Está en la página 1de 14

LECCIN 8 DIGITAL FORENSICS

LECCIN 8 $ DIGITAL FORENSICS

License for Use Information


The following lessons and workbooks are open and publicly available under the following terms and conditions of ISECOM: ll works in the !acker !ighschool pro"ect are provided for non#commercial use with elementary school students$ "unior high school students$ and high school students whether in a public institution$ private institution$ or a part of home#schooling% These materials may not be reproduced for sale in any form% The provision of any class$ course$ training$ or camp with these materials for which a fee is charged is e&pressly forbidden without a license including college classes$ university classes$ trade#school classes$ summer or computer camps$ and similar% To purchase a license$ visit the 'ICE(SE section of the !acker !ighschool web page at www%hackerhighschool%org)license% The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence of the instructor and not the tool% ISECOM cannot accept responsibility for how any information herein is applied or abused% The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask you support us through the purchase of a license$ a donation$ or sponsorship% ll works copyright ISECOM$ +,,-%

Informacin so re !a Licencia "e Uso


'as lecciones y cuadernos de traba"o siguientes son de acceso p.blico y est/n disponibles ba"o las siguientes condiciones de ISECOM: Todos los traba"os del proyecto 0!acker !ighschool1 son proporcionados para su uso no comercial con estudiantes de escuelas primarias$ secundarias$ bachilleratos y ciclos formativos dentro de las actividades acad2micas propias de la instituci3n% 4ichos materiales no pueden ser reproducidos con fines comerciales de ning.n tipo% 'a impartici3n con estos materiales de cual5uier clase$ curso o actividad de formaci3n para el 5ue sea necesario pagar un importe$ 5ueda totalmente prohibida sin la licencia correspondiente$ incluyendo cursos en escuelas y universidades$ cursos comerciales o cual5uier otro similar% *ara la compra de una licencia visite la secci3n 0'ICE(SE1 de la p/gina web del proyecto 0!acker !ighschool1 en www%hackerhighschool%org)license% El proyecto !!S es una herramienta de aprendi6a"e y$ como tal$ la formaci3n final debe proceder realmente de la influencia del instructor y no basarse .nicamente en el uso de la herramienta% ISECOM no puede aceptar ba"o ning.n concepto responsabilidad alguna sobre la forma de aplicar$ ni sus consecuencias$ de cual5uier informaci3n disponible dentro del proyecto% El proyecto !!S es un esfuer6o de una comunidad abierta$ por lo 5ue si encuentra .til este proyecto le invitamos a patrocinarlo a trav2s de de la compra de una licencia$ una donaci3n o un patrocinio% Todos los 4erechos 7eservados ISECOM$ +,,-%

LECCIN 8 $ DIGITAL FORENSICS

ndice
0'icense for 8se1 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% + Informaci3n sobre la 0'icencia de 8so1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% + Contribuciones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9%+% *rincipios del :orensics%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%; 9%+%<% Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%; 9%+%+% Evita la contaminaci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%; 9%+%=% ct.a met3dicamente%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%; 9%+%-% Cadena de Evidencias%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%; 9%+%>% Conclusiones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ; 9%=% n/lisis forense individuali6ado%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ? 9%=%<% Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%? 9%=%+% :undamentos sobre discos duros y medios de almacena"e%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ? 9%=%=% Encriptaci3n$ 4esencriptaci3n y :ormatos de :icheros%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% @ 9%=%- Auscando una agu"a en un pa"ar%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<< 9%=%-%< :ind%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<< 9%=%-%+ Brep%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<< 9%=%-%= Strings%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<+ 9%=%-%- wk%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<+ 9%=%-%> El pipe 0C1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<+ 9%=%> !aciendo uso de otras fuentes%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<= 9%- (etwork :orensics%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<= 9%-%, Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<= 9%-%< :irewall 'ogs%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<= 9%-%+ 'a cabecera de los mails%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <9%> 'ecturas de inter2s%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<-

LECCIN 8 $ DIGITAL FORENSICS

Contri &ciones
Simon Ailes D Computer Security Online 'td% *ete !er6og D ISECOM Chuck Truett$ ISECOM Marta Aarcel3$ ISECOM Eim Truett$ ISECOM Buiomar Corral # Enginyeria 'a Salle Faume bella # Enginyeria 'a Salle

'

