Con la ayuda del 440 (Y no es Bachata)

Como no recordar aquellas canciones de Juan Luis Guerra y los 4-40 como «Me sube la Bilirrubina» o «Quisiera ser un pez».  Incluso hasta el día de hoy disfruto de quien realmente logró sacar la Bachata de República Dominicana.

El día de ayer inicié haciendo un concurso de un candado de USB a quien me diera la respuesta correcta de qué tenía en común Juan Luis Guerra y el Cómputo Forense… lamentablemente nadie pudo saber la respuesta correcta, es por ello que aquí les doy la respuesta.

Como un ex-músico (ya que estudié un tiempo en el Sindicato de Músicos de la Ciudad de México), aprendí acerca del 4-40; la afinación en la nota «La» (A) natural siendo de 440 ciclos por segundo.

Este tono es enigmático y realmente interesante, ya que es el mismo que era usado en las centrales telefónicas para poder indicar que uno podría realizar una llamada. Hoy en día ni siquiera levantamos el teléfono para escuchar si hay línea o no.

Es así, que recuerdo haber afinado más de una guitarra simplemente descolgando el teléfono de casa y rasgando la cuerda hasta igualar el sonido.

Pero la razón del post no es para hablar de música, ni de tonos, ni de telefonía; sino de temas forenses digitales.

Una parte primordial que siempre se encuentra en un disco duro con cualquier versión o sabor de Windows es el MBR (Master Boot Record) conocido por aquellos que alguna vez usamos dos sistemas operativos en el mismo equipo ya que pasamos tiempo peleando para que quedara bien o conocido (por lo menos al leer el error) por aquellos que han sufrido con un error cuasi-irreparable al iniciar su equipo.

Este código existe en el equipo desde el sector 0, siendo éste el primer archivo que se encuentra en el disco duro y tiene un tamaño de 512 bytes, normalmente terminando en el hexadecimal «55AA», un indicativo de que el MBR termina y está funcional. (Incluso algunos lo conocen como el «número mágico», pero nunca he entendido el chiste).

Es realmente este pedazo de código el que indica al equipo de cómputo cómo «bootear» o iniciar a cargar el sistema operativo.

Dentro del MBR es donde encontramos al offset 440 (el cual no tiene nada que ver con la Bachata!); sino que es donde encontramos 4 bytes relacionados con la Firma del Disco de Windows (Windows Disk Signature); el cual es un valor único para el disco y que nos permitiría correlacionar un disco duro con un sistema operativo.

Expliquemos un poco más. Este número de 4 bytes que se encuentra en el MBR, se relaciona en el registro de Windows de un equipo ya que cuando conectamos el disco, el sistema operativo toma registro del mismo y es entonces que puede ser vinculado entre sí.

Esta información se encuentra dentro de la llave «Mounted Devices» dentro del System Hive o llave de registro de Sistema en cada equipo.

Es por ello que si tenemos un disco duro o memoria de USB y 20 computadoras, podremos ubicar en cuáles el disco o dispositivo fue conectado aunque sea un minuto.

Hubo muchas respuestas vía twitter (aunque todas erróneas), pero muchas de ellas muy chistosas:

@marioafv: ha de ser por la cancion la bachata rosa // o por que son 4 en tu equipo y todos trabajan a 40 grados 😉
@GABOAVENDA: Pues bueno para empezar lo recomendaste en la sección musical del #podcastcrimendigital ep. 12 la cancion las avispas…

@krakenmex: que J L guerra se parece a andres velazquez

@rafaarias: que 4 de cada 40 guardan fotos de sus burbujas de amor?

@Ba_k: porque trabajan tanto los forenses que ojalá lloviera café? =P

@zzainss: a parte de que en un episodio de crimen digital colocaron juan luis guerra?

@caar2000: Acaso seran privilegios de solo lectura para el usuario y grupo | -r–r—– | chmod 440

@MgsnchzS: Que juan luis guerra creo su fundacion 440 en 1991 al igual que mattica fue creado en 1991

@robertz100: que si vas a guardar 1 gigabyte de besos mejor revisa que no tengan virus, jeje

@knaverit: la criptografía en «señales de humo», donde la chava en cuestión no puede descifrar el msg y «se pierde en el aire»

Gracias por sus comentarios y respuestas!

Santos Hashes Batman! (¿Qué es un hash?)

 ¿Cómo podemos validar que lo que tenemos como evidencia o prueba digital es exactamente igual a la imagen forense que acabamos de crear?

Un hash es un algoritmo matemático que permite generar a partir de una cadena de longitud variable, una cadena de longitud fija.

Es como sacarle una huella digital a un archivo (sólo en su contenido) o a un disco duro (en su totalidad); y por lo tanto nos permite validar la integridad entre el medio original y la imagen forense.

