Forénsica Digital, Interpol y el caso Raúl Reyes (FARC)
Ing. Vincenzo Mendillo http://vmendillo.blogspot.com
La Forénsica Digital se encarga de la recolección, inspección, identificación, extracción, preservación, análisis, interpretación y documentación de las pruebas relacionadas con incidentes de seguridad, ocurridos utilizando las tecnologías de la información y las comunicaciones (TIC).
2/88
En la investigación forense se utilizan herramientas y técnicas sofisticadas para encontrar, preservar y analizar pruebas digitales, que se encuentran en dispositivos tales como disco duro, pendrive o celular.
Los datos en estas dispositivos son frágiles y pueden se borrados o alterados fácilmente. Se busca información tales como fotografías y videos digitales, e-mails, SMS, transacciones bancarias o rastros de cualquier tipo de actividades a través de Internet.
3/88
La información que se busca puede estar codificada, cifrada, camuflajeada u oculta en archivos gráficos o en sectores de disco borrados. Durante el manejo del caso, el análisis forense debe aplicarse metódicamente para garantizar que las actividades se realicen de modo coherente, consistente, auditable y repetible.
4/88
El caso Raúl Reyes En la madrugada del sábado 1 de marzo de 2008, las autoridades colombianas llevaron a cabo una operación en un campamento de las Fuerzas Armadas Revolucionarias de Colombia (FARC). Dicho campamento estaba situado 1,9 km del lado ecuatoriano de la frontera entre Colombia y Ecuador.
5/88
Durante la operación falleció Raúl Reyes, considerado el número 2 de las FARC y yerno del líder histórico de las FARC, Manuel Marulanda (quien también falleció posteriormente). Raúl Reyes fue el negociador principal de las FARC durante los frustrados diálogos de paz con el Gobierno de Andrés Pastrana entre 1998 y 2002. Aparentemente Reyes fue abatido luego de una operación de inteligencia que interceptó una comunicación telefónica del teléfono satelital del jefe guerrillero y que permitió su ubicación en la selva.
6/88
Las autoridades colombianas afirmaron haber encontrado en el campamento tres computadoras portátiles, dos discos duros externos y tres llaves (pendrive) USB.
7/88
8/88
El gobierno colombiano solicitó la ayuda de Interpol para llevar a cabo un análisis forense independiente de las pruebas instrumentales de carácter informático decomisadas a las FARC. La unidad de gestión de crisis enviada a Colombia fue denominada CompFor (proveniente de la expresión inglesa computer forensics), y en ella se incluía a dos especialistas en investigación forense de Australia y Singapur seleccionados por sus propias administraciones nacionales de policía. Los expertos provenían de fuera de la región y no hablan español, lo que contribuyó a eliminar la posibilidad de que se viesen influenciados por el contenido de los datos que estaban analizando. 9/88
Tras obtener la custodia de las pruebas instrumentales, la unidad de gestión de crisis realizó un inventario detallado de todos los equipos que le habían sido confiados, incluida una foto digital y una descripción de la marca, modelo y número de serie de cada objeto, conforme a los principios reconocidos internacionalmente para el manejo de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley. Una cadena de custodia debidamente establecida permitió documentar todos los casos en que se había accedido a cualquiera de las ocho pruebas instrumentales. Durante la primera fase del análisis, que tuvo lugar en Bogotá, los especialistas en investigación forense realizaron copias exactas (imágenes) de los datos contenidos en las ocho pruebas instrumentales supuestamente decomisadas a las FARC. 10/88
11/88
12/88
13/88
14/88
Utilizando sus propios computadores portátiles, equipos y programas, los especialistas comenzaron la adquisición forense de los datos contenidos en las ocho pruebas instrumentales de carácter informático. Este procedimiento se conoce en el ámbito de la informática forense como“imaging” (obtención de imágenes forenses de datos), el cual es un proceso mediante el cual se realiza una copia exacta del disco duro de un equipo electrónico o de un soporte de almacenamiento digital. Para la obtención de imágenes forenses de datos es necesario tomar unas precauciones específicas, para lo que se utilizan write blockers, con objeto de garantizar que durante ese proceso no se produzca ninguna modificación en la prueba instrumental original.