LECCIN 8 $ DIGITAL FORENSICS

8.1. Introduccin
:orensics o el an/lisis forense est/ relacionado con la aplicaci3n de t2cnicas de investigaci3n met3dicas para poder reconstruir una secuencia de eventos% 'a mayorGa de personas conocen el concepto de an/lisis forense por la televisi3n y las pelGculas$ como por e"emplo la serie 0CSI H Crime Scene Investigation I1 5ue es una de las m/s conocidas% 'a ciencia del an/lisis forense ha estado durante mucho tiempo$ e incluso todavGa lo est/$ relacionada con la *atologGa :orense Haveriguar las causas de la muerte de personasI% 'a primera descripci3n detallada 5ue se ha encontrado del an/lisis forense es respecto a la *atologGa :orense y data del <+-9$ en un libro chino llamado !si 4uanJu Hthe Kashing way of KrongsI% Este libro describe como distinguir si alguien ha muerto ahogado o estrangulado%< 4igital forensics o el an/lisis forense digital es un poco menos confuso pero tambi2n es menos conocido% Es el arte de recrear 5u2 ha pasado en un dispositivo digital% l principio$ estaba restringido solo a los ordenadores$ pero ahora comprende cual5uier tipo de dispositivo digital como tel2fonos m3viles$ c/maras digitales e$ incluso$ dispositivos B*S+% Se ha utili6ado para capturar asesinos$ secuestradores$ infractores$ "efes de la Mafia y muchas otras clases de gente poco amistosa% En esta lecci3n$ cubriremos dos aspectos del an/lisis forense Hlo sentimos$ todos basados en ordenadores D no hay temas de m3viles a5uGI% <% sG pues$ veremos lo 5ue la gente puede llegar a tener en sus propios ordenadores% Esto cubre%%% L la recuperaci3n de ficheros borrados L decodificaci3n elemental L la b.s5ueda de cierto tipo de ficheros L la b.s5ueda de ciertas frases L la b.s5ueda en /reas interesantes del ordenador

+% Tambi2n veremos lo 5ue un usuario remoto ha estado haciendo en el ordenador de otra persona% Esto cubre%%% L la lectura de ficheros log L la reconstrucci3n de acciones L la b.s5ueda en /reas interesantes del ordenador L el rastreo de la fuente

1 Aparentemente est relacionado con las marcas dejadas alrededor de la garganta, y el nivel de penetracin del agua en los pulmones. 2 Global Positioning System Sistema ue puede comunicar tu posicin en cual uier parte del mundo utili!ando sat"lites orbitales.

LECCIN 8 $ DIGITAL FORENSICS

Esta lecci3n se centrar/ en las herramientas disponibles en 'inu&% E&isten tambi2n herramientas disponibles para Kindows asG como software y hardware dedicado para el an/lisis forense$ pero con la capacidad de 'inu& para montar y entender un gran n.mero de sistemas de ficheros y sistemas operativos%

8)#) *rinci+ios "e! Forensics


8)#),) Intro"&ccin
E&isten un gran n.mero de principios b/sicos 5ue son necesarios independientemente de si est/s e&aminando un ordenador o un cad/ver% Esta secci3n resume la mayorGa de estos principios%

8)#)#) E-ita !a contaminacin


En televisi3n salen los e&aminadores forenses ataviados con batas blancas y guantes$ cogiendo todas las pruebas con pin6as y poni2ndolas en bolsa de pl/stico selladas% Todo ello es para prevenir la 0contaminaci3n1% 5uG es donde las evidencias se pueden echar a perder$ por e"emplo$ si alguien coge un cuchillo y de"a sus huellas digitales en la ho"a del cuchillo HMte acuerdas de la pelGcula del :ugitivoNL *iensa en los problemas 5ue lleg3 a tenerOI%

8)#)%) Act.a met"icamente


En cual5uier cosa 5ue hagas$ si tuvieras 5ue ir a un "uicio$ necesitarGas "ustificar todas las acciones 5ue hayas tomado% Si act.as de una manera cientGfica y met3dica$ tomando cuidadosas notas de todo lo 5ue haces y c3mo lo haces$ esta "ustificaci3n es mucho m/s f/cil% Tambi2n permite a cual5uier otra persona poder seguir tus pasos y verificar 5ue t. no has cometido ning.n error 5ue pueda poner en duda el valor de tu evidencia%

