!Saludos!

Todos los que nos dedicamos en este mundo, la tarea menos agradable de hacer es el informe, sin embargo, es la prueba real de nuestro trabajo, lo que se tiene que defender ante un cliente o cualquiera que requiera de nuestros servicios y por supuesto, ante un tribunal para determinar si se está cometiendo un delito o no. El perito no juzga, únicamente expone los resultados de un análisis forense informático.

Cuando un perito informático enfrenta la realización de un peritaje informático, es interesante que pueda seguir ciertas guías o pautas que le permitan, por un lado, recolectar, preservar y analizar una evidencia informática adecuadamente y, por otro, presentar un informe pericial informático más legible y entendible, ya que en ocasiones, no es una persona técnica quien tiene que leer el informe. Para ello existen numerosos estándares en el ámbito de recolección, aseguramiento y análisis de evidencias informáticas. Si bien, no vamos a desarrollar ninguna, se diferencian en Nacionales e Internacionales:

Nacionales:

- UNE 197010:2015

- UNE 71505:2013

- UNE 71505:2013-1: Vocabulario y principios generales

- UNE 71505:2013-2: Buenas prácticas en la gestión de las evidencias electrónicas

- UNE 71505:2013-3: Formatos y mecanismos técnicos

- UNE 71506:2013

Internacionales:

- ISO/IEC 27037:2012

- RFC 3227

- RFC 4810

- RFC 4998

- RFC 6283

Si bien, no es obligatorio seguir estas normas, es recomendable, ya que siempre serán de ayudar a la hora de realizar una buena práctica forense y una buena elaboración de informe.

Vamos con un nuevo reto sobre Forense. En este caso, veremos cómo hacer un Informe Pericial.

Nota: Lo que veremos en esta entrada no es un caso real y se omitirán partes de lo que debería contener un informe pericial completo, como por ejemplo la Planificación o las Tareas y Dependencias.

Bien, comencemos!

Introducción

En un control rutinario de vehículos se detiene a un conductor (Juan Solo) y a su acompañante (Nadine), y se les incauta de varios miles de pastillas estupefacientes (éxtasis o MDMA) y varias decenas de tarjetas de banda magnética en blanco (es decir, sin ninguna impresión identificativa, logo, empresa, entidad bancaria, etc.). En una posterior entrada y registro en el domicilio de la pareja detenida, se les interviene un ordenador, el cual, en el momento de efectuar la entrada, se encontraba en funcionamiento, por lo que los agentes especializados que participan en la diligencia deciden realizar una captura de la memoria RAM del ordenador1. Asimismo, en la mencionada diligencia, y una vez realizada la captura de la RAM, los agentes actuantes realizan una imagen del disco duro del portátil decomisado. Una vez finalizada la diligencia, las evidencias digitales se transportan, según los procedimientos al caso, a tu laboratorio para ser analizado. Suponiendo que dispongas de las autorizaciones judiciales que te permiten analizar el contenido del disco duro del ordenador (correos electrónicos incluidos si los hubiere), debes realizar un análisis completo del ordenador decomisado y redactar el informe pericial de dicho análisis, documentando todas aquellas evidencias que hayas podido hallar e indicando cuáles son los límites de tu análisis.

Objetivos: El objetivo del examen final consiste en realizar un análisis forense del disco duro y de la Memoria RAM del ordenador incautado. Los dichos objetivos se componen de: · Preservar, asegurar y clasificar las evidencias digitales para un posible proceso judicial. · Confirmar el incidente ocurrido. · Determinar una estructura del incidente. · Preservar, asegurar y clasificar las evidencias digitales para un posible proceso judicial.

Adicionalmente, entre los objetivos del informe, también se debe alcanzar los siguientes puntos: · Confirmar si el ordenador ha sido utilizado para más actos delictivos. · Buscar e identificar evidencias relacionadas con actos delictivos.

· Realizar un informe pericial en el cual se recojan los resultados obtenidos en un análisis forense del disco duro y de la memoria RAM del ordenador.

Alcance:

El alcance del análisis forense se corresponde únicamente con las evidencias digitales entregadas, es decir, la Memoria RAM y el disco duro incautado.

