Forensics in Spanish
RE: Pasos de Análisis Forense Jan 22 2007 10:34PM
Abraham Lizardo Silva (abraham lizardo nuevoleon gob mx)
Spam detection software, running on the system "mail.securityfocus.com", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.

Content preview: De nuevo gracias a todos por su tiempo para contestar.
Aunque se que generalmente, cuando se va a recolectar evidencias, es en
maquinas de las cuales no tenemos control, la pregunta que me surge es
si no existe alguna herramienta que podamos dejar residentes en la PC de
los usuarios para que esté recolectando evidencia que pueda ser usada en
caso de una anomalía, y que apoye el análisis forense. [...]

Content analysis details: (6.1 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
0.4 FUZZY_AMBIEN BODY: Attempt to obfuscate words in spam
0.5 HTML_40_50 BODY: Message is 40% to 50% HTML
0.0 HTML_MESSAGE BODY: HTML included in message
4.3 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
[201.140.3.35 listed in dnsbl.sorbs.net]
-1.2 AWL AWL: From: address is in the auto white-list

The original message was not completely plain text, and may be unsafe to
open with some email clients; in particular, it may contain a virus,
or confirm that your address can receive spam. If you wish to view
it, it may be safer to save it to a file and open it with an editor.

Received: (qmail 4461 invoked from network); 22 Jan 2007 22:23:44 -0000
Received: from dedint-201-140-3-35.mtyxl.axtel.net (HELO ?201.140.3.35?) (201.140.3.35)
by mail.securityfocus.com with SMTP; 22 Jan 2007 22:23:44 -0000
Received: from [201.140.3.35] ([201.140.3.35]) by [201.140.3.35]
via smtpd (for mail.securityfocus.com [205.206.231.9]) with ESMTP; Mon, 22 Jan 2007 14:33:09 -0800
Received: from genlexch01.genl.nl.gob (gw-av [201.140.3.35])
by gw-av.nl.gob.mx (Postfix) with ESMTP
id 189E844375; Mon, 22 Jan 2007 17:22:58 -0600 (CST)
Received: from [10.1.0.55] by gw-av([201.140.3.35]); Mon, 22 Jan 2007 17:22:52 -0600 (CST)
Received: from CONTEXCH01.genl.nl.gob ([10.26.4.13]) by genlexch01.genl.nl.gob with Microsoft SMTPSVC(6.0.3790.1830);
Mon, 22 Jan 2007 16:38:32 -0600
Subject: =?iso-8859-1?Q?RE=3A_Pasos_de_An=E1lisis_Forense?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C73E76.0B58D500"
Date: Mon, 22 Jan 2007 16:34:40 -0600
Content-class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft Exchange V6.5
Message-ID: <BF6E554BE1400F4894F47A83694302900510A2 (at) contexch01.genl.nl (dot) gob [email concealed]>
In-Reply-To: <f714dba40701201509n702ad40dsb744b761e9c64d78 (at) mail.gmail (dot) com [email concealed]>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: =?iso-8859-1?Q?Pasos_de_An=E1lisis_Forense?=
Thread-Index: Acc+VbZN0GaZVeqMTEK4CgmZNXsbAgAH6xaQ
From: "Abraham Lizardo Silva" <abraham.lizardo (at) nuevoleon.gob (dot) mx [email concealed]>
To: "Flavio, el HdP" <flaviohdp (at) gmail (dot) com [email concealed]>,
=?iso-8859-1?Q?Rom=E1n_Ram=EDrez?= <rramirez (at) chasethesun (dot) es [email concealed]>
Cc: "abraham Lizardo" <qlalizardo (at) hotmail (dot) com [email concealed]>,
<forensics-es (at) securityfocus (dot) com [email concealed]>
X-OriginalArrivalTime: 22 Jan 2007 22:38:32.0720 (UTC) FILETIME=[0BBAC100:01C73E76]

This is a multi-part message in MIME format.

