RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Desde mi abuelita – a quien extraño mucho – hasta mi señora madre, una frase parece haber pasado de generación en generación: “dime con quien andas…. y te diré quien eres”, menuda frase que utilizaban para que no me juntase con chicos de mi edad a quienes mi madre consideraba unos vagos, unos cochinos, unos ociosos, unos piojosos y en general, para todo aquel que podría ser una mala influencia en mi formación., como si la ociosidad y la vagancia fueran un virus el cual se transmite al correr y jugar futbol desenfrenadamente.

Tenía muchas opciones para el nombre de este post, los candidatos fueron: “Pierde tu disco duro y de diré quien eres”, “Wilson, paraíso de información olvidada” y “Dame tu disco duro y te diré quien eres”, obviamente ganó este último. El objetivo de  este Post es mostrar como a través de técnicas forenses vamos a recuperar toda la información posible de un disco duro “olvidado” en el centro Comercial Wilson para armar el perfil del anterior dueño del disco duro, la idea es poder armar un perfil que contenga sus datos principales (nombre, fecha de nacimiento, DNI, dirección, teléfono), profesión, gustos personales, contraseñas, etc.  ¿ Podremos? Aquí vamos una vez mas.

Cuestiones previas:

Si alguna vez has pasado por alguna de estas situaciones, este Post es para ti:

  • Alguna vez te robaron la laptop y tu disco duro no estaba cifrado, tu disco duro debe haber terminado siendo vendido a un extraño. Este Post es para ti.
  • Alguna vez vendiste tu laptop y creíste que formateando o borrando la información de tu disco protegías tu intimidad. Este Post es para ti.
  • Si trabajas en una empresa (privado o del estado)  y suelen dan de baja los computadores cuando se malogran o dejan de funcionar. Oh sí,este Post va dedicado para ti en especial.

 

1. Conseguir el disco duro

Primero toca conseguir un disco duro utilizado en el Centro Comercial Wilson, esta vez si fui al local pionero, al primerizo de los edificios, baje al sótano donde abundan dispositivos de “segunda mano” y fui cotizando un disco duro que me sirviera para este post. Así fue como adquirí un disco duro SATA, de 320GB y para laptop; obviamente lo que buscaba era que el disco duro haya sido antes utilizado y que pueda contener información para ser recuperada.

Compré el disco duro y hasta me dieron 03 meses de garantía, que felicidad!!

1

 

2. Analizando las técnicas de Recuperación de  Información

Un poco de teoría:

Siempre es bueno un poco de teoría para no aprender como funcionan por dentro las cosas, la técnica que vamos a utilizar para recuperar información es conocida como en el mundo forense como  “file carving” que no es lo mismo que “file recovery”, aunque lo que vamos a realizar es recuperar información del disco duro y pareciera que ambos términos son lo mismo ya que el objetivo de ambas es recuperar archivos del disco duro, en realidad son técnicas distintas. ¿Aún no entiendes en que se diferencian? Ok, vamos a explicarlo un poco mejor.

  • File Recovery

La técnica de “file recovery” es utilizada para recuperar información y esta técnica usa el sistema de archivos (NTFS, FAT, EXT3, EXT4, etc.) después de que se ha borrado un documento, dicho de otra manera está técnica es utilizada para recuperar información eliminada del sistema de archivos de un disco duro. Por ejemplo, si tienen instalado “Windows 7” y borran un documento de office, un Word o un Excel, mediante técnicas de “file recovery” existen muchas probabilidades de recuperar el archivo.

  • File Carving

Esta otra técnica, “file carving”, es distinta a la primera explicada. Esta segunda técnica no utiliza el sistema de archivos para recuperar información. Voy a explicar un poco más, cuando contamos con un sistema de archivos (FAT por ejemplo) y borramos un documento, lo que hace el sistema de archivos es modificar el primer caracter del nombre del archivo para ser marcado como un espacio no asignado o también conocido como “unallocated”, eso le indica al sistema operativo que ese espacio puede ser asignado para otro documento de ser necesario por el sistema operativo pero el documento no se ha borrado, sólo ha sido marcado como “unallocated”. Entonces, “file carving” lo que hace es buscar la estructura interna de un documento para poder ubicarlo y recuperarlo.