15/88
La obtención de imágenes forenses lleva asociado un proceso de validación para determinar si la imagen es o no completamente idéntica a la original. Para ello se comparan los valores de hash. Un valor de hash es una secuencia de números y caracteres generada al utilizar un algoritmo concreto (ej. MD5, SHA). Ese valor es un extracto o resumen de todos los datos que figuran en el computador y permite verificar la integridad de los datos.
16/88
Generación del hash
F = Función no lineal
17/88
Ilustración del concepto de función hash Datos
Hash
Hash
Hash 18/88
Ejemplos de funciones hash
19/88
Al comparar los valores de hash generados desde el original con los generados desde la copia, los analistas forenses pueden determinar si la copia está bien hecha. Si ambos valores coinciden, la copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso. Ejemplo de uso de SHA-1 para comprobar la integridad de los archivos de distribución de Linux. (Imagen ISO de un CD-ROM)
FC4-i386-disc1.iso (sha1sum: 3fb2924c8fb8098dbc8260f69824e9c437d28c68) 20/88
Para cada imagen hicieron falta dos discos duros, porque el volumen de datos era demasiado grande para almacenarlo en uno solo; este procedimiento es conforme a los principios reconocidos internacionalmente para el manejo de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley. Este proceso se repitió una segunda vez para obtener una segunda imagen de los datos; por lo tanto, se generaron en total dos imágenes forenses de todo el material.
21/88
Productos informáticos forenses creados a partir de las ocho pruebas instrumentales
22/88
23/88
El 15 de Mayo de 2008 el Secretario General de Interpol, Ronald Kenneth Noble, hizo público el informe de Interpol.
http://www.youtube.com/watch?v =MlvyLhBpKOU http://www.interpol.int/Public/ICPO/PressReleases/PR2 008/pdfPR200817/ipPublicReportNoCoverES.pdf
24/88
Fiscal ecuatoriano busca indicios de computadoras de Raul Reyes 20 de Junio 2008 La fiscalía ecuatoriana investiga la información que presuntamente constaban en las computadoras del fallecido jefe guerrillero colombiano Raúl Reyes y que ha sido suministrada por el gobierno de Colombia, dijo el fiscal general Washington Pesántez. Pesántez destacó que posesionó a dos peritos expertos en informática con la misión de hacer un análisis de un respaldo magnético entregado por Colombia de la información proveniente de los computadores de Reyes, luego de lo cual tendrán un plazo de 15 días para emitir un criterio. Pesántez señaló que jurídicamente, para Ecuador, tales documentos no tienen ninguna validez, pero que por el respeto que se merece la opinión pública, se va a seguir investigando. 25/88
Extracto del informe de Interpol Todos los datos fueron indexados por los especialistas en investigación informática forense de Interpol con el fin de poder realizar búsquedas por palabra clave para localizar los documentos que podían ser relevantes para la investigación. Se trata de un proceso muy largo y laborioso. La obtención de imágenes exactas de los datos supuso tres días de trabajo, y la indexación de las pruebas instrumentales, una semana en total. El índice obtenido permitirá más adelante a los investigadores encontrar fácilmente en las ocho pruebas instrumentales los archivos que les puedan interesar si a lo largo de la investigación se descubren otros documentos relevantes. 26/88
El análisis informático forense de Interpol confirmó que, según habían reconocido las fuerzas del orden colombianas, el acceso a los datos contenidos en las citadas ocho pruebas instrumentales realizado entre el 1 de marzo de 2008, fecha en que fueron decomisadas por las autoridades colombianas, y el 3 de marzo de 2008, momento en que fueron entregadas al Grupo Investigativo de Delitos Informáticos de la policía judicial colombiana, NO se realizó conforme a los principios reconocidos internacionalmente aplicables al manejo ordinario de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley. Esto es, en lugar de tomar el tiempo necesario para hacer copias protegidas contra la escritura de cada una de las ocho pruebas instrumentales decomisadas antes de acceder a ellas, este acceso se hizo directamente. 27/88
Las ocho pruebas instrumentales contienen en total 609,6 gigabytes de datos en forma de documentos, imágenes y vídeos. Ese volumen de datos correspondería a 39,5 millones de páginas completas escritas con Microsoft Word y, si todos los datos estuviesen en formato Word, a un ritmo de 100 páginas por día, se tardaría más de 1.000 años en leerlos.
