Respuesta Al Reto Forense Propuesto Por La Comunidad Dragonjar

RETO FORENSE I
RESUMEN EJECUTIVO
Fco. Javier GJ
f_javi@msn.com

20/01/2010

Fco. Javier GJ
Informe Ejecutivo 20-01-2010

Introduccin Como estudio resultante al reto forense propuesto por la comunidad DrangoJar, se pretende describir el resumen tcnico realizado a un sistema informtico, propiedad de un usuario que presuntamente cometi un ilcito penal consistente en un CiberBullying y distribucin de pornografa a travs de internet. Para tal fin, se facilita una evidencia consistente en una snapshot en formato

Reto Forense I - DrangonJar.org -

.wmdk (Virtual Machine Disk). Anlisis Para realizar el anlisis de la evidencia, se mont la misma sobre la aplicacin VmWare Workstation y se utilizaron herramientas de anlisis forense, la mayora de ellas en sus versiones free, entendiendo que el objeto del mismo, es de carcter educativo y por ello para que pueda realizarse por cualquier usuario sin necesidad de invertir en herramientas comerciales. En un segundo informe de carcter tcnico, se describirn los pasos y evidencias encontradas detalladamente. Resumen de los Hechos En base a las pruebas encontradas, a la forma de proceder por parte del usuario del ordenador sobre las mismas y a la cronologa de los hechos obtenemos que: El sistema operativo objeto de estudio es un Windows Xp Profesional con Sp3, licenciado e instalado en fecha 15-12-2009, registrado a Scarface. Como dato importante para el estudio, se aprecia la instalacin de la aplicacin TrueCrypt, lo que hace pensar la posible existencia de volmenes encriptados en el disco. Se encuentran rastros de imgenes de contendido pedfilo en algunos directorios temporales 1. Una de las imgenes existentes en la carpeta Mis imagenes contiene datos ocultos mediante la tcnica de Alternate Data Streams 2, y que una
1 2

Archivos Temporales de Internet el Historial del Messenger Caracterstica en los sistemas Ntfs en los que se oculta un fichero dentro de otro.

Fco. Javier GJ
Informe Ejecutivo 20-01-2010

vez extrado, obtenemos un ejecutable de la aplicacin Steganos loocknote conteniendo el mismo una direccin web con usuario y contrasea. Se localizan en cluster no asignados del disco, rastros de conversaciones a travs del Messenger con usuarias a las que se les pide fotografas, se les engaa y se les amenaza para el envo de las mismas. Se encuentra un archivo sin extensin y cifrado con la aplicacin TrueCrypt y que una vez se accede al mismo se aprecian imgenes de contenido pedfilo siendo las mismas las solicitadas a las usuarias contactadas a travs de Microsoft Messenger. Existen rastros de la apertura de una cuenta en el dominio ImgScr.ru3 y que una vez se accede a la cuenta personal del usuario Scarface123 se aprecian dos (2) lbunes que contienen fotografas de carcter pedfilo y que coinciden en nombre con las enviadas por una de las usuarias con las que se mantienen conversaciones va Messenger y en contenido con las localizadas en las carpetas temporales del historial del Messenger, as como en el volumen cifrado con la aplicacin TrueCrypt. En los archivos abiertos recientemente se aprecia la existencia de carpetas y ficheros que contenan informacin incriminatoria ya que hacen referencia a imgenes que por el nombre son susceptibles de contener pornografa infantil, as como el historial de conversaciones mantenidas a travs del Messenger y que han sido eliminados por parte del usuario. Conclusiones 1. Se han utilizado herramientas de cifrado de archivos, as como mtodos de ocultacin de ficheros. 2. Se han eliminados evidencias que presuntamente pueden incriminar al usuario del sistema analizado. 3. Existen rastros de conversaciones mantenidas a travs del Messenger en las que se amenaza y engaa a usuarias con la finalidad de conseguir fotografas de las mismas desnudas.
3

Servidor de lbunes fotogrficos y utilizado con asiduidad para almacenar y compartir pornografa infantil.

Fco. Javier GJ
Informe Ejecutivo 20-01-2010

4. Se puede afirmar que el usuario del sistema analizado posee imgenes de contenido pedfilo. 5. Se puede afirmar que el usuario del sistema analizado, ha colgado en internet fotografas de carcter pedfilo si bien en este anlisis no es posible afirmar que las mismas hayan sido compartidas con otros usuarios de internet. Para ello, se solicitar al proveedor del dominio ImgScr.ru el log,s de conexiones de acceso a la cuenta Scarface123 propiedad del usuario del sistema analizado. Recomendaciones Contactar con los padres o tutores de las usuarias objeto del CiberBullying y ponerlos en antecedentes de lo sucedido. Asesorar a las menores objeto del ilcito penal con la finalidad de informarles de los peligros que conlleva la distribucin de fotografas de carcter ntimo o personal con ninguna persona en internet e incluso con aquellos a los que crees conocer, as como la revelacin de datos personales y/o familiares. Que ante una situacin similar a la acaecida, guarden todas las conversaciones o sucesos, para poder ponerlo a disposicin de las autoridades y facilitar o ampliar de esta forma la labor de investigacin. Que compartan con sus padres o responsables cualquier incidencia o hecho sucedido a travs de internet y que crean que puede constituir un ilcito penal. Que los padres no acten por su cuenta ante una situacin que se pueda repetir parecida a la acaecida y que lo pongan en conocimiento de la polica. Que dejen de utilizar la cuenta de correo y el usuario objeto de los ataques de CiberBullying.