SEGURIDAD INFORMÁTICA 2007-2008

A N Á LIS I S FOR E N S E D E
S I S T EM A S DE
I N F ORM AC IÓN

CARMEN RODRÍGUEZ VÁZQUEZ

ÍNDICE
INTRODUCCIÓN 4

DEFINICIONES 5

ANÁLISIS DIGITAL 6

TIPOS 6
METODOLOGÍA DE ANÁLISIS 7

INVESTIGACIÓN DE LA ESCENA DEL CRIMEN DIGITAL 9

FASES 9
Normativa RFC3227 9
ADQUISICIÓN DE DATOS 11
LECTURA DE DATOS DE ORIGEN 11
ESCRITURA DE DATOS 11
Integridad a través de los valores hash 12

HERRAMIENTAS ÚTILES EN EL ANÁLISIS DIGITAL DE SISTEMAS DE

ARCHIVOS 13

DD 13
SLEUTH KIT 14
AUTOPSY 16
MAC-ROBBER 16
DISTRIBUCIONES LIVE-CD LINUX 16

CASOS PRÁCTICOS 17

SCAN OF THE MONTH #24. HONEYNET PROJECT 17

INVESTIGACION 18
coverpage.jpgc 19
jimmy jungle.doc 19
scheduled visits.exe 20
coverpage.jpgc (de nuevo) 21
scheduled visits.exe (de nuevo) 22
Bonus question 22
SCAN OF THE MONTH #26. HONEYNET PROJECT 23
INVESTIGACIÓN 24
Análisis del espacio no asignado 25
Conclusiones 26

CONCLUSIONES 29

BIBLIOGRAFÍA 30

2
ÍNDICE DE FIGURAS
FIGURA 1. NIVELES DE ANÁLISIS DIGITAL SEGÚN LA ESTRUCTURA DE LOS DATOS A
ANALIZAR ................................................................................................................................6
FIGURA 2. FASES DE LA METODOLOGÍA DE ANÁLISIS PROPUESTA POR CARRIER Y
SPAFFORD................................................................................................................................7
FIGURA 3. FASES DE LA INVESTIGACIÓN DE UNA ESCENA DEL CRIMEN DIGITAL ................9
FIGURA 4. AUTOPSY: AÑADIR IMAGEN AL HOST ..................................................................... 18
FIGURA 5. AUTOPSY: ANÁLISIS DE FICHEROS .......................................................................... 18
FIGURA 6. AUTOPSY: ANÁLISIS DE LA IMAGEN ....................................................................... 20
FIGURA 7. AUTOPSY: ANÁLISIS DEL CONTENIDO DE UN CONJUNTO DE SECTORES.......... 21
FIGURA 8. CONTENIDO DEL FICHERO DE PRUEBA REALIZADO CON MICROSOFT PAINT.22
FIGURA 9. CONTENIDO DEL FICHERO COVERPAGE.JPG........................................................ 22
FIGURA 10. AUTOPSY: DETALLES DE LA IMAGEN .................................................................. 24
FIGURA 11. AUTOPSY: CONTENIDO DEL ESPACIO NO ASIGNADO. ...................................... 25

3
 ANÁLISIS FORENSE DE
S I S T E M A S D E I N F O R M AC I Ó N

I N T RO D U C C I Ó N

Es irremediable que el término análisis forense traiga a la memoria de muchos numerosas

series y/o películas de ciencia ficción donde policías muy hábiles resuelven crímenes, a simple
vista perfectos o inexplicables. Otros muchos pensarán en salas frías embaldosadas de blanco. Sin
embargo, el término forense en nuestro caso no se refiere a la medicina forense, sino a la
recopilación de evidencias que puedan servir como prueba judicial.

Análisis forense de sistemas de información vs. análisis forense digital

El análisis forense de sistemas de información es el análisis de las evidencias recogidas en un

sistema de información (involucrado en algún delito o crimen1) con el objeto de extraer
conclusiones que sirvan para incluir dichas evidencias como pruebas en procesos judiciales. El
análisis forense digital se refiere a cualquier medio digital del que se puedan recoger dichas
evidencias (desde un teléfono móvil a una red de ordenadores).
Aunque en muchos textos utilizan ambos términos como sinónimos, el análisis forense de
sistemas de información es un tipo de análisis forense digital.

Los sistemas de información han pasado de ser una herramienta reservada a unos pocos a un
recurso utilizado masivamente en los últimos 20-25 años. Debido a esto y dado que existen
numerosos tipos de delitos que en su consecución han hecho uso (en mayor o menor medida) de
algún tipo de sistema de información, el análisis forense de los mismos ha adquirido gran
relevancia en las investigaciones criminales.

Algunos autores (como Brian Carrier y Eugene Spafford) prefieren omitir el término forense,
ya que entonces el análisis variará en función de las leyes del país o países en los que se pretende
presentar las evidencias como prueba judicial, y sin embargo, existen pautas comunes a la hora de
realizar el análisis, al margen de las leyes que imperen en el país determinado. También es posible
realizar un análisis de sistemas de información en un entorno corporativo, donde el término
forense pierde su sentido. En este trabajo seguiré su filosofía, eludiendo los detalles legales del
análisis de sistemas de información y omitiendo, por tanto, el término forense.

Existen dos áreas independientes de análisis de sistemas de información: el análisis de medios

físicos (por ejemplo, discos duros) y el análisis basado en dispositivos de comunicación (análisis
de redes). En este trabajo nos centraremos en el primer área.

1 El sistema de información puede haber sido utilizado bien para cometer el crimen bien para
ejecutar un evento digital que haya violado alguna política o ley (por ejemplo, acceder ilícitamente
a un sistema).

4
 DEFINICIONES

Datos digitales son los datos representados de forma numérica (en los sistemas de
información comunes, en forma binaria).
Objeto digital es una colección de datos digitales, como pueden ser un archivo, un sector de
disco duro, un paquete (en terminología de redes), una página de memoria o un proceso del
sistema operativo.
Los datos digitales tienen también una representación física. Por ejemplo, los datos de un
disco duro son impulsos magnéticos en un disco que son leídos por un sensor analógico. Las
redes cableadas utilizan señales eléctricas para representar los datos.
Los datos digitales poseen características o rasgos únicos, que pueden ser utilizados para
identificarlos. El estado de un objeto es el valor de sus características.
Un suceso digital es un acontecimiento que modifica el estado de uno o más objetos
digitales. Como un objeto digital tiene representaciones numérica y física, su estado puede verse
alterado por eventos digitales y físicos.
Algunos entornos desarrollan políticas y leyes que prohíben ciertos sucesos. Un incidente
es un suceso o secuencia de sucesos que violan una política y un crimen es un suceso o secuencia
de sucesos que violan una ley. Un incidente digital es un suceso digital o una colección de ellos
que violan una política y/o ley.
Una investigación es el proceso de desarrollar y probar hipótesis sobre sucesos que hayan
ocurrido.
Evidencias de un incidente son cualquier objeto que contiene información fiable que
confirma o niega una hipótesis sobre un incidente. Normalmente son objetos que pueden
establecer si un delito ha sido cometido, crear una conexión entre el delito y la victima o entre un
delito y quien lo perpetró. Según su naturaleza se pueden clasificar en evidencias físicas y
evidencias digitales. Como los datos digitales poseen una forma física, las evidencias físicas de
un incidente pueden contener evidencias digitales. A su vez, la única diferencia entre evidencia
física y digital es su formato, por lo que podemos poseer evidencia digital de un crimen o
incidente físico (por ejemplo, una cámara de video crea una representación digital de un suceso
físico y el fichero resultante será una evidencia digital del suceso) o evidencia física de un crimen
digital.
La escena del crimen físico es el entorno en el cual existe evidencia de un crimen o
incidente. La escena del crimen digital es el entorno virtual creado por el conjunto de
software-hardware donde existe evidencia digital de un crimen o incidente.