28/88
Sin desvelar dichos datos, Interpol informó lo siguiente con respecto a los archivos de usuario: • Se encontraron 109 archivos de documentos en más de una de las pruebas instrumentales • 452 hojas de cálculo • 7.989 direcciones de correo electrónico • 10.537 archivos multimedia (de sonido y vídeo) • 22.481 páginas web • 37.872 documentos escritos (de Word, PDF y formato texto) • 210.888 imágenes De los anteriores, 983 archivos estaban cifrados.
29/88
Fotos supuestamente encontradas en las computadoras y divulgadas por la prensa, pero que NO aparecen en el informe de Interpol
30/88
31/88
32/88
8 Octubre 2008
La guerrilla de las FARC ha creado células de apoyo en 26 países y maneja unos 2.000 millones de dólares anuales, aseguró el gobierno colombiano en un informe enviado a Interpol, basado en datos hallados en computadores incautados a los rebeldes. “Las FARC desde la profundidades de la selva han conseguido establecer contactos, conexiones, células de apoyo en al menos 26 países”, señaló el director de la policía colombiana, general Oscar Naranjo. Naranjo, que según la presidencia presentó el informe en San Petesburgo, Rusia, ante la 77 asamblea de Interpol, dijo que la información se halló en los computadores incautados en la operación en marzo de tropas colombianas que mataron en Ecuador a Raúl Reyes, número dos de las FARC. 33/88
Extracto del informe de Interpol Verificación del tipo de acceso a las ocho pruebas instrumentales Todos los archivos de un computador o de un dispositivo de almacenamiento de datos electrónicos cuentan con una marca de tiempo (timestamp) que especifica la fecha y la hora en la que se creó el archivo, se accedió a él o se modificó por última vez, o se eliminó.
34/88
Utilizando un programa informático forense, los especialistas de Interpol extrajeron la información de las marcas de tiempo correspondientes a los archivos contenidos en cada una de las pruebas instrumentales, haciendo la distinción entre archivos de sistema y de usuario. Verificaron asimismo la configuración de la hora y fecha del sistema en cada uno de los tres computadores portátiles, ya que esta configuración sirve de referencia para las marcas de tiempo. Con respecto a los archivos de los discos duros externos y de las llaves USB, normalmente la configuración de fecha y hora se toma del computador al que estaban conectados en el momento en que se crearon, abrieron, modificaron o eliminaron dichos archivos. 35/88
Conclusión No. 2 Entre el 1 de marzo de 2008, fecha en que incautaron a las FARC las pruebas instrumentales de carácter informático, y el 10 de marzo de 2008, fecha en que las entregaron a los especialistas de Interpol en informática forense, las autoridades colombianas ACCEDIERON a todas las pruebas instrumentales. El decomiso de las ocho pruebas se practicó el sábado 1 de marzo, pero esas ocho pruebas no fueron entregadas a los especialistas en informática forense de la policía judicial colombiana hasta 48 horas más tarde: el lunes 3 de marzo de 2008.
36/88
En circunstancias normales los organismos encargados de la aplicación de la ley NO DEBEN acceder directamente a las pruebas electrónicas decomisadas, sino que deben realizar una copia imagen de los datos contenidos en el equipo informático en cuestión, utilizando un dispositivo de bloqueo de escritura para no alterar los archivos del sistema operativo del computador y no tener que realizar un análisis exhaustivo de las pruebas decomisadas, lo que requeriría mucho tiempo, a fin de demostrar que al producirse el acceso directo a los datos no hubo ninguna falsificación ni se alteró el contenido de los archivos.
37/88
Dispositivo para extracción de datos con bloqueo de escritura ImageMASSter Solo-3 Forensic Data Acquisition Tool
38/88
Equipo para extracción de datos con bloqueo de escritura
ImageMASSter Solo-3 Forensic Kit is a light weight, portable hand-held, high speed data acquisition device that includes a hard case and the FAST SCSI option with SCSI to SATA and SCSI to PATA adapters. Price: $3995. 39/88
Equipo para extracción de datos con bloqueo de escritura
The ForensicPC Ultimate Write Block Kit is the essential portable kit designed for write-blocked acquisitions of just about any media. This kit comes complete in an airlinefriendly, waterproof, shockproof carrying case. Perform full write-blocked acquisitions of the following media standards: Parallel ATA (IDE), Notebook Drives, Serial ATA, SCSI, USB, most memory card formats.
