Informe Pericial informático

Ecuador, 30 de Noviembre del 2011

1. ANTECEDENTES.

En nuestra calidad de peritos informáticos nosotros Ing. Rosa María Días

Brito y Diego Izquierdo de la corte penal del Ecuador y a petición del
Ingeniero Catedrático Roberto Martínez de la materia de Computación
forense dictada en le Escuela Superior Politécnica del Litoral (ESPOL),
venimos a efectuar un Informe Técnico Forense de un ROUTER
BX08546PB3000ESL79L con el fin de determinar posibles accesos de intrusos
y personas no autorizadas a la configuración del ROUTER.

2. INTRODUCCIÓN:
El presente informe peritaje tiene como objetivos:
a) Determinar el o los posibles usuarios del ROUTER.
b) Determinar los antecedentes de utilización.
c) Determinar los diferentes comandos generados asta la fecha en la
configuración del ROUTER.
d) Emitir un reporte de todos los accesos contenidos asta la fecha por
parte de los programadores del ROUTER.
e) Emitir un reporte de imágenes que comprometan al ROUTER que ha
sido vulnerado.

Para cumplir con dichos objetivos se realizó el análisis pertinente con las
herramientas especializadas en CAINE al ROUTER Vyatta S00JJ20X980958. El
hash del ROUTER analizados es 85D2057CBAD32BC78FADA275C1AB0D4.
3. DESCRIPCIÓN DEL OBJETO DE ANÁLISIS:
3.1.1 El ROUTER Vyatta Core 6.1 de las siguientes características:
 Layer 2 Bridging / Cloud Bridging
 Stateful Firewall/NAT Failover
 LLDP – Link Layer Discovery Protocol
 QoS Input Interfaces
 Port Mirroring and Redirection
 BGP Hop Count Security
 DHCPv6
 IPv6 BGP
 IPv6 SNMP
 GTSM BGP
 More Than 120 Bug Fixes
Vyatta Subscription Edition
 IPv6 Ready Logo Phase 2 Certification
 Configuration Replication
 Remote Access API Enhancements
 TACACS+ Enhancements

4. ACTIVIDADES REALIZADAS Y SUS RESULTADOS.

Tras el minucioso estudio de la información almacenada en el ROUTER,
teniendo un especial cuidado con la información volátil se ha
intervenido para la adquisición de pruebas, en donde se ha analizado
los resultados obtenidos con el fin de extraer las conclusiones finales
de la investigación.
Con el fin de obtener acceso al ROUTER se procedió a pedir permiso
para visualizar cual es la dirección IP. Para ello se utilizo el comando
Show interface. Obteniendo los siguientes datos:
Ethernet IP: 192.168.67.142
Luego se procedió a utilizar la herramienta de LINUX CAINE 2.5. Desde
donde se tuvo ingreso al ROUTER utilizando una conexión remota. Al
tener ingreso al ROUTER se procedió a utilizar solo instrucciones que
no contaminen la evidencia del Equipo. Teniendo los siguientes
resultados:

Al utilizar algunos comandos de consulta se puede observar.

vyatta@vyatta:~$ show history

33 2011-11-28T02:03:41+0000 set service https
34 2011-11-28T02:03:46+0000 commit
35 2011-11-28T02:03:55+0000 save
36 2011-11-28T02:04:00+0000 exit
37 2011-11-28T02:04:00+0000 exit
38 2011-11-28T02:04:13+0000 show interface
39 2011-11-28T02:04:36+0000 show interfaces
40 2011-11-28T02:07:43+0000 logout
41 2011-11-28T02:14:59+0000 configure
42 2011-11-28T02:15:55+0000 set system login user john full-
name "John Smith"
43 2011-11-28T02:18:54+0000 commit
44 2011-11-28T02:19:16+0000 show system login
45 2011-11-28T02:22:17+0000 logout
46 2011-11-28T02:22:25+0000 john
47 2011-11-28T02:22:54+0000 exit
48 2011-11-28T02:22:54+0000 exit

vyatta@vyatta:~$ show arp

Address HWtype HWaddress Flags Mask Iface
192.168.67.143 ether 00:0c:29:16:ef:3c C eth0
192.168.67.141 ether 00:0c:29:16:ef:3c C eth0
192.168.67.2 ether 00:50:56:e5:e7:ec C eth0
192.168.67.254 ether 00:50:56:e7:77:b8 C eth0

vyatta@vyatta:~$ show configuration

interfaces {
 ethernet eth0 {
address dhcp
hw-id 00:0c:29:23:09:24
}
loopback lo {
}
}
service {
https {
}
ssh {
}
}
system {
config-management {
commit-revisions 20
}
console {
device ttyS0 {
speed 9600
}
}
login {
user john {
authentication {
encrypted-password ****************
plaintext-password ****************
}
full-name "John Smith"
}
user vyatta {
authentication {
encrypted-password ****************
}
level admin
}
}
ntp {
 server 0.vyatta.pool.ntp.org {
}
server 1.vyatta.pool.ntp.org {
}
server 2.vyatta.pool.ntp.org {
}
}
package {
repository community {
components main
distribution stable
url http://packages.vyatta.com/vyatta
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
}
5. Conclusiones
Al acceder al ROUTER a través herramientas de tecnología forense
informática, podemos observar a todos los usuarios registrados y
permitidos, con una excepción del usuario John Smith quien no
tiene registro de trabajar en la compañía. Este usuario con
conocimientos avanzados, ingreso en el ROOUTER realizando las
siguientes configuraciones y cambios desde una máquina externa.
Con la dirección IP. 192.168.67.2. Luego de ello se observa que para
intentar cubrir sus delitos encripto la clave de acceso de usuario.
Por lo tanto, con las pruebas pertinentes se demuestra que fue
vulnerado la seguridad del ROUTER
85D2057CBAD32BC78FADA275C1AB0D4.
Es todo cuanto este departamento de Forense Informática puede
manifestar en honor a la verdad.

Ing. Rosita Días Palacios

DIRECTORA DEL DEPARTAMENTO DE FORENSE INFORMÁTICO

Ing. Diego Izquierdo Coronel

FORENSE INFORMÁTICO