Hola Amig@s,
Hoy quiero compartir con Uds, un caso que lleve a cabo hace como dos años en donde podemos observar como se cumplen los objetivos forenses para apoyar los temas corporativos.
Todas las personas se presumen inocentes y ninguna persona puede ser condenada por algún delito a menos de que cada elemento de éste sea probado "fuera de duda razonable".
Pero veamos de que se trata este caso.................
Las imagenes que vienen a continuacion hacen parte del informe preliminar de la Investigacion Interna correspondiente a este caso, para tal fin respetando la reserva del sumario, confidencialidad e integridad del caso partes del informe seran maquilladas.
Encabezado del Informe:
Veamos la problematica actual del Incidente:
Las evidencias inventariadas son:
Objetivos Forenses:
Identificación de las fuentes de Información:
Se siguen los procesos correspondientes tales como preservacion “Informe Adquisición de Datos Y Cadena de
Custodia” de todas las evidencias pero no presentare para este caso esas imagenes.
Me centrare en algunos de los procedimientos del del Analisis de Datos Forense.
Procedimiento 1. Análisis de la Cabecera de Correo:
Sobra decir que esta no es la cabecera de correo, es la toma de uno de los archivos principales tomado como evidencia digital.
El origen de la Ip de la cabecera de correo nos da como resultado:
Ahora verifiquemos el origen del envio de este correo certificando que el proceso se hizo de forma adecuada, de acuerdo a la operacion normal de escrutinio.
Esta dirección corresponde a una de las direcciones
asignadas por el proveedor de servicios de Internet (ISP) COLOMBIA
TELECOMUNICACIONES S.A. ESP. Como
podemos observar en la imagen que es un servidor Linux con un servicio de
correo (Postfix smtpd) denominado maxxxxxxxxxxxxaventura.com
Como Prueba de Concepto (PoC) se muestra la trazabilidad del correo de mi
Origen (Estación de trabajo forense) hasta el Destino Servidor Correo EMPRESA CASO DE ESTUDIO S.A. y su ruta de envió es la siguiente:
Trazabilidad desde mi estación de investigación forense en la ciudad de Cali con mi ISP (proveedor Telmex) hasta el servidor de correo de EMPRESA CASO DE ESTUDIO S.A, corroborando por donde pasa la información e Información del proveedor de servicios ISP:
Ubicándo por su latitud y longitud nos da la dirección asignada por el ISP en la ciudad de Cali –Valle del Cauca en dirección cercana a SEGUNDA EMPRESA CASO DE ESTUDIO S.A (Estas direcciones son asignadas por sectores de acuerdo a las antenas o equipos de comunicación, de la cual hace referencia esta dirección).
De esta forma podemos certificar que el correo fue enviado desde las oficinas de EMPRESA CASO DE ESTUDIO S.A de Buenaventura como Origen, hasta SEGUNDA EMPRESA CASO DE ESTUDIO S.A de la Ciudad de Cali como Destino.
Procedimiento 2. Comparación Integridad de Archivos.
El objetivo de este análisis es determinar la integridad, confiabilidad del archivo 99_XXXRA.TXT (original) en los diferentes sitios en donde es descargado para su proceso de escrutinio y auditoria de los premios.
Para ejecutar este procedimiento se hace uso de la herramienta de software Meld que es un programa de diferenciación, comparación y combinación de archivos, permitiendo comparar más de dos archivos simultáneamente, como se muestra en las siguientes imágenes:
Se realizo la descarga del archivo (REPXXXXXTURA.TXT) enviados al usuario, responsable del escrutinio en SEGUNDA EMPRESA CASO DE ESTUDIO S.A de su buzón de correo corporativo dxxxxxxxxxxe@xxxxxx.com.co y su buzón de correo libre de Hotmail (servidores Microsoft) dxxxx.xxxxce@hotmail.com enviado por la señora NYXXXX SXXXX SXXXXX nxxxxxa@hotmail.com. Se presenta una muestra de diferentes secciones del archivo demostrando que son los mismos descargados de los dos buzones de correo del Usuario Exxxx xxxxla de SEGUNDA EMPRESA CASO DE ESTUDIO S.A.
