su conocimiento con los demás.

Por ello decidimos entregar un premio a cada uno de ellos.

Javi G. - Libro: Análisis Forense Digital en Entornos Windows de Juan Garrido

Mario Alfonso Riaño - Libro: Computer Forensics JumpStart de la editorial sybex

Nuevamente muchas gracias a todos los participantes de este primer reto forense de nuestra comunidad. Esperamos que los próximos tengan aún más acogida por parte de nuestros visitantes, pues esperamos publicar muchos otros retos con diferentes grados de dificultad.

Los ganadores pueden ponerse en contacto con nosotros con los mismos emails con los que se registraron, para acordar el proceso de envío de los premios.

Quienes estén interesados en realizar o continuar con el análisis de este reto puede hacerlo por medio del proyecto colaborativo de entrenamiento en seguridad Sec-Track, el cual viene publicando de manera colaborativa el paso a paso para realizar de la mejor manera el análisis.

También puede interesarte...

• Nuestros Retos Forenses
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Tercer Reto Forense de La Comunidad DragonJAR
• Segundo Reto Forense de La Comunidad DragonJAR
• Taller Gratuito, Análisis Forense de Dispositivos iOS
• Introducción al análisis de Malware
• Información para Reto Forense Campus party 2011
• CAINE – Distribución Live CD para Análisis Forense

—

Como en todo ámbito de investigación, y más en disciplinas tan vivas como el Análisis Forense son muchas las definiciones posibles, pero todas convergen en lo escencial: El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. Normalmente se aplican los estudios de Análisis Forense sobre un sistema debido a que se sospecha o se tiene la certeza de que ha sido víctima de una intrusión, un ataque o desde él se ha realizado alguna acción maliciosa. El objetivo del Análisis será obtener evidencias que puedan certificar lo ocurrido.

(Fragmento del libro Análisis Forense Digital en Entornos Windows- Juan Garrido, Luis G. Rambla, Chema Alonso)

Con el fin de fomentar la investigación y creación de conocimiento en nuestra Comunidad DragonJAR, hemos decidido realizar este primer reto de Análisis Forense en esta fecha de navidad, la idea es que este tipo de retos en áreas definidas se vuelvan cada vez mas frecuentes y con mayor nivel de dificultad, para que disfrutemos todos.

ESCENARIO

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

OBJETIVO Y REGLAS

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias

La instantánea a analizar podrá ser descargada desde los siguientes enlaces:

Imagen completa desde Adrive (.rar +/- 1.3 Gb)

MD5: fb5a51c9273b9fe7f0139b8f663c9a1e

Parte 1 del Reto Forense Comunidad DragonJAR

CRC32: 76B78AE4
MD5: D542187FF2C9D651BAF40FF488C367FE
SHA-1: A51BA56118F094C910F9BF428ACF27FBD935679A

Parte 2 del Reto Forense Comunidad DragonJAR

CRC32: 2F55CB1E
MD5: C33FA1AF1EBA82EB07182106E1A1B060
SHA-1: 63052A87F323BD729ACDB8AEF4FD311080E2D9C8

Parte 3 del Reto Forense Comunidad DragonJAR

CRC32: 59CD3705
MD5: 08FF1B6A0E8CBD1DF1724B40B20228E2
SHA-1: D228E81F5FDC20F561967C8EBF15CD49B7EB6F96

Parte 4 del Reto Forense Comunidad DragonJAR

CRC32: 125309ED
MD5: 6F0D583A6560D49004B9FD52065CDBC2
SHA-1: 29E52CD2A28CA65007CD16FD95418B566B1F0980

Parte 5 del Reto Forense Comunidad DragonJAR

CRC32: 731CF2D6
MD5: 4FD27F4415BE756B0C47BD04C54D586C
SHA-1: FB6B31CD8A4D2ED5E6D9EF96B974485826F2399D

PARTICIPANTES

Para descomprimir el reto deben solicitar la clave a 4v4t4r@gmail.com o dragonjar@gmail.com (como el reto ha finalizado les dejo la contraseña del reto forense: la clave que me dieron en dragonjar.org), después de obtener la clave quedaran inscritos como participantes en el reto y aparecerán en el siguiente listado de participantes oficiales:

1. Epsilon77
2. JKO
3. Jeffto
4. Seifreed
5. Mr Blaster
6. Alvaro Durán
7. RAMbo
8. Winlix
9. Wilmer Fernandez
10. Topo
11. Mariohades
12. SantiagoV
13. Jerusalem
14. Jupi
15. Carlospromo97
16. sceuss
17. Gustavo (LA Secta) Mafiaz
18. Osvaldo2606
19. Omar García
20. Luis Eduardo Melendez
21. Diego Morales
22. Jairosll
23. ZeroWolf
24. Eduardiyo
25. Bry Gom
26. Henry Montalval
27. MOC
28. Teofilo Copa
29. Telu
30. Noe Cruz Hernandez
31. Oscar s
32. ArkangelX
33. Guillermo
34. Cr1pt3x
35. elusuario
36. Antonio Leon
37. cipoguns
38. IceLoN
39. Delia Angélica Chávez
40. Telu
41. Aetsu
42. ilarrazarai
43. Odrick1
44. Jorge A. Camacho
45. K434730n
46. Javi G
47. Alanovich
48. Wiz@rD
49. Vanghuld
50. Mako
51. F3z!xW0|f
52. Avinadab
53. Alexander López
54. Winston Smith
55. TRumAN
56. Pedro Picapiedra
57. Viraje D’Trosca
58. Jorge Casali
59. Efren Cepeda
60. Xsheik
61. Naskyaha
62. Carlos Sanchez
63. Manuel Melendez
64. Maruja
65. Edson Vallejos
66. Ismael C
67. Haner Bon
68. Danny Tao
69. Misterio Místico
70. -CrUnCh-
71. Luís Tejeda
    

