Forensia Digital

Einar Felipe Lanfranco

Damián Rubio

1
 Contents
Repaso clase anterior: 2
Las Fuentes de información 3
Archivos de log 4
Firewall 5
Metadatos 6
Metadatos: 7
Metadatos - DEMO: 8
Datos residuales: 10
IDS/IPS 11
Entre Logs e IDS vemos lo que NO ve el Firewall 12
Sistema de Archivos - Filesystem 13
Esteganografía 14
Esteganografía 15
Esteganografía 16
Busque las 4 diferencias entre las imágenes 17

i
 Esteganografía 18
Esteganografía 19
Ahora busque la diferencia entre las imágenes 20
Esteganografía 21
Criptografía 22
Hashing 23
Hashing en la forensia digital 24
Verificación de la evidencia 25
Funciones de Resumen 26
Tipos de Hash 27
Verificación - MD5 28
Verificación - SHA1 29
Firma de correo 30

ii
 data-rot 270
ate:

1
 Repaso clase anterior:
• Conceptos relacionados
• Criptografía simétrica y asimétrica
• PGP
• Ejemplos de la vida Real

2
 Las Fuentes de información
• Las fuentes de información que se utilizan para realizar un
análisis forense son diversas:
• Correos electrónicos.
• Logs de los Firewall o cortafuegos.
• IDS / IPS.
• Logs de los sistemas / aplicaciones involucradas.
• Entrevistas con los responsables de seguridad y de los
sistemas.
• Etc.

3
 Archivos de log
• El propósito principal de los archivos de log es registrar
eventos significativos o interesantes, se pueden usar para:
• Troubleshooting en general
• Correlación de eventos
• Detección de intrusiones
• Manejo de incidentes

4
 Firewall
• Un firewall (en español cortafuegos) es un sistema utilizado en
una red o en un host con el objeto de controlar las
comunicaciones, permitiéndolas o prohibiéndolas según las
políticas que se hayan definido en la organización o el criterio
del usuario que lo implementa.

5
 Metadatos
• Se suelen definir a los metadatos como los "datos sobre los
datos".
• Los metadatos están estructurados de tal forma que permiten
ayudar a la identificación, descripción, clasificación y
localización de un recurso. En los sistemas operativos, estos
datos sobre datos se guardan junto a los archivos.
• Algunos de ellos son:
• mactime: fechas de creación, acceso y modificación de
un archivo.
• datos de gps.
• tipo de archivo.
• autor
• datos específicos de las aplicaciones.

6
 Metadatos:

7
 Metadatos - DEMO:

8
 • Ver: sinGPS.jpg y conGPS.jpg en
https://whereisthepicture.com/

9
 Datos residuales:
• Cuando un usuario borra un archivo, el sistema operativo no
borra literalmente el archivo sino que sólo lo marca como
espacio disponible.
• El contenido del archivo se mantiene hasta que este sea
sobrescrito. De modo que estos datos pueden ser encontrados
y accedidos por los forenses utilizando las herramientas
adecuadas.

10
 IDS/IPS
• IDS/IPS: La detección de intrusiones (IDS) es el arte de
detectar actividad sospechosa, incorrecta o inapropiada. Los
sistemas de prevención de intrusiones (IPS) son mecanismos
de defensa proactivos diseñados para detectar actividad
maliciosa y detener intrusiones, bloqueando dicha actividad
“ofensiva” automáticamente antes de que ésta realice algún
daño.
• Si ya tengo un firewall, ¿para qué quiero un IDS/IPS?
• En la seguridad física de una organización, un firewall es
el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
• Por otro lado, un IDS es el equivalente a las cámaras,
sensores y alarmas internas que existen dentro de la
propiedad. Estos guardan y analizan la información que
reciben para detectar patrones de comportamiento
sospechoso.

11
 Entre Logs e IDS vemos lo que NO ve el
Firewall

12
 Sistema de Archivos - Filesystem
• Es el componente del sistema operativo encargado de
administrar y facilitar el uso de las memorias periféricas, ya
sean secundarias o terciarias.
• Sus principales funciones son la asignación de espacio a los
archivos, la administración del espacio libre y del acceso a los
datos resguardados.
• Estructuran la información guardada en un dispositivo de
almacenamiento de datos o unidad de almacenamiento
(normalmente un disco duro de una computadora), que luego
será representada ya sea textual o gráficamente utilizando un
gestor de archivos.
• La mayoría de los sistemas operativos manejan múltiples
sistemas de archivos

13
 Esteganografía
• Es la disciplina en la que se estudian y aplican técnicas que
permiten el ocultamiento de objetos o mensajes, dentro de
otros llamados portadores, de manera que no se perciba su
existencia. Es una mezcla de artes y técnicas que se
combinan para conformar la práctica de ocultar y enviar
información sensible a través del portador, para que pueda
pasar desapercibida.
• La esteganografía ha aparecido a lo largo de la historia de
diferentes formas, cada cual más ingeniosa. Se conoce la
existencia de mensajes ocultos en pequeñas bolitas de seda
con mensajes escritos, envueltas en cera y usadas como
adornos de los botones. Un escondite tan sutil para los
mensajes secretos pasaba desapercibido para quienes
intentaban interceptar a los mensajeros.

