Con la ayuda del 440 (Y no es Bachata)

Como no recordar aquellas canciones de Juan Luis Guerra y los 4-40 como «Me sube la Bilirrubina» o «Quisiera ser un pez».  Incluso hasta el día de hoy disfruto de quien realmente logró sacar la Bachata de República Dominicana.

El día de ayer inicié haciendo un concurso de un candado de USB a quien me diera la respuesta correcta de qué tenía en común Juan Luis Guerra y el Cómputo Forense… lamentablemente nadie pudo saber la respuesta correcta, es por ello que aquí les doy la respuesta.

Como un ex-músico (ya que estudié un tiempo en el Sindicato de Músicos de la Ciudad de México), aprendí acerca del 4-40; la afinación en la nota «La» (A) natural siendo de 440 ciclos por segundo.

Este tono es enigmático y realmente interesante, ya que es el mismo que era usado en las centrales telefónicas para poder indicar que uno podría realizar una llamada. Hoy en día ni siquiera levantamos el teléfono para escuchar si hay línea o no.

Es así, que recuerdo haber afinado más de una guitarra simplemente descolgando el teléfono de casa y rasgando la cuerda hasta igualar el sonido.

Pero la razón del post no es para hablar de música, ni de tonos, ni de telefonía; sino de temas forenses digitales.

Una parte primordial que siempre se encuentra en un disco duro con cualquier versión o sabor de Windows es el MBR (Master Boot Record) conocido por aquellos que alguna vez usamos dos sistemas operativos en el mismo equipo ya que pasamos tiempo peleando para que quedara bien o conocido (por lo menos al leer el error) por aquellos que han sufrido con un error cuasi-irreparable al iniciar su equipo.

Este código existe en el equipo desde el sector 0, siendo éste el primer archivo que se encuentra en el disco duro y tiene un tamaño de 512 bytes, normalmente terminando en el hexadecimal «55AA», un indicativo de que el MBR termina y está funcional. (Incluso algunos lo conocen como el «número mágico», pero nunca he entendido el chiste).

Es realmente este pedazo de código el que indica al equipo de cómputo cómo «bootear» o iniciar a cargar el sistema operativo.

Dentro del MBR es donde encontramos al offset 440 (el cual no tiene nada que ver con la Bachata!); sino que es donde encontramos 4 bytes relacionados con la Firma del Disco de Windows (Windows Disk Signature); el cual es un valor único para el disco y que nos permitiría correlacionar un disco duro con un sistema operativo.

Expliquemos un poco más. Este número de 4 bytes que se encuentra en el MBR, se relaciona en el registro de Windows de un equipo ya que cuando conectamos el disco, el sistema operativo toma registro del mismo y es entonces que puede ser vinculado entre sí.

Esta información se encuentra dentro de la llave «Mounted Devices» dentro del System Hive o llave de registro de Sistema en cada equipo.

Es por ello que si tenemos un disco duro o memoria de USB y 20 computadoras, podremos ubicar en cuáles el disco o dispositivo fue conectado aunque sea un minuto.

Hubo muchas respuestas vía twitter (aunque todas erróneas), pero muchas de ellas muy chistosas:

@marioafv: ha de ser por la cancion la bachata rosa // o por que son 4 en tu equipo y todos trabajan a 40 grados 😉
@GABOAVENDA: Pues bueno para empezar lo recomendaste en la sección musical del #podcastcrimendigital ep. 12 la cancion las avispas…

@krakenmex: que J L guerra se parece a andres velazquez

@rafaarias: que 4 de cada 40 guardan fotos de sus burbujas de amor?

@Ba_k: porque trabajan tanto los forenses que ojalá lloviera café? =P

@zzainss: a parte de que en un episodio de crimen digital colocaron juan luis guerra?

@caar2000: Acaso seran privilegios de solo lectura para el usuario y grupo | -r–r—– | chmod 440

@MgsnchzS: Que juan luis guerra creo su fundacion 440 en 1991 al igual que mattica fue creado en 1991

@robertz100: que si vas a guardar 1 gigabyte de besos mejor revisa que no tengan virus, jeje

@knaverit: la criptografía en «señales de humo», donde la chava en cuestión no puede descifrar el msg y «se pierde en el aire»

Gracias por sus comentarios y respuestas!

Santos Hashes Batman! (¿Qué es un hash?)

