Analizando Blackberry a partir de un archivo de respaldo

Hace un tiempo tenía la necesidad de enviar un mensaje por medio del PIN de Blackberry a un amigo, desesperadamente busqué en diferentes lados y había desaparecido de mi Blackberry.

Lo que se me ocurrió ahí fue hacerle una investigación a mi propio dispositivo para poder recuperar ese PIN y poder contactar a la persona. Traté con varias herramientas sin poder lograrlo.

Pero fue entonces que recordé que contaba con respaldos de mi Blackberry en mi laptop y que podría tratar de abrir el archivo y buscar la información. Después de varios intentos encontré la mejor herramienta para poder recuperar toda la información existente en el respaldo y de una manera muy sencilla.

La herramienta se llama ABC Amber BlackBerry Converter

Como se puede apreciar en el screenshot (que por obvias razones no es de mi Blackberry) es el contenido del respaldo, en mi caso pude apreciar mucha más información de la que se muestra en esta imagen. Por ello decidí tomar una imagen del programa con mi Blackberry pero sin que mostrara mucha información:

Solo me queda decir que estoy muy contento con la herramienta y aunque tiene un costo, pagar menos de 20 USD por la herramienta vale la pena.

Seguiré tus pasos aunque tú no quieras… (El MFT)

Recuerdo una caricatura muy particular de mi niñez. Un inspector que seguía un maleante (todo de negro) y que le cantaba: «Seguiré tus pasos aunque tú no quieras».

En un proyector de películas caseras, junto con un clásico de Tom y Jerry donde el famoso gato era un director de una orquesta; mis padres ponían una y otra vez esa caricatura. La verdad, espero un día ir a buscar el proyector y volverla a ver.

Quién diría que muchos años después tuviera algo que ver dicha frase en lo que me dedico. Pero me sirvió de una buena forma para explicar el funcionamiento de una parte de un sistema.

Y es que existe en los sistemas un archivo -imperceptible para el usuario- para aquellos que usan NTFS.

Probablemente sea el archivo más importante de éste sistema de archivos, que permite desde una perspectiva forense encontrar información valiosa sobre el uso del sistema.

Y estoy hablando del MFT (Master File Table), archivo que no hay mejor forma que aprenderlo de Brian Carrier y su libro: File System Forensics Analysis.

Brian es también el creador de la herramienta de Open Source The Sleuth Kit, Autopsy y Mac-Robber, indispensables para aprender de cómputo forense desde la base.

Como comentaba, el MFT, explicado por el mismo Brian Carrier es:

El Master File Table (MFT) contiene entradas que describen todos los archivos de sistema, archivos del usuario y directorios. El MFT incluso contiene una entrada (#0) que se describe a sí misma, por medio de la cual determinamos su tamaño. Otros archivos de sistema en el MFT incluyen el Directorio Raíz (#5), descriptores de seguridad y el journal.

Cada entrada de MFT tiene un número (similar a los inodos en UNIX). Los archivos de usuario y directorios inician en el MFT #25. El MFT contiene toda una lista de atributos.. Por ejemplo «Standard Information» que almacena información como los MAC Times (fecha de creación, acceso y modificación), «File Name» que almacena el nombre del archivo o directorio, $DATA que almacena la información actual del archivo o el «Index Alloc» e «Index Root» que contiene los contenidos del directorio almacenados en un B-Tree.

Cada tipo de atributo tiene un valor numérico y más de una instancia de un tipo puede existir para el archivo.

Como se puede entender en el párrafo anterior, el MFT es una bitácora tan importante para el examinador forense que permite determinar la existencia de ciertos archivos, aunque éstos hayan sido eliminados.

Por ello, es que recuerdo tanto esa caricatura que decía: «Seguiré tus pasos aunque tú no quieras»…. ya que por mas que quieras ocultar algo, el NTFS junto con el MFT podrá delatarte.

Bloqueando la estación de trabajo

Hace unos meses, alguien me comentó de una aplicación para poder bloquear tu laptop cuando llegaras con algún dispositivo de Bluetooth. Después de hacer varias búsquedas en Google, pude llegar a esta página:

PHOENIX FREEZE

Lo interesante es que puede hacer uso de cualquier dispositivo, ya que el software corre directamente en la laptop o PC.

El punto importante a delimitar, es que creo que se basa en la MAC address del dispositivo para poder desactivar y activar el software. Y si hacemos un Mac Spoofing?

Bloqueando los USB’s para adquisiciones

Una pregunta muy común con respecto al proceso de adquisición de evidencia, a veces llamado generación de imágenes forenses, es cómo se puede hacer con bajo presupuesto.

Si bien muchas veces recomiendo el uso de un protector contra escritura como los Firefly y UltraBlocks de Tableau, FastBlock de EnCase, LockDown de Paraben, etc.; muchas veces es costoso el tener este tipo de herramientas.

