Trabajo Obligatorio CIBERSEGURIDAD Código: FC_1045-03
Informe pericial “
ACME CORPORATION
Realizado por: Iris Greciano
”
1
Informe pericial Código: FC_1045-03
CONTENIDO
Propuesta de trabajo ...................................................................................................... 2 Objetivo del Trabajo Obligatorio de Ciberseguridad ........................................................ 3 1) Que es un Análisis Forense Informático ...................................................................... 4 1.2) Origen ................................................................................................................... 4 1.3) Perito Informático Forense ................................................................................... 5 2) Diferentes Diferentes Fases de Análisis Forense Forense ............... ............................... ................................. ................................. .......................... .......... 6 2.1) Identificación del Incidente ................................................................................... 6 2.2) Adquisición / Recopilación .................................................................................... 6 2.2.1) Reglas a seguir durante la Adquisición .......................................................... 7 2.3) Preservación ......................................................................................................... 7 2.4) Análisis ................................................................................................................. 8 2.5) Conclusiones ......................................................................................................... 9 2.6) Informe Forense Pericial Informático ................ ................................ ................................ ................................ ................... ... 9 3) Principio de Intercambio de Locard ........................................................................... 10 4) Herramientas más habituales .................................................................................... 11 5) Diferencias / Cuidados para NO alterar el estado del dispositivo ............................... 14 6) Investigación Pericial ................................................................................................ 16 Proceso de Adquisición de Información ......................................................................... 17 Proceso de Obtención de Información .......................................................................... 20 AUTOPSY .................................................................................................................. 23 FTK IMAGER .............................................................................................................. 25 Realización de copia de Custodia ......................................................................... 30 Comprobación y Verificación de HASH y MD5 (FTK Imager) ...................................... 31 BURPSUITE ............................................................................................................... 39 HxD .......................................................................................................................... 42 SCANPST.EXE ............................................................................................................ 43 STELLAR REPAIR ........................................................................................................ 44 OSINT ....................................................................................................................... 48 WIGLE ....................................................................................................................... 49 Informe Pericial Forense ............................................................................................... 50 Acuerdo de Confidencialidad .................................................................................... 56 Documento de Registro Cadena de Custodia ............................................................. 59
2
Informe pericial Código: FC_1045-03
PROPUESTA DE TRABAJO Se nos ha contratado por la empresa X para investigar un incidente con uno de sus empleados. Sabemos que dicho empleado está conspirando para atacar a la empresa junto con otra persona, conocida como Dr. Evil. La empresa necesita pruebas irrefutables de la conspiración del empleado y para ello necesita que nosotros encontremos las claves para poder acusarle. Dentro de nuestro cometido está encontrar el sitio donde se van a reunir para conspirar, así como la contraseña que van a utilizar para identificarse. Por todo ello, se nos pide: 1. Sabiendo que el ordenador ordenador del empleado está encendido, explica el proceso que seguirías para obtener obtener lo s artefactos del equipo (volcado equipo (volcado de memoria, imagen de disco, archivos interesantes para la investigación…) Deberás explicar desde que llegas frente al equipo hasta que terminas con la adquisición de datos y estás listo para empezar a trabajar con ellos en tu laboratorio. Para poder acceder a una nota más alta, deberás explicar la diferencia de procedimiento cuando la máquina se encuentra encendida/apagada, es física/virtual y cuando se encuentra ubicada o no en cloud, realizando el proceso en máquinas preparadas por el alumno y mostrando el proceso seguido.
2. Utilizando los dos archivos que habrías obtenido en el punto 1 con el volcado de memoria y la imagen de disco duro, extrae toda la información que puedas sobre la máquina que vas a analizar analizar mostrando c ómo la obti enes enes : procesos en ejecución, conexiones de red, sistema operativo, usuarios, … …
3. Sabemos que el empleado empleado descontento ha intercambiado correos con Dr. Evil para planificar el ataque. Sabemos a ciencia cierta que utiliza una cuenta del dominio “aratech.es” y que accede tanto por webmail como por Outlook. Estamos seguros de que en el correo se encuentra una pista fundamental para obtener los datos que necesitamos. necesitamos . Deberás encontrar dicha pista. pista. Para ello te proporcionamos el volcado de memoria, así como la imagen de disco que habrías obtenido en el punto 1. Pista: sabemos que el empleado, aun sabiendo que es una mala práctica de seguridad, Pista: reutiliza las contraseñas. contraseñas. 4. Una vez obtenidas obtenidas las pistas deberás deberás hacer uso de OSINT y tu capacidad capacidad investiga investigadora dora para obtener la localización y la contraseña contraseña para poder suplantar al empleado en la reunión con el Dr. Evil y detener así sus planes.
3
Informe pericial Código: FC_1045-03
5. Por último, deberás realizar un informe pericial de qué pruebas y cómo las has obtenido para poder presentarlo cuando acusemos al empleado, siendo lo más riguroso obtenido posible para evitar una posible contrapericial. contrapericial.
Observaciones Para la realización del trabajo NO se pueden utilizar programas de fuerza bruta, programas de eliminación de cont raseñas raseñas y simil ares. ares. Todos los procesos que se lleven a cabo cabo ti enen enen que realizarse manualmente por el alumno sin ayuda de software específico. específico. Los únicos programas permitidos son los requeridos para montar las imágenes de disco o memoria y analizar su contenido o extraer archivos (del tipo t ipo de FTK Imager y similares) y el análisis de contenido (del tipo de Volatility y similares). Si el alumno encuentra algún archivo con contraseña deberá utilizar sus conocimientos para poder acceder al mismo sin programas de terceros que extraigan/eliminen la contraseña. An te cu alq ui uier er du da so br e si el pr oc edimi edi mi ento ent o que qu e está est á si gu ien do un alumn alu mn o es válid vál id o, deberá ponerse ponerse en contacto con el profesor para comentarlo. NO NO se admitirán reclamaciones sobre la validez de los pr ocedimientos si no se cumplen las obs ervaciones del traba trabajo jo una vez puesta la calificación.
OBJETIVOS DEL TRABAJO OBLIGATORIO DE CIBERSEGURIDAD Conocer el procedimiento de adquisición de artefactos, así como el protocolo que se
▪
va a seguir para obtener evidencias digitales.
Aprender a utilizar herramientas para la adquisición adquisición y el tratamiento de evidencias
▪
digitales.
Aprender a manejar manejar fuentes abiertas abiertas de información información y relacionar relacionar datos.
▪
Desarrollar capacidades para solventar problemas de manera autónoma y sin ayuda
▪
de software de terceros.
Conocer el proceso de realización de informes periciales.
▪
4
Informe pericial Código: FC_1045-03
1) QUÉ ES UN ANÁLISIS FORENSE INFORMÁTICO El análisis forense informático y digital es un conjunto de técnicas que como finalidad se destinan a extraer información valiosa sin alterar su estado. Con esto podremos buscar datos e información ocultos, dañados, incluso eliminados. Como elemento a destacar trataremos de mantener la integridad del disco para que la información extraída pueda determinarse decisiva en investigaciones para procesos judiciales. Además, es sumamente trabajar con las herramientas adecuadas especializadas es pecializadas en la obtención de pruebas que a posteriori serán incluidas en un supuesto sumario. El profesional encargado de realizar el análisis forense (computer forenser ) utiliza un hardware y software especial de recuperación de datos para poder recuperar toda la información requerida desde cualquier dispositivo.
1.2) Origen Este tipo de actividades tienen como origen la década de los 80. Los primeros análisis forenses de dispositivos electrónicos se llevaron a cabo por parte del FBI. La Informática Forense nace a raíz de las ciencias forenses, disciplina reconocida como auxiliar a la justicia. Consiste en aplicar técnicas por las que adquirir, validar, analizar y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. La evolución en las siguientes décadas de esta modalidad nos ha llevado a que las técnicas de análisis forense de ciberseguridad sea una de las pruebas a aportar por parte de peritos judiciales profesionales y aumentan la calidad y especialización es pecialización de esta actividad.
5
Informe pericial Código: FC_1045-03
1.3) Perito Informático Forense Un perito informático forense es la persona encargada de realizar análisis de todos los elementos tecnológicos. Esto le permite llevar a cabo una recopilación de información datos que harán posible realizar una evidencia digital. Estas se emplean para esclarecer el litigio que tengan asignadas. La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o evidencias en correos electrónicos electrónicos y chats. Dentro del proceso del cómputo forense, un examinador forense digital puede llegar a recuperar información que haya sido borrada desde el sistema operativo.
La informática forense tiene tres objetivos: La compensación de los daños causados por los intrusos o criminales.
•
La persecución y procesamiento judicial de los criminales.
•
La creación y aplicación de medidas para prevenir casos similares.
•
Estos objetivos se alcanzan de varias formas, siendo la principal la recopilación de evidencias. Es importante mencionar que quienes se dedican a esto deben ser profesionales con altos niveles de ética, pues gracias a su trabajo se toman decisiones sobre los hechos y casos analizados.
6
Informe pericial Código: FC_1045-03
2) DIFERENTES DIFERENTES FASES DEL ANALISIS FORENSE La falta de un procedimiento concreto y unificado que describa las distintas fases por las que debe transcurrir un análisis forense. El objetivo es elaborar una metodología lo más completa posible no solo a nivel teórico sino s ino también a nivel de cumplimiento normativo.
