Analisis forense (informática forense)

1.      Introducción

La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes.

En España, la organización más prestigiosa a este respecto es el es-CERT.

Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En España, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Raúl Siles (HP), Javier Fernández-Sanguino (Germinus) y Antonio Javier García Martínez (Telefónica Móviles).

Entre las revistas especializadas se encuentran International Journal of Digital Evidence, que acaba de liberar su edición Winter 2004; y Digital Investigation, que ofrece de forma gratuita su primer número.

Dentro de las distribuciones linux específicas para informática forense destacan F.I.R.E. Linux (Forensic and Incident Response Environment) y Honeynet CD-ROM.

Existen varias unidades especializadas en Informática forense entre las Fuerzas de Seguridad, como por ejemplo el Grupo de Delitos Telemáticos de la Guardia Civil (España), la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía (España), la National Hi-Tech Crime Unit (Inglaterra) o el Laboratorio de Informática forense del Departamento de Defensa (Estados Unidos). Un interesante portal sobre Delitos Informáticos, es precisamente el denominado Delitos Informáticos.

2.      La Brigada de Investigación Tecnológica

La Brigada de Investigación Tecnológica, perteneciente al Cuerpo Nacional de Policía, se creó en 1995 y ha evolucionado desde los 3 agentes iniciales a 28 y en la actualidad cuenta con 32 miembros. Está localizada en el complejo policial de Canillas de Madrid y ha realizado más de 300 detenciones en la primera mitad del año 2004, con múltiples denuncias diarias que se resuelven en su mayor parte en los juzgados de Plaza de Casilla.

Los datos de la brigada son:

CUERPO NACIONAL DE POLICÍA
Brigada de Investigación Tecnológica
Sección Técnica
Tlf: 91-582 27 47
CENTRO POLICIAL
C/ Julián González Segador, S/N
28043 Madrid.

Depende de la Comisaría General de Policía Judicial, que a su vez depende de la Subdirección General Operativa (Miguel Ángel Fernández Chico), dependiente de la Dirección General de la Policía (Víctor García Hidalgo), dependiente de la Secretaría de Estado de Seguridad (Subsecretario), que reporta al Ministerio del Interior (José Antonio Alonso), según el Real Decreto 1449/2000, de 28 de Julio, de estructura Orgánica Básica del Ministerio del Interior.

Entre sus miembros destacan el Comisario Jefe Juan Hidalgo (2001). el Comisario Jefe Carlos Lobato, la Inspector Jefe de Grupo Operativo del Grupo de Fraudes en Internet, María Nieves Gamoneda (2004), el inspector José Manuel Colodrás y Carlos García Rodríguez, Jefe del Grupo de Delitos Informáticos de la Brigada de Delincuencia Económico-Financiera de la Unidad Central de Policía Judicial (1999).

Entre los delitos más habituales investigados se encuentran:
* Protección al menor: producción, distribución y posesión de pornografía infantil
* Fraude en las comunicaciones: locutorios telefónicos clandestinos
* Dialers: modificación oculta del número de teléfono de destino
* Producción y distribución de decodificadoras de televisión privada
* Fraudes en Internet: estafas, subastas ficticias y ventas fraudulentas. Puede denunciarse este tpo de prácticas enviando los correos recibidos de Phishing a fraudeinternet@policia.es
* Carding: uso de tarjetas de crédito ajenas o fraudulentas
* Phising: redirección mediante correo electrónico a falsas páginas simuladas trucadas (común en las mafias rusas)
* Cartas nigerianas (segunda fuente de ingresos del país, según el FBI; después del petróleo)
* Seguridad lógica: virus, ataques de denegación de servicio, sustracción de datos, hacking, descubrimiento y revelación de secretos, suplantación de personalidads, sustracción de cuentas de correo electrónico
* Delitos de injurias, calumnias y amenazas a través del e-mail, news, foros, chats o SMS
* Propiedad intelectual: piratería de programas de ordenador, de música y de productos cinematográficos
* Robos de código: como en el caso de los juegos Dark Age of Camelot, y Half-Life 2, o de los sistemas Cisco IOS y Enterasys Dragon IDS

3.      El Grupo de Delitos Telemáticos

El Grupo de Delincuencia Informática de la Guardia Civil, se formó inicialmente en 1997, dependiente de la Unidad Central Operativa de Policía Judicial de la Guardia Civil (formada en 1990). Fue posteriormente denominado Grupo de Investigación de Delitos de Alta Tecnología antes de tomar su nombre actual de Grupo de Delitos Telemáticos.

