PLANTEAMIENTO DEL PROBLEMA
La
entidad educativa Golden reconocida empresa del sector educativo dirigida por
la Dra. Raquel Sanders ha mostrado en los últimos meses gastos excesivos en
material de papelería para su entidad, la Dra. Sanders giró los dineros del mes
de febrero de 2015 de acuerdo al reporte realizado en una hoja de cálculo
llamado 20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx
que le envía su amiga y funcionaria la Sra. Dora Michel para que realice las
compras correspondientes de ese mes. También comenta la Dra. Sanders que
inexplicablemente su listado de empresas de la zona franca se perdió de su
computador de trabajo siendo la única copia que se tenía de dicha información y
con la que contaba para realizar alianzas educativas en su región. La Dra.
Sanders en su confusión no se explica cómo se perdió la información de las
empresas ya que todo se maneja en una red computacional con privilegios.
Algo
que ha llamado la atención, es que, se ha observado a la Sra. Michel algunas
veces en los café internet cercanos a la entidad educativa donde confluyen
muchos estudiantes de varias universidades algo sospechoso porque la
funcionaria tiene oficina propia en la entidad educativa Golden.
En su
afán de observar los pasos de su funcionaria la Dra. Sanders comenta el caso a
sus ingenieros de la entidad los cual proceden acertadamente a comentar el caso
a las autoridades quienes avalan la realización de una imagen binaria del disco
duro de la funcionaria Dora Michel la cual se resguarda bajo un protocolo
adecuado de cadena de custodia con registro
SHA1: 551bb28deb960af92fd0bf08258b9d8d6fbde091
Link descarga:
Que quedó en manos de los peritos
informáticos para su análisis
PREGUNTAS DEL CASO
El grupo de peritos
informáticos (grupo colaborativo) los cuales tiene la imagen a examinar deben
proceder con lo siguiente:
Realizar un informe técnico únicamente con los
siguientes criterios que permitan
esclarecer el caso.
· Identificar el sistema operativo y las
acciones a realizadas para preservar la información de la imagen suministrada.
·
¿Qué cuidados se aplicaron en la
evidencia entregada?
·
¿Cómo se obtuvo de la
reconstrucción de la secuencia del ataque?
·
¿Qué aspectos se tuvieron en
cuenta para la preparación del análisis de la imagen suministrada?
·
¿Qué se determinó como tipo de
ataque realizado?
·
Informe de Análisis de la
evidencia recolectada: buscar todos los archivos que se involucran con el caso
que pudieron ser renombrados, creados o modificados, valor del fraude realizado
en el mes de febrero, correos enviados y destinatarios
·
Conclusiones de los hallazgos,
pruebas, determinación de responsabilidades o no de la inculpada
Utilice
Autopsy para verificar la evidencia. (Versión Windows o Linux a su gusto)
SOLUCIÓN PREGUNTAS DEL CASO
Haciendo un resumen de lo que
va del caso hasta ahora hicimos
la fase de identificación del objeto que se va a investigar en este caso
es el disco duro de la funcionaria Dora Michel con base a la solicitud
forense realizada a la Dra. Raquel Sanders donde ella nos da información sobre
el caso y características del equipo con base a unos formularios que ella
diligencia para tener mejor información del caso, también se hizo la fase de validación y preservación
en cual hicimos una imagen exacta del
contenido de la evidencia que es el disco
duro de esta funcionaria y le asignamos un código SHA1: 551bb28deb960af92fd0bf08258b9d8d6fbde091 ayudados con programas
como OSFORENSICS esto con el fin de
evitar que persona no autorizado de nuestra organización, manipule la evidencia
a favor de la funcionaria investigada.
