Saludos!

Vamos con un reto forense informático. Para ello, se va a realizar un análisis, desde que se reciben las evidencias, el trato y el manejo, la explotación de las evidencias y búsqueda de información.

Una banda de delincuentes ha estado preparando un golpe, pero un grupo especial de la Policía les ha interceptado en una de sus operaciones. En dicha operación se incautaron ciertos dispositivos electrónicos, de los que se han realizado diversas copias. A ti como analista forense te llega una copia de la Policía, y te piden que extraigas la máxima información posible.

La policía sospecha que los detenidos estaban esperando algún tipo de intercambio con otras bandas organizadas, pero no conocen más datos. Han distribuido las copias de los dispositivos electrónicos para obtener algo de información que pueda ayudarles. La policía dispone de cierta información sobre localizaciones que los narcos utilizarían para realizar reuniones, o incluso almacenar armas.

La policía nos solicita:

1. Detectar que ficheros se encuentran en el dispositivo

2. Encontrar mensajes ocultos.

3. Fecha de la entrega de la mercancía.

4. Averiguar que guardan los Narcos y dónde.

La policía nos entrega la imagen en formato .dd y cierta información de la imagen:

archivo practica10.img.info:

md5: 876b86716bd0d22f8200ce7bfffc2da2 Sha1: f91849990d2afaf97affd75afbed252fe2b432b4

Lo primero que hacemos, es comprobar el md5sum y el Sha1 para verificar que la imagen no ha sido alterada durante el traslado:

Una vez que vemos que la imagen no ha sido alterada, procedemos con el análisis. Primeramente montamos la imagen, de tal forma que podamos ver el contenido que nos han pasado como evidencia:

En la imagen del disco vemos lo siguiente:

-Fichero "enVsb3MK.doc" el cual se encuentra cifrado con contraseña.

-Dos imagenes con extensión jpg

-Fichero "venecia.txt" el cual se encuentra vacio.

-Carpeta "lost" que no contiene archivos.

Como primero paso, vamos a crear un Timeline del disco (Line de tiempo) para comprobar que ha sucedido en el disco, se puede realizar de varias formas, en esta entrada veremos el comando "fls":

La sintaxis quedaría:

fls <ruta imagen> -m / -r > <destino del archivo>

donde "-m" indica los archivos en formato de máquina de tiempo y sean más facil de leer y "-r" muestra recursivamente los directorios.

Para más información del comando: http://www.sleuthkit.org/sleuthkit/man/fls.html

Nota: Este archivo podría abrirse en format .csv o .xsl. Así nos permitiría analizarlo con más claridad.

Una vez comprobado, vemos que varios archivos han sido borrados (¿por siempre?) y varios archivos han sido añadidos, pero esto lo veremos más adelante. En este momento, vamos a ver que ocultan las imagenes, y para ello, utilizamos el comando "exiftool"

Analizados los metadatos, no podemos sacar grandes conclusiones (nombres, coordenadas GPS, etc) más alla de fecha de creación, programa con el que se crearon...

Volviendo a los archivos borrados, vamos a pasar una herramienta de recuperación de datos, como esto es un mundo lleno de oportunidades y diferentes caminos para tener el mismo resultado, voy a utilizar una herramienta que a mi más me gusta "myrescue". Es una herramienta fácil de usar y rápida (también esto dependerá del tamaño del disco).

La sintaxis quedaría: myrescue <ruta disco a recuperar> <ruta destino>

En la ruta destino debemos poner un directorio que exista y en este caso se ha llamado "myrescue" a los archivos que recupera.

analizando el fichero "myrescue" podemos ver que todos los datos estan codificados, y prácticamente es ilegible. Si bien, podemos encontrar cadenas de texto y números que son interpretables.

Vemos que la primera cadena se encuentra en hexadecimal, lo al convertirlo obtenemos "123abc." Esto lo usamos en el archivo word y... BINGO! tenemos la contraseña del archivo word y la documentación que tiene dentro.

Ya tenemos los que nos pedían en el punto número cuatro. Ahora, sigamos leyendo el archivo, para comprobar si podemos extraer más información.

Vemos que todos los mensajes se encuentran en base64, al decodearlos, para ello utilizo la página automática https://www.base64decode.org/ podemos verlos mensajes ocultos y la fecha de entrega:

"La entrega será el 2 de junio"

"recuerda que nos siguen, ten cuidado"

"no confíes en Osvaldo"

Conclusión: Este reto era muy sencillo, hemos visto el tratamiento de las imagenes y cómo realizar un análisis forense. Para ello, y cómo mejor se entiende, se puede decir que un análisis forense informático se compone de los siguientes pasos:

1. Identificación. Conocimiento de antecedentes del caso,proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación.

2.Preservación. Revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis.

3. Análisis: Aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas.

4. Presentación. Realización de un informe con toda la información de los 3 pasos anteriores y si así se requiere, un informe pericial.

"Being happy is healthier than being sad"

B0cat4.