Beruflich Dokumente
Kultur Dokumente
Consultor
Manuel Jesús Mendoza Flores
i
Abstract (in English, 250 words or less):
ii
Índice
1 Introducción ............................................................................................... 1
1.1 Contexto y justificación del Trabajo ....................................................... 1
1.2 Objetivos del Trabajo ............................................................................. 2
1.3 Enfoque y método seguido .................................................................... 2
1.4 Planificación del Trabajo ........................................................................ 3
1.5 Breve sumario de productos obtenidos ................................................. 3
1.6 Breve descripción de los otros capítulos de la memoria ........................ 4
1.7 Requisitos y ámbito de aplicación del proyecto ..................................... 5
2 Definiciones formales ................................................................................. 6
2.1 La Informática Forense .......................................................................... 6
2.2 El perito informático forense .................................................................. 6
2.3 Delito informático ................................................................................. 10
2.4 Evidencia digital o electrónica.............................................................. 11
2.5 Cadena de Custodia ............................................................................ 14
3 Marco legal .............................................................................................. 16
3.1 Regulación nacional ............................................................................ 16
3.2 Regulación internacional ..................................................................... 20
3.3 Normas y guías de buenas prácticas................................................... 21
3.4 Organismos relevantes ........................................................................ 26
4 Conceptos, terminología y aspectos técnicos .......................................... 29
4.1 Función resumen (hash) ...................................................................... 29
4.2 El Sistema de Memoria ........................................................................ 30
4.2.1 Particiones y sistemas de ficheros .............................................. 31
4.2.1.1 Tipos de particiones ............................................................ 33
4.2.2 Espacio asignado y espacio no asignado ................................... 34
4.3 Extracción de información ................................................................... 35
4.3.1 Clonación .................................................................................... 36
4.3.1.1 Clonado físico e imagen física ............................................ 36
4.3.1.2 Clonado lógico e imagen lógica .......................................... 38
4.3.2 Volcado de datos......................................................................... 39
4.4 Borrado seguro .................................................................................... 40
4.5 Artefactos Forenses............................................................................. 43
4.5.1 Memoria RAM, memoria virtual y archivo de hibernación ........... 44
4.5.2 Logs y registros del sistema ........................................................ 45
4.5.3 Archivos recuperados.................................................................. 47
4.5.4 Metadatos ................................................................................... 49
4.5.5 Actividad en Internet.................................................................... 50
4.5.6 Otros artefactos ........................................................................... 52
4.5.7 Artefactos forenses en dispositivos móviles ................................ 53
5 Procedimiento de análisis forense digital ................................................. 55
5.1 Preservación ........................................................................................ 56
5.2 Adquisición .......................................................................................... 58
5.3 Documentación .................................................................................... 63
5.4 Análisis ................................................................................................ 64
5.5 Presentación ........................................................................................ 64
6 Herramientas de análisis forense digital .................................................. 66
iii
6.1 Software forense.................................................................................. 66
6.1.1 EnCase Forensic ......................................................................... 66
6.1.2 Autopsy – The Sleuth Kit ............................................................. 67
6.1.3 Distribuciones Forenses .............................................................. 68
6.1.4 Internet Evidence Finder ............................................................. 70
6.1.5 Forense de dispositivos móviles ................................................. 70
6.1.6 Utilidades forenses ...................................................................... 72
6.2 Hardware forense ................................................................................ 74
6.2.1 Bloqueadores de escritura .......................................................... 74
6.2.2 Clonadoras .................................................................................. 75
6.2.3 Sistemas portables ...................................................................... 75
6.2.4 Estaciones de trabajo forense ..................................................... 76
6.2.4.1 Configuración de sobremesa propuesta ............................. 78
7 Entorno práctico ....................................................................................... 79
7.1 Laboratorio forense.............................................................................. 79
7.1.1 Equipo de campo ........................................................................ 79
7.1.2 Estación forense.......................................................................... 79
7.2 El suceso a investigar .......................................................................... 80
7.2.1 Preparación preliminar ................................................................ 81
7.2.2 Evidencias digitales generadas ................................................... 81
7.2.2.1 Dificultades encontradas..................................................... 81
7.2.2.2 Ordenador portátil Windows 10 (1POR1) ........................... 82
7.2.2.3 Memoria USB (1USB1) ....................................................... 83
7.2.2.4 Smartphone con Android (1TEL1) ...................................... 84
8 Ejecución del caso práctico ..................................................................... 85
8.1 Preservación ........................................................................................ 85
8.2 Adquisición .......................................................................................... 86
8.3 Documentación .................................................................................... 88
8.4 Análisis ................................................................................................ 88
8.4.1 Análisis de la evidencia 1TEL1 ................................................... 89
8.4.2 Análisis de la evidencia 1HD1 ..................................................... 90
8.4.3 Análisis de la evidencia 1USB1 ................................................... 95
8.5 Resultados obtenidos .......................................................................... 96
8.5.1 Evidencias digitales recuperadas ................................................ 96
8.5.2 Resultados relevantes para la investigación ............................. 100
8.6 Consideraciones finales ..................................................................... 100
9 Conclusiones ......................................................................................... 101
9.1 Líneas de trabajo futuro ..................................................................... 102
10 Glosario ................................................................................................. 103
11 Bibliografía ............................................................................................. 109
12 Anexos ................................................................................................... 112
12.1 Anexo: Planificación detallada y riesgos del proyecto ................... 112
12.2 Anexo: Documento de cadena de custodia ................................... 114
12.3 Anexo: Adquisición de las evidencias del caso práctico ................ 117
12.4 Anexo: Análisis de la evidencia 1TEL1 .......................................... 123
12.5 Anexo: Análisis de la evidencia 1HD1 ........................................... 125
12.6 Anexo: Análisis de la evidencia 1USB1 ......................................... 149
iv
Lista de figuras
Figura 1: Perito informático realizando su labor en el lugar del incidente .......... 8
Figura 2: Incidentes relacionados con la seguridad informática ....................... 10
Figura 3: Diversas fuentes de datos ................................................................. 13
Figura 4: La Cadena de Custodia..................................................................... 14
Figura 5: Levantamiento de acta notarial (recreación) ..................................... 15
Figura 6: Convenio de Budapest contra el Cibercrimen ................................... 20
Figura 7: Organizaciones de normalización ..................................................... 22
Figura 8: Logotipo de INCIBE........................................................................... 26
Figura 9: Logotipo de la AEPD ......................................................................... 27
Figura 10: Ejemplos de la función resumen SHA-1 .......................................... 29
Figura 11: Jerarquía de memoria de un ordenador .......................................... 31
Figura 12: Administrador de discos de Windows. ............................................. 32
Figura 13: Estructuras del sistema de ficheros NTFS ...................................... 32
Figura 14: Ejemplo de particionado de disco MBR........................................... 34
Figura 15: Copia bit a bit .................................................................................. 37
Figura 16: Migración de un disco duro mecánico a otro de tipo SSD ............... 38
Figura 17: Algoritmos de borrado seguro de la aplicación Eraser .................... 41
Figura 18: Contenido del directorio de papelera “$Recycle.bin” ....................... 42
Figura 19: Gestión del direccionamiento de bloques NAND Flash ................... 43
Figura 20: Métodos de borrado seguro según naturaleza del dispositivo ....... 43
Figura 21: Intercambio entre archivo de paginación y RAM ............................. 45
Figura 22: Registro de Windows desde el editor “regedit”................................ 46
Figura 23: Cabecera de inicio de un archivo JPG ............................................ 48
Figura 24: Metadatos extraídos con la aplicación ExifReader .......................... 49
Figura 25: Metadatos recuperados de un documento de texto ........................ 50
Figura 26: Flujo de autenticación por token ..................................................... 52
Figura 27: Visualización de miniaturas mediante Thumbnail DB Viewer.......... 53
Figura 28: Instantáneas de volumen Shadow Copy de Windows..................... 53
Figura 29: Principales archivos SQLite de sistema en Android ........................ 54
Figura 30: Arquitectura SQLite ......................................................................... 54
Figura 31: El principio de intercambio de Locard ............................................. 55
Figura 32: Fases del procedimiento de análisis forense digital ........................ 56
Figura 33: Escena de adquisición de diversas evidencias informáticas ........... 58
Figura 34: Duplicación de la imagen forense de trabajo .................................. 59
v
Figura 35: Representación del Principio de incertidumbre de Heisenberg ....... 60
Figura 36: Ordenador encendido en la escena del crimen (figuración) ............ 62
Figura 37: EnCase Evidence File Format ......................................................... 66
Figura 38: Ciclo de vida del procedimiento forense en EnCase Forensic ........ 67
Figura 39: Flujo de trabajo en Autopsy ............................................................. 68
Figura 40: Artefactos soportados por Internet Evidence Finder v6.21.............. 70
Figura 41: GUI de UFED Physical Analyzer v6.3 ............................................. 71
Figura 42: Bloqueadora Tableau WriteBlocker ................................................. 74
Figura 43: Clonadora Tableau .......................................................................... 75
Figura 44: Sistema portable UFED Touch2 ...................................................... 75
Figura 45: Estación forense portable FREDDIE ............................................... 76
Figura 46: Estación forense SiForce LIGHTNING ............................................ 76
Figura 47: Estación forense FCI ....................................................................... 77
Figura 48: Configuración propuesta para sistema de escritorio ....................... 78
Figura 49: Evidencias físicas ocupadas durante la diligencia de Entrada y Registro .......... 85
Figura 50: Copia forense de la evidencia 1HD1 ............................................... 87
Figura 51: Extracto de conversación de WhatsApp. Evidencia 1TEL1 ............. 88
Figura 52: Explotación de la evidencia 1HD1 con Autopsy .............................. 91
Figura 53: Miniaturas extraídas del archivo “thumbcache_1280.db” ................ 93
Figura 54: Archivos recuperados de la evidencia 1USB1 ................................ 96
vi
Introducción a la Informática Forense: Legal, teórica y práctica
Carlos Emilio Rodríguez García
1 Introducción
La Seguridad Informática es una de las áreas de la Informática con mayor auge
y relevancia en la actualidad. El número acciones deshonestas -delitos, delitos
informáticos o cibercrimen, infracciones e incidentes de seguridad- en las que,
en mayor o menor medida, se hace un uso (o abuso) de los medios tecnológicos
para lograr el objetivo deseado no para de crecer, año tras año, en una tendencia
alcista que se estima continuada en el futuro.