 ¿Cómo podemos validar que lo que tenemos como evidencia o prueba digital es exactamente igual a la imagen forense que acabamos de crear?

Un hash es un algoritmo matemático que permite generar a partir de una cadena de longitud variable, una cadena de longitud fija.

Es como sacarle una huella digital a un archivo (sólo en su contenido) o a un disco duro (en su totalidad); y por lo tanto nos permite validar la integridad entre el medio original y la imagen forense.

Este proceso es uno de los principales que se realizan dentro del paso de Preservación dentro del Cómputo Forense que se realiza en conjunto con la generación de la imagen forense. (Copia exacta del medio de almacenamiento que se va a analizar).

Dentro del cómputo forense las mejores prácticas nos indican que es el algoritmo MD5 el que puede ser usado, aunque también son aceptados el SHA-1 y SHA-256. 

Un valor hash (resultante del algoritmo hash, también llamado digest) es generado a partir de una cadena de entrada; sin embargo, no es posible llegar a calcular esa cadena de entrada a partir del hash. Por lo que es un algoritmo de una sola vía.

Si tenemos un archivo y calculamos su hash, nos dará el valor hash, que por ejemplo puede ser:
MD5:  9bb6826905965c13be1c84cc0ff83f42
SHA-1: ae7734e7a54353ab13ecba780ed62344332fbc6f

En un caso de que modificáramos el contenido del archivo -OJO: el hash de un archivo se calcula únicamente de su contenido, no de su fecha de acceso, modificación o creación ni en el nombre; datos que se encuentran en el sistema de archivos– entonces el hash cambiaría por completo. La mínima expresión de cambio (1 bit) haría que el valor hash cambiara completamente.

En el cómputo forense, los hashes se usan para poder validar la integridad independiente del:
– Disco o medio a analizar (teléfono, memoria, etc) al hacer la imagen forense
– Todos y cada uno de los archivos contenidos en el medio, para poder validar que siguen siendo los mismos cuando los exportamos, analizamos independientemente, etc.

¿Qué pasa si la evidencia digital o prueba digital no coincide en su hash al momento de compararlas?

Han sucedido situaciones en las cuales por una razón fuera del alcance del ser humano, un disco duro después de un tiempo almacenado, presenta una falla en algunos sectores dañados debido a la humedad, posición de las cabezas de lectura del disco u otras circunstancias.

Es el momento donde los valores hash de cada uno de los archivos contenidos, y principalmente los de importancia para la investigación tienen un papel primordial; ya que si comparamos los hashes es posible llegar a validar su existencia e integridad.
 
Es posible llegar a validar que los archivos y el sistema de archivos no ha sido modificado intencionalmente, y por lo tanto si realizamos una modificación intencional en una copia de la imagen forense (OJO: una copia de la imagen forense es igual a la original) y se dañan intencionalmente los sectores detectados; el hash del disco duro será exactamente igual a la de la imagen dañada intencionalmente para validar este procedimiento.

Esto se ha realizado pocas veces, ya que como lo comenté es algo que rara vez sucede pero puede llegar a suceder en algún caso.

Muchas de las herramientas forenses tanto de software como de hardware tienen integrado el realizar el hash de ambos medios durante su proceso de generación de imagen forense.

Analizando Blackberry a partir de un archivo de respaldo

Hace un tiempo tenía la necesidad de enviar un mensaje por medio del PIN de Blackberry a un amigo, desesperadamente busqué en diferentes lados y había desaparecido de mi Blackberry.

Lo que se me ocurrió ahí fue hacerle una investigación a mi propio dispositivo para poder recuperar ese PIN y poder contactar a la persona. Traté con varias herramientas sin poder lograrlo.

Pero fue entonces que recordé que contaba con respaldos de mi Blackberry en mi laptop y que podría tratar de abrir el archivo y buscar la información. Después de varios intentos encontré la mejor herramienta para poder recuperar toda la información existente en el respaldo y de una manera muy sencilla.

La herramienta se llama ABC Amber BlackBerry Converter

Como se puede apreciar en el screenshot (que por obvias razones no es de mi Blackberry) es el contenido del respaldo, en mi caso pude apreciar mucha más información de la que se muestra en esta imagen. Por ello decidí tomar una imagen del programa con mi Blackberry pero sin que mostrara mucha información:

Solo me queda decir que estoy muy contento con la herramienta y aunque tiene un costo, pagar menos de 20 USD por la herramienta vale la pena.