8)#)') Ca"ena "e E-i"encias


Siempre debes mantener lo 5ue se denomina la 0Cadena de Evidencias1% Esto significa 5ue$ en cual5uier momento del tiempo$ desde la detecci3n de la evidencia hasta la presentaci3n final en el "uicio$ puedes "ustificar 5ui2n ha tenido acceso y d3nde ha sido% Esto elimina la posibilidad de 5ue alguien haya podido sabotearlo o falsificarlo de alguna manera%

8)#)() Conc!&siones
Ten siempre presentes estas cosas$ incluso si tu traba"o no se va a presentar a ning.n tribunal% sG podr/s ma&imi6ar tus habilidades como analista forense%

LECCIN 8 $ DIGITAL FORENSICS

8)%) An0!isis forense in"i-i"&a!i1a"o


8)%),) Intro"&ccin
Esta secci3n trata sobre el an/lisis forense en una sola m/5uina% *ara asignarle un nombre me"or$ lo llamaremos 0stand#alone forensics1 o an/lisis forense individuali6ado% *robablemente$ esta es la parte m/s com.n del an/lisis forense de ordenadores y su papel principal se basa en descubrir 5u2 se ha estado haciendo con un ordenador en particular% El analista forense podrGa estar buscando una evidencia de fraude$ como por e"emplo ho"as de balance financieras$ evidencia de comunicaci3n con alguien$ correos electr3nicos o una agenda de direcciones$ o evidencia de un tema particular$ como im/genes pornogr/ficas%

8)%)#) F&n"amentos so re "iscos "&ros 2 me"ios "e a!macena3e


'os elementos 5ue componen un ordenador com.n son$ entre otros: el procesador$ la memoria$ la tar"eta gr/fica$ la unidad de C4$ etc% 8no de los m/s importantes es el disco duro% 5uG es donde se guarda la mayor parte de la informaci3n 5ue el ordenador necesita% El sistema operativo HOSI como Kindows o 'inu& reside a5uG$ "unto con las aplicaciones de usuario como el procesador de te&to y los "uegos% 5uG tambi2n se guarda gran cantidad de informaci3n$ ya sea de forma deliberada al guardar un fichero$ o de forma incidental con del uso de ficheros temporales y cach2s% Esto es lo 5ue permite a un anali6ador forense reconstruir las acciones 5ue el usuario ha llevado a cabo con el ordenador$ los ficheros a los 5ue ha accedido y mucho$ mucho m/s% El disco duro puede ser e&aminado a varios niveles$ pero para el prop3sito de esta lecci3n nos centraremos .nicamente en el nivel del sistema de ficheros Hfile systemI% Sin embargo$ debemos tener en cuenta 5ue los profesionales son capaces de anali6ar el disco a un gran nivel de detalle para determinar lo 5ue contenGaP incluso si ha sido sobrescrito varias veces% El sistema de ficheros Hfile systemI es la implementaci3n en un ordenador de un gabinete de ficheros% Este contiene ca"ones Hlas particionesI$ carpetas Hlos directoriosI y papeles Hlos ficherosI% 'os ficheros y los directorios pueden estar ocultos$ aun5ue s3lo es una caracterGstica superficial 5ue puede ser f/cilmente desactivada% 'os siguientes e"ercicios nos permitir/n tener un me"or conocimiento de las bases del almacena"e de informaci3n en los discos% Ejercicios *ara cada uno de los t2rminos siguientes relacionados con los medios de almacena"e$ busca informaci3n y aprende c3mo funcionan% Tu primer paso en el an/lisis forense consiste en conocer c3mo funciona un e5uipo de manera normal%