5
 A N Á L I S I S D I G I TA L

TIPOS

Al existir numerosos formatos para los datos digitales, existen a su vez numerosos tipos de
análisis digital. Los más comunes se resumen en este grafico:

Análisis de
aplicaciones /
SO

Análisis de Análisis del

espacio de Análisis de
sistemas de
intercambio bases de datos
ficheros
(swap)

Análisis de Análisis de
volúmenes memoria

Análisis de medios
de
Analisis de redes
almacenamiento
fisíco

Figura 1. Niveles de análisis digital según la estructura de los datos a analizar

Los dispositivos de almacenamiento no-volátil (como un disco duro o una memoria flash)
están normalmente organizados en volúmenes. Hay dispositivos, como los disquetes, que
únicamente poseen un volumen. Las particiones son utilizadas para dividir un volumen en otros
más pequeños. A su vez, se pueden organizar volúmenes para formar otros más grandes (como
en los sistemas RAID).
Los volúmenes de los dispositivos pueden contener sistemas de ficheros (lo más común),
espacios de intercambio (denominados swap) o bases de datos. Es necesario conocer la
información referente a los volúmenes porque nos permitirá encontrar datos ocultos y descubrir
donde se encuentran los sistemas de archivos.
Los sistemas de ficheros son estructuras de datos que permiten a las aplicaciones crear, leer
y escribir ficheros en el disco. El análisis de un sistema de ficheros nos permite encontrar
ficheros, recuperar ficheros borrados y encontrar ficheros ocultos.
Para poder analizar los ficheros encontrados necesitamos analizarlos a nivel de aplicación, ya
que su estructura depende de las aplicaciones que los crearon (y del sistema operativo sobre el
que estas funcionaban). El análisis de aplicación se divide a su vez en varias categorías, como
pueden ser:
• Análisis de sistemas operativos, en el que se examinan los ficheros de configuración y
salida del SO para obtener información sobre los sucesos ocurridos.
• Análisis de programas ejecutables, en el que se examinan los sucesos que podrían
desencadenan los mismos.

6
 • Análisis de imágenes, en el que se trata de buscar información en las fotografías, como
por ejemplo quién está en la foto o quién la tomó y cuándo. También se buscan indicios
de esteganografía2.
• Análisis de videos, como el utilizado con webcams o cámaras de vigilancia, en el que se
busca, al igual que en el análisis de imágenes, información de quién aparece, dónde y
cuándo fue grabado.

METODOLOGÍA DE ANÁLISIS

En principio, un ordenador no deja de ser una evidencia física, pero al ser procesada puede
producir cientos de evidencias digitales. Estas evidencias pueden ser analizadas de la misma
manera que se hace con las evidencias físicas para obtener información válida para probar
hipótesis o rechazarlas. Así, la investigación de miles de evidencias digitales recogidas es similar a
la investigación de una casa en la que el investigador debe analizar cientos de objetos, superficies
y fibras.

En la investigación de una escena del crimen físico se aplica el principio de intercambio de

Locard: “siempre que dos objetos entran en contacto transfieren parte del material que
incorporan al otro objeto”. Un efecto similar se produce en una escena del crimen digital. Los
ficheros temporales, fragmentos de ficheros eliminados o contenidos de la memoria transferidos
al disco pueden existir porque el sospechoso haya ejecutado algún software. Los datos entran y
salen de la escena del crimen digital y, al igual que en las escenas de crimen físicas, dejan rastros
de evidencia digital tras ellos.

Por todo ello, Brian Carrier y Eugene Spafford proponen en [ 1 ] una metodología de análisis
digital basada en las fases que se documentan en las investigaciones de crímenes “físicos”. Esta
metodología se compone de cinco fases, cuya relación se representa en la siguiente figura:

Fase de
preparacion

Fase de
Fase de investigacion de la Fase de
despliegue escena del crimen presentacion
fisico

Fase de
investigacion de la
escena del crimen
digital

Figura 2. Fases de la metodología de análisis propuesta por Carrier y Spafford

La fase de preparación debe ser mantenida constantemente e incluye:

• la fase de preparación de operaciones, en la que se enseña al personal a utilizar las
herramientas que serán usadas a lo largo del proceso de investigación de un sistema.
• La fase de preparación de infraestructuras, donde se configura el equipamiento que
asegura que los datos necesarios existirán cuando un incidente ocurra. Por ejemplo, en

2La esteganografía es la ocultación de mensajes, para evitar que se perciba la existencia del
mismo.

7
 un entrono corporativo esta fase podría incluir añadir sistemas de monitorización de
redes.
La fase de despliegue provee los mecanismos necesarios para detectar y confirmar que un
incidente ha sucedido. Esta fase incluye:
• La fase de detección y notificación, en donde el incidente es detectado (por la víctima o
un tercero) y los investigadores son alertados. Por ejemplo, un acceso ilegítimo a un
sistema puede ser detectado por un sistema de detección de intrusiones. Esta fase
supone el comienzo de la investigación como tal.
• La fase de confirmación y autorización, donde los investigadores son autorizados a
analizar la escena del crimen e iniciar una investigación. Las tareas que se desarrollen
dentro de esta fase difieren si se trata de una investigación en un sistema corporativo o
con fines judiciales.
La fase de investigación de la escena del crimen físico supone examinar los objetos que
existen en una escena del crimen en la que existe algún dispositivo digital. En esta fase se recogen
evidencias físicas que permitan enlazar una persona con un uso sospechoso de algún sistema de
información. Cuando se encuentra un objeto que pueda contener evidencia digital da comienzo
una investigación digital. Esta fase y la fase de investigación de la escena del crimen digital se
comunican permanentemente: las conclusiones de la investigación de la escena del crimen digital
se utilizan en la investigación de la escena del crimen físico.
La fase de investigación de la escena del crimen3 digital incluye las fases que suponen
examinar los datos en busca de pruebas (evidencias), es detallada mas adelante.
La fase de presentación incluye el presentar las conclusiones extraídas de las fases
anteriores ante quien corresponda (normalmente, ante quien ha autorizado la investigación).

