Seminario computacion forense_piura_abril_2008
Upcoming SlideShare
Loading in...5
×
 

Seminario computacion forense_piura_abril_2008

on

  • 873 views

 

Statistics

Views

Total Views
873
Views on SlideShare
873
Embed Views
0

Actions

Likes
1
Downloads
28
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seminario computacion forense_piura_abril_2008 Seminario computacion forense_piura_abril_2008 Presentation Transcript

  • Seminario Computación Forense
    • Es común encontrar estas preguntas , cuando se ha perpetrado un ataque
    • Que fue lo que hicieron ..... ?
    • Como fue que lo hicieron .... ?
    • Es donde la recolección de eventos en la red juega un papel importante al igual que su análisis
  • Investigación de la Escena del Crimen
  • Definición Técnica: Computación Forense
    • “ Herramientas y Técnicas para recuperar, preservar y examinar evidencia digital en un dispositivo digital o transmitida por un dispositivo digital
    PLUS data recovery
  • Definición para las masas
    • Aquella información digital “borrada” en casi cualquier tipo de medio de almacenamiento nunca es eliminada completamente…
    • La computación Forense es el conjunto de herramientas y técnicas diseñadas para recuperar esta información de manera que sea aceptable por el Sistema Jurídico.
    21/05/11 Germinal Isern Universidad Nacional de Piura
    • Evidencia Digital . Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999)
    • Evidencia Digital . Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000)
    • Evidencia Digital . Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence)
    • Evidencia Digital . Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )
    Definiciones Básicas 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Motivación
    • Los archivos eliminados no son eliminados de forma segura
    • Recuperar el archivo eliminado y la fecha!
    • Cambiar el nombre de los archivos para evitar la detección , no tiene sentido
    • El formateo de los discos no elimina mucha información
    • Email sobre el Web puede ser recuperado directamente de su computador( de forma parcial)
    • Archivos transferidos mediante la red pueden ser reemsanblados y usados como evidencia.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Motivación (2)
    • Desinstalar las aplicaciones es mas difícil de lo que parece…
    • Data “volátil” permanece en el sistema por mucho tiempo (aun después de múltiples arranques y cargas)
    • Remanentes de aplicaciones previas
    • El usar la codificación (encryption) adecuadamente es difícil, ya que la información no es útil hasta que sea decodificada.
    • El software anti-forense (incremento de la privacidad) es violado frecuentemente.
    • Imanes grandes generalmente no funcionan
    • La mutilación de medios (excepto en casos extremos) no funciona.
    • Premisa básica: la información es muy difícil de destruir.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Investigación en computación forense tradicional
    • ¿Qué se puede hacer?
      • Recuperar data borrada
      • Descubrir cuando los archivos fueron modificados, creados, eliminados, organizados.
      • Determinar que dispositivo de almacenamiento fue conectado a un computador especifico
      • Que aplicaciones fueron instaladas, aun si estas fueron desinstaladas por el usuario
      • Que sitios web fueron visitados por el usuario…
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Tradicional (2)
    • Que no…
      • Si un medio físico esta físicamente destruido por completo, la recuperación es imposible.
      • Si en el medio digital se sobre escribe de manera segura la recuperación es muy, muy complicada o imposible.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Privacidad mediante la mutilación del dispositivo degausser o o Eliminación segura a nivel forense Pero este seguro que funciona o 21/05/11 Germinal Isern Universidad Nacional de Piura
  • ¿Quién la necesita?
    • Agencias policiales o de seguridad del estado
      • Persecución de crímenes que involucran computadoras u otros medios digitales
      • Defensa del inocente
      • Enjuiciamiento del culpable
      • Debe seguir directrices muy estrictas durante el proceso forense completo para garantizar que la evidencia sea admisible en corte.
    • Fuerzas militares
      • Persecución de crímenes internos relacionados con computación.
      • Sigue líneas propias, normas legales regulares no aplican.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Quién (2)
    • Agencias de seguridad (por ejemplo, el servicio secreto, CIA, FBI, NSA, KGB, MOSAD)
      • Fuerzas anti-terroristas
      • Una orden de búsqueda o cateo le permite a un individuo saber que esta siendo investigado.
