miércoles, 13 de agosto de 2014

Creando el hash de la evidencia...




Bien, este articulo habla de la importancia de sacar el hash de la evidencia en un caso forense, pero primeramente debemos entender que es hash.

Según la Wiki el hash es:"La idea básica de un valor hash es que sirva como una representación compacta de la cadena de entrada. Por esta razón decimos que estas funciones resumen datos del conjunto dominio."

Para Forense se utiliza lo que es el análisis de archivo: se examina cada archivo digital descubierto y crea una base de datos de información relacionada al archivo (meta datos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo).

Hay varios tipos de algoritmos los mas comunes son el Md5 y el SHA.

Entonces, para que diablos me sirve obtener el hash de una evidencia digital en un caso forense?????

Una de las garantías que debe ofrecer el perito a las partes y al juez, es la validación de la identidad entre los archivos originales y sus duplicados, a través de la obtención de valores matemáticos de comprobación conocidos como “Hash”. El Hash debe ser idéntico entre los archivos originales y los copiados.

Otra parte importante de la obtención del Hash es para corroborar la existencia de código malicioso dentro de una archivo, por ejemplo, el archivo notepad.exe pudo haber sido comprometido, entonces lo que hacemos es de una base de datos confiable buscamos el hash de este archivo y lo comparamos con el supuesto infectado, al realizar la comparación los dos deben estar idénticamente iguales en su cadena de texto obtenida, es por eso que se vuelve muy interesante la obtención del hash.

Fácil no?????

Ahora lo que falta es como sacar ese hash...

Hay muchas herramientas que son para la plataforma de Windows y muy fácil de utilizar por ejemplo:

WinMD5 es una herramienta gratuita y sirve muy bien


Y para el caso de Linux, hay un comando nativo de la distro, solo falta invocarla de la siguiente manera:

md5sum <nombre del archivo>



Entonces, en resumen la obtención del hash de una evidencia es nuestro punto de partida ya que sin ella es muy poco probable que nuestro caso sea todo un exito, ya que puede haber alteración de la información antes de llegar a nuestras manos...






Publicadas por a la/s No hay comentarios.:

viernes, 8 de agosto de 2014

Introducción y conceptos básicos de Computo Forense. Parte II



Bien, continuando con la segunda parte, espero no sea muy tedioso por que la verdad si es algo de teoría, pero la verdad es que si no es así no se puede aprender mucho y la verdad este curso es muy bueno :)...

 Tipo de análisis de datos:
A continuación se ve en la siguiente tabla los tipo de análisis, ya pueden ser medios de almacenamiento o medios de red, según sea el caso de la investigación que uno esta llevando a cabo...

Durante de la investigación se van recopilando palabras importantes  (ejemplo, nombre de usuario, direcciones IP, aplicaciones, etc.) las cuales guardamos para su uso posterior.

Esta lista nos sirve para realizar búsquedas de archivos, cadenas de texto, etc. con lo cual se van encontrando nuevos datos.

 Volatilidad de los Datos:

 Según Wiki nos define datos volátiles como:
La memoria volátil de una computadora, es aquella memoria cuya información se pierde al interrumpirse el flujo eléctrico.


Bien, en pocas palabras la memoria volátil es la memoria RAM, que al apagarse el equipo se pierde la información contenida en él.
Entonces en una computadora que esta siendo comprometida por un intruso:

 ¿Qué es lo primero que debo hacer?
–Realizar el proceso de apagado del sistema
–Desconectarlo de la red
–Desconectar el cable de alimentación del sistema
–Obtener un respaldo del disco duro
–Esperar que el intruso se vaya
              No hacer nada
Respondiendo esta pregunta, mi opinión podría ser desconectarlo de la red o esperar a que el intruso se vaya...

Bien mis respuestas las estoy sustentando en por que cuando un intruso esta en una computadora remotamente, la única forma de no permitir siga haciendo de sus pechorias sin que se pierdan los datos volátiles de la computadora seria desconectando el cable de red, muchos de nosotros sabemos que los datos volátiles son muy valiosos a la hora de una investigación. Bien mi segunda respuesta es de esperar a que el intruso se vaya, me parece también en mi opinión buena respuesta,, esto es para saber que fue lo que hace el intruso, que se lleva, o que modifica, para así posteriormente reforzarlo... Esta ultima respuesta es muy extremista jijiji....
  • En un sistema comprometido, no se puede confiar en los datos recolectados, ya que éstos pudieron haber sido alterados por el intruso (por ejemplo rootkits).
  • Es por eso que es importante examinar cuidadosamente los datos recolectados, buscando inconsistencias que pudieran revelar su alteración.
  • Entre más fuentes de información independientes se tengan, mayor seguridad se puede tener de la confiabilidad de los datos.
¿Eliminar la información puede ser la solución?

