Así trabajan los ‘CSI’ tecnológicos argentinos

octubre 31, 2013 § 1 comentario

Cuando se está ante un crimen, son los peritos forenses los encargados de aplicar su habilidad científica en la recolección y la preservación de pruebas y el manejo de la cadena de custodia necesaria para esclarecer la verdad sobre el caso en cuestión. Ante el avance de la utilización de computadoras, teléfonos y otros dispositivos, crece la necesidad de forenses con especialización en delitos del mundo digital. Los conocimientos de hardware, software y seguridad informática, así como de Derecho, se vuelven indispensables. De hecho, esta semana el robo y el daño del disco rígido del tren que se accidentó en Once acapararon toda la atención. PERFIL habló con expertos en pericias digitales para conocer cómo es su trabajo.

En Argentina está en pleno crecimiento la solicitud de especialistas en informática forense, ya que la gran mayoría de los litigios tiene contenido digital que está almacenado en PCs, tablets o celulares. En el país no existe un protocolo para pericias informáticas, por lo que las empresas se basan en buenas prácticas internacionales. “Un forense informático analiza el contenido de dispositivos digitales como computadoras, celulares, GPS, en búsqueda de elementos que permitan solventar una hipótesis de investigación. El análisis no se limita a la información ‘visible’ a través del sistema operativo, sino que se recuperan elementos ocultos y borrados”, explicó Gustavo Presman, titular del Estudio de Informática Forense.

Los casos con los que los “detectives digitales” se encuentran son muy variados. “Hoy es típica la recuperación de documentación y correo electrónico. Luego, está recuperar un disco que fue borrado por error o saber la actividad de una PC en las redes sociales, o con el chat, cuando un empleado o individuo hace uso indebido del equipo”, describió Pablo Rodríguez Romeo, socio del estudio de servicios jurídicos-informáticos CYSI.

Paso a paso. El trabajo forense digital tiene rigurosos procedimientos: “Cuando el cliente nos contacta, existe la posibilidad de ir a ver el disco en el lugar si la situación lo requiere. Cuando el disco ingresa al laboratorio se lo identifica con sus piezas originales, se toman imágenes y se coloca en una bandeja. Se realiza una limpieza ‘sin apertura’ de las partes electrónicas con alcohol isopropílico”, explicó Alberto Fía, responsable de atención al cliente de CBL.

Luego se realiza el testeo de las áreas críticas, se localiza el daño y se busca un disco idéntico al que se quiere recuperar, denominado “donante”, adonde se transporta la información. En ese momento se está en condiciones de elevar el primer informe al cliente, donde se detallan las fallas mecánicas o electrónicas y se exponen la posibilidad de recupero, el presupuesto y el tiempo estimado de trabajo. “Después comienza todo un protocolo de trabajo sobre el dispositivo dañado que concluye con la extracción de datos y la realización de un informe final”, sostuvo Fía.

Según Rodríguez Romeo, de CYSI, el 80% de su trabajo proviene de particulares que desean recuperar archivos personales. Según el forense informático, se pueden recuperar en alrededor del 90% de los casos. Sin embargo, cuando el área de almacenamiento se encuentra severamente dañada o los datos fueron borrados de forma segura, no es posible la recuperación. De esta forma, finaliza la pericia informática.

 Fuente: Perfil

Anuncios

Análisis Forense a dispositivos iOS

septiembre 29, 2013 § 1 comentario

Hoy traigo una serie de artículos donde se pretende explicar cómo realizar el análisis forense a dispositivos iOS paso a paso, detallando cada aspecto a tener en cuenta para realizar el proceso y llevar a feliz término el análisis a los dispositivos móviles de Apple.

Para no hacer muy aburrido el texto será dividido en varias partes, empezando con las etapas previas a la adquisición y copia bit a bit del dispositivo iOS, utilizando el proyecto iPhone Data Protector de Jean-Baptiste Bédrune y Jean Sigwald, hasta el análisis de los archivos almacenados, sus rutas en diferentes versiones de iOS y sus backups.

Una de las metodologías más extendidas para realizar un proyecto de análisis forense, sin importar el sistema operativo o el dispositivo al que se le realice, es la planteada por Warren G. Kruse II y Jay G. Heiser, autores del libro “Computer Forensics: Incident Response Essentials”, en la que sostienen que toda investigación forense digital, debe pasar por cada una de las etapas del siguiente diagrama en ese orden lógico para ser llevada a feliz término.