Las personas estamos cada vez más expuestas a estos ataques ya que vamos
confiando e integrando la tecnología en mayor grado en nuestros usos y
costumbres. Nuestra huella digital, al utilizar las soluciones tecnológicas que el
mercado nos ofrece, aumenta por momentos. En nuestro día a día confiamos
continuamente nuestra información sensible, consciente o inconscientemente, a
terceros, escapando ésta a nuestro control. Todo ello provoca el caldo de cultivo
perfecto para que terceros, con intenciones ilegitimas, traten de sacar algún tipo
de beneficio si se dan las circunstancias propicias para ello.
Y es en estas situaciones, en las que se ha vulnerado algún derecho o se ha
causado algún perjuicio a una persona u Organismo, en las que la adecuada
recogida, tratamiento y análisis de la información disponible, relacionada con el
incidente y capturada por algún dispositivo informático, se antoja fundamental,
para conseguir una plena resolución de incidente acaecido, esto es, el
esclarecimiento de los hechos y la respuesta a las preguntas surgidas: ¿Qué?,
¿Quién?, ¿Dónde?, ¿Cuándo?, ¿Cómo? y ¿Por qué?
Como respuesta a un incidente de estas características, entra en escena la
Informática Forense, campo multidisciplinar dentro de la Seguridad Informática,
con un marcado carácter técnico a la vez que legal, y la labor del perito
informático o analista forense digital, persona formada en la materia, encargada
de ejecutar el procedimiento de análisis forense digital: proceso documentado y
metódico, no improvisado ni variable, a pesar de que cada caso pueda requerir
de actuaciones y análisis específicos.
2 Definiciones formales
2.1 La Informática Forense
“El término latino forensis llegó a nuestro idioma como forense. La primera
acepción que menciona el diccionario de la Real Academia Española (RAE) hace
mención a aquello vinculado al foro: el lugar en el cual los tribunales escuchan y
definen causas o el encuentro de especialistas para debatir una cierta cuestión
ante un auditorio”1.
En las disciplinas forenses encontramos el denominador común que el propio
término “forense” les imprime, y que se aplica a quienes estando en posesión de
unos conocimientos especializados y por medio de métodos científicos y
sistemáticos, analizan las evidencias para proporcionar su opinión experta sobre
las cuestiones que se le planteen al respecto. Por lo tanto, este calificativo se
asocia a toda disciplina profesional (medicina, grafología, informática, etc.) que
proporcione soporte y asesore objetivamente a un tercero, acerca de un hecho
determinado.
1 https://definicion.de/forense
El peritaje forense
Un peritaje o peritación es el estudio o trabajo que realiza un perito. El objetivo
final del peritaje informático se constituye en la reconstrucción del incidente que
lo motiva, a partir de la prueba indiciaria, que se identifica, recolecta, certifica y
resguarda en la escena del hecho.
2http://www.ali.es/wp-content/uploads/sites/4/2015/10/COD_DEONT_20081010-CON-modificacionesMD-y-AGE-v03.pdf
Incidente de seguridad
En el ámbito de la Seguridad de la Información, un incidente de seguridad se
define como la violación o amenaza inminente a la Política de Seguridad de la
Información, implícita o explícita, del entorno en que se produce.
3 https://www.iso.org/standard/44379.html
4 https://www.iso.org/standard/44381.html
5https://www.enisa.europa.eu/publications/electronic-evidence-a-basic-guide-for-first-responders/at_download/fullReport
6 https://es.wikipedia.org/wiki/Cadena_de_custodia
Así, registrará por escrito toda información que se considere relevante consignar,
entre la que se encontrará la descripción del
escenario en el que se estén llevando a cabo las
actuaciones, el registro detallado y exhaustivo de
las evidencias identificadas, las personas
intervinientes y sus roles, así como las actuaciones
practicadas ante su presencia con su
correspondiente resultado.
Figura 5: Levantamiento de acta notarial (recreación)
[Fuente] http://abogadoresponde.net/actas-notariales-definicion...
7http://enfsi.eu/wp-content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf
3 Marco legal
La actividad forense informática está sometida a una legislación extensa y
heterogénea, de diversos ámbitos, al trabajar en el marco de situaciones,
incidentes de seguridad y actividades ilícitas, que en muchos casos conllevan
algún tipo de responsabilidad legal para sus autores.
Además, la materia prima con la que el analista forense digital trabaja está
constituida con los dispositivos informáticos y los datos que ellos contienen,
muchos de carácter personal, cuya elevada protección está recogida en la
legislación vigente, y que por lo tanto obliga al cuidado sumo en su tratamiento,
observando en todo momento las garantías legales exigidas.
Es por ello que se ha considerado necesario hacer referencia a las principales
Leyes involucradas, nacionales e internacionales, junto con las Normas y Guías
existentes, propias del tratamiento de las evidencias digitales y su análisis
forense informático, que tienen que ser conocidas y acatadas por todo
profesional de este campo, para el correcto desarrollo de su labor.
8 http://www.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=10&fin=55&tipo=2
9 https://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
10 http://www.lssi.gob.es/paginas/Index.aspx
11 https://www.boe.es/buscar/act.php?id=BOE-A-2000-323&p=20151028&tn=1
12 https://www.boe.es/buscar/act.php?id=BOE-A-2007-18243
13 https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
14 https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036&tn=2
Jurisdicción.
