Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 659 vistas

    Analisis Forense de Una Memoria USB

    Cargado por

    Jose Mendoza Cuao
    Este documento presenta información sobre análisis forense de memorias USB. Explica conceptos clave como el proceso forense, USB, memoria USB y provee detalles sobre un caso real de análisis forense a memorias USB incautadas como evidencia. También describe herramientas y equipos utilizados como el Tableau T8 Forensic USB Bridge para preservar la evidencia digital almacenada.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd

    Analisis Forense de Una Memoria USB

    Cargado por

    Jose Mendoza Cuao
    659 vistas26 páginas
    Este documento presenta información sobre análisis forense de memorias USB. Explica conceptos clave como el proceso forense, USB, memoria USB y provee detalles sobre un caso real de análisis forense a memorias USB incautadas como evidencia. También describe herramientas y equipos utilizados como el Tableau T8 Forensic USB Bridge para preservar la evidencia digital almacenada.

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta información sobre análisis forense de memorias USB. Explica conceptos clave como el proceso forense, USB, memoria USB y provee detalles sobre un caso real de análisis forense a memorias USB incautadas como evidencia. También describe herramientas y equipos utilizados como el Tableau T8 Forensic USB Bridge para preservar la evidencia digital almacenada.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    659 vistas26 páginas

    Analisis Forense de Una Memoria USB

    Cargado por

    Jose Mendoza Cuao
    Este documento presenta información sobre análisis forense de memorias USB. Explica conceptos clave como el proceso forense, USB, memoria USB y provee detalles sobre un caso real de análisis forense a memorias USB incautadas como evidencia. También describe herramientas y equipos utilizados como el Tableau T8 Forensic USB Bridge para preservar la evidencia digital almacenada.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 26

    AnlisisForensedeunamemoriaUSB

    AlonsoEduardoCaballeroQuezada ConsultordeiDevConsultoresenT.I.S.A.C. ConsultordeNPROSS.A.C. BrainbenchComputerForensics(U.S.) GIACSSPCNSA

    Pginaweb:http://www.ReYDeS.com Correoelectrnico:ReYDeS@gmail.com Trujillo,Per22deMayodel2010

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    Temario
    *ComputerForensics? *ElementosdeunbuenprocesoForense *ProcesoForense *Todoes0y1 *USB *MemoriaUSB *CasoRealBTR *Preguntas,comentarios,sugerencias?

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    ComputerForensics?
    Esunaramadelacienciaforensequecompetealaevidencialegalencontradaen computadorasymediosdealmacenamientodigitales.ElcmputoForensetambinse conocecomoForenseDigital. ElobjetivodelCmputoForenseesexplicarelestadoactualdeunartefactodigital.El trminoartefactodigitalpuedeincluirunsistemadecmputo,unmediode almacenamiento(comoundiscodurooDVD),undocumentoelectrnico(unmensaje decorreoelectrnicooimagenJPEG)ounasecuenciadepaquetesenmovimientoen unareddecomputadoras.Laexplicacinpuedesertansimplecomoresponderala pregunta;Quinformacinhayaqu?yquesedetallarespondiendoalapregunta; Cualeslasecuenciadeeventosresponsablesdelasituacinactual? Algunasrazonesparaaplicartcnicasdecmputoforensepuedenser;encasos legalesutilizadoparaanalizarcomputadorasquepertenecenalosacusados(casos penal)olitigantes(casoscivil),recuperardatos,paradeterminarcomounaatacante obtuvoacceso,obtenerevidenciacontraunempleado,etc. Fuente:Wikipedia.
    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    ElementosdeunbuenprocesoForense
    *Validacincruzadadeloshallazgos *Manejoadecuadodelaevidencia *Completarlainvestigacin *Administracindearchivos(Backups,Originales) *Competenciatcnica *Justificacinydefinicinexplcitadelproceso *Cumplimientolegal *Flexibilidad

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    ProcesoForense
    BasadoenElectronicDiscoveryReferenceModel(EDRM)ModelodeReferenciade DescubrimientoElectrnico.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    Todoes0y1
    Lascapasdeunacomputadora Aplicacin SistemaOperativo BIOS(BasicInputOuputSystem) Hardware