Vamos a colocar como ejemplo un archivo PDF, toca abrirlo con un editor HEXADECIMAL (en mi caso con Notepad++ y un plugin):

Los archivos con formato PDF siempre comienzan con el “header” : 25 50 44 46 2d 31 2e, como se muestra en la primera imagen inferior y siempre termina con el “footer”: 0a 25 45 4f 46 0d 0a, como se muestra en la segunda imagen inferior. La técnica “file carving” lo que hace es buscar los header y footer (sin importar el sistema de archivos) para recuperar documentos.

image

 

image

 

¿Qué técnica utilizar para este análisis?

Dicho esto y habiendo explicado algo de teoría, toca analizar cual es de las dos técnicas vamos a utilizar. Cuando compré el disco duro el vendedor me aclaró muy enfáticamente: “el disco está formateado, antes tenía Windows 7 y ahora tiene Windows XP, está limpiecito”. Eso quiere decir que han intentando borrar toda la información para vender el disco duro, en este caso no nos interesa el actual sistema de archivos necesitamos buscar la información que se ha intentado borrar al formatear el disco duro, es decir, tenemos que utilizar “File Carving”.

3. Recuperando Información Personal

Ahora sí, vamos a proceder con lo más divertido: recuperar información e iniciaremos a armar el perfil del anterior dueño del disco duro, sin mucho más floro iniciemos!!!. Vamos a utilizar una herramienta free que realiza “file carving”, utilizaremos FOREMOST. Son 320GB de tamaño que cuenta el disco duro y este proceso demora regular tiempo, si alguien va a realizar algún ejercicio similar, tengan paciencia, dejen corriendo la herramienta, vayan al cine, almuercen, duerman y luego revisan el resultado. También he utilizado SCALPEL, que es otra herramienta para hacer “file carving” pero que puede encontrar otros formatos como registros, archivos PST u OST y entre otros.

image

Recuperando Fotos, Correos, Documentos Office

Lo primero que busqué dentro del disco duro fueron imágenes, es evidente que no buscaba cualquier imagen, busco fotos personales del anónimo dueño anterior. Iniciemos:

  • Identificación del anterior dueñoEncontré muchas fotos personales en el disco duro pero la mayoría de una persona, por lo que podíamos presumir que el disco era de esa persona. En las fotos aparece con una menor de edad que al parecer es su hija, cubro las imágenes para no atentar contra las personas identificadas. Ya tenemos el rostro de nuestro anterior dueño.

    2

    Además, todo indica que estudió administración o ciencias contables en la Universidad del Callao (UNAC), por cosas del destino, la misma universidad de la que soy ex-alumno.

    363123154

  • Nombre la empresa, cargo y lugar donde trabajabaLo primero que identifiqué en las imágenes recuperadas es que había demasiadas con logos de establecimientos de “comida rápida” y escarbando un poco encontramos documentos de pagos, aquí identifiqué el nombre exacto de la empresa, es una empresa de comida rápida que en realidad gestiona cuatro (04) establecimientos de comida rápida, para efectos prácticos la llamaremos: Comida Rápida S.A, además encontramos el nombre del Gerente de Turno, encontré el mismo nombre en muchos más documentos, hasta el momento parece que este fuera el anterior dueño del disco duro.

    15

  • Facebook del dueñoHasta ahora, todo lo identificado son conjeturas porque no tenemos nada que lo verifique por completo, pero ya teníamos un nombre y la empresa donde trabaja (o quizás a trabajado porque ya renunció o consiguió un mejor empleo) así que sólo toca realizar una búsqueda en la red social más usada en el Perú – Facebook -  y con algo de suerte encontraríamos información que confirmara nuestras sospechas. Obviamente tengo que tapar el rostro pero en la parte lateral izquierda se puede ver que es Gerente de Turno de Comida Rápida S.A y que además ha estudiado Administración. Listo lo tenemos confirmado!!

    image
    Ingreso mensual del anterior dueño

    No me sorprendió encontrar que les paguen en este Banco, ¿entiende el motivo, verdad?  (algunos seguro que si entenderán)  al parecer no gana mucho dinero nuestro ex dueño de la laptop, lo digo porque en Julio en Perú se recibe el doble del sueldo gracias a las Fiestas Patrias peruanas.

