RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ Forense ’ Category

Desde mi abuelita – a quien extraño mucho – hasta mi señora madre, una frase parece haber pasado de generación en generación: “dime con quien andas…. y te diré quien eres”, menuda frase que utilizaban para que no me juntase con chicos de mi edad a quienes mi madre consideraba unos vagos, unos cochinos, unos ociosos, unos piojosos y en general, para todo aquel que podría ser una mala influencia en mi formación., como si la ociosidad y la vagancia fueran un virus el cual se transmite al correr y jugar futbol desenfrenadamente.

Tenía muchas opciones para el nombre de este post, los candidatos fueron: “Pierde tu disco duro y de diré quien eres”, “Wilson, paraíso de información olvidada” y “Dame tu disco duro y te diré quien eres”, obviamente ganó este último. El objetivo de  este Post es mostrar como a través de técnicas forenses vamos a recuperar toda la información posible de un disco duro “olvidado” en el centro Comercial Wilson para armar el perfil del anterior dueño del disco duro, la idea es poder armar un perfil que contenga sus datos principales (nombre, fecha de nacimiento, DNI, dirección, teléfono), profesión, gustos personales, contraseñas, etc.  ¿ Podremos? Aquí vamos una vez mas.

Cuestiones previas:

Si alguna vez has pasado por alguna de estas situaciones, este Post es para ti:

  • Alguna vez te robaron la laptop y tu disco duro no estaba cifrado, tu disco duro debe haber terminado siendo vendido a un extraño. Este Post es para ti.
  • Alguna vez vendiste tu laptop y creíste que formateando o borrando la información de tu disco protegías tu intimidad. Este Post es para ti.
  • Si trabajas en una empresa (privado o del estado)  y suelen dan de baja los computadores cuando se malogran o dejan de funcionar. Oh sí,este Post va dedicado para ti en especial.

 

1. Conseguir el disco duro

Primero toca conseguir un disco duro utilizado en el Centro Comercial Wilson, esta vez si fui al local pionero, al primerizo de los edificios, baje al sótano donde abundan dispositivos de “segunda mano” y fui cotizando un disco duro que me sirviera para este post. Así fue como adquirí un disco duro SATA, de 320GB y para laptop; obviamente lo que buscaba era que el disco duro haya sido antes utilizado y que pueda contener información para ser recuperada.

Compré el disco duro y hasta me dieron 03 meses de garantía, que felicidad!!

1

 

2. Analizando las técnicas de Recuperación de  Información

Un poco de teoría:

Siempre es bueno un poco de teoría para no aprender como funcionan por dentro las cosas, la técnica que vamos a utilizar para recuperar información es conocida como en el mundo forense como  “file carving” que no es lo mismo que “file recovery”, aunque lo que vamos a realizar es recuperar información del disco duro y pareciera que ambos términos son lo mismo ya que el objetivo de ambas es recuperar archivos del disco duro, en realidad son técnicas distintas. ¿Aún no entiendes en que se diferencian? Ok, vamos a explicarlo un poco mejor.

  • File Recovery

La técnica de “file recovery” es utilizada para recuperar información y esta técnica usa el sistema de archivos (NTFS, FAT, EXT3, EXT4, etc.) después de que se ha borrado un documento, dicho de otra manera está técnica es utilizada para recuperar información eliminada del sistema de archivos de un disco duro. Por ejemplo, si tienen instalado “Windows 7” y borran un documento de office, un Word o un Excel, mediante técnicas de “file recovery” existen muchas probabilidades de recuperar el archivo.

  • File Carving

Esta otra técnica, “file carving”, es distinta a la primera explicada. Esta segunda técnica no utiliza el sistema de archivos para recuperar información. Voy a explicar un poco más, cuando contamos con un sistema de archivos (FAT por ejemplo) y borramos un documento, lo que hace el sistema de archivos es modificar el primer caracter del nombre del archivo para ser marcado como un espacio no asignado o también conocido como “unallocated”, eso le indica al sistema operativo que ese espacio puede ser asignado para otro documento de ser necesario por el sistema operativo pero el documento no se ha borrado, sólo ha sido marcado como “unallocated”. Entonces, “file carving” lo que hace es buscar la estructura interna de un documento para poder ubicarlo y recuperarlo.