LECCIN 8 $ DIGITAL FORENSICS

<% 4isco fGsico)duro)magn2tico: 5uG es donde b/sicamente tu ordenador almacena los ficheros para 5ue permane6can allG cuando se apaga el ordenador% E&plica c3mo se utili6a el magnetismo en un disco duro% +% *istas: MQu2 son las RpistasS de un disco duroN =% Sectores: Esto es un espacio fi"o donde se almacenan los datos% E&plica c3mo% -% Cluster)8nidad de asignaci3n: E&plica por5u2$ cuando se escribe un fichero en el disco duro$ puede ser 5ue ocupe m/s espacio del 5ue necesita% MQu2 pasa con el espacio vacGoN Si buscas el t2rmino 0file slack1 te ayudar/ a entender el concepto% >% Espacio libre)sin asignar: Esto es lo 5ue 5ueda una ve6 5ue has suprimido archivos% M*ero esos ficheros realmente han desaparecidoN E&plica c3mo se borra un fichero del ordenador% Si buscas las herramientas relacionadas con el borrado o eliminaci3n segura Hsecure deleteI$ 2stas te pueden ayudar% ;% !ash$ tambi2n conocido como M4> hash: E&plica 5u2 es hash y para 5u2 se utili6a% ?% AIOS: Son las siglas de TAasic Input)Output SystemT% MQu2 es y donde est/ en el *CN 9% Sector de arran5ue: Uste traba"a con las tablas de partici3n para ayudar a 5ue tu *C encuentre el sistema operativo 5ue debe e"ecutar% !ay muchas herramientas para traba"ar con las particiones$ siendo la est/ndar la herramienta llamada fdisk% Conocer c3mo funcionan estas herramientas es tu primer indicio para entender c3mo funcionan las particiones y el sector de arran5ue% @% Cyclical 7edundancy Check HC7CI: Tambi2n se le conoce como C3digo de 7edundancia CGclica% Cuando el disco duro te informa de un mensa"e de error de lectura o Tread errorT$ esto significa 5ue los datos fallaron en el che5ueo de C7C% verigua 5u2 es el che5ueo de C7C y 5u2 hace% <,% :irma de fichero: veces un fichero tiene una firma pe5ueVa de ; bytes al inicio del fichero 5ue identifica el tipo de fichero% 'a forma m/s f/cil para verla es abrir el fichero con un editor de te&to% bre = ficheros de cada una de las siguientes e&tensiones con un editor de te&to: %"pg$ %gif$ %e&e$ %mp=% MCu/l es la primera palabra al inicio de cada uno de los ficherosN <<% 7 M H7andom# ccess MemoryI: Tambi2n se conoce como simplemente 0memoria1 y es el empla6amiento temporal para leer y escribir informaci3n$ ya 5ue es mucho m/s r/pido 5ue escribir en el disco duro% El problema es 5ue se pierde toda la informaci3n cuando se apaga el ordenador% E&plica c3mo traba"a la 7 M% Sabiendo 5ue tu ordenador debe de tener entre ;- y ><+ Mb de 7 M$ busca informaci3n sobre alg.n ordenador 5ue tenga m/s 7 M 5ue esa% ctualmente$ el disco 7 M mayor Hun disco duro superr/pido emulado en 7 MI es de +%> Tb HTerabyteI% MCu/ntas veces es mayor 5ue tu *CN

LECCIN 8 $ DIGITAL FORENSICS

8)%)%) Encri+tacin5 Desencri+tacin 2 Formatos "e Fic6eros


Muchos de los ficheros 5ue te encontrar/s no son descifrables de manera inmediata% Muchos programas tienen sus propios formatos de fichero$ mientras 5ue hay otros 5ue utili6an formatos est/ndar D por e"emplo$ los formatos de fotografGas est/ndar # gif$ "peg$ etc% 'inu& proporciona una utilidad e&celente para ayudarte a empe6ar a determinar el tipo de cada fichero% Es lo 5ue se denomina fi!e% Command Line Switch -k -L -z Efecto No para a la primera coincidencia, contina Sigue links simblicos ntenta mirar en el interior de archi!os comprimidos"

8n e"emplo de la utili6aci3n del comando file se muestra a continuaci3n: [simon@frodo file_example]$ ls arp.c isestorm_DivX.avi krb5-1.3.3 krb5-1.3.3.tar krb5-1.3.3.tar.#$.asc [simon@frodo file_example]$ file * arp.c% isestorm_DivX.avi% krb5-1.3.3% krb5-1.3.3.tar% krb5-1.3.3.tar.#$.asc% nwrap.pl% exec3table &'()) ( pro#ram text *)++ ,little-en"ian- "ata. &V) "irectory /0')X tar arc1ive /2/ armore" "ata /a3l +alsta"4s $s1 script text n#lis1 text. wit1 very nwrap.pl oprp_may11_2004.txt Visio val.exe !in"ows2003.vmx

oprp_may11_2004.txt% &'()) lon# lines. wit1 (*5+ line terminators Visio val.exe% 6' !in"ows !in"ows2003.vmx% exec3table 8simon9:ro"o :ile_example;<