En el transcurso de las siguientes entregas, seguiremos el orden lógico planteado en el modelo de Kruse y Heiser, pero obviando algunos apartados que no aplican para el análisis forense de dispositivos iOS o no son tema de trabajo para este artículo, en donde nos enfocaremos solamente en los aspectos técnicos necesarios para llevar a cabo nuestro proyecto forense sobre los dispositivos móviles de Apple.

Contenido completo en fuente original DragonJAR.

Reflexiones sobre la norma ISO/IEC 27037:2012 sobre evidencia digital

septiembre 18, 2013 § 1 comentario

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen.

Estas prácticas permiten establecer un conjunto base de validación para la contraparte y el juzgador, con el fin de probar la idoneidad del proceso ejecutado y la confiabilidad de los resultados, luego de las técnicas aplicadas para obtener la evidencia digital clave para efectos de soportar las afirmaciones o declaraciones sobre una temática particular que se tenga en una diligencia civil, penal o de cualquier índole.

Así las cosas, prácticas como la HB171-2003 Guidelines for the Management of IT Evidence, creada en Australia por la academia, industria, administración de justicia, gobierno y entes policiales, permite una vista homogénea frente al reto de la evidencia digital como elemento de prueba real con todos sus elementos, permitiendo una valoración y análisis que motive y concrete los juicios bien fundados sobre las evidencias que se aporten en el desarrollo de una diligencia probatoria.

De igual forma, las guías del NIST sobre estos temas particularmente en dispositivos móviles, web services, entre otros, así como las indicaciones del Departamento de Justicia de los Estados Unidos en los documentos como Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition, son generalmente instrumentos utilizados por los analistas forenses digitales con el fin de establecer un marco de actuación formal y verificable que permita a los terceros validar las acciones que adelanten sobre la evidencia digital disponible en los medios informáticos.

En este sentido, el peritaje forense informático y tecnológico, siguiendo lo indicado por LOPEZ RIVERA (2012, pág.48) como la “obtención de información y evidencias de los bits que se encuentran en los dispositivos físicos de almacenamiento o virtuales en las redes que intervienen en la interacción de las personas con los sistemas”, requiere un contexto general de actuación que permita a todos los involucrados contar con referentes verificables y de alcance global que exhiban formas de asegurar que los procedimientos aplicados en la pericia son confiables y con arreglo a ley.

Como quiera que a la fecha no se reconoce buena práctica de alcance global, se introduce en este documento la norma ISO/IEC 27037:2012 donde se establecen directrices para la identificación, recolección, adquisición y preservación de la evidencia digital, como un primer documento reconocido por la comunidad internacional y de alcance global para efectos de adelantar pericias forenses informáticas, el cual de ahora en adelante será un referente base para todos los informáticos forenses respecto de sus prácticas y procedimientos actuales.

Contenido completo en fuente original Blog de Jeimy Cano

Listado de herramientas forenses

septiembre 16, 2013 § Deja un comentario

Suelo hacer habitualmente un post sobre herramientas forenses para no olvidarme de donde descargo muchas de las herramientas que utilizo. Muchas ya están en esta presentación en slideshare, pero en esta ocasión he incluido algunas nuevas y otras actualizadas. Esta lista es producto de recopilación de muchos meses y quiero compartirlas con todos. Espero que os pueda ser de utilidad.

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

  • pd – Proccess Dumper – Convierte un proceso de la memoria a fichero.
  • FTK Imager – Permite entre otras cosas adquirir la memoria.
  • DumpIt – Realiza volcados de memoria a fichero.
  • Responder CE – Captura la memoria y permite analizarla.
  • Volatility – Analiza procesos y extrae información util para el analista.
  • RedLine – Captura la memoria y permite analizarla. Dispone de entrono gráfico.
  • Memorize– Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla.

  • ImDisk – Controlador de disco virtual.
  • OSFMount – Permite montar imágenes de discos locales en Windows asignando una letra de unidad.
  • raw2vmdk – Utilidad en java que permite convertir raw/dd a .vmdk
  • FTK Imager – Comentada anteriormente, permite realizar montaje de discos.
  • vhdtool – Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
  • LiveView – Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
  • MountImagePro– Permite montar imágenes de discos locales en Windows asignando una letra de unidad