Vamos a colocar como ejemplo un archivo PDF, toca abrirlo con un editor HEXADECIMAL (en mi caso con Notepad++ y un plugin):

Los archivos con formato PDF siempre comienzan con el “header” : 25 50 44 46 2d 31 2e, como se muestra en la primera imagen inferior y siempre termina con el “footer”: 0a 25 45 4f 46 0d 0a, como se muestra en la segunda imagen inferior. La técnica “file carving” lo que hace es buscar los header y footer (sin importar el sistema de archivos) para recuperar documentos.

image

 

image

 

¿Qué técnica utilizar para este análisis?

Dicho esto y habiendo explicado algo de teoría, toca analizar cual es de las dos técnicas vamos a utilizar. Cuando compré el disco duro el vendedor me aclaró muy enfáticamente: “el disco está formateado, antes tenía Windows 7 y ahora tiene Windows XP, está limpiecito”. Eso quiere decir que han intentando borrar toda la información para vender el disco duro, en este caso no nos interesa el actual sistema de archivos necesitamos buscar la información que se ha intentado borrar al formatear el disco duro, es decir, tenemos que utilizar “File Carving”.

3. Recuperando Información Personal

Ahora sí, vamos a proceder con lo más divertido: recuperar información e iniciaremos a armar el perfil del anterior dueño del disco duro, sin mucho más floro iniciemos!!!. Vamos a utilizar una herramienta free que realiza “file carving”, utilizaremos FOREMOST. Son 320GB de tamaño que cuenta el disco duro y este proceso demora regular tiempo, si alguien va a realizar algún ejercicio similar, tengan paciencia, dejen corriendo la herramienta, vayan al cine, almuercen, duerman y luego revisan el resultado. También he utilizado SCALPEL, que es otra herramienta para hacer “file carving” pero que puede encontrar otros formatos como registros, archivos PST u OST y entre otros.

image

Recuperando Fotos, Correos, Documentos Office

Lo primero que busqué dentro del disco duro fueron imágenes, es evidente que no buscaba cualquier imagen, busco fotos personales del anónimo dueño anterior. Iniciemos:

  • Identificación del anterior dueñoEncontré muchas fotos personales en el disco duro pero la mayoría de una persona, por lo que podíamos presumir que el disco era de esa persona. En las fotos aparece con una menor de edad que al parecer es su hija, cubro las imágenes para no atentar contra las personas identificadas. Ya tenemos el rostro de nuestro anterior dueño.

    2

    Además, todo indica que estudió administración o ciencias contables en la Universidad del Callao (UNAC), por cosas del destino, la misma universidad de la que soy ex-alumno.

    363123154

  • Nombre la empresa, cargo y lugar donde trabajabaLo primero que identifiqué en las imágenes recuperadas es que había demasiadas con logos de establecimientos de “comida rápida” y escarbando un poco encontramos documentos de pagos, aquí identifiqué el nombre exacto de la empresa, es una empresa de comida rápida que en realidad gestiona cuatro (04) establecimientos de comida rápida, para efectos prácticos la llamaremos: Comida Rápida S.A, además encontramos el nombre del Gerente de Turno, encontré el mismo nombre en muchos más documentos, hasta el momento parece que este fuera el anterior dueño del disco duro.

    15

  • Facebook del dueñoHasta ahora, todo lo identificado son conjeturas porque no tenemos nada que lo verifique por completo, pero ya teníamos un nombre y la empresa donde trabaja (o quizás a trabajado porque ya renunció o consiguió un mejor empleo) así que sólo toca realizar una búsqueda en la red social más usada en el Perú – Facebook -  y con algo de suerte encontraríamos información que confirmara nuestras sospechas. Obviamente tengo que tapar el rostro pero en la parte lateral izquierda se puede ver que es Gerente de Turno de Comida Rápida S.A y que además ha estudiado Administración. Listo lo tenemos confirmado!!

    image
    Ingreso mensual del anterior dueño

    No me sorprendió encontrar que les paguen en este Banco, ¿entiende el motivo, verdad?  (algunos seguro que si entenderán)  al parecer no gana mucho dinero nuestro ex dueño de la laptop, lo digo porque en Julio en Perú se recibe el doble del sueldo gracias a las Fiestas Patrias peruanas.