15 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2010-14221
Fraude Informático
16 https://www.boe.es/doue/2016/194/L00001-00030.pdf
17 https://www.ietf.org/rfc/rfc3227.txt
18 https://www.iso.org/standard/44381.html
19 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma?c=N0051412
20 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0051414
21 https://www.iso.org/standard/44405.html
22 https://www.iso.org/standard/44406.html
23 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0055393
24 https://www.iso.org/standard/44407.html
No ofrece detalles particulares para cada tipo de investigación pero si una visión
general de los principios y procesos de investigación aplicables. Las directrices
describen los procesos y principios aplicables a los distintos tipos de
investigaciones delictivas, como por ejemplo, violaciones de seguridad, fallos del
sistema, accesos no autorizados, entre muchos otros.
a) Organismos nacionales
INCIBE-CERT
Antes conocido como el CERT de Seguridad e Industria (CERTSI), es el centro
de respuesta a incidentes de seguridad de referencia para los ciudadanos y
entidades de derecho privado en España operado por el Instituto Nacional de
25 https://www.incibe.es/
26 http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad
27 https://www.aepd.es/agencia/index.html
28 http://www.cnpic.es/
29 https://www.ccn-cert.cni.es/
b) Organismos internacionales
INTERPOL34
Uno de sus principales objetivos es facilitar la cooperación policial internacional;
en relación con el cibercrimen, se incluyen las siguientes prioridades
estratégicas:
1. Sistema mundial de información policial protegida
2. Apoyo 24 horas al día y 7 días a la semana a las fuerzas policiales y los
organismos encargados de la aplicación de la ley
3. Innovación, capacitación e investigación
4. Asistencia en la detección de delitos y la identificación de delincuentes
30 https://www.policia.es/org_central/judicial/udef/bit_quienes_somos.html
31 https://www.gdt.guardiacivil.es/webgdt/la_unidad.php
32 https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3
33 https://www.enisa.europa.eu/about-enisa
34 https://www.interpol.int/
Bajo esta premisa, esta función sirve para individualizar una secuencia de bits,
de una manera similar al ADN o a las huellas dactilares en el caso de las
personas. Esta individualización de la información es referida en ocasiones como
realizar la firma digital de la misma mediante función resumen o hash, y sirve
para acreditar, sin ningún género de duda, que un dato concreto procede de un
dispositivo u objeto determinado
35 https://shattered.io/static/shattered.pdf
4.3.1 Clonación
La clonación de un dispositivo informático es una técnica, que se puede realizar
por hardware o software, y que consiste en replicar su espacio de
almacenamiento, trasladándolo a otro que será un clon del original.
Dentro de la clonación de discos, se distingue entre dos niveles o profundidad:
nivel físico y nivel lógico, según el plano (físico o lógico) en el que trate el
dispositivo a clonar. Si no se profundiza en sus diferencias y se evalúa de forma
somera su resultado, pueden parecer equivalentes. Sin embargo, en realidad
sus diferencias conllevan implicaciones, ventajas y desventajas muy acusadas
que provocaran que no sea recomendable utilizarlas indistintamente para la
mayoría de situaciones.
Además, para hablar con propiedad de esta técnica, debemos tener presente
que independientemente del nivel al que se realice, la clonación de un dispositivo
puede presentar dos productos:
a) La obtención de un segundo dispositivo, que captura la información del
primero, proceso que se conoce comúnmente como «disk to disk».
b) La obtención de un fichero de imagen del dispositivo origen («disk to
image»), que nos va a permitir crear otros discos clones, cargando dicha
imagen en ellos, o con el que podremos trabajar directamente como si del
dispositivo original se tratara.
Por último, cabe comentar que el proceso de clonación se puede concretar a
nivel de partición, de modo que si el dispositivo está conformado en su espacio
de almacenamiento por varias particiones, se podrá especificar cual o cuales de
ellas se deben de clonar. Las denominaciones que encontramos al trabajar a
nivel de partición son «partition to partition» y «partition to disk»
Información latente
Lo realmente importante desde la óptica de la Informática Forense es que el
clonado o imagen física implica que se arrastra también la información latente
que pueda albergar el dispositivo, información que a priori está oculta al sistema
y/o usuario, al no tener constancia de su existencia:
a) Porque se trata de información eliminada definitivamente: al “borrar
definitivamente” un archivo, lo que el sistema operativo realiza es, en la tabla
de ficheros del sistema de ficheros, marcar el espacio que el archivo estaba
ocupando como disponible para llegado el momento, utilizarlo para albergar
nueva información. Pero es posible que ese momento nunca llegue y, por lo
tanto, este contenido sea recuperable.
b) Porque está albergada en un espacio de almacenamiento del que no hay
referencia en la tabla de ficheros, pues contiene información almacenada en
un sistema de ficheros anterior al vigente: típicamente una instalación previa
del sistema, o un particionado anterior que se ha perdido al formatear el
dispositivo y establecer una nueva partición/sistema de ficheros.
En estos casos, mientras los sectores ocupados por la información a recuperar
no sean utilizados para escribir nuevos datos encima, existe la posibilidad de
recuperar dicho contenido con las herramientas apropiadas.
Por todo ello queda claro que, siempre que sea posible, la realización de una
imagen física o imagen forense es el procedimiento a realizar, por estos dos
aspectos clave:
Es el único que recoge la información latente.
Posibilita trabajar con un producto exactamente igual que si del dispositivo
original (evidencia) se tratara pero sin poner en riesgo su integridad, con la
La papelera de reciclaje
Si hablamos del borrado de ficheros, debemos hacer referencia además a la
papelera de reciclaje, mecanismo implementado por diversos sistemas
operativos para ofrecer al usuario la posibilidad de recuperar aquellos archivos
que hayan sido borrados accidentalmente.
En muchos sistemas, cuando un usuario borra de forma normal un archivo
(siempre que no lo haya especificado de otra manera), éste se manda a la
papelera de reciclaje: el archivo se marca como borrado pero el espacio que
ocupa no se considera aun disponible, posibilitando su directa recuperación si
fuera necesario, mientras el archivo permanezca en la papelera. Hasta que no
se vacíe la papelera de reciclaje, se elimine el archivo de ella o se haya
alcanzado su tamaño máximo asignado, no se marcará ese espacio como
disponible o libre, apto para guardar nuevos datos.
Desde Windows 7, para sistemas de ficheros NTFS, los SSOO de Microsoft
implementan la papelera de reciclaje de cada unidad, en un directorio oculto
denominado “\$Recycle.bin\%SID%” donde %SID% es el SID del usuario que realizó
la eliminación. Cuando se manda un archivo a la papelera, es decir, cuando se
elimina sin utilizar la fórmula de “eliminar definitivamente”, suceden dos cosas:
1. El archivo cambia su denominación a “$R(caracteres aleatorios).(extensión original)”
y se mueve al directorio correspondiente de la papelera.
2. Se crea un archivo con el nombre “$I(mismos caracteres aleatorios).(extensión
original)” que contiene la información necesaria para restaurar el archivo
eliminado: ruta, nombre, tamaño, y fecha y hora de eliminación.
Para finalizar con la papelera, se tiene que comentar que para el caso de
dispositivos externos de almacenamiento como memorias USB o tarjetas SD,
Windows no los contempla como parte del sistema, no integrándolos por defecto
en este mecanismo, aunque esto se puede cambiar. En el caso de un disco duro
externo, sin embargo, sí que establece un directorio de papelera en el que
mantener archivos borrados hasta su definitiva eliminación.
36https://www.micron.com/~/media/documents/products/technical-note/nand-flash/tn2942_nand_wear_leveling.pdf
Debido a ello y por motivos de rendimiento, dispositivos como los discos duros
SSD presentan una capacidad real entorno a un 10% superior a la que ponen a
disposición del sistema, utilizando ese espacio extra
“spare blocks” como espacio caché con bloques
preparados para las operaciones de escritura de
nuevos datos. Pero debido al fenómeno comentado
del desgaste, los bloques destinados a este espacio
no son siempre los mismos, sino que se van
seleccionando para ello aquellos disponibles con
menor número de ciclos de E/S
Como consecuencia, en un momento dado, el
sistema operativo tiene acceso a un espacio de
almacenamiento conformado por un conjunto de
bloques que posiblemente sea distinto al conjunto de
los mismos puesto a su alcance en otro momento
posterior (aunque con la misma capacidad).