40/88
Dispositivo de extracción de datos con bloqueo de escritura
41/88
Dispositivo para lectura de Flash Card
Write Protect Card Reader allows for a forensically safe transfer of data to a PC from flash media used by digital cameras, digital camcorder, PDA, MP3 player, digital voice recorder and more. It can read multiple types of flash memory while blocking any writes to it. 42/88
Conclusión No 2b Entre el 1 de marzo de 2008, fecha en que las autoridades colombianas incautaron a las FARC las ocho pruebas instrumentales de carácter informático, y el 3 de marzo de 2008 a las 11.45 horas, momento en que dichas pruebas fueron entregadas al Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia, el acceso a los datos contenidos en las citadas pruebas NO SE AJUSTÓ a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley.
43/88
En efecto, cuando los funcionarios de los organismos encargados de la aplicación de la ley acceden directamente a las pruebas electrónicas decomisadas sin hacer en primer lugar una copia imagen de los datos, el acceso a las pruebas y su visualización quedan registrados. El acceso directo puede complicar en gran medida el proceso de validación de las pruebas para presentarlas ante los tribunales, porque en este caso los funcionarios de las fuerzas del orden deben demostrar o probar que el acceso directo que efectuaron no afectó materialmente a la finalidad de las pruebas.
44/88
Utilizando herramientas forenses, los especialistas en informática de los organismos encargados de la aplicación de la ley pueden determinar los distintos tipos de archivos de sistema, temporales y permanentes, creados en un computador como consecuencia del encendido o el apagado de éste. Por motivos relacionados con las investigaciones que llevan a cabo las fuerzas del orden, Interpol no revelará las herramientas forenses que utilizaron sus especialistas para proceder a tal determinación durante el análisis de las ocho pruebas instrumentales de carácter informático decomisadas a las FARC.
45/88
Los sistemas operativos de los tres computadores portátiles decomisados mostraban que los tres computadores habían sido apagados el 3 de marzo de 2008 (a diferentes horas, pero todos ellos antes de las 11.45, hora en que fueron entregados a los investigadores en informática forense de la policía judicial colombiana). Los dos discos duros externos y las tres llaves USB habían sido conectados a un computador entre el 1 y el 3 de marzo de 2008, sin que se hubieran obtenido previamente copias imagen forenses de su contenido y sin emplearse dispositivos de bloqueo de escritura (write-blockers).
46/88
En los archivos de la prueba instrumental decomisada no 26, un computador portátil, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores: • Creación de 273 archivos de sistema • Apertura de 373 archivos de sistema y de usuario • Modificación de 786 archivos de sistema • Supresión de 488 archivos de sistema
47/88
En los archivos de la prueba instrumental decomisada no 30, un disco duro externo, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores: • • • •
Creación de 1.632 archivos de sistema Apertura de 11.579 archivos de sistema y de usuario Modificación de 532 archivos de sistema Supresión de 948 archivos de sistema
48/88
En los archivos de la prueba instrumental decomisada no 32, una llave USB, se presentaban los siguientes efectos producidos el 1 de marzo de 2008 o en fechas posteriores: • Creación de 8 archivos de sistema • Apertura de 12 archivos de sistema y de usuario • Modificación de 5 archivos de sistema • Supresión de 6 archivos de sistema
49/88
Los especialistas de Interpol descubrieron asimismo que uno de los computadores portátiles (prueba no 28) y los dos discos duros externos (pruebas no 30 y 31) contenían archivos cuyas marcas de tiempo eran erróneas, ya que indicaban una fecha futura. La prueba no 28 contiene un archivo cuya fecha de creación es el 17 de agosto de 2009. La prueba no 30 contiene: • 668 archivos cuyas fechas de creación oscilan entre el 7 de marzo de 2009 y el 26 de agosto de 2009; • 31 archivos cuyas fechas de última modificación varían entre el 14 de junio de 2009 y el 26 de agosto de 2009. • Estos archivos contienen música, vídeos e imágenes 50/88
Basándose en el análisis de las características de estos archivos, los especialistas de Interpol concluyeron que estos archivos habían sido creados antes del 1 de marzo de 2008 en uno o varios dispositivos con una configuración de fecha y hora del sistema incorrecta. El hecho de que estos archivos aparezcan en las pruebas no 30 y no 31 indica que o bien fueron creados cuando dichas pruebas instrumentales se encontraban conectadas a un dispositivo con una configuración de fecha y hora del sistema incorrecta, o bien se transfirieron posteriormente (después de su creación), junto con sus respectivas marcas de tiempo de 2009, a las pruebas no 30 y no 31. En lo que respecta al único archivo con fecha de creación de 2009 que contiene la prueba no 28, los especialistas de Interpol llegaron a la conclusión de que este archivo había sido primero creado y después transferido a la prueba no 28, y que su fecha de creación se había transferido con él. 51/88
Basándose en todo lo anterior, los especialistas de Interpol llegaron a la conclusión de que las autoridades colombianas no deberían tener en cuenta la fecha futura marcada en los archivos de las tres pruebas citadas (28, 30 y 31). Habida cuenta de todo lo antedicho y habiendo realizado un examen forense exhaustivo, los especialistas de Interpol concluyen que no se ha creado, modificado o suprimido ningún archivo de usuario en ninguna de las ocho pruebas instrumentales de carácter informático después de su decomiso, practicado el 1 de marzo de 2008.
