Está en la página 1de 26

AnlisisForensedeunamemoriaUSB

AlonsoEduardoCaballeroQuezada ConsultordeiDevConsultoresenT.I.S.A.C. ConsultordeNPROSS.A.C. BrainbenchComputerForensics(U.S.) GIACSSPCNSA

Pginaweb:http://www.ReYDeS.com Correoelectrnico:ReYDeS@gmail.com Trujillo,Per22deMayodel2010

iDevConsultoresenT.I.S.A.C./www.idev.pe

Temario
*ComputerForensics? *ElementosdeunbuenprocesoForense *ProcesoForense *Todoes0y1 *USB *MemoriaUSB *CasoRealBTR *Preguntas,comentarios,sugerencias?

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

ComputerForensics?
Esunaramadelacienciaforensequecompetealaevidencialegalencontradaen computadorasymediosdealmacenamientodigitales.ElcmputoForensetambinse conocecomoForenseDigital. ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.El trminoartefactodigitalpuedeincluirunsistemadecmputo,unmediode almacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensaje decorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoen unareddecomputadoras.Laexplicacinpuedesertansimplecomoresponderala pregunta;Quinformacinhayaqu?yquesedetallarespondiendoalapregunta; Cualeslasecuenciadeeventosresponsablesdelasituacinactual? Algunasrazonesparaaplicartcnicasdecmputoforensepuedenser;encasos legalesutilizadoparaanalizarcomputadorasquepertenecenalosacusados(casos penal)olitigantes(casoscivil),recuperardatos,paradeterminarcomounaatacante obtuvoacceso,obtenerevidenciacontraunempleado,etc. Fuente:Wikipedia.
AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

ElementosdeunbuenprocesoForense
*Validacincruzadadeloshallazgos *Manejoadecuadodelaevidencia *Completarlainvestigacin *Administracindearchivos(Backups,Originales) *Competenciatcnica *Justificacinydefinicinexplcitadelproceso *Cumplimientolegal *Flexibilidad

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

ProcesoForense
BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciade DescubrimientoElectrnico.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

Todoes0y1
Lascapasdeunacomputadora Aplicacin SistemaOperativo BIOS(BasicInputOuputSystem) Hardware

TiposdeMediosdealmacenamiento DiscoDuro(HardDisk) UnidadesFlashUSB DVD CDROM DiscoFlexible(FloppyDisk)

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

USB
USB(UniversalSerialBus)BusUniversalSerie,esunpuertoque seutilizaparaconectarperifricosaunacomputadora.Fuecreado en1996porsieteempresas. EldiseodelUSBtenacomopropsitoeliminarlanecesidadde adquirirtarjetasseparadasparaqueseancolocadasenlospuertos busISAyPCI,ademsdemejorarlascapacidadesPlugAndPlay,permitiendoaestos dispositivosserconectadosodesconectadosdelsistemasinlanecesidaddereiniciar. Sinembargoenaplicacionesdondesenecesitaunanchodebandaparagrandes transferenciasdedatosounalatenciabaja,losbusestradicionalessalenganando. ElUSBpuedeconectarperifricoscomo;ratones,teclados,escners, cmarasdigitales,telfonosmviles,reproductoresmultimedia, impresoras,discosdurosexternos,tarjetasdesonido,sistemasde adquisicindedatosycomponentesdered.
Fuente:Wikipedia.
AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