Figura 19: Gestión del direccionamiento de bloques NAND Flash
[Fuente] Micron (2008) TN-29-42: Wear-Leveling Techniques in NAND Flash Devices, pág. 1
Es por todo ello que no está del todo claro si las técnicas basadas en
sobrescrituras, se pueden considerar métodos efectivos de borrado seguro para
estos dispositivos, es decir, si con un número suficientemente elevado de pases
se acabará alcanzando los bloques del “spare space”, existiendo diversos
estudios que lo cuestionan, como el realizado por la Universidad de California37
37 http://cseweb.ucsd.edu/~swanson/papers/TR-cs2011-0968-Grind.pdf
Memoria virtual
Por memoria virtual se entiende aquella zona del espacio de almacenamiento
secundario que se utiliza, por parte del sistema operativo, como una extensión
de la memoria RAM, cuando ésta es insuficiente o está próxima a saturarse, de
manera que el SO descarga en ella los datos de RAM que no se van a utilizar
inmediatamente pero se prevé sean necesarios de nuevo (en vez de devolverlos
a memoria secundaria), o en la que adelanta la recuperación de datos de
Archivo de hibernación
El proceso de hibernar un equipo es un recurso que ofrecen algunos sistemas
operativos, con el que se consigue interrumpir el consumo eléctrico del mismo,
pero sin implicar la necesidad de arrancarlo de nuevo de “cero”, siendo necesario
volver a lanzar las aplicaciones que se estaban ejecutando y abrir los archivos
abiertos.
Para ello, se vuelca el estado actual del sistema (el contenido de la RAM) a un
archivo de hibernación (en Windows, «hiberfile.sys») y se apaga el ordenador.
Al encenderlo de nuevo, en el proceso de arranque se volcará el contenido de
dicho archivo a la RAM, recuperando así el estado en el que se hibernó el
sistema.
Esta funcionalidad es especialmente interesante para dispositivos portátiles, al
interrumpir el consumo de batería en momentos en los que se considera que el
equipo no necesita estar encendido, pero a la vez no se desea apagar la
máquina. Según la configuración del usuario, es posible lanzar automáticamente
este recurso al bajar la tapa del portátil.
38 https://es.wikipedia.org/wiki/Log_(inform%C3%A1tica)
han sido o han podido ser comprometidos para cometer la intrusión. En el caso
de sistemas Windows, los logs del sistema se ubican en la ruta
“C:\Windows\System32\winevt\Logs”.
El Registro de Windows
Según la propia Microsoft, el Registro de Windows es “una Base de Datos
jerarquizada centralizada usada desde Microsoft Windows 95 para almacenar
información necesaria para configurar el sistema para uno o más usuarios, las
aplicaciones y dispositivos hardware”.
4.5.4 Metadatos
Los metadatos (del griego meta: “más allá de, después de”) son datos que
describen otros datos (“datos de los datos”). Es decir, consisten en información
acerca de otra información (metainformación), necesaria en muchos casos
para el correcto funcionamiento del sistema o de las aplicaciones con las que
trabajan los usuarios.
Desde el prisma del análisis forense informático, representan una excelente
fuente de conocimiento, a veces incluso más productivos que los propios
archivos recuperados, por la información que han capturado. Podemos
categorizar los metadatos según el tipo de información que contemplen y sobre
la que se apliquen.
a) Metadatos del sistema
Dentro de los metadatos que registra el sistema de ficheros encontramos:
Fechas de creación, modificación y último acceso
Ubicación en el disco
Propietario/s y permisos
Atributos
Mozilla Firefox:
“%UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\<random>.default\”
“%UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\<random>.default\”
Google Chrome:
“%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\”
Cookies
Además del contenido que se va visualizando en el navegador, en la cache web
del encontramos las cookies: pequeños archivos que almacenan el estado de
una conexión, manteniendo datos específicos de la misma, y que en algunos
casos, cuando no están ofuscadas, pueden aportar información muy interesante
(preferencias de visualización, nombre de usuario, dirección IP etc.).
Las cookies suelen presentar una fecha de expiración, a partir de la cual son
borradas, aunque también pueden ser borradas directamente por el usuario.
Cloud forensics
Inmerso en el contenido de las cookies, podemos encontrar tokens de
autenticación: credenciales de acceso enviadas a un usuario autenticado
correctamente, que le permiten acceder al servicio o recurso sin tener que volver
a autenticarse, mientras el token tenga validez. En algunas implementaciones,
ante la caducidad de un token se envía otro de refresco, para que el usuario siga
autenticado sin tener que enviar de nuevo sus datos de inicio de sesión.
Prefetch de aplicaciones
Utilizados por Windows para mejorar el rendimiento de las aplicaciones, los
ficheros prefetch registran información sobre los programas ejecutados en el
sistema precargando páginas de código que ayuden a agilizar su ejecución
Su estudio muestra información del programa: última vez que se ejecutó, número
de ejecuciones, su path, archivos adicionales que el programa ha requerido (con
la ruta de cada uno)…
imágenes ya eliminadas, que no han podido ser recuperadas, pero que poseen
una especial transcendencia para el incidente particular que se esté estudiando.
Shadow Copy
Técnica de copias de seguridad, implementada en sistemas Windows desde la
versión Vista, basada en la creación de instantáneas de volumen como puntos
de restauración del sistema.
Archivos SQLite
SQLite39 es un formato de bases de datos relacionales SQL embebido, esto es,
que no funciona siguiendo el tradicional esquema cliente/servidor de las BBDD,
sino que ambas entidades están integrados directamente en el propio fichero.
Es de tipo opensource, y se ha hecho
enormemente popular, siendo usado
por una cantidad creciente de
aplicaciones y sistemas, como
estructura de datos para almacenar su
información. La mayoría de
navegadores web, y dispositivos
móviles trabajan con SQLite.
Cumple con los requisitos ACID
exigibles a toda transacción, e
implementa la mayoría del estándar
SQL, aunque con ciertas restricciones
(no garantiza la integridad del
dominio).
Figura 30: Arquitectura SQLite
[Fuente] https://www.sqlite.org/arch.html
39 https://www.sqlite.org/index.html
5.1 Preservación
La primera fase del procedimiento forense tiene por objeto preservar las
evidencias digitales que posteriormente serán analizadas, de modo que éstas no
pierdan en ningún momento su validez y confiabilidad, y se garantice la
reproducibilidad de los resultados obtenidos a partir de las mismas, en el caso
de que fuera solicitado realizar un contraanálisis o estudio contrapericial.
40 https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_toma_evidencias_analisis_forense.pdf
Registro documental
Este documento, que si existe redactará el Fedatario Público o un tercero
independiente que dará fe de este proceso (perito de la contraparte, delegado
sindical…), comenzará su redacción en este primera fase.
Incluirá un inventario con la descripción detallada de todas las evidencias que se
vayan recabando: estado en el que son halladas (incluso mediante fotografía o
vídeo), marca, modelo, número de serie y/o marcas individualizadoras, así como
cualquier característica destacable de las mismas.
Del mismo modo se reseñará el entorno en el que se ubicaban (anotaciones
relacionadas, contraseñas escritas, documentación…) y se elaborará un listado
con las personas implicadas en los equipos, recogiendo según el caso el nombre,
identificación, sus usuarios y contraseñas de sistema, acciones que hayan
realizado desde el conocimiento del incidente, etc.
En ocasiones, será útil anotar o dibujar la topología de la red informática en la
que se encontraban conectados los equipos, y es importante identificar todos los
cables y los puertos donde están conectados los distintos periféricos del equipo
para poder realizar una posterior conexión en laboratorio en caso de ser
necesario su rearmado.
Con la elaboración de este registro documental comienza la Cadena de
Custodia de las evidencias consignadas, en este momento evidencias físicas
descubiertas.
Etiquetado de evidencias
Es altamente recomendable (realmente obligatorio en casos con un alto número
de evidencias) etiquetar las evidencias que se vayan encontrado, utilizando una
nomenclatura que permita, desde el momento del mismo etiquetado y durante el
resto de las fases del procedimiento forense, referirse a cada evidencia de una
forma más práctica -y a la vez perfectamente individualizadora- que la de utilizar
para ello su marca, modelo y número de serie o marcas distintivas.
Es deseable que esta nomenclatura de etiquetado sea lo suficientemente
expresiva para capturar el máximo de información posible sobre la misma y su
contexto. Se propone una nomenclatura del estilo: 1HD1, 1HD2, 1HDEXT1,
1TEL1… Tomando como ejemplo la primera de ellas “1HD1” y descubriendo el
significado de sus partes, podemos entender rápidamente lo conveniente de un
etiquetado de estas características:
“1”: Identifica la localización de la evidencia. Por ejemplo, en el caso de
realizar un análisis forense de los dispositivos digitales de una persona en
varios lugares (domicilio, lugar de trabajo, su vehículo, etcétera). O en el
caso de que haya varias personas, se puede identificar a cada una de ellas.