Este proceso es uno de los principales que se realizan dentro del paso de Preservación dentro del Cómputo Forense que se realiza en conjunto con la generación de la imagen forense. (Copia exacta del medio de almacenamiento que se va a analizar).

Dentro del cómputo forense las mejores prácticas nos indican que es el algoritmo MD5 el que puede ser usado, aunque también son aceptados el SHA-1 y SHA-256. 

Un valor hash (resultante del algoritmo hash, también llamado digest) es generado a partir de una cadena de entrada; sin embargo, no es posible llegar a calcular esa cadena de entrada a partir del hash. Por lo que es un algoritmo de una sola vía.

Si tenemos un archivo y calculamos su hash, nos dará el valor hash, que por ejemplo puede ser:
MD5:  9bb6826905965c13be1c84cc0ff83f42
SHA-1: ae7734e7a54353ab13ecba780ed62344332fbc6f

En un caso de que modificáramos el contenido del archivo -OJO: el hash de un archivo se calcula únicamente de su contenido, no de su fecha de acceso, modificación o creación ni en el nombre; datos que se encuentran en el sistema de archivos– entonces el hash cambiaría por completo. La mínima expresión de cambio (1 bit) haría que el valor hash cambiara completamente.

En el cómputo forense, los hashes se usan para poder validar la integridad independiente del:
– Disco o medio a analizar (teléfono, memoria, etc) al hacer la imagen forense
– Todos y cada uno de los archivos contenidos en el medio, para poder validar que siguen siendo los mismos cuando los exportamos, analizamos independientemente, etc.

¿Qué pasa si la evidencia digital o prueba digital no coincide en su hash al momento de compararlas?

Han sucedido situaciones en las cuales por una razón fuera del alcance del ser humano, un disco duro después de un tiempo almacenado, presenta una falla en algunos sectores dañados debido a la humedad, posición de las cabezas de lectura del disco u otras circunstancias.

Es el momento donde los valores hash de cada uno de los archivos contenidos, y principalmente los de importancia para la investigación tienen un papel primordial; ya que si comparamos los hashes es posible llegar a validar su existencia e integridad.
 
Es posible llegar a validar que los archivos y el sistema de archivos no ha sido modificado intencionalmente, y por lo tanto si realizamos una modificación intencional en una copia de la imagen forense (OJO: una copia de la imagen forense es igual a la original) y se dañan intencionalmente los sectores detectados; el hash del disco duro será exactamente igual a la de la imagen dañada intencionalmente para validar este procedimiento.

Esto se ha realizado pocas veces, ya que como lo comenté es algo que rara vez sucede pero puede llegar a suceder en algún caso.

Muchas de las herramientas forenses tanto de software como de hardware tienen integrado el realizar el hash de ambos medios durante su proceso de generación de imagen forense.

Mi conferencia en Campus Party!

Pues ya finalmente la publicaron hace un par de días, pero hasta ahora me dió tiempo de subirla a mi blog:

http://www.youtube.com/v/rgD46Hz4hBY&hl=en_US&fs=1&

Espero les guste y espero sus comentarios al respecto!

El mundo desconocido de las contraseñas de Hotmail, Gmail y Facebook…

El día de ayer hemos visto como cerca de 10,000 contraseñas de usuarios de Hotmail fueron publicadas en un sitio de internet por un anónimo.

Se dice dentro del medio, que posiblemente el atacante haya sido de origen hispano, ya que muchos de los correos involucrados involucraban nombres como «Alejandra» y «Alberto»; así como las contraseñas que contienen palabras del diccionario español.

Una de esas contraseñas, la más larga de todas: lafaroleratropezoooooooooooooo

Estas contraseñas fueron obtenidas por medio de un ataque tipo phishing. Esos correos electrónicos que contienen ligas a otros sitios (no necesariamente vienen de bancos)… y que obtienen tu usuario y contraseña. Si lo vemos desde un punto de vista neutral, realmente el usuario es quien da sus datos al atacante.

Expliquemos un poco más a detalle.

Recibes un correo electrónico de una persona conocida, alguien que si se encuentra dentro de tus contactos. En dicho correo, viene una postal. Emocionado al respecto abres la postal, para lo cual te pide que «para cuestiones de seguridad» coloques tu usuario y contraseña de tu email para poder verla. (Incluso aparecen los logos de Hotmail, Gmail o incluso de Facebook)

Confiado de que estás todavía en el correo (aunque no sea así), colocas tu contraseña.

