Martes 11 de marzo de 2014 Conferencias San Pepe 14

1

Inform tic Forense:
You cn run but
you cnt hide
Por: Javier Artiga Garijo, estudiante del Grado en Ingeniera de las
Tecnologas y los Servicios de la Telecomunicacin

Quiz esta fue una de las charlas ms multitudinarias de este ciclo de San Pepe 2014.
Su dinmica informal y el atractivo de su presentacin la convirtieron en una
exhibicin de la profesin de informtico forense. Al estilo de las charlas de hackers
tales como Chema Alonso o Moxie Marlinspike, Antonio Sanz habl sobre el campo del
anlisis de los datos ofrecidos por dispositivos informticos, desde distintas
perspectivas: presentacin y las fases del proceso forense, burocracia y asuntos legales
relacionados, estilos de procedimientos forenses, buena praxis del informtico forense
y, por ltimo, cmo ampliar y profundizar en estos conocimientos.
Comenz la ponencia explicando la diferencia entre DF (anlisis digital post-mortem)
e IR (reaccionar ante un incidente en directo), adems de mencionar el principio de
Locard, por el cual sabemos que el simple hecho de observar implica influir en lo
observado. A continuacin, explic algunas tcnicas y herramientas, as como las fases
de un anlisis forense.

1. WTF DFIR BRO?
- DF: Digital Forensics (Post-mortem)
- IR: Incident Response (Respond to an incident)
- Locards exchange principle
- Techniques, tools and procedures
- Digital Forensics Phases: Identification, Acquisition, Preservation, Analysis (Tech
yeah!), Dissemination.
Ponente: Antonio Sanz
Profesor de Criptografa
Departamento de Informtica y Sistemas, Universidad de Zaragoza

Martes 11 de marzo de 2014 Conferencias San Pepe 14
2

Ya en primer lugar, el doctor Sanz abord la temtica legal por ser el aspecto ms
pesado (pero no por ello menos importante) de la profesin. Sin embargo, prefiri
dejar de lado lo que podran ser ms las propias leyes en favor de cuestiones como
si es preferible desenchufar un ordenador intervenido, o la importancia de tener
precaucin a la hora de leer/sobreescribir archivos. Sin duda, el punto fundamental
es la preservacin: Preservation is King. Tambin toc la cadena de custodia, a la
cual pertenecemos y la cual debemos proteger de cualquier alteracin cuando
trabajamos en un caso.

2. BORING LEGAL STUFF
- Acquisition: RASP, SAN, NAS, VM (virtual machine)
- Should I pull the plug?
- Use a cond Write Blocker. (CD Live que no monte lectura/escritura)
- Get the whole enchilada (disco entero). Tool: Norton Ghost (no copia todo).
Copiar bit a bit: commando linux dd
- Preservation is king.
- Chain of custody.

Martes 11 de marzo de 2014 Conferencias San Pepe 14
3

A continuacin, se meti de lleno en la informtica forense en s (la magia forense),
diferenciando dos modalidades que deben ser complementarias: las tcnicas forenses
en vivo, que tienen lugar sobre la marcha y en el momento de la posible actividad
sospechosa o de la requisicin del material informtico, y las tcnicas clsicas, que casi
siempre intentan recuperar la informacin borrada. En ambas eran protagonistas los
datos aparentemente borrados, pero que todava se conservaban bien en los registros,
bien en otras memorias, bien en la papelera de reciclaje, o que eran deducibles a partir
de las MAC, los metadatos, los ficheros recientes, el anlisis de redes y otros muchos
mtodos.
Para ilustrar estos campos, puso en marcha dos demos, una de cada estilo, que servan
para recuperar informacin en un principio no accesible. En primer lugar, mediante
pmdump.exe consegua volcar una contrasea de Gmail directamente en texto plano.
La segunda demo fue con el conocido Whatsapp Xtract, til para recuperar el historial
de conversaciones de WhatsApp de un terminal mvil al que se tiene acceso fsico (o
del que al menos se posee su archivo de conversaciones). Tambin se detuvo en la
herramienta FOCA, desarrollada por Informtica64.