2.1) Identificación del Incidente Es el estudio inicial mediante la documentación entregada por el cliente. Por lo tanto, es importante conocer los antecedentes concretos del caso, así como la situación actual. En esta etapa es importante obtener toda la información necesaria sobre: •
•
•
Persona que tiene a cargo el equipo que ha sido objeto del delito: d elito: nombre, apellidos, cargo, horas de trabajo, horario, tiempo que ha trabajado en la empresa, usuario del sistema, … … Equipo afectado: modelo, serie, sistema s istema operativo, descripción del sistema, características del equipo, coste, años de funcionamiento, … … Localización de los dispositivos de almacenamiento utilizados por el sistema: memorias (USB, SD, SD, MSD, RAM,…), discos duros, … y de estos dispositivos obtener los siguientes datos: marca, modelo, número de serie, tipos de conexión de los disco duros del sistema, etc… etc…
2.2) Adquisición / Recopilación Esta fase implica la obtención y documentación del tipo de información, así como del entorno donde vamos a extraer la información que forma la evidencia. En muchos casos existe una sola oportunidad de capturar la información, por lo que esta operación se tiene que realizar en la secuencia adecuada y con las mayores garantías de que se va a obtener el resultado siguiendo siempre directrices de buenas prácticas reconocidas.
7
Informe pericial Código: FC_1045-03
2.2.1) Reglas a seguir durante la adquisición Observar detenidamente el puesto de trabajo donde d onde está el equipo informático que vamos a realizar el peritaje. Anotar cuidadosamente y fotografiar el puesto antes de tocar ninguna posible evidencia, podemos identificar si el usuario es diestro o zurdo por la posición del ratón, prestaremos especial atención al entorno para concluir pistas relevantes para nuestra investigación. Es importante también observar la distribución de los cables, anotando y fotografiando el puerto al que está conectado, marcando e identificando cada uno de ellos, podemos observar los hábitos del usuario, por ejemplo, en el caso de haber algún puerto limpio, sin polvo, nos indica el uso de ese puerto ya que al tener un cable conectado impide así que la suciedad penetre en él. Es importante recolectar las evidencias en función de su mayor o menor volatilidad. El orden de volatilidad de las evidencias es el orden en el cual la evidencia es más susceptible al cambio, es decir, es decir recolectar en primer lugar los datos que tiene la mayor probabilidad de ser cambiados, modificados o perdidos.
2.3) Preservación En un trabajo de auditoria se trabajan con pruebas que son volátiles, en algunos momentos la perdida de información es latente por lo que hay que permanecer alerta en cada uno de los pasos que seguimos para adquirir y preservar la información. Copias de la adquisición de datos o Imagen de Disco: Mediante la adquisición se obtienen los datos en medios digitales que fueron sometidos al procedimiento de clonación: recordemos que como investigador forense nunca se debe trabajar con los datos originales sino con copias bit a bit de los mismos, que no consiste en un solo copiado de archivos (back up) sino en una imagen completa del disco duro de la víctima. Es recomendable realizar un mínimo de dos copias adicionales al original. Sin embargo, tras varias lecturas de investigación recomiendan disponer de cuatro copias a repartir entre: • El investigador forense (2 copias, una de ellas se utiliza como imagen origen de todas las copias que sean necesarias). • La empresa u órgano de custodia (si lo hay). • El afectado por el caso. El disco original debe de ser salvaguardado utilizando las medidas adecuadas: • Almacenarlo por la entidad afectada con las garantías de seguridad debidas. debidas. • Depositarlo ante notario notario
8
Informe pericial Código: FC_1045-03
Es importante mantener siempre la cadena de custodia, donde se garantiza la integridad, autenticidad y la identificación original de las muestras para tener la certeza de que la investigación judicial se realiza respetando los derechos fundamentales, pues un dictamen judicial no puede puede basarse en pruebas insuficientes o manipuladas. La cadena de custodia se suele definir con frecuencia como un procedimiento de control. Es responsabilidad de la persona que maneja la evidencia asegurar que los artículos son registrados y contabilizados durante el tiempo en el e l cual están en su poder, y que son protegidos, así mismo llevando un registro de los nombres de las personas que manejaron la evidencia o artículos durante el lapso de tiempo y fechas de entrega y recepción. Las etapas de la cadena de custodia: •
•
•
•
Localización, extracción y recopilación de la prueba. Preservación y conservación de la prueba. Trasporte de la prueba. Cesión de la prueba a laboratorios para realizar el análisis o a las fiscalías encargadas de
•
la custodia. Custodia y preservación final hasta que se s e realice el debate.
La cadena de custodia implica: o o o
o o
La extracción o recogida de los materiales que conforman las pruebas se deberá hacer con los equipos y metodología que prevengan la contaminación de la información recopilada. Su registro, identificación y marcado. Es muy importante aquí que se acompañe el proceso de fotografías. Colocación de embalaje primario y secundario (el que está en contacto con el material y el que lo recubre para el transporte), así como de los precintos de seguridad. s eguridad. Cada toma de muestras irá sellada con precintos con precintos numerados y con una ficha donde se marque la fecha y hora de la recogida, quién lo remite y las personas que lo trasladan. tr asladan. El embalaje para su transporte como, por las bolsas las bolsas isotérmicas de seguridad, a la ejemplo, vez siempre que cada una cuentecon conprecinto un envase individual. puede guardar varias pruebas El transporte de la prueba hasta los laboratorios, los laboratorios, muchas muchas veces siguiendo las exigencias de seguridad ligadas al transporte al transporte de muestras biológicas. biológicas. El traspaso de la prueba a los distintos especialistas para su inspección y análisis hasta su presentación en el juicio.
2.4) Análisis Cuando se accede a la información podemos definir dos tipos de análisis: •
Físico. Es la información que no es interpretada por el sistema operativo.
Lógico. Es la información que, si es interpretada por el sistema operativo: Estructura de directorios, ficheros que se siguen almacenando, así como los que han sido eliminados, horas y fechas de la creación o modificación de los ficheros, tamaño de los mismos, contenidos de los sectores libres. •
9
Informe pericial Código: FC_1045-03
Finalmente, una vez obtenida la información y preservada, se pasa a la parte más compleja. Sin duda, d uda, es la fase más técnica, donde se utilizan tanto hardware como como software específicamente específicamente diseñados para el análisis forense. Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista. Además, es muy importante tener en claro qué es lo que estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline (timeline ),), logs de accesos y una descarga de la memora RAM será muy útil para la mayoría de las pericias. Es muy importante en esta instancia la evaluación de criticidad del incidente encontrado y los actores involucrados en él.
2.5) Conclusiones Es en este momento cuando el perito informático debe mostrar su imparcialidad y su capacidad lógica analítica para argumentar los diferentes resultados obtenidos durante su proceso de peritaje. Es importante que prime el raciocinio para demostrar las conclusiones relativas al peritaje en cuestión. Sin duda este comportamiento en la descripción imparcial de sus conclusiones hará más fácil el trabajo a los siguientes estamentos judiciales que emplearan su documento como prueba fidedigna de los sucesos ocurridos en la investigación.
2.6) Informe Forense Pericial Informático Esta investigación finaliza con la confección de un informe pericial que arroja las conclusiones tras el análisis de la información. Una vez realizadas las diferentes fases del análisis forense anteriores, se procede a cumplimentar un informe de manera objetiva y ordenada con toda la información recogida del dispositivo. Se incluye, además, el dispositivo original y las copias realizadas.
10
Informe pericial Código: FC_1045-03
3) PRINCIPIO DE INTERCAMBIO DE LOCARD
*Principio de Locard, versión digital. Fuente: (Calzada Pradas, 2004)
Hoy en día la importancia que tiene el estudio de todos los elementos que componen el escenario de un crimen es indiscutible, ya que se encuentra más que comprobada la alta probabilidad de que este enfoque, sea capaz de proporcionarnos información dirigida a identificar a su autor y a explicar el hecho delictivo. A la hora de realizar un análisis forense digital es fundamental tener presente el principio de intercambio de Locard, el cuál sentó las bases de la ciencia forense, y que dice lo siguiente: “siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. objeto”. Esta presunción se basa en un criterio o principio conocido como el “Principio de Intercambio de Locard”, que obtiene su nombre del autor y criminalista francés francés Edmond Locard (1877-1966). Podemos afirmar que este principio es un principio básico de la criminalística y que hoy en día es aplicado en todo el mundo, en el estudio e investigación de todos los escenarios de crímenes.
11
Informe pericial Código: FC_1045-03
4) HERRAMIENTAS MÁS HABITUALES Existen gran variedad de aplicaciones para realizar análisis forense que recopila información sobre los distintos aspectos de la máquina a analizar, como por ejemplo, las memorias, los discos duros de almacenamiento, las unidades de red o aplicaciones que se ejecutan en la máquina. Podemos encontrar suites de productos verdaderamente poderosas e interesantes en lo que al análisis forense se refiere. No obstante, en ningún caso encontraremos un herramienta definitiva debido a la evolución vegetativa de amenazas, análisis, técnicas y procedimientos. En los próximos puntos describiremos algunos ejemplos de herramientas forenses, así como su descripción respecto al campo que aplica.
