Incident Response, Security and Forensics"

.

lunes, 20 de octubre de 2008

fraude en correo electrónico (I)

Hace unos meses fui contratado para realizar una prueba forense-pericial sobre un posible fraude en el uso ilícito del correo electrónico, es decir el caso es que un empleado enviaba correos electrónicos a una dirección con “presunto”contenido de pornografía. La empresa 'monitorizo' los correos salientes del presunto sospechoso, llegando a la conclusión de que enviaba correos no autorizados. Según su política de seguridad, supuso el despido de esta persona

La firma de abogados que me contrata, especifica que el despido es improcedente y que su cliente no ha enviado los correos. Tras requerimiento judicial (bastante burocratico) se me permite en condición de perito por la parte demandada analizar los correos y servidores de la empresa.

Lo primero es recopilar el mapa de red, fechas y tiempos que se aportaron como prueba (denuncia) y verificar en el sistema las coincidencias.

Ni que decir tiene que si se han borrado ficheros, correos y log's complicarán en exceso la obtención de evidencias. Normalmente en las empresas (generalmente Pymes con pocos conocimientos de seguridad) se tiene poco cuidado en el borrado de este tipo de información siendo bastante sencillo el poder recuperarlas. En mi caso como la obtención de datos es costosa manualmente opto por utilizar la herramienta comercial 'EnCase'

Los pasos que seguí fueron los siguientes:

Imagen de datos y verificación de integridad de la imagen.

Consiste en el clonado de las imágenes de datos que conciernen al caso en investigación manteniendo la cadena custodia (agradezco a los chicos de H-11 el haberme prestado su ultra-kit para el clonado de discos) me preparo a realizar el forensico, partiendo de la estación del usuario 'maligno'. Además Por cada clonado se debe verificar su huella criptográfica (MD5-SHA-1), comparándolo luego con el de la fuente original. Si la comparación arroja un resultado negativo se debe rechazar la imagen clonada

EnCase identifico las particiones del disco , por medio de la búsqueda del carácter 0x55AA, y las enumera como partes usables del disco. (En concreto dos particiones NTFS)

Creación de una copia de la imagen suministrada e identificación de las particiones actuales y sistema de archivos.

En un análisis de datos nunca se debe trabajar sobre la imagen original suministrada, sino sobre su copia. Particularmente hago tres copias, una para la empresa, otra para custodia bajo notario y otra para mi explotación y análisis

La identificación de las particiones en un disco es muy importante, ya que permite la identificación de su sistema de archivos. Como ya dije NTFS

Recuperación de los archivos borrados e información escondida

Durante esta actividad se deben tratar de recuperar los archivos borrados del sistema de archivos, lo que es conveniente dado el frecuente el borrado de archivos para destruir evidencia.

Los archivos recuperados formarán parte de los archivos potencialmente analizables

Adicionalmente, mediante un proceso de carving (escarbar) se logró identificar que en el espacio de clusters perdidos estaba escondida una imagen a la cual se hace referencia al archivo borrado



EnCase proporcionó información suficiente para determinar la cantidad real de clusters del archivo y poder reconstruirlo. Se encontró un fichero ZIP

El fichero 'ya1.zip' contenía 675 ficheros con contenido para adultos y clasificación 'Super X'. Me guarde una copia de esos JPG's como backup ;-)

Una vez encontrado el fichero(s) se procede a establecer un 'time line' para comprobar que coinciden las fechas y horas con las expuestas en la denuncia, para ello EnCase se las basta solito para comprobarlo



La línea de tiempo provee información de las fechas de creación, modificación y último acceso a los archivos en cuestión (tiempos MAC). Adicionalmente, despliega la anterior información gráficamente marcando la creación con gris oscuro, la última modificación en gris medio y el último acceso en gris oscuro. En el caso que nos ocupa coincide un día antes de ser enviado por correo según la denuncia.

En el siguiente post veremos si la persona que envia los ficheros pornograficos es quien dice ser