“HD”: Identifica la naturaleza de la evidencia (disco duro en este ejemplo).
“1”: Identifica, dentro de las evidencias del mismo tipo y contexto, el número
de orden en que han ido apareciendo y siendo reseñadas en la cadena de
custodia.
5.2 Adquisición
Una vez realizada correctamente
la fase anterior, se prosigue con
la fase de adquisición: proceso
de extracción de la información
contenida en una evidencia que
tiene por razón de ser su
preservación, al obtener un
producto con el que poder
trabajar sin mayor riesgo -
idealmente una copia exacta
(copia forense)- mientras se
mantiene la evidencia original a
buen recaudo, segura, lejos de
manipulaciones que la pudieran
alterar o dañar.
Figura 33: Escena de adquisición de diversas evidencias informáticas
[Fuente] http://victorypi.com/services/computer-forensics-deleted-data-recovery
Forensically Sound
La palabra inglesa sound presenta como adjetivo según el contexto, alguno de
los siguientes significados:
En buena condición; no dañado, lesionado o enfermo
Basado en la razón, en el sentido o en el juicio
Competente, confiable o que mantiene una consideración admisible
Por forensically sound se entiende “la aplicación de un proceso forense digital
transparente que preserva el significado original de los datos para la producción
en un tribunal de justicia”. La palabra "transparente" en esta definición implica
41 McKemmish, R., 2008, in IFIP International Federation for Information Processing, Volume 285; Advances
in Digital Forensics IV; Indrajit Ray, Sujeet Shenoi; (Boston: Springer), pp. 3–15.
5.3 Documentación
Documentación del procedimiento forense al completo, desde su inicio hasta el
envío del informe final a la entidad correspondiente, siguiendo una secuencia
temporal claramente definida y con la suficiente exhaustividad para que sea
perfectamente auditable.
Así pues, esta fase de Documentación comienza ya en la primera etapa de
preservación, con la elaboración del registro documental y el comienzo de la
Cadena de Custodia, junto con la toma de notas de todo aquello que se
considere de interés en este momento.
Continúa en las fases de adquisición primero y de análisis después,
documentando toda actuación llevada a cabo: su forma, tiempo y lugar; su
resultado; y además registrando todos los acontecimientos relacionados que se
hayan ido sucediendo.
5.4 Análisis
Durante esta etapa del procedimiento se va a tratar de responder a las 6
preguntas básicas de la actividad investigadora acerca del incidente que la ha
motivado, conocidas en inglés como “las 6 W” (o “las 5 W y 1 H”):
¿Qué?, ¿Quién?, ¿Dónde?, ¿Cuándo?, ¿Cómo? y ¿Por qué?
Es por ello que, los objetivos de esta labor se pueden resumir en:
Investigar técnicamente y demostrar la existencia de un evento en particular.
Reconstruir los hechos acaecidos, determinando los fenómenos ocurridos y
los mecanismos utilizados, señalando los instrumentos u objetos de
ejecución, sus manifestaciones y las acciones que se pusieron en juego para
realizarlo.
Aportar evidencias digitales descubiertas, obtenidas siguiendo el proceso de
obtención y custodia pertinentes, para la identificación del presunto, o
presuntos, autores del hecho.
El alcance del análisis vendrá acotado por las evidencias digitales que se hayan
podido recuperar, y su enfoque marcado por la naturaleza del incidente que se
está estudiando: un acceso no autorizado a un equipo o recurso, unas amenazas
realizadas a través de una red social, un ataque de “phishing”, un caso de
pornografía infantil, el estudio de una infección por malware… Cada escenario
presenta su problemática, sus artefactos forenses deseables o de mayor
transcendencia, y por lo tanto deberá de ser estudiado por separado, preparando
un entorno de trabajo, adaptado a las particularidades del incidente, en el que
figuren las herramientas forenses adecuadas.
La ayuda que puedan brindar dichas herramientas será vital para no pasar por
alto ninguna evidencia digital o artefacto relevante, y para lograr el máximo
rendimiento a las horas invertidas en el mismo análisis, que en muchas
ocasiones tendrá que ser realizado dentro de un límite temporal ajustado, por los
plazos legales existentes o por las propias circunstancias del incidente.
Igualmente será determinante el buen hacer, la pericia y experiencia del analista
o analistas, y su conocimiento acerca del sistema que se esté analizando. Es
esencial que todo el proceso sea realizado desde un punto de vista objetivo,
evitando los prejuicios que se puedan tener, y sin descartar automáticamente
todo aquello que en un primer momento pueda ser considerado como obvio.
5.5 Presentación
Última fase del procedimiento forense, en la que se presentan los resultados
obtenidos mediante la realización de un informe pericial. Para su correcto
desarrollo se han de observar una serie de cuestiones fundamentales, entre las
que podemos destacar las siguientes:
42 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma?c=N0046980
43 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0055393
44 https://www.guidancesoftware.com
45 https://accessdata.com/products-services/forensic-toolkit-ftk
46 http://www.x-ways.net/forensics
47 https://www.sleuthkit.org
DEFT
Digital Evidence & Forensics Toolkit49 es una distribución creada, para el análisis
forense digital y la respuesta a incidentes, por la empresa Tesla Consulting srls.
48 https://www.nist.gov/software-quality-group/national-software-reference-library-nsrl
49 http://www.deftlinux.net
SIFT
Distribución elaborada y mantenida por el Instituto SANS50, Instituto de
referencia dedicado a la formación, certificación y capacitación de profesionales
en el ámbito de la seguridad informática.
SANS Investigative Forensics Toolkit está basada en la actualidad en Ubuntu
LTS 16.04, y contiene un gran número de aplicaciones forenses de código
abierto. Es el software que utiliza el propio Instituto para diversos cursos y
certificaciones.
Kali Linux
Distribución basada en Debian, diseñada para labores de auditoría y seguridad
informática en general. Desarrollada y mantenida por Offensive Security51, utiliza
esta distribución en sus curos de formación de diversas certificaciones como la
prestigiosa OSCP52.
Si bien es cierto que Kali está más enfocada a labores de pentesting, en cuanto
al análisis forense digital es bastante popular, por la fama misma de dicha
distribución y, porque incorporara un amplio número de herramientas forenses
opensource (Autopsy, Volatility, Scalpel, RegRipper…), así como ofrece la
posibilidad de trabajar en un “modo forense” en el que se asegura que no se
va a utilizar el almacenamiento interno del equipo en el que está corriendo, y se
deshabilita el automontado de medios removibles.
50 https://www.sans.org
51 https://www.offensive-security.com
52 https://www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/
Internet Evidence Finder representa una solución que, aunque de pago, debe de
ser tenida en cuenta si mediante otras aplicaciones no obtenemos los resultados
necesarios en este ámbito. Su precio es de 999$ y ofrece una prueba gratuita,
totalmente funcional, de 30 días.
53 https://www.magnetforensics.com
54 https://www.cellebrite.com
Así es normal que, para los supuestos en los que nos encontremos ante el peor
escenario posible para el analista, aun contando con las herramientas más
avanzadas del mercado, la información que se pueda obtener sea mínima o
directamente nula (si acaso, la que se pueda extraer de la memoria SD si es que
existe), a no ser que se recurra a técnicas como chip-off/JTAG en las se accede
físicamente a los chips de memoria de la placa base del dispositivo y se procede
al volcado (físico) de su contenido, técnicas que serán efectivas siempre que no
se dé la circunstancia de que la información se haya almacenado encriptada.
En cualquier caso, su elevado coste de adquisición y de actualización (las
licencias básicas de sus productos comienzan en 2.500$ y se van hasta los
9.000$ de la mencionada Ultimate 4PC), la pueden hacer inviable para
55 https://www.msab.com/es/productos/xry
56 https://www.oxygen-forensic.com
57 https://www.mobiledit.com
58 http://www.signalsec.com/saft
59 https://sourceforge.net/projects/iphoneanalyzer
60 https://www.nowsecure.com
61 https://sourceforge.net/projects/osaftoolkit
62 https://www.guidancesoftware.com/tableau/hardware/t8u
63 https://www.cru-inc.com/products/wiebetech/media_writeblocker
64 https://www.coolgear.com/product/usb-3-0-sataide-adapter-with-write-protection
6.2.2 Clonadoras
Herramientas autónomas, también conocidas como duplicadoras forenses o
“forensic duplicator” que traen embebido un software de clonación. Suelen
presentar diversos interfaces de entrada y de salida (IDE, SATA, USB…),
permitiendo realizar, según el modelo, varias copias forenses del mismo
dispositivo original en paralelo y, en modelos avanzados, de evidencias distintas
en paralelo.