Herramientas de análisis de red
Snort : : Es un sistema de detección de intrusiones basado en red, aunque también se utiliza como analizador. Permite generar un registro de todos los sucesos que afecten al sistema que se está analizando. Funciona mediante filtros que se deben configurar de una manera u otra en función de nuestro objetivo. Este software es un potente analizador de puertos muy utilizado tanto a nivel de auditorías de Nmap : : Este seguridad como para extraer evidencias en una investigación forense. Utilidad muy extendida que permite analizar protocolos de red y analizar el tráfico que se Wireshark : : Utilidad captura en una red. Genera reportes que son exportados a archivos de texto para un posterior análisis forense. d atos recopilados en capturas de Xplico : Es un framework forense para realizar tareas de análisis de datos red, soporta múltiples protocolos. Según cuenta en su página web, permite analizar archivos de captura de datos, en formato PCAP, y los separa en función de los distintos protocolos. Este método ayuda a una mejor comprensión de los datos capturados.lasAdemás, posible archivosdurante de gran tamaño. Destaca la funcionalidad de previsualizar imágenesesque hayananalizar sido accedidas el periodo de captura. También es de destacar el análisis de peticiones DNS que permiten analizar a qué sitios web se accedieron. Metodología para un Análisis Forense 18
Herramientas para tratamiento de discos
Dcdd3: Utilidad que permite trabajar sobre el disco del equipo que se quiere analizar. Permite realizar copias a bajo nivel para proteger el original. Entre sus s us características permite copiar grandes imágenes de discos en partes más pequeñas para un traslado y posterior análisis más cómodo. Es otra herramienta para trabajar con discos. En este caso permite detectar, montar Mount Manager : : Es y desmontar, examinar y administrar unidades de d e almacenamiento conectadas a disco duro. Guymager : : Permite la copia bit a bit o réplicas de imagen de disco.2.5.3. Herramientas para tratamiento de memoria
12
Informe pericial Código: FC_1045-03
Volatility : : Es un conjunto de herramientas desarrolladas en Python. Permite hacer volcados de memoria de máquinas con sistemas operativos Windows, Linux, Mac OSX e incluso Android. Trabaja con versiones tanto de 32 como de 64 bits. Es capaz de analizar volcados con datos en raw, crash dumps de sistemas Microsoft Windows, etc. A partir de los datos se pueden extraer, por ejemplo, tipo de sistema, fecha y hora, puertos abiertos, ficheros cargados por procesos, así como DLL, módulos del kernel, direccionamiento de memoria por procesos, claves de registro utilizadas en los procesos, etc. Memoryze: Permite la captura de memoria RAM en equipos con sistemas operativos Windows y OSX.
RedLine : Como la aplicación anterior, también permite la captura de memoria y su posterior análisis. Además, dispone de entorno gráfico.
Herramientas para el análisis de aplicaciones Esta aplicación permite desensamblar y depurar aplicaciones o procesos para Windows. OllyDbg : : Esta Carga y permite debugar DLLs y escaneo de todo tipo de archivos. No requiere instalación así que no creará nuevas entradas en el registro de la máquina donde se instala. Es una utilidad que permite escanear archivos de la suite Office, en busca de OfficeMalScanner : : Es códigos maliciosos, por ejemplo, en macros, conectores OLE o ficheros encriptados. Radare: Aplicación multiplataforma, Linux, Android, OSX, Windows e incluso Solaris que permite aplicar ingeniería inversa para analizar código de una aplicación maliciosa que se s e ha ejecutado. Process explorer: Muestra información de los procesos que hay abiertos en un máquina. Es una herramienta útil para la localización de problemas de versión de DLL o pérdidas de identificadores. También ofrece detalles internos acerca del funcionamiento de Windows y aplicaciones. : : Permite Permite el análisis de código malicioso dentro de d e archivos de tipo PDF. Trabaja PDFStreamDumper con código JavaScript ofuscado y shellcodes.2.5.5. Suites de aplicaciones.
DEFT: Es una distribución Linux, basada en Ubuntu que permite al análisis forense de terminales móviles y dispositivos con Android o iOS. Contiene herramientas útiles para el análisis de ficheros de diferentes tipos, búsqueda de rootkits, virus, malware, etc. También permite la recuperación de ficheros del sistema, así como aplicaciones que facilitan la obtención de información asociada a usuarios y su actividad con el equipo. Posee herramientas para la recuperación de contraseñas del sistema mediante distintas técnicas. Finalmente comentar que tiene herramientas que facilitan las tareas de generación de informes y obtención de evidencias. ForLEx: Es otra distribución Linux orientada a aplicaciones de informática forense. Incluye FTK Imager que permite crear imágenes de los sistemas para su posterior análisis forense. Permite agregar más herramientas a las que ya presenta por defecto. CAINE (Computer Aided INvestigate Environment): Otra herramienta basada en Ubuntu. Entre sus características destacan un entorno de trabajo orientado a completar las fases de un análisis
Informe pericial Código: FC_1045-03
forense, una interfaz gráfica bastante amigable y un proceso semiautomático para generar informes a partir de los resultados obtenidos.
Autopsy : : Es un conjunto de aplicaciones muy útiles para el análisis forense. Una de las herramientas más completas y utilizadas. Permite un análisis de la línea de tiempo para ayudar a identificar la actividad. Permite búsquedas de palabras sobre todo el equipo. Analiza el registro del sistema operativo Windows. Extrae datos EXIF de las imágenes, permite visualizar miniaturas de las mismas, así como clasificación de los archivos del sistema por tipo, entre muchas otras opciones y herramientas.
RECUPERACIÓN DE CONTRASEÑAS Para el desarrollo de este informe forense NO se utilizará este tipo de herramientas de fuerza bruta para recuperación de para contraseñas en Windows, formularios y navegadores, pero colocamos aquí información de varias conocimiento.
W indows NT (como Windows Ntpwedit – Es un editor de contraseña para los sistemas basados en Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.
Ntpasswd – Es un editor de contraseña para los sistemas basados en Windows, W indows, permite iniciar la utilidad desde un CD-LIVE
pwdump7 – Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM. SAMInside / OphCrack / OphCrack / L0phtcrack – Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.
13
14
Informe pericial Código: FC_1045-03
5) DIFERENCIAS/CUIDADOS PARA NO ALTERAR EL ESTADO DEL DISPOSITIVO Diferencias entre ENCENDIDO Y APAGADO: En general es interesante no modificar el estado del dispositivo. En lo que corresponde a un terminal encendido podemos describir que la memoria RAM es de tipo volátil por lo que se podría perder el archivo generado. Su funcionamiento hace que el sistema operativo vuelque la información al fichero pagefile.sys una vez realizada esta operación permite tener un tramo de memoria virtual. En este equipo encendido en concreto se realizaría el volcado se realiza con las herramientas herramientas habituales y se puede proceder a la desconexión “tirando del cable”, al hacerlo de esta manera dispondremos del archivo pagefile.sys en caso de realizar un apagado ordenado desde la tecla Inicio el fichero pagefile.sys desaparece. Lo que no puede ser s er incorporado a la memoria RAM se guardará en el pagefile.sys y habría que prever su importancia en lo que respecta a las evidencias. La forma de actuar del sistema operativo al realizar el apagado es cambiando registros, actualizando fechas, ocultando ficheros que podrían ser relevantes.
En general es interesante no modificar el estado del dispositivo. Si éste se encuentra:
Encendido Realizar copia bit a bit de todos los elementos que contengan información, aplicando el criterio
•
de mayor volatilidad. Certificar matemáticamente mediante un algoritmo Hash la información obtenida. Previamente a la desconexión o al apagado de un dispositivo, se debe d ebe de evaluar: 1. Las posibles implicaciones implicaciones de desconectar el dispositivo dispositivo de la red. 2. La posibilidad de que sea accedido y manipulado por terceros.
• •
Apagado •
Realizar una copia bit a bit utilizando los métodos forenses adecuados. Certificar matemáticamente mediante un algoritmo Hash7 la información obtenida.
•
En caso de que sea necesario encenderlo, no hacerlo hasta haber realizado todas las copias
•
necesarias, haberlas documentado, certificado y facilitado el registro al órgano competente.
15
Informe pericial Código: FC_1045-03
Diferencias entre FISICA Y VIRTUAL: El análisis local puede darse en dos modalidades: Análisis de la máquina original: en la que se pueden obtener evidencias relativas a conexiones de red, datos volátiles en memoria y en general toda la información volátil del sistema. El método más invasivo necesita manipular el terminar hace copia bit a bit de todo el contenido de la memoria flash del equipo, incluyendo el espacio sin asignar, de este modo se puede acceder a la información que ha sido borrada, proporciona mayor número de datos que las anteriores tendencias. Análisis en máquina virtual a partir de la copia de disco de la original: en la que podemos realizar las pruebas necesarias repetidas veces, una vez realizadas las copias correspondientes. Es necesario al realizar una investigación forense en un entorno virtual obtener todos los logs de las diferentes de las diferentes fuentes existentes como, por ejemplo, los logs del host que se encuentran en formato tgz. los logs del vCenter que básicamente reúnen los logs de aplicaciones, seguridad, servicio y actividad, dentro de esta ultima es muy importante definir una política de retención y rotación de logs, si no existe exis te este tipo de políticas solo tendremos los logs de los últimos 30 días por último tener los logs centralizados en otro repositorio hará que tengamos mas y mejor acceso a la información necesaria. •
•
Diferencias entre UBICADA O NO EN CLOUD: En este caso en lugar de abordar las diferencias, vamos a definir los retos a los que nos enfrentamos en el caso de que la infraestructura esté montada en Cloud. La complejidad tecnológica a la que nos enfrentamos es considerable ya que la diferencia entre tener una maquina delante nuestra o solo servirnos de un usuario y una password para acceder a un entorno Cloud es bastante obvia. Técnicamente un entorno Cloud no está al 100% bajo nuestro control, además puede haber ciertas limitaciones de acceso o datos asociados a usuarios en particular. Un aspecto importante en este sentido es la legalidad a la que nos enfrentamos, ciertamente afrontamos un proceso en el cual las leyes son s on diferentes en cada país del mundo. mundo . Las reglas a seguir entorno a leyes de protecciones de dato son muy diferentes incluso entre países desarrollados. Los peritos informáticos deben comprender cuales son las regulaciones que le afectan según el lugar desde donde trabajan o la compañía a la que están realizando el peritaje correspondiente. Almacenamiento en Cloud en muchos casos se determina fuera del país de origen, la localización del data center puede determinar como de accesible son sus datos y su tratamiento. •
•
•
•
•
16
Informe pericial Código: FC_1045-03
Investigación Pericial Consideraciones previas: La empresa ACME CORPORATION nos ha hecho llegar a través de su departamento legal la necesidad de que analicemos la siguientes sospechas: Aparentemente al caso que nos enfrentamos es relativo a: ataque a empresa por empleado apoyado externamente. Análisis previo de la información recibida por parte de d e ACME CORP. Búsqueda de pruebas y objetivos. o o
Reunir información para detectar el sitio donde se reunirán para conspirar. Localización de contraseñas que se va a utilizar para identificarse.