    8

  • Gustos pornográficosSi señores, no se hagan los que nunca han visto pornografía, se identificó los archivos temporales que se descargan de manera automática  en los navegadores cuando se visitan páginas web. Al parecer el anterior dueño tenía gustos algo especiales en cuanto a pornografía, podríamos definirlo como: Porno Amateur y Asiático, sobre todo todo amateur. Se pudo identificar que visita páginas como: www.xvideos.com, manoardiente.blogspot.com, zorras.pe, pornocaleta.com, pornoencolombia.co, culosgratis.com.ve, odiosas.com.mx, entre otras. Parece que la página web “manoardiente” le cae muy bien de apodo.

    4

4. Recuperando información corporativa

Como suele pasar en muchos casos, a los empleados  de una organización se les entrega una laptop, de hecho es muy común que sea así, los computadores en forma de torre están en vía de extinción.  Este parece ser un ejemplo de este caso, aunque no puedo llegar a la conclusión si la laptop era la empresa y el empleado la configuró con información personal o viceversa, es decir, si la laptop era de una persona y lo llenó, configuró e inundó con información empresarial. Sospecho que la laptop era de la empresa porque he encontrado información muy sensible, correos electrónicos, informes, reportes, manuales de uso de sistemas y hasta planes corporativos, no creo que alguien use su laptop personal y le agregue tanta información de la empresa, no? aunque también existen muchos “workaholic” por las calles limeñas.

  • Suciedad durante la preparación de alimentos (seguirán comiendo esto ¿¿¿????)Al parecer, como gerente o administrador de tienda una de las labores es reportar los errores y oportunidades de mejora del local, sin embargo parece  que nunca advirtieron que esas malas imágenes deberían queda en casa, ya sabe…. “los trapitos sucios se lavan en casa”, sin embargo los dejaron abandonados en un disco duro que no fue protegido y aquí están, al mejor estilo de los noticieros gringos.

    279164476

    246157388

     

  • Correos electrónicos corporativos 

    Encontré muchas cosas asociadas a un correo: encontré correos electrónicos enviados, correos recibidos y una lista de correos electrónicos de la empresa en mención.En total encontré 57 correos electrónicos corporativos, aquí una muestra:image

    Correos electrónicos conteniendo información sensible, ¿que tan sensible? pues contraseñas de acceso, parece que en esta empresa también utilizan un patrón de contraseñas de acceso, alabado sean los “patrones de acceso”.

    image

  • Manuales de usuario y contraseñas por defecto 

    No todo lo recuperado son imágenes, se han recuperado archivos PDF, archivos EXCEL y archivos Word, analizar la información que contienen estos documentos toma mucho tiempo y es súper tedioso, de hecho es un trabajo de hormiga. Me pasado todo un domingo revisando la información que estos archivos contienen, si señores no se imaginan lo divertido y excitante que es pasar un domingo abriendo y cerrando archivos PDF.image

    image
    Se imaginan, conseguir un punto de red alámbrico o mejor todavía conseguir una señal wireless para obtener acceso, sabiendo que sistemas usan y que usuario/contraseña por defecto tienen los sistemas, es muy pero muy probable tener acceso a los sistemas de información.

  • Planes corporativos y otros documentos importantes 

    Poder resumir todo lo encontrado es imposible en un sólo POST es imposible, lo encontrado mediante “file carving”  son: cartas de renuncia, documentos de liquidaciones, contratos, hojas de vida, documentos de identidad (DNI) , planes de marketing, informes, reportes, recetas secretas, etc. Aquí sólo una muestra:image

    image

    image

     

  • Imágenes de cámaras de seguridad y seguridad de TISe pudo identificar imágenes de las cámaras de seguridad de los almacenes de la empresa, parece que están bien vigilados.

