Caso sobre la seora Emma Crook, en el cual se le acusa de estar proporcionando material confidencial de la empresa Really Big Company

a algunos de sus competidores.

Parcial de computacin forense

Jess Rodrguez Henao Ricardo Barrios Guerrero

Contenido
CASO A ANALIZAR ......................................................................................................................... 2 ANALISIS FORENSE DEL CASO. ................................................................................................ 3 USANDO LAS HERRAMIENTAS DE SLEUTHKIT (DIGITAL FORENSICS) ......................... 3 USANDO DATA CARVING PARA RECOLECTAR EVIDENCIA (FOREMOST) ................... 6 ANALISIS DE LOS DOCUMENTOS ......................................................................................... 6 DESCIFRANDO LA CONTRASEA DE LA HOJA DE CALCULO EXCEL Y SU CONTENIDO................................................................................................................................. 7 CREANDO LA LINEA DE TIEMPO. .............................................................................................. 9 TIMELINE ...................................................................................................................................... 9 MS DETALLES SOBRE LA CREACIN DE LA LINEA DE TIEMPO. ............................ 10 HERRAMIENTAS USADAS. ........................................................................................................ 11

CASO A ANALIZAR
Son las 3:15 PM del 15 de Septiembre de 2004. El seor Jim Boss, el propietario de Really Big Company lo ha llamado por telfono a su oficina. El Sr. Boss le inform que sospechaba que su ayudante, Emma Crook, estaba proporcionando material confidencial de la empresa a algunos de sus competidores. A las 2:00 PM de hoy el Sr. Boss enfrent a la Sra. Crook por sus sospechas. l le dijo que iba a volver a las 3:00 PM para que le diera una explicacin. Cuando el Sr. Boss regres a la oficina de la Sra. Crook a las 3:00 PM, ella se haba ido. Su oficina fue vaciada completamente. El Sr. Boss trato de entrar al PC de la Sra. Crook pero este no arrancaba. Al mirar en la basura el Sr. Boss encontr un disquete en buen estado. El seor Boss desea que se analice el disco y se encuentre evidencia que confirme lo que l est sospechando, adems le pide una lnea de tiempo de las evidencias que se encuentren en el disco.

ANALISIS FORENSE DEL CASO.

El siguiente caso se procede a analizar con mucha cautela: contamos con dos imgenes de dicho disquete, de las cuales una es una copia. Utilizaremos herramientas para anlisis digital forense y, si es necesario, data carving.

USANDO LAS HERRAMIENTAS DE SLEUTHKIT (DIGITAL FORENSICS)

Para comenzar nuestro anlisis forense digital haremos uso de una de las herramientas ms conocidas, o ms bien, un kit de herramientas muy conocidas en este tipo de anlisis: SleuthKit. Pero cuando se realiza un anlisis completo de un sistema, conocer todas estas herramientas en lnea de comando puede resultar tedioso. Aqu es donde aparece Autopsy El browser del Autopsy nos muestra un anlisis de fichero e informacin de los metadatos de la imagen:

Figura 1.

Figura 2.

Las previas figura 1 y 2 nos muestras la informacin de la informacin de los metadatos y del sistema de ficheros. Dichas imgenes muestran caractersticas que nos confirman que estamos analizando un disquete: el sistema de ficheros fat12, tpico de estos dispositivos, el tamao del clster (512 bytes), el nombre del volumen (BYE-BYE). Los comandos fsstat y fls tambin nos sirven para encontrar informacin acerca del sistema de ficheros y los metadatos de la imagen: fls anidado a la opcin -l muestra una lista de los nombres de directorios contenidos en la imagen con sus detalles, de la misma forma que se puede ver accediendo a la opcin File Analysis del Autopsy (figura 1.).

fsstat despliega detalles sobre el sistema de fichero desde la terminal, de la imagen. La misma que se puede ver accediendo a la pestaa Image Details del Autopsy (figura 2.).

USANDO DATA CARVING PARA RECOLECTAR EVIDENCIA (FOREMOST)

En el presente caso es necesario encontrar toda la evidencia posible para verificar las sospechas el Sr. Boss. Es por eso, que nos hemos tomado la tarea de utilizar, la herramienta de data carving foremost, para extraer archivos (en caso de que los haya) de la imagen del disquete. Foremost es una herramienta forense de data carving, que nos ayudara a extraer archivos de la imagen que estamos analizando. Se utiliza por lnea de comando:

Figura 3. Usando foremost para data carving

Usando las opcin t all Foremost no especificamos el tipo de archivo que queramos extraer, puesto a que queremos recolectar todo tipo de evidencia posible que pueda revelar las sospechas del Sr. Boss. Escrito de esta manera, la herramienta extrae los archivos en una carpeta de salida en la ruta /root/output/. Dicha carpeta contiene cuatro documentos, de los cuales tres son hojas de documento word (00000033.doc, 00000124.doc, 00000165.doc) y una es una hoja de clculo de excel (00000207.xls).

ANALISIS DE LOS DOCUMENTOS

Al abrir los documentos descubrimos que: el contenido de las hojas de documentos word (00000033.doc, 00000124.doc, 00000165.doc) se encuentra en ingles. dos de los tres documentos poseen el mismo contenido. la hoja de clculo de excel (00000207.xls) esta protegida por contrasea.

