Presman Taller Analisis Forense Robo Identidad

4to Seminario y Taller de Segu-Info

PROTEGIENDO MI IDENTIDAD - Si no soy yo, sos vos?

1

TALLER

ANALISIS FORENSE DE UN

CASO DE ROBO DE IDENTIDAD

11 Abril 2008

Universidad Tecnológica Nacional , Facultad Regional Santa Fe

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE

[email protected]

www.presman.com.ar



2

AGENDA

� Planteo del caso . Marco Legal

� Evidencias disponibles

� Que busco en un caso de robo de identidad ?

� Virtualizacion de Evidencia

� Analisis del disco compacto incautado

� Analisis de la imagen forense disponible .

� Analisis de Signatures y hashes

� Analisis de la geometria de las unidades

� Analisis de Papeleras de reciclaje

� Analisis de Actividad en Internet

� Hallazgos y Conclusiones



3

El caso

El domicilio del imputado Gustavo Presas es compartido por otros estudiantes que utilizan todos la misma PC. En fecha 03/02/2008 se realiza un allanamiento en el domicilio y se secuestra la PC , dos días después la dependencia policial realiza una imagen forense de la misma , la cual se le remite junto con un disco compacto que se encontraba con las pertenencias del imputado en el momento de su detención . Se pide que determine :

• 1) Si la PC ha sido utilizada para actividades vinculadas con el Robo de Identidad denunciado

• 2) Si el imputado puede ser considerado el usuario de la PC , vinculándolo al hecho investigado.

• 3) Cualquier otro dato de interés para la Investigación



4

MATERIAL APORTADO

1) ARCHIVO DE EVIDENCIA*

2) DISCO COMPACTO

HD Presas.E01

d1aedf4cdc83b4c724ab989291375f1a

*Fuente : NIST : National Institute of standards and technology - http://www.cftt.nist.gov/



5

Que busco en un caso de robo de identidad ?

� Listados e Imágenes de tarjetas de Credito

� Listados e Imágenes de Documentos de Identidad

� Listados de passwords

� Sitios visitados

� Documentos de procedimientos

� Impresiones realizadas de documentos , cheques , etc...

� Conversaciones de chat

� ...



6

VIRTUALIZANDO LA EVIDENCIA

Frecuentemente el investigador necesitara acceder a la evidencia de manera

directa :

• Para utilizar una herramienta sobre la unidad

• Para ejecutar un analisis antivirus

• Para Visualizar y presentar la evidencia de modo mas “real”

� Restaurar la evidencia original en un medio alternativo

� levantar la evidencia en una VM



7

VIRTUALIZANDO LA EVIDENCIA

*http://www.mountimage.com/

http://liveview.sourceforge.net/



8

VIRTUALIZANDO LA

EVIDENCIA CON VMWare

LABORATORIO



9

• La autenticacion MD5 de un CD/DVD puede fallar por el

corrimiento de las unidades de lectoescritura

• La Estructura fisica de un CD/DVD esta formada por tracks

(pistas) .Un disco puede ser grabado :

– Track at Once

– Disk at Once

– Packet writing/Incremental recording

Un CD/DVD puede contener multiples sesiones

La Estructura Logica de los HD no es apta para CD/DVD:

– ISO 9660 (Win/Mac)

– UDF (Win/Mac)

– JOLIET (Win)

– HFS/HS+ (Mac)

ANALISIS DE CD/DVD



10

PROCESANDO EL CD CON

ENCASE FORENSIC

LABORATORIO



11

ANALISIS DE LA IMAGEN FORENSE DISPONIBLE

Independientemente de las herramientas empleadas , se trata de

buscar suficiente evidencia para sostener un caso , en nuestro

caso , esto incluye :

• Obtencion de elementos eliminados (Particiones , carpetas

y archivos)

• Analisis de signatures y hashes

• Analisis de Papelera de reciclaje

• Actividades en internet (sitios visitados , actividades realizadas)



12

ANALISIS DE FIRMAS (SIGNATURE ANALYSIS)

El Analisis de Firmas permite:

� Encontrar , dentro del File System , archivos

que han sido renombrados



13

ANALISIS DE FIRMAS (SIGNATURE ANALYSIS)



14

ANALISIS DE INDICES (HASH ANALYSIS)

El Analisis de Hash permite:

� Restringir el objeto de estudio :El Investigador forense utilizara hash sets publicos (NIST , Hash) , privados (LE) o propios

� Identificar univocamente archivos “notables” : El investigador creara sus propios Hash sets para encontrar de manera univoca archivos determinados



15

ANALISIS DE INDICES (HASH ANALYSIS)



16

ANALISIS DE LA GEOMETRIA DE UNIDADES

� El investigador debe analizar la geometría

de las unidades. Determinar la totalidad de

sectores en el dispositivo y verificar que los

mismos estén asignados a particiones de la

unidad , de lo contrario realizar una

recuperación y montar las eventuales

particiones eliminadas



17

Es el análisis de los sitios visitados y su correlación temporal

con la investigación . Incluye la evacuación de las eventuales

actividades.

Este análisis se realiza sobre las carpetas y archivos del

espacio conocido como cache de Internet , el cual es creado y

mantenido por los navegadores de Internet .

Para nuestro caso el cache del Internet Explorer se

encuentra en los archivos INDEX.DAT

ANALISIS DE ACTIVIDAD EN INTERNET



18

PROCESANDO EL CASO CON

ENCASE FORENSIC

LABORATORIO



19

HALLAZGOS

Es posible afirmar que el usuario :

� Borro la carpeta Mis documentos en la segunda Partición

� Borro la carpeta Musica para mis oidos en la segunda partición

� Elimino la segunda partición

� Renombro un ZIP como MP3

� Renombro una imagen JPG como DLL

� Navego por sitios relacionados con el delito cometido

� Descargo imágenes para cometer sus ilicitos

� Grabo imágenes y documentos en una sesion oculta del CD



20

CONCLUSIONES

Del Analisis Forense Informatico que acabamos de efectuar :

�Se prueba que las las imágenes y el documento escondidos en

el CD son idénticos a los existentes en la PC

�Se prueba que el usuario deliberadamente ocultó y eliminó

información



21

TALLER

ANALISIS FORENSE DE UN CASO DE ROBO

DE IDENTIDAD

Muchas Gracias por su participacion

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE

[email protected]

www.presman.com.ar

Presman Taller Analisis Forense Robo Identidad

Technology

Transcript of Presman Taller Analisis Forense Robo Identidad