    8

  • Gustos pornográficosSi señores, no se hagan los que nunca han visto pornografía, se identificó los archivos temporales que se descargan de manera automática  en los navegadores cuando se visitan páginas web. Al parecer el anterior dueño tenía gustos algo especiales en cuanto a pornografía, podríamos definirlo como: Porno Amateur y Asiático, sobre todo todo amateur. Se pudo identificar que visita páginas como: www.xvideos.com, manoardiente.blogspot.com, zorras.pe, pornocaleta.com, pornoencolombia.co, culosgratis.com.ve, odiosas.com.mx, entre otras. Parece que la página web “manoardiente” le cae muy bien de apodo.

    4

4. Recuperando información corporativa

Como suele pasar en muchos casos, a los empleados  de una organización se les entrega una laptop, de hecho es muy común que sea así, los computadores en forma de torre están en vía de extinción.  Este parece ser un ejemplo de este caso, aunque no puedo llegar a la conclusión si la laptop era la empresa y el empleado la configuró con información personal o viceversa, es decir, si la laptop era de una persona y lo llenó, configuró e inundó con información empresarial. Sospecho que la laptop era de la empresa porque he encontrado información muy sensible, correos electrónicos, informes, reportes, manuales de uso de sistemas y hasta planes corporativos, no creo que alguien use su laptop personal y le agregue tanta información de la empresa, no? aunque también existen muchos “workaholic” por las calles limeñas.

  • Suciedad durante la preparación de alimentos (seguirán comiendo esto ¿¿¿????)Al parecer, como gerente o administrador de tienda una de las labores es reportar los errores y oportunidades de mejora del local, sin embargo parece  que nunca advirtieron que esas malas imágenes deberían queda en casa, ya sabe…. “los trapitos sucios se lavan en casa”, sin embargo los dejaron abandonados en un disco duro que no fue protegido y aquí están, al mejor estilo de los noticieros gringos.

    279164476

    246157388

     

  • Correos electrónicos corporativos 

    Encontré muchas cosas asociadas a un correo: encontré correos electrónicos enviados, correos recibidos y una lista de correos electrónicos de la empresa en mención.En total encontré 57 correos electrónicos corporativos, aquí una muestra:image

    Correos electrónicos conteniendo información sensible, ¿que tan sensible? pues contraseñas de acceso, parece que en esta empresa también utilizan un patrón de contraseñas de acceso, alabado sean los “patrones de acceso”.

    image

  • Manuales de usuario y contraseñas por defecto 

    No todo lo recuperado son imágenes, se han recuperado archivos PDF, archivos EXCEL y archivos Word, analizar la información que contienen estos documentos toma mucho tiempo y es súper tedioso, de hecho es un trabajo de hormiga. Me pasado todo un domingo revisando la información que estos archivos contienen, si señores no se imaginan lo divertido y excitante que es pasar un domingo abriendo y cerrando archivos PDF.image

    image
    Se imaginan, conseguir un punto de red alámbrico o mejor todavía conseguir una señal wireless para obtener acceso, sabiendo que sistemas usan y que usuario/contraseña por defecto tienen los sistemas, es muy pero muy probable tener acceso a los sistemas de información.

  • Planes corporativos y otros documentos importantes 

    Poder resumir todo lo encontrado es imposible en un sólo POST es imposible, lo encontrado mediante “file carving”  son: cartas de renuncia, documentos de liquidaciones, contratos, hojas de vida, documentos de identidad (DNI) , planes de marketing, informes, reportes, recetas secretas, etc. Aquí sólo una muestra:image

    image

    image

     

  • Imágenes de cámaras de seguridad y seguridad de TISe pudo identificar imágenes de las cámaras de seguridad de los almacenes de la empresa, parece que están bien vigilados.