Me han pedido que escriba este post para poder dar tips de cómo proteger las contraseñas, lo cual haré, pero también quisiera debatir el tema legal para que vean lo dificil que es investigar este tipo de casos. (al final del día, como examinador forense, es mi chamba)

Resulta que este tipo de emails causan mucho daño. Entonces, qué puede uno hacer?

1. Denunciar: Qué denuncias?? Te robaron tu cuenta de correo o de facebook? Estas pagando por ella? De quién es realmente?

La respuesta es que las cuentas de Hotmail, Facebook y demás son propiedad de ellos y no tuyo. (eso nos pasa por no leer el contrato de servicio), por lo que entonces quienes podrían demandar son ellos. Lamentablemente también todos los equipos o servidores se encuentran en USA, por lo que la legislación de la información encontrada en los equipos, se rige con las leyes americanas.

2. Que la autoridad lo persiga!

Para poder perseguirlo, se requieren denuncias. Sin embargo, imaginemos que se persigue por oficio (porque es su deber). Pues entonces si ellos buscan la manera de caer en el phishing para poder investigar, se considera incitacion a cometer el delito, entonces ya son ellos también culpables.

Esto es algo que he estado peleando desde hace mucho tiempo y que seguire peleando.

Pero bueno…..

La realidad y para terminar, aquí están los tips:

TIPS de Contraseñas

– Que la contraseña no sea una palabra que encontramos en un diccionario
– No se vale ni el nombre de tu perro, novia, esposa, hijos, placas del carro, cedula, matricula de la escuela, etc.
– Cambiala regularmente, principalmente después de usarla en un equipo que no es confiable
– Valida que realmente es el sitio a donde estás accesando antes de colocar tu contraseña
– No uses la misma contraseña para todo (te hackean una, te hackean todas) – considerando que tambien en tu cuenta de mail guardas los correos de todas las otras cuentas cuando las creaste.

«Las contraseñas deberían ser como la ropa interior: No se dejan tiradas en cualquier lado, no se prestan ni a los mejores amigos y se cambian regularmente»

Y a todo esto, ¿qué es el cómputo forense? – PARTE 2

Generación de Imagenes Forenses

Normalmente, después de la fase de identificación, tenemos que abordar la etapa de preservación. En discos duros de computadora, normalmente se realizan extrayendo el disco duro.

Haciendo uso de un dispositivo conocido como protector contra escritura (Write-Protector) para evitar la modificación o alteración de la información contenida en el disco duro, se procede a calcular el valor de integridad para después realizar una imagen forense de cada uno de los discos duros.

Al terminar dicho proceso, para poder asegurar la integridad de la información se realiza nuevamente el cálculo del valor de integridad, debiendo ser éste exactamente igual al calculado originalmente.

Una imagen forense es una copia exacta del contenido de un disco duro, incluyendo el “espacio no-asignado”. En sistemas operativos como el Microsoft Windows® cuando un archivo es “borrado”, realmente no es eliminado del disco duro; sino que el sistema operativo espera poder utilizarlo de nuevo. Si este espacio no-asignado no es sobrescrito por alguna otra información, por medio del cómputo forense es posible recuperar dicho archivo “borrado”. Estas imágenes forenses de cada uno de los discos permiten realizar el análisis sin manipular el disco duro original.

El valor de integridad, conocido técnicamente como valor hash o digest, es una función matemática que convierte una cadena de longitud variable a una cadena de longitud fija, la cual permite validar que la información contenida en el disco duro no ha sido modificada o alterada. El proceso aceptado internacionalmente establece que se debe calcular el valor de integridad al momento de iniciar la imagen forense y posteriormente realizar una verificación para comprobar que la información contenida en los discos duros no ha sido alterada de ninguna manera.

Es gracias a la tecnología usada, como son los dispositivos de protección contra escritura y los programas especializados para realizar el cómputo forense que podemos asegurar la integridad de los discos duros originales así como sus imágenes forenses.

Después de esta fase, tenemos la del Análisis y Presentación.

Y a todo esto, ¿qué es el cómputo forense? – PARTE 1

El Cómputo Forense – Importancia, Necesidades y Estrategias

Al hablar de un manual de procedimientos en delitos informáticos no solamente se hace referencia a definir cuáles serán los pasos que deberá seguir el investigador al llegar a la escena del crimen. Definir este procedimiento en términos de “el investigador debe abrir el explorador de Windows, ubicarse en la carpeta de Archivos de programa… buscar los archivos ejecutables que existan en la máquina…” sería caer en una situación que no sería casi imposible ya que todo sistema es completamente diferente.

En otras ocasiones, la investigación será proporcionada a un ejecutivo de la alta administración, sin embargo, es muy importante de que todo el proceso se realice con los procedimientos pertinentes para que en el caso de que se requiera, se pueda iniciar un procedimiento legal.