En [ 1 ], Carrier y Spafford presentan dos casos de estudio de aplicación de esta metodología

que ayudan a comprenderla mejor y que por razones temporales, se omiten aquí.

3Recordemos que una escena del crimen digital no es necesariamente un sitio donde se haya
producido un crimen, sino el entorno virtual creado por el conjunto de software-hardware donde
existe evidencia digital de un crimen o incidente.

8
 I N V E S T I G A C I Ó N D E L A E S C E NA D E L C R I M E N D I G I TA L

FASES

Las fases de la investigación de la escena en un crimen digital, se muestran en el siguiente

grafico:

Fase de Fase de Fase de

conservación búsqueda de reconstrucción
del sistema evidencias de sucesos

Figura 3. Fases de la investigación de una escena del crimen digital

Como se puede observar, no tienen por qué darse en un orden concreto. Este proceso puede
ser aplicado a análisis vivos o muertos. Un análisis vivo es aquel que utiliza el sistema operativo u
otros recursos del sistema investigado para encontrar pruebas. Un análisis muerto es aquel que
utiliza aplicaciones de confianza en un entorno seguro para encontrar pruebas. Con un análisis
vivo es posible obtener información falsa, ya que el sistema podría estar ocultando o falsificando
maliciosamente la información (utilizando algún tipo de rootkit, por ejemplo).

Las evidencias digitales se clasifican en dos tipos: volátiles y no volátiles. Las primeras son
aquellas que se pierden al apagar el equipo, por ejemplo, estado de la memoria, procesos en
ejecución o conexiones de red; y las evidencias no volátiles son aquellas que se encuentran
almacenadas en el sistema de ficheros, como por ejemplo, un programa.

La fase de conservación del sistema tiene con objetivo preservar el estado de la escena del
crimen original, previniendo cualquier suceso que pueda modificar dicho estado. A su vez, se
debe documentar adecuadamente la escena.

Las acciones a realizar en esta fase dependen en gran medida del entorno en el que se realiza
la investigación (judicial, corporativo, etc.). En un entorno judicial , esta fase es vital. En otros
entornos no es necesaria.

La fase de búsqueda de evidencias tiene como objetivo determinar qué objetos digitales
contienen información útil sobre el incidente. Es muy importante documentar este proceso,
aunque la investigación se lleve a cabo en entornos corporativos. Para buscar evidencias es
necesario fijar objetivos donde pueden ser encontradas, a lo que suele ayudar la experiencia. Por
ejemplo, si queremos obtener indicios de un delito relacionado con la pornografía podemos
realizar una búsqueda sobre ficheros de imágenes .jpg. Si un objeto es identificado como prueba
debe ser documentado y preservado correctamente. En las investigaciones digitales esto se puede
conseguir realizando resúmenes criptográficos (como MD-5 o SHA-1) y realizando copias de
seguridad de la información.

Normativa RFC3227

Indica ciertas actuaciones que deberemos evitar si no queremos destruir alguna evidencia,
aunque sea de forma accidental:
• No apagar el ordenador hasta que no se ha acabado de recopilar evidencias. Muchas
evidencias podrían perderse por el simple hecho de apagar y además el atacante podría
haber modificado los script/servicios de inicio/apagado para destruir evidencias.
• No confiar en los programas del sistema. El atacante podría haberlos modificado o
utilizar un rootkit para hacerlos funcionar de forma distinta. Es mejor utilizar
herramientas de captura de evidencias desde un entorno protegido.

9
 • No utilizar programas que modifican la hora de acceso de todos los archivos del sistema
(por ejemplo: "tar" o "xcopy").
• No desconectar el sistema de la red. Esto podría disparar programas que detectan
cuando se desconecta la red y eliminan todas las evidencias generadas.

Establece el siguiente orden de volatibilidad de las evidencias, y por tanto el orden en el que
deberían ser recogidas:
1. Registros, caché.
2. Tabla de enrutado, caché arp, tabla de procesos, estadísticas del kernel, memoria.
3. Ficheros temporales del sistema. Discos.
4. Registros y datos de monitorización remotos que sean relevantes para el sistema en
cuestión.
5. Configuración física, topología de la red.

Fija el protocolo a seguir a la hora de recoger evidencias:

• ¿Dónde está la evidencia? Listar qué sistemas están involucrados en el incidente y
desde qué sistema se recogerán las evidencias.
• Establecer lo que es susceptible de ser relevante. En caso de duda es mejor pecar por
exceso que por defecto.
• Para cada sistema obtener el orden de volatibilidad. Eliminar agentes externos que
puedan provocar cambios.
• Siguiendo el orden de volatibilidad, recoger las evidencias con herramientas
adecuadas.
• Preguntarse qué más puede ser una evidencia a medida que se realizan estos pasos.
• Documentar cada paso.
• No olvidar a las personas involucradas. Tomar nota de quién estaba en el lugar y qué
estaba haciendo, qué observaron y cual fue su reacción.

La fase de reconstrucción de sucesos tiene como objetivo examinar las evidencias

recogidas y determinar en qué sucesos estuvieron envueltas para poder determinar qué pasó en la
escena del crimen. Un ejemplo es un fichero sospechoso encontrado en la caché de un navegador
web. Es necesario probar la hipótesis de que fue descargado a través del navegador (y no fue
puesto allí por algún tipo de malware, por ejemplo), y ello se lleva a cabo en esta fase. Lo ideal
sería poder disponer de dos equipos o máquinas virtuales:
• En un equipo se montará el sistema de ficheros en modo lectura para su análisis.
• En el otro se simulará de la forma más precisa posible el equipo antes de ser atacado. De
esta forma se podrán reproducir los pasos del ataque y así comprender mejor determinadas
evidencias que ayudarán en la toma de decisiones.

10
 ADQUISICIÓN DE DATOS

Como se ha mencionado con anterioridad, se puede realizar un análisis vivo de un sistema

utilizando su sistema operativo para obtener los datos necesarios o un análisis muerto (lo más
común) para lo cual se realizan copias de los datos del sistema para analizarlos posteriormente en
un entorno “seguro” (aquel que sabemos que no está modificado para falsear datos). Se puede
concluir por tanto (y de manera acertada) que adquirir los datos de un sistema mediante la
realización de copias o imágenes es un proceso vital en un análisis de un sistema de información
y el punto de partida para cualquier investigación.

A la hora de adquirir los datos debemos tener en cuenta que los mismos están interpretados
en diferentes niveles (discos, volúmenes, ficheros, etc.) y que puede que sea necesario realizar una
copia de todo el disco o solo de unos cuantos ficheros, dependiendo del nivel al que creamos que
se encuentran los datos que nos proporcionaran evidencias.

La adquisición de datos desde un dispositivo (supongamos que queremos obtener los datos a
nivel de disco) tiene dos fases: la lectura de la información y la posterior escritura. Como se ha
visto con anterioridad, una de las premisas del análisis digital debe ser modificar los datos
originales lo menos posible. Para ello se pueden utilizar durante esta fase bloqueadores de
escritura (hardware o software) que se interponen entre el controlador y el disco duro y evitan
que se realicen las operaciones de escritura.