    110850436 110850463
    110850601 110851022

    En una auditoría de seguridad TI muy seguramente salen reprobados, ya me imagino lo que mi amigo Stanley Velando (auditor) pondría en su informe, realmente hay un desorden alucinante en cuando al cableado. Además pude identificar que los dispositivos que utilizan son en su mayoría DLINK, un dato adicional para buscar vulnerabilidades.

105460433

105460610

  • Metadata de la información recuperadaDe las fotos recuperadas y que son de índole personal, procedí a revisar la metadata de las imágenes con el objetivo de identificar que tipo de cámara utiliza el anterior dueño del disco duro, al parecer utiliza aun un BlackBerry. Pueden analizar la metadata con LA FOCA. Sinceramente escribir este post ya me ha dejado agotado, así que dejaré para la próxima analizar la metadata de archivos word, excel, etc.

    image

5. Conclusiones

Al final podemos concluir lo siguiente y a manera de resumen lo mostraremos en una tabla:

image

Se imaginan lo que se podría hacer con esta información, alguien con malas intenciones podrían:

  • Extorsionar al ex dueño de la información, tiene datos muy confidenciales con los que podrían atemorizarlo.
  • Un hacker podría acceder a mucha información ya que se han encontrado usuarios, contraseñas, manuales, etc.
  • Espionaje industrial, se imaginan lo que podría hacer la “cochina” competencia con toda esta información, todo es dinero en el espionaje industrial.
  • El centro comercial Wilson es una riqueza de información gratuita, imaginen que pasaría si los discos duros de ministerios, el congreso, bancos, seguros, etc. caen en malas manos.

6. Contramedidas y técnicas de seguridad

Finalmente, voy a indicar como hacer para prevenir que exista fuga de información cada vez que desechamos, vendemos o damos de baja un disco duro. Estas son las situaciones más comunes en las que podríamos aplicar las siguientes recomendaciones:

  • Cuando vamos a cambiar de computador, cuando en una empresa van a cambiarte de computador por uno mejor.
  • Cuando vamos a vender nuestra vieja laptop para comprar una nueva.
  • Cuando en una empresa van a dar de baja un computador para reemplazarlo por una nueva.

Cuando alguna de estas situaciones se presente toca realizar un borrado seguro de información, el objetivo del borrado seguro es que la información del disco duro no pueda ser recuperada mediante técnicas de “file carving”, para eso existen diversas herramientas, aquí detallo algunos: ERASER, Disk Wipe y Active KillDisk. Voy a utilizar Disk Wipe para borrar la información, se pueden escoger diversos mecanismos de borrado, entre más pasadas para sobrescribir la información más lento será el proceso. Yo recomiendo 03 pasadas con alguno de los algoritmos remarcados en la imagen inferior, mi disco de 320 GB demoró aproximadamente 04 horas.

 

image

Popularity: 14% [?]

Como el repertorio de regueton que ponen los conductores de las tristemente célebres “combis” limeñas, como la apestosa cumbia chichera con letras de canciones sufridas que inundan los centros comerciales y como las canciones suicidas de Ricardo Arjona (a quien en  algún día de harto alcohol le meteré un tiro en la cabeza jajaja), así nos han inundado los reportajes sobre “Hackers” en los serios programas televisivos peruanos, programas que sólo dibujan en mi rostro una muy sincera y estúpida sonrisa bovina.

Son esos programas multifacéticos que muestran desde vedettes con las tetas al aire y traseros siliconeados bailando en los rucódromos de moda (que nos alegran la noche obviamente) hasta reportajes sobre los la comidilla política del momento, son esos mismos programas donde ahora nos enchufan en la cabeza de manera sigilosa y rapaz temas asociados al hacking, lo se, lo admito, suena a que no estoy del todo contento con que se emitan ese tipo de reportajes pero realmente sí lo estoy, es que me parece buena idea ir formando algo de conciencia en la gente sobre seguridad, lo que no me parece es que cuenten una historia a medias, hagan parecer a la gente que se dedica a estas cuestiones de seguridad como una especie de “magos” que hacen actos alucinantes y que nadie más puede hacer y lo que más raro me pareció es que hayan utilizado en algunos casos técnicas tan pero tan antiguas como si fueran una novedad celosamente expuesta. En fin, a pesar de todo creo que si es un primer paso para concientizar…. esta bien.

