Seminario computacion forense_piura_abril_2008

769 views
673 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
769
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
31
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seminario computacion forense_piura_abril_2008

  1. 1. Seminario Computación Forense
  2. 2. <ul><li>Es común encontrar estas preguntas , cuando se ha perpetrado un ataque </li></ul><ul><li>Que fue lo que hicieron ..... ? </li></ul><ul><li>Como fue que lo hicieron .... ? </li></ul><ul><li>Es donde la recolección de eventos en la red juega un papel importante al igual que su análisis </li></ul>
  3. 3. Investigación de la Escena del Crimen
  4. 4. Definición Técnica: Computación Forense <ul><li>“ Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital </li></ul>PLUS data recovery
  5. 5. Definición para las masas <ul><li>Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento nunca es eliminada completamente… </li></ul><ul><li>La computación Forense es el conjunto de herramientas y técnicas diseñadas para recuperar esta información de manera que sea aceptable por el Sistema Jurídico. </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  6. 6. <ul><li>Evidencia Digital . Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999) </li></ul><ul><li>Evidencia Digital . Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000) </li></ul><ul><li>Evidencia Digital . Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence) </li></ul><ul><li>Evidencia Digital . Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence ) </li></ul>Definiciones Básicas 21/05/11 Germinal Isern Universidad Nacional de Piura
  7. 7. Motivación <ul><li>Los archivos eliminados no son eliminados de forma segura </li></ul><ul><li>Recuperar el archivo eliminado y la fecha! </li></ul><ul><li>Cambiar el nombre de los archivos para evitar la detección , no tiene sentido </li></ul><ul><li>El formateo de los discos no elimina mucha información </li></ul><ul><li>Email sobre el Web puede ser recuperado directamente de su computador( de forma parcial) </li></ul><ul><li>Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia. </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  8. 8. Motivación (2) <ul><li>Desinstalar las aplicaciones es mas difícil de lo que parece… </li></ul><ul><li>Data “volátil” permanece en el sistema por mucho tiempo (aun después de múltiples arranques y cargas) </li></ul><ul><li>Remanentes de aplicaciones previas </li></ul><ul><li>El usar la codificación (encryption) adecuadamente es difícil, ya que la información no es útil hasta que sea decodificada. </li></ul><ul><li>El software anti-forense (incremento de la privacidad) es violado frecuentemente. </li></ul><ul><li>Imanes grandes generalmente no funcionan </li></ul><ul><li>La mutilación de medios (excepto en casos extremos) no funciona. </li></ul><ul><li>Premisa básica: la información es muy difícil de destruir. </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  9. 9. Investigación en computación forense tradicional <ul><li>¿Qué se puede hacer? </li></ul><ul><ul><li>Recuperar data borrada </li></ul></ul><ul><ul><li>Descubrir cuando los archivos fueron modificados, creados, eliminados, organizados. </li></ul></ul><ul><ul><li>Determinar que dispositivo de almacenamiento fue conectado a un computador especifico </li></ul></ul><ul><ul><li>Que aplicaciones fueron instaladas, aun si estas fueron desinstaladas por el usuario </li></ul></ul><ul><ul><li>Que sitios web fueron visitados por el usuario… </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  10. 10. Tradicional (2) <ul><li>Que no… </li></ul><ul><ul><li>Si un medio físico esta físicamente destruido por completo, la recuperación es imposible. </li></ul></ul><ul><ul><li>Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  11. 11. Privacidad mediante la mutilación del dispositivo degausser o o Eliminación segura a nivel forense Pero este seguro que funciona o 21/05/11 Germinal Isern Universidad Nacional de Piura
  12. 12. ¿Quién la necesita? <ul><li>Agencias policiales o de seguridad del estado </li></ul><ul><ul><li>Persecución de crímenes que involucran computadoras u otros medios digitales </li></ul></ul><ul><ul><li>Defensa del inocente </li></ul></ul><ul><ul><li>Enjuiciamiento del culpable </li></ul></ul><ul><ul><li>Debe seguir directrices muy estrictas durante el proceso forense completo para garantizar que la evidencia sea admisible en corte. </li></ul></ul><ul><li>Fuerzas militares </li></ul><ul><ul><li>Persecución de crímenes internos relacionados con computación. </li></ul></ul><ul><ul><li>Sigue líneas propias, normas legales regulares no aplican. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  13. 13. Quién (2) <ul><li>Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD) </li></ul><ul><ul><li>Fuerzas anti-terroristas </li></ul></ul><ul><ul><li>Una orden de búsqueda o cateo le permite a un individuo saber que esta siendo investigado. </li></ul></ul><ul><ul><li>Patriot Act minimiza las exigencias requeridas para hacer búsquedas o cateos. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  14. 14. Quién (3) <ul><li>General </li></ul><ul><ul><li>Mala conducta de un empleado en casos corporativos </li></ul></ul><ul><ul><li>¿Qué le pasa a este computador? </li></ul></ul><ul><ul><li>En caso de eliminación accidental o maliciosa de data por parte de usuario ( o por un programa), ¿ Qué puede ser recuperado? </li></ul></ul><ul><ul><li>La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario </li></ul></ul><ul><li>Garantía de la privacidad </li></ul><ul><ul><li>¿Qué se puede hacer para garantizar la privacidad? </li></ul></ul><ul><ul><li>Premisa: Los individuos tienen el derecho de la privacidad, como pueden estar garantizar que su data es privada. </li></ul></ul><ul><ul><li>Muy difícilmente a menos que una codificación muy fuerte sea usada, y luego el problema pasa a ser el almacenamiento de las llaves. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  15. 15. Computación Forense: Metas (1) <ul><li>Identificación de evidencia digital potencial </li></ul><ul><ul><li>¿Dónde puede estar? ¿Qué dispositivos uso el sospechoso ? </li></ul></ul><ul><li>Preservación de la evidencia </li></ul><ul><ul><li>En la escena del crimen… </li></ul></ul><ul><ul><li>Primero estabilizar la evidencia…prevenir la perdida y la contaminación </li></ul></ul><ul><ul><li>Documentación cuidadosa de todo, que se agarro y como… </li></ul></ul><ul><ul><li>Si es posible, hagan una copia idéntica a nivel de bits de la evidencia para su revision. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  16. 16. Computación Forense: Metas (2) <ul><li>Extracción cuidadosa y revisión de la evidencia. </li></ul><ul><ul><li>Análisis de archivos y directorios </li></ul></ul><ul><li>Presentación de los resultados de la investigación ( si es apropiado) </li></ul><ul><ul><li>“ La FAT fue fubared, pero usando un editor a hexadecimal cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…” </li></ul></ul><ul><ul><li>“ El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.” </li></ul></ul><ul><li>Legal: Investigación debe satisfacer los criterios de privacidad </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  17. 17. Restricciones: Computación Forense <ul><li>Orden de volatilidad </li></ul><ul><ul><li>Algún tipo de data es mas volátil </li></ul></ul><ul><ul><li>RAM > swap > disk > CDs/DVDs </li></ul></ul><ul><ul><li>Idea: capture L evidencia mas volátil primero </li></ul></ul><ul><li>Cadena de custodia </li></ul><ul><ul><li>Mantenimiento de los registros de posesión para todo </li></ul></ul><ul><ul><li>Debe ser capaz de hacer seguimiento a la evidencia hasta su fuente original. </li></ul></ul><ul><ul><li>“ Pruebe” que la fuente no ha sido modificada. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  18. 18. Aspectos Legales <ul><li>Admisibilidad en los juzgados </li></ul><ul><ul><li>Generalmente si , pero hay precedentes. </li></ul></ul><ul><ul><li>Disparándole a un objetivo en movimiento. Si se es consistente y no se crea evidencia, debe estar bien. </li></ul></ul><ul><li>Legalidad de la obtención </li></ul><ul><ul><li>Si (con una orden apropiada de la corte) y si para otras circunstancias especiales </li></ul></ul><ul><ul><li>Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores. </li></ul></ul><ul><ul><li>Network sniffing se considera como wire tap. Sea cuidadoso </li></ul></ul><ul><ul><ul><li>Requiere una orden titulo III de una corte (18 USC 2510-2521) </li></ul></ul></ul><ul><ul><ul><li>Muy difícil de obtener en EEUU </li></ul></ul></ul><ul><ul><ul><li>Lo mismo sucede con mensajes de texto en teléfonos celulares </li></ul></ul></ul><ul><li>Consulte a un abogado </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  19. 19. Aspectos Legales (2) <ul><li>Las necesidades de la investigación vs. El derecho a la privacidad </li></ul><ul><li>Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución </li></ul><ul><li>Quinta enmienda y Codificación ( Encryption) </li></ul><ul><li>Leyes sobre grabaciones (wiretaps) </li></ul><ul><li>Cadena de custodia </li></ul><ul><li>Admisibilidad de la evidencia en corte: Daubert </li></ul><ul><ul><li>Esencia: </li></ul></ul><ul><ul><ul><li>¿Ha sido esta teoría o técnica probada? </li></ul></ul></ul><ul><ul><ul><li>¿ Se conoce la tasa de error? </li></ul></ul></ul><ul><ul><ul><li>¿ Es ampliamente aceptado dentro de una comunidad científica relevante? </li></ul></ul></ul><ul><li>Patriot Act </li></ul><ul><ul><li>Expande el poder del gobierno de forma amplia </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  20. 20. El proceso investigativo: necesidades <ul><li>Aceptación </li></ul><ul><ul><li>Pasos y métodos son aceptados como validos </li></ul></ul><ul><li>Confiabilidad </li></ul><ul><ul><li>Puede probarse que los métodos apoyan los hallazgos. </li></ul></ul><ul><ul><li>Por ejemplo puede probarse que el método para recuperar una imagen del espacio de swap puede ser exacto. </li></ul></ul><ul><li>Repetitividad </li></ul><ul><ul><li>Los procesos pueden ser repetidos por agentes independientes. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  21. 21. Proceso de investigación (2) <ul><li>Integridad </li></ul><ul><ul><li>Evidencia no es modificada ( si es posible al máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta) </li></ul></ul><ul><li>Causa y efecto </li></ul><ul><ul><li>Puede mostrar conexiones fuertes entre individuos, evnetos y evidencias. </li></ul></ul><ul><li>Documentación </li></ul><ul><ul><li>Todo el proceso documentado, con cada paso explicado y con la justificación apropiada. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  22. 22. El principio: Alerta por incidente <ul><li>El administrador del sistema nota un comportamiento extraño en el servidor (lento, se cuelga, no responde) </li></ul><ul><li>IDS alerta al administrador de un trafico de red sospechoso. </li></ul><ul><li>La compañía repentinamente pierde muchas ventas </li></ul><ul><li>Algún ciudadano reporta una actividad criminal </li></ul><ul><ul><li>Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía. </li></ul></ul><ul><li>Asesinato, hay un computador en la escena del crimen. </li></ul><ul><li>Asesinato, la victima tiene un PDA </li></ul><ul><li>Agencias de Seguridad del estado y la policía deben investigar </li></ul><ul><li>Corporación/militares: pueden investigar, dependiendo de la severidad del caso, otras prioridades. </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  23. 23. Escena del crimen <ul><li>Documente, documente, documente </li></ul><ul><li>Fotografías que describan la organización de los equipos, cableados </li></ul><ul><li>Inventario detallado de la evidencia </li></ul><ul><li>Procedimientos adecuados, prenda, deje las reglas apagadas por cada tipo de dispositivo </li></ul><ul><li>Por ejemplo, para computador: </li></ul><ul><ul><li>Fotografíe la pantalla, luego desconecte la alimentación de energía. </li></ul></ul><ul><ul><li>Coloque cinta de marca de evidencia sobre cada dispositivo. </li></ul></ul><ul><ul><li>Fotografíe/diagrame y etiquete la parte posterior del computador con los componentes y sus conexiones existentes. </li></ul></ul><ul><ul><li>Etiquete todos los conectores y cables de manera de poder re-ensamblar cuando sea necesario. </li></ul></ul><ul><ul><li>Si requiere de transportar, empaque los componentes y transpórtelos como mercancía frágil. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  24. 24. Ejemplos de evidencia digital <ul><li>Computadores cada vez mas involucrados en investigaciones corporativas y criminales. </li></ul><ul><li>La evidencia digital puede jugar un rol preponderante o ser una nube de humo. </li></ul><ul><li>Correo electrónico </li></ul><ul><ul><li>Acoso o amenaza </li></ul></ul><ul><ul><li>Chantaje </li></ul></ul><ul><ul><li>Transmisión ilegal de documentos corporativos internos. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  25. 25. Ejemplos (2) <ul><li>Puntos de encuentro/horas de encuentro para trafico de drogas </li></ul><ul><li>Cartas de suicidas </li></ul><ul><li>Información técnica para construir bombas </li></ul><ul><li>Archivos con imágenes o video digital (por ejemplo pornografía infantil) </li></ul><ul><li>Evidencia sobre el uso inapropiado de los recursos del computador o ataques </li></ul><ul><ul><li>Uso de una maquina como un generador de correo spam </li></ul></ul><ul><ul><li>Uso de una maquina para distribuir copias ilegales de software. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  26. 26. Delitos Informáticos 21/05/11 Germinal Isern Universidad Nacional de Piura
  27. 27. Pornografía Infantil 21/05/11 Germinal Isern Universidad Nacional de Piura
  28. 28. Delitos Financieros 21/05/11 Germinal Isern Universidad Nacional de Piura
  29. 29. Clonadores de atrjetas de credito 21/05/11 Germinal Isern Universidad Nacional de Piura
  30. 30. Fuentes de Evidencia digital <ul><li>Computadores </li></ul><ul><ul><li>Email </li></ul></ul><ul><ul><li>Imágenes digitales </li></ul></ul><ul><ul><li>Documentos </li></ul></ul><ul><ul><li>Hojas de calculo </li></ul></ul><ul><ul><li>Bitácoras de conversaciones (Chat logs) </li></ul></ul><ul><ul><li>Software copiado ilegalmente u otro material con derechos restringidos de copia </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  31. 31. Evidencia digital en un disco <ul><li>Archivos </li></ul><ul><ul><li>Activos </li></ul></ul><ul><ul><li>Eliminados </li></ul></ul><ul><ul><li>Fragmentos </li></ul></ul><ul><li>Metadata de archivos </li></ul><ul><li>Espacio ocioso (Slack space) </li></ul><ul><li>Swap file </li></ul><ul><li>Información del sistema </li></ul><ul><ul><li>Registry </li></ul></ul><ul><ul><li>Bitácora (Logs) </li></ul></ul><ul><ul><li>Data de configuración </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  32. 32. Mas fuentes (1) <ul><li>Teléfonos celulares </li></ul><ul><ul><li>Números dicados </li></ul></ul><ul><ul><li>Llamadas recibidas </li></ul></ul><ul><ul><li>Números de correo de voz accedidos </li></ul></ul><ul><ul><li>Números de tarjeta de crédito/debito </li></ul></ul><ul><ul><li>Direcciones de correo electrónico </li></ul></ul><ul><ul><li>Llamadas a números forward </li></ul></ul><ul><li>PDAs/ Teléfonos inteligentes </li></ul><ul><ul><li>Contactos, mapas, fotos, palabras clave, documentos,… </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  33. 