      • Patriot Act minimiza las exigencias requeridas para hacer búsquedas o cateos.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Quién (3)
    • General
      • Mala conducta de un empleado en casos corporativos
      • ¿Qué le pasa a este computador?
      • En caso de eliminación accidental o maliciosa de data por parte de usuario ( o por un programa), ¿ Qué puede ser recuperado?
      • La necesidad de lineamientos estrictos y de documentación durante el proceso de recuperación puede que tal vez no sea necesario
    • Garantía de la privacidad
      • ¿Qué se puede hacer para garantizar la privacidad?
      • Premisa: Los individuos tienen el derecho de la privacidad, como pueden estar garantizar que su data es privada.
      • Muy difícilmente a menos que una codificación muy fuerte sea usada, y luego el problema pasa a ser el almacenamiento de las llaves.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Computación Forense: Metas (1)
    • Identificación de evidencia digital potencial
      • ¿Dónde puede estar? ¿Qué dispositivos uso el sospechoso ?
    • Preservación de la evidencia
      • En la escena del crimen…
      • Primero estabilizar la evidencia…prevenir la perdida y la contaminación
      • Documentación cuidadosa de todo, que se agarro y como…
      • Si es posible, hagan una copia idéntica a nivel de bits de la evidencia para su revision.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Computación Forense: Metas (2)
    • Extracción cuidadosa y revisión de la evidencia.
      • Análisis de archivos y directorios
    • Presentación de los resultados de la investigación ( si es apropiado)
      • “ La FAT fue fubared, pero usando un editor a hexadecimal cambie el primer byte de la entrada 13 del directorio de 0xEF a 0x08 para recuperar el archivo ‘HITLIST.DOC’…”
      • “ El sospechoso intento ocultar el documento Microsoft Word ‘HITLIST.DOC’ pero fui capaz de recuperarlo corrigiendo algunas funciones del sistema de contabilidad de archivos, sin modificar los contenidos de los archivos.”
    • Legal: Investigación debe satisfacer los criterios de privacidad
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Restricciones: Computación Forense
    • Orden de volatilidad
      • Algún tipo de data es mas volátil
      • RAM > swap > disk > CDs/DVDs
      • Idea: capture L evidencia mas volátil primero
    • Cadena de custodia
      • Mantenimiento de los registros de posesión para todo
      • Debe ser capaz de hacer seguimiento a la evidencia hasta su fuente original.
      • “ Pruebe” que la fuente no ha sido modificada.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Aspectos Legales
    • Admisibilidad en los juzgados
      • Generalmente si , pero hay precedentes.
      • Disparándole a un objetivo en movimiento. Si se es consistente y no se crea evidencia, debe estar bien.
    • Legalidad de la obtención
      • Si (con una orden apropiada de la corte) y si para otras circunstancias especiales
      • Frecuentemente es la única forma, ya que la corte puede especificar que no se pueden llevar los computadores.
      • Network sniffing se considera como wire tap. Sea cuidadoso
        • Requiere una orden titulo III de una corte (18 USC 2510-2521)
        • Muy difícil de obtener en EEUU
        • Lo mismo sucede con mensajes de texto en teléfonos celulares
    • Consulte a un abogado
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Aspectos Legales (2)
    • Las necesidades de la investigación vs. El derecho a la privacidad
    • Leyes para las ordenes de cateo, por ejemplo, en EEUU la cuarta enmienda de la constitución
    • Quinta enmienda y Codificación ( Encryption)
    • Leyes sobre grabaciones (wiretaps)
    • Cadena de custodia
    • Admisibilidad de la evidencia en corte: Daubert
      • Esencia:
        • ¿Ha sido esta teoría o técnica probada?
        • ¿ Se conoce la tasa de error?
        • ¿ Es ampliamente aceptado dentro de una comunidad científica relevante?
    • Patriot Act
      • Expande el poder del gobierno de forma amplia
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • El proceso investigativo: necesidades
    • Aceptación
      • Pasos y métodos son aceptados como validos
    • Confiabilidad
      • Puede probarse que los métodos apoyan los hallazgos.