¿Qué es la MEDATADA?

Sobre eso trata este post, la metadata, podríamos definirla como la información que podemos obtener sobre la misma información, es decir, los datos que podemos recoger a partir de otros datos. ¿No quedó claro, verdad? pues… con un ejemplo podemos clarificarlo, cuando creas un archivo WORD para colocar allí tu informe y lo guardas en tu computadora, este documento no sólo contiene lo que has tipeado y escrito sino que también contiene información “oculta” sobre el autor del documento, la hora en que fue creado, con que software fue creado, el sistema operativo, entre otros; a este tipo de información “oculta” se le llama METADATA. Ahora si esta claro – al menos eso creo.

Nota: el termino “oculto” realmente no quiere denotar que la información este escondida sino que es información que no se suele mostrar a simple vista pero que otras personas – como ustedes que leen este POST -si les parecería interesante analizar.

¿Para qué podemos usar la METADATA?

Aquellos que saben aprovechar realmente le Medatada saben muy bien lo alucinante de su valor e importancia, además este tema es tan pocas veces abordado que seguro muchos oficiales de seguridad de información les trastocaría el cerebro enterarse realmente de lo relevante de este tema. Los usos prácticos pueden ser los siguientes:

  • Pruebas de ingeniería social a través de la obtención de información de los autores de los archivos (colaboradores de una empresa).
  • Elaboración de ataques específicos de hacking mediante la obtención de versiones de sistemas operativos y software que utilizan las organizaciones.
  • Ubicación y geo-referenciación de personas a través de ubicaciones expuestas por los GPS en fotografías de celulares y cámaras fotográficas.

Vamos a la práctica

imageHay muchas maneras de obtener la metadata, podríamos descargar archivos de internet y empezar a revisar de manera individual cada uno de ellos, sin embargo, también hay herramientas que lo hacen de manera automatizada y hacen uso de técnicas como Google Hacking para obtener los archivos con formatos específicos, lo analizan y nos muestran un resumen muy interesante. Estamos hablando obviamente de la FOCA.

La FOCA es muy sencilla de usar y de hecho tiene en la actualidad más funcionalidades que sólo analizar METADATA – pero de eso no vamos hablar ahora – para poder verla en acción vamos a ponerla en práctica para analizar empresas peruanas y ver que tanto se cuidan las organizaciones de exponer datos importantes en Internet.

Analizaremos a TELEFÓNICA DEL PERÚ para evaluar que tanta información podemos obtener de sus archivos PÚBLICOS, me gustaría aclarar que todos los archivos analizados están en internet y cualquiera puede acceder a ellos. Bueno vamos a detallar los resultados del análisis.

 

La Metadata de Telefónica del Perú

  1. Obtención del listado y nomenclatura de computadoras que usan en la organización, lo interesante es que parece que hacen uso de un celular Huawei Ascend Y210 para hacer un upload de algunos archivos. También podemos notar que todavía utilizan Windows XP como principal sistema operativo, evidentemente no se asoma ni por el rabillo de la pantalla del monitor ningún sistema operativo Linux.

    image

  2. Obtención del listado de software utilizado por la empresa, nos podemos dar una idea que principalmente usan Office2007 como herramienta de oficina y hacen uso de diversos dispositivos móviles como un Iphone 4S, Motorola EX 118, entre otros.

    image

  3. Finalmente, podemos resaltar que se encontró en total 56 colaboradores y nomenclaturas de impresoras internas que hacen uso en la organización.

    image

 

La Metadata de La Policía Nacional del Perú (PNP)

De la información encontrada aquí podríamos hablar y analizar muchísimo, hace como un año hackearon a una élite de la policía nacional del Perú, si mal no recuerdo, se hacen llamar las “águilas negras” (curioso nombre, no les parece?), no recuerdo que haya sido Anonymous ni Lulzsec, entiendo que era otro grupo de hackers y expuso en internet el nombre y datos de todos los miembros de este clan. El propósito con el que lo hicieron como siempre es incierto, justos pagaron por pecadores y pusieron en riesgo desde la seguridad de entidades financieras hasta las familias de estos policías, en realidad, una manera realmente candelejona de intento de justicia.