14
 Esteganografía
• Otro método histórico de ocultar información se basaba en la
grabación de mensajes en tablas de madera que después
eran “borradas” con cera. De esta forma, las tablas parecían
estar en un estado virgen, para poder ser escritas y sólo quien
esperara recibir el mensaje derretía la cera para dejar la
información oculta al descubierto.
• También se dice que en época del imperio romano, algunos
mensajeros portaban sus mensajes en el cuero cabelludo:
éste había sido escrito después de haberles cortado el pelo a
ras, y el propio crecimiento del pelo ocultaba el mensaje. En
su destino, el mensaje se hacía visible cortando el pelo del
mensajero. La esteganografía no ha quedado olvidada en los
tiempos pasados, sino que nos ha acompañado hasta tiempos
muy recientes y, en materia de informática, incluso tiempos
actuales.

15
 Esteganografía
• La Esteganografía en el moderno sentido de la palabra y en
terminos informáticos se refiere a información o a veces
incluso a un archivo que se encuentra oculto dentro de otro.
• Normalmente el contenedor es algún archivo del tipo
multimedia, como una imagen digital, un video o un audio

16
 Busque las 4 diferencias entre las imágenes

• Originales para comparar: Img 1 y Img 2

17
 Esteganografía

• Si observa detenidamente a simple vista las dos imagenes

anteriores parecen aparentan tener 3 diferencias
únicamente:
• La patita verde, la sonrisa y la manito

18
 Esteganografía

• Incluso si utiliza una herramienta como perceptualdiff verá

cambios en las zonas de esos 3 cambios ... pero....

19
 Ahora busque la diferencia entre las imágenes

• Originales para comparar: Img 2 y Img 3

20
 Esteganografía

• ¿Encontró alguna? Estas si parecen iguales.... pero.... ahí

esta! la 4ta diferencia entre los primeros pingüinos es
diferencia entre estas últimas dos imágenes !!! (Para
observarlo, recurrir a las imágnes del html, no en el pdf de
distribución)
• Si baja ambas imágenes verá que una pesa 4500 bytes y la
otra 4534 bytes....
• Steghide es una herramienta opensource que puede
utilizarse para aplicar esteganografía.
• Hay una implementación en línea que puede utilizar para
verificar las imágenes ->
https://futureboy.us/stegano/decinput.html

21
 Criptografía
• Es la ciencia que consiste en transformar un mensaje legible
en otro que no lo es (mediante claves que sólo el emisor y el
destinatario conocen), para después devolverlo a su forma
original, sin que nadie que vea el mensaje cifrado sea capaz
de entenderlo.
• Es parte de un campo de estudios que trata las
comunicaciones secretas, usadas, entre otras finalidades,
para:
• Autentificar la identidad de usuarios
• Autentificar y proteger el sigilo de comunicaciones
personales y de transacciones comerciales y bancarias
• Proteger la integridad de transferencias electrónicas de
fondos

22
 Hashing
• Es el proceso utilizado para generar una identificación única o
"fingerprint" digital de una entrada, como, por ejemplo, una
imagen de disco.
• Cuando se utiliza una función de hash segura, dos entradas
no pueden generar el mismo hash.

23
 Hashing en la forensia digital
• Gracias a sus propiedades, las funciones de hash son
utilizadas para comprobar que una evidencia no ha sido
alterada durante la investigacion.
• Si un bit de la imagen es alterado, su hash será distinto al
original.
• DEMO con hexedit + md5sum

24
 Verificación de la evidencia
• Una vez realizada la copia debemos verificar que el origen y el
destino sean idénticos.
• Para ello utilizaremos una función de resumen o hash
• Este comprobación nos garantiza integridad de los datos
Según wikipedia: "Una función hash H es una función computable
mediante un algoritmo, que tiene como entrada un conjunto de
elementos, que suelen ser cadenas, y los convierte (mapea) en
un rango de salida finito, normalmente cadenas de longitud fija."

25
 Funciones de Resumen

26
 Tipos de Hash
• Las funciones más comunes en forensia son:
• MD5
• SHA1
• Se recomienda además de estas comenzar a utilizar
algunas más fuertes, ya que estas dos se consideran
débiles actualmente
• SHA256 o MD6 son opciones
• Adicionalmente se recomienda firmar el resumen con la clave
privada del investigador para evitar que la misma sea
sustituida

27
 Verificación - MD5

$ md5sum Lihuen-Lxde-2016.iso
f893fa5f454ad3bda5066c647fd49556 Lihuen-Lxde-2016.iso

28
 Verificación - SHA1

$ sha1sum Lihuen-Lxde-2016.iso
bfc6dd67bfb110edb2205cbd9407ed0e953278f1 Lihuen-Lxde-2016.iso

29
 Firma de correo

30