    TiposdeMediosdealmacenamiento DiscoDuro(HardDisk) UnidadesFlashUSB DVD CDROM DiscoFlexible(FloppyDisk)

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    USB
    USB(UniversalSerialBus)BusUniversalSerie,esunpuertoque seutilizaparaconectarperifricosaunacomputadora.Fuecreado en1996porsieteempresas. EldiseodelUSBtenacomopropsitoeliminarlanecesidadde adquirirtarjetasseparadasparaqueseancolocadasenlospuertos busISAyPCI,ademsdemejorarlascapacidadesPlugAndPlay,permitiendoaestos dispositivosserconectadosodesconectadosdelsistemasinlanecesidaddereiniciar. Sinembargoenaplicacionesdondesenecesitaunanchodebandaparagrandes transferenciasdedatosounalatenciabaja,losbusestradicionalessalenganando. ElUSBpuedeconectarperifricoscomo;ratones,teclados,escners, cmarasdigitales,telfonosmviles,reproductoresmultimedia, impresoras,discosdurosexternos,tarjetasdesonido,sistemasde adquisicindedatosycomponentesdered.
    Fuente:Wikipedia.
    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    MemoriaUSB
    UnamemoriaUSB,pendrive,USBFlashDrive,esundispositivo dealmacenamientoqueutilizamemoriaflashparaguardar Informacin. LamemoriaflashesunamemoriatipoEEPROMquepermiterealizaroperacionesde escriturayborradodevariasposicionesdememoriaalavez,medianteimpulsos elctricos.Porellopuedenfuncionaravelocidadsuperiorescuandolossistemas empleanlecturayescrituraendiferentespuntosdelamemoriaalmismotiempo. EEPROMsiglastraducidasalespaoldeROMprogramableyborrable electrnicamente.EsuntipodememoriaROMquepuedeserprogramado,borradoy reprogramadoelectrnicamente. Aunquepuedeserledaunnmeroilimitadode veces,solopuedeserreprogramadaentre 100mily1millndeveces.
    Fuente:Wikipedia.
    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Acontinuacinseprocedearealizarunbreveanlisisdeestecaso.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Cronologa: 8enero2009.GiselleGiannottiesdeteniday,entreotrascosas,leincautandosUSB. 12enero2009.Giannottiautorizaalapolicayelfiscalrevisarsusarchivos electrnicos,incluidoslosUSB,de1GBy2GB. 13febrero2009.JuezaMaraMartnezpidealfiscalentregartodoslosarchivos electrnicosdeBTR,incluidoslosdeGiannotti. 3deabril2009.JuezatrasladasudespachoalcuartopisodePalaciodeJusticia. 28abril2009.FiscalsolicitaporterceravezalajuezapriorizarrevisindeUSBsde Giannotti,perolajuezadiceno. 5marzo2010.SeiniciavisualizacindeUSBsdeGiannotti.SedetectaquelosUSBs hansidomanipulados. 17y22marzo2010.PeritosyveedoresconfirmanquelosUSBsdeGiannotti tuvieronunltimoaccesoymodificacinel4demayodel2009.Enesafechase borraronarchivos.
    Fuente:http://www.larepublica.pe/archive/all/larepublica/20100326/1/pagina/01
    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    PersonalPresente: MayorPNP(PersonalTcnicoPNP),ComandantePNP(DirandroPNP),Representante delMinisterioPblico,FiscalAdjuntaProvincialdela3eraFiscaliacontraLa CriminalidadOrganizada,elabogado,ladetenida.etc.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    TableauT8ForensicUSBBridge Esunbloqueadordeescriturabasadoen hardwareparadispositivosdealmacenamiento usbanivelmundial.SoportaUSB2.0,USB1.1 FuncionaconunidadesUSB,discosexternos, iPOPsconinterfazUSB,cmarasUSB. SoportaconexionesUSB2.0yFirewire400aunacomputadora,permitiendo operacionesdeunampliorangodehostsforensesyherramientasdesoftware. AtravsdelLCDelusuariopuedeverelfabricante,modelo,capacidad,nmerode serie,yotrosdetallestcnicosdelaunidadUSBconectada.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    WesternDigitalModeloWD2500250GB TableauT35eseSATAForensicBridge Ofreceopcionesdeconexinmsnativasentre computadorasydispositivosquecualquierotro bloqueadordeescrituraenlaactualidad.Contienecuatro diferentesinterfacesdeconexin(eSATA,FireWire800, FireWire400yUSB)ademsdedosconexiones(SATAeIDE). LocualpermiteadquirirunidadesIDEySATAmsrpidoque FireWire800.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Formatear?=/Sanitizar,Limpiar Antesdeutilizarunmedioparaguardarevidencia;copiasespejoocopiasbitabit;se debedeprocederaesterilizarWIPEelmedio.Esteprocedimientoconsisteenutilizar algnestndarparasobrescribirdemuchasmanerasyvariasveceslaunidad,para quenoquedehuelladealgndatoexistente.Ejemplo: USDepartmentofDefenseDoD5220.22M(3pasadas) DoD5220.22MEsunalgoritmodelimpiezadesobrescrituradetrespasadas:1era pasadaconceros,2dapasadaconunosylaltimapasadaconbytesaleatorios.Con verificacindetodaslaspasadas. PeterGutmann(35pasadas)