52/88
Este anuncio apareció publicado en “Ultimas Noticias”
53/88
Conclusión No. 3 Interpol no ha encontrado indicios de que tras la incautación a las FARC de las ocho pruebas instrumentales de carácter informático, efectuada el 1 de marzo de 2008 por las autoridades colombianas, se hayan CREADO, MODIFICADO O SUPRIMIDO archivos de usuario en ninguna de dichas pruebas. El acceso directo (lectura) entre el 1 y el 3 de marzo de 2008 a las ocho pruebas instrumentales de carácter informático decomisadas a las FARC dejó rastros en los archivos de sistema, como ya se ha explicado.
54/88
No obstante, los especialistas de Interpol no encontraron en ninguna de las ocho pruebas archivo de usuario alguno que hubiera sido CREADO, MODIFICADO O SUPRIMIDO con posterioridad al decomiso, practicado el 1 de marzo de 2008. Utilizando sus herramientas forenses, los especialistas hallaron un total de 48.055 archivos cuyas marcas de tiempo indicaban que habían sido CREADOS, ABIERTOS, MODIFICADOS O SUPRIMIDOS como consecuencia del acceso directo a las ocho pruebas instrumentales por parte de las autoridades colombianas entre el momento del decomiso de éstas, el 1 de marzo de 2008, y el 3 de marzo de 2008 a las 11.45 horas.
55/88
2 de Octubre 2008
El ordenador de Raúl Reyes fue manipulado por el ejército colombiano, según informe pericial del Ministerio Fiscal de Ecuador El informe, fechado a mediados del mes de julio, denuncia que el ejército colombiano manipuló los archivos entre los días 1 y 3 de marzo, inmediatamente después del bombardeo del ejército colombiano que causó la muerte a Raúl Reyes. El análisis efectuado por el Ministerio Fiscal de Ecuador recoge que, de los 45 archivos entregados, 40 tienen marcas de tiempos anteriores al 1 de marzo, algo improbable según los peritos, porque cualquier acceso directo implica un cambio en la marca de tiempo correspondiente a la última fecha de acceso. 56/88
Según este informe, los 45 archivos entregados a Ecuador tienen la misma fecha de creación, última modificación y último acceso. 40 de ellos tienen además marcas de tiempo anteriores al pasado 1 de marzo. Las autoridades colombianas reconocen igual que Interpol que durante dos días, del 1 al 3 de marzo, examinaron los archivos que contenía el disco duro del ordenador de Reyes para recopilar pruebas y decidir acciones. Por eso, el informe pericial subraya que resulta imposible acceder directamente a estos documentos, como reconoce Colombia, porque las marcas de tiempo serían diferentes, no similares, y, sobre todo, posteriores al 1 de marzo.
57/88
Para realizar este análisis forense del CD se utilizaron prácticas informáticas aceptadas internacionalmente. El CD entregado a Ecuador fue realizado el 9 de marzo con el programa Nero, un día antes de que llegase a manos de Interpol. El informe de Interpol reconoce que el acceso a los datos durante los días 1 y 3 de marzo no se ajusta a los principios internacionales para el tratamiento de pruebas electrónicas, aunque niega que haya indicios de manipulación. El Ministerio Fiscal de Ecuador insiste, sin embargo, en que lo que entregó Colombia tanto a Ecuador como a Interpol fue una copia de lo ya manipulado. De hecho, en el informe de Interpol se recoge textualmente que "sobre lo que se trabaja es sobre las copias digitales y no sobre los discos duros". Los expertos de Interpol no efectuaron el examen físicoelectromagnético sobre los discos duros del ordenador de Reyes, que, según expertos informáticos y la propia Interpol, es el único método válido para obtener una copia exacta y a tamaño natural de los contenidos del ordenador.