El primer responsable del Grupo fue el entonces Teniente Anselmo del Moral Torres (1997), a quien le sucedió el Teniente Juan Rodríguez Álvarez de Sotomayor (2002). Actualmente el responsable del grupo es el comandante Juan Salom Clotet. Actualmente el grupo cuenta con 14 personas y reciben una media de 60 denuncias diarias

Los datos del Grupo son:

Dirección General de la Guardia Civil
Unidad Central Operativa de Policía Judicial
C/ Guzmán el Bueno 110- 28003 MADRID.
Teléfono: 91-5146400

4.      Recuperación de evidencias en discos

Estrictamente hablando, el Análisis Forense se refiere a la recopilación de evidencias bajo notario que puedan servir como prueba judicial. Es por ello que la mayor parte de las técnicas se basan en la recuperación de información de discos duros, ahora que comienza a decaer las técnicas denominadas Floppy Disk Forensics

En este sentido, el líder del mercado en entornos forenses de discos es ENCASE, que puede realizar duplicaciones exactas del contenido de un disco, incluso de forma remota. SMART es una utilidad que permite instalar en un disco las imágenes capturadas con Encase. A la sombra de esta herramienta, líder del mercado, han surgido muchas otras herramientas similares, como por ejemplo Forensic Toolkit

La empresa Checa LEC, s.r.o. dispone de dos productos de análisis forense de discos, Disk Doubler II (un duplicador hardware de discos) y DiskDoubler Plus, una aplicación de búsqueda de cadenas en los datos adquiridos.

La recuperación de ficheros borrados o no accesibles entra también dentro de este campo. búsqueda de cadenas en los datos adquiridos. Lo más normal en caso de querer recuperar datos de un disco es intentar montar la partición con un arranque del sistema operativo Linux. Foremost permite extraer ficheros del interior de una imagen de disco realizada con el comando dd de Linux. Existen varias herramientas de recuperación de ficheros, como por ejemplo CIA Unerase, File Recover, Restores 2000, Active@, R-Studio, Ontrack Easy Recovery y GetDataBack) (si se han borrado particiones con fdisk). Sleuth Kit (web que contiene interesantes artículos sobre Forensics) y su entorno gráfico The Autopsy Forensic Browser permiten visualizar el contenido de sistemas de ficheros y ficheros borrados. NTFS Reader es un programa windows que genera una imagen de floppy disk para arrancar en FreeDos y permite leer y copiar ficheros dentro de particiones NTFS. Bootdisk, Winimage o PEBuilder permiten crear imágenes de discos de arranque de diferentes sistemas operativos. Wotsit Format contiene las especificaciones de múltiples formatos de ficheros.

Drive Image o Norton Ghost, ambas de Symantec, permiten la gestión de particiones.

Por otro lado, el análisis forense también se refiere a determinar las causas del compromiso de seguridad de un sistema, es decir, la alteración de sus datos o la caída o malfuncionameinto del sistema. Tripwire y Osiris y son dos sistemas de control de integridad de ficheros.

5.      Recuperación de contraseñas

John the Ripper es el crackeador de contraseñas fuerza bruta más famoso, probablemente por ser gratuito y uno de los primeros. El proyecto OpenWall es una recopilación de recuperadores de contraseñas, al igual que Russian Password Crackers. Ambos incluyen crackeadores para compresores, para utilidades de cifrado, BIOS, formatos de ficheros (Office, PDF, etc.), bases de datos, Sistemas Operativos, Aplicaciones, etc. se incluyen además enlaces sobre los algoritmos y sus debilidades. MDcrack es capaz de romper hashes MD4, MD5 y NTLM1.