65 https://www.guidancesoftware.com/tableau/hardware/td2u
66 https://www.logicube.com/shop/forensic-falcon-neo
67 http://www.diskology.com/soloIVforensic.html
TOTAL 1.180€
68 https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core+i7-8700+%40+3.20GHz&id=3099
69 https://www.cpubenchmark.net/cpu.php?cpu=AMD+Ryzen+7+1700&id=2970
7 Entorno práctico
7.1 Laboratorio forense
Se presenta, para la ejecución práctica, un laboratorio forense de coste
contenido, en el que se ha optado a nivel de software por las principales
soluciones no comerciales existentes, presentadas en el capítulo anterior.
En cuanto al hardware, el equipamiento está conformado principalmente por un
ordenador portátil, destinado a las labores de adquisición de las evidencias
digitales en la localización del incidente, junto con una estación de trabajo para
el trabajo en el laboratorio.
Memoria USB 2:
Adquisición de copias forenses: FTK Imager, OSFMount
Análisis online: Volatility, LiME, Netstat, PsList, Whatsapp-Key-DB-Extractor
Bloqueador de escritura/adaptador forense: Coolgear USBG-127ASD
Otros dispositivos:
Cámara digital
Multilector de tarjetas: SD, miniSD, microSD, ConpactFlahs y SIM
Cableado: cable USB, miniUSB, microUSB, USB3.0, USB type C y Lightning
70 https://sourceforge.net/projects/dban
8.2 Adquisición
Identificadas las evidencias físicas de naturaleza informática que existen en el
lugar, se procede a su tratamiento con el objeto de realizar una adquisición digital
lo más exhaustiva o profunda posible, dejando constancia grafica de las
actuaciones realizadas en el Anexo: Adquisición de las evidencias del caso
Teniendo en cuenta lo hallado, podemos identificar rápidamente que nos
encontramos ante dos evidencias que permiten la realización de su copia forense
(evidencias 1HD1 y 1USB1), junto con otra, el terminal 1TEL1, que sin embargo
requiere un tratamiento online, al menos en este primer momento, pues no hay
garantía de que se pueda realizar una imagen física del mismo, o de que en caso
de que el teléfono se apague/reinicie, no nos encontremos ante algún tipo de
protección o bloqueo en el inicio del sistema que nos evite realizar futuras
operaciones sobre el mismo .
Es por ello que nuestra atención se debe de centrar en el Smartphone del
sospechoso, para que, una vez acabado su tratamiento, prosigamos con las
otras dos evidencias descubiertas. A continuación, se describen las acciones
realizadas para cada una de ellas.
71 https://forum.xda-developers.com/showthread.php?t=2770982
8.3 Documentación
El proceso de documentación comienza en la fase de preservación, en la que se
le ha descrito al Fedatario Público toda actuación realizada en el ámbito forense
para que así lo haya reflejado en el acta que está redactando, Acta de Entrada
y Registro para este caso particular.
Esto incluye la descripción detallada de las evidencias encontradas (lugar y
estado), la etiquetación utilizada para identificar a partir de este momento a cada
una de ellas, las actuaciones realizadas sobre las mismas, y los resultados
obtenidos, siendo trascendental la inclusión de las firmas digitales de las
adquisiciones realizadas para el mantenimiento de su total validez legal.
Posterior a su tratamiento, se realiza el depósito de las evidencias físicas, que
quedan bajo su custodia a disposición de la Autoridad Judicial, dejando
constancia igualmente de este hecho en el Acta de Entrada y Registro,
comenzando así la cadena de custodia.
Por otra parte, las actuaciones técnicas que se van a llevar a cabo en la fase de
análisis, en un caso real se recogerían en el correspondiente informe forense,
junto con los resultados obtenidos. Dichas cuestiones, se presentan de una
manera informal en esta memoria en los dos siguientes puntos de este capítulo:
Análisis y Resultados.
8.4 Análisis
En esta fase del proceso se procede a explotar las adquisiciones realizadas, con
el propósito de recuperar la información relevante para el hecho que se está
investigando.
Tratamiento pendiente
El tratamiento que queda pendiente para este caso, en el caso de que fuera
necesario profundizar en la adquisición a más bajo nivel (volcado con permiso
de root o imagen física de la memoria del terminal), consistiría en realizar un
nuevo proceso de adquisición, provistos de la herramientas necesarias para
ello, en el que practica las actuaciones que a continuación se enumeran.
Hay que tener presente que con estas operaciones, se estaría alterando la
evidencia física, por lo que, según el caso habría que recabar primero la
autorización pertinente. Y que podrían surgir problemas asociados, que dejaran
al terminal en un estado de inoperabilidad (temporal o incluso permanente).
Si se opta por continuar con este tratamiento, habría que ser extremadamente
excrupuloso, recabando toda la información previa para asegurar una correcta
ejecución de las imprescindibles operaciones a realizar, y documentar con el
máximo rigor todo el proceso, de acuerdo con la filosofía forensically sound.
Para el modelo que nos ocupa, Motorola xt1032, el proceso consiste en:
Desbloqueo del bootloader
Para el modelo en cuestión, es necesario solicitar el código de desbloqueo
(UNIQUE_KEY) directamente a Motorola, a través de la URL: https://motorola-
global-portal.custhelp.com/cc/cas/sso/redirect/standalone%2Fbootloader%2Funlock-your-device-b
72 https://andreas-mausch.de/whatsapp-viewer
“Deuoc” de los cuales tenemos conocimiento previo que son de interés. Si fuera
preciso, en sucesivas iteraciones de este módulo, se pueden refinar nuevas
búsquedas añadiendo nuevos términos.
Finalizado el proceso de explotación por parte de Autopsy, queda patente que,
a pesar de ser un disco duro de una capacidad pequeña (80GB) para lo que es
habitual en la actualidad, la cantidad de archivos, ítems y objetos que deben de
ser revisados en todo análisis forense es realmente considerable. Por ello
siempre es bienvenida toda asistencia que las herramientas forenses puedan
aportar, y facilitar así la labor del analista. Escudriñando los primeros productos
obtenidos, se abren las líneas de análisis que se presentan seguidamente.
Keyword Search
Con 1239 positivos para los 5 términos relevantes introducidos a priori, se
destaca la siguiente información:
Término “Alice” (151):
Ubicado en “/users/mallory/AppData/Roaming/Apple Computer/MobileSync/Backup”
encontramos una copia de seguridad del móvil iPhone de Alice, en el que
se han encontrado conversaciones de WhatsApp tanto con Bob como
con Mallory
Aparece un usuario “Alice” en el equipo
Registro de Windows
Detectado que se trata de una máquina con Windows, se continua con el
tratamiento de los ficheros del Registro, que proporcionarán en la mayoría de los
casos información de relevancia, tanto de la maquina como del propio usuario.