  • En ocasiones, destruir información puede ser sorprendente mente difícil.
  • Por ejemplo, los datos en discos magnéticos pueden recuperarse a pesar de volverse a escribir sobre ellos múltiples veces. Esto se debe a la existencia de rastros de patrones magnéticos en el medio físico.
  • Una vez que el archivo es eliminado, su contenido no cambia generalmente hasta que es sobre escrito por un nuevo archivo.
  • Los archivos eliminados son como fósiles: su esqueleto pudiera haber perdido un hueso o más; sin embargo, el fósil aún tiene información considerable que revelar.


Atributos de tiempo en archivos

Se encuentran en archivos y directorios de diferentes sistemas de archivos, se les conoce   como MAC:

  • Modificación
  • Último Acceso
  • Creación (Windows) o modificación de los meta datos (Unix)


Es importante notar que estos atributos no muestran el historial de eventos, solo el ultimo estado. Abrir un directorio para conocer su contenido cambiará su ultimo acceso.

La mayoría de las herramientas de administración de sistemas de archivos cambian el tiempo de acceso debido a que leen los archivos para saber que icono mostrar en el listado de archivos.

Lo mas recomendable es trabajar con una copia. Si no es posible, habilitar la protección de solo lectura. No olvidar que dichos atributos pueden ser falseados.





CONTINUARA.... No olviden dejar sus comentarios...

























Publicadas por a la/s No hay comentarios.:

sábado, 2 de agosto de 2014

Introducción y conceptos básicos de Computo Forense.


Bien, empecemos con este nuevo proyecto que traigo en mente, espero sea de su agrado... :)

Objetivo:

Familiarizarse con los conceptos básicos del computo forense.


Empecemos:

Que es la computo forense?????

Básicamente el computo forense esta relacionado con la preservación, identificación, recolección, documentación e interpretación de datos de una computadora.

Para que me puede servir????
  • Saber quién es el intruso.
  • Qué fue lo que hizo (rastreo de las actividades del intruso).
  • Cómo lo hizo (metodología, vulnerabilidades,    herramientas empleadas, etc.)
  • Cuándo lo hizo.
  • Valoración de daños ocasionados por el intruso. Qué vio, modificó, copió, transfirió, instaló, eliminó, etc.
  • Identificar, recolectar y preservar evidencia en caso de un procedimiento legal.
  • Otros no relacionados, tal como: resolución de problemas, monitoreo, recuperación de datos, etc.

Por que requieren el computo forense???
  • Abuso interno de empleados de una organización.
  • Revelación no autorizada de información y datos corporativos ya sea de forma accidental o intencional
  • Robo de propiedad intelectual (patentes, base de datos de clientes, información financiera, etc.)
  • Espionaje industrial
  • Evaluación de daños relacionados con un incidente.
  • Fraude criminal
  • Etc...
Aspectos Legales
  • En el campo de las leyes, la evidencia lo es todo.
  • La evidencia es utilizada para establecer o descartar hechos; por ejemplo, si una persona en específico realizó un acto ilegal o no.
  • Los especialistas en cómputo forense no pueden ser subjetivos.
  • La evidencia recolectada debe ser precisa, confiable, inalterable y suficiente.

Fases del proceso de la investigación:

  • No existe un método único para llevar a cabo una investigación.La investigación digital se puede basar en el proceso de investigación física de la escena del crimen.
  • El proceso se divide en tres grandes fases: preservación del sistema, búsqueda de evidencia y reconstrucción de eventos.
  • Cabe señalar que las fases no necesariamente ocurren en secuencia.

Pasos a seguir en una investigación:

  • Preparación: herramientas, equipo de trabajo, datos del incidente. 
  • Aseguramiento de la escena: perímetro, control de acceso, cadena de custodia, etc. 
  • Entrevistas y reconocimiento: identificación de potenciales fuentes de evidencia por ejemplo tarjetas de memoria, cables de conexión a la computadora, accesorios, etc. 
  • Documentación de la escena: fotografías, bosquejos, diagramas, etc. de la escena.
  • Recolección de datos volátiles: Si el equipo no ha sido reiniciado podemos encontrar evidencia volátil valiosa.
  • Recolección de datos no volátiles: además de los discos duros, incluye la recolección de datos de tarjetas de memoria, tarjetas SIM (Subscriber Identity Module), etc.
  • Preservación: empacado, transportación y almacenamiento del dispositivo.
  • Preparación: antes de iniciar se debe respaldar la evidencia ya que la original pudiera perderse. Se emplean técnicas comunes como búsqueda de cadenas de texto, reducción de archivos a analizar, etc.
  • Análisis: se analiza la evidencia correlacionando datos, reconstruyendo eventos, obteniendo conclusiones, etc.
  • Presentación: se elabora el reporte y se presentan los hallazgos, conclusiones y opiniones de experto.
CONTINUARA...


Publicadas por a la/s 3 comentarios:
Suscribirse a: Comentarios (Atom)