Peticiones por parte de ACME CORP. 1. Acceder al ordenador del empleado a. Proceso de obtención de información. 2. Inicio de análisis de información obtenida. a. Proceso de ejecución b. Conexiones de Red c. Sistema Operativo 3. Rastreo e identificación de correo electrónico corporativo. a. Acceso e identificación de correo electrónico b. Análisis de volcado de memoria c. Análisis imagen disco duro 4. OSINT para obtención de localización y contraseñas. 5. Informe final
17
Informe pericial Código: FC_1045-03
Proceso de adquisición de información. Accedemos a la localización del puesto de trabajo situado en las oficinas de la compañía ACME CORP. En la calle Trampa nº 167 de Madrid a día 29 de diciembre del 2018 a las 21:02 min, confirmo que la fecha es correcta y que el reloj del dispositivo a investigar no tiene desfase. Encontramos un ordenador portátil de la marca HP modelo PAVILLION. Con un procesador Intel Core I7 y una tarjeta gráfica NVIDIA tal y como muestra sus pegatinas indicativas, indicativas , color azul con una pantalla de aproximadamente 15’’ 15’’,, también observamos una pequeña pegatina que obstaculiza el visor de la cámara integrada en el ordenador, dos puertos USB US B (unos de ellos utilizado para la conexión bluetooth del ratón inalámbrico) un puerto de seguridad de seguridad físico para anclar el terminal a una posición, y un lector de tarjetas SD-MMC todos situado en el lateral derecho. En el lateral izquierdo tenemos un puerto HDMI, un puerto RJ45, un puerto de carga tipo t ipo C, un indicador led de trabajo HDD y por último una entrada JACK AUDIO 3.5mm. El teclado del ordenador no muestra signos de desgaste en la serigrafia en ninguno de sus usos habituales (A,S,D,Q,W,E así como la barra espaciadora o los signos + y -). Aparentemente el terminal parece intacto y sin signos de pegatinas o adhesivos que dejen restos en la carcasa en lo que respecta a intentos de apertura para incorporar discos duros o memorias de manera fraudulenta o que puedan ayudar a nuestro investigado a provocar alguna actividad sospechosa, es decir, los tornillos de la carcasa no parecen ser dañados en el proceso de apertura típico por muy cuidadoso que se pueda llegar a ser. Solo existe un cable de conexión a la red eléctrica lo que nos hace pensar que el ordenador está conectado a la red Wifi de la compañía. El puerto USB liberado de la parte derecha no tiene polvo puede ser indicativo de que habitualmente el usuario a investigar incorpore una memoria USB en este puerto y cuando abandona su posición lo extrae, así como el puerto de tarjetas SD-MMC aparentemente se muestra sin suciedad o polvo, pero al ser una tecnología un poco más antigua puede que sea utilizado simplemente para las labores ociosas oci osas de este usuario desmotivado. (visualización de fotografías o pequeños videos familiares) Todo esto situado sobre una mesa color negro. Observamos lugar desordenado con varios post-it de color amarillo en los que hay escritos números de d e teléfono o lo que aparentemente pueden ser nombres de usuario y nomenclaturas típicas de contraseñas. Y una papelera con varios papeles y desechos típicos de oficina. Llama la atención el posicionamiento de un ratón ergonómico negro mate de la marca Jelly Comb con 5 botones situado s ituado en la zona izquierda del ordenador lo que parece indicar que el usuario es zurdo y no es una posición casual o desordenada. También observamos en esa misma zona algunos bolígrafos lo que refuerza nuestra teoría inicial. Dada la personalidad desordenada y díscola de nuestro investigado encontramos la sesión y el ordenador perfectamente accesible para nuestro propósito, en este entorno es en el que empezamos a trabajar para obtener las imágenes y la información necesaria para realizar nuestro primer objetivo. RECORDATORIO: POR AHORA NO SE ACONSEJA APERTURA FISICA DEL TERMINAL
18
Informe pericial Código: FC_1045-03
19
Informe pericial Código: FC_1045-03
Proceso de obtención de información. Recoger la información según el orden de volatilidad (de mayor a menor). Nos encontramos en el momento en el cual debemos localizar la información necesaria para realizar nuestra investigación, vamos a utilizar la metodología metodología RFC 3227, 3227, la cual nos ayudará a establecer un orden de mayor a menor volatilidad. 1. 2. 3. 4. 5. 6.
Registros y contenidos de la caché. Contenidos de la memoria. Estado de las conexiones de red, tablas de rutas. Estado de los procesos en ejecución. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento.
Los 4 primeros puntos representan un tipo de datos volátil que se perderán o modificarán si apagamos o reiniciamos el sistema, sis tema, esto quiere decir que inadvertidamente eliminaremos evidencias. Dentro de las evidencias volátiles será s erá de interés recuperar los siguientes datos del sistema en tiempo real: 1. 2. 3. 4.
Fecha y hora. Procesos activos. Conexiones de red. Puertos TCP/UDP abiertos y aplicaciones asociadas “a la escucha”.
5. Usuarios conectados remota y localmente. Como casuística a tener en cuenta puede que nuestro sospechoso esté conectado de manera remota y pueda detectar nuestra actividad por lo que cabe la posibilidad de que intente destruir o eliminar información en este caso se recomienda desconectar el equipo e incluso físicamente desconectarlo de la red eléctrica (tirando del cable) para así conservar la máxima información acerca del ataque, aunque perdamos información volátil de la RAM, micro, etc. A día 29 de diciembre hora 21:18 21:18 el sistema operativo sobre el que vamos a trabajar es un entorno Windows comenzamos con las actividades forenses en el ordenador comprometido o sospechoso de iniciativas fraudulentas por parte de nuestro investigado. Confirmando así la hora correcta del sistema con la actual del momento. Disponemos de un pendrive de 128Gb donde traemos nuestro tool kit forensic, en la que incorporaremos exclusivamente la información recuperada en modo lectura.
Informe pericial Código: FC_1045-03
Empezaremos ejecutando Volatility y describiremos los comandos básicos utilizados para la extracción de los datos de memoria. memoria. Utilizamos el entorno Volatility para la extracción de muestras de memoria RAM volátiles, la técnica de extracción es independiente del sistema de investigación. Volatility soporta volcados de memoria en las principales versiones de software Windows de 32 y 64 bits además de sus correspondientes SPV, recibiremos el formato de memoria en un formato RAW bruto.
Comandos utilizados: “dumpfiles dumpfiles”” - Extraer archivos asignados y almacenados en caché de memoria “imgeinfo” - Para obtener un resumen de alto nivel de la muestra de memoria en análisis, este comando “imgeinfo” se utiliza para identificar el sistema sis tema operativo, el Service Pack y la arquitectura de hardware. “pslist” – Principalmente enumera los procesos de un sistema, nombre del proceso, identificador del “pslist” proceso, fecha y hora en que se inició y salió el proceso, en las últimas versiones es capaz de mostrar el ID de la sesión. Este plugin no detecta procesos ocultos. “psscan” – – Al igual que “pslist” enumera procesos en este caso analiza las etiquetas de grupo. Se diferencia con el anteriormente nombrado en que encuentra procesos previamente eliminados, inactivos, ocultos o desvinculados por un rootkit. “connections” - Para visualizar las conexión TCP que estuvieron activas en el momento de la “connections” adquisición de la memoria, utilizar el comando. “dlldump”- Ayuda a extraer archivos .DLL (librerías) del espacio de memoria para volcarlo en el disco “dlldump”y analizarlo. Tiene en su sintaxis búsquedas en común para otros procesos bastante más complejos. “cmdscan” – Uno de los comandos más poderosos, se puede usar en lo que respecta a acciones de “cmdscan” un atacante en un sistema. Busca en la memoria principalmente sistemas Windows XP/2003/Vista/2008 para la versión Windows 7 el comando valido será conhost.exe debido a la deficiencias en número de bits del sistema operativo. “privs” – Muestra los privilegios de procesos habilitados / no habilitados y los que han sido de forma “privs” predeterminada. Es posible utilizar otros indicadores para filtrar el resultado res ultado de la búsqueda como puede ser –“ –“silent silent”” o –“regex”. –“regex”. “hivelist” - Para encontrar las direcciones virtuales de las colmenas “hives” del registro en memoria, y “hivelist” las rutas completas al correspondiente “hive” o colmena en el disco. disco.
20
21
Informe pericial Código: FC_1045-03
“vadinfo” – Muestra – Muestra principalmente información ampliada sobre los nodos VAD tales como: Dirección de la estructura MMVAD en la memoria del núcleo, nombres de archivos asignados a memoria (si se conocen).. El comando “badinfo” solo muestra la protección original de la memoria. conocen) memoria. “evtlogs” – Aunque – Aunque solo es válido para algunas versiones de Windows, extrae y analiza los registros de eventos binarios en la memoria. “dumpfiles” – Este – Este comando está directamente relacionado con el almacenamiento en la memoria caché que en algunos casos se s e almacenan para que el rendimiento del sistema sea optimo, en algunos casos esos archivos no se podrán recuperar, pero los archivos procesados pueden analizarse con herramientas externas. “connscan” “conn scan” – Comando con limitaciones a nivel software y numero de bits al ser para versiones X86 y X64 Windows XP y Windows 2003 Server. Capaz de localizar cadenas de campos sobre escritas parcial o totalmente. Riesgo de encontrar algunos falsos positivos.