Existen varias formas de recuperar o restablecer una contraseña en Windows. La página de Daniel Petri muestra algunas de ellas, como por ejemplo el Offline NT Password Registry editor (portado al DOS como chntpw) o pwdump3 y Dumpsec (para Windows 2000). LC5 es la última versión del famoso crackeador de passwords comercial L0phtCrack, antiguo grupo de hacking ahora reconvertido en el empresa @Stake. Se trata de un software de recuperación de passwords por fuerza bruta y por diccionario para Microsoft Windows. Las versiones anteriores de L0phtcrack tienen el código fuente disponible. En la web puede descargarse una versión de evaluación de 15 días con el ataque por fuerza bruta deshabilitado. Cain es otro software muy conocido para la recuperación de password Windows.

Piero Bunari ha profundizado en la utilización y adaptación de crackeadores de contraseñas; dando como resultado las utilidades wJohn, el port para windows de Lepton’s Crack y W@RP.

Más recientemente, el proyecto Rainbowcrack permite agilizar el cracking de contraseñas mediante precomputación de hashes. Con Winrtgen se puede agilizar la generación de tablas para Rainbowcrack. Este proyecto ha tenido tanto exito que se ha creado una página web para el cracking online de hashes. Revelation es una utilidad freeware para revelar las contraseñas ocultas en el GUI de Windows.

6.      Detección y recuperación de Virus, Troyanos y Spyware

Una de las mejores webs de Antivirus es el Centro de Alerta Temprana sobre Virus Informáticos, una propuesta de varios Ministerios y entidades colaboradoras públicas y privadas. Se puede encontrar tutoriales, una gran base de datos de virus, descripciones y calendarios de activación y estadísticas de infección. Existen multitud de antivirus para puestos de trabajo, pero puede ser particularmente interesante el PC Cillin 2003 para tiempo real o el Trend Micro System Cleaner si se quiere escanear todo el disco duro sin instalar antivirus. Sin embargo, al parecer hay un consenso entre los creadores de virus, que consideran el AVP Kaspersky Labs como el mejor antivirus. Panda Software es la única empresa española que desarrolla actualmente software antivirus. El EICAR (European Institute of Computer Anti-virus Research) mantiene un fichero de prueba de antivirus, no propagable y sin un payload dañino. Es una de las mejores pruebas para ver de forma segura si un antivirus se está ejecutando o no. El Test VEMLIE comprueba si un sistema es vulnerable a la autoejecución de pogramas .bat en el e-mail.

Es comúnmente aceptado que 29A es el mejor grupo de investigación de virus del mundo. Su política implica que cualquier virus desarrollado por el grupo, se confina internamente y se prohíbe su propagación. En uno de sus últimos e-zines se repasa la virus-scene (Situation in VX scene) y pueden encontrarse muchos links interesantes como la Reference guide to VX sites. Mercé Molist realizó recientemente una entrevista a VirusBuster. WinterMute mantiene en su web un Curso sobre Programación de Virus. IKX, menos conocido, es el otro grupo dentro de la VX Scene. VDAT es una web muy completa sobre colecciones de Virus. Entre los troyanos más conocidos se encuentran Back Orifice 2000 (originario de «Cult of the Dead Cow» y de L0pht), SubSeven, NetBus y Hack’a’tack.

La Universidad de Calgary es la primera en incorporar a sus planes de estudio el funcionamiento y la creación de virus. Un artículo técnico de Microsof denominado Virus Hunting: Understand Common Virus Attacks Before They Strike to Better Protect Your Apps ayuda a comprender el funcionamiento de los Virus. De entre los gusanos con mayor potencial de propagación se encuentran el SQL Slammer (más detalles técnicos), del cual se ha publicado el código fuente. Microsoft ha tomado contramedidas posteriormente. El virus de tipo gusano Blaster es uno de los más peligrosos últimamente. Para desinfectarse en Windows XP, es necesario dehabilitar la opción de Restaurar el sistema de forma automática, descargarse un parche y desinfectarlo con un antivirus actualizado.