------_=_NextPart_001_01C73E76.0B58D500
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

De nuevo gracias a todos por su tiempo para contestar.

=20

Aunque se que generalmente, cuando se va a recolectar evidencias, es =
en maquinas de las cuales no tenemos control, la pregunta que me surge =
es si no existe alguna herramienta que podamos dejar residentes en la PC =
de los usuarios para que est=E9 recolectando evidencia que pueda ser =
usada en caso de una anomal=EDa, y que apoye el an=E1lisis forense.

=20

Entiendo que hay que proteger diferentes leyes de privacidad de la =
informaci=F3n, pero si se firma alg=FAn contrato de confidencialidad o =
alguna pol=EDtica que establezca que la informaci=F3n contendida en la =
PC es propiedad de la empresa u organizaci=F3n, y se cuidan las formas =
legales, talvez pueda ser valida.=20

=20

En fin, si existe un software para recolectar evidencias que puedan ser =
=FAtiles en un caso judicial, cu=E1l herramienta recomendar=EDan.

=20

Con respecto al caso que menciona Flavio de que si es =FAtil el volcado =
de memoria, la pregunta ser=EDa que herramienta utiliz=F3 en el curso =
que ofreci=F3 en los pa=EDses que comento.

=20

Saludos a todos y que est=E9n bien.

=20

Abraham Lizardo

________________________________

De: listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] =
En nombre de Flavio, el HdP
Enviado el: S=E1bado, 20 de Enero de 2007 5:10
Para: Rom=E1n Ram=EDrez
CC: abraham Lizardo; forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Re: Pasos de An=E1lisis Forense

Con respecto a la Preservaci=F3n de Evidencia Vol=E1til, =
espec=EDficamente RAM (tambi=E9n la conectividad en Red aporta mucha =
Evidencia Vol=E1til, que debe ser preservada) :
=20
Primero : Actualmente, el volcado de memoria SI proporciona mucha =
informaci=F3n importante, especialmente ahora que las memorias son =
baratas, y la mayor=EDa de las personas usa un m=EDnimo de 512 megas, lo =
que permite recuperar p=E1ginas no reemplazadas de hasta horas =
anteriores, como lo pude demostrar a los alumnos en cursos dados en =
Ecuador, Uruguay, Argentina, Per=FA y Bolivia.. inclusive ver lo que se =
copi=F3 a un flash un rato antes, para saber si alguien se sac=F3 =
informaci=F3n confidencial...=20
=20
Segundo : C=F3mo congelo la memoria ENTERA, sin corromper nada ? Si =
corro un programa que me haga un volcado, obligadamente necesita =
instalarse en RAM, lo que jode un parte de la Evidencia (aunque es =
peque=F1a, el principio de Evidencia Nula parte de la premisa de =
Evidencia Contaminada). Para dar soluci=F3n (m=EDa) f=E1cil a esto, =
simplemente HIBERNE el equipo (la mayor=EDa de los S.O. y Hards actuales =
lo permite), en el caso de una Laptop ci=E9rrela inmediatamente, y =
espere que se apague. Una vez hibernada, se saca el disco duro, se hace =
una Imagen del Disco completo, y luego se la analiza adecuadamente. TODO =
lo que estaba en RAM baj=F3 al disco.=20
Tercero : Este m=E9todo permite adem=E1s levantar nuevamente el equipo =
(despertarlo) para hacer An=E1lisis In Situ, y encontrar otras =
Evidencias mediante Shells Remotos, v=EDnculos en red, etc., pero con =
TODA la Evidencia (HDD + RAM) preservada correctamente.=20
=20
Un saludo,
=20
Flavio.-

El d=EDa 19/01/07, Rom=E1n Ram=EDrez <rramirez (at) chasethesun (dot) es [email concealed]> =
escribi=F3:=20