33. Mas fuentes (2) <ul><li>Teléfonos internos/Contestadoras telefónicas </li></ul><ul><ul><li>Mensajes entrantes/mensajes salientes </li></ul></ul><ul><ul><li>Números llamados </li></ul></ul><ul><ul><li>Información de la llamada entrante </li></ul></ul><ul><ul><li>Códigos de acceso para los sistemas de correos de voz entrantes </li></ul></ul><ul><ul><li>Copiadoras </li></ul></ul><ul><ul><li>Especialmente copiadoras digitales, que pueden almacenar trabajos enteros. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  34. 34. Mas fuentes (3) <ul><li>Sistemas de video juego </li></ul><ul><li>Básicamente sistemas computacionales como la XBox. </li></ul><ul><li>Dispositivos GPS </li></ul><ul><ul><li>Rutas, puntos de camino </li></ul></ul><ul><li>Cámaras Digitales </li></ul><ul><ul><li>Fotos, video, archivos en tarjetas de almacenamiento (SD, memory stick, CF, …) </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  35. 35. Preservación de la Evidencia <ul><li>Estabilizar la evidencia </li></ul><ul><li>Depende del tipo de dispositivo, pero debe mantener felices a los dispositivos volátiles. </li></ul><ul><li>Cuando sea posible haga copias de la evidencia original. </li></ul><ul><li>Dispositivos de bloqueo de escritura y alguna otra tecnologia para garantizar que la información no sea modificada, son usados comúnmente. </li></ul><ul><li>Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan </li></ul><ul><li>Evidencia original debe ir luego a lugar controlado, lugar seguro </li></ul><ul><li>“ Alimentación” de los dispositivos volátiles continúan en almacenamiento </li></ul><ul><li>Estas copias serán usadas en la próxima fase de la investigacion. </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  36. 36. Preservación de la escena del crimen Sala Solo jala el cable Mueve el mouse para una mirada rapida Tripwires tick…tick…tick… Computo volatil Sotano, aramario Conexion inalambrica “ Querida Susana, No es tu culpa
  37. 37. Documentación cuidadosa es esencial 21/05/11 Germinal Isern Universidad Nacional de Piura
  38. 38. Preservacion de la imagen <ul><li>Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia. </li></ul><ul><li>Bloqueadores de escritura ; buen plan. </li></ul><ul><li>Herramientas para obtener imagenes: </li></ul><ul><ul><li>dd bajo Linux </li></ul></ul><ul><ul><li>Floppies de arranque DOS </li></ul></ul><ul><ul><li>Soluciones propietarias </li></ul></ul>Drivelock write blocker
  39. 39. Investigar
  40. 40. Análisis: Arte, Ciencia, Experiencia <ul><li>Conocer donde se puede encontrar la evidencia </li></ul><ul><li>Entender las técnicas usadas para esconder o destruir la data digital </li></ul><ul><li>Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida </li></ul><ul><li>Habilidad para manipular gigantesca cantidad de data digital… </li></ul><ul><li>Ignorar lo irrelevante, apuntar a lo relevante </li></ul><ul><li>Comprender completamente las circunstancias que hacen a la evidencia no confiable </li></ul><ul><ul><li>Ejemplo: Creación de nuevos usuarios bajo Windows 95/98 </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  41. 41. Computadores Tradicionales: ¿Dónde está la evidencia? <ul><li>Archivos no eliminados, espere que los nombres sean incorrectos </li></ul><ul><li>Archivos eliminados </li></ul><ul><li>Windows registry </li></ul><ul><li>Archivos de impresión del spool </li></ul><ul><li>Archivos en Hibernación </li></ul><ul><li>Archivos temporales (todos los .TMP en Windows!) </li></ul><ul><li>Espacio ocioso (Slack space) </li></ul><ul><li>Swap files </li></ul><ul><li>Browser caches </li></ul><ul><li>Particiones alternas u ocultas </li></ul><ul><li>Otra variedad de medios removibles como (floppies, ZIP, tapes, …) </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  42. 42. Análisis (1) <ul><li>Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible </li></ul><ul><li>Descubrimiento de archivos eliminados </li></ul><ul><li>Descubrimiento de archivos renombrados </li></ul><ul><li>Recuperación de bloques de datos para archivos grandes eliminados </li></ul><ul><li>Descubrimiento de material codificado </li></ul><ul><li>Creación de índices de claves para realizar búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado. </li></ul><ul><li>Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  43. 43. Análisis (2) <ul><li>Tallado de archivos para recuperar archivos eliminados, fragmentos del espacio no asignado </li></ul><ul><li>Descubrimiento de los archivos conocidos usando diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, … </li></ul><ul><li>Categorización de evidencia </li></ul><ul><ul><li>x Archivos JPEG </li></ul></ul><ul><ul><li>y Archivos Word </li></ul></ul><ul><ul><li>z Archivos codificados ZIP </li></ul></ul><ul><ul><li>… </li></ul></ul><ul><li>Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado </li></ul><ul><li>Muchos de estos procesos pueden ser automatizados </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  44. 