Seguiré tus pasos aunque tú no quieras… (El MFT)

Recuerdo una caricatura muy particular de mi niñez. Un inspector que seguía un maleante (todo de negro) y que le cantaba: «Seguiré tus pasos aunque tú no quieras».

En un proyector de películas caseras, junto con un clásico de Tom y Jerry donde el famoso gato era un director de una orquesta; mis padres ponían una y otra vez esa caricatura. La verdad, espero un día ir a buscar el proyector y volverla a ver.

Quién diría que muchos años después tuviera algo que ver dicha frase en lo que me dedico. Pero me sirvió de una buena forma para explicar el funcionamiento de una parte de un sistema.

Y es que existe en los sistemas un archivo -imperceptible para el usuario- para aquellos que usan NTFS.

Probablemente sea el archivo más importante de éste sistema de archivos, que permite desde una perspectiva forense encontrar información valiosa sobre el uso del sistema.

Y estoy hablando del MFT (Master File Table), archivo que no hay mejor forma que aprenderlo de Brian Carrier y su libro: File System Forensics Analysis.

Brian es también el creador de la herramienta de Open Source The Sleuth Kit, Autopsy y Mac-Robber, indispensables para aprender de cómputo forense desde la base.

Como comentaba, el MFT, explicado por el mismo Brian Carrier es:

El Master File Table (MFT) contiene entradas que describen todos los archivos de sistema, archivos del usuario y directorios. El MFT incluso contiene una entrada (#0) que se describe a sí misma, por medio de la cual determinamos su tamaño. Otros archivos de sistema en el MFT incluyen el Directorio Raíz (#5), descriptores de seguridad y el journal.

Cada entrada de MFT tiene un número (similar a los inodos en UNIX). Los archivos de usuario y directorios inician en el MFT #25. El MFT contiene toda una lista de atributos.. Por ejemplo «Standard Information» que almacena información como los MAC Times (fecha de creación, acceso y modificación), «File Name» que almacena el nombre del archivo o directorio, $DATA que almacena la información actual del archivo o el «Index Alloc» e «Index Root» que contiene los contenidos del directorio almacenados en un B-Tree.

Cada tipo de atributo tiene un valor numérico y más de una instancia de un tipo puede existir para el archivo.

Como se puede entender en el párrafo anterior, el MFT es una bitácora tan importante para el examinador forense que permite determinar la existencia de ciertos archivos, aunque éstos hayan sido eliminados.

Por ello, es que recuerdo tanto esa caricatura que decía: «Seguiré tus pasos aunque tú no quieras»…. ya que por mas que quieras ocultar algo, el NTFS junto con el MFT podrá delatarte.

Crimen Digital – El Podcast

Pues desde el año pasado estamos incursionando en un podcast que hable del cómputo forense, delitos informáticos y seguridad en Internet.

Espero puedan escucharlo y darnos sus comentarios!

Estamos en iTunes o directamente en la página: Crimen Digital

Saludos!

"Accidentalmente" bajé (o tengo) Pornografía Infantil

En varias ocasiones -diferentes personas, en diferentes foros- me han hecho la siguiente pregunta:

Si recibo pornografía infantil por email sin solicitarlo, ¿es posible tener un problema legal?

En muchos países de América Latina, la pornografía infantil es un tema serio, donde en la mayoría (si no es que todos) está penado.

Me llamó mucho la atención hace rato que pude leer una noticia al respecto, CBS en Sacramento, California:

Un hombre de Sacramento probablemente irá a la cárcel durante años después de que él dice que la pornografía infantil accidentalmente fue descargada en su computadora. 

Matthew White, de 22 años, dijo que estaba descargando archivos de Limewire hace dos años cuando descubrió que algunos de los archivos que se habían descargado eran imágenes de niños pequeños.

Matt afirma que borró rápidamente los archivos.

«No me atrae», dijo. «Yo estaba buscando a mujeres de mi edad, así que sólo quería descargar ‘College Girls Gone Wild», y sin querer descargué pornografía infantil. «

Un año más tarde, agentes del FBI se presentaron en su casa.  La familia accedió a que los agentes examinaran su computadora, donde inicialmente no encontraron nada.

Más tarde los investigadores fueron capaces de recuperar las imágenes borradas del disco duro.