      • Por ejemplo puede probarse que el método para recuperar una imagen del espacio de swap puede ser exacto.
    • Repetitividad
      • Los procesos pueden ser repetidos por agentes independientes.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Proceso de investigación (2)
    • Integridad
      • Evidencia no es modificada ( si es posible al máximo) y puede probar que no fue alterada ( o medir el grado de alteración que presenta)
    • Causa y efecto
      • Puede mostrar conexiones fuertes entre individuos, evnetos y evidencias.
    • Documentación
      • Todo el proceso documentado, con cada paso explicado y con la justificación apropiada.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • El principio: Alerta por incidente
    • El administrador del sistema nota un comportamiento extraño en el servidor (lento, se cuelga, no responde)
    • IDS alerta al administrador de un trafico de red sospechoso.
    • La compañía repentinamente pierde muchas ventas
    • Algún ciudadano reporta una actividad criminal
      • Centro de reparación de computadoras nota que existe pornografía infantil durante la reparación de la computadora, notifica a la policía.
    • Asesinato, hay un computador en la escena del crimen.
    • Asesinato, la victima tiene un PDA
    • Agencias de Seguridad del estado y la policía deben investigar
    • Corporación/militares: pueden investigar, dependiendo de la severidad del caso, otras prioridades.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Escena del crimen
    • Documente, documente, documente
    • Fotografías que describan la organización de los equipos, cableados
    • Inventario detallado de la evidencia
    • Procedimientos adecuados, prenda, deje las reglas apagadas por cada tipo de dispositivo
    • Por ejemplo, para computador:
      • Fotografíe la pantalla, luego desconecte la alimentación de energía.
      • Coloque cinta de marca de evidencia sobre cada dispositivo.
      • Fotografíe/diagrame y etiquete la parte posterior del computador con los componentes y sus conexiones existentes.
      • Etiquete todos los conectores y cables de manera de poder re-ensamblar cuando sea necesario.
      • Si requiere de transportar, empaque los componentes y transpórtelos como mercancía frágil.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Ejemplos de evidencia digital
    • Computadores cada vez mas involucrados en investigaciones corporativas y criminales.
    • La evidencia digital puede jugar un rol preponderante o ser una nube de humo.
    • Correo electrónico
      • Acoso o amenaza
      • Chantaje
      • Transmisión ilegal de documentos corporativos internos.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Ejemplos (2)
    • Puntos de encuentro/horas de encuentro para trafico de drogas
    • Cartas de suicidas
    • Información técnica para construir bombas
    • Archivos con imágenes o video digital (por ejemplo pornografía infantil)
    • Evidencia sobre el uso inapropiado de los recursos del computador o ataques
      • Uso de una maquina como un generador de correo spam
      • Uso de una maquina para distribuir copias ilegales de software.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Delitos Informáticos 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Pornografía Infantil 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Delitos Financieros 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Clonadores de atrjetas de credito 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Fuentes de Evidencia digital
    • Computadores
      • Email
      • Imágenes digitales
      • Documentos
      • Hojas de calculo
      • Bitácoras de conversaciones (Chat logs)
      • Software copiado ilegalmente u otro material con derechos restringidos de copia
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Evidencia digital en un disco
    • Archivos
      • Activos
      • Eliminados
      • Fragmentos
    • Metadata de archivos
    • Espacio ocioso (Slack space)
    • Swap file
    • Información del sistema
      • Registry
      • Bitácora (Logs)
      • Data de configuración
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Mas fuentes (1)
    • Teléfonos celulares
      • Números dicados
      • Llamadas recibidas
      • Números de correo de voz accedidos
      • Números de tarjeta de crédito/debito
      • Direcciones de correo electrónico
      • Llamadas a números forward
    • PDAs/ Teléfonos inteligentes
      • Contactos, mapas, fotos, palabras clave, documentos,…
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Mas fuentes (2)
    • Teléfonos internos/Contestadoras telefónicas
      • Mensajes entrantes/mensajes salientes
      • Números llamados
      • Información de la llamada entrante
      • Códigos de acceso para los sistemas de correos de voz entrantes
      • Copiadoras
      • Especialmente copiadoras digitales, que pueden almacenar trabajos enteros.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Mas fuentes (3)
    • Sistemas de video juego
    • Básicamente sistemas computacionales como la XBox.