“netscan” – Principalmente afecta a SO Windows de 32 y 64 bits. Ayuda en la búsqueda de TCP, “netscan” agentes de escucha TCP y UDP, igualmente puede distinguir entre IPv4 e IPv6, IP local y remota, puerto local y remoto, y la hora cuando se estableció la conexión además del estado actual. “hashdump” – Extrae – Extrae y descifra credenciales de dominio almacenadas en caché en caso de que la clave de registro no esté almacenada o disponible dis ponible generará un error fácilmente reconocible ERROR: “
volatility.plugins.registry.lsadump: no se puede leer hashes del registro"
“hibinfo” – Este – Este comando afecta a la información almacenada en el archivo de hibernación. Es capaz de identificar la hora a la que se creó el archivo de hibernación, el estado y la versión de Windows. “imagecopy” – Permite – Permite convertir cualquier tipo de espacio de direcciones en una imagen de memoria sin procesar. Es un comando utilizado en esos procesos en los que solo se admiten volcados de memoria sin procesar. “raw2dmp” – Comando – Comando utilizado para convertir un volcado de memoria sin formato en un volcado de memoria Microsoft. “vmwareinfo” – Analiza la información del encabezado de los archivos, principalmente vmware. Los “vmwareinfo” metadatos contienen información de CPU, archivos de configuración VMX, ejecución de memoria y capturas de pantalla. “mbrparser” – Encontramos – Encontramos opciones para buscar registros MBRs (registros de arranque maestro de memoria). Cuando se ejecuta busca y devuelve información de los MBRs potenciales ya definidos que se encuentran en la memoria.
22
Informe pericial Código: FC_1045-03
Adquisición “crear imagen de disco” d isco” con Autopsy
En esta ocasión vamos a realizar el ejercicio de búsqueda de la contraseña necesaria utilizando otra herramienta que correrá bajo sistema Windows. Somos conscientes de que también podríamos utilizarlo bajo una distribución Linux, pero es un proceso más laborioso ya que hay que particionar y analizar carpeta a carpeta. Comenzamos con la instalación la versión 4.19.1 que se completa sin mayores problemas.
23
Informe pericial Código: FC_1045-03
Esta es una de las fases más importantes del proceso ya que incorporaremos en la búsqueda cada uno de estos textbox en en lo que corresponden por ejemplo a palabras clave como correos electrónicos, nombres, apellidos, e incluso si estamos interesados en encontrar numeraciones de tarjetas crédito/debito, En este paso además en donde deberíamos incorporar la base de datos de la NSRL para los archivos HASH.
Este es el último paso en el cual no hemos obtenido los resultados deseados, sospechamos que el archivo analizado por su extensión no corresponde a la ejecución en esta versión de Autopsy para Windows. Además, por su complejidad no hemos descargado las 4 bases de datos NSRL y hemos utilizado las que vienen cargadas por defecto en esta versión.
24
Informe pericial Código: FC_1045-03
Adquisición “crear imagen de disco” con FTK IMAGER
Proceso de extracción de memoria con el programa FTK IMAGER 4.5.0.3. (así evitaremos instalar cualquier tipo de software en la máquina que vamos a intervenir y no levantaremos sospechas en ese sentido). Para el siguiente ejercicio se utilizará la versión de FTK IMAGER 4.5.0.3, después de ejecutar el programa comenzamos con la extracción paso a paso.
Buscamos en la opción “file -> Create Disk Disk Image” Image”
25
Informe pericial Código: FC_1045-03
Surgirá una nueva ventana donde incorporar la fuente, para este ejercicio se crea una imagen forense de toda una unidad por lo tanto seleccionamos “Physical Drive” para después d espués seleccionar siguiente
En esta nueva ventana se muestra un desplegable el cual selecciona la unidad fuente correspondiente. Una vez seleccionada finalizaremos el proceso.
26
Informe pericial Código: FC_1045-03
En esta pantalla definiremos un destino para la imagen para esto es necesario seleccionar “Add”. “Add”.
En esta ocasión definimos el tipo de imagen de destino, en este supuesto, seleccionaremos una imagen “Raw”. “Raw”.
27
Informe pericial Código: FC_1045-03
La siguiente ventana solicita información acerca de la evidencia. Al completar la información estaremos listos para el siguiente paso. Como vemos en la imagen incorporamos la información necesaria acerca del caso, evidencia, descripción de la fuente y forense.
Necesitamos definir la carpeta o unidad de disco donde alojar la imagen forense. Seleccionaremos utilizando “Browse” y a continuación nombraremos la imagen forense y forense y opcionalmente definir si la imagen resultante se dividirá en varias partes o si no será fragmentada. En nuestro caso no vamos a desfragmentar la imagen y seleccionaremos “0”. “0”. Al pulsar el botón “Finish” obtendremos un resumen de las opciones seleccionadas. Fuente de la imagen, destino.
Informe pericial Código: FC_1045-03
Esta es la pantalla justo antes de crear la imagen cuando ya hemos configurado lugar de origen, lugar de destino etc. Solo nos queda definir si queremos precalcular la estadística o si queremos crear un directorio de archivos de nuestra imagen. Habitualmente solo se s e selecciona la verificación de imagen antes de ser creada para no impactar en el tiempo de creación.
En este momento es en el que se está realizando la creación de la imagen forense, que tendrá una duración dependiendo de la cantidad de información que incluya dicha imagen.
28
Informe pericial Código: FC_1045-03
Al finalizar todo este proceso se presentan los resultados finales. Resumen de los sectores copiados, la generación del Hash MD5 y un Hash SHA-1. En un proceso optimo también se describirá que no se han detectado sectores malos o erróneos. En el mismo directorio donde se ha creado la imagen forense se encontrará un archivo de texto .txt con el mismo nombre de la imagen forense creada en el cual podremos encontrar la información detallada del proceso realizado, incluyendo fecha, día, hora, fuente y raíz de alojamiento, así como los detalles de la información anteriormente nombrada. *Al tratarse de una simulación los archivos de imagen y memoria han sido provistos por el tutor de la actividad, por lo tanto, no nos es posible mostrar la pantalla final del proceso. A partir de ahora trabajaremos con los archivos “HD y Volcado de Memoria”.
Habiendo finalizado exitosamente la generación de la imagen y el volcado de memoria, procedemos a abandonar la instalación del sospechoso teniendo especial cuidado en no parecer que alguien haya manipulado la computadora o cualquier periférico incluyendo, silla, papelera, bolígrafos, situación de almohadilla del ratón, el mismo ratón, etc. Informamos a la empresa de que hemos terminado la intervención del equipo en cuestión para empezar con la siguiente fase del proceso. Realización de copias de seguridad y proceso de custodia.
Realización de copias y proceso de custodia En nuestra actividad como forense debemos intervenir bajo la premisa de no utilizar nunca el material original y usas siempre copias clonadas y certificadas por un fedatario público (notario). En este procedimiento de parte es obligatorio realizar las copias de la información capturada ante notario para que de fe de que estas son iguales a la original.
En nuestro caso realizamos la primera copia ante notario que etiquetaremos como “ACME Corp_HD “ACME Corp_HD copia notario” notario”.. Realizaremos otra copia con la etiqueta “ACME Corp_HD copia perito perito”” quedando la original custodiada por la compañía, en este caso ACME Corp. Dentro de este proceso y como actividad fundamental comprobamos que todas las copias sean iguales bit a bit por lo que garantizamos uno de los puntos críticos en este tipo de operaciones. Para poder continuar con esta garantía en nuestro caso realizaremos otra copia o las copias que sean necesarias desde nuestra imagen etiquetada anteriormente como “ACME Corp_HD copia perito”. En perito”. En caso de que el cliente Acme Corp. necesite imperiosamente trabajar sobre este archivo se le facilitará otra copia sobre la que poder trabajar sin riesgo desde la etiquetada anteriormente como “ACME Corp_HD copia perito”. perito”.
29
30
Informe pericial Código: FC_1045-03
Llegados a este punto comenzamos con la sesión s esión de análisis de la información que hemos sustraído al ordenador del sospechoso empleado, utilizamos la copia registrada como “ACME Corp_HD copia perito1” (hemos realizado 3 copias por seguridad de la información).
En este paso vemos como ejecutamos la comprobación y verificación de las diferentes imágenes.
Comprobación de imagen, generación de HASH, MD5 y comprobación de que no hay bloques corrompidos.
Comprobación de imagen, generación de HASH, MD5 y comprobación de que no hay bloques corrompidos.
Informe pericial Código: FC_1045-03
En nuestra copia de seguridad incorporamos dos archivos que serán con los que trabajaremos a partir de ahora (Volcado de memoria / HD). Para comenzar vamos a trabajar con el programa FTK Imager 4.5.0.3 para el proceso de extracción y análisis de la información capturada.
Como vemos en el raíz ya hemos incorporado los dos archivos y desde aquí somos capaces de comenzar la búsqueda de información requerida desde el volcado de memoria. Utilizaremos diferentes palabras claves (keywords) para realizar dicha tarea. Comenzamos nuestra investigación analizando el dispositivo, claramente detectamos que es un dispositivo con Software Windows de 32bits, en particular la versión Windows 10 Pro, hace uso también de una licencia de Microsoft Office 2016 como indicamos en las capturas que se encuentran más abajo.