LECTURA DE DATOS DE ORIGEN

Diferentes herramientas de obtención de datos desde discos pueden proporcionar diferentes

tamaños de disco. Esto es debido a que muchas de ellas utilizan la BIOS del ordenador para
conocer el tamaño del disco, y ésta puede proporcionar información inexacta. Por tanto, es vital
asegurarse de que utilizamos una herramienta que no hace uso de la BIOS para informarse del
tamaño de los discos.

En un disco duro ATA pueden existir zonas “ocultas” denominadas HPA (Host protected
area) y DCO (device configuration overlay), a las que no se tiene acceso. Para que dichas zonas
ocultas sean accesibles es necesario modificar la configuración del disco, por tanto, si nos
encontramos con una de estas zonas deberemos realizar dos imágenes: una antes de modificar la
configuración del disco y otra después , por si en el cambio de configuración pudiéramos perder
datos.

ESCRITURA DE DATOS

Antes de existir software especializado la copia de datos se realizaba disco a disco, lo que
supone un problema en el momento que el disco origen tiene un mayor tamaño que el disco
destino, o cuando se utiliza un sistema operativo que monte automáticamente cualquier disco
(como Microsoft Windows) ya que se podría modificar el contenido del disco donde se ha
almacenado la copia.

Actualmente lo mas común es realizar la copia de datos a un archivo en un disco duro o

incluso en un CD-ROM, este archivo será denominado una imagen del sistema original. También
se pueden crear imágenes de manera remota, a través de una red. Algunas herramientas incluso
permiten encriptar el canal de comunicación para garantizar la confidencialidad.

Existen, principalmente, tres sistemas de creación de imágenes: crear imágenes raw (contiene
únicamente los datos del dispositivo fuente) , crear imágenes embebidas (que, además de los
datos del dispositivo fuente incluye datos sobre la adquisición, como fechas o valores hash) y,
finalmente, crear imágenes en las que por una parte se almacena la imagen raw y por otra parte los
metadatos sobre la adquisición.

Las imágenes también pueden ser comprimidas, pero hay que tener en cuenta que:

11
 • No todas las herramientas de análisis soportan todos los formatos de compresión.

• La adquisición ocupará más tiempo.

• El análisis puede resultar mucho más lento, ya que la herramienta deberá

descomprimir los datos cada vez que lea la imagen original.

Integridad a través de los valores hash

Se ha mencionado anteriormente que es muy importante calcular resúmenes hash de los datos
en las investigaciones digitales para documentarlos. De esta manera nos aseguramos que siempre
podemos verificar si los datos originales han sido modificados y por tanto, las pruebas anuladas.
Los resúmenes hash, en definitiva, nos ayudan a asegurar la integridad de los datos, pero bajo
ciertas condiciones.

Cuando se realizan resúmenes hash de imágenes hay que tener en cuenta que lo ideal es
almacenar dichos valores hash de manera separada. Imaginemos que utilizamos una imagen de
formato embebido: si alguien accede a ella y modifica los datos puede perfectamente recalcular
los valores hash e intercambiarlos con los verdaderos. Si los valores hash se almacenan aparte este
tipo de modificaciones siguen siendo posibles, pero más difíciles de realizar.

A su vez, los resúmenes hash ayudan a probar que durante el proceso de adquisición de datos
no se ha realizado ninguna modificación sobre el dispositivo original.

12
 H E R R A M I E N TA S Ú T I L E S E N E L A N Á L I S I S D I G I TA L D E S I S T E M A S D E
A RC H I VO S

Existen numerosas herramientas en el mercado de software que se utilizan a lo largo del

desarrollo de una investigación digital. Muchas son de pago, sin embargo, las mayoritariamente
utilizadas son código libre. Presentamos aquí las más utilizadas en el análisis digital de sistemas de
archivos, sin embargo existen muchas más.

DD

En el proceso de adquisición de datos se puede utilizar cualquier herramienta que permita

realizar una copia bit a bit de la información seleccionada. La más utilizada es dd, incluida en la
mayor parte de sistemas UNIX y disponible también para Windows.

dd copia bloques de datos de un fichero a otro. No tiene en cuenta el tipo de datos que esta
copiando y no entiende de sistemas de archivos, ni volúmenes, sólo archivos. El tamaño del
bloque por defecto es de 512 bytes (se puede modificar utilizando la bandera bs=). Utilizando la
bandera if= indicamos la fuente de los datos (si if= es omitido, dd toma como fuente la entrada
por defecto del sistema, que normalmente es el teclado). Con la bandera of= se especifica el
fichero de salida (al igual que con if=, si se omite of= se utiliza como salida la salida estándar, que
normalmente es el monitor). Por ejemplo, para copiar el contenido de archivo1.dat (cuyo tamaño
es 1024 bytes) a archivo2.dat utilizando bloques de 512 bytes ejecutaremos en un terminal la
orden:

dd if=archivo1.dat of=archivo2.dat bs=512

que nos mostrará como salida:

2+0 records in

2+0 records out

lo que significa que dos bloques completos fueron leídos del fichero fuente (records in) y que
dos bloques completos fueron escritos al fichero destino (records out). Si no se puede realizar la
lectura de un bloque completo el resultado muestra un +1 en lugar de +0.

Recordemos que en UNIX un dispositivo es representado como un archivo también, por lo

que podemos realizar una imagen de un disco utilizando dd.

Para calcular los resúmenes hash de las imágenes que generemos utilizando dd podemos
utilizar las herramientas que incluyen los sistemas UNIX como, por ejemplo, md5sum ,
redirigiendo la salida de dd a la entrada de los mismos.

dd if=/dev/hda bs=2k | md5sum

lo que nos muestra en pantalla la suma MD5 del disco maestro del primer canal IDE.
Existen ampliaciones de dd desarrolladas por el departamento de defensa de los EEUU que
permiten realizar el resumen hash del contenido a medida que este es copiado, como ddfldd y
dccidd.

Es posible realizar la copia a un servidor seguro localizado en alguna parte de la red o

Internet utilizando herramientas como netcat o cryptcat. En ese caso en el servidor (10.0.0.1) se
iniciará el proceso de escucha en un puerto elegido (por ejemplo, 7000) y se guardarán los datos a
un fichero de nombre archivo.dd (en el ejemplo, se utiliza netcat):

13
 nc –l –p 7000 > archivo.dd

en el sistema que queramos analizar (a través de un live-cd o el propio sistema operativo,

dependiendo de si se trata de un análisis vivo o muerto) ejecutaremos la orden:

dd if=/dev/hda bs=2k | nc –w 3 10.0.0.1 7000

-w 3 implica que la conexión se cerrará tras 3 segundos de inactividad.

SLEUTH KIT

Durante la fase de reconstrucción de sucesos se realiza un análisis minucioso de las

evidencias recogidas en la fase anterior con el objeto de obtener conclusiones que nos permitan
probar o rechazar hipótesis sobre el crimen o incidente acontecido.