Ahora
vamos a proceder a la fase de análisis de la evidencia, esta fase es la que
toma más tiempo pero es la que da los resultados en la investigación del caso dada,
para esto vamos a usar el programa AUTOPSY de Windows, para proceder a analizar
la imagen de disco que tenemos en custodia
Vamos
a mostrar unas imágenes de cómo el
AUTOPSY procede a analizar la imagen binaria del disco duro a analizar:
Como
primera medida abrimos el programa AUTOPSY, le colocamos un nombre al caso y
ese caso lo guardamos en una ubicación de nuestro equipo que usamos en nuestra
organización para guardar las imágenes de disco a analizar
·
Luego procedemos a enumerar el caso y colocamos en examinador el
nombre de un funcionario de nuestra organización que procederá con el análisis:
·
Luego seleccionamos que
queremos analizar una imagen de disco que ya tenemos resguarda anteriormente en
nuestro equipo base y su ubicación donde tenemos guarda la copia binaria:
·
Aquí podemos observar la imagen binaria del disco duro dela
funcionaria investigada, la seleccionamos para que nuestro programa comience a
hacer el respetivo análisis:
Una vez el
programa ha terminado de hacer el análisis podemos ver en la parte izquierda de la siguiente
imagen, un árbol de directorios con características de la imagen binaria
analizada, para más adelante nuestro equipo procederá a revisar esas
características y ayudar a dar respuesta
a las preguntas del caso de la funcionaria.
· Identificar el sistema operativo y las
acciones a realizadas para preservar la información de la imagen suministrada.
Como primera medida tenemos que
aislar la zona donde está la evidencia es decir aislar la oficina de la funcionaria investigada ya
que aparte del computador como tal podemos encontrar documentos, notas escritas
a mano memorias USB, CD, DVD entre otros que nos ayudaran a investigar el caso
y restringir el acceso a personas no autorizadas en especial la persona
sospechosa, ya que al acceder a la
oficina podría borrar información o adulterarla, incluso dañar el computador
que se va investigar, revisamos las conexiones del equipo si están en buen
estado o el equipo esta prendido en ese momento, hacer una documentación del
estado inicial de la máquina, una forma de hacerlo sería tomarle fotos al
monitor del computador investigado mostrando en la foto lo que se ve en pantalla y anotar los programas en ejecución,
dado caso proceder a apagar la maquina
retirando el cable de alimentación de la pared.
Si miramos con calma lo hecho por la herramienta AUTOPSY es decir
mirando los archivos cuidados y las características de este programa nos puede
decir el sistema operativo, ver la siguiente imagen:
En la parte izquierda de la foto donde está el rectángulo de borde
verde podemos ver que la imagen binaria tiene las carpetas distribuidas como
cualquier Windows, si le damos clic a la carpeta desktop y miramos los archivos
que están en la parte derecha aparece uno con el nombre desktop.ini al
seleccionarlo miramos la información que está dentro del rectángulo con borde
rojo y vemos que una de las rutas de
acceso a ese archivo es system32, el cual es una carpeta características de los
Windows .
· ¿Qué cuidados se aplicaron en la evidencia
entregada?
Para hacer la recolección de la información se debe tener en
cuenta la severidad y categoría del caso que se está analizando y así lograr
determinar que evidencias se deben recolectar; estableciendo la importancia y
contundencia de cada una de las evidencias que tomadas.
Para realizar lo anteriormente dicho debemos mantener intactos
todos y cada uno de los hallazgos encontrados en la escena del crimen. Dentro
de los cuidados que se tuvieron en cuenta en la recolección, fue la creación y verificación
de copias de los medios informáticos que serán analizados durante la investigación;
a continuación se creó la documentación donde quedó plasmada la información de
los procedimientos y herramientas que se utilizaron en el análisis de la
información recolectada. Además de esto se realizó un informe y presentación de
los resultados de la investigación; los cuales serán entregados a la entidad
educativa Golden.
Para la realización de todo esto
debimos tener en cuenta que la cadena de custodia de las evidencias
encontradas debió ser las más rigurosa, para que no haya ninguna alteración de
la misma y por último se realizó una auditoria a todas y cada uno de las
actividades realizadas durante el desarrollo de la investigación, para
garantizar los resultados obtenidos en todo el proceso de análisis forense.
·
¿Cómo se obtuvo de la
reconstrucción de la secuencia del ataque?
Tendremos que crear una línea temporal de sucesos
procurando recopilar información
sobre los ficheros como:
-Marcas
de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado).
-
Ruta completa.
-
Tamaño en bytes y tipo de fichero.
-
Usuarios y grupos a quien pertenece.
-
Permisos de acceso.
- Si
fue borrado o no.
