Saludos amig@s,
Me disculpo de antemano por tener abandonado un poco el blog debido a cuestiones laborales y de cumplimiento de carga académica con una Universidad.
Con la finalidad de revindicarme les traigo este articulo que espero sea de su agrado, cualquier comentario es bien recibido dentro del respeto que nos debemos como seres humanos :p
A que se debe el titulo del Articulo???
Recordando la labor que me encomendó mi amigo el "Gordito Sedsy" de la Red cuando me invito a la preparación de un proceso de certificacion forense, y me di a la tarea de resolver el caso practico forense como parte del requerimiento solicitado por la entidad certificadora. Para tal fin me dije a mi mismo:
"MI MISMO" por que no lo haces con herramientas solo windows, a ver que tal te va Ah??
Jejeje
Es decir los que me conocen saben que generalmente utilizo herramientas de software libre en especial tools sobre Linux para realizar mis casos forenses (reales).
Así me di a la tarea de recopilar un buen conjunto de herramientas Windows que conocía y me parecían practicas para el proceso a realizar y este es el resultado:
El examen práctico consiste en una imagen dd de un disco duro que sirve como evidencia de un caso práctico. Está dividido en 8 partes (CFE Hacker.001 - CCFE Hacker.008).
"Esta unidad es la imagen desde un ordenador portátil que fue descubierto en el apartamento de un sospechoso. El ordenador portátil tenía una antena casera PCMCIA conectada a este. El sospechoso es sospechoso de piratería en las redes inalámbricas distintas y la captura de información de tarjetas de crédito. Su tarea consiste en determinar si la evidencia apoya esta hipótesis."
OBJETIVOS
- Determinar el sistema operativo, la fecha de instalación del sistema operativo, y utiliza la zona horaria.
- Identificar al propietario del sistema registrado.
- Identificar los alias del propietario del sistema utiliza.
- Identificar quién fue la última sesión en el ordenador.
- Lista de postales de la red, direcciones IP y direcciones MAC que utiliza este ordenador portátil.
- Encontrar ninguna evidencia que se utilizó el equipo para el hacking de redes inalámbricas.
- Encontró pruebas de que el sospechoso se estaba comunicando con otras personas en Internet a través de NNTP o IRC.
- Buscar todas las direcciones de correo electrónico utilizada por sitios web o acceder al sospechoso.
- Determinar si los virus están en el sistema.
METODOLOGÍA
Guía para la integración de técnicas forenses en Respuesta a Incidentes - SP 800-86 (NIST)
Esta publicación está destinada a ayudar a las organizaciones en la investigación de incidentes de seguridad informática y resolución de problemas algunas tecnologías de la información (TI) problemas de funcionamiento, proporcionando una guía práctica sobre la realización de análisis forense informático y de red. La guía presenta un análisis forense de TI, no una aplicación de la ley view.2 En concreto, la publicación se describen los procesos para la realización de las actividades forenses eficaz y proporciona asesoramiento sobre distintas fuentes de datos, incluyendo archivos, sistemas operativos (OS), el tráfico de red y aplicaciones .
La metodología tiene la siguiente estructura:
1. introducción
2. El establecimiento y organización de una capacidad forense
3. Realizar el proceso forense
4. Uso de datos de archivos de datos
5. Utilizando los datos de los sistemas operativos
6. Utilizando los datos de tráfico de red
7. Usando datos de las aplicaciones
8. Usando datos de múltiples fuentes
INVESTIGACIÓN
La imagen ha sido analizada por una combinación de las siguientes herramientas:
- Access Data Forensics ToolKit
- Allien Data Registry Viewer
- Mount Image Pro
- Sysinternals Suite
- Kaspersky Internet Security
- Immunet ClamAV
- Microsoft Word
- Event Viewer Windows Profesional
- Windows Xp Profesional
- VMWare
- Tools Windows Taylor (Cain)
- Hex Workshop
AMBIENTE DE TRABAJO
Para facilitar el análisis del sistema siempre en forma de imagen, el medio ambiente utilizada se basa en Windows 7 Ultimate, VMWare Profesional, Windows XP Profesional.
EVIDENCIA
Esta evidencia fue recibida a través de un DVD. El DVD contiene ocho piezas (CFE Hacker.001 - CCFE Hacker.008).
PROCESO DE ADQUISCION DE LA EVIDENCIA
Proceso de adquisición de las EVIDENCIA Y preparación de contenedores. | |
| Contenedor de la Evidencia Digital |
 | |
| Preparando el Formato para el Contenedor de la Evidencia |
Identificación de la unidad asignada en el contenedor con la utilidad dd en la consola de comandos de Windows.
 | |
| Usando dd para identificar las unidades conectadas |
Ahora, sanitizamos los medios (esterilización del contenedor) haciendo uso de la utilidad Wipe.
 |
| Sanitizando contenedor con WIPE |
 |
| Contenedor con borrado seguro haciendo uso de WIPE |
Realizamos la obtención de la imagen de la evidencia haciendo uso de de la utilidad dd. Y la generación de la integridad de la imagen generando los hash de correspondientes con la utilidad FCIV.exe (Microsoft).
 |
| Segundo Original Generado para iniciar cadena de custodia |
 |
| Generando Hash para la Integridad de la Imagen haciendo uso de la utilidad FCIV.exe |
El proceso de adquisición de datos también se puede realizar utilizando la herramienta de FTK, del mismo modo generar el hash de la validación de la integridad de la imagen. Se inicia la cadena de custodia, o en este caso ya debe estar la cadena de custodia y debe ser actualizado.
 |
| Utilizando FTK (Acces Data) para la Adquisición de la Evidencia |
 |
| Creando y seleccionando el archivo Imagen |
Este es el archivo con formato XLS generado por FTK con los hash (MD5 / SHA1) de integridad de la imagen.
CHECKSUMS
Tenemos que comprobar a través de pruebas de comprobación de hash (En este caso, MD5), usando md5sum y fciv.
 |
| Validando hash con md5sum sha1sum y FCIV |
 |
| Validando Hash con FCIV.exe |
TIPO DE EVIDENCIA DIGITAL
El primer paso es montar la imagen. Para esta actividad se utilizo Mount Image Pro. Esta actividad y este software permiten montar la evidencia sin riesgos de alterar la misma.
Aún así me queda una copia de la evidencia (DVD) como un sistema de seguridad para no alterar la evidencia.
 |
| Montando la Evidencia con Mount Image Pro |
 |
| Imagen montada en Mount Image Pro |
Una vez montada la Imagen (Mount Image Pro) podemos realizar exploración sobre su sistema de archivos.
 |
| Explorando Sistema de Archivos Imagen Evidencia |
Estamos listos para iniciar nuestra fase de Data Analysis (Análisis de Datos).
La cual incluiré en la continuación de varios artículos consecutivos para no hacer de la lectura algo extenso y no genere cansancio o desmotivacion en el desenlace del Análisis Informático Forense que estamos desarrollando.
Les invito a leer este articulo si no tienen idea de lo que te estoy hablando o quieren ambientarse un poco del tema que estamos tratando:
Metodología de Análisis Informatica Forense
Espero halla generado el interés o inquietud suficiente para que continúen las lecturas de los artículos siguientes y conozcas de todo el proceso, para que de una forma u otra le sirva como guia de uso de Herramientas Libres en procesos de Análisis Informatico Forense.
Nos estamos leyendo y gracias por invertir su tiempo aquí nuevamente,
Bytes
Dino
PD: Los espero en los próximo artículos que nos permitan terminar nuestra forensia :P