MemoriaUSB
UnamemoriaUSB,pendrive,USBFlashDrive,esundispositivo dealmacenamientoqueutilizamemoriaflashparaguardar Informacin. LamemoriaflashesunamemoriatipoEEPROMquepermiterealizaroperacionesde escriturayborradodevariasposicionesdememoriaalavez,medianteimpulsos elctricos.Porellopuedenfuncionaravelocidadsuperiorescuandolossistemas empleanlecturayescrituraendiferentespuntosdelamemoriaalmismotiempo. EEPROMsiglastraducidasalespaoldeROMprogramableyborrable electrnicamente.EsuntipodememoriaROMquepuedeserprogramado,borradoy reprogramadoelectrnicamente. Aunquepuedeserledaunnmeroilimitadode veces,solopuedeserreprogramadaentre 100mily1millndeveces.
Fuente:Wikipedia.
AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Acontinuacinseprocedearealizarunbreveanlisisdeestecaso.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Cronologa: 8enero2009.GiselleGiannottiesdeteniday,entreotrascosas,leincautandosUSB. 12enero2009.Giannottiautorizaalapolicayelfiscalrevisarsusarchivos electrnicos,incluidoslosUSB,de1GBy2GB. 13febrero2009.JuezaMaraMartnezpidealfiscalentregartodoslosarchivos electrnicosdeBTR,incluidoslosdeGiannotti. 3deabril2009.JuezatrasladasudespachoalcuartopisodePalaciodeJusticia. 28abril2009.FiscalsolicitaporterceravezalajuezapriorizarrevisindeUSBsde Giannotti,perolajuezadiceno. 5marzo2010.SeiniciavisualizacindeUSBsdeGiannotti.SedetectaquelosUSBs hansidomanipulados. 17y22marzo2010.PeritosyveedoresconfirmanquelosUSBsdeGiannotti tuvieronunltimoaccesoymodificacinel4demayodel2009.Enesafechase borraronarchivos.
Fuente:http://www.larepublica.pe/archive/all/larepublica/20100326/1/pagina/01
AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
PersonalPresente: MayorPNP(PersonalTcnicoPNP),ComandantePNP(DirandroPNP),Representante delMinisterioPblico,FiscalAdjuntaProvincialdela3eraFiscaliacontraLa CriminalidadOrganizada,elabogado,ladetenida.etc.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
TableauT8ForensicUSBBridge Esunbloqueadordeescriturabasadoen hardwareparadispositivosdealmacenamiento usbanivelmundial.SoportaUSB2.0,USB1.1 FuncionaconunidadesUSB,discosexternos, iPOPsconinterfazUSB,cmarasUSB. SoportaconexionesUSB2.0yFirewire400aunacomputadora,permitiendo operacionesdeunampliorangodehostsforensesyherramientasdesoftware. AtravsdelLCDelusuariopuedeverelfabricante,modelo,capacidad,nmerode serie,yotrosdetallestcnicosdelaunidadUSBconectada.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
WesternDigitalModeloWD2500250GB TableauT35eseSATAForensicBridge Ofreceopcionesdeconexinmsnativasentre computadorasydispositivosquecualquierotro bloqueadordeescrituraenlaactualidad.Contienecuatro diferentesinterfacesdeconexin(eSATA,FireWire800, FireWire400yUSB)ademsdedosconexiones(SATAeIDE). LocualpermiteadquirirunidadesIDEySATAmsrpidoque FireWire800.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Formatear?=/Sanitizar,Limpiar Antesdeutilizarunmedioparaguardarevidencia;copiasespejoocopiasbitabit;se debedeprocederaesterilizarWIPEelmedio.Esteprocedimientoconsisteenutilizar algnestndarparasobrescribirdemuchasmanerasyvariasveceslaunidad,para quenoquedehuelladealgndatoexistente.Ejemplo: USDepartmentofDefenseDoD5220.22M(3pasadas) DoD5220.22MEsunalgoritmodelimpiezadesobrescrituradetrespasadas:1era pasadaconceros,2dapasadaconunosylaltimapasadaconbytesaleatorios.Con verificacindetodaslaspasadas. PeterGutmann(35pasadas)

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
EnCASEForensics,eslaaplicacinforenseprincipalexistenteenelmercado.Permite alinvestigadorlahabilidaddehacerunarplicaoimagendeunaunidadypreservarla demaneraforense,utilizandoelformatodearchivoparaEnCASE(LEF,E01),un contenedordeevidenciadigitalvalidadayaprobadaporcortesanivelmundial. EnCASEForensicstambincontieneunacompletasuitedeanlisis,con interesantescaractersticasdereporte.GuidanceSoftwareyotros proveedoresproporcionansoporteconcapacidadesextendidaspara asegurarquelosinvestigadoresforensestengaunconjuntotildeherramientas. Nota:DeberadecirUltraBlock,NOUltrablocks.?

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
QuesunHASH? Unhashesunafuncinomtodoparagenerarclaveso llavesquerepresentendemaneraunvocaundocumento, registro,archivo,etc,resumiroidentificarundato mediantelaprobabilidad.Unhasheselresultadode dichafuncinoalgoritmo.Existendiferentesalgoritmos, MD5,SHA,suprincipaldiferenciaentreellosessufortaleza.Ejemplo:Quedos objetosnotenganelmismocdigohash. EnestecasoelhashSHA1obtenidofue:106F2277BC32371C269986E3BF771FBD

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
ComoyasehamencionadoelMD5oSHAsonalgoritmosparageneraruncdigoo valorhashdeunobjeto.

EnestecasosehaindicadoaEnCASEquedividalaimagende1Gbenpartesde650 Megabytes;esdecireltamaopromediodeunCDROM;deestamaneralaevidencia degrantamaopuedeserquemadaenCDsoDVDsdesernecesario.Enestecaso dosarchivos:GiselleGiannotiUSB2GB12ENE2009.E01yGiselleGiannoti USB2GB12ENE2009.E02

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
PrimerolacapacidaddelamemoriaUSBerade2GBahoraesde1GB?