¿Cómo lo hicieron? pues nunca me tome la molestia de averiguarlo pero ahora que analizaremos la metadata seguramente imaginar o hacer suposiciones de como lo hicieron debe ser muy sencillo. Vamos con en análisis:

  1. Identifiquemos los usuarios con los que fueron creados los archivos encontrados: Aparece un usuario muy interesante “WINUE”, aquellos que han comprado esta versión de Windows customizada en las galerías Wilson del Centro de Lima, saben que es una versión “ultra pirata” de Windows XP que no puede ser actualizada fácilmente a menos que tengamos una fascinación por la estrellitas azules en la esquina de nuestra pantalla. Entonces, es muy probable que las computadoras que usan en la PNP carecen de actualización de parches, tocaría probar con MS08-067, sospecho que con eso entramos hasta la cocina. Y finalmente, ¿por qué usan software pirata? ¿no hay plata para licencias en el estado peruano?

    image

  2. En la imagen también podemos observar que en total se ha identificado 175 usuarios en la PNP, ¿qué podríamos hacer con esto? sólo vamos a suponer algunas cosas:

    - Si el acceso al correo electrónico es a través de un portal expuesto a internet tipo OWA, podemos realizar una fácil predicción de la nomenclatura al observar iniciales como “MGALVANP”. Entonces… estoy casi seguro que alguno de los miembros de la PNP tiene una contraseña débil. De hecho, lo apostaría; tocaría hacer un ataque por diccionario de contraseñas para ingresar a los correos. Tranquilos el acceso a través de OWA es sólo una suposición, así que no se emocionen de sobremanera.

    - Si conseguimos acceso a punto de red o acceso a una señal wireless a través de ingeniería social, también podríamos hacer un mal uso del usuario “Administrador”, al parece muchos ingresan con este usuario y con todos los privilegios del mundo windoneano.

    image

    - Además, si analizamos los “Folders” y “Printers” podemos darnos una idea del tipo de direccionamiento IP interno (172.31.1.28) que usan y la nomenclatura para servidores, es decir, ya tenemos muchísima información y sólo analizando metadata expuesta libremente en Internet, recalco esto último, INFORMACIÓN LIBRE Y EXPUESTA EN INTERNET.

    image

Metadata en las redes sociales

Vamos a plantear algunos otros escenarios de pronto algo más interesantes, que tal un análisis de las tan usadas redes sociales y servicios de mensajería que nos revientan el teléfono todo el día, vamos hacer una prueba con algunos de ellos: Facebook, Twitter, Instagram, Flickr y Whatsapp ; es decir, ¿qué ocurre cada vez que subimos o enviamos una inocente fotito comiendo un helado, desgustando un cebiche, tomando unas chelas o algún “princeso” – de dudosa reputación sexual – fotografiándose frente a un espejo? que tipo de información sobre nuestra cámara fotográfica se envían y que ocurre si tenemos un GPS activado en nuestro equipo celular? Pues eso vamos analizar, allí vamos.

Subí una foto con mucha, demasiada y extremada información -  a propósito obviamente -  en todos los servicios arriba mencionados ya que lo que queremos evaluar es si la metadata de la foto puede ser leída por otras personas y obtener así información interesante. Aquí el resumen de las pruebas realizadas:

  • Andaba en un interesante conversación con mi amigo CM por calles San Isidrinas en Lima y capturé esta foto con mi  equipo móvil y el GPS activado, cuando capturas una foto de ese tipo se obtiene toda esta información (se puede analizar todo esto con EXIF VIEWER que es un plugin de Firefox)
image image

 

  • Luego hice un upload de la fotos en las redes sociales o las envié por WhatsApp y ohhh sorpresa!!! ya no se muestra la METADATA!!!! si señores, todos los servicios han retirado (entre Febrero y Marzo del 2013) la metadata de las fotos que suben sus eventuales y calenturientos clientes, hasta WhatsApp que es un servicio de mensajería ha retirado la metadata de las fotos que suelen intercambiar sus clientes. Aquí la evidencia del tipo de información que se obtiene cuando analizas las imágenes descargadas de estos servicios:

image

Estoy seguro que muchos lectores deben estar muy tristes porque ya no podrán husmear clandestinamente sobre los ubicaciones de sus enamoradas(os), sus trampas, ni de sus amiguitas pero seamos sinceros todos sabíamos que esto no duraría para siempre.