Ordenando
los archivos por sus fechas MACD, esta primera comprobación, aunque simple, es
muy interesante pues la mayoría de los archivos tendrán la fecha de instalación
del sistema operativo, por lo que un sistema que se instaló hace meses y que
fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC
muy distintas a las de los ficheros más antiguos, para mirar la línea de tiempo
en AUTOPSY se ve de esta manera:
Esta
opción la buscamos en la barra superior del programa donde dice tools y luego
le damos clic a la opción timeline.
Con
el programa AUTOPSY tenemos que buscar
ficheros y directorios que han sido creados, modificados o borrados
recientemente o instalaciones de programas posteriores a la del sistema
operativo y que además se encuentren en rutas poco comunes, la mayoría de los
atacantes y sus herramientas crearán directorios y descargarán sus
“aplicaciones” en lugares donde no se suele mirar, como por ejemplo en los
directorios temporales.
Para guiarnos nos centraremos primero en buscar los archivos de sistema
modificados tras la instalación del sistema operativo, averiguar después la
ubicación de los archivos ocultos, de qué tipo son, identificar también los
archivos borrados o LOGS que es un registro oficial de eventos durante un rango
de tiempo en particular, lo usamos
para revisar datos o información sobre quién, qué, cuándo,
dónde y por qué un evento ocurre para un dispositivo o aplicación, también con ayuda del programa AUTOPSY al revisar la sección de los archivos
borrados, intentar recuperar su contenido, anotar su fecha de borrado compararla con la actividad del resto de los
archivos, ya con esto tendremos indicio de las acciones que hizo la funcionaria,
por ejemplo veamos la siguiente foto:
Si vemos la foto en el recuadro
con borde verde podemos ver la sección donde están los archivos borrados, si
los seleccionamos podemos ver en la
parte derecha de la foto recuadro borde rojos los archivos eliminados y sus
características a partir de aquí tenemos que revisar los archivos con más detalle,
para poder probar si la funcionaria investigada elimino algún archivo del
equipo y que tiene información relevante para investigar el caso.
·
¿Qué aspectos se tuvieron en
cuenta para la preparación del análisis de la imagen suministrada?
Al iniciar la investigación
el equipo forense adecuo el sitio donde se va a desarrollar el proceso, iniciando
en realizar una copia o copias exactas de la imagen recolectada como evidencia
para evitar el daño de los discos originales; estas imágenes deben ser montadas
en el equipo tal cual estaban montadas en el sistema que recibió el ataque. Para hacer un análisis efectivo debemos tener
como mínimo dos estaciones de trabajo.
En la primera estación
debemos tener dos discos duros; en uno de los cuales se instalara un sistema
operativo que tendrá la función de anfitrión y que servirá de plataforma para
el estudio de todas y cada una de las evidencias. Y en el otro guardaremos las
imágenes que tomamos como evidencia del equipo atacado, teniendo en cuenta que
el sistema de archivos del disco duro debe ser idéntico al del disco duro del
equipo atacado.
En la segunda estación
de trabajo instalaremos la imagen recolectada como evidencia; donde debemos
tener en cuenta que el sistema operativo debe quedar configurado exactamente
como estaba en la maquina atacada.
Al tener esta
infraestructura montada se comenzara a analizar las evidencias, de tal manera
que logremos crear una línea de tiempo en donde se recopilara de manera
cronológica, los eventos o acciones que se realizaron en el equipo atacado. La
idea de realizar este proceso es la de buscar tanto ficheros como directorios que
hayan sido creados, modificados o borrados durante el ataque; además de esto se
hará un rastreo de los programas que se instalaron posteriormente a la
instalación del sistema operativo. Teniendo en cuenta que debemos analizar
todos los ficheros ya que los atacantes crearan rutas poco convencionales para
instalar sus aplicaciones con el objetivo de no ser detectados.
·
¿Qué se determinó como tipo de
ataque realizado?