    • Dispositivos GPS
      • Rutas, puntos de camino
    • Cámaras Digitales
      • Fotos, video, archivos en tarjetas de almacenamiento (SD, memory stick, CF, …)
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Preservación de la Evidencia
    • Estabilizar la evidencia
    • Depende del tipo de dispositivo, pero debe mantener felices a los dispositivos volátiles.
    • Cuando sea posible haga copias de la evidencia original.
    • Dispositivos de bloqueo de escritura y alguna otra tecnologia para garantizar que la información no sea modificada, son usados comúnmente.
    • Tenga cuidado! No todos los dispositivos para preservar la evidencia funcionan como se comercializan
    • Evidencia original debe ir luego a lugar controlado, lugar seguro
    • “ Alimentación” de los dispositivos volátiles continúan en almacenamiento
    • Estas copias serán usadas en la próxima fase de la investigacion.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Preservación de la escena del crimen Sala Solo jala el cable Mueve el mouse para una mirada rapida Tripwires tick…tick…tick… Computo volatil Sotano, aramario Conexion inalambrica “ Querida Susana, No es tu culpa
  • Documentación cuidadosa es esencial 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Preservacion de la imagen
    • Al hacer copias debemos prevenir modificaciones o destrucciones de la evidencia.
    • Bloqueadores de escritura ; buen plan.
    • Herramientas para obtener imagenes:
      • dd bajo Linux
      • Floppies de arranque DOS
      • Soluciones propietarias
    Drivelock write blocker
  • Investigar
  • Análisis: Arte, Ciencia, Experiencia
    • Conocer donde se puede encontrar la evidencia
    • Entender las técnicas usadas para esconder o destruir la data digital
    • Manejo de herramientas y técnicas para descubrir información oculta y recuperar data destruida
    • Habilidad para manipular gigantesca cantidad de data digital…
    • Ignorar lo irrelevante, apuntar a lo relevante
    • Comprender completamente las circunstancias que hacen a la evidencia no confiable
      • Ejemplo: Creación de nuevos usuarios bajo Windows 95/98
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Computadores Tradicionales: ¿Dónde está la evidencia?
    • Archivos no eliminados, espere que los nombres sean incorrectos
    • Archivos eliminados
    • Windows registry
    • Archivos de impresión del spool
    • Archivos en Hibernación
    • Archivos temporales (todos los .TMP en Windows!)
    • Espacio ocioso (Slack space)
    • Swap files
    • Browser caches
    • Particiones alternas u ocultas
    • Otra variedad de medios removibles como (floppies, ZIP, tapes, …)
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Análisis (1)
    • Usando copias de la evidencia digital original, recupere tanta evidencia como sea posible
    • Descubrimiento de archivos eliminados
    • Descubrimiento de archivos renombrados
    • Recuperación de bloques de datos para archivos grandes eliminados
    • Descubrimiento de material codificado
    • Creación de índices de claves para realizar búsquedas de estas claves en el espacio slack, el swap file y el espacio no asignado.
    • Usar diccionarios de hash criptográfico para identificar archivos importantes/ relevantes conocidos
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Análisis (2)
    • Tallado de archivos para recuperar archivos eliminados, fragmentos del espacio no asignado
    • Descubrimiento de los archivos conocidos usando diccionarios hash, para eliminar archivos del sistema operativo, ejecutables para suites de aplicaciones populares, …
    • Categorización de evidencia
      • x Archivos JPEG
      • y Archivos Word
      • z Archivos codificados ZIP
    • Uso de técnicas de rompimiento de claves (password cracking) para abrir el material codificado
    • Muchos de estos procesos pueden ser automatizados
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Análisis (3)
    • Creación de un archivo de ilustración de las fechas de creación, modificación y eliminación de archivos.