CARVING Y HERRAMIENTAS DE DISCO

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

  • PhotoRec – Muy útil, permite la recuperación de imágenes y vídeo.
  • Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
  • RecoverRS– Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco.
  • NTFS Recovery – Permite recuperar datos y discos aún habiendo formateado el disco.
  • Recuva– Utilidad para la recuperación de ficheros borrados.
  • Raid Reconstructor – Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
  • CNWrecovery – Recupera sectores corruptos e incorpora utilidades de carving.
  • Restoration– Utilidad para la recuperación de ficheros borrados.
  • Rstudio– Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
  • Freerecover– Utilidad para la recuperación de ficheros borrados.
  • DMDE – Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
  • IEF– Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.
  • Bulk_extractor – Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

  • analyzeMFT – David Kovar’s utilidad en python que permite extraer la MFT
  • MFT Extractor– Otra utilidad para la extracción de la MFT
  • INDXParse – Herramienta para los indices y fichero $I30.
  • MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT
  • MFT_Parser – Extrae y analiza la MFT
  • Prefetch Parser – Extrae y analiza el directorio prefetch
  • Winprefectchview– Extrae y analiza el directorio prefetch
  • Fileassassin– Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE

  • PDF Tools de Didier Stevens.
  • PDFStreamDumper – Esta es una herramienta gratuita para el análisis PDFs maliciosos.
  • SWF Mastah – Programa en Python que extrae stream SWF de ficheros PDF.
  • Proccess explorer – Muestra información de los procesos.
  • Captura BAT – Permite la monitorización de la actividad del sistema o de un ejecutable.
  • Regshot – Crea snapshots del registro pudiendo comparar los cambios entre ellos
  • Bintext – Extrae el formato ASCII de un ejecutable o fichero.
  • LordPE– Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
  • Firebug – Analisis de aplicaciones web.
  • IDA Pro – Depurador de aplicaciones.
  • OllyDbg – Desemsamblador y depurador de aplicaciones o procesos.
  • Jsunpack-n – Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
  • OfficeMalScanner– Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
  • Radare– Framework para el uso de ingeniería inversa.
  • FileInsight– Framework para el uso de ingeniería inversa.
  • VolatilityFramework con los plugins malfind2 y apihooks.
  • shellcode2exe– Conversor de shellcodes en binarios.

FRAMEWORKS

Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

  • PTK – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
  • Log2timeline – Es un marco para la creación automática de un super línea de tiempo.
  • Plaso – Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.
  • OSForensics – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
  • DFF – Framework con entorno gráfico para el análisis.
  • SANS SIFT Workstation – Magnifico Appliance de SANS. Lo utilizo muy a menudo.
  • Autopsy – Muy completo. Reescrito en java totalmente para Windows. Muy útil.

ANÁLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema, direcciones IP, información de aplicaciones.

  • RegRipper– Es una aplicación para la extracción, la correlación, y mostrar la información del registro.
  • WRR– Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.
  • Shellbag Forensics Análisis de los shellbag de windows.
  • Registry Decoder – Extrae y realiza correlación aun estando encendida la máquina datos del registro.

HERRAMIENTAS DE RED

Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques, etc.

  • WireShark – Herramienta para la captura y análisis de paquetes de red.
  • NetworkMiner – Herramienta forense para el descubrimiento de información de red.
  • Netwitness Investigator – Herramienta forense. La versión ‘free edition’ está limitado a 1GB de tráfico.
  • Network Appliance Forensic Toolkit – Conjunto de utilidades para la adquisición y análisis de la red.
  • Xplico –  Extrae todo el contenido de datos de red (archivo pcap o adquisición en tiempo real). Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.
  • Snort – Detector de intrusos. Permite la captura de paquetes y su análisis.
  • Splunk – Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.
  • AlientVault – Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.

RECUPERACIÓN DE CONTRASEÑAS

Todo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, en navegadores.

  • Ntpwedit– Es un editor de contraseña para los sistemas basados ​​en Windows NT (como Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.
  • Ntpasswd – Es un editor de contraseña para los sistemas basados ​​en Windows, permite iniciar la utilidad desde un CD-LIVE
  • pwdump7– Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.
  • SAMInside / OphCrack / L0phtcrack– Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.

DISPOSITIVOS MÓVILES

Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense de dispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero que son muy interesantes e importantes.

iPhone

  • iPhoneBrowser – Accede al sistema de ficheros del iphone desde entorno gráfico.
  • iPhone Analyzer – Explora la estructura de archivos interna del iphone.
  • iPhoneBackupExtractor – Extrae ficheros de una copia de seguridad realizada anteriormente.
  • iPhone Backup Browser – Extrae ficheros de una copia de seguridad realizada anteriormente.
  • iPhone-Dataprotection – Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta con contraseñas simples (4 dígitos) y descifrar copias de seguridad.
  • iPBA2– Accede al sistema de ficheros del iphone desde entorno gráfico.
  • sPyphone– Explora la estructura de archivos interna.