Antecedentes:

· En un control rutinario se detiene a dos personas y se le intervienen estupefacientes y tarjetas de banda magnética. · En un registro del domicilio de la pareja, se interviene un ordenador el cual se encontraba encendido, por lo tanto, los agentes deciden realizar una captura de la Memoria RAM y una imagen del Disco Duro del portátil.

Fuentes de información:

La policía nos entrega dos elementos:

1. Disco duro, marca WesternDigital con número de Serie: WX81E32FLU08 con capacidad de 320GB.

Adicionalmente se facilita el algoritmo md5 y sha1:

Algoritmo MD5 -->156223444d86a9a81e73018cafea087c Algoritmo SHA1 --> 21558da3b475680deb726ff44a67e579717dd102

2. Información que contiene el archivo de la memoria RAM del ordenador portátil.

Limitaciones Exclusivamente el análisis forense se ha realizado sobre el disco duro y la memoria RAM y las conclusiones únicamente son aplicables a estos elementos. Durante el análisis se ha encontrado dirección de correos y contraseñas que no ha sido analizados.

Resolución. En este apartado se detallan los trabajos realizados durante en análisis forense:

• Comprobación de las evidencias entregadas por la policía: Verificación de los hashes que se generaron durante la adquisición de evidencias.

• Identificación de archivos en el Disco duro: Se ha realizado una revisión exhaustiva de los documentos que se encuentran en el disco duro.

• Identificación de imágenes: Se ha realizado una revisión exhaustiva de las imágenes encontradas en el disco duro.

• Búsqueda de elementos eliminados: Se ha realizado una búsqueda de elementos eliminados del disco duro.

• Listado de Software. Se ha identificado una lista de software instalado en el equipo que pueden utilizarse para fines maliciosos.

• Revisión del historial de navegación. Se ha realizado un análisis del histórico web, cache de usuario y archivos temporales.

• Análisis de la Memoria RAM: Obtención de información a través de la memoria RAM incautada durante el registro del domicilio.

• Análisis de los dispositivos USB que se han conectado al ordenador portátil.

Conclusiones.

En este apartado se detallan las conclusiones obtenidas tras el análisis del disco duro y la memoria RAM:

• Se encontraron archivos ofimáticos de tipo Word relacionados con información y la elaboración de sustancias estupefacientes, acompañado de fotografías de productos químicos y pastillas.

• Se verificó la existencia de imágenes de un laboratorio donde presumiblemente se elaboraban estupefacientes, estas imágenes se encontraban en el directorio del programa “Dropbox”.

• Una de las fotografías identificadas contenía un mensaje oculto en el que se ha podido identificar números de tarjeta, los titulares y códigos CSC.

• Se identificaron archivos de texto que, previsiblemente, contenían contraseñas y direcciones de correo electrónico.

• Se identificó un fichero comprimido y protegido con contraseña con extensión “.rar” con el nombre “contactos.rar”. Utilizando las palabras del archivo “hid1.t.rtf” se pudo extraer el contenido del comprimido. Dentro se encontraba un fichero ofimático Excel con datos personales (Nombres, teléfonos y direcciones).

• Entre los programas instalados, se identificó Truecrypt y S-tools. Ambos son utilizados para cifrar archivos y documentos.

• Se ha identificado el software Tor Browser, el cual es utilizar para navegar por la red de forma anónima.

• Durante el análisis del histórico web, caché y archivos temporales de Internet de los usuarios en el ordenador, se ha identificado que tanto el usuario “Nadine” como el usuario “Juan solo” han buscado información sobre skillroad (Venta ilícita en Internet), información sobre tarjetas de crédito (clonación, etc).

• Se ha podido verificar el uso de Dropbox, el cual es utilizado para almacenamiento de información en la nube y poder compartirla.

• Se ha detectado el uso de una unidad de almacenamiento cifrada mediante Truecrypt.

Anexos.

Esta es la parte técnica del informe, en la que se plasman las evidencias y el análisis sobre las evidencias.

Anexo I. Verificación de la información recibida.

Antes de comenzar el análisis forense se ha procedido a verificar que tanto el disco duro, como la Memoria RAM no han sufrido alteración durante su traslado. Dicha comprobación se ha realizado con la herramienta OS Forensic

Anexo II. Ficheros Encontrados en el Disco Duro.