44. Análisis (3) <ul><li>Creación de un archivo de ilustración de las fechas de creación, modificación y eliminación de archivos. </li></ul><ul><li>Para el sistema de archivos de Unix : inode # “timelines” </li></ul><ul><li>La actividad inusual saltara en el diagrama de tiempos (timeline) </li></ul><ul><li>Cuidado! Problemas del reloj, confusiones con los husos horarios , batería del CMOS muerta… </li></ul><ul><li>Revisión de data no eliminada y recuperada con cumpla con ciertos criterios. </li></ul><ul><ul><li>Por ejemplo, en un caso de pornografía infantil, busque imágenes JPEG/GIF recuperadas en cualquier archivo multimedia </li></ul></ul><ul><ul><li>Probablemente no investigue Excel o documentos financieros </li></ul></ul><ul><li>Formulación de hipótesis y búsqueda de evidencia adicional para justificar o refutar la hipótesis. </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  45. 45. Proceso Forense Autorización y Preparación Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción Reportes y Resultados 21/05/11 Germinal Isern Universidad Nacional de Piura
  46. 46. Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características Flag(Forensic and Log Analysis GUI ) www.dsd.gov.au/library/software/flag/ *nix L Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS Sleuth9 www.deepnines.com/sleuth9.html *nix CSR Dragon IDS www.enterasys.com/products/ids/ *nix CLSR NSM Incident response www.intellitactics.com Windows CLSRW neuSecure www.guarded.net *nix CLSRW NetIntercept www.sandstorm.net Linux box CSRA NetWitness www.forensicexplorer.com Windows CLSRA OSSIM www.ossim.net *nix CLSRA SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
  47. 47. Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C Ngrep http://ngrep.sourceforge.net *nix C Network Stumbler http://netstumbler.com Windows C Kismet www.kismetwireless.net Windows, Linux C Argus www.qosient.com/argus7/ *nix CL Flow-tools www.splintered.net/sw/flow-tools/ *nix CL Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L Etherape http://etherape.sourceforge.net *nix C Ethereal www.ethereal.com Windows-Linux CLS Etherpeek www.wildpackets.com Windows CLS
  48. 48. <ul><li>Algunas otras herramientas que ayudan en el proceso de recolección de la información. </li></ul><ul><ul><li>Nessus. www.nessus.org </li></ul></ul><ul><ul><li>Nmap. www.insecure.org </li></ul></ul><ul><li>También existen las llamadas distribuciones booteables, que son definidas como el conjunto de herramientas en el proceso forense. FIRE,Sleuth,Helix,Plan-B </li></ul><ul><li>Dentro del conjunto de herramientas existen dos herramientas que se consideran vitales para el manejo de incidentes y análisis forense. </li></ul><ul><ul><li>IDS/IPS </li></ul></ul><ul><ul><li>Honeytrap </li></ul></ul>Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura
  49. 49. Demostración FTK 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  50. 50. FTK pantallas: Caso nuevo 21/05/11 Germinal Isern Universidad Nacional de Piura
  51. 51. FTK : Comienza la investigación 21/05/11 Germinal Isern Universidad Nacional de Piura
  52. 52. FTK : Sumario del caso 21/05/11 Germinal Isern Universidad Nacional de Piura
  53. 53. FTK : Thumbnail 21/05/11 Germinal Isern Universidad Nacional de Piura
  54. 54. Una muestra de investigacion <ul><li>Windows Registry </li></ul><ul><li>Swap File </li></ul><ul><li>Hibernation File </li></ul><ul><li>Recycle Bin </li></ul><ul><li>Print Spool Files </li></ul><ul><li>Filesystem Internals </li></ul><ul><li>File Carving </li></ul><ul><li>Slack Space </li></ul><ul><li>(Estructuras similares Linux, Mac OS X, etc.) </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  55. 55. Acceso al Registry (en vivo Image the machine -- or – Use “Obtain Protected Files” in the FTK Imager 21/05/11 Germinal Isern Universidad Nacional de Piura
  56. 56. FTK Registry Viewer 21/05/11 Germinal Isern Universidad Nacional de Piura
  57. 57. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  58. 58. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  59. 59. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  60. 60. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  61. 61. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  62. 62. NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  63. 63. SAM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  64. 64. SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura
  65. 65. SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura
  66. 66. ** VERY IMPORTANT ** “ Select” key chooses which control set is current, which is “last known good” configuration SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  67. 67. SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  68. 68. 750GB USB hard drives (same type) Two Jumpdrive Elite thumbdrives SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  69. 69. Mas del Registry <ul><li>Otra información : </li></ul><ul><ul><li>Tipo de CPU </li></ul></ul><ul><ul><li>Información Interfaz de Red </li></ul></ul><ul><ul><ul><li>IP addresses, default gateway, DHCP configuration, … </li></ul></ul></ul><ul><ul><li>Software instalado </li></ul></ul><ul><ul><li>Hardware instalado </li></ul></ul><ul><li>Información del registry tipo “aja te agarre” </li></ul><ul><ul><li>redundante, información no documentada </li></ul></ul><ul><ul><li>profile cloning on older versions of Windows (95/98) </li></ul></ul><ul><ul><ul><li>(e.g., typed URLs, browser history, My Documents, …) </li></ul></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  70. 70. Sistema de Archivos Esencial conocerlo FAT 12, 16, 32 NTFS EXT 2, 3 ………….. 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  71. 71. Mejor Auditoria 21/05/11 Germinal Isern Universidad Nacional de Piura
  72. 72. Criminales en la computacion… 21/05/11 Germinal Isern Universidad Nacional de Piura
  73. 73. Wireshark (….. Ethereal) Detailed packet data at various protocol levels Packet listing Raw data 21/05/11 Germinal Isern Universidad Nacional de Piura
  74. 74. Wireshark: Siguiendo un flujo TCP 21/05/11 Germinal Isern Universidad Nacional de Piura
  75. 75. Wireshark: control flujo FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
  76. 76. Wireshark: flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
  77. 77. Wireshark: Flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
  78. 78. Wireshark: Sesion HTTP save, then trim away HTTP headers to retrieve image Use: e.g., WinHex 21/05/11 Germinal Isern Universidad Nacional de Piura
  79. 79. Psinfo ( Detección , análisis ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  80. 80. pslist 21/05/11 Germinal Isern Universidad Nacional de Piura
  81. 81. handle 21/05/11 Germinal Isern Universidad Nacional de Piura
  82. 82. filemon 21/05/11 Germinal Isern Universidad Nacional de Piura
  83. 83. psfile 21/05/11 Germinal Isern Universidad Nacional de Piura
  84. 84. promiscdetect 21/05/11 Germinal Isern Universidad Nacional de Piura
  85. 85. promiscdetect (Wireshark está corriendo ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  86. 86. psloggedon 21/05/11 Germinal Isern Universidad Nacional de Piura
  87. 87. netstat -a Ataque al corazon?! 21/05/11 Germinal Isern Universidad Nacional de Piura
  88. 88. netstat –a -b fuiiii! 21/05/11 Germinal Isern Universidad Nacional de Piura
  89. 89. Linux Listado de procesos Salida parcial # ps aux | less 21/05/11 Germinal Isern Universidad Nacional de Piura
  90. 90. Linux: lsof Salida parcial # lsof | less 21/05/11 Germinal Isern Universidad Nacional de Piura
  91. 91. Linux: Informacion de procesos detallada 21/05/11 Germinal Isern Universidad Nacional de Piura
  92. 92. Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
  93. 93. 21/05/11 Germinal Isern Universidad Nacional de Piura
  94. 94. Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
  95. 95. Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
  96. 96. Análisis Forense en vivo 21/05/11 Germinal Isern Universidad Nacional de Piura
  97. 97. Crear consulta 21/05/11 Germinal Isern Universidad Nacional de Piura
  98. 98. Crear 21/05/11 Germinal Isern Universidad Nacional de Piura
  99. 99. Objetivo 21/05/11 Germinal Isern Universidad Nacional de Piura
  100. 100. Confirmar informacion 21/05/11 Germinal Isern Universidad Nacional de Piura
  101. 101. Password 21/05/11 Germinal Isern Universidad Nacional de Piura
  102. 102. Adquisicion inicial 21/05/11 Germinal Isern Universidad Nacional de Piura
  103. 103. 21/05/11 Germinal Isern Universidad Nacional de Piura
  104. 104. 21/05/11 Germinal Isern Universidad Nacional de Piura
  105. 105. Informacion General 21/05/11 Germinal Isern Universidad Nacional de Piura
  106. 106. Informacion Interfaz IP 21/05/11 Germinal Isern Universidad Nacional de Piura
  107. 107. Analisis de datos 21/05/11 Germinal Isern Universidad Nacional de Piura
  108. 108. Puertos vmware phoning home to check for updates SMB file server 21/05/11 Germinal Isern Universidad Nacional de Piura
  109. 109. Procesos en ejecucion 21/05/11 Germinal Isern Universidad Nacional de Piura
  110. 110. Conexiones 21/05/11 Germinal Isern Universidad Nacional de Piura
  111. 111. Archivos abiertos 21/05/11 Germinal Isern Universidad Nacional de Piura
  112. 112. Analisis vaciados de memoria 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  113. 113. FATKIT / Volatools <ul><li>Python-based system for examining physical memory dumps </li></ul><ul><li>C:VolatoolsBasic-1.1.1>python volatools </li></ul><ul><li>usage: volatools cmd [cmd_opts] </li></ul><ul><li>Supported Commands: </li></ul><ul><li>connections Print list of open connections </li></ul><ul><li>datetime Get date/time information for image </li></ul><ul><li>dlllist Print list of loaded dlls for each process </li></ul><ul><li>files Print list of open files for each process </li></ul><ul><li>ident Identify image properties such as DTB and VM type </li></ul><ul><li>modules Print list of loaded modules </li></ul><ul><li>pslist Print list of running processes </li></ul><ul><li>sockets Print list of open sockets </li></ul><ul><li>strings Match physical offsets to virtual addresses </li></ul><ul><li>vaddump Dump the VAD sections to files </li></ul><ul><li>vadinfo Dump the VAD info </li></ul><ul><li>vadwalk Walk the VAD tree </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  114. 