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    EnCASEForensics,eslaaplicacinforenseprincipalexistenteenelmercado.Permite alinvestigadorlahabilidaddehacerunarplicaoimagendeunaunidadypreservarla demaneraforense,utilizandoelformatodearchivoparaEnCASE(LEF,E01),un contenedordeevidenciadigitalvalidadayaprobadaporcortesanivelmundial. EnCASEForensicstambincontieneunacompletasuitedeanlisis,con interesantescaractersticasdereporte.GuidanceSoftwareyotros proveedoresproporcionansoporteconcapacidadesextendidaspara asegurarquelosinvestigadoresforensestengaunconjuntotildeherramientas. Nota:DeberadecirUltraBlock,NOUltrablocks.?

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    QuesunHASH? Unhashesunafuncinomtodoparagenerarclaveso llavesquerepresentendemaneraunvocaundocumento, registro,archivo,etc,resumiroidentificarundato mediantelaprobabilidad.Unhasheselresultadode dichafuncinoalgoritmo.Existendiferentesalgoritmos, MD5,SHA,suprincipaldiferenciaentreellosessufortaleza.Ejemplo:Quedos objetosnotenganelmismocdigohash. EnestecasoelhashSHA1obtenidofue:106F2277BC32371C269986E3BF771FBD

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    ComoyasehamencionadoelMD5oSHAsonalgoritmosparageneraruncdigoo valorhashdeunobjeto.

    EnestecasosehaindicadoaEnCASEquedividalaimagende1Gbenpartesde650 Megabytes;esdecireltamaopromediodeunCDROM;deestamaneralaevidencia degrantamaopuedeserquemadaenCDsoDVDsdesernecesario.Enestecaso dosarchivos:GiselleGiannotiUSB2GB12ENE2009.E01yGiselleGiannoti USB2GB12ENE2009.E02

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    PrimerolacapacidaddelamemoriaUSBerade2GBahoraesde1GB?

    ElCmputoForenseSIEMPREsetrabajaconlascopiasbitabit,NUNCAconel originalyporLEYsiempreserealizancomomnimo2(DOS)copiasdelaevidencia. Enestecasoseprocedeconunametodologaadecuadaparalavisualizaciny escuchadeaudios,aunquenoseespecificasiseprocediarealizarlasdoscopias.