31
32
Informe pericial Código: FC_1045-03
33
Informe pericial Código: FC_1045-03
En la siguiente captura podemos demostrar el uso de Microsoft Office 2016, y la versión de Windows utilizada es la 10 Pro.
Nuestra siguiente búsqueda utilizando comandos de palabras clave utilizamos (%Aratech.es=) (%Webmail=), la búsqueda automática en este proceso de memoria tardó unos minutos ya que información a rastrear equivalía a unos 4 Gb de datos. No obstante, tuvimos que analizar algunos tramos de datos alfanuméricos sin sentido en la que la información que se veía reflejada no tenía nada que ver con la investigación. Entendemos que en algunos casos laesta es unaserá opción poco más laboriosa, pero si incorporamos palabras clave correctamente búsqueda más un rápida.
34
Informe pericial Código: FC_1045-03
Una vez realizada la primera búsqueda y pasados pocos minutos hemos sido capaces de empezar a encontrar información relevante acerca de la investigación. No solo referente a la búsqueda de dominio sino que también encontramos trazas de conversaciones entre nuestro sospechoso y su “asesor externo” que desde ahora podemos nombrar como Dr.Evil. Dr.Evil.
También hemos encontrado trazas de información que nos abren otras vías de investigación que abordaremos un poco más adelante. (Ruta correo Outlook)
35
Informe pericial Código: FC_1045-03
El siguiente tramo de investigación lo vamos a realizar en lo que corresponde al tramo temporal y bajo la investigación de dominio detectamos que ciertas fechas se s e repiten insistentemente y nos invita investigar ese punto que será crítico para nuestra investigación.
Informe pericial Código: FC_1045-03
Tras haber encontrado una ruta para poder acceder al archivo correspondiente de los correos Outlook, exporto el archivo .pst donde procederemos a la investigación desde Outlook.
Al intentar abrir el archivo .pst en nuestro Outlook nos solicita una contraseña / password para acceder a los correos intercambiados entre nuestro sospechoso y Dr. Evil.
36
37
Informe pericial Código: FC_1045-03
Por lo que el siguiente paso a realizar será una búsqueda de password//contraseña en el archivo (.vmem) del volcado de memoria, donde utilizando los siguientes comandos de búsqueda (%Passw=) (%Pass=) (%Pwd=) fuimos capaces de encontrar la información referente a diferentes passwords utilizadas por nuestro sospechoso, sabemos por información de la empresa que el mismo reutiliza las contraseñas aun sabiendo que es una mala práctica de seguridad, por lo que no descartaremos probar diferentes claves obtenidas en la investigación.
Hemos obtenido varias password de diferentes enlaces, por lo que optamos por intentar colocar las diferentes claves sin obtener suceso para poder abrir los correos que estamos investigando. Seguimos con la búsqueda de diferentes comandos en la búsqueda de la clave
38
Informe pericial Código: FC_1045-03
En este caso utilizamos la herramienta BurpSuite definimos el proceso de interceptación de tráfico incorporando un proxy para poder capturar la información necesaria para buscar la contraseña con la que accederemos al correo electrónico.
Con esta herramienta podemos hacer diferentes trabajos, es también utilizada para auditorias de seguridad a aplicaciones Web, integra varios componentes y funciones para realizar pruebas automáticas y manuales.
Eliminamos el proxy por defecto y en la siguiente imagen configuraremos un nuevo proxy que cumpla con nuestras necesidades.
39
Informe pericial Código: FC_1045-03
Continuamos con el proceso de configuración para interceptar trafico entre la parte servidora y el cliente. Una vez hemos realizado este proceso podremos interceptar la cuenta de correo y su s u correspondiente password tal y como se muestra en la siguiente imagen
40
Informe pericial Código: FC_1045-03
Obtenemos de nuevo una clave que es la correcta para nuestra búsqueda de correos intercambiados por nuestro sospechoso, al abrir el archivo donde se encuentran los correos intercambiados entre nuestro sospechoso con el correo (
[email protected] [email protected])) y Dr. Evil con el correo (
[email protected] [email protected])) obtenemos dos correos e información referente a la eliminación de un tercer correo, ya que en la obtención de datos anteriores
41
Informe pericial Código: FC_1045-03
El siguiente paso que realizamos es la búsqueda de ese correo eliminado para eso exportamos el archivo outlook.pst desde el HD.
Abrimos el archivo Outlook.pst en el programa HxD, este tipo de programas sirven para editar archivos hexadecimales y en este caso vamos a utilizarlo para corromper el archivo.
Dentro del archivo .pst encontraremos todas las líneas de bytes que lo componen, los primeros 6 forman parte de la cabecera, pero los bytes más importantes suelen situarse desde el 7 al 12 o incluso al 13. Para ello selecciono desde el carácter 7 en adelante en la parte derecha donde encontramos el editor, utilizo la barra espaciadora hasta que tenga 20 en todos ellos. A continuación, guardamos el archivo corrupto e incluso automáticamente se generará otro “archivo.pst.bak archivo.pst.bak”” copia de seguridad del archivo original.
Informe pericial Código: FC_1045-03
Siguiendo con nuestro procedimiento utilizaremos la herramienta Scanpst.exe que viene incluida con Outlook (en la carpeta C:\Program Files\Microsoft Office\root\Office16) y y que se usa para reparar los PST dañados.
A partir de aquí vamos a abrir el archivo .pst en el programa Outlook para visualizar los correos eliminados y así ver si obtenemos algún dato relevante en nuestra investigación.
42
43
Informe pericial Código: FC_1045-03
Hemos obtenido resultados satisfactorios realizando este paso de recuperación de correos eliminados, donde podemos confirmar donde tendrá lugar la reunión entre nuestro sospechoso y Dr.Evil, que nos confirma que la reunión se llevará a cabo en la Cervecería Gala en la C/ Salvador Allende en Zaragoza y donde la contraseña entre ambos será en nombre de la wifi del local, el siguiente paso a realizar será encontrar ese dato con otras herramientas específicas que nos ayudará a encontrar dicho nombre gracias al dato de identificación BSSID comenzado por FC:52:8D…
Utilizamos otro método de recuperación de archivos de Microsoft Outlook Personal Storage (PST) corruptos o dañados para poder recuperar el correo eliminado.
•
Stellar Repair de Outlook recupera todos los componentes del archivo PST, como correos electrónicos, archivos adjuntos, contactos, elementos en el calendario, diarios, notas, etc.
44
Informe pericial Código: FC_1045-03
Obtenemos resultados de dos correos electronicos que se encuentran en la bandeja de entrada de nuestro sospechoso de donde obtenemos informacion de un cuarto correo eliminado donde se encujentra informacion crucial para la resolucion del caso.
45
Informe pericial Código: FC_1045-03
Y por último el correo eliminado donde nos muestra los datos necesarios para el encuentro entre nuestro empleado (Sospechoso) y Dr.Evil.
46
Informe pericial Código: FC_1045-03
Los correos obtenidos hasta ahora son los siguientes: De: dr.evil dr.evil
[email protected] [email protected] Enviado el: sábado, 29 de diciembre de 2018 20:38 Para:
[email protected] Para:
[email protected] Asunto: Estamos en ello... Buenas tardes amigo mío. El plan sigue adelante. Estamos en ello y pronto alcanzaremos nuestra venganza. Un saludo, Dr. Evil.
__________________________________________________ _______________________________________________ ________ _________________________________________________________________________________________ De: dr.evil
[email protected]> Enviado el: sábado, 29 de diciembre de 2018 20:39 Para:
[email protected] Para:
[email protected] Asunto: Recordatorio Buenas tardes. Sólo recordarte que mañana es el día para encontrarnos en el sitio y con la contraseña que te comentaba en mi anterior correo. No veo el momento de conocerte y poder rematar nuestro maligno plan. Un saludo. Dr. Evil.
_________________________ __________________________________________________ _________________________________________________ ________________________________________________ ________________________
Elemento eliminado y recuperado: De: dr.evil dr.evil
[email protected] [email protected] Enviado el: sábado, 29 de diciembre de 2018 20:39 Para:
[email protected] Para:
[email protected] Asunto: Contacto Buenas tardes. Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvador Allende en Zaragoza, y como contraseña tendrás que decirme el nombre de la wifi del local, cuyo BSSID comienza por FC:52:8D...
Espero que lleguemos a un acuerdo. Un saludo y nos vemos pronto. Dr. Evil.
47
Informe pericial Código: FC_1045-03
OSINT
Dirección: Av. de Salvador Allende, 43 , Zaragoza 50015, ES Teléfono: 976 51 56 04 Ciudad: Zaragoza Ruta: Av. de Salvador Allende, 43 Código postal: 50015
48
Informe pericial Código: FC_1045-03
El siguiente paso a realizar es la localización exacta del local y desde la herramienta Wigle (Wireless Geographic Logging Engine) un un servicio web cuya principal función pasa por por recolectar los puntos de
conexión WiFi a Internet que hay en el mundo, localizar en nombre del wifi con ayuda de los datos recopilados en el anterior correo.
Llegados a este punto hemos localizado a tiempo la información necesaria e interceptar el correo clave para poder suplantar la identidad de nuestro sospechoso y así evitar el daño corporativo de la empresa ACME CO, la contraseña para identificarse Dr.Evil y nuestro sospechoso es en nombre del wifi “VodafoneDD64” y así poder intercambiar los datos necesarios para concretar el ataque. Al poder intervenir el correo electrónico de nuestro sospechoso y conocer su usuario y clave de acceso hemos redactado un e-mail a Dr. Evil el cual por motivos obvios de seguridad hemos borrado, pero tratábamos en el mismo de acordar una hora determinada para nuestro encuentro. Además de esto le hemos sugerido que por motivos de seguridad para confirmar nuestra cita nos envíe un SMS a un teléfono prepago (6558659**) controlado por nosotros exclusivamente para esta investigación. Con este último paso ya tenemos todo lo necesario para que el encuentro no se produzca con la persona sospechosa y además poder realizar las actuaciones pertinentes con nuestro sospechoso.