    • Para el sistema de archivos de Unix : inode # “timelines”
    • La actividad inusual saltara en el diagrama de tiempos (timeline)
    • Cuidado! Problemas del reloj, confusiones con los husos horarios , batería del CMOS muerta…
    • Revisión de data no eliminada y recuperada con cumpla con ciertos criterios.
      • Por ejemplo, en un caso de pornografía infantil, busque imágenes JPEG/GIF recuperadas en cualquier archivo multimedia
      • Probablemente no investigue Excel o documentos financieros
    • Formulación de hipótesis y búsqueda de evidencia adicional para justificar o refutar la hipótesis.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Proceso Forense Autorización y Preparación Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción Reportes y Resultados 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características Flag(Forensic and Log Analysis GUI ) www.dsd.gov.au/library/software/flag/ *nix L Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS Sleuth9 www.deepnines.com/sleuth9.html *nix CSR Dragon IDS www.enterasys.com/products/ids/ *nix CLSR NSM Incident response www.intellitactics.com Windows CLSRW neuSecure www.guarded.net *nix CLSRW NetIntercept www.sandstorm.net Linux box CSRA NetWitness www.forensicexplorer.com Windows CLSRA OSSIM www.ossim.net *nix CLSRA SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
  • Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura Nombre Suministrada por Plataforma Características TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C Ngrep http://ngrep.sourceforge.net *nix C Network Stumbler http://netstumbler.com Windows C Kismet www.kismetwireless.net Windows, Linux C Argus www.qosient.com/argus7/ *nix CL Flow-tools www.splintered.net/sw/flow-tools/ *nix CL Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L Etherape http://etherape.sourceforge.net *nix C Ethereal www.ethereal.com Windows-Linux CLS Etherpeek www.wildpackets.com Windows CLS
    • Algunas otras herramientas que ayudan en el proceso de recolección de la información.
      • Nessus. www.nessus.org
      • Nmap. www.insecure.org
    • También existen las llamadas distribuciones booteables, que son definidas como el conjunto de herramientas en el proceso forense. FIRE,Sleuth,Helix,Plan-B
    • Dentro del conjunto de herramientas existen dos herramientas que se consideran vitales para el manejo de incidentes y análisis forense.
      • IDS/IPS
      • Honeytrap
    Herramientas utilizadas en el proceso 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Demostración FTK 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  • FTK pantallas: Caso nuevo 21/05/11 Germinal Isern Universidad Nacional de Piura
  • FTK : Comienza la investigación 21/05/11 Germinal Isern Universidad Nacional de Piura
  • FTK : Sumario del caso 21/05/11 Germinal Isern Universidad Nacional de Piura
  • FTK : Thumbnail 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Una muestra de investigacion
    • Windows Registry
    • Swap File
    • Hibernation File
    • Recycle Bin
    • Print Spool Files
    • Filesystem Internals
    • File Carving
    • Slack Space
    • (Estructuras similares Linux, Mac OS X, etc.)