58/88
59/88
60/88
2 de Octubre 2008 Escuche la entrevista a Enrique Mafla, perito en informática del Ministerio Público de Ecuador, quien participó en la elaboración del informe pericial sobre el CD que Colombia entregó a Ecuador.
61/88
21 de Julio 2009 Cinco frentes de la guerrilla colombiana de las FARC entregaron unos 300.000 dólares a la campaña electoral del presidente ecuatoriano, Rafael Correa, según algunos correos electrónicos hallados en los computadores del abatido jefe rebelde “Raúl Reyes” y divulgados por el informativo de televisión RCN. Además fue revelado un vídeo en el que aparece el “Mono Jojoy” leyendo una extensa carta del desaparecido fundador del grupo rebelde Pedro Antonio Marín o “Manuel Marulanda”, conocida como “El testamento de Tirofijo”
62/88
Las autoridades colombianas entregaron a la Organización de Estados Americanos (OEA) en Washington una copia de ese vídeo con la finalidad de que se realicen las “investigaciones pertinentes” sobre la supuesta financiación de las FARC a la campaña de Correa.
63/88
Discusión técnica del caso Además de las razonables dudas sobre el origen de las computadoras y cómo pudieron resistir el bombardeo sin dañarse, unas preguntas importantes desde el punto de vista de forénsica digital son las siguientes: 1. ¿Es posible crear un archivo en un medio de almacenamiento con una fecha anterior a la fecha actual? 2. ¿Es posible editar un archivo en un medio de almacenamiento y luego modificar la fecha para que parezca que el archivo no fue editado? 3. En caso de que sea posible todo lo anterior, ¿hay manera de descubrir los hechos? 64/88
Con el sistema operativo Windows existe un área del dispositivo de almacenamiento llamada MFT (Master File Table) que contiene los meta-archivos $STANDARD_INFO y $FILE_NAME donde hay información adicional sobre cada uno de los archivos. Los archivos del tipo $DATA que empiezan con $ contienen metadatos y no son visibles normalmenteque contiene los atributos para cada uno de los archivos guardados. En particular, allí están 3 parámatros muy importantes llamados tiempos MAC (en inglés MAC times), que reportan lo siguiente, para un dado archivo o carpeta: M: Fecha de la última modificación A: Fecha del último acceso C: Fecha de su creación 65/88
Estos parámetros se pueden ver haciendo clic con el botón derecho sobre el archivo o carpeta y seleccionando Propiedades.
66/88
El sólo hecho de ver las propiedades o de abrir el archivo para su lectura hace que se actualice la fecha A del último acceso (excepto en Windows Vista). También se actualiza si es escaneado por un antivirus.
67/88
La fecha y la hora de modificación M de un archivo no cambian, a menos que se edite. Además la fecha y la hora de creación C del archivo no cambia si se mueve al mismo volumen, pero cambia si se copia o mueve al mismo u a otro volumen, y entonces aparecerá C posterior a M. Este hecho poco natural hace que un investigador novato sospeche que se trate de alguna técnica antiforense (como por ejemplo cambiar la fecha del reloj del PC), cuando en realidad la explicación es más simple.
68/88
Comportamiento de los tiempos MAC en sistemas de archivos FAT y NTFS
69/88
Cuando se transfieren archivos a través de las redes, por lo general el tiempo M se conserva y el tiempo C se actualiza. Sin embargo en ciertos tipos de descarga (ej, vía FTP) también M se modifica. La diferencia entre M y C puede servir como medida del tiempo de transferencia.
70/88
Fsutil Es una herramienta de línea de comandos que se puede utilizar para realizar muchas tareas relacionadas con los sistemas de archivos de Windows. Por ejemplo, para impedir que se modifique el valor del último acceso, se ejecuta: fsutil behavior set disablelastaccess 1
Nota: La nueva configuración surte efecto luego que se reinicia Windows
71/88
Luego de activar disablelastaccess y reiniciar Windows:
72/88
Para averiguar si está activado disablelastaccess: fsutil behavior query disablelastaccess
Para desactivar disablelastaccess: fsutil behavior set disablelastaccess 0
73/88
Con respecto a la pregunta 1 anteriormente formulada: ¿Es posible crear un archivo en un medio de almacenamiento con una fecha anterior a la fecha actual? La respuesta es SI, y existe una manera muy sencilla: basta atrasar la fecha del computador antes de crear el archivo. Sin embargo esto podría dajar marcas de tiempo atrasadas en otros programas, procesos y servicios que corren en el sistema. Por ejemplo, un programa como un antivirus podría dejar de funcionar y dejar rastros.