Fuente: CBS 13 Sacramento

Hay mucho que explicar… mientras escribía este post, me acordé de que hace un par de meses, pude conocer a una persona del Centro Internacional para Menores Desaparecidos y Explotados. Y dentro de la misma plática, hablamos un poco del tema de Pornografía Infantil en los países de América Latina y mi percepción de cómo podría ser atacado para evitarlo desde el punto de vista del cómputo forense.

Es por ello que me gustaría compartir este documento donde habla de la Pornografía Infantil: Modelo de legislación y Revisión Global.

En este documento pueden ver las diferencias hasta 2008, que aunque algunos países han hecho reformas importantes, da una idea.

Sin embargo, regresemos al punto importante.

Si una persona obtiene, almacena y/o promueve la pornografía infantil haciendo uso de una computadora en muchos países es un delito.

En el caso de la nota que veíamos, por andar buscando pornografía, encontró un archivo de video de un grupo de pedófilos. Lo interesante es que si hubiera avisado a las autoridades inmediatamente, no hubiera tenido el problema en el cual se enfrenta en este momento. Sería posible probar de dónde bajó el video, la información de quien lo comparte y así ayudar a procesar al responsable.

Lo mismo pasa con el correo electrónico. Si recibes un correo con pornografía infantil, es necesario que se denuncie a las autoridades; ya que en caso contrario (aunque se borre del equipo) podría estar incurriendo en un delito.

Pero bueno, esto no queda aquí… saben que me gusta siempre dar un poco más de información.

Hay dos casos en particular que me vienen a la mente en este momento y que son importantes. El primero, y que tiene que ver directamente con lo que me dedico y que muchas veces hablo con los investigadores, tanto privados como de gobierno:

Si estoy ejecutando una investigación por medio de un análisis forense y encuentro pornografía infantil, ¿qué tengo que hacer?

Se tiene que denunciar, pero un punto importante es que dependiendo del programa que usamos para poder hacer el análisis, es posible que al indexar el caso, las imágenes se almacenen en la base de datos o en un folder para tener acceso a ella. Por lo tanto, ya se «pasó» la información de la computadora del sospechoso a la estación forense.

Ahora entienden porqué siempre explico que es necesario:
1. Siempre que iniciamos un caso, iniciar con una computadora limpia.
2. Aislar los casos entre sí para que no haya contaminación en el mismo disco.
3. Siempre que se va a re-usar un disco para generar imágenes forenses o usarlos para temporales de procesamiento, hay que sobre escribir el disco (sanitizar).

Simplemente les dejo la pregunta: ¿qué pasaría si yo soy un administrador de red y encuentro pornografía infantil en la computadora de uno de los empleados?

¿Y si yo como buen administrador de red, hago respaldos de los servidores donde estaba este material?

Pero, ¿La información dentro de las computadoras es de la empresa o del empleado?

¿Y si no hay políticas del buen uso de los equipos y del software que debemos usar?

¿Tengo responsabilidad legal? ¿Los abogados de la empresa (si llegan a existir) sabrán que hacer?

– Podría seguir haciendo preguntas, pero mejor espero sus comentarios-

Mi conferencia en Campus Party!

Pues ya finalmente la publicaron hace un par de días, pero hasta ahora me dió tiempo de subirla a mi blog:

http://www.youtube.com/v/rgD46Hz4hBY&hl=en_US&fs=1&

Espero les guste y espero sus comentarios al respecto!

La Vida de un Examinador Forense Digital es recompensada…

La Vida de un Examinador Forense Digital es recompensada cuando en el trabajo puedes recuperar datos eliminados para probar que los inocentes son inocentes y que los culpables son culpables…

La Vida de un Examinador Forense Digital es recompensada cuando te llama alguien para agradecerte por tu trabajo ya que sus ahorros fueron recuperados después de dos años…

La Vida de un Examinador Forense Digital es recompensada cuando al presentar pruebas, una madre obtiene la custodia de sus hijos debido a la evidencia de maltrato en una computadora…

La Vida de un Examinador Forense Digital es recompensada cuando puedes dormir porque lograste calmar un cliente y decirle: «No se preocupe, todo estará bien…»

La Vida de un Examinador Forense Digital es recompensada cuando un Ministerio Público te agradece el tiempo que pasaste con él, explicándole desde qué es un mega byte hasta cómo se guarda información en una memoria de USB.