Se realiza la comparación del los archivos provenientes de:
1. Buzón de Correo en Hotmail, estación de trabajo en SEGUNDA EMPRESA CASO DE ESTUDIO S.A. (Usuario Exxxx xxxxxla).
2. Archivo Original de la estación de trabajo y correo de la señora NXXXX SXXXX SXXXXX (xxxxxxsa@hotmail.com)
3. Buzón de Correo en Outlook, estación de trabajo en SEGUNDA EMPRESA CASO DE ESTUDIO S.A. (Usuario Exxxxx xxxxxlla).
Con un muestreo de diez (10) screenshot (fotos de pantalla) del proceso que en cualquier momento y lugar se puede replicar.
Continua ......................................
Procedimiento 3. Comparación Integridad de Archivos a nivel Hexadecimal.
Se realiza una segunda comparación a nivel Hexadecimal de los archivos:
1. Archivo Original de la estación de trabajo y correo de la señora NXXXXX SXXXX SXXXXX (nxxxxxa@hotmail.com) XX_BTURA.TXT.
2. Buzón de Correo en Hotmail, estación de trabajo en SEGUNDA EMPRESA CASO DE ESTUDIO S.A. (Usuario Exxxx xxxxlla) REPOXXXXXTURA.TXT.
3. Buzón de Correo en Outlook, estación de trabajo en SEGUNDA EMPRESA CASO DE ESTUDIO S.A. (Usuario Exxxx xxxxlla) REPOXXXX_BTURA.TXT.
Es importante destacar el offset: 0x0 /0x670b73 (El primer carácter del archivo) y la Selection 0x0 /0x670b73(0x670b74…. Que marca la continuidad del archivo es igual para los tres archivos.
Estos procesos pueden ser replicados también en cualquier momento por un perito forense logrando los mismos resultados. Se hace uso del Editor Hexadecimal Bless de la Herramienta Forense Hellix.
Procedimiento 4. Comparación Integridad de Archivos a nivel de Hash SHA1 y
MD5
Se realiza una tercera comparación a nivel de algoritmos de dispersión SHA1SUM
y MD5SUM de los archivos:
1. Archivo Original de la estación de trabajo
y correo de la señora NXXXX SXXXX SXXXX (nxxxxxa@hotmail.com) XX_BTURA.TXT.
2. Buzón de Correo en Hotmail, estación de
trabajo en SEGUNDA EMPRESA CASO DE ESTUDIO S.A. (Usuario Exxxxxlla) REPORXXXX_BTURA.TXT.
3. Buzón de Correo en Outlook, estación de
trabajo en SEGUNDA EMPRESA CASO DE ESTUDIO S.A. (Usuario Exxx xxxxxlla) REPORXXXXX_BTURA.TXT.
Cronología del Caso Forense XXXXXXXXXXXX XXXXXXXXXX S.A.
Es asi como haciendo uso de tecnicas de computacion forense, sumadas a otras tecnicas forenses que se aplicaron para este caso, permitieron configurar una denuncia penal fortalecida en lo tecnico, procedimental, legal, con fundamentos tecnicos - juridicos suficientes para tipificar un delito de fraude financiero, estafa y otros delitos mas que concursaron en este caso forense.
Espero que les halla gustado, como nota final destacamos que el analisis forense no es solo el uso de herramientas es la suma de
Recuerden siempre:
Bytes,
Dino.
Es asi como haciendo uso de tecnicas de computacion forense, sumadas a otras tecnicas forenses que se aplicaron para este caso, permitieron configurar una denuncia penal fortalecida en lo tecnico, procedimental, legal, con fundamentos tecnicos - juridicos suficientes para tipificar un delito de fraude financiero, estafa y otros delitos mas que concursaron en este caso forense.
Espero que les halla gustado, como nota final destacamos que el analisis forense no es solo el uso de herramientas es la suma de
"La combinacion perfecta de conocimiento, expertis, uso excelentes tools forensics"
Recuerden siempre:
Bytes,
Dino.
No hay comentarios.:
Publicar un comentario