Como solucionario al reto forense, es necesario presentar dos reportes a los organizadores:

DragoN (dragonjar-arroba-gmail.com)

4v4t4r (4v4t4r-arroba-gmail.com).

Estos reportes consisten en un reporte ejecutivo (no técnico) el cual evidencie en lenguaje común las pruebas encontradas en el equipo de la persona sospechosa (3 páginas) y un reporte técnico que detalle los puntos enumerados anteriormente (20 páginas).

Se tendrá en cuenta a la hora de evaluar los análisis, el ingenio y creatividad para realizar los reportes de resultados, además de las destrezas técnicas.

El plazo de entrega de los reportes será hasta el próximo 25 de enero de 2010.

PISTAS Y AYUDAS / ENLACES DE INTERÉS

• Reto Forense Realizado por RedIRIS (España) y UNAM-CERT (México)
• Laboratorios: Análisis Forense Digital
• Sec-Track

También puede interesarte...

• Ganadores del Reto Forense Campus Party Colombia 2010
• Finaliza plazo para la entrega de los Informes
• Nuevo Plazo de Entrega para el Reto Forense
• Nuestros Retos Forenses
• Información para Reto Forense Campus party 2011
• CAINE – Distribución Live CD para Análisis Forense
• Reto Forense Campus Party Colombia 2011
• Campus Party 2011 Colombia

Hace solo unas horas me enteré de un hecho bastante cómico a la vez de controversial relacionado con el aplicativo Autopsy.

Resulta que en el año 2007 un programa de televisión realizó una nota a una persona (Juan Fernando Jaramillo) sobre lo innovadora de su empresa y sobre las herramientas utilizadas en sus procesos.

Esta nota dió a entender que este grupo de empresarios eran los desarrolladores del software Autopsy. Dicha nota además sirvió al autor del blog el Lado Oscuro (no confundir con Un Informático en el Lado del Mal de Chema Alonso) para acercar a sus lectores sobre procesos de informática forense, el software Autopsy y su autor.

El contenido del corto video realmente nos dá a entender esto… el joven empresario manifestó que pensaba desarrollar una solución software de código libre que permitiera administrar y gestionar casos y procesos forenses… y justo en ese momento y por azares del destino veíamos la interfaz web Autopsy y cómo venían implementando en su “invento” el paso a paso en un análisis forense digital.

Lo “cómico” de este asunto (para mi) no es la autoría del Autopsy  (por que todos sabemos que finalmente será propiedad de Microsoft), pues en ningún momento se manifiesta explícitamente que dichos empresarios sean los autores de esta herramienta. No lo expresa ni el joven Juan Fernando Jaramillo ni los autores de la nota en video… El único que generó dicho interrogante fue el autor del blog El Lado Oscuro… Y así lo pensamos todos los que vimos el video y las coincidencias entre las imágenes y el parlamento del joven y los periodistas.

El motivo de este post es debido a las conversaciones y respuestas generadas a raiz de dicha publicación. Es cómico encontrarnos como siempre con las típicas respuestas de que todos los que aparecen en televisión hablando de seguridad informática sean “script-kiddies, lammers, newbies, etc” y que quienes respondan en los post siempre son los H4x0rs 31173 de la super muerte.

Aquí un ejemplo de un experto (Abogado Alexánder Días) hablando sobre legislación en seguridad informática. (Porque no todo es malo lo que se ve en TV)

http://tinyurl.com/yeg6mda

Otro de los puntos que quiero resaltar es sobre las supuestas amenazas de identificación y rastreo por parte del joven Juan Fernando Jaramillo (supuestas por que no podemos dar completa fé de que él sea el autor de éstas.), quién manifestaba que pondría todo su empeño y conocimiento para rastrear a un personaje público en internet.

1 – Aclarar que si es posible publicar video extensos en google video y no solo en este servicio, sino que muchos otros de internet (vimeo, Seven Upload, etc..) Sería bueno ver la totalidad de dicho video. Este espacio está disponible para la publicación del mismo.

2 - Según vemos en el blog, el autor siempre firma como Lado Oscuro al inicio de sus post y como Carlos S. Alvarez al final de los mismos… No entiendo lo del afán de “descubrir” quien se “esconde” detrás de dicho seudónimo.