Para analizar los documentos con ms detalles necesitamos explorar la informacin de sus metadatos. Para contamos con las herramientas en librextractor: librextractor es una librera que nos sirve para ver los metadatos de diferentes tipos de archivos. Se utiliza bajo el comando:

Figura 4. Usando librextractor para verificar los metadatos de los archivos extraidos con el foremost

Dicha herramienta nos dice que los permite ver que:

el 1er documento (00000033.doc) se llama Magna Carta.doc, el cual contiene la Magna Carta. El autor de dicho documento es Emma Crook de la empresa Really Big Company. Fue creado el 15/09/2004 a las 14:20 y guardado por ltima vez el 15/09/2004 a las 14:22. el 2ndo documento (00000124.doc) se llama Gettysburg Address.doc y contiene el discurso de Gettysburg Address. El autor de dicho documento es Emma Crook y la empresa de origen figura como Key Computer Service, Inc (posiblemente la empresa competencia a la cual el Sr. Boss alega que la Sr. Crook le esta vendiendo la informacion). Fue creado el 15/09/2004 a las 14:24 y guardado por ultima vez el 15/09/2004 a las 14:25. el 3er documento (00000165.doc) parece ser el mismo documento (00000124.doc), diferencindose en que este documento figura modificado en la empresa Really Big Company. Fue creado el 15/09/2004 a las 14:28 y guardado por ltima vez el 15/09/2004 a las 14:27. la hoja de calculo excel (00000207.xls) esta protegido por contrasea. Fue creado el 15/09/2004 a las 14:28.

Como ejemplo de como nos muestra la informacin librextractor, disponemos de la siguiente imagen.

Figura 5. Formato en el cual muestra librextractor.

Los anteriores hallazgos pueden ser tambin verificados accesando a los detalles de cada documento desde Propiedades->Detalles.

DESCIFRANDO LA CONTRASEA DE LA HOJA DE CALCULO EXCEL Y SU CONTENIDO.

Como habamos descubierto anteriormente, la hoja de calculo excel extrada a travs de la herramienta de data carving foremost, esta protegida por contrasea. Antes de embarcarnos en la tediosa tarea de un ataque por fuerza bruta para descifrar la contrasea de dicho documento, decidimos realizar una prueba de ensayo y error con las opciones mas a la mano: "emma", "Emma", "crook",

"Crook." Luego de probar con dichas opciones, terminamos dando con la contrasea: "crook." Dentro de dicha hoja de calculo encontramos un mensaje: esta es evidencia de que Emma Crook estaba vendiendo informacin interna a los competidores. Lo cual da prueba de las sospechas del Sr. Boss.

CREANDO LA LINEA DE TIEMPO.

La lnea de tiempo requerida fue creada a partir de las declaraciones del Sr. Boss y los tiempos hallados en los metadatos de los archivos encontrados dentro de la imagen del disquete.

TIMELINE
Tiempo (Hora del Evidencia Este Norteamericana)
15/09/2004 14:00 15/09/2004 14:20 - 14:22 00000033.doc

Detalles

15/09/2004 14:24 - 14:25

00000124.doc

15/09/2004 14:27 - 14:28

00000165.doc

15/09/2004 14:28

00000207.xls

15/09/2004 15:00

15/09/2004 15:15

El Sr. Boss enfrent a la Sra. Crook por sus sospechas Nombre: Magna Carta.doc Autor: Emma Crook Organizacin: Really Big Company La Sra. Emma Crook crea el documento Magna Carta.doc en la empresa del Sr. Boss Nombre: Gettysburg Addresss.doc Autor: Emma Crook Organizacin: Key computer service, Inc. La Sra. Emma Crook crea el documento Gettysburg Addresss.doc en la empresa Key computer service, Inc. Nombre: Gettysburg Addresss.doc Autor: Emma Crook Organizacin: Really Big Company La Sra. Emma Crook crea el documento Gettysburg Addresss.doc en la empresa del Sr. Boss Nombre: Desconocido Autor: Emma Crook Organizacin: Really Big Company El Sr. Boss regresa a la oficina de la Sra. Crook; ella se haba ido. Su oficina fue vaciada completamente. El Sr. Boss trato de entrar al PC de la Sra. Crook pero este no arrancaba. Al mirar en la basura el Sr. Boss encontr un disquete en buen estado. Llamada del seor Jim Boss, propietario de Really Big Company. Informando que sospechaba que su ayudante, Emma Crook, estaba proporcionando material confidencial de la empresa a algunos de sus competidores. Desea que analice el disco para encontrar evidencia que confirme lo que l est sospechando y le entregue una lnea de tiempo de las evidencias que se encuentren en el Disco

MS DETALLES SOBRE LA CREACIN DE LA LINEA DE TIEMPO.

Otro detalle a agregar a base del cual la lnea de tiempo fue creada a partir del zona horaria oficial que cubre la costa oriental de Norteamrica, EDT (Eastern Daylight Time), es decir; Hora del Este Norteamericana. Esto a que se debe? Cuando empezamos a analizar a fondo la informacin de los metadatos de la imagen de disquete (figura 1) podemos ver que los tiempos estn en los que esta informacin esta expresa es en tiempo universal coordinado o UTC (segn sus siglas en ingls, Universal Time Coordinated), el cual principal estndar de tiempo por el cual el mundo regula los relojes y el tiempo. Sin embargo al ver el tiempo en el que se hace un ltimo cambio en la entrada BYE-BYE (Written: 15/09/2004 14:33:00(EDT)), vemos que la zona horaria mostrada es la EDT.

HERRAMIENTAS USADAS.
The Sleuth Kit (TSK) & Autopsy. (http://www.sleuthkit.org/) Fsstat, fls (http://www.rationallyparanoid.com/articles/sleuth-kit.html) Foremost 1.5.7 (http://www.forensicswiki.org/wiki/Foremost) Librextractor 0.6.0 (http://www.gnu.org/software/libextractor/)