The Worm FAQ es una fuente muy importante para conocerlo todo sobre los gusanos.
* Trend Micro PC-cillin 2003 protege de virus el puesto de tabajo en tiempo real además de filtrar POP3. Es posible descargarse el software, la guía de inicio rápido y un readme.txt. Se necesita el registro para la actualización de patrones y versiones.
* ISS BlackICE PC Protection 3.6 es un sistema híbrido de protección de intrusiones en red, protección contra ejecución de aplicaciones y de acceso a la red y comprobación de integridad del sistema.
* Windows Washer limpia el PC de ficheros temporales e históricos. La versión demo no permite realizar limpiezas programadas.
* Entre los programas que eliminan el spyware se encuentran Ad-aware 6.0 (el único durante mucho tiempo), SpyBot, Search and Destroy (uno de los mejores), Hijack This! (mencionado en muchos sitios) y Spy Sweeper. Winpatrol Monitoriza el PC en intervalos de tiempo detectando las diferencias.
* Processes in Windows NT/2000/XP
* . Respecto a los programas que eliminan las ventanas en la navegación, los más populares son Popup Stopper y Stopzilla

Patchfinder 2.10 es una utilidad de diagnóstico para localizar bibliotecas del sistema y compromisos del kernel por los rootkits más modernos: Hacker Defender, APX, Vaniquish, He4Hook, etc.

Los muy muy duros pueden probar la ingeniería inversa tras leerse el artículo Reverse Engineering Malware y hacer prácticas con el IDA Pro Disassembler and Debugger, presentándose a los retos del HoneyNet Reverse Challenge o el Reto de Análisis forense de RedIRIS (resultados).

Ahora están de moda las bombas de descompresión, que pueden limitar el rendimiento de los antivirus que escanean en ZIP. Ej:

dd if=/dev/zero bs=1k count=10000 | gzip – > testfile.gz

7.      Seguridad en el correo electrónico

La amenaza más propagada, aunque aparentemente inofensiva, son los hoaxes, mensajes de correo electrónico en los que se advierte de un virus extremedamente peligroso o de alguna otra noticia alarmista que, en realidad, no existe. Estos mensajes normalmente son reenviados por quien los recibe a toda su agenda de direcciones, como se requiere en el mensaje, ayudando a que la falsa alarma se extienda aún más. Existen varios sitios donde se puede consultar si un mensaje pude ser o no un hoax.

Un buen artículo introductorio sobre las técnicas filtrado de SPAM es Fighting the Spam Monster-and Winning . Normalmente, realizado por un robot, que recoge direcciones de una base de datos o recogidas de analizar las existentes en un hoax previamente lanzado. También es posible. Microsoft publica un truco para añadir simultáneamente a varios remitentes en la lista de no deseados en Microsoft Outlook 2002. SA-Proxy (ftp) es un port para Windows del SpamAssasing, un proxy local (127.0.0.1) de POP3 que filtra los mensajes y los marca como SPAM. utiliza filtros bayesianos para autoaprender del SPAM anterior. Se integra perfectamente con el cliente de correo Bloomba (ftp).

Es posible encontrar una introducción al seguimiento de emails en Visualware. Mailtracking es un sistema de seguimiento de emails mediante la confirmación manual de recepción del destinatario. WMDecode es una utilidad para extraer ficheros de un archivo Winmail.dat de Outlook. Decode Shell Extension permite extraer varios ficheros multiparte de emails en crudo en formato codificado MIME-Base64, etc.

Respecto al MSN Messenger, el protocolo utilizado está ampliamente documentado en la web del MSN Messenger Protocol; además de ser utilizado también por una versión de software libre, amsn.

8.      Análisis de Redes P2P

Las redes P2P (peer to peer) se basan en el intercambio masivo de ficheros de forma distribuida mediante el protocolo MFTP (Multisource File Transmission Protocol) entre múltiples usuarios de Internet, mediante un software cliente, que se conecta a alguno de los múltiples servidores en donde se alojan múltiples usuarios que comparten partes (chunksde 9500KB) de ficheros. El software cliente se descarga una parte de cada uno de los otros múltiples que disponen de esa parte y la comparten. De la misma forma, cada parte que se descarga, queda disponible para ser descargada por otros usuarios. Cada parte es comprobada con un hash MD4, y culmina con el ensamblaje final del fichero completo.