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Acceso al Registry (en vivo Image the machine -- or – Use “Obtain Protected Files” in the FTK Imager 21/05/11 Germinal Isern Universidad Nacional de Piura
  • FTK Registry Viewer 21/05/11 Germinal Isern Universidad Nacional de Piura
  • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • NTUSER.dat file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • SAM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • SOFTWARE file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • ** VERY IMPORTANT ** “ Select” key chooses which control set is current, which is “last known good” configuration SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • 750GB USB hard drives (same type) Two Jumpdrive Elite thumbdrives SYSTEM file 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Mas del Registry
    • Otra información :
      • Tipo de CPU
      • Información Interfaz de Red
        • IP addresses, default gateway, DHCP configuration, …
      • Software instalado
      • Hardware instalado
    • Información del registry tipo “aja te agarre”
      • redundante, información no documentada
      • profile cloning on older versions of Windows (95/98)
        • (e.g., typed URLs, browser history, My Documents, …)
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Sistema de Archivos Esencial conocerlo FAT 12, 16, 32 NTFS EXT 2, 3 ………….. 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  • Mejor Auditoria 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Criminales en la computacion… 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark (….. Ethereal) Detailed packet data at various protocol levels Packet listing Raw data 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark: Siguiendo un flujo TCP 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark: control flujo FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark: flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark: Flujo de datos FTP 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark: Sesion HTTP save, then trim away HTTP headers to retrieve image Use: e.g., WinHex 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Psinfo ( Detección , análisis ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  • pslist 21/05/11 Germinal Isern Universidad Nacional de Piura
  • handle 21/05/11 Germinal Isern Universidad Nacional de Piura
  • filemon 21/05/11 Germinal Isern Universidad Nacional de Piura
  • psfile 21/05/11 Germinal Isern Universidad Nacional de Piura
  • promiscdetect 21/05/11 Germinal Isern Universidad Nacional de Piura
  • promiscdetect (Wireshark está corriendo ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  • psloggedon 21/05/11 Germinal Isern Universidad Nacional de Piura
  • netstat -a Ataque al corazon?! 21/05/11 Germinal Isern Universidad Nacional de Piura
  • netstat –a -b fuiiii! 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Linux Listado de procesos Salida parcial # ps aux | less 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Linux: lsof Salida parcial # lsof | less 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Linux: Informacion de procesos detallada 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
  • 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Linux: 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Análisis Forense en vivo 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Crear consulta 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Crear 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Objetivo 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Confirmar informacion 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Password 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Adquisicion inicial 21/05/11 Germinal Isern Universidad Nacional de Piura
  • 21/05/11 Germinal Isern Universidad Nacional de Piura
  • 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Informacion General 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Informacion Interfaz IP 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Analisis de datos 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Puertos vmware phoning home to check for updates SMB file server 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Procesos en ejecucion 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Conexiones 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Archivos abiertos 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Analisis vaciados de memoria 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  • FATKIT / Volatools
    • Python-based system for examining physical memory dumps
    • C:VolatoolsBasic-1.1.1>python volatools
    • usage: volatools cmd [cmd_opts]
    • Supported Commands:
    • connections Print list of open connections
    • datetime Get date/time information for image
    • dlllist Print list of loaded dlls for each process
    • files Print list of open files for each process
    • ident Identify image properties such as DTB and VM type
    • modules Print list of loaded modules
    • pslist Print list of running processes
    • sockets Print list of open sockets
    • strings Match physical offsets to virtual addresses
    • vaddump Dump the VAD sections to files
    • vadinfo Dump the VAD info