 

GEOREFERENCIACIÓN

Existen aun muchas razones por la cual colocar la mayor cantidad de información en nuestros archivos y fotos es peligroso, ya que la metadata también puede contener información de nuestro GPS y por consecuencia obtener la ubicación exacta (gracias al satélite) de donde hemos estado, alucinemos los posibles escenarios:

  1. Tu linda enamorada te ha dicho que ha estado en la fiesta inocentona con unas amigas (una pijamada le suelen decir, donde la palabra alcohol esta prohibida), entonces ella olvida su celular y tu raudamente descargas todas sus fotos; analizando la metadata puedes obtener la fecha, hora y hasta la ubicación GPS de donde realmente estuvo (tranquilos paranoicos, es solo un ejemplo).
  2. En temas legales y forenses también sirve la mayor cantidad de información posible, por ejemplo un delincuente dice nunca haber estado en un sitio determinado, entonces analizamos su celular y la metadata de todas las fotos y así obtenemos todos los sitios donde ha estado y se haya tomado fotos.

Así podríamos pasarnos todo el día imaginando situaciones en las cuales podemos aprovechar la metadata, hay una herramienta que nos ayuda a analizar la ubicación GPS de muchas fotos al mismo tiempo, la herramienta se llama: GEOTAG, la herramienta también nos ayuda a exportar toda la información a GoogleEarth y verlo mas bonito todavía.

googleearth2

CONCLUSIONES

  • A nivel corporativo las empresas deberían preocuparse por implementar algún procedimiento para eliminar y no publicar la metadata de los archivos que están haciendo públicos a través de Internet, por ejemplo existe MetaShield, que fue desarrollada (al menos fue parte del proyecto) por el Chema Alonso; lo que hace la herramienta es un stripping de toda la metadata (en memoria) mientras los archivos se van cargando a un servidor web, la herramienta funciona bajo IIS 7.0.
  • A nivel de programación también se podría dar solución a esto (ya que no he visto que exista algo similar a MetaShield para Apache), existe en PHP una librería que se llama IMAGEMAGICK (IMAGICK) y con eso hacemos stripping de de las imágenes que subimos, con algo mas o menos así.

image

  • Finalmente trata de no colocar metadata adicional en tus archivos, evidentemente nunca habilites la ubicación en las fotos que tomes con tu celular o tu cámara fotográfica  y deshabilita tu GPS.

Saludos a todos.

Popularity: 14% [?]

skype-icon-logoMuchos de nosotros utilizamos Skype para comunicarnos, enviar archivos y realizar videollamadas, algunos lo utilizamos de modo personal y otros a nivel empresarial. El siguiente post ha sido pensado para realizar un análisis forense a un computador donde alguno o algunos usuarios se han conectado a su cuenta de Skype para enviar mensajes y transferir archivos, pudiendo ser esta transferencia una evidencia para algún caso legal.

El video contiene:

  • Análisis de archivos configuración de Skype
  • Análisis de archivos de BD: historial de mensajes recibidos/recibidos, archivos transferidos, listado de contactos y un historial de las llamadas realizadas
  • Conclusiones y recomendaciones

forense

El material utilizado en el video tutorial pueden descargarlo en los siguientes links:

  • Presentación mostrada en el video: [AQUÍ]
  • Software para la revisión de archivos DB – SQLiteAdmin: [AQUÍ]
  • Software de revisión de logs – Skypelogview: [AQUÍ]

- – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – -

VIDEOTUTORIAL EN ESPAÑOL

- – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – -

VIDEOTUTORIAL EN MODO RESUMEN – INGLES

Popularity: 13% [?]