49
Informe pericial Código: FC_1045-03
En lo que respecta a las siguientes actuaciones procedemos acudir al encuentro con Dr.Evil, gracia a nuestras investigaciones y hacernos pasar por nuestro sospechoso mañana, día 30 de diciembre de 2018 a las 12:00 a.m. Tal y como acordamos nos encontramos con Dr.Evil al cual le facilitamos satisfactoriamente la contraseña acordada con el que descubrimos en los correos eliminados de la imagen. En la reunión Dr.Evil nos detalla d etalla paso por paso en qué consistirá consist irá el ataque a nuestra compañía ACME COR. y además nos pedirá ayuda para para que desde dentro le demos acceso acceso e información valiosa para para efectuar el ataque tales como direcciones de IP, puertos de routers, passwords de nuestros sistemas o acceso a nuestra página web. Y con estos datos conformar un ataque mucho más elaborado.
Realizamos este informe de análisis Informático Forense con el objetivo principal de resolver las cuestiones tipificadas en el siguiente punto por parte de la compañía ACME Corp. Este análisis es realizado bajo las normas técnicas y éticas que garantiza la imparcialidad absoluta por parte del analista en los datos o la información que se consiga incluyendo los procedimientos, así mismo garantizar que el proceso de obtención de la información se muestra según ha sido recogida y sin alterar en su contenido u/o morfología.
50
Informe pericial Código: FC_1045-03
Informe Pericial Forense FC _1045-03 I) Antecedentes La compañía ACME Corp. solicita los servicios forenses de un especialista para la elaboración de un informe pericial detallado con las pruebas concluyentes y poder interponer las acciones judiciales que sean necesarias contra el sospechoso de dicho peritaje. Se nos solicita nuestra intervención en el entorno laboral del sospechoso por las sospechas de un ataque a empresa por empleado apoyado externamente. En este sentido bajo nuestro análisis realizaremos las actuaciones necesarias con los siguientes objetivos: a) Buscar la información necesaria para detectar donde se reunirán para conspirar contra la compañía ACME Corp. b) Localización de la información en lo que corresponde a contraseñas que puedan ser importantes para la investigación. c) Rastreo e identificación de correo electrónico corporativo. i. Acceso e identificación de correo electrónico ii. Análisis de volcado de memoria iii. Análisis imagen disco duro
II) Proceso de adquisición de información Nos encontramos en las oficinas de la compañía ACME Corp, en calle Trampa nº 167 de Madrid a día 29 de diciembre del 2018 a las 21:18 min, momento en el que empezamos a realizar la extracción de la información a analizar, confirmando que la fecha es correcta y que el reloj del dispositivo a investigar no tiene desfase. Hemos accedido al terminal desde donde el sospechoso realiza su trabajo habitualmente para realizar la extracción de la información. Lo hacemos escrupulosamente es crupulosamente sin alterar ningún elemento Hardware o Software.
51
Informe pericial Código: FC_1045-03
El resultante de nuestra intervención en la estación de trabajo de nuestro sospechoso ha sido la obtención de dos archivos formato Imagen y el volcado de memoria que trasladaremos de forma segura a un lugar apartado, dentro de las oficinas de nuestro cliente donde nos espera un notario judicial para constatar la veracidad veracidad de la información.
(VOLCADO DE MEMORIA.VMEM): MD5 HASH:
•
d1e74230b8e165ef69fd506c432771a1 SHA1 HASH:
•
f1dc5526708792d9ea1ace2432069bd4f81a8e8
(HD.VMDK) MD5 HASH:
•
efaf8bf51fa34600b51606ef2188be63 SHA1 HASH:
•
b6856355dfbe2cc751e9400871303616b0d6725f
Realizamos el proceso de copias de seguridad en presencia del notario judicial Sr.Correcaminos con DNI XXXXXXXX y los responsables res ponsables de la compañía Acme corp. Se procede al etiquetado para el notario judicial (ACME Corp_HD copia notario) y para realizar nuestra investigación (ACME Corp_HD copia perito) de la cual haremos las copias necesarias para trabajar. La copia original será custodiada por la compañía ACME Corp. una vez adquirida la imagen de toda información realizo la investigación desde mi propio laboratorio.
III) Proceso de análisis Utilizamos el entorno Volatility para la extracción de muestras de memoria RAM volátiles, la técnica de extracción es independiente del sistema de investigación. En lo que respecta al proceso de análisis realizamos el montaje de los archivos obtenidos y debidamente etiquetados como: VolcadoMemoria.vmem y HD.vmdk donde la primera parte del análisis lo realizamos con el Software FTK Imager donde analizamos 4GB de memoria que corresponde a la imagen y analizando archivos.
Informe pericial Código: FC_1045-03
Verificando en la existencia de intercambio de correos electrónicos entre nuestro sospechoso y la persona externa a la empresa realizamos una búsqueda más específica para poder obtener la información necesaria y tener un enfoque más direccionado a las intenciones maliciosas contra la empresa ACME Corp. Hemos utilizado asimismo otras herramientas para realizar este informa pericial, Volatility_2.6_Win64, Autopsy Forensic 4.19.1 Browser, Access Data FTK Imager, HxD, Stella Repair for Outlook, Scampst Outlook, Microsoft Outlook 365.
Localizando la ruta de los archivos Outlook recuperamos el archivo Outlook.pst para analizar posteriormente los archivos de correo electrónico, donde verificamos que se ha realizado la eliminación de un correo donde tenemos información crucial para poder obtener las pruebas necesarias que acusan a nuestro sospechoso de intentar realizar un ataque con una persona externa a la empresa ACME Corp.
En lo que corresponde al análisis del volcado de memoria utilizaremos el Software FTK Imager Lite y realizaremos una búsqueda en 61438MB donde encontramos varias contraseñas donde una de ella es la correcta para poder acceder al archivo Outlook.pst e investigar los correos con las pistas fundamentales para la resolución de este caso, donde obtenemos una localización y el correo eliminado donde nos informa que la contraseña usada para identificarse mutuamente en la reunió en el nombre del wifi del local donde van a realizar la reunión, el siguiente paso a realizar es la localización exacta del local (Cervecería Gala en la C/ Salvador S alvador Allende en Zaragoza) y desde la herramienta Wigle (Wireless Geographic Logging Engine) un un servicio web cuya principal función pasa por por recolectar los
puntos de conexión WiFi a Internet que hay en el mundo, localizar en nombre del wifi necesaria para la resolución de este caso.
IV) Resultado Una vez hemos realizado el proceso de análisis estos solo los resultados obtenidos de la extracción: Archivo Outlook.pst de 265 MB analizados - Información técnica del sospechoso - Textos de conversaciones que implican al sospechoso en actividades contra la empresa.
52
53
Informe pericial Código: FC_1045-03
Hora de extracción de memoria RAM:
29 de diciembre a 21:18 21:18
Software: Sistema operativo:
Windows de 32bits Windows 10 Pro
Version OFFICE:
Microsoft Office 2016
Usuario:
ALUMNOSEAS
Correos encontrados:
2
Correos recuperados:
1
Dirección e-mail sospechoso ACME Corp:
(
[email protected])
Dirección e-mail ayuda externa sospechoso:
(
[email protected])
Contraseña Outlook:
1nf0Ar4t3ch
Localización:
Cervecería Gala en la C/ Salvador Allende en Zaragoza
SSID:
VodafoneDD64
BBSID:
fc:52:8d:6c:dd:69
En el correo electrónico recuperado se detecta la información referente a la reunión que tendrá lugar para terminar de acordar el posible ataque. “…cuyo B BSID BSID comienza por FC:52:8D..” “… como contraseña ” contraseña tendrás que decirme en nombre del wifi del local ”
Contraseña del wifi del local: VodafoneDD64 _______________________________________ __________________ _____________________________________________ _______________________________________________ ___________________________________________ ____________________
Los correos obtenidos hasta ahora son los siguientes: De: dr.evil dr.evil
[email protected] [email protected] Enviado el: sábado, 29 de diciembre de 2018 20:38 Para:
[email protected] Para:
[email protected] Asunto: Estamos en ello... Buenas tardes amigo mío. El plan sigue adelante. Estamos en ello y pronto alcanzaremos nuestra venganza. Un saludo, Dr. Evil.
54
Informe pericial Código: FC_1045-03
__________________________________________________ ___________________________ ________________________________________________ ________________________________________________ _______________________ De: dr.evil
[email protected]> Enviado el: sábado, 29 de diciembre de 2018 20:39 Para:
[email protected] Para:
[email protected] Asunto: Recordatorio Buenas tardes. Sólo recordarte que mañana es el día para encontrarnos en el sitio y con la contraseña que te comentaba en mi anterior correo. No veo el momento de conocerte y poder rematar nuestro maligno plan. Un saludo. Dr. Evil.