La Vida de un Examinador Forense Digital es recompensada cuando te das cuenta que las computadoras no son más que tú…

La Vida de un Examinador Forense Digital SIEMPRE es recompensada porque como Examinador Forense Digital aprecias el poder ayudar y generar conciencia de lo que sucede con la tecnología, explicarle a los niños de los peligros en Internet, y a la sociedad de lo que se avecina…

Bloqueando los USB’s para adquisiciones

Una pregunta muy común con respecto al proceso de adquisición de evidencia, a veces llamado generación de imágenes forenses, es cómo se puede hacer con bajo presupuesto.

Si bien muchas veces recomiendo el uso de un protector contra escritura como los Firefly y UltraBlocks de Tableau, FastBlock de EnCase, LockDown de Paraben, etc.; muchas veces es costoso el tener este tipo de herramientas.

Obviamente uno de las razones más importantes que me impulsan a siempre recomendar un protector contra escritura o writeblocker, es el hecho de que es un elemento externo a la estación forense y que en muchas ocasiones es posible tomar una fotografía para mostrarle a las personas y explicar el proceso que sucede en esa pequeña caja negra.

Con el paso del tiempo, también estamos viendo el incremento en la existencia de duplicadores de discos, que permiten generar imágenes forenses de disco a disco, así como de disco a imagen sin la necesidad de una estación forense como el Talon o Dossier de Logicube, el TD1 de Tableau, etc.

Pero si no tengo el presupuesto para realizarlo, otra opción es el uso de un sistema en Linux (o incluso booteable) que me permita montar los discos en sólo escritura para poder generar la imagen forense. Personalmente este caso lo considero a veces peligroso, ya que si no se tiene el cuidado y experiencia, uno puede perder el control y empezar a modificar el disco evidencia con el disco destino. Adicionalmente que uno debe conocer perfectamente los comandos que serán ejecutados en ese momento.

Para aquellos que no sean linuxeros y que la cartera no les permita obtener un duplicador o un protector contra escritura, mi recomendación es un truco de modificar el registro de Windows para convertir los USB’s a sólo escritura.

Cabe mencionar que si uno tiene 4 puertos USB, todos los puertos se convertirán de sólo lectura, por lo que es necesario tener suficiente disco duro local para generar la imagen forense. 

Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
«WriteProtect»=dword:00000001

Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionaría, tiene que ser de USB.

Mi recomendación es hacer uno de FTK Imager de AccessData, que es una herramienta completamente gratuita y que se puede descargar de la misma página de AccessData para poder generar la imagen forense.

Ahora, si no sabes cómo modificar el registro de Windows, no deberías estar haciendo forense. Pero si eres un poco flojo, aquí hay una aplicación que te permite habilitar y deshabilitar los puertos con sólo apretar un botón.

http://www.netwrix.com/usb_blocker_freeware.html

No me da mi Navidá? (HELIX pidiendo donaciones)

Hace un par de semanas recibí en mi correo un anuncio del nuevo CEO de e-fense solicitando donaciones para que se mantenga libre la herramienta forense HELIX.

Creo que no había hablado antes de esta herramienta, y la verdad cuando empecé a escribir esta entrada, pensaba en ligar el hecho de la donación con las fechas navideñas.

Pero he decidido darle una vuelta y realmente hablar de la excelente herramienta que podríamos usar en caso de requerir una del tipo «respuesta a incidentes» para equipos encendidos y apagados.

HELIX no es otra cosa que una distribución booteable de linux, como muchas que hemos visto, sin embargo, tiene una línea de acción hacia el cómputo forense, la respuesta a incidentes y el e-discovery.

Fue hasta hace un par de años que pude experimentar al 100% las ventajas de dicha herramienta, no bastó un sólo día para ver todas las funcionalidades que brinda esta herramienta; sino que pasé cerca de una semana averiguando y probando cada una de las herramientas que estaban dentro de el CD.

Una de las cosas que más me llamaron la atención, fue que no sólo maneja una herramienta para hacer cada cosa, nos dá varias opciones para poder desde generar una imagen forense del disco o de la memoria de la computadora, hasta recuperar archivos según sus cabeceras.

No me queda mas que donar a la causa y dar un par de dólares para que esta herramienta siga siendo gratuita. La herramienta me ha dado no sólo la posibilidad de hacer cómputo forense, sino de aprender de ellas.