6'-D0' exec3table , X -. 0'72 or a 73sr7bin7vmware script text

partir de a5uG$ puedes intentar leer cierto tipo de ficheros% !ay ciertas utilidades de conversi3n de ficheros disponibles para 'inu& e$ incluso$ hay m/s disponibles en Internet$ asG como tambi2n visuali6adores de ficheros para varios formatos% veces se puede re5uerir m/s de un paso para llegar hasta donde realmente se puede traba"ar con la informaci3n WIntenta pensar de forma lateralO

LECCIN 8 $ DIGITAL FORENSICS

4e manera ocasional$ te podr/s encontrar ficheros 5ue han sido encriptados o protegidos con alguna contraseVa% 'a complicaci3n 5ue esto presenta varGa seg.n la encriptaci3n proporcionada por ciertas aplicaciones$ pero puede dar grandes 5uebraderos de cabe6a incluso a entidades como la (S Ho BC!Q o cual5uier agencia estatal o localI% Tambi2n e&iste un gran n.mero de herramientas disponibles en Internet$ 5ue puedes utili6ar para romper la encriptaci3n de un fichero% Solo hace falta 5ue mires alrededor del ordenador con el 5ue est/s traba"ando$ para ver 5ue las personas no son muy buenas recordando contraseVas y seguramente habr/n de"ado escrito en alg.n papel su contraseVa% dem/s$ es muy com.n 5ue las contraseVas est2n relacionadas con sus mascotas$ familiares$ fechas Haniversarios$ nacimientosLI$ n.meros de tel2fono$ matrGculas y otras combinaciones sencillas H<+=->;$ abcdef$ 5werty%%%I% dem/s$ las personas son reticentes a utili6ar m/s de una o dos contraseVas para todo$ por lo 5ue si consigues una contraseVa de alg.n fichero o aplicaci3n$ prueba la misma con otros ficheros por5ue seguramente ser/ la misma%

Ejercicios un5ue es legal crackear tus propias contraseVas si las has olvidado$ en algunos paGses no es legal intentar resolver c3mo se han encriptado los ficheros para protegerlos de ser crackeados% 'as pelGculas 4X4 tambi2n est/n encriptadas para prevenir 5ue se puedan e&traer del 4X4 y se vendan% un5ue es una manera e&celente de encriptaci3n$ no es legal buscar m2todos para averiguar c3mo se ha utili6ado la encriptaci3n% Esto lleva a tu primer e"ercicio: <% MQu2 es T4eCSST y 5u2 relaci3n tiene con la encriptaci3n de 4X4sN Ausca informaci3n sobre TdecssT para aprender m/s% +% Saber 5ue algo est/ protegido mediante contraseVas significa aprender c3mo abrir ese fichero% Esto es lo 5ue se conoce como 0crackear1 la contraseVa% Ausca informaci3n sobre cracker distintos tipos de contraseVas% *ara hacerlo busca Tcracking YJZ passwordsT donde YJZ es el tipo de contraseVa 5ue est/s buscando% !a6lo para el siguiente tipo de contraseVas: a% M4> b% Kindows d% E&cel =% Si el m2todo de encriptaci3n es demasiado fuerte para romperlo$ seguramente ser/ necesario reali6ar un 0ata5ue de diccionario1 o 0dictionary attack1 Htambi2n llamado de 0fuer6a bruta1 o 0brute force1I% Encuentra 5u2 es un ata5ue de diccionario y mira si puedes encontrar una herramienta 5ue realice un 0ata5ue de diccionario1 contra el fichero de password de 8(IY: el 0)etc)passwd1% dministrator c% dobe *4:

,8

LECCIN 8 $ DIGITAL FORENSICS

8)%)' 9&scan"o &na a:&3a en &n +a3ar


'os programas comerciales e&istentes sobre an/lisis forenses incluyen herramientas de b.s5ueda de grandes prestaciones$ permiti2ndole buscar seg.n diferentes combinaciones y permutaciones de factores% *ero para no depender de estas herramientas$ en su mayorGa de gran coste$ haremos uso de nuestro ingenio para reali6ar ese an/lisis% (os ayudaremos de las herramientas b/sicas 5ue nos proporciona 'inu&% 'as siguientes tablas detallan el uso de los comandos fin"$ :re+ y strin:s$ y e&plica como utili6arlas en combinaci3n$ una con otra%

