4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 1
TALLER
ANALISIS FORENSE DE UN CASO DE ROBO DE IDENTIDAD 11 Abril 2008 Universidad Tecnológica Nacional , Facultad Regional Santa Fe
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE gustavo@presman.com.ar www.presman.com.ar
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 2
AGENDA
Planteo del caso . Marco Legal Evidencias disponibles Que busco en un caso de robo de identidad ? Virtualizacion de Evidencia Analisis del disco compacto incautado Analisis de la imagen forense disponible .
Analisis de Signatures y hashes Analisis de la geometria de las unidades Analisis de Papeleras de reciclaje Analisis de Actividad en Internet
Hallazgos y Conclusiones
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 3
El caso El domicilio del imputado Gustavo Presas es compartido por otros estudiantes que utilizan todos la misma PC. En fecha 03/02/2008 se realiza un allanamiento en el domicilio y se secuestra la PC , dos días después la dependencia policial realiza una imagen forense de la misma , la cual se le remite junto con un disco compacto que se encontraba con las pertenencias del imputado en el momento de su detención . Se pide que determine : • 1) Si la PC ha sido utilizada para actividades vinculadas con el Robo de Identidad denunciado • 2) Si el imputado puede ser considerado el usuario de la PC , vinculándolo al hecho investigado. • 3)
Cualquier otro dato de interés para la Investigación
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 4
MATERIAL APORTADO 1) ARCHIVO DE EVIDENCIA* HD Presas.E01
d1aedf4cdc83b4c724ab989291375f1a
2) DISCO COMPACTO
*Fuente : NIST : National Institute of standards and technology - http://www.cftt.nist.gov/
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 5
Que busco en un caso de robo de identidad ?
Listados e Imรกgenes de tarjetas de Credito Listados e Imรกgenes de Documentos de Identidad Listados de passwords Sitios visitados Documentos de procedimientos Impresiones realizadas de documentos , cheques , etc... Conversaciones de chat ...
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 6
VIRTUALIZANDO LA EVIDENCIA Frecuentemente el investigador necesitara acceder a la evidencia de manera directa :
• • •
Para utilizar una herramienta sobre la unidad Para ejecutar un analisis antivirus Para Visualizar y presentar la evidencia de modo mas “real”
Restaurar la evidencia original en un medio alternativo levantar la evidencia en una VM
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
VIRTUALIZANDO LA EVIDENCIA
*http://www.mountimage.com/ http://liveview.sourceforge.net/
7
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 8
LABORATORIO
VIRTUALIZANDO LA EVIDENCIA CON VMWare
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
ANALISIS DE CD/DVD • • – – –
La autenticacion MD5 de un CD/DVD puede fallar por el corrimiento de las unidades de lectoescritura La Estructura fisica de un CD/DVD esta formada por tracks (pistas) .Un disco puede ser grabado : Track at Once Disk at Once Packet writing/Incremental recording
Un CD/DVD puede contener multiples sesiones La Estructura Logica de los HD no es apta para CD/DVD: – ISO 9660 (Win/Mac) – UDF (Win/Mac) – JOLIET (Win) – HFS/HS+ (Mac)
9
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 10
LABORATORIO
PROCESANDO EL CD CON ENCASE FORENSIC
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
ANALISIS DE LA IMAGEN FORENSE DISPONIBLE
11
Independientemente de las herramientas empleadas , se trata de buscar suficiente evidencia para sostener un caso , en nuestro caso , esto incluye : • • • •
Obtencion de elementos eliminados (Particiones , carpetas y archivos) Analisis de signatures y hashes Analisis de Papelera de reciclaje Actividades en internet (sitios visitados , actividades realizadas)
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 12
ANALISIS DE FIRMAS (SIGNATURE ANALYSIS)
El Analisis de Firmas permite: Encontrar , dentro del File System , archivos que han sido renombrados
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?
ANALISIS DE FIRMAS (SIGNATURE ANALYSIS)
13
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 14
ANALISIS DE INDICES (HASH ANALYSIS)
El Analisis de Hash permite: Restringir el objeto de estudio :El Investigador forense utilizara hash sets publicos (NIST , Hash) , privados (LE) o propios Identificar univocamente archivos “notables” : El investigador creara sus propios Hash sets para encontrar de manera univoca archivos determinados
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 15
ANALISIS DE INDICES (HASH ANALYSIS)
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 16
ANALISIS DE LA GEOMETRIA DE UNIDADES
El investigador debe analizar la geometría de las unidades. Determinar la totalidad de sectores en el dispositivo y verificar que los mismos estén asignados a particiones de la unidad , de lo contrario realizar una recuperación y montar las eventuales particiones eliminadas
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 17
ANALISIS DE ACTIVIDAD EN INTERNET Es el anรกlisis de los sitios visitados y su correlaciรณn temporal con la investigaciรณn . Incluye la evacuaciรณn de las eventuales actividades. Este anรกlisis se realiza sobre las carpetas y archivos del espacio conocido como cache de Internet , el cual es creado y mantenido por los navegadores de Internet . Para nuestro caso el cache del Internet Explorer se encuentra en los archivos INDEX.DAT
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 18
LABORATORIO
PROCESANDO EL CASO CON ENCASE FORENSIC
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 19
HALLAZGOS Es posible afirmar que el usuario :
Borro la carpeta Mis documentos en la segunda Particiรณn Borro la carpeta Musica para mis oidos en la segunda particiรณn Elimino la segunda particiรณn Renombro un ZIP como MP3 Renombro una imagen JPG como DLL Navego por sitios relacionados con el delito cometido Descargo imรกgenes para cometer sus ilicitos Grabo imรกgenes y documentos en una sesion oculta del CD
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 20
CONCLUSIONES Del Analisis Forense Informatico que acabamos de efectuar : Se prueba que las las imágenes y el documento escondidos en el CD son idénticos a los existentes en la PC
Se prueba que el usuario deliberadamente ocultó y eliminó información
4to Seminario y Taller de Segu-Info PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos? 21
TALLER
ANALISIS FORENSE DE UN CASO DE ROBO DE IDENTIDAD
Muchas Gracias por su participacion
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE gustavo@presman.com.ar www.presman.com.ar