Sleuth kit es un conjunto de herramientas para ayudar en este análisis, desarrollado a partir de
su predecesor “The Coroner’s Toolkit” y que puede utilizarse en cualquier sistema Unix (como
Linux, OS X, FreeBSD, OpenBSD y Solaris) y en Windows (sólo si no se pretende utilizar
Autopsy). Está compuesto por las siguientes aplicaciones:

• File System Layer tools

o fsstat: muestra información sobre los sistemas de archivos, como su tamaño,

distribución y etiquetas.

• File Name Layer Tools

o ffind: localiza nombres de archivos que apunten a una determinada estructura de

metadatos.

o fls: lista los archivos en un directorio (incluso aunque hayan sido borrados).

• Meta Data Layer Tools:

Estas herramientas procesan las estructuras de metadatos, que almacenan los detalles
de un archivo. Por ejemplo, las entradas de directorio de los sistemas FAT o los i-
nodos de los sistemas ext2 o ext3.

o icat: obtiene los datos de un fichero basándose en la dirección a la que apuntan

sus metadatos (no a través del nombre del fichero).

o ifind: localiza la estructura de metadatos a la que apunta un determinado nombre

de fichero o la estructura de metadatos que apunta a una unidad de datos
determinada.

o ils: muestra las estructuras de metadatos y sus contenidos.

o istat: muestra las estadisticas y detalles de una estructura de metadatos dada de

manera “amigable” para el usuario.

• Data Unit Layer Tools

Estas herramientas son utilizadas para procesar las unidades de datos donde se
almacena el contenido de los ficheros.

o dcat: extrae el contenido de una unidad de datos determinada.

14
 o dls: muestra los detalles de las unidades de datos y puede mostrar el espacio libre
del sistema de archivos.

o dstat: muestra las estadisticas referentes a una unidad de datos dada.

• File System Journal Tools

Algunos sistemas de archivos (como ext3 o NTFS) almacenan una bitácora con los
cambios recientes en los metadatos de los archivos. Estas herramientas permiten
analizar dichas bitácoras.

o jcat: muestra el contenido de un bloque de la bitácora determinado.

o jls: muestra las entradas en la bitácora del sistema de archivos.

• Media Management Tools

o mmls: muestra la organización de un disco , incluido el espacio no utilizado. Se

identifica para cada partición su tipo y longitud, lo cual permite extraer el
contenido de las mismas mediante dd.

• Image File Tools

o img_stat: muestra los detalles sobre el formato en el que se ha almacenado una

imagen.

o img_cat: muestra el contenido de un a imagen (útil cuando tenemos imágenes

comprimidas o distribuidas en varios ficheros).

• Disk Tools

Estas herramientas son utilizadas para detectar y eliminar áreas “ocultas” en los
discos ATA denominadas HPA (host protected area).

o disk_sreset: elimina temporalmente una zona HPA si existe. Cuando el disco sea
reiniciado, la zona HPA volverá a existir.

o disk_stat: muestra si existe una zona HPA.

• Other Tools

o hfind: permite buscar un resumen hash en las bases de datos de resúmenes hash
creadas con el objetivo de identificar ficheros “buenos” y “malos” según el valor
de sus funciones hash.

o macticme: utiliza las herramientas fls e ils para crear una línea del tiempo de la
actividad con los ficheros que se ha dado en determinada imagen.

o sorter: muestra los ficheros ordenados según su tipo, comprueba su extensión y

realiza una búsqueda de sus resúmenes hash en las bases de datos mencionadas
con anterioridad.

o sigfind: busca un valor binario determinado, de manera análoga a la búsqueda que

realiza la herramienta grep con cadenas ASCII. Es útil para recuperar estructuras
de datos “perdidas”.

15
 La alternativa comercial a Sleuth kit es EnCase, que posee algunas características mas
avanzadas, como por ejemplo, la detección de ficheros encriptados. Una comparación entre
diversos kits de herramientas se presenta en el documento [ 2 ] .

AUTOPSY

Utilizar directamente los comandos de Sleuth kit puede resultar un poco difícil. Para
simplificar el proceso de análisis se puede utilizar la aplicación web Autopsy, que nos reporta las
siguientes ventajas:

• Permite utilizar de forma transparente los comandos de Sleuth kit.

• Organiza el manejo de la investigación digital en los casos en los que ésta contiene uno o
más equipos.

• Mantiene logs sobre las acciones realizadas por cada uno de los investigadores del
sistema.

• Permite navegar por el sistema de archivos que se encuentra en las imágenes (incluso en
los archivos borrados).

• Permite realizar búsquedas directamente sobre la imagen, organizar archivos, crear y

visualizar una línea de tiempo, etc.

MAC-ROBBER

Mac-robber es una herramienta que recoge datos de los archivos asignados en un sistema de
ficheros montado. Esto es útil durante la respuesta a incidentes, en el análisis de un sistema vivo
o al analizar un sistema en un laboratorio. Los datos recogidos pueden ser utilizados por la
herramienta mactime de Sleuth kit para hacer una línea de tiempo sobre la actividad de los archivos.

Mac-robber requiere que el sistema de archivos esté montado por un sistema operativo, a
diferencia de las herramientas de Sleuth kit para el sistema de archivos. Por lo tanto, mac-robber
no recogerá datos de los archivos borrados o archivos que han sido ocultados por rootkits. Mac-
robber también modifica los tiempos de acceso a directorios que se han montado con permisos
de escritura.

Aunque no lo parezca, mac-robber es útil en una investigación, por ejemplo, cuando se trata
de analizar un sistema de archivos que no es compatible con Sleuth kit u otras herramientas de
análisis del sistema de archivos. El programa puede ser compilado en cualquier sistema UNIX.

DISTRIBUCIONES LIVE-CD LINUX

Existen numerosas distribuciones Linux de tipo live-cd (no realizan instalación en el disco
duro) que permiten realizar un análisis de un sistema de ficheros sin escribir en él (estas
distribuciones suelen integrar las herramientas antes mencionadas.). Algunas muy conocidas son
Helix o FIRE.

16
 CASOS PRÁCTICOS

SCAN OF THE MONTH #24. HONEYNET PROJECT

http://www.honeynet.org/scans/scan24

Este caso de prueba se utiliza para familiarizarnos con el uso de Autopsy y las herramientas de
Sleuth kit.

En la página web del proyecto Honeynet se publican retos (normalmente basados en hechos
ficticios) que los participantes deben realizar, respondiendo a diversas preguntas. Cuando el reto
ha finalizado, se presentan las soluciones que han dado algunos de los miembros del proyecto.

En este caso la resolución que se presenta aquí fue dada por Brian Carrier. Se ha elegido su
respuesta porque utiliza herramientas libres, como Autopsy – Sleuth kit, al contrario que la otra
solución, que utiliza herramientas propietarias y la cual no podríamos seguir paso a paso.