Aunque Autopsy ya nos recupera cierta información extraída del propio registro,
se procede a extraer los archivos que lo conforman (DEFAULT, SAM,
SECURITY, SOFTWARE, SYSTEM y NTUSER) y a su tratamiento con la utilidad
Registry Decoder, aplicación que para cada uno de estos archivos presenta una
serie de plugins especializados en extraer una información particular y
presentarla de una manera clara y amigable. De este proceso, obtenemos los
siguientes resultados:
SO: Windows 10 Pro (Build 17134)
Nombre del equipo: MALLORY-PC
Usuarios: Administrador, Mallory y Alice
El equipo se ha conectado en al menos una ocasión a la red WiFi
“BiblioUOC”
El dispositivo FLASH USB con S/N CF54XXXX (1USB1) se ha conectado en
al menos una ocasión al portátil 1POR1
Documentos recientes: En esta lista existe, entre otros, referencia a los
siguientes archivos:
plan.docx
MakerBot_Replicator_2X_User_Manual.pdf
anuncio.docx
Liberator.zip
Archivos recuperados
A excepción del archivo borrado “Liberator.zip” que se ha podido recuperar en
su ubicación original (“/Usuarios/Mallory/Descargas”), el resto de información
recuperada archivos han necesitado de data-carving para su recuperación:
Archivos correspondientes al ÍTEM1_1HD1: Fotos de Alice y Mallory
Se ha recuperado una de las tres fotos eliminadas de la pareja que se
almacenaban en los documentos del usuario antes de ser eliminadas
definitivamente
Archivo del ÍTEM3_1HD1: Construcción de una pistola una impresora 3D
Se ha recuperado el archivo con los planos de la pistola 3D (archivo
borrado “Liberator.zip” recuperado del directorio de descargas del
usuario)
No se ha recuperado el manual de la impresora 3D
Sin embargo, se han obtenido tres resultados reseñables que se deben destacar:
Archivo del ÍTEM2_1USB1: Venta de impresora 3D
Se ha podido recuperar una de las fotos realizadas por Mallory para
utilizarla en el anuncio de venta de la impresora, a pesar de que como se
ha comentado, este anuncio y la copia de las fotos desde el móvil 1TEL1
se realizó exclusivamente a la memoria 1USB1. Dicha foto se ha
recuperado del “espacio no asignado”, posiblemente de una ubicación
ocupada por el archivo de paginación en un momento pasado
Analizando las imágenes recuperadas, se recuperan muchas de ellas, de
tipo PNG, creadas como consecuencia de actividad de navegación web,
destacando la temática común que presentan, las impresoras 3D, y de entre
ellas, especialmente las 2 imágenes de pistolas impresas con dicha
tecnología
Archivos de miniaturas
Del archivo de miniaturas “thumbcache_1280.db”, una vez procesado con
la utilidad thumbcache_viewer, se han podido recuperar las miniaturas
de las 3 fotos del ÍTEM1_1HD1 así como de las otras 3 fotos del ítem
ÍTEM2_1USB1
Actividad en Internet
En cuanto a la actividad en Internet, destaca la práctica ausencia de resultados
en la categoría Web Bookmarks, en la que se obtiene 7 URLs que además
carecen de interés, por lo parece que, de momento, el borrado del historial de
los navegadores Internet Explorer y Mozilla Firefox ha conseguido su finalidad.
Se procede a recuperar de la imagen forense el perfil del usuario Mallory, dentro
del cual se encuentran albergadas las cachés de los mencionados navegadores
web, para ser tratadas con la herramienta BrowsingHistoryWeb y comprobar si
ofrece mejores resultados que los ya obtenidos. Realizado el proceso, se
recuperan 42 entradas, un número superior pero igualmente sin relevancia.
Para finalizar el tratamiento automatizado de este tipo de artefactos se
aprovecha la posibilidad existente de descargar un trial de 30 días, totalmente
funcional, de la aplicación comercial Internet Evidence Finder y comprobar su
desempeño. Sin embargo, los nuevos resultados que consigue obtener IEF de
interés para el caso se circunscriben a la recuperación de dos búsquedas
realizadas:
“maps calle alfonso decimo el sabio lugo” (dirección de la casa de Bob)
“makerbot replicator 2x manual”
Igualmente ha quedado patente que la eliminación del historial de navegación
web por parte del usuario para dificultar la labor de los investigadores ha
conseguido en cierta medida su objetivo, por lo menos de manera parcial, hasta
que se realice una búsqueda manual, bastante laboriosa, tal y como se va a
describir en el apartado de tratamiento pendiente.
Backup de iPhone
Gracias a la búsqueda del término “Alice” se ha detectado de inmediato la
existencia de una copia de seguridad en el ordenador de Mallory de lo que
parece ser el teléfono Iphone de la sospechosa.
Se procede al volcado desde su ubicación en
“/users/mallory/AppData/Roaming/Apple Computer/MobileSync/Backup y al
posterior tratamiento con el aplicativo Dr Fone, que nos va a permitir la
visualización gráfica de su contenido sin tener que realizar el análisis “a mano”.
La información de relevancia para el caso, que encontramos en dicho backup,
se resume a continuación:
Dispositivo: iPhone 5 (iOS 10.3.3) con S/N C38XXXXXXX
Se recuperan dos fotos: Una de la pareja Alice y Mallory, y la otra de Bob
Figuran dos contactos en el dispositivo: el de Bob, y el de Mallory (que
aparece guardado como “Tontito”)
Se recuperan dos conversaciones de WhatsApp, una con Mallory, que
concuerda con la recuperada en smartphone Android del sujeto, y otra con
Bob, en la que lo acosa verbalmente por haberla dejado
Búsquedas en Google:
“manipular frenos coche”
“contratar sicario”
“envenenar animal grande”
Páginas visitadas:
“Detenido por intentar matar a su ex cortando frenos de su coche”
“Prisión por manipular los frenos del coche de su mujer con la que estaba
en trámites…”
“Encarcelada por acudir dos veces a Internet para contratar sicarios”
Tratamiento pendiente
A la vista del resultado obtenido en la parcela de actividad en Internet por parte
de las herramientas utilizadas, el tratamiento pendiente para este dispositivo
consistiría en el análisis manual de los archivos de cache web eliminados,
archivo de paginación, archivo de hibernación y espacio no asignado, en
búsqueda de las trazas de actividad deseada, su análisis pormenorizado y su
posterior documentación para argumentar los hallazgos realizados.
Para guiar esta búsqueda e identificar las ubicaciones en las que profundizar,
sería recomendable (casi obligatorio) utilizar los resultados obtenidos por el
módulo keyword search, refinando la lista de términos a buscar por una parte, y
teniendo en cuenta los resultados basados en expresiones regulares para
direcciones web y direcciones de correo por la otra.
Además, las imágenes PNG de tamaño contenido que nos han llamado la
atención, características de ser un producto residual de actividad de navegación
web, también aportan información acerca de la actividad que se ha mantenido
en el equipo y de la que por lo tanto puede permanecer algún indicio a la espera
de ser descubierto.
1HD1
Para esta evidencia física, se han conseguido resultados dispares para los
diferentes ítems generados, pero dentro de lo que cabría esperar, al tratar con
información borrada, que como ya se ha visto en este trabajo, queda expuesta a
ser sobrescrita con nuevo contenido:
Respecto a las fotos de Alice y Mallory, sólo se ha podido recuperar una de
ellas. Sin embargo, mediante el fichero de miniaturas correspondiente, si se
ha podido demostrar que en algún momento pasado, dichas fotos han estado
presentes en el sistema Windows que se ejecutaba en la evidencia 1POR1
Relacionado con las amenazas a través de Facebook, en este estadio del
análisis se ha podido concretar:
El equipo 1POR1 presenta rastros, en el registro de Windows,
relacionados con la conexión a la red WiFi con SSID “BiblioUOC”
Se han recuperado trazas de actividad relacionadas con la cuenta de
correo “johndeuoc@hotmail.com” por un lado, y con la cuenta de
Facebook ““John Deuoc” por la otra, quedando pendiente una mayor
profundización en este sentido
Acerca de a la actividad en Internet, se han recuperado unas pocas trazas
relacionadas con las actividades buscadas, quedando pendiente un
tratamiento manual más exhaustivo. La eliminación de los historiales de los
navegadores utilizados ha conseguido dificultar la investigación, de
momento
Si hablamos de los indicios sobre la impresora 3D y su utilización, solo se ha
podido recuperar los planos descargados de la pistola “Liberator”
Del backup del dispositivo iPhone se ha podido recuperar toda la información
de interés, al no haber sido almacenado encriptado, algo que posiblemente
hubiera imposibilitado tal logro
Y de nuevo, gracias al registro de Windows, ha quedado demostrado que la
memoria 1USB1 ha estado conectada al portátil 1POR1
1USB1
1TEL1
9 Conclusiones
Este trabajo nació con el objetivo fundamental de recabar y presentar de una
forma accesible y compresible, los conceptos básicos de la Informática Forense
a todo aquel que, teniendo un perfil ligeramente técnico, esté interesado en este
campo.
Para ello se ha concebido este proyecto como una introducción, a modo de guía,
en la que se ha prestado especial atención a los conceptos clave de la disciplina
forense informática: los aspectos técnicos sobre los que se sustenta, los
requisitos legales y normativos que la gobiernan junto con las buenas prácticas
recomendadas, así como las fases existentes en el procedimiento de análisis
forense digital.