3. FORENSIC MAGIC
- Live forensics
- Order of Volatility
Your running computer has a goldmine of information that is lost if you
fuckin turn it off
- Orden de prdida: Registros --- c:\, d:\, e:\
- Cold boot attacks (con nitrgeno en la RAM)

>> pmdump.exe 4200 five.dmp (volcar contrasea)
Strings five.dmp !grep &Passwd

- Classic forensics
- Recover deleted data
- How filesystems work (fragmentacin)
Borrar = marcar como espacio susceptible de ser sobre-escrito
- Good times, MAC times (media access control)
- Space/Time Analysis
o Dont delete your history. Or do it, it doesnt matter
o Dogs cant pre-fetch (fetch = traer el palo)
>> Whatsapp Xtract
- Recycle bins are gold mines
Martes 11 de marzo de 2014 Conferencias San Pepe 14
4

- Registry knows where your porn is
- Every USB you plugged could be used against you
- Where did you say you hide your crap? (Ficheros recientes)
- Finding things in logs is like going on a wild goose chase
- Too much metadata. La novia de w0rmer.
>> FOCA
- Youve got an email (anlisis de cabeceras)
- Share your downloads with us!
- Network forensics
- Sources:
o Smartphones:
Memoria externa: SD
Memoria interna: NANO
Memoria SIM (preguntar PUK y cdigo de desbloqueo)
o Tablets
o Virtual Machines
Tras tantas prcticas potencialmente maliciosas, lleg el momento de explicar cmo ser un to
legal y no meterse en los, detallando los pasos y buenas praxis que siguen los informticos
forenses. Lo primero es el conocimiento y dominio de la situacin en todas sus dimensiones:
conocer el campo, el enemigo, varias herramientas (pues cada una puede ser adecuada para
momentos distintos). Algunos de los buenos consejos mencionados fueron: Las cosas que
faltan nos dicen mucho, Pon juntos dos ms dos y Aprende siempre nuevos trucos.
Tambin hizo una estimacin de lo que compone este trabajo: la mitad es conocimiento, un
30%, tcnica, un 15% corresponde al instinto y hay que tener un 5% de suerte. Acto seguido,
destac la importancia de redactar un buen informe: claro, sencillo, objetivo y que cumpla con
lo requerido. El informe tambin implica su defensa, para la que hay que estar preparado. Para
acabar, hizo hincapi en lo primordial de la tica, que debe sobreponerse a toda situacin y
evitar que nos desviemos de la pura profesionalidad y buen hacer del informtico forense.
4. STAND-UP GUY
- Cut to the chase
- Know your trade
- Know your enemy
- Use more than one tool
- Missing things tell us a lot
- Put two and two together (2+2=5)
- Always learn new tricks
o 50% Knowledge
o 30% Technique
o 15% Instincts
o 5% Luck
- Write your report
Martes 11 de marzo de 2014 Conferencias San Pepe 14
5

- Defend your report
- Ethics

Como aadidura, recomend cmo conseguir ms informacin de calidad sobre el
tema, acudiendo a libros, blogs, herramientas y live CDs que probar, retos en Internet,
etc. Tambin record que existen algunos certificados oficiales que acreditan la
formacin precisa para ejercer, como es el caso del CHFI.
En ltimo lugar, quiso resumir la charla en tres conclusiones:
Necesitamos el DFIR. Mucho.
Los asuntos legales son vitales.
Hay que tener siempre presente que son muchos los aspectos a tener en cuenta (el
dnde, el cundo y el por qu).

5. WANNA MORE?
- Books
- Blogs
- Tools/Live CDs
- Challenge accepted
- Certifications (CHFI)
- Conclusions
o We need DFIR. Lots of it.
o Legal issues are critical (LOPD, LG de teleco, etc.)
o Many places to look (where, when & why)