    • vadwalk Walk the VAD tree
    21/05/11 Germinal Isern Universidad Nacional de Piura
    • C:VolatoolsBasic-1.1.1>python volatools pslist -f d:MEMDUMP.1GB
    • Name Pid PPid Thds Hnds Time
    • System 4 0 65 262 Thu Jan 01 00:00:00 1970
    • smss.exe 436 4 3 21 Thu Mar 15 08:04:12 2007
    • csrss.exe 492 436 20 421 Thu Mar 15 08:04:13 2007
    • winlogon.exe 516 436 22 626 Thu Mar 15 08:04:14 2007
    • services.exe 560 516 17 366 Thu Mar 15 08:04:14 2007
    • lsass.exe 572 516 19 405 Thu Mar 15 08:04:15 2007
    • svchost.exe 752 560 21 214 Thu Mar 15 08:04:15 2007
    • svchost.exe 812 560 9 264 Thu Mar 15 08:04:16 2007
    • svchost.exe 876 560 72 1582 Thu Mar 15 08:04:16 2007
    • svchost.exe 924 560 6 95 Thu Mar 15 08:04:16 2007
    • svchost.exe 976 560 7 137 Thu Mar 15 08:04:16 2007
    • spoolsv.exe 1176 560 14 159 Thu Mar 15 08:04:17 2007
    • MDM.EXE 1372 560 4 85 Thu Mar 15 08:04:25 2007
    • ntrtscan.exe 1416 560 13 65 Thu Mar 15 08:04:25 2007
    • tmlisten.exe 1548 560 14 179 Thu Mar 15 08:04:28 2007
    • OfcPfwSvc.exe 1636 560 9 145 Thu Mar 15 08:04:29 2007
    • alg.exe 2028 560 6 103 Thu Mar 15 08:04:32 2007
    • XV69C2.EXE 336 1416 1 84 Thu Mar 15 08:04:34 2007
    • AcroRd32.exe 2452 848 0 -1 Wed Mar 21 03:53:27 2007
    • explorer.exe 840 3844 16 410 Thu Mar 22 23:05:51 2007
    • jusched.exe 2608 840 2 36 Thu Mar 22 23:05:54 2007
    • PccNTMon.exe 2184 840 4 67 Thu Mar 22 23:05:54 2007
    • ctfmon.exe 3084 840 1 70 Thu Mar 22 23:05:54 2007
    • reader_sl.exe 1240 840 2 35 Thu Mar 22 23:05:55 2007
    • cmd.exe 368 840 1 30 Thu Mar 22 23:07:01 2007
    • dumpmem.exe 2132 368 1 17 Thu Mar 22 23:07:30 2007
    21/05/11 Germinal Isern Universidad Nacional de Piura
    • C:VolatoolsBasic-1.1.1>python volatools sockets -f d:memdump.bluelu
    • Pid Port Proto Create Time
    • 1828 500 17 Wed Mar 28 02:22:36 2007
    • 4 445 6 Wed Mar 28 02:22:20 2007
    • 736 135 6 Wed Mar 28 02:22:25 2007
    • 468 1900 17 Wed Mar 28 02:22:58 2007
    • 196 1031 6 Wed Mar 28 02:22:54 2007
    • 1936 1025 6 Wed Mar 28 02:22:35 2007
    • 4 139 6 Wed Mar 28 02:22:20 2007
    • 1828 0 255 Wed Mar 28 02:22:36 2007
    • 1112 123 17 Wed Mar 28 02:22:39 2007
    • 1804 1029 17 Wed Mar 28 02:22:37 2007
    • 384 1028 6 Wed Mar 28 02:22:36 2007
    • 384 1032 6 Wed Mar 28 02:22:56 2007
    • 4 137 17 Wed Mar 28 02:22:20 2007
    • 1936 1026 6 Wed Mar 28 02:22:35 2007
    • 316 1030 6 Wed Mar 28 02:22:44 2007
    • 1164 3793 6 Wed Mar 28 02:22:28 2007
    • 468 1900 17 Wed Mar 28 02:22:58 2007
    • 1828 4500 17 Wed Mar 28 02:22:36 2007
    • 4 138 17 Wed Mar 28 02:22:20 2007
    • 196 1037 6 Wed Mar 28 02:23:03 2007
    • 1936 1027 6 Wed Mar 28 02:22:35 2007
    • 4 445 17 Wed Mar 28 02:22:20 2007
    • 1112 123 17 Wed Mar 28 02:22:39 2007
    21/05/11 Germinal Isern Universidad Nacional de Piura
    • C:VolatoolsBasic-1.1.1>python volatools files -f d:MEMDUMP.1GB
    • ************************************************************************
    • Pid: 4
    • File Documents and SettingsAdministrator.HE00NTUSER.DAT
    • File Documents and SettingsAdministrator.HE00NTUSER.DAT.LOG
    • File System Volume Information_restore{1625C426-0868-4E67-8C21-25BB305F7E1E}RP228change.log
    • File Topology
    • File pagefile.sys
    • File WINDOWSsystem32configSECURITY
    • File WINDOWSsystem32configSECURITY.LOG
    • File WINDOWSsystem32configsoftware
    • File WINDOWSsystem32configsoftware.LOG
    • File hiberfil.sys
    • File WINDOWSsystem32configsystem
    • File WINDOWSsystem32configsystem.LOG
    • File WINDOWSsystem32configdefault
    • File WINDOWSsystem32configdefault.LOG
    • File WINDOWSsystem32configSAM
    • File WINDOWSsystem32configSAM.LOG
    • File Documents and SettingsNetworkService.NT AUTHORITYNTUSER.DAT
    • File Documents and SettingsNetworkService.NT AUTHORITYntuser.dat.LOG
    • File
    • File Documents and SettingsLocalService.NT AUTHORITYntuser.dat.LOG
    • File Documents and SettingsLocalService.NT AUTHORITYNTUSER.DAT
    • File WINDOWSCSC00000001
    • ************************************************************************
    • Pid: 436
    • File WINDOWS
    • File WINDOWSsystem32
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Analisis de la muerte de un computador FTK Interlude 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  • Email en el computador de Daryl 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Analisis en vivo del computador 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  • Command: pslist > pslist.txt ? Nada interesante 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Command: pmdump –list > pmdump-list.txt ? Nada interesante? 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Command: handle > handle.txt !! 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Command: dd if=.PhysicalMemory of=PhysicalMemory.dd Command: ptfinder_w2k.pl PhysicalMemory.dd > ptfinder.txt 21/05/11 Germinal Isern Universidad Nacional de Piura
  • El archivo “ log.txt” en directorio c:taxes en Word Para resaltar las sesiones importantes DARYL_EVIDENCElog.doc Examen c:taxes directorio: turbotax97.exe era realmente un keylogger 21/05/11 Germinal Isern Universidad Nacional de Piura
  • 21/05/11 Germinal Isern Universidad Nacional de Piura
  • ¡Algo es sospechoso!