A continuación, se ha procedido a presentar las herramientas forenses
existentes en el mercado actual. Con la premisa de facilitar la labor de
implementar un laboratorio forense perfectamente funcional pero sin que ello
suponga un enorme desembolso económico, a nivel de software se ha hecho
especial hincapié en las principales soluciones no comerciales, y a nivel de
hardware se han discutido los requisitos mínimos que se deben observar a la
hora de implementar un sistema de escritorio como estación forense con una
buena relación calidad/precio.
Por último, se ha recreado un escenario ficticio en el que aplicar el conocimiento
adquirido y, de paso, servir de pequeño tutorial para la ejecución del
procedimiento de análisis forense haciendo uso de las utilidades escogidas.
Durante el desarrollo de esta memoria se ha podido profundizar en ciertos
aspectos o fenómenos, que requerían de un mayor detalle para su mejor
entendimiento; han quedado patentes algunas de las principales problemáticas
de la labor forense; y se han podido destacar ciertas carencias del estado actual
de la técnica, que abren nuevas vías de desarrollo que la ciencia forense
informática deberá afrontar.
Se considera que se han alcanzado los objetivos de esta primera aproximación
a la Informática Forense -al menos desde su dimensión recopilatoria y
centralizadora de conocimiento- a pesar de todo aquello que no ha podido ser
abarcado en mayor profundidad que, sin embargo, constituyen excelentes líneas
de trabajo futuro, algunas de ellas proyectos complementarios ideales a esta
introducción.
En cuanto a la planificación, se ha podido cumplir con la inicialmente establecida
sin mayores cambios que la redistribución del capítulo concebido en origen para
las definiciones y conceptos en dos capítulos independientes: el primero de ellos,
relativo a las definiciones formales, previo al capítulo del marco legal, y el
segundo, con los aspectos técnicos, antecediendo al procedimiento forense.
Sobre la metodología aplicada, en la que desde una base teórica se va
progresando hacia una aplicación práctica, se considera que queda en la mano
del lector de este documento el valorar su idoneidad para sacarle provecho a las
labores de investigación, divulgación y experiencia aquí expuestas.
10 Glosario
Atomicity, Consistency, Isolation and Durability. Propiedades de
ACID las transacciones de los sistemas de gestión de bases de datos.
GUI Graphic User Interfaz. Interfaz de tipo grafico o visual que ofrecen
la mayoría de programas para interactuar con el usuario
Not AND. Puerta lógica que produce una salida falsa solamente si
NAND todas sus entradas son verdaderas. Con esta tecnología se suelen
construir las memorias Flash
USB Universal Serial Bus. Estándar que define los cables, conectores
y protocolos usados en un bus para conectar, comunicar y proveer
de alimentación eléctrica entre computadoras, periféricos y
dispositivos electrónicos.
11 Bibliografía
ASOCIACIÓN DE INGENIEROS E INGENIEROS TÉCNICOS EN
INFORMÁTICA, 2009. Código Deontológico [en línea]. Enero 2009. S.l.: s.n.
[Consulta: 8 octubre 2018]. Disponible en: http://www.ali.es/wp-
content/uploads/sites/4/2015/10/COD_DEONT_20081010-CON-
modificacionesMD-y-AGE-v03.pdf.
DIRECTIVA (UE) 2016/1148 relativa a las medidas destinadas a garantizar un
elevado nivel común de seguridad de las redes y sistemas de información en la
Unión, [sin fecha]. S.l.: s.n.
DR. STEVEN SWANSON (UNIVERSITY OF CALIFORNIA, SAN DIEGO), [sin
fecha]. Destroying Flash Memory-Based Storage Devices (draft v0.9) [en línea].
S.l.: s.n. [Consulta: 22 octubre 2018]. Disponible en:
http://cseweb.ucsd.edu/~swanson/papers/TR-cs2011-0968-Grind.pdf.
ENFSI, 2015. Best Practice Manual for the Forensic Examination of Digital
Technology [en línea]. Noviembre 2015. S.l.: s.n. [Consulta: 4 noviembre 2018].
Disponible en: http://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf.
ENISA, 2015. Electronic evidence - a basic guide for First Responders [en línea].
25 marzo 2015. S.l.: s.n. [Consulta: 10 octubre 2018]. Disponible en:
https://www.enisa.europa.eu/publications/electronic-evidence-a-basic-guide-for-
first-responders/at_download/fullReport.
HARLAN CARVEY, 2014. Windows Forensic Analysis Toolkit. 4th Edition. S.l.:
s.n. ISBN 978-0-12-417157-2.
HEATHER MAHALIK, 2014. Open Source Mobile Device Forensics [en línea].
2014. S.l.: s.n. [Consulta: 18 noviembre 2018]. Disponible en:
https://www.nist.gov/document-3183.
INCIBE, 2014. Guía de toma de evidencias en entornos Windows [en línea].
Noviembre 2014. S.l.: s.n. [Consulta: 10 octubre 2018]. Disponible en:
https://www.incibe-
cert.es/sites/default/files/contenidos/guias/doc/incibe_toma_evidencias_analisis
_forense.pdf.
INCIBE, 2016. Guía sobre borrado seguro de la información [en línea]. 2016. S.l.:
s.n. [Consulta: 22 octubre 2018]. Disponible en:
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_cibersegurid
ad_borrado_seguro_metad.pdf.
INCIBE, 2018. Código de Derecho de la Ciberseguridad [en línea]. S.l.: s.n.
[Consulta: 19 octubre 2018]. ISBN 978-84-340-2330-7. Disponible en:
https://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derech
o__de_la_Ciberseguridad.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2011. ISO/IEC
27035:2011 Information security incident management [en línea]. Septiembre
TIM PROFFITT (SANS INSTITUTE), 2012. Forensic Analysis on iOS Devices [en
línea]. 5 noviembre 2012. S.l.: s.n. [Consulta: 29 noviembre 2018]. Disponible en:
https://www.sans.org/reading-room/whitepapers/forensics/paper/34092.
UNE, 2011. UNE 197001:2011 Criterios generales para la elaboración de
informes y dictámenes periciales [en línea]. 23 marzo 2011. S.l.: s.n. [Consulta:
8 noviembre 2018]. Disponible en: https://www.une.org/encuentra-tu-
norma/busca-tu-norma/norma?c=N0046980.
UNE, 2013a. UNE 71505-2:2013 Parte 2: Buenas prácticas en la gestión de las
evidencias electrónicas [en línea]. 3 julio 2013. S.l.: s.n. [Consulta: 16 octubre
2018]. Disponible en: https://www.une.org/encuentra-tu-norma/busca-tu-
norma/norma?c=N0051412.
UNE, 2013b. UNE 71506:2013 Metodología para el análisis forense de las
evidencias electrónicas. [en línea]. 3 julio 2013. S.l.: s.n. [Consulta: 16 octubre
2018]. Disponible en: https://www.une.org/encuentra-tu-norma/busca-tu-
norma/norma/?c=N0051414.
UNE, 2015. UNE 197010:2015 Criterios generales para la elaboración de
informes y dictámenes periciales sobre Tecnologías de la Información y las
Comunicaciones (TIC) [en línea]. 9 septiembre 2015. S.l.: s.n. [Consulta: 17
octubre 2018]. Disponible en: https://www.une.org/encuentra-tu-norma/busca-tu-
norma/norma/?c=N0055393.
YARIK MARKOV, M.S., [sin fecha]. The first collision for full SHA-1. [en línea],
[Consulta: 21 octubre 2018]. Disponible en:
https://shattered.io/static/shattered.pdf.
12 Anexos
12.1 Anexo: Planificación detallada y riesgos del proyecto
Riesgo Descripción
La informática forense es un campo relativamente cerrado, cuya
R1 enseñanza se ciñe mayoritariamente a iniciativas privadas de muy
alto coste, por lo que la documentación de calidad puede ser de
difícil acceso y recolección.
Contactos
Keyword Search
Registro de Windows
Registry Decoder
Archivos recuperados
Thumbcache_viewer
Actividad en internet
BrowsingHistoryView
Dr. Fone
Archivos recuperados
Análisis de metadatos