Artículo
269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe,
borre, deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa
de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Artículo
269F: Violación de datos personales. El que, sin estar facultado para ello, con
provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
·
Informe de Análisis de la
evidencia recolectada: buscar todos los archivos que se involucran con el caso
que pudieron ser renombrados, creados o modificados, valor del fraude realizado
en el mes de febrero, correos enviados y destinatarios
Si
revisamos los archivos eliminados podemos ver que el archivo de la zona franca
se encuentra eliminado ver imagen:
Esto es lo que nos aparece en la
sección metadata (si le damos clic a esa pestaña, ver imagen anterior),
indicando características del archivo como su fecha de acceso (accesed),
creación (created), modificado (changed):
|
Name
|
/img_551bb28deb960af92fd0bf08258b9d8d6fbde091.img/Downloads/lista-empresas-zona-franca.xls
|
|
Type
|
File
System
|
|
Size
|
264704
|
|
File
NameAllocation
|
Unallocated
|
|
MetadataAllocation
|
Allocated
|
|
Modified
|
2015-03-05
13:04:42 COT
|
|
Accessed
|
2015-03-16
14:53:01 COT
|
|
Created
|
2015-03-16
14:43:08 COT
|
|
Changed
|
2015-03-16
14:46:15 COT
|
|
MD5
|
7cf4250840d9d2baa375ab2cafa8aa56
|
|
Hash
LookupResults
|
UNKNOWN
|
|
Internal
ID
|
56
|
Si miramos la sección donde
dice office (21) (ver en la imagen recuadro verde) y le damos clic vemos que aparece
el archivo:
20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx podemos ver en esta
imagen el recuadro con borde negro las propiedades que aparecen en metadata
como cuando fue accedido, modificado, creado etc…
Estos son los datos que
aparecen en la sección de metadata
con respecto a las fechas del archivo en cuanto a modificación, accesos y
cambios.
|
Modified
|
2015-03-06
15:14:19 COT
|
|
|
Accessed
|
2015-03-16
14:43:31 COT
|
|
|
Created
|
2015-03-16
14:43:09 COT
|
|
|
Changed
|
2015-03-09
15:53:20 COT
|
|
Esto
nos indica que ese archivo efectivamente ha sido modificado y para confirmar
todo esto si observamos el archivo llamado lulu.gif que se encuentra en el ítem
de resultados en específico en extracción de contenido, vemos que el archivo
efectivamente ha sido modificado ya que contiene la información de la entidad
educativa Golden.
Adicionalmente
a lo anteriormente analizado, si revisamos la carpeta de descargas encontramos
el archivo de lista de empresas zona franca.
También
vemos que la funcionaria al usar sus
correos envió dentro de un archivo
llamado reconocimiento_fundamentos_de_mercadeo-1.docx información sobre 20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx ver siguiente foto:
Si miramos
esta foto con más detalle vemos que en el recuadro de borde verde vamos a
revisar los correos de la funcionaria y
vemos cada uno de los documentos que aparecen ahí vemos que en el que esta
demarcado con azul y al revisar lo que aparece en la sección text, si seguimos
bajando en la sección text vemos que
aparece el listado de proveedores de insumos ya mencionado en el caso.
Asi se ve ese archivo si seguimos bajando en la sección text.
Y esto es que lo nos aparece en la sección metadata en cuanto a
sus fechas de modificación:
|
Metadata
Allocation
|
Allocated
|
|
Modified
|
2015-03-16
15:04:21 COT
|
|
Accessed
|
2015-03-16
15:04:21 COT
|
|
Created
|
2015-03-16
14:43:08 COT
|
|
Changed
|
2015-03-16
15:04:22 COT
|
|
MD5
|
6f6d4c332673cfe599988839231a3fdb
|
|
Hash
Lookup Results
|
UNKNOWN
|
|
Internal
ID
|
59
|
Si
observamos la siguiente imagen, podemos apreciar el correo electrónico (Cristcamiriya200168@hotmail.com)
al cual fue enviada la información de las empresas dentro del archivo reconocimiento_fundamentos_de_mercadeo-1.docx.
Por la
extensión del archivo reconocimiento_fundamentos_de_mercadeo-1.docx,
podemos deducir que fue creado en un editor de texto Office 2010 o una versión
posterior.
Observando
el archivo lista-empresas-zona-franca.xls, se puede decir que fue creado en
Office 2007 o posterior.
Los dos
archivos llamados reconocimiento_fundamentos_de_mercadeo-1.docx y lista-empresas-zona-franca.xls
son archivos que normalmente se editan o se crean bajo sistema operativo
Windows por su fácil manejo de ventanas.