114. <ul><li>C:VolatoolsBasic-1.1.1>python volatools pslist -f d:MEMDUMP.1GB </li></ul><ul><li>Name Pid PPid Thds Hnds Time </li></ul><ul><li>System 4 0 65 262 Thu Jan 01 00:00:00 1970 </li></ul><ul><li>smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007 </li></ul><ul><li>csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007 </li></ul><ul><li>winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007 </li></ul><ul><li>services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007 </li></ul><ul><li>lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007 </li></ul><ul><li>svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007 </li></ul><ul><li>svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007 </li></ul><ul><li>svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007 </li></ul><ul><li>svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007 </li></ul><ul><li>svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007 </li></ul><ul><li>spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007 </li></ul><ul><li>MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007 </li></ul><ul><li>ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007 </li></ul><ul><li>tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007 </li></ul><ul><li>OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007 </li></ul><ul><li>alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007 </li></ul><ul><li>XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007 </li></ul><ul><li>AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007 </li></ul><ul><li>explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007 </li></ul><ul><li>jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007 </li></ul><ul><li>PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007 </li></ul><ul><li>ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007 </li></ul><ul><li>reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007 </li></ul><ul><li>cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007 </li></ul><ul><li>dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007 </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  115. 115. <ul><li>C:VolatoolsBasic-1.1.1>python volatools sockets -f d:memdump.bluelu </li></ul><ul><li>Pid Port Proto Create Time </li></ul><ul><li>1828 500 17 Wed Mar 28 02:22:36 2007 </li></ul><ul><li>4 445 6 Wed Mar 28 02:22:20 2007 </li></ul><ul><li>736 135 6 Wed Mar 28 02:22:25 2007 </li></ul><ul><li>468 1900 17 Wed Mar 28 02:22:58 2007 </li></ul><ul><li>196 1031 6 Wed Mar 28 02:22:54 2007 </li></ul><ul><li>1936 1025 6 Wed Mar 28 02:22:35 2007 </li></ul><ul><li>4 139 6 Wed Mar 28 02:22:20 2007 </li></ul><ul><li>1828 0 255 Wed Mar 28 02:22:36 2007 </li></ul><ul><li>1112 123 17 Wed Mar 28 02:22:39 2007 </li></ul><ul><li>1804 1029 17 Wed Mar 28 02:22:37 2007 </li></ul><ul><li>384 1028 6 Wed Mar 28 02:22:36 2007 </li></ul><ul><li>384 1032 6 Wed Mar 28 02:22:56 2007 </li></ul><ul><li>4 137 17 Wed Mar 28 02:22:20 2007 </li></ul><ul><li>1936 1026 6 Wed Mar 28 02:22:35 2007 </li></ul><ul><li>316 1030 6 Wed Mar 28 02:22:44 2007 </li></ul><ul><li>1164 3793 6 Wed Mar 28 02:22:28 2007 </li></ul><ul><li>468 1900 17 Wed Mar 28 02:22:58 2007 </li></ul><ul><li>1828 4500 17 Wed Mar 28 02:22:36 2007 </li></ul><ul><li>4 138 17 Wed Mar 28 02:22:20 2007 </li></ul><ul><li>196 1037 6 Wed Mar 28 02:23:03 2007 </li></ul><ul><li>1936 1027 6 Wed Mar 28 02:22:35 2007 </li></ul><ul><li>4 445 17 Wed Mar 28 02:22:20 2007 </li></ul><ul><li>1112 123 17 Wed Mar 28 02:22:39 2007 </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  116. 116. <ul><li>C:VolatoolsBasic-1.1.1>python volatools files -f d:MEMDUMP.1GB </li></ul><ul><li>************************************************************************ </li></ul><ul><li>Pid: 4 </li></ul><ul><li>File Documents and SettingsAdministrator.HE00NTUSER.DAT </li></ul><ul><li>File Documents and SettingsAdministrator.HE00NTUSER.DAT.LOG </li></ul><ul><li>File System Volume Information_restore{1625C426-0868-4E67-8C21-25BB305F7E1E}RP228change.log </li></ul><ul><li>File Topology </li></ul><ul><li>File pagefile.sys </li></ul><ul><li>File WINDOWSsystem32configSECURITY </li></ul><ul><li>File WINDOWSsystem32configSECURITY.LOG </li></ul><ul><li>File WINDOWSsystem32configsoftware </li></ul><ul><li>File WINDOWSsystem32configsoftware.LOG </li></ul><ul><li>File hiberfil.sys </li></ul><ul><li>File WINDOWSsystem32configsystem </li></ul><ul><li>File WINDOWSsystem32configsystem.LOG </li></ul><ul><li>File WINDOWSsystem32configdefault </li></ul><ul><li>File WINDOWSsystem32configdefault.LOG </li></ul><ul><li>File WINDOWSsystem32configSAM </li></ul><ul><li>File WINDOWSsystem32configSAM.LOG </li></ul><ul><li>File Documents and SettingsNetworkService.NT AUTHORITYNTUSER.DAT </li></ul><ul><li>File Documents and SettingsNetworkService.NT AUTHORITYntuser.dat.LOG </li></ul><ul><li>File </li></ul><ul><li>File Documents and SettingsLocalService.NT AUTHORITYntuser.dat.LOG </li></ul><ul><li>File Documents and SettingsLocalService.NT AUTHORITYNTUSER.DAT </li></ul><ul><li>File WINDOWSCSC00000001 </li></ul><ul><li>************************************************************************ </li></ul><ul><li>Pid: 436 </li></ul><ul><li>File WINDOWS </li></ul><ul><li>File WINDOWSsystem32 </li></ul><ul><li>… </li></ul><ul><li>… </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  117. 