BlackBerry

Android

  • android-locdump. – Permite obtener la geolocalización.
  • androguard– Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC
  • viaforensics– Framework de utilidades para el análisis forense.
  • Osaf – Framework de utilidades para el análisis forense.

PRODUCTOS COMERCIALES
No podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.

Fuente: Conexión Inversa

OS X Auditor: análisis forense para Mac

septiembre 12, 2013 § 1 comentario

OS X Auditor es una herramienta gratuita de análisis forense para Mac OS X. Está escrita en Python y parsea/hashea los siguientes elementos de un sistema en ejecución o una copia que quieras analizar:

  • las extensiones del kernel
  • los agentes del sistema y demonios
  • agentes y demonios de terceros
  • los viejos y obsoletos system y los elementos de inicio de terceros
  • agentes de usuario
  • archivos descargados de los usuarios
  • las aplicaciones instaladas

Y luego extrae:

  • archivos en cuarentena de los usuarios
  • historial de los usuarios de Safari, descargas, topsites, bases de datos HTML5 y localstore
  • cookies de Firefox, descargas, formhistory, permisos, lugares e inicios de sesión
  • historial de los usuarios de Chrome y archivos de historial, cookies, datos de acceso, sitios más visitados, datos de webs, bases de datos HTML 5 y el almacenamiento local
  • cuentas sociales y de correo electrónico de los usuarios
  • los puntos de acceso WiFi señala a los que el sistema auditado se ha conectado(y trata de geolocalizarlos)

También busca palabras clave sospechosas en el archivo .plist.

Puede verificar la reputación de cada archivo en:

  • MHR Team Cymru
  • VirusTotal
  • Malware.lu
  • Su propia base de datos local

Por último, los resultados pueden ser:

  • representados como un archivo de log txt sencillo (para que puedas hacer cat-pipe-grep en ellos … o simplemente grep )
  • representados como un archivo de log HTML
  • enviados a un servidor Syslog

Uso:

# git clone https://github.com/jipegit/OSXAuditor.git
# pip install pyobjc
# python osxauditor.py -h

Fuente: HackPlayers

SPLUNK: análisis de eventos en tiempo real

agosto 30, 2013 § 2 comentarios

SPLUNK Es un software para buscar, monitorizar y analizar datos de aplicaciones, sistemas e infraestructura IT. Permite la captura, indexación y correlación en tiempo real, almacenándolo todo en un repositorio donde permite generar un panel o cuadro de mandos en formato gráfico.

Splunk dispone de dos versiones una de comercial (Enterprise License) diseñada para empresas, y una gratuita “Free License” para uso personal. La versión freeware está limitada a 500 MB de datos al día, y carece de algunas de las funcionalidades de la versión licenciada Enterprise.

Es un producto con el cual se puede solucionar la gestión y presentación de un volumen muy grande de datos utilizando un gestor ‘Big data’ como es Splunk. Se puede crear un ‘timeline’ y realizar minería de datos con objeto de realizar un análisis forense.

Contenido completo en fuente original Conexión Inversa:

ApkAnalyser, permite analizar archivos de Android

agosto 1, 2013 § Deja un comentario

ApkAnalyser es una nueva herramienta de código abierto para realizar análisis estático de aplicaciones Android sobre plataformas Windows, Linux y Mac OS X.

ApkAnalyser está desarrollado por Sony y permite modificar la aplicación, empaquetar, instalar, ejecutar y verificar el resultado con Logcat de Cyanogenmod. ApkAnalyser permite analizar los recursos de comunicación, se puede decodificar XML, buscar referencias y detectar posibles problemas en la aplicación. Además permite analizar dependencias y realizar DEOdexing.

La herramienta está desarrollada en Java y requiere JRE 1.6 o superior. . Para descargar e instalarlo, echa un vistazo a las instrucciones de abajo. Para más información se puede visitar su Wiki.

Por ejemplo, para utilizarlo se debe descargar el archivo JAR de la aplicación y ejecutar el siguiente comando:

java -Xmx1024m -jar ApkAnalyser.jar

Luego de esto simplemente se abre el ADB a analizar y ya se puede comenzar.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría análisis forense en Seguridad Informática.