    Seprocedealistaryvisualizarlascopiasbitabitdelaevidencia

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Antesderealizarlavisualizacinyaudicindelaevidencia,seprocedeaverificarlos cdigoshash.Elprocedimientoeselsiguiente: 1.Seobtieneuncdigoovalorhashdelaevidenciaoriginal. 2.Seprocedearealizarlarplicaocopiabitabitdelaevidencia. 3.Seobtieneuncdigoovalorhashdelarplicaoimagenbitabitdelaevidencia. Estosdoscdigoshashdebenseriguales,encasonoseaas,debeprocedersea realizarlacopiadelaevidencianuevamente,dadoqueNOpuedecontinuarseconla fasedeanlisishastaquelacopiabitabitseaunreflejoexactodelaevidencia original.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Sistemadearchivos Estructuranlainformacinguardadaenunaunidaddealmacenamiento(undiscoduro, unamemoriaUSB,etc.)queluegoserrepresentadadeformatextualogrfica utilizandoungestordearchivos.LamayoradeSistemasOperativosmanejansu propioSistemadeArchivos.SepuedepensarenunSistemadeArchivoscomoenuna Biblioteca. ElSistemadeArchivostienemarcasdetiempo;estatriadaseconocecomoMACpor sussiglaseningls.Lascualesson: 1.TiempodeCreacin 2.TiempodeModificacin 3.TiempodeAcceso.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Detalledelaestructuradeobjetos(Carpetas)delamemoriaUSB.Sedebeanotarque lasherramientasforenses,permitenobtenerdetalledearchivosocarpetaseliminadas oborradas,previsualizardearchivos,verificardeextensionesymuchosotros procesosytareasvitalesenunanlisisforense.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Sedebeanotartambinqueestaesunainvestigacinpreliminar.Puessepueden utilizarotrastcnicasoprocedimientosparatratardeubicarporejemplo,fragmentos dearchivos,buscarpalabrasclavesparaelcaso,bsquedadecadenasque identifiquenarchivos,locualconstituyeunanlisismsprofundo.

    Porejemploesteeseldetalledeunosdelosarchivosdelreporte.Ntesequese muestraLarutayNombre,ltimoAcceso,CreacindeArchivo,ltimaEscritura, TamaoLgico,TamaoFsicoyContenido.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    Lascopiasbitabitdelaevidenciaalmancenadaseneldiscoduro,quedanacargode laPNP.NOsehacemencinaquelacopiabitabitsehayagrabadoenunmediode sololectura,comoquemarlosaCDsoDVDs,consusrespectivosvaloreshashs.

    SemencionanuevamentequelamemoriaUSBesde1GBNOde2GB.

    Informacinquecompetealadiligencia,luegolospresentesprocedenafirmarelacta.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    CasoRealBTR
    CadenadeCustodia Unacadenadecustodiaesundocumentoextradodelasfuerzasdelaaplicacinde laleyquerastrealaevidenciadesdeelmomentoenelqueinvestigadorforensegana posesindeunartculohastaqueespresentadoenunacorteodirectorio. Estedocumentocontieneinformacinbsicasobreelclienteypersonasrelacionadas, ascomolosmedios,tipo,nmerosdeserieyotrainformacinbsica.Elformulario tambinrastreacadapersonaquehatocadolos artculosdeevidencia,comoporejemploenla recoleccinolarplica.Elformulariotieneuna lneadeentradaparacadavezqueesmanipulada. Silacadenadecustodiaserompelaintegridad delaevidenciapuedesercomprometidayno servlidaenunjuicio.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    iDevConsultoresenT.I.S.A.C./www.idev.pe

    Preguntas,comentarios,sugerencias,correcciones?

    AprovecholaoportunidadparainvitarlosalcursodeFundamentosdeCmputo Forense,queserealizarporsegundoaoconsecutivolosdasSbado29dey Domingo30deMayodel2010enlaciudaddeTrujillo.

    AlonsoEduardoCaballeroQuezada/ReYDeS - AnlisisForenseaunamemoriaUSB

    AnlisisForensedeunamemoriaUSB MuchasGraciasporsuatencin
    AlonsoEduardoCaballeroQuezada ConsultordeiDevConsultoresenT.I.S.A.C. ConsultordeNPROSS.A.C. BrainbenchComputerForensics(U.S.) GIACSSPCNSA

    Pginaweb:http://www.ReYDeS.com Correoelectrnico:ReYDeS@gmail.com Trujillo,Per22deMayodel2010

    También podría gustarte