ElCmputoForenseSIEMPREsetrabajaconlascopiasbitabit,NUNCAconel originalyporLEYsiempreserealizancomomnimo2(DOS)copiasdelaevidencia. Enestecasoseprocedeconunametodologaadecuadaparalavisualizaciny escuchadeaudios,aunquenoseespecificasiseprocediarealizarlasdoscopias.

Seprocedealistaryvisualizarlascopiasbitabitdelaevidencia

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Antesderealizarlavisualizacinyaudicindelaevidencia,seprocedeaverificarlos cdigoshash.Elprocedimientoeselsiguiente: 1.Seobtieneuncdigoovalorhashdelaevidenciaoriginal. 2.Seprocedearealizarlarplicaocopiabitabitdelaevidencia. 3.Seobtieneuncdigoovalorhashdelarplicaoimagenbitabitdelaevidencia. Estosdoscdigoshashdebenseriguales,encasonoseaas,debeprocedersea realizarlacopiadelaevidencianuevamente,dadoqueNOpuedecontinuarseconla fasedeanlisishastaquelacopiabitabitseaunreflejoexactodelaevidencia original.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Sistemadearchivos Estructuranlainformacinguardadaenunaunidaddealmacenamiento(undiscoduro, unamemoriaUSB,etc.)queluegoserrepresentadadeformatextualogrfica utilizandoungestordearchivos.LamayoradeSistemasOperativosmanejansu propioSistemadeArchivos.SepuedepensarenunSistemadeArchivoscomoenuna Biblioteca. ElSistemadeArchivostienemarcasdetiempo;estatriadaseconocecomoMACpor sussiglaseningls.Lascualesson: 1.TiempodeCreacin 2.TiempodeModificacin 3.TiempodeAcceso.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Detalledelaestructuradeobjetos(Carpetas)delamemoriaUSB.Sedebeanotarque lasherramientasforenses,permitenobtenerdetalledearchivosocarpetaseliminadas oborradas,previsualizardearchivos,verificardeextensionesymuchosotros procesosytareasvitalesenunanlisisforense.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Sedebeanotartambinqueestaesunainvestigacinpreliminar.Puessepueden utilizarotrastcnicasoprocedimientosparatratardeubicarporejemplo,fragmentos dearchivos,buscarpalabrasclavesparaelcaso,bsquedadecadenasque identifiquenarchivos,locualconstituyeunanlisismsprofundo.

Porejemploesteeseldetalledeunosdelosarchivosdelreporte.Ntesequese muestraLarutayNombre,ltimoAcceso,CreacindeArchivo,ltimaEscritura, TamaoLgico,TamaoFsicoyContenido.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
Lascopiasbitabitdelaevidenciaalmancenadaseneldiscoduro,quedanacargode laPNP.NOsehacemencinaquelacopiabitabitsehayagrabadoenunmediode sololectura,comoquemarlosaCDsoDVDs,consusrespectivosvaloreshashs.

SemencionanuevamentequelamemoriaUSBesde1GBNOde2GB.

Informacinquecompetealadiligencia,luegolospresentesprocedenafirmarelacta.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

CasoRealBTR
CadenadeCustodia Unacadenadecustodiaesundocumentoextradodelasfuerzasdelaaplicacinde laleyquerastrealaevidenciadesdeelmomentoenelqueinvestigadorforensegana posesindeunartculohastaqueespresentadoenunacorteodirectorio. Estedocumentocontieneinformacinbsicasobreelclienteypersonasrelacionadas, ascomolosmedios,tipo,nmerosdeserieyotrainformacinbsica.Elformulario tambinrastreacadapersonaquehatocadolos artculosdeevidencia,comoporejemploenla recoleccinolarplica.Elformulariotieneuna lneadeentradaparacadavezqueesmanipulada. Silacadenadecustodiaserompelaintegridad delaevidenciapuedesercomprometidayno servlidaenunjuicio.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

iDevConsultoresenT.I.S.A.C./www.idev.pe

Preguntas,comentarios,sugerencias,correcciones?

AprovecholaoportunidadparainvitarlosalcursodeFundamentosdeCmputo Forense,queserealizarporsegundoaoconsecutivolosdasSbado29dey Domingo30deMayodel2010enlaciudaddeTrujillo.

AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

AnlisisForensedeunamemoriaUSB MuchasGraciasporsuatencin
AlonsoEduardoCaballeroQuezada ConsultordeiDevConsultoresenT.I.S.A.C. ConsultordeNPROSS.A.C. BrainbenchComputerForensics(U.S.) GIACSSPCNSA

Pginaweb:http://www.ReYDeS.com Correoelectrnico:ReYDeS@gmail.com Trujillo,Per22deMayodel2010