Si
extraemos el archivo reconocimiento_fundamentos_de_mercadeo-1.docx y buscamos
dentro de este el correo electrónico Cristcamiriya200168@hotmail.com,
encontramos que este pertenece a una famiempresa llamada Rapitienda el mana de
la 27, que se dedica a comercializar víveres y abarrotes a la comunidad del
sector.
Extrayendo
el archivo lista-empresas-zona-franca.xls de la imagen, abriéndolo observamos
que tiene cuatro hojas de cálculo llamadas LISTA TOTAL, PROCESADORAS Y DE
SERVICIOS, COMERCIALIZACION COMPLEMENTARIA y COMERCIALIZADORAS Y SERVICIOS,
haciendo un recorrido por estas hojas de cálculo se puede apreciar su contenido
donde las hojas llamadas PROCESADORAS Y DE SERVICIOS, COMERCIALIZACION
COMPLEMENTARIA y COMERCIALIZADORAS Y SERVICIOS, son clasificación de LISTA TOTAL.
Si extraemos
de la imagen del disco el archivo encontrado llamado lulu.gif, el tratar de
abrirlo con la extensión .gif nos trata de mostrar su contenido en ventana del
navegador. Como no es posible ver su contenido se cambia al archivo lulu.gif
por lulu.xls, teniendo una respuesta positiva pues al abrir el archivo se puede
apreciar el mismo contenido del archivo llamado lista-empresas-zona-franca.xls,
lo que indica que el archivo lulu
fue renombrado con extensión de archivo imagen para pasar desapercibido.
Haciendo
una búsqueda por textos en la Imagen RAW del HDD cargada podemos apreciar que
al buscar insumos de oficina encontramos la siguiente similitud:
Donde
podemos apreciar los archivos utilizados para sacar la información confidencial de las compras de papelería que
ha tenido la entidad.
A
continuación también observamos los movimientos que se realizaron con los
archivos descargados y modificados para extraer la información de la compras.
El archivo descargado inicialmente es un trabajo colaborativo de la
universidad, pero después es eliminado y reemplazado por uno con él la
información de las compras al final del mismo.
Conclusiones
de los hallazgos, pruebas, determinación de responsabilidades o no de la
inculpada.
Dentro del análisis realizado a las evidencias recolectadas en el
caso en mención, se lograron determinar las siguientes conclusiones:
La señora
Dora Michel es la principalmente responsable en el ataque ya que todas las
pruebas indican que ella cometió el delito de robo de información, ya que se
encontró información en su equipo de la entidad educativa Golden; la cual fue
modificada, eliminada y enviada por correo electrónico a otra persona; por tal
motivo esta señora deberá ser entrevistada para que declare su responsabilidad
en este delito. Con ayuda
de software AUTOPSY fue posible el análisis detallado de la imagen binario del
disco duro de la funcionaria Dora Michel
donde fue posible verificar que el archivo llamado listado de empresas
zona franca que se encuentra en una hoja de cálculo con formato Excel, fue
descargado en el disco duro de la funcionaria en mención, quien ha cambiado su
nombre y extensión del archivo para no
llamar la atención. La funcionaria creyó que lo más conveniente sería borrar
todos los archivos de sus carpetas donde tuvieron actividad y de esta manera no
quedaría rastro, pero el análisis de la imagen del disco duro demuestra las
pruebas para vincular a la funcionaria como responsable de extracción del
archivo importante ya mencionado Otra
conclusión es que la funcionaria oculto
un archivo dentro de una imagen aplicando técnicas de estenografía, que es el
arte de ocultar documentos dentro de un contenedor que por la general es una
imagen (gif o bmp)por ser formatos sencillos oculto el listado de empresas de
zona de franca dentro de una imagen .gif llamada lulu, para saberlo nuestro
grupo usando el AUTOPSY reviso la sección extracted content ,luego en la
sección extracted mismatch detected nos aparece el la imagen lulu.gif y al
revisar la parte de abajo donde dice text podemos ver que aparece el listado de la zona franca. Podemos
decir que uso los correos electrónicos para enviar información de los listados
de insumos de oficina (el archivo Excel perdido) en un documento en Word con
otro nombre (reconocimiento_fundamentos_de_mercadeo-1.docx) y tiempo después si miramos los archivos eliminados aparece ese documento en Word eliminado para
evitar dejar rastros del fraude cometido.
No hay comentarios:
Publicar un comentario