3 - Supongamos que sólo tenemos el nick Lado Oscuro, sabemos dónde publica y el medio utilizado y queremos obtener más información sobre dicha persona (esto suponiendo que no leímos el final de cada post y no veíamos el nombre del personaje).

Para ello utilizaremos google (una herramienta solo manejable por hackers de alto nivel):

http://www.google.com.co/search?hl=es&q=%22Lado+Oscuro%22+%2BEl+Tiempo+%2BBlogs&btnG=Buscar&meta=&aq=f&oq=

Allí nos encontramos con el blog oficial del personaje y su verdadero nombre (Carlos S. Alvarez)

Esta información es más que suficiente para encontrar otros datos relacionados con una persona. Lo frustrante del “reto” es que en la misma página el autor siempre firmó con su verdadero nombre y nunca escodió su identidad como aseguraba la contraparte.

De todas maneras veamos que información podemos obtener con el nombre Carlos S. Alvarez, y  la herramienta de alto nivel google (solo para h4x0rs) y una que otra utilidad en internet:

http://www.alfa-redi.org/miembro.shtml?x=1145

Con solo leer el primer párrafo podemos darnos cuenta que “este tío es la leche”. Por tanto y si es ésta persona y todo lo que se dice allí es verdad, sólo podemos afirmar que Carlos Alvarez sabe de lo que habla en su blog.

Pero dejemos de lado a google, y veamos otra herramienta más entretenida y más gráfica.

Maltego

Es una herramienta para la obtención de información en internet que le permitirá visualizar las relaciones entre los resultados de las búsquedas. MALTEGO permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

Veamos una consulta para el nombre Carlos S. Alvarez :

Según los resultados obtenidos y si la magia no miente podemos completar el nombre a Carlos Santiago Alvarez Cabrera.

Veamos entonces los resultados a una búsqueda para el nombre completo (relaciones entre ambos)

Finalmente veamos la relación entre todos los implicados (Carlos, Juan, ElTiempo y por supuesto Autopsy XD)

Es broma XD

No queda duda de la identidad de Carlos S. Alvarez, y se me hace extraño que Juan Jaramillo no conociera a este reconocido experto en Seguridad Informática de Colombia.

Ahora desde otros servicios en internet

http://www.spock.com/q/%5ECarlos-Santiago-Alvarez-Cabrera%5E

http://www.123people.com/s/carlos+santiago+alvarez+cabrera/world

http://pipl.com/search/?FirstName=carlos+santiago&LastName=alvarez+cabrera&City=&State=&Country=CO&CategoryID=2&Interface=1

Como conclusión a este “mi post Flame” XD sólo queda hacer un llamado a la mesura cuando nos manifestemos y nos expresemos en internet, muy poco de este contenido podrá ser eliminado y sólo quedará el sin sabor y arrepentimiento de lo dicho.

Como segunda y última conclusión vemos que tan sencillo puede ser el rastreo de una persona en internet y todo el abanico de herramientas disponibles para ello…

Muy pronto estaremos publicando un artículo en conjunto con un experto en el tema de rastreos/ubicación avanzados de personas en internet.

Además si estás interesado en profundizar sobre temáticas relacionadas con el Análisis Forense Digital te invito a que desarrolles los laboratorios planteados en la sección Labs.

Labs Informática Forense

También puede interesarte...

• Nuestros Retos Forenses
• Información para Reto Forense Campus party 2011
• CAINE – Distribución Live CD para Análisis Forense
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Tercer Reto Forense de La Comunidad DragonJAR
• Segundo Reto Forense de La Comunidad DragonJAR
• Resultado del Primer Reto Forense de La Comunidad DragonJAR
• Primer Reto de Análisis Forense de la Comunidad DragonJAR

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez descargada la herramienta, vamos a crear la unidad USB.

Creando Unidad USB

Ejecutamos Cofee.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Cofee

Ya tenemos nuestra unidad USB comprobemos…

Como veis aquí tenemos nuestra unidad USB Cofee.
Ahora vamos a utilizar Cofee

Utilizando Cofee

En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…

Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.

En cada una de esas carpetas hay información obtenida de nuestro equipo.

Información extraída

Después de los test que se han realizado, podemos entrar en cada una de las carpetas y ver la información extraída por el Cofee:

En este archivo por ejemplo podemos ver que ha extraído de nuestro equipo la informacion nuestros servicios en ejecución.

Microsoft Cofee ha creado diferentes archivos con informacion detallada de la maquina donde sea ejecutado, con la finalidad de facilitar el análisis de esta informacion mas adelante.

Aunque Microsoft Cofee no ofrece muchas novedades comparados con otras herramientas (por ejemplo el live cd para análisis forence CAINE) y solo funciona en entornos Microsoft Windows, no deja de ser una buena herramienta para tener dentro de nuestro arsenal.

¿Has utilizado Microsoft Cofee?, que opinas de el… cuéntalo en los comentarios.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Nueva Versión del CAINE, LiveCD para Informática Forense
• Información para Reto Forense Campus party 2011
• Herramienta Anti Forense para Windows
• Recogiendo Evidencias para Análisis Forense en Windows
• Nueva versión de Cain & Abel
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4