_________________________ __________________________________________________ _________________________________________________ ________________________________________________ ________________________
Elemento eliminado y recuperado: De: dr.evil dr.evil
[email protected] [email protected] Enviado el: sábado, 29 de diciembre de 2018 20:39 Para:
[email protected] Para:
[email protected] Asunto: Contacto Buenas tardes. Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvador Allende en Zaragoza, y como contraseña tendrás que decirme el nombre de la wifi del local, cuyo BSSID comienza por FC:52:8D... Espero que lleguemos a un acuerdo. Un saludo y nos vemos pronto. Dr. Evil. ______________________ _____________ ______________________ ______________________ ______________________ ______________________ ______________________ _____________________ ________
Correo enviado por nuestra parte usurpando la identidad de nuestro sospechoso para concertar cita con Mr.Evil. De:
[email protected] De: Enviado el: sábado, 29 de diciembre de 2018 21:14 Para: dr.evil
[email protected]>
55
Informe pericial Código: FC_1045-03
Asunto: RE: Recordatorio Buenos días amigo, Espero que nuestra cita siga adelante te estaré esperando a las 12 a.m en el sitio acordado. En caso de que no puedas acudir enviame un SMS al número de teléfono ********** Un saludo Coyote
V) Conclusiones En lo que corresponde a la información analizada y los indicios localizados, podemos demostrar que las sospechas expuestas por la compañía tienen un soporte lógico más que probable. La opinión objetiva de este perito forense después de recopilar las pruebas necesarias es que el sospechoso tenía intenciones claras de perpetrar un ataque utilizando los entornos e infraestructuras digitales de la compañía, así como el soporte externo de un colaborador con información fundamental para efectuar dicho ataque.
Firma: _____________________________
En Madrid, a dia ___ de ____ de ______
56
Informe pericial Código: FC_1045-03
ANEXO:
Acuerdo de confidencialidad En ____________ a ___ de ______ de 20__ De una parte, ______RAZÓN SOCIAL CLIENTE______ (en adelante, CLIENTE), con C.I.F. ______CIF CLIENTE______ y domicilio social en ______DOMICILIO SOCIAL CLIENTE______, representada por D. ______NOMBRE DEL REPRESENTANTE CLIENTE______ actuando en nombre y representación de esta entidad en virtud de su condición de ______CARGO REPRESENTANTE CLIENTE______. CLIENTE______. De otra parte, ______RAZON SOCIAL PROVEEDOR______ (en adelante, PROVEEDOR), con C.I.F. ______CIF PROVEEDOR______ y domicilio social en ______DOMICILIO SOCIAL PROVEEDOR______, representada por D. ______NOMBRE DEL REPRESENTANTE PROVEEDOR______ actuando en nombre y representación de esta entidad en virtud de su condición de ______CARGO REPRESENTANTE PROVEEDOR______. Ambas partes acuerdan mutuamente, la capacidad legal necesaria para la suscripción del presente acuerdo y el cumplimiento y a dar cumplimiento a las siguientes obligaciones: obligaciones: I.
Que CLIENTE es una organización dedicada a ______ACTIVIDAD A LA QUE SE DEDICA CLIENTE______ y por tanto es responsable de la información generada y gestionada en su actividad.
II.
Que PROVEEDOR es una organización dedicada a ______ACTIVIDAD A LA QUE SE DEDICA PROVEEDOR______ y proporciona servicios de ______SERVICIOS QUE PRESTA A CLIENTE______ a CLIENTE.
III.
Que PROVEEDOR durante la prestación de de susacceso servicios CLIENTE puede recibir información confidencia confidencial l de CLIENTE o disponer o deapotencial acceso la misma. En este sentido se considera por información confidencial, toda la información relativa a: procesos de negocio, planes de marketing, planes estratégicos, clientes, proveedores knowhow, métodos, análisis funcionales, código fuente, estudios de mercado, estadísticas, datos financieros, análisis de viabilidad, especificaciones técnicas, formulas, diseños, estudios, aquella afectada por LOPD y toda aquella información que CLIENTE no haya autorizado de modo explícito a PROVEEDOR su libre uso o difusión.
IV.
PROVEEDOR solo hará uso de la información facilitada por CLIENTE en el ámbito de los servicios prestados por PROVEEDOR, descritos en el apartado II. En este sentido PROVEEDOR se compromete a guardar g uardar el deber de secreto y mantener la confidencialidad de la información cedida, trasladando este deber a todas aquellas personas (empleados, personal subcontratado, becarios, etc.) o entidades que dispongan de acceso a esta información en el desarrollo de sus funciones y obligaciones en relación a los servicios prestados a CLIENTE.
57
Informe pericial Código: FC_1045-03
Las personas o entidades citadas en el párrafo anterior y que tengan acceso a información confidencial de CLIENTE en el marco de la prestación del servicio, no disponen de permiso para reproducir, modificar, publicar o difundir o comunicar a terceros dicha información sin previa autorización explícita de CLIENTE. A su vez, PROVEEDOR se compromete a aplicar tanto las medidas de seguridad exigibles por la legislación vigente, como las medidas de seguridad que aplicaría PROVEEDOR respecto a su propia información confidencial para garantizar la confidencialidad de la misma. V. Sin perjuicio de lo reflejado en este acuerdo, tanto CLIENTE como PROVEEDOR, aceptan las siguientes exclusiones relativas al mantenimiento de la confidencialida confidencialidad: d: a) Si la información es accesible a través de medios públicos en el momento de su cesión. b) Si la información es conocida por PROVEEDOR previo a la suscripción del este acuerdo, siempre y cuando no esté sujeta a la obligación de preservar su confidencialidad. c) Si la legislación vigente o un requerimiento judicial exige su difusión. En cuyo caso PROVEEDOR informará a CLIENTE de esta situación y tratará de preservar la confidencialidad confidenciali dad en el tratamiento de la información. VI.
La propiedad intelectual de la información tratada en el marco de este acuerdo pertenece a CLIENTE.
VII.
Si se produce cualquier revelación, difusión o utilización de la información facilitada por CLIENTE a PROVEEDOR en el ámbito de este acuerdo, de modo distinto a lo reflejado en este acuerdo, ya sea de forma fraudulenta o por mera negligencia, PROVEEDOR deberá indemnizar a CLIENTE por los daños y perjuicios ocasionados, con independencia de las acciones civiles o penales que se puedan derivar.
VIII.
PROVEEDOR se compromete a devolver la información confidencial cedida por CLIENTE en el ámbito de la prestación del servicio, una vez finalizada la relación contractual.
IX.
De acuerdo a los dispuesto en artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, ambas parte se informan respectivamente que los datos de carácter personal intercambiados en el marco de la relación contractual serán incluidos en los ficheros de los que cada una de ellas es titular, ti tular, siendo la finalidad de estos tratamientos el soporte en el desarrollo de las tareas en el ámbito de la prestación del servicio. Dichos datos no serán cedidos a terceros. Adicionalmente, ambas partes se a garantizar, el cumplimiento la Ley Orgánica 15/1999 de 13 de diciembre, deobligan Protección de Datos de Carácter de Personal, y de su Reglamento de Desarrollo, aprobado por el Real Decreto 1720/2007. Asimismo, para ejercer los derechos de acceso, rectificación, cancelación y oposición cualquiera de las partes
58
Informe pericial Código: FC_1045-03
deberá dirigirse mediante comunicación formal a las direcciones recogidas al inicio de este acuerdo. X.
Este acuerdo tendrá validez a partir del momento en que quede firmado por ambas partes, y se extenderá de forma indefinida, a pesar de que haya finalizado la relación contractual.
XI.
Ante cualquier disputa o conflicto que pueda surgir relativa a la interpretación y/o cumplimiento del presente acuerdo, ambas partes se someten a los Juzgados y Tribunales de _______UBICACIÓN________, renunciando a su fuero propio. Y en virtud de lo establecido anteriormente, ambas partes firman por duplicado este acuerdo, en todas sus hojas, en el lugar y las fechas citados.
En nombre y representación de CLIENTE
________________________ ____________________ ____
En nombre y representación de PROVEEDOR
________________________
(FUENTE INCIBE) Este acuerdo de confidencialidad es un modelo estándar pero obviamente se puede adaptar, incluir o eliminar cualquiera de las cláusulas esperando que tanto el cliente como la empresa estén de acuerdo y conforme a la legalidad establecida. En la actualidad uno de los aspectos más determinantes en este tipo de acuerdos se refiere a la protección de datos, su uso y destrucción de los mismos.
59
Informe pericial Código: FC_1045-03
Documento de registro de cadena de custodia
60
Informe pericial Código: FC_1045-03
61
Informe pericial Código: FC_1045-03
62
Informe pericial Código: FC_1045-03
63
Informe pericial Código: FC_1045-03
Criterios de d e evalua evaluació ción n La evaluación, es una componente fundamental de la formación. Este trabajo obligatorio formará parte de tu calificación final. En esta tabla se resumen los aspectos valorables y el porcentaje que representa cada uno de los mismos. %
%
Total
Ob.
% 2º Correc
Contenidos generales Ejercicio 1. Proceso de obtención de artefactos
20
Ejercicio 2. Obtener pista
10
Ejercicio 3. Obtener localización y contraseña
20
Ejercicio 4. Informe pericial
20
Ejercicio 5. Información sobre la máquina que se va a analizar
10
Ejercicio 6. Aportaciones extra y demostración de conocimientos
20
TOTAL
100
Ficha de Correcci ón d del el Traba Trabajo jo (E (Espacio spacio reservado para anotaciones anotaciones del pro fesor y doble corr ector) Profesor: Alumno (Código (Código / Nombre): Fecha de Entrega:
Fecha de Calificación:
Observaciones sobre el trabajo: Este espacio está reservado para que el profesor titular describa anotaciones que considera importantes sobre la realización del trabajo. t rabajo. También está destinado para que el profesor que efectúa la doble corrección pueda realizar sus anotaciones, asimismo se podrán describir las conclusiones a las que se ha llegado tras realizar la doble corrección.