La policía ha arrestado a un hombre llamado Job Jacobs tras ofrecer éste marihuana a un
policía de incógnito a la salida de un instituto, el Smith Hill High School. El individuo ha sido
visto rondando las salidas de diversos institutos, por lo que se sospecha que provee de
marihuana a más alumnos de instituto aparte de los de Smith Hill. El individuo niega este
hecho y rehúsa decir quién es su proveedor. En un registro de su casa se ha encontrado un
disquete cuyo contenido ha sido copiado a una imagen, la cual se nos entrega.

La policía requiere nuestros servicios para obtener toda la información posible del
disquete relacionada con el caso.

Para ello deberemos contestar las siguientes preguntas:

1. ¿Quién es el proveedor de Jacobs y cual es su dirección?

2. ¿Qué datos importantes se encuentran en el fichero coverpage.jpg y por qué son

importantes?

3. ¿Cuales son los nombres de los institutos que frecuenta Jacobs?

4. ¿Qué acciones realizó el sospechoso con cada fichero para tratar de ocultar su
contenido?

5. ¿Qué proceso has seguido (tu, el investigador) para contestar a estas preguntas?

Bonus Question:

6. ¿Qué programa de Microsoft fue utilizado para crear el fichero coverpage.jpg?

17
INVESTIGACION

Es necesario descargar la imagen desde la página web de Honeynet y comprobar su suma

MD5. Iniciamos Autopsy y creamos un nuevo caso, con un único investigador. Una vez creada la
investigación añadiremos un nuevo host, que es como autopsy denomina a las fuentes de
evidencias digitales. Este host se llamará floppy y representa a nuestro disquete. Como zona
horaria introduciremos EST5EDT (que es una zona genérica, deberíamos poner aquella en la que
funcionaba el sistema). Ahora elegimos ‘add image file’ e introducimos el path al fichero de la
imagen. Seleccionamos la opción de copy para que la imagen sea copiada a /var/lib/autopsy.
Seleccionamos que se compruebe el valor hash, obteniendo la siguiente salida:

Figura 4. Autopsy: añadir imagen al host

Por lo que verificamos que la imagen es integra y podemos, por tanto, trabajar con ella.

Tras seleccionar nuestra imagen en host manager, pulsamos analyze y utilizamos la opción ‘File
Browsing’ de Autopsy para examinar el contenido de la imagen del disquete. Nos indica que
existen tres ficheros en el directorio raíz del mismo:

Figura 5. Autopsy: análisis de ficheros

18
 Procedemos a analizarlos en orden alfabético.

coverpage.jpgc

Si seleccionamos el fichero coverpage.jpgc, Autopsy nos muestra como tipo de fichero ‘PC
formatted floppy with no filesystem’. Para obtener más información sobre este extraño fichero
seleccionamos su entrada de directorio correspondiente (8). Autopsy nos muestra que el fichero
utiliza un sólo sector, el número 451. Sin embargo, el fichero ocupa 15585 bytes. Si cada sector
está formado por 512 bytes, el número de sectores que debería ocupar es ((15585 + 511) / 512)
= 31. Existe por tanto, una incongruencia entre el tamaño del archivo y los sectores que, según
sus metadatos, ocupa. En este estadio de la investigación todavía no podemos concluir nada útil,
sólo podemos saber que este fichero ha sido manipulado para que no sea de fácil acceso (ya que
además de lo anterior se ha modificado su extensión natural).

jimmy jungle.doc

Autopsy muestra que el fichero jimmy jungle.doc fue eliminado, que su tipo es ‘Microsoft
Office Document’, que el fichero comienza en el sector 33 y tiene un tamaño de 20480 bytes. La
herramienta nos permite recuperar el contenido del fichero automáticamente. Sin embargo, este
proceso puede ser realizado “a mano”:

En los sistemas FAT (como es el caso de un disquete) cuando un fichero es borrado el

primer sector que ocupa sigue siendo conocido, no así el resto, que son sobrescritos con un 0 en
la tabla de asignación FAT. Por tanto, lo primero es conocer cuantos sectores ocuparía el fichero:
el tamaño del fichero es de 20480 bytes y cada sector son 512 bytes, por tanto, el fichero ocuparía
((20480 + 511) / 512) = 40 sectores. Si el fichero no se encuentra fragmentado, ocupará los
sectores 33 al 72 (siempre que estos no hayan sido reasignados desde la eliminación del fichero).

Utilizando la opción ‘Image details’ de Autopsy accedemos a la tabla de asignación FAT, que
nos indica que los sectores 73 al 103 y 104 al 108 están ocupados. También observamos que el
primer sector accesible es el 33, lo que confirma nuestra teoría de que el archivo se encuentra en
los sectores 33 al 72.

Para extraer los datos de este fichero fantasma elegimos la opción ‘Data Browsing’. Como
sector de inicio elegimos 33 y como número de sectores 40. (Para que el contenido sea
“amigable” utilizamos la opción strings-display).

Si utilizamos la opción export podemos abrir el documento doc resultante en un procesador

de textos. El contenido de dicho fichero es:

Jimmy Jungle

626 Jungle Ave Apt 2

Jungle, NY 11111

Jimmy:

Dude, your pot must be the best – it made the cover of High Times Magazine! Thanks
for sending me the Cover Page. What do you put in your soil when you plant the
marijuana seeds? At least I know your growing it and not some guy in Columbia.

These kids, they tell me marijuana isn’t addictive, but they don’t stop buying from
me. Man, I’m sure glad you told me about targeting the high school students. You

19
must have some experience. It’s like a guaranteed paycheck. Their parents give them
money for lunch and they spend it on my stuff. I’m an entrepreneur. Am I only one
you sell to? Maybe I can become distributor of the year!

I emailed you the schedule that I am using. I think it helps me cover myself and not be
predictive. Tell me what you think. To open it, use the same password that you sent
me before with that file. Talk to you later.

Thanks,

Joe

scheduled visits.exe

Si seleccionamos el fichero scheduled visits.exe, Autopsy nos muestra como tipo de fichero
‘Zip archive data, at least v2.0 to extract’. Como la extensión del fichero no coincide con su tipo
(debería ser .zip y no .exe) utilizamos la opción export para obtener el fichero. Si tratamos de
descomprimir el mismo a través del comando unzip obtenemos un error, no se encuentra el final
del fichero. Así que existen dos posibilidades: o el fichero está corrupto o existe una parte que no
hemos obtenido. Accediendo a los metadatos del archivo correspondiente (11) observamos que
el tamaño del fichero son 1000 bytes y que ocupa los sectores 104 y 105.

Si volvemos a utilizar la opción ‘Image Details’, accedemos a la tabla de asignación FAT, en

la cual figura que los sectores 104 a 108 están ocupados por un solo archivo, como se observa en
la siguiente imagen:

Figura 6. Autopsy: análisis de la imagen

Por tanto, es posible que alguien haya modificado el tamaño del archivo para que no
aparezca que el archivo también ocupa los sectores 106 y 107. Para comprobar esta teoría
utilizamos la opción ‘Data Unit’ de Autopsy para obtener el contenido de los sectores 104 a 108.
(Utilizamos la opción string para que el resultado sea ‘amigable’). Podemos observar en el
contenido que el fichero Scheduled visits.xls es nombrado dos veces, así que éste podría ser el

20
nombre del fichero contenido en el archivo zip. Descargamos, usando la función export contents,
dicho archivo zip (sectores 104 a 108) al disco duro e intentamos descomprimirlo. Esta vez no da
ningún error, pero nos solicita una contraseña que no tenemos.

coverpage.jpgc (de nuevo)

Resumiendo, la tabla de asignación FAT nos indica que:

• los sectores 33 a 72 forman el archivo .doc ya visto.