El procedimiento forense digital busca, precisamente, evitar esas modificaciones de los datos contenidos en el dispositivo de almacenamiento. También, como es lógico, pueden presentarse como resultante de la intervención directa del investigador, cuya tarea inicial es “congelar” la evidencia y asegurarla, para posteriormente presentarla para su análisis. El aseguramiento se hace, única y exclusivamente, mediante la utilización de herramientas de software y hardware que, a su vez, utilizan métodos matemáticos complejos para copiar cada medio magnético en forma idéntica; es decir, que les permiten obtener copias digitales idénticas (bit a bit) al original.

En algunas ocasiones, no es posible realizar las imágenes forenses sin alterar la prueba; pero para ello tendremos que validar y justificar exactamente para que sea válida.

Siendo así, definimos el cómputo forense como:

“Aplicación de técnicas científicas y analíticas especializadas a la infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.”

Para explicarlo más a detalle, cuando se presenta un delito informático o incidente, el investigador debe, inmediatamente, generar una imagen forense de todo el contenido del dispositivo, incluyendo el espacio libre. Ésto si se tiene acceso al medio a analizar como lo es una computadora completamente apagado. En otra ocasión hablaré de el análisis forense a dispositivos que no pueden ser apagados; conocido como el Análisis Forense en Vivo.

Lamentablemente, obtener una imagen forense legalmente aceptable no es tarea fácil. Sin embargo, la industria y la práctica legal en otros países han definido estándares que, entre otros, ayudan al mejoramiento de dicho proceso.

Hoy por hoy, cualquier persona con un nivel medio de conocimientos en sistemas puede modificar evidencia digital por desconocimiento.

En la siguiente entrega hablaremos de la imagen forense, qué es y cómo se genera.

La Ingeniería Social con Trino…

Un teléfono suena, y al contestar una voz dice con tono de radiodifusora: «Muchas Felicidades! Le hablamos del Banco Patito. Usted ha ganado un viaje a Ixtapa con todo incluído. Simplemente requiero su número de tarjeta de crédito y pin para comprobar que es usted el ganador».

Lo anterior es un caso típico de la ingeniería social, disciplina que se podría definir como la manipulación de las personas con fines criminales. 

Hace un tiempo me encontré con esta excelente caricatura «Fábulas de Policías y Ladrones» realizada por Trino, creo que es muy fácil identificar la problemática:

Lo feo de las redes sociales…

Redes Sociales como facebook, hi5, orkut, myspace, etc., son cada vez más usadas en Latinoamérica por los internautas. Sin embargo, también pueden ser usadas como una herramienta para poder ejecutar desde un robo de identidad, hasta que un pedófilo secuestre a un menor.

Es impresionante lo que se puede obtener de información personal a partir de un perfil de las redes sociales. Un perfil mal configurado puede permitir a un tercero a ver información desde su correo electrónico, su cuenta de messenger o incluso las fotografías personales.

Uno pensaría que esto es una cuestión normal, sin embargo, es completamente lo contrario. Personas que buscan obtener un beneficio a partir de realizar un robo de identidad o incluso pedófilos se valen de esta información para realizar lo que se conoce como la «ingeniería social«.

Muchas personas en el medio describen esta disciplina de diferentes maneras, e incluso creo que dedicaré un post únicamente este tema. Pero en sí, se refiere al hecho de obtener información personal de un tercero sin conocerlo engañándolo.

Imgine si puedo ver su perfil de cualquiera de las redes mencionadas anteriormente. ¿Qué podría saber de usted?

Quizá pueda saber que le gustan los perros porque todas las fotografías en su perfil aparece con un perro; quizá pueda saber qué tipo de lugares le gusta salir los fines de semana (y con algo de suerte, no sólo sabré el nombre, sino el nombre de sus amigos con los que siempre sale).

A partir de ahí puedo saber directamente del perfil sus preferencias de libros, películas, series y también sus amigos. Lo que me permitirá tener conocimiento de su vida.

Finalmente, y simplemente como para enfatizar la problemática, podría solicitar ser su amigo; si me acepta, podría enviar un mensaje a todos sus amigos preguntando por su número de teléfono celular, ya que como soy un amigo cercano (y podría justificarlo al hacerme pasar por otra amistad); muy probablemente algún samaritano que es amigo suyo, me lo proporcionará.

Imagine ahora todo lo anterior aplicado a un menor…

Si este post lo dejó pensando un poco; entre a su red social y cambie los permisos para que su perfil no sea público (de tal manera que no sea listado en los buscadores), adicionalmente puede seleccionar a quiénes mostrará sus fotos, de tal manera que usted controla qué y a quién permitirá ver su información.