    • Inmediatamente se conectan e ingresan a la red corporativa
    • Atención especial al trafico de “sparelaptop3”
    • Se inicia la investigación de sparelaptop3, que se encuentra en la sala de impresión de la compania
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Wireshark Interlude Analisis de red 21/05/11 Piura Abril 2008 Germinal Isern Universidad Nacional de Piura
  • Tres archivos fueron hallados en las trazas de red que se enviaron del computador de Daryl a Spare
    • bobotie-notes.txt.bfe:
      • Directory info enumerated at packet 2029-2030.
      • 662 bytes (entire file) transferred in packet 2202.
    • pate.txt (un-encrypted):
      • choose any packet in stream and follow TCP stream, e.g., packet 3360.
      • data transfer is actually at packet 3479.
    • pistachio-macaroons.txt.bfe:
      • 246 bytes (entire file) transferred in packet 4693.
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Historia de inserción de USB (análisis de laptop flotante ) HKEY_LOCAL_MACHINE/SYSUSBSTOR Almacenamiento USB perteneciente a Niles Boudreaux, otro empleado de TurboChef. 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Historia USB HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR ¡Concordo! 21/05/11 Germinal Isern Universidad Nacional de Piura
  • En la computadora de Niles
    • Copias de recetas codificadas y no codificadas (eliminadas)
    • E-mail original de Ignatius Q. Riley (eliminado)
    21/05/11 Germinal Isern Universidad Nacional de Piura
  • Email original de Ignatius ( Maquina N. Boudreaux’s ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  • A Closer Look at Email on Daryl Popper’s Computer 21/05/11 Germinal Isern Universidad Nacional de Piura
  • Una vista mas cerca del e-mail en el computador de Daryl ( HTML SOURCE ) 21/05/11 Germinal Isern Universidad Nacional de Piura
  • La historia real
    • Niles infeliz, contacta a Lick-My-Spoon
    • Niles instala un key logger en la maquina de Daryl while she’s at lunch, and enables guest account and file sharing
    • Key logger records Daryl’s encryption passwords
    • Niles digs up unused, spare laptop
    • Niles gets keystroke log remotely using spare laptop / file sharing
    • Niles copies some recipes to spare laptop using file sharing
    • Niles copies stolen recipes from spare laptop to USB disk
    • Niles takes USB disk to his computer, decrypts, sends recipe to Ignatius
    • Ignatius sends reply to Niles
    • Niles edits Ignatius’ reply making it look like it was sent to Daryl (oops)
    • Niles deposits forged reply on Daryl’s machine
    • Someone notices Turbo-Chef’s recipe at Lick-My-Spoon, alerts CEO, investigation begins
    • Niles continues periodically to copy recipes from Daryl’s machine to spare laptop
    • (These transfers were captured during network logging)
    • Facing mounting evidence, Niles confesses
    21/05/11 Germinal Isern Universidad Nacional de Piura