8)%)'), Fin"
:in" 8pat1...;8expression; fin" se usa para encontrar archivos 5ue re.nen ciertos criterios dentro del sistema operativo$ no est/ diseVado para mirar dentro de cada archivo% 4ebe haber un mill3n de permutaciones de e&presiones 5ue se pueden combinar para buscar un archivo% E"ercicio: <% 'ee la p/gina del manual del comando find% En la siguiente tabla completa el 0Efecto1 para cada una de las 0E&presiones1% HIndicaci3n: Cuando se pasa un n.mero como argumento se puede especificar de las siguientes formas: ;n para indicar ma2or 5ue nP <n para indicar menor 5ue nP n para indicar i:&a! 5ue nI% E#presin -amin n -anewer -atime -cnewer -iname -inum -name -rege# -size -t%pe -user Efecto $rchi!os accedidos hace menos de n minutos

8)%)')# Gre+
:re+ es una herramienta inmensamente potente% Se utili6a para encontrar ciertas lGneas dentro de un archivo% Esto te permite encontrar r/pidamente ficheros 5ue contienen cierta informaci3n dentro de un directorio o de un sistema de ficheros% Tambi2n permite buscar ciertas e&presiones comunes% E&isten algunos patrones de b.s5ueda 5ue permiten especificar ciertos criterios 5ue la b.s5ueda debe encontrar% *or e"emplo: encontrar todas las palabras de un diccionario 5ue empie6an por 0s1 y terminan por 0t1 para ayudarte a resolver un crucigrama% #rep =s.>t< 73sr7s1are7"ict7wor"s E"ercicios:

,,

LECCIN 8 $ DIGITAL FORENSICS

<% 'ee la p/gina del manual del comando :re+% +% Ausca por Internet e&presiones comunes para el comando :re+% Intenta construir una e&presi3n regular 5ue permita encontrar todas las palabras 5ue tengan cuatro letras y contengan una 0a1%

8)%)')% Strin:s
strin:s es otra utilidad muy .til% Esta herramienta busca dentro de un fichero cual5uier tipo de e&presiones o frases 5ue puedan ser leGdas H0human readable strings1I% Esto nos puede dar gran cantidad de informaci3n sobre un fichero especGfico$ y proveer informaci3n sobre la aplicaci3n 5ue lo cre3$ autores$ fecha de creaci3n$ etc% E"ercicio: <% 'ee la p/gina del manual del comando strin:s%

8)%)')' A=>
a=> es un lengua"e de programaci3n diseVado para traba"ar con frases% Se utili6a para e&traer informaci3n de un comando y usarla como par/metros de otro% *or e"emplo$ para e&traer del comando +s .nicamente el nombre de los programas 5ue se est/n e"ecutando$ deberGamos usar: ps ? awk 4@print <4A4 E"ercicio: <% 'ee la p/gina del manual del comando a=>%

8)%)')( E! +i+e ?
Todos los comandos anteriores pueden combinarse usando el comando 0pipe1 HenlaceI de 8(IY$ el cual se representa con el sGmbolo 0C1% Esto nos permite coger el resultado de un comando para proveer de par/metros a otro% *or e"emplo$ para encontrar en el directorio actual todos los ficheros mpg$ utili6aremos: ls ? #rep mp# E"ercicios: <% 8sando el comando !s$ el comando :re+ y el comando +i+e$ encuentra en el directorio actual todos los ficheros 5ue fueron creados este mes% +% 8sando el comando +s y el comando a=>$ muestra el nombre de todos los programas 5ue se est/n e"ecutando%

,#

LECCIN 8 $ DIGITAL FORENSICS

8)%)( @acien"o &so "e otras f&entes


E&isten muchas m/s vGas para e&aminar la manera en 5ue se ha utili6ado un ordenador% Casi todas las aplicaciones 5ue se e"ecutan en un ordenador registran datos adicionales m/s all/ de los 5ue se necesitan para correr la aplicaci3n% Se pueden incluir los archivos temporales 5ue utili6a$ los archivos temporales de Internet$ etc% E3erciciosA <% Qu2 es el 0browser cache1N Encuentra el lugar donde el e&plorador 5ue utili6as guarda su cache% +% Qu2 son los 0browser cookies1N Encuentra el lugar donde el e&plorador 5ue utili6as guarda sus 0cookies1% =% Ausca informaci3n acerca de las 0cookies1 del e&plorador% MQu2 tipo de 0cookies1 son y 5u2 tipo de informaci3n hay en ellas guardasN -% Tu ordenador usa directorios temporales donde guardar archivos por defecto para el usuario% Se conocen como 04atos de aplicaci3n1 H pplication 4ataI% Ausca los directorios temporales 5ue tienes disponibles en tu ordenador% menudo se suelen llamar como 0tmp1 o 0temp1$ pero hay muchos m/s 5ue desconoces$ 5ue tambi2n son temporales% 8na buena manera de encontrarlos es haciendo un FIND de los archivos 5ue contengan la fecha de hoy% 4esaparecen estos archivos al reiniciar el ordenadorN