117. Analisis de la muerte de un computador FTK Interlude 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  118. 118. Email en el computador de Daryl 21/05/11 Germinal Isern Universidad Nacional de Piura
  119. 119. Analisis en vivo del computador 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  120. 120. Command: pslist > pslist.txt ? Nada interesante 21/05/11 Germinal Isern Universidad Nacional de Piura
  121. 121. Command: pmdump –list > pmdump-list.txt ? Nada interesante? 21/05/11 Germinal Isern Universidad Nacional de Piura
  122. 122. Command: handle > handle.txt !! 21/05/11 Germinal Isern Universidad Nacional de Piura
  123. 123. Command: dd if=.PhysicalMemory of=PhysicalMemory.dd Command: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt 21/05/11 Germinal Isern Universidad Nacional de Piura
  124. 124. El archivo “ log.txt” en directorio c:taxes en Word Para resaltar las sesiones importantes DARYL_EVIDENCElog.doc Examen c:taxes directorio: turbotax97.exe era realmente un keylogger 21/05/11 Germinal Isern Universidad Nacional de Piura
  125. 125. 21/05/11 Germinal Isern Universidad Nacional de Piura
  126. 126. ¡Algo es sospechoso! <ul><li>Inmediatamente se conectan e ingresan a la red corporativa </li></ul><ul><li>Atención especial al trafico de “sparelaptop3” </li></ul><ul><li>Se inicia la investigación de sparelaptop3, que se encuentra en la sala de impresión de la compania </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  127. 127. Wireshark Interlude Analisis de red 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  128. 128. Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare <ul><li>bobotie-notes.txt.bfe: </li></ul><ul><ul><li>Directory info enumerated at packet 2029-2030. </li></ul></ul><ul><ul><li>662 bytes (entire file) transferred in packet 2202. </li></ul></ul><ul><li>pate.txt (un-encrypted): </li></ul><ul><ul><li>choose any packet in stream and follow TCP stream, e.g., packet 3360. </li></ul></ul><ul><ul><li>data transfer is actually at packet 3479. </li></ul></ul><ul><li>pistachio-macaroons.txt.bfe: </li></ul><ul><ul><li>246 bytes (entire file) transferred in packet 4693. </li></ul></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  129. 129. Historia de inserción de USB (análisis de laptop flotante ) HKEY_LOCAL_MACHINE/SYSUSBSTOR Almacenamiento USB perteneciente a Niles Boudreaux, otro empleado de TurboChef. 21/05/11 Germinal Isern Universidad Nacional de Piura
  130. 130. Historia USB HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR ¡Concordo! 21/05/11 Germinal Isern Universidad Nacional de Piura
  131. 131. En la computadora de Niles <ul><li>Copias de recetas codificadas y no codificadas (eliminadas) </li></ul><ul><li>E-mail original de Ignatius Q. Riley (eliminado) </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura
  132. 132. Email original de Ignatius ( Maquina N. Boudreaux’s ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  133. 133. A Closer Look at Email on Daryl Popper’s Computer 21/05/11 Germinal Isern Universidad Nacional de Piura
  134. 134. Una vista mas cerca del e-mail en el computador de Daryl ( HTML SOURCE ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  135. 135. La historia real <ul><li>Niles infeliz, contacta a Lick-My-Spoon </li></ul><ul><li>Niles instala un key logger en la maquina de Daryl while she’s at lunch, and enables guest account and file sharing </li></ul><ul><li>Key logger records Daryl’s encryption passwords </li></ul><ul><li>Niles digs up unused, spare laptop </li></ul><ul><li>Niles gets keystroke log remotely using spare laptop / file sharing </li></ul><ul><li>Niles copies some recipes to spare laptop using file sharing </li></ul><ul><li>Niles copies stolen recipes from spare laptop to USB disk </li></ul><ul><li>Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius </li></ul><ul><li>Ignatius sends reply to Niles </li></ul><ul><li>Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops) </li></ul><ul><li>Niles deposits forged reply on Daryl’s machine </li></ul><ul><li>Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO, investigation begins </li></ul><ul><li>Niles continues periodically to copy recipes from Daryl’s machine to spare laptop </li></ul><ul><li>(These transfers were captured during network logging) </li></ul><ul><li>Facing mounting evidence, Niles confesses </li></ul>21/05/11 Germinal Isern Universidad Nacional de Piura

×