Obviamente uno de las razones más importantes que me impulsan a siempre recomendar un protector contra escritura o writeblocker, es el hecho de que es un elemento externo a la estación forense y que en muchas ocasiones es posible tomar una fotografía para mostrarle a las personas y explicar el proceso que sucede en esa pequeña caja negra.

Con el paso del tiempo, también estamos viendo el incremento en la existencia de duplicadores de discos, que permiten generar imágenes forenses de disco a disco, así como de disco a imagen sin la necesidad de una estación forense como el Talon o Dossier de Logicube, el TD1 de Tableau, etc.

Pero si no tengo el presupuesto para realizarlo, otra opción es el uso de un sistema en Linux (o incluso booteable) que me permita montar los discos en sólo escritura para poder generar la imagen forense. Personalmente este caso lo considero a veces peligroso, ya que si no se tiene el cuidado y experiencia, uno puede perder el control y empezar a modificar el disco evidencia con el disco destino. Adicionalmente que uno debe conocer perfectamente los comandos que serán ejecutados en ese momento.

Para aquellos que no sean linuxeros y que la cartera no les permita obtener un duplicador o un protector contra escritura, mi recomendación es un truco de modificar el registro de Windows para convertir los USB’s a sólo escritura.

Cabe mencionar que si uno tiene 4 puertos USB, todos los puertos se convertirán de sólo lectura, por lo que es necesario tener suficiente disco duro local para generar la imagen forense. 

Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
«WriteProtect»=dword:00000001

Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionaría, tiene que ser de USB.

Mi recomendación es hacer uno de FTK Imager de AccessData, que es una herramienta completamente gratuita y que se puede descargar de la misma página de AccessData para poder generar la imagen forense.

Ahora, si no sabes cómo modificar el registro de Windows, no deberías estar haciendo forense. Pero si eres un poco flojo, aquí hay una aplicación que te permite habilitar y deshabilitar los puertos con sólo apretar un botón.

http://www.netwrix.com/usb_blocker_freeware.html

No me da mi Navidá? (HELIX pidiendo donaciones)

Hace un par de semanas recibí en mi correo un anuncio del nuevo CEO de e-fense solicitando donaciones para que se mantenga libre la herramienta forense HELIX.

Creo que no había hablado antes de esta herramienta, y la verdad cuando empecé a escribir esta entrada, pensaba en ligar el hecho de la donación con las fechas navideñas.

Pero he decidido darle una vuelta y realmente hablar de la excelente herramienta que podríamos usar en caso de requerir una del tipo «respuesta a incidentes» para equipos encendidos y apagados.

HELIX no es otra cosa que una distribución booteable de linux, como muchas que hemos visto, sin embargo, tiene una línea de acción hacia el cómputo forense, la respuesta a incidentes y el e-discovery.

Fue hasta hace un par de años que pude experimentar al 100% las ventajas de dicha herramienta, no bastó un sólo día para ver todas las funcionalidades que brinda esta herramienta; sino que pasé cerca de una semana averiguando y probando cada una de las herramientas que estaban dentro de el CD.

Una de las cosas que más me llamaron la atención, fue que no sólo maneja una herramienta para hacer cada cosa, nos dá varias opciones para poder desde generar una imagen forense del disco o de la memoria de la computadora, hasta recuperar archivos según sus cabeceras.

No me queda mas que donar a la causa y dar un par de dólares para que esta herramienta siga siendo gratuita. La herramienta me ha dado no sólo la posibilidad de hacer cómputo forense, sino de aprender de ellas.

Imágenes Forenses en Vivo con el Software Favorito

Hace un par de semanas pude probar este software forense.

Me llamó mucho la atención ya que una de las preguntas recurrentes que me hacen tiene que ver con la generación de una imagen forense en vivo.

Muchas de las veces recomiendo en el caso de que la máquina que no puede ser apagada sea Linux o Windows, el hacer uso de HELIX como herramienta para poder generar una imagen forense de los medios del equipo.

Si bien HELIX es una herramienta muy interesante que permite realizar imágenes forenses de memoria así como de discos duros; es necesario aprender cómo usarla y posteriormente ver por qué medio será almacenada (USB, red, netcat, etc.)

Me llamó la atención esta herramienta – F-Response -, ya que permite usar cualquier herramienta para generar una imagen forense que estamos acostumbrados en Windows (X-Ways, FTK Imager, EnCase, etc) al montar en sólo lectura el dispositivo remoto en la máquina que se quiere hacer el cómputo forense en vivo. Cabe mencionar que esta herramienta permite hacer imagenes forenses sólo de los discos duros de prácticamente cualquier sistema operativo!

Simplemente imagine que al correr el programa en la máquina evidencia, coloca un USB con el software, coloca la IP de la estación forense y desde la estación forense se monta un disco físico que usted puede analizar o generar una imagen forense.

Muy bien por la gente de F-Response!

Haré más pruebas y les diré mis resultados.