El software de P2P e-Donkey 2000 eMule OverNet Kazaa iMesh Audiogalaxy Morpheus WinMX Grokster BearShare Xolox Blubster (comunidad de música) y LiveWire BroadCast (sintonizador de radios) utiliza e-links de los servidores Zanahorias, Softronic y Spanishare.

Recientemente se ha desarrollado un disector para este tipo de protocolos que permite decodificar fácilmente cualquier trama capturada con Ethereal o Packetyzer.

Dentro del equipo, se puede identificar fácilmente el uso de este tipo de programas por los puertos comúnmente utilizados, que suelen ser
* 4661/tcp (para conectar al servidor),
* 4662/tcp (para conectar a otros clientes),
* 4665/udp (para enviar mensajes a otros servidores),
* 4672/udp (para enviar mensajes a otros clientes),
* y 4711/udp (servidor web local)

aunque la identificación remota de usuarios particualres con dichos puertos abiertos ha dado mucho que hablar últimamente con el revuelo que se montó.

9.      Procesos en el puesto de usuario

Con el comando msconfig, es posible en Windows XP habilitar y deshabilitar los servicios en ejecución y los elementos del inicio.

CTFmon se ejecuta cuando se ha habilitado la «Entrada de usuario alternativa» en Office XP.

10.      Anonimato

* NoTrax es un navegador de Internet diseñado para no dejar trazas de la navegación en el PC local donde se utiliza, no escribe en el registro, borra de forma segura las cookies, cachés y ficheros temporales que utiliza (los cifra con blowfich por si se cuelga), no ejecuta Spyware, JavaScript or ActiveX y soporta SSL en un único exe
* Se puede encontrar un interfaz web para servicios anónimos de surfing y mailing en All-Nettools
* André Bacard’s Privacy Page: http://www.andrebacard.com/privacy.html
* Anonymizer http://www.anonymizer.com/
* HushMail is the world’s premier secure Web-based email system. We offer ease of use and total end-to-end security. Thanks to a unique key pair management system, HushMail eliminates the risk of leaving unencrypted files on Web servers. HushMail messages, and their attachments, are encrypted using OpenPGP standard algorithms. These algorithms, combined with HushMail’s unique OpenPGP key management system, offer users unrivalled levels of security. https://www.hushmail.com/
* Using anonymous digital certificates, PrivacyX members can enjoy all the benefits of strongly encrypted and digitally signed email, without the need to reveal any personally identifying information. https://www.privacyx.com/www/
* Private Idaho http://www.eskimo.com/~joelm/pi.html
* Aún así, es posible violar la privacidad de la navegación web en estos sistemas, como demuestra el artículo Timing Attacks on Web Privacy y el proyecto Meantime

11.      Investigación de información

Tras conseguir indicios parciales de la identidad de un atacante, es posible completar la información mediante varias formas, siendo la principal de ellas la búsqueda en Google (por ejemplo cuando se localizó el Mapa de red de la CIA). Los teléfonos se consiguen en las Páginas Blancas, las direcciones en Infobel, las fotografías de inmuebles en el Callejero Fotográfico, las fotografías de personas en Google, los Códigos Postales en Correos y los mapas en Multimap.

Existe multitud de callejeros como Páginas Amarillas, el Callejero de Terra, Arcópolis o y Mappy; además de guías de carreteras entre dos puntos como las Guías Campsa y Michelín. Más concretamente en Madrid, hay Mapas de Zonas, Cálculo de rutas en transporte público

Tambiés es posible realizar búsquedas de vuelos (Iberia, Spanair), Hoteles ( Hotelsearch y Conocemundo), empresas ( Banesto Empresas, Camerdata Empresas, Yahoo! Finance y E-Informa) y países (CIA)

Fuente:
http://www.ausejo.net/seguridad/forense.htm