• los sectores 104 a 108 forman el archivo zip ya visto, del cual necesitamos averiguar
su contraseña.

• los sectores 73 a 103 están ocupados por un archivo que desconocemos.

Como se ha mencionado con anterioridad, el archivo coverpage.jpg debería, según su

tamaño, ocupar 31 sectores… ¿podrían ser los que van del 73 al 103? Si utilizamos la opción
‘Data Unit’ para visualizar el contenido de los sectores 73 a 103 autopsy nos indica que el archivo
existente es un fichero de tipo JPEG. Si seleccionamos la opción ASCII strings-display para
visualizar el contenido del archivo observamos la cadena de texto ‘pw=goodtimes’, que podría
ser perfectamente la contraseña del archivo zip que necesitábamos.

Figura 7. Autopsy: análisis del contenido de un conjunto de sectores.

21
 Utilizamos la opción export para obtener el fichero JPEG y si lo abrimos con un visualizador
vemos que se menciona al tal Jimmy Jungle en la portada de una revista sobre marihuana.

scheduled visits.exe (de nuevo)

Utilizamos la contraseña goodtimes para descomprimir el fichero zip, obteniendo el fichero

scheduled visits.xls (hoja de calculo Excel). Si lo abrimos, obtenemos una relación de institutos y
días de visita.

Bonus question

(La respuesta a esta pregunta es dada por Daniel J. Kalil, no por Carrier).

El programa con el que se creó el fichero es Microsoft Paint. Lo sabemos porque si

comparamos el contenido del área de datos del fichero coverpage.jpg con la de un fichero de
prueba generado en Paint, el comienzo del fichero es el mismo. Otros programas producen otros
comienzos de fichero diferentes.

Figura 8. Contenido del fichero de prueba realizado con Microsoft Paint.

Figura 9. Contenido del fichero coverpage.jpg.

22
 SCAN OF THE MONTH #26. HONEYNET PROJECT

http://www.honeynet.org/scans/scan26

En este caso la respuesta aquí presentada fue dada por Brian Carrier.

Tras averiguar el nombre y dirección del proveedor de Job Jacobs, Jimmy Jungle, la
policía realiza un registro en su domicilio. Se ha encontrado un disquete con la etiqueta
dfrws.org impresa. La policía ha realizado una imagen del disquete que está a nuestra
disposición.

La policía requiere nuestros servicios para obtener toda la información posible del
disquete relacionada con el caso.

Para ello deberemos contestar las siguientes preguntas:

1. ¿Quién es (probablemente) el proveedor de drogas de Jimmy Jungle?

2. ¿Cuál es la dirección de correo de dicho proveedor?

3. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga?

4. ¿Dónde se esconde actualmente Jimmy Jungle?

5. ¿Qué tipo de coche posee?

6. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada
en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el
área de datos.

23
INVESTIGACIÓN

Seguimos los pasos del caso anterior para añadir un caso, un host y la imagen del disquete
proporcionada (comprobando su integridad).

Como no sabemos exactamente qué buscar, procedemos a analizar los archivos incluidos en
el disquete utilizando la opción ‘File Analisys’. Autopsy nos indica que no hay ficheros en el
disquete. Esto puede ser debido a que o bien el disco esta en blanco o la información está oculta.
Para intentar determinar la causa utlizamos la opción ‘Image Details’:

Figura 10. Autopsy: Detalles de la imagen

Lo que nos indica que:

• Los sectores 1 al 9 eran utilizados por la tabla FAT primaria.

• Los sectores 10 al 18 eran utilizados por la tabla FAT secundaria.

• Los sectores 19 al 32 eran utilizados por el directorio raíz.

• Los sectores 33 al 2879 formaban el área de datos.

Además, según la tabla FAT, no existe ningún archivo en el sistema (FAT contents).

Procedemos a analizar los sectores correspondientes a la tabla FAT primaria, secundaria, al

directorio raíz y al área de datos. Para ello utilizaremos la opción ‘Data Unit’ e iremos accediendo
al contenido de los sectores que las conforman.

Si mostramos el contenido de los sectores 1 al 9 en la vista normal no parece tener ningún

contenido. Sin embargo, si utilizamos la vista hexadecimal (Hex-display) observamos que los 24
primeros bits contienen información. Lo mismo sucede con el contenido de los sectores 10 al 18.

24
 El análisis de los sectores 19 al 32 no muestra ningún contenido.

Analizamos ahora los sectores 33 al 2879. Autopsy nos indica que el tipo de archivo residente
en dichos sectores es un archivo JPEG.

A través del menú keyword search accedemos a la opción extract unallocated, que nos permite
obtener el contenido del espacio de disco que según la tabla FAT no está asignado. Lo podemos
extraer también con la opción extract strings, que devuelve el resultado en caracteres ASCII o
Unicode (o ambos). Analizando la salida observamos que las dos últimas líneas del fichero
contienen datos interesantes:

Figura 11. Autopsy: contenido del espacio no asignado.

Por una parte tenemos que con un desplazamiento de 1210704 bytes aparece la cadena de
texto ‘pw=help’. Dicha dirección se corresponde con el sector nº (1210704 / 512 = 2364). Si
utilizamos la opción ‘Data unit’ de autopsy (con la opción adress type=unallocated para que autopsy
realice la traducción del sector del espacio no asignado al espacio de direccionamiento de la
imagen completa, que en este caso es el sector 2397) para acceder a dicho sector comprobamos
que aparte de la cadena de texto mencionada, no hay nada más.

Realizamos el mismo procedimiento para la cadena de texto ‘John Smith's Address: 1212
Main Street, Jones, FL 00001’ con un desplazamiento de 1385824 bytes (1385824 / 512 = 2706).
Al igual que en el caso anterior, no hay nada salvo la cadena de texto ya encontrada.

Análisis del espacio no asignado

Utilizamos la herramienta foremost (que busca valores de cabeceras y finales de fichero

conocidos para reconocer tipos de ficheros utilizados) con el fichero generado por Autopsy al
extraer el contenido del espacio no asignado. Foremost proporciona el siguiente resultado:

25
 ------------------------------------------------------------------

File: scan26-0-0-fat12.unalloc

Start: Thu Jan 3 10:54:08 2008

Length: 1 MB (1457664 bytes)

Num Name (bs=512) Size File Offset Comment

0: 0.jpg 31 KB 0

1: 64.bmp 1 MB 32768 (720 x 540)

Finish: Thu Jan 3 10:54:08 2008

2 FILES EXTRACTED

jpg:= 1

bmp:= 1

------------------------------------------------------------------

Es decir, se han encontrado:

• un fichero jpg de tamaño 31 KB en el primer sector del espacio no asignado.