En la raíz del disco, se han encontrado dos archivos (hid1.t.rtf & hid.t.rtf) en los cuales se identifica palabras aleatorias que a lo largo del análisis forense, se ha identificado que son contraseñas de diferentes archivos:

• Hid1.t.rtf:

• JuanS1978

• Handsworking

• Workinghands

• pills4ever

• mycontacts4PILLS

• Hid2.t.rtf:

• Nadine1980

• ndnsl1980

• Nadine

Documentos que se han encontrado en Dropbox replicados en local:

Contactos en un archivo xls que se encontraban en un .rar con contraseña en la siguietne ruta: /Documents and Settings/Juan Solo/Mis Documetnos/Dropbox

Fotografías de un laboratorio en la ruta: /Documents and Settings/Juan Solo/Mis Documetnos/Dropbox/Lab

Usuarios y contraseñas de sistemas en un archivo .odt en la siguiente ruta: /Documents and Settings/Nadine/Mis documentos/Mis imágenes/Vacaciones 2012/vacaciones_Budapest.jpg.odt:

En la ruta “Documents and Settings/Nadine/Mis documentos/Mis imágenes/Vacaciones 2012 “ se ha identificado fotos de vacaciones, una llama realmente la atención por su alta capacidad con respecto a las otras. Como se ha podido ver en el anexo III: Software instalado, se encuentra la herramienta s-tools. Probando las contraseñas obtenidas en el fichero “Vacaciones_Budapest.jpg.odt” Se ha encontrado un archivo oculto:

Siguiendo la revisión de documentos, se ha encontrado un archivo histórico de conversación de Skype (chatmsg256.dbb), en el que se puede leer:

Anexo III. Software Instalado:

En este apartado se puede ver el software instalado en el equipo con la versión que se ha detectado

Anexo IV. Archivos recuperados.

Mediante el software RecoveryMyFiles v6.2.2 se han podido recuperar multitud de archivos, si bien, solo uno ha podido ser analizado, una fotografía con el nombre de archivo (dc2.jpg):

Adicionalmente se ha analizado la carpeta RECYCLER en la que se ha encontrado:

• Dc9.rar (el cual se encuentra cifrado. Se ha podido descifrar con el listado de contraseñas del archivo Hid1.t.rtf)

• Dc6.jpg (corresponde una imagen de laboratorio de drogas)

• Dc7.jpg (corresponde una imagen de laboratorio de drogas)

Anexo V. Histórico Web y ficheros Temporales.

Nota: Debido al gran volumen de datos obtenidos y analizados sobre el historico de navegación, no se ha puesto en en esta entrada de Blog.

Anexo VI. Información sobre los usuarios.

Debido a la información obtenida del sistema operativo, se ha podido obtener los últimos inicios de sesión de los usuarios Juan Solo y Nadine.

Anexo VII. Análisis de la Memoria RAM.

Para realizar el análisis de la memoria RAM se ha utilizado la herramienta volatility, primeramente se ha extraído la SAM del equipo, para encontrar usuarios en el sistema y sus contraseñas:

Se ha extraído los procesos y las conexiones que se encontraban que se encontraban abiertos en el momento en el que los agentes. Se puede identificar el proceso dropbox y en las conexiones, la dirección IP se corresponde con servidores de dropbox:

Anexo VII. Dispositivos USB.

A través del Registro: /System/MountDevices Se ha identificado los dispositivos USB que se han conectado en algún momento al ordenador.

Se ha identificado que el etiquetado con el nombre: \??\Volume{7ddaae16-7f7f-11e2-b195-002243057110} Tiene información sobre TrueCryptVolumeQ. Lo que hace sospechar que existe un dispositivo cifrado.

Conclusión: En este punto hemos visto como realizar un informe Pericial. Se debe explicar desde cómo se reciben las evidencias digitales, poner en antecedentes y extraer una conclusión. Si bien, El perito no es juez y no determina si se está cometiendo un crimen o no. Por lo tanto no se puede juzgar, simplemente se extraen unas conclusiones.

Espero que os haya gustado ;)

"Being happy is healthier than being sad"

B0cat4.