74/88
Con respecto a la pregunta 2: ¿Es posible editar un archivo en un medio de almacenamiento y luego modificar la fecha para que parezca que el archivo no fue editado? Existe una serie de utilidades gratuitas y comerciales, fácilmente disponibles en Internet, que lo permiten hacer, por ejemplo: • Attribute Magic • Attribute Manager • Ninotech Date Edit
75/88
Attribute Magic Free
76/88
Attribute Magic Standard Permite mucho más, incluyendo los atributos de las carpetas.
77/88
Attribute Magic Standard
78/88
Ninotech Date (gratis) Se ejecuta con el botón derecho de Windows Explorer sobre el archivo seleccionado
79/88
Discusión técnica del caso Pregunta 3: En caso de que sea posible modificar las marcas de tiempo de archivos y directorios, ¿hay manera de descubrirlo? Respuesta: Hay muchas maneras para analistas forenses con experiencia y habilidad.
80/88
Averiguación mediante TimeStomp Los meta-archivos de un medio digital (ej. disco duro) guardan mucha otra información que los 3 tiempos MAC. De hecho, NTFS guarda un cuarto tiempo llamado E (Entry) que indica el tiempo en que algún parámetro MAC fue modificado. Así que en realidad se trata de tiempos MACE. La herramienta TimeStomp pemite visualizar y hasta modificar los tiempos MACE.
81/88
Archivo cuyos tiempos MAC fueron modificados con Attribute Magic o Ninotech Date. Pero nótese como también se actualiza Entry Modified.
82/88
Para evadir este tipo de detección (técnica antiforense), Timestop dispone del parámetro -b, que blanquea los tiempos MACE, a fin de que el cambio no sea detectado por herramientas forenses como EnCase:
83/88
Averiguación mediante NTFS Change Journal (Diario de Cambios) El sistema NTFS de archivos de Windows mantiene en cada volumen o partición del disco, un diario (journal) que anota los cambios que experimenta todo archivo o carpeta. Estos cambios son: creación, modificación y borrado. Cada vez que ocurre un cambio, se añade un registro al Diario de Cambios donde se anota el tipo del cambio, el nombre del objeto cambiado y una marca de tiempo, pero la información cambiada en sí, no es almacenada. El tamaño típico es de unos 100 bytes. Al registro que se crea se le asigna un identificador de 64 bits, llamado Update Secuence Number (USN). Si el tamaño del Diario se hace mayor que el máximo establecido, se borran los registros más antiguos. 84/88
El Diario de Cambios es mucho más efectivo en ciertos casos que el uso de las marcas de tiempo (MAC times). Los programas pueden consultar el diario de cambios para determinar todas las modificaciones realizadas a un archivo o a un grupo de archivos. Por ejemplo, puede resular muy útil para cuando se quiera efectuar el respaldo de datos de solamente aquellos archivos que han cambiado, sin tener que escaner todo el disco. El Diario de Cambios no se activa automáticamente, sino que lo hace alguna aplicación, por ejemplo el Servicio de Index Server, el Servicio de replicación de archivos (FRS, File Replication Service), el Servicio de instalación remota (RIS, Remote Installation Service) y Almacenamiento Remoto. 85/88
Fsutil Mediante fsutil se puede consultar la base de datos de Change Journal. Por ejemplo, para consultar datos USN de la unidad C, se ejecuta: fsutil usn queryjournal C:
86/88
Para leer los datos USN de un archivo debug.txt de la carpeta Temp en la unidad C, se ejecuta: fsutil usn readdata C:\Temp\debug.txt
USN
Tarea: Investigar qué significan esos valores! 87/88
Concluyó el tema: Forénsica Digital, Interpol y el caso Raúl Reyes (FARC) ¡¡Muchas gracias por su atención!!
Ing. Vincenzo Mendillo http://vmendillo.blogspot.com
88/88