El papel del Software Libre en el Cmputo Forense

Ing. Romeo A. Snchez L.

CISSPCEH CCNA CCSI SCJP

Lo dice hasta la Wikipedia

Es la aplicacin de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal

Correcta recoleccin de la evidencia (asegurar proteccin contra escritura e integridad de las copias) Anlisis metdico y preciso Control de la cadena de custodia de la evidencia Conocimiento de la legislacin

Carencia de software especializado para buscar la informacin en varias computadoras. Posible dao de los datos visibles o escondidos, an sin darse cuenta. Ser difcil encontrar toda la informacin valiosa. Es difcil adquirir la categora de 'experto' para que el testimonio personal sea vlido ante una corte. Los errores cometidos pueden costar caro para la persona o la organizacin que representa. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia. Falta de experiencia para mostrar, reportar y documentar un incidente computacional. Dificultad para conducir la investigacin de manera objetiva.

Formateaste el disco? Sorpresa! Tus archivos an estn ah

Los archivos

permanecen fsicamente an despus de borrarlos o incluso al formatear un disco.

Plataformas de cmputo Sistemas operativos Sistemas de almacenamiento Sistemas de archivos Formatos de archivos Registros de memoria Redes y comunicaciones Binario y Hexadecimal Dispositivos mviles Criptografa Tcnicas anti-forense

Adquisicin de datos Ambientes de arranque (bootable) Sistemas de archivos y volmenes Memoria Red

dd Utilidad de Unix para copiar datos de un archivo a otro guymager Creador de imgenes forenses netcat Utilidad de Unix para enviar datos por la red UnixUtils Herramientas de GNU para Windows (como dd) que no requiere DLLs libewf Biblioteca para leer y escribir archivos en formato EnCase EWF (Expert Witness Compression Format)

Crees que tus fotos son privadas? Sorpresa! Almacenan ms informacin de la que crees
Las fotografas digitales almacenan metadatos. El formato ms utilizado es EXIF (Exchangeable Image File Format)

GPS Version ID = 0x02,0x00,0x00,0x00 GPS Latitude Reference = N GPS Latitude = 33/1,52/1,129675/4096 [degrees, minutes, seconds] ===> 33 52 31.65894 == 33.875461 GPS Longitude Reference = W GPS Longitude = 116/1,18/1,23882/4096 [degrees, minutes, seconds] ===> 116 18 5.83057 == 116.30162

DEFT Linux Boot CD CAINE Live CD FCCU Linux Forensic Bootable CD

DEFT Linux Boot CD Proyecto italiano que combina herramientas open source para cmputo forense. Incluye herramientas freeware para Windows.

CAINE Live CD (Computer Aided INvestigative Environment) Distribucin GNU/Linux italiana con herramientas para forenses digitales.
Estn hablando de m?

Horatio Caine CSI: Miami

FCCU Linux Forensic Bootable CD Proyecto de Blgica con el propsito principal de crear imgenes de dispositivos previo al anlisis.

Cerraste tu aplicacin web? Sorpresa! Tu contrasea y datos puede estar an en memoria

Hay datos remanentes en RAM o en buffers cuando las aplicaciones no liberan adecuadamente la memoria. Esos datos estn a un memory-dump de distancia, y se visualizan fcilmente con un editor hexadecimal.

The Sleuth Kit Utilidad para el anlisis de file systems NTFS, FAT, FFS, y particiones BSD, Sun, Mac, etc., y recuperacin de contenido borrado. Autopsy Forensic Browser The Sleuth Kit, pero con interfaz grfica. File System Investigator Utilera que visualiza sistemas de archivo (independiente de plataforma) de manera fornsicamente segura. Linux Loopback Utilera para montar file systems en modo slo-lectura para anlisis forense PTK Otra alternativa para The Sleuth Kit, con mdulos adicionales

Volatility Herramienta forense que extrae informacin de la memoria voltil (RAM), incluso de sistemas en hibernacin y de archivos crash-dump. pyflag (Forensic and Log Analysis GUI) Analiza logs, capturas de red e imgenes de disco para recuperar archivos mediante file carving Unhide Herramienta forense que encuentra procesos ocultos y puertos TCP/UDP abiertos por rootkits o LKM (Loadable Kernel Modules)

Wireshark Analizador de protocolos de red y capturador de paquetes de red. Xplico Interpreta archivos de captura de red y extrae el contenido de datos de aplicacin (como correos por SMTP o pginas por HTTP) tcpdump Analizador de protocolos de red. smtpcat Identifica y muestra conversaciones SMTP (correo electrnico) a partir de una captura de red

Tu Smartphone no es tan smart cuando guarda ms informacin de la necesaria

Los telfonos almacenan datos de geo-localizacin, mensajes enviados y recibidos (incluso borrados), palabras frecuentes en diccionario, etc.

Borrado seguro de datos Sobre-escritura de metadatos Prevencin de escritura y creacin de datos Datos cifrados (criptografa) Protocolos de red cifrados Encapsuladores de programas Esteganografa Ocultamiento genrico de datos Detectores de anlisis forense Caso COFEE (Computer Online Forensic Evidence Extractor) vs DECAF (Detect and Eliminate Computer Assisted Forensics)

Gracias!
El papel del Software Libre en el Cmputo Forense

Ing. Romeo A. Snchez Lpez

CISSPCEH CCNA CCSI SCJP