> PASO 1
> - An=E1lisis de la memoria f=EDsica (RAM) y obtener un DUMP (vaciado =
o respaldo)
> de dicha memoria.=20
=09
Si yo fuera t=FA obviar=EDa esta parte. Es dudoso que puedas sacarle =
partido
a un volcado de memoria y en el caso de que lo hicieras estar=EDamos
hablando de que estar=EDas corrompiendo la escena del crimen para =
obtener=20
una imagen de la memoria o de los procesos (has de hacerlo en =
caliente).
=09
Este tipo de evidencias vol=E1tiles tienen una utilidad m=EDnima (m=E1s =
a=FAn
teniendo en cuenta que en un 80% de los casos puedes obtener evidencias =

de los ficheros de intercambio o del swap).
=09
=09
> Software, Programa o Herramienta Sugerida:
=09
Si vas a hacerlo mira pcat para unix y/o las herramientas de
sysinternals en Microsoft.
=09
=09
> - Para el an=E1lisis del sistema de archivos, obtener las particiones =
del
> disco duro.
> Software, Programa o Herramienta Sugerida:
=09
dd, Encase,...
=09
=09
> - Una vez obtenido lo anterior sacar una huella digital de dichos =
archivos=20
> para garantizar la integridad de la informaci=F3n que ser=E1 =
manipulada durante
> la investigaci=F3n.
> Software, Programa o Herramienta Sugerida:
=09
md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en =
un=20
segundo con la excusa de las colisiones) o emplea un hash m=E1s potente
como sha256 o hmac.
=09
=09
=09
> PASO 2
> - Ya analizada la memoria, hacer una an=E1lisis general del Sistema
> Operativo(SO) recopilando horas de acceso SO, =FAltimos paquetes =
instalados,=20
> archivos ocultos, procesos no identificados, etc=E9tera. Aqu=ED la =
revista
> sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y =
verificar que
> las herramientas no hayan sido afectadas, aunque no menciona como =
hacer la=20
> verificaci=F3n.
=09
Esto son evidencias vol=E1tiles, volvemos al problema del an=E1lisis en
caliente. No se justifica (a no ser que exista alg=FAn requisito legal =
que
desconozca en tu pa=EDs).
=09
Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es=20
una herramienta pobre).
=09
=09
> PASO 3
>
> - An=E1lisis de la memoria RAM para ver el detalle de las acciones =
realizadas
> por el atacante, la explicaci=F3n es muy escueta y no ofrece =
precisiones de=20
> c=F3mo hacer el an=E1lisis.
> Software, Programa o Herramienta Sugerida:
=09
gdb, idapro, ollydbg
=09
=09
=09
=09
=09
Saludos
=09

------_=_NextPart_001_01C73E76.0B58D500
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.5730.11" name=3DGENERATOR></HEAD>
<BODY>
<DIV dir=3Dltr align=3Dleft>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">De nuevo =
gracias a=20
todos por su tiempo para contestar.<?xml:namespace prefix =3D o ns =3D=20
"urn:schemas-microsoft-com:office:office" /><o:p></o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p> </o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Aunque se que =