• un fichero bmp de tamaño 1 MB a partir del sector 32768 del espacio no asignado.

El contenido de ambos ficheros es similar, si bien el segundo muestra información que el

primero no mostraba (un escondite).

Conclusiones

Los archivos .jpg y .bmp encontrados muestran un posible escondite de Jimmy Jungle y un
muelle. Sin embargo, todavía no hemos utilizado la contraseña hallada en el espacio no asignado,
por lo que revisamos la imagen JPEG en busca de signos de estaganografia utilizando la
herramienta stegdetect.

stegdetect -n output/foremost/00000000.jpg

output/foremost/00000000.jpg : invisible[7771](***)

La cadena de texto invisible significa que la herramienta ‘invisible tools’ fue utilizada para
esconder datos en la fotografía. Si utilizamos la herramienta para intentar abrir la fotografía, se
nos pide una contraseña. ‘help’ no es valida, como tampoco lo es ‘goodtimes’ (del caso anterior).

26
 Para proseguir la investigación accedemos a la pagina web cuya URL figuraba en el disquete,
dfrws.org. La página web parece normal a simple vista, pero analizamos el código HTML. Como
comentarios en medio del código se encuentran las cadenas de texto ‘PW=right’ y ‘PW=lefty’.
Utilizamos ambas contraseñas para abrir el fichero en Invisible secrets, la segunda nos muestra el
fichero John.doc, oculto en la fotografía. A su vez este fichero está protegido por contraseña,
siendo esta ‘help’. El contenido del mismo se muestra a continuación:

Dear John Smith:

My biggest dealer (Joe Jacobs) got busted. The day of our scheduled meeting, he never
showed up. I called a couple of his friends and they told me he was brought in by the police
for questioning. I'm not sure what to do. Please understand that I cannot accept another
shipment from you without his business. I was forced to turn away the delivery boat that
arrived at Danny's because I didn't have the money to pay the driver. I will pay you back for
the driver's time and gas. In the future, we may have to find another delivery point because
Danny is starting to get nervous.

Without Joe, I can't pay any of my bills. I have 10 other dealers who combined do not
total Joe's sales volume.

I need some assistance. I would like to get away until things quiet down up here. I need to
talk to you about reorganizing. Do you still have the condo in Aruba? Would you be willing
to meet me down there? If so, when? Also, please take a look at the map to see where I am
currently hiding out.

Thanks for your understanding and sorry for any inconvenience.

Sincerely,

Jimmy Jungle

A su vez, abrimos el fichero bmp en Invisible Secrets utilizando la password right lo que
produce el fichero Jimmy.wav que estaba oculto en el mapa de bits. El archivo de audio contiene
instrucciones para mantener una reunión con Jimmy Jungle en el muelle, así como diversos
detalles del vehiculo del mismo.

1. ¿Quién es (probablemente) el proveedor de drogas de Jimmy Jungle? John Smith

2. ¿Cuál es la dirección de correo de dicho supuesto proveedor? 1212 Main Street, Jones, FL
00001

3. ¿Cuál es la dirección exacta del sitio donde Jimmy recibía la droga? Según los ficheros de
imagen encontrados, Jimmy recibía la droga en el muelle 12, en un lugar llamado
Danny’s.

4. ¿Dónde se esconde actualmente Jimmy Jungle? Según los ficheros de imagen, en el

número 22 de Jones Avenue.

5. ¿Qué tipo de coche posee? Un mustang azul del 78.

27
6. Bonus Question: explique el proceso realizado para lograr que no hubiera ninguna entrada
en el directorio raíz ni en la tabla FAT del disquete pero el contenido se mantuviera en el
área de datos.

El disquete fue formateado de manera ‘rápida’ con una herramienta de Microsoft, es

decir, borrando solo el contenido de la tabla FAT y el directorio raíz. Cuando un disco es
formateado, se borra también su área de datos.

28
 CONCLUSIONES

A través de dos prácticas muy simples hemos descubierto los aspectos básicos del análisis de
ficheros, como descubrir ficheros ocultos o recuperar ficheros eliminados. Es notable que el uso
de herramientas de análisis de sistemas de ficheros como Autopsy requiere un conocimiento al
menos básico de los principales sistemas de ficheros (en los ejemplos, FAT).

El campo del análisis digital es muy amplio, en estas prácticas sólo hemos cubierto una de sus
partes, si bien es la básica, el análisis de los sistemas de ficheros. Por ejemplo, las herramientas de
análisis forense pueden ser utilizadas para descubrir si se han violado restricciones de protección
de datos (la LOPD en el caso de España).

Se ha mostrado aquí la aplicación del análisis digital ‘post-mortem’, es decir, para sacar
conclusiones sobre hechos ya acontecidos. Sin embargo, también se pueden aplicar estos
procedimientos de análisis digital para responder ante incidentes identificando de dónde procede
el ataque, por ejemplo.

La mayor parte de cuerpos de seguridad del planeta disponen ya de unidades especializadas

en delitos digitales: en el caso de España, el grupo de delitos telemáticos de la Guardia Civil, la
Brigada de Investigación Tecnológica de la Policía Nacional o, en el País Vasco, la Sección
Central de Delitos en Tecnologías de la Información, (SCDTI), perteneciente a la Ertzaintza. El
análisis digital de sistemas de ficheros es muy utilizado hoy en día, sobre todo, en la lucha contra
el contrabando de pornografía infantil, pero también para obtener evidencias (pruebas) de
numerosos delitos, como por ejemplo, el acceso inautorizado a algún sistema o los ataques
deliberados (tipo DDoS). Las evidencias recabadas por este tipo de grupos han sido presentadas
en procesos judiciales, lo cual nos da una idea de la importancia de seguir una metodología
estricta en este ámbito.

No olvidemos que se pueden realizar también investigaciones en ámbitos corporativos, como

por ejemplo, tras sufrir una intrusión para determinar hasta qué punto se ha visto comprometido
el mismo.

29
 BIBLIOGRAFÍA

1. Brian Carrier, Eugene Spafford. “Getting phisycal with the digital investigation
process”. International Journal of Digital Evidence. Economic Crime Institute (ECI) ,
Utica College. Fall 2003, volume 2, issue 2.

http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7A-
FB6C-325D-BF515A44FDEE7459.pdf [consulta en 3 de enero de 2008]

2. Dan Manson, Anna Carlin, Steve Ramos, Alain Gyger, Matthew Kaufman, Jeremy
Treichelt. “Is the Open Way a Better Way? Digital Forensics using Open Source
Tools” 40th Hawaii International Conference on System Sciences, IEEE computer
society. 2007.

http://csdl.computer.org/comp/proceedings/hicss/2007/2755/00/27550266b.pdf
[consulta en 3 de enero de 2008]

3. Carrier, Brian. File System Forensic Analysis. Addison-Wesley, 2005.

30