8)' Net=or> Forensics


8)')8 Intro"&ccin
(etwork forensics Hforensics de redI se usa par buscar donde se encuentra un ordenador y para saber si un archivo en particular se ha enviado desde un ordenador en concreto% El network forensics es bastante complicado$ pero se van a tratar los temas b/sicos 5ue se puedan aplicar al dGa a dGa%

8)'), Fire=a!! Lo:s


MQui2n se conecta a mi ordenadorN El firewall es una utilidad 5ue hace 5ue se blo5ueen las cone&iones entre dos puntos de la red% E&isten diferentes tipos de firewalls% Sin tener en cuenta el tipo ni la tarea del firewall$ descubriremos 5ue los archivos 0logs1 ser/n los 5ue nos ayuden m/s% Solamente utili6ando los logs$ podremos encontrar la manera o conducta con la 5ue nos atacan nuestro firewall$ para asG combatirles% Ejercicios: <% Xisita la web http:))www%dshield%org% Esta web contiene los archivos logs de multitud de firewalls de todo el mundo$ con los 5ue se puede contrastar los diferentes ata5ues 5ue sufren y los patrones 5ue siguen dichos ata5ues% Esto

,%

LECCIN 8 $ DIGITAL FORENSICS

ayuda a los profesionales a verificar si su red estar/ bien protegida si sufre alg.n tipo de ata5ue como el 5ue ya se ha reali6ado en otro lugar% !a6 una leida por la web y e&plica c3mo se ha reali6ado este gr[fico de proporciones y su significado% +% En la misma web$ lee el apartado 0:ight back1 y las respuestas de los emails recibidos% Intenta e&plicar su prop3sito%

8)')# La ca ecera "e !os mai!s


'os e#mails contienen adem/s de la informaci3n propia$ una informaci3n acerca de cada ordenador por el 5ue ha ido pasando hasta llegar al ordenador tuyo% Esta informaci3n se encuentra en la cabecera% veces$ hay m/s informaci3n en las cabeceras$ pero no es tarea f/cil ver esta informaci3n% 'os clientes de correo tienen diferentes maneras de ver dicha informaci3n% 'o realmente interesante es saber como ha sido escrita esta informaci3n para atr/s% En lo m/s alto de la lista esta tu ordenador$ y seg.n van avan6ando las lGneas$ te vas ale"ando de tu ordenador hasta llegar finalmente al ordenador 5ue te ha enviado el correo. Ejercicios <% Xisita la web http:))www%samspade%org y ves a la secci3n 0The 'ibrary1% 4espu2s de leer esta secci3n deberGas ser capa6 de saber leer las cabeceras de los e#mails% Uchale un vista6o tambi2n a los e#mails falsificados y al abuso de e# mails% E&plica los diferentes m2todos para poder hacer daVo mediante el uso del correo electr3nico% +% 4etermina como averiguar las cabeceras de los e#mails 5ue recibes propios% MTienen alg.n campo en particular 5ue no te pertene6caN nalG6ala e intenta e&plicar cada uno de los campos 5ue hay en ella%

8)( Lect&ras "e interBs


'os siguientes links est/n en ingl2s: http:))www%honeynet%org)papers)forensics) http:))www%honeynet%org)misc)chall%html # Some forensic e&ercises% http:))www%porcupine%org)forensics) # The classics http:))www%computerforensics%net) http:))www%guidancesoftware%com)corporate)whitepapers)inde&%shtm\E:E http:))www%forensicfocus%com) http:))www%securityfocus%com)infocus)<;?@ http:))www%linu&security%com)feature]stories)feature]story#<=@%html http:))www%linu&security%com)feature]stories)feature]story#<-,%html http:))www%securityfocus%com)incidents http:))staff%washington%edu)dittrich)talks)blackhat)blackhat)forensics%html http:))www%openforensics%org) http:))fire%dm6s%com) http:))www%sleuthkit%org) http:))www%fbi%gov)h5)lab)fsc)backissu)oct+,,,)computer%htm

,'