    110850436 110850463
    110850601 110851022

    En una auditoría de seguridad TI muy seguramente salen reprobados, ya me imagino lo que mi amigo Stanley Velando (auditor) pondría en su informe, realmente hay un desorden alucinante en cuando al cableado. Además pude identificar que los dispositivos que utilizan son en su mayoría DLINK, un dato adicional para buscar vulnerabilidades.

105460433

105460610

  • Metadata de la información recuperadaDe las fotos recuperadas y que son de índole personal, procedí a revisar la metadata de las imágenes con el objetivo de identificar que tipo de cámara utiliza el anterior dueño del disco duro, al parecer utiliza aun un BlackBerry. Pueden analizar la metadata con LA FOCA. Sinceramente escribir este post ya me ha dejado agotado, así que dejaré para la próxima analizar la metadata de archivos word, excel, etc.

    image

5. Conclusiones

Al final podemos concluir lo siguiente y a manera de resumen lo mostraremos en una tabla:

image

Se imaginan lo que se podría hacer con esta información, alguien con malas intenciones podrían:

  • Extorsionar al ex dueño de la información, tiene datos muy confidenciales con los que podrían atemorizarlo.
  • Un hacker podría acceder a mucha información ya que se han encontrado usuarios, contraseñas, manuales, etc.
  • Espionaje industrial, se imaginan lo que podría hacer la “cochina” competencia con toda esta información, todo es dinero en el espionaje industrial.
  • El centro comercial Wilson es una riqueza de información gratuita, imaginen que pasaría si los discos duros de ministerios, el congreso, bancos, seguros, etc. caen en malas manos.

6. Contramedidas y técnicas de seguridad

Finalmente, voy a indicar como hacer para prevenir que exista fuga de información cada vez que desechamos, vendemos o damos de baja un disco duro. Estas son las situaciones más comunes en las que podríamos aplicar las siguientes recomendaciones:

  • Cuando vamos a cambiar de computador, cuando en una empresa van a cambiarte de computador por uno mejor.
  • Cuando vamos a vender nuestra vieja laptop para comprar una nueva.
  • Cuando en una empresa van a dar de baja un computador para reemplazarlo por una nueva.

Cuando alguna de estas situaciones se presente toca realizar un borrado seguro de información, el objetivo del borrado seguro es que la información del disco duro no pueda ser recuperada mediante técnicas de “file carving”, para eso existen diversas herramientas, aquí detallo algunos: ERASER, Disk Wipe y Active KillDisk. Voy a utilizar Disk Wipe para borrar la información, se pueden escoger diversos mecanismos de borrado, entre más pasadas para sobrescribir la información más lento será el proceso. Yo recomiendo 03 pasadas con alguno de los algoritmos remarcados en la imagen inferior, mi disco de 320 GB demoró aproximadamente 04 horas.

 

image

Popularity: 14% [?]

Si te gusto este post, asegurate de suscribirte a mi RSS feed!

Omar Palomino

Hola mi nombre es Omar Palomino. Si te gustan las noticias de mi blog, no olvides suscribirte a la página. Puedes leer más en Acerca de MI, o bien ponerte en contacto conmigo al correo: omarc320@gmail.com

More Posts - Website

Post Relacionados

SI TE GUSTO ESTE ARTICULO, COMPARTELO!


Comments

There are 2 comments for this post.

  1. Juan on Reply to this comment Agosto 5, 2014 8:46 pm

    Escelente post, 10 puntos. Sobre todo la parte de los temporales. Asimismo , recomiendo que nos expliques mas a detalle el uso de las cabeceras en los archivos word y pdf .

    Saludos

  2. cr0c0p on Reply to this comment Agosto 6, 2014 9:09 pm

    Muy interesante ehh!

    Vas mas allá de una simple recuperación de archivos, me gusto mucho!

    No me imagino este mismo procedimiento en los smarthpones, ojala publiques algo al respecto.

Write a Comment

*

Spam Protection by WP-SpamFree