generalmente,<SPAN style=3D"mso-spacerun: yes">  </SPAN>cuando se =
va a=20
recolectar evidencias,<SPAN style=3D"mso-spacerun: yes">  </SPAN>es =
en=20
maquinas de las cuales no tenemos control, la pregunta que me surge es =
si no=20
existe alguna herramienta que podamos dejar residentes en la PC de los =
usuarios=20
para que est=E9 recolectando evidencia que pueda ser usada en caso de =
una=20
anomal=EDa, y que apoye el an=E1lisis forense.<o:p></o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p> </o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Entiendo que =
hay que=20
proteger diferentes leyes de privacidad de la informaci=F3n, pero si se =
firma=20
alg=FAn contrato de confidencialidad o alguna pol=EDtica que establezca =
que la=20
informaci=F3n contendida en la PC es propiedad de la empresa u =
organizaci=F3n,<SPAN=20
style=3D"mso-spacerun: yes">  </SPAN>y se cuidan las formas =
legales, talvez=20
pueda ser valida. <o:p></o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p> </o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">En fin, si =
existe un=20
software para recolectar evidencias que puedan ser =FAtiles en un caso =
judicial,=20
cu=E1l herramienta recomendar=EDan.<o:p></o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p> </o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Con respecto =
al caso=20
que menciona Flavio de que si es =FAtil el volcado de memoria, la =
pregunta ser=EDa=20
que herramienta utiliz=F3 en el curso que ofreci=F3 en los pa=EDses que=20
comento.<o:p></o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p> </o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Saludos a =
todos y que=20
est=E9n bien.<o:p></o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p> </o:p></SPAN></P>
<P class=3DMsoNormal style=3D"MARGIN: 0cm 0cm 0pt"><?xml:namespace =
prefix =3D st1 ns =3D=20
"urn:schemas-microsoft-com:office:smarttags" /><st1:PersonName =
w:st=3D"on"=20
ProductID=3D"abraham Lizardo"><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Abraham=20
Lizardo</SPAN></st1:PersonName><SPAN=20
style=3D"FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: =
Arial"><o:p></o:p></SPAN></P></DIV><BR>
<DIV class=3DOutlookMessageHeader lang=3Des dir=3Dltr align=3Dleft>
<HR tabIndex=3D-1>
<FONT face=3DTahoma size=3D2><B>De:</B> listbounce (at) securityfocus (dot) com [email concealed]=20
[mailto:listbounce (at) securityfocus (dot) com [email concealed]] <B>En nombre de </B>Flavio, el=20
HdP<BR><B>Enviado el:</B> S=E1bado, 20 de Enero de 2007 =
5:10<BR><B>Para:</B> Rom=E1n=20
Ram=EDrez<BR><B>CC:</B> abraham Lizardo;=20
forensics-es (at) securityfocus (dot) com [email concealed]<BR><B>Asunto:</B> Re: Pasos de An=E1lisis =

Forense<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV>Con respecto a la Preservaci=F3n de Evidencia Vol=E1til, =
espec=EDficamente RAM=20
(tambi=E9n la conectividad en Red aporta mucha Evidencia Vol=E1til, que =
debe ser=20
preservada) :</DIV>
<DIV> </DIV>
<DIV>Primero :  Actualmente, el volcado de memoria  <STRONG>SI =

</STRONG>proporciona mucha informaci=F3n importante, especialmente ahora =
que las=20
memorias son baratas, y la mayor=EDa de las personas usa un m=EDnimo de =
512 megas,=20
lo que permite recuperar p=E1ginas no reemplazadas de hasta =
<STRONG>horas</STRONG>=20
anteriores, como lo pude demostrar a los alumnos en cursos dados en =
Ecuador,=20
Uruguay, Argentina, Per=FA y Bolivia.. inclusive ver lo que se copi=F3 a =
un flash un=20
rato antes, para saber si alguien se sac=F3 informaci=F3n =
confidencial... </DIV>
<DIV> </DIV>
<DIV>Segundo : C=F3mo congelo la memoria ENTERA, sin corromper nada ? Si =
corro un=20
programa que me haga un volcado, obligadamente necesita instalarse en =
RAM, lo=20
que jode un parte de la Evidencia (aunque es peque=F1a, el principio de =
Evidencia=20
Nula parte de la premisa de Evidencia Contaminada). Para dar soluci=F3n =
(m=EDa)=20
f=E1cil a esto, simplemente HIBERNE el equipo (la mayor=EDa de los S.O. =
y Hards=20
actuales lo permite), en el caso de una Laptop ci=E9rrela =
inmediatamente, y espere=20
que se apague. Una vez hibernada, se saca el disco duro, se hace una =
Imagen del=20
Disco completo, y luego se la analiza adecuadamente. TODO lo que estaba =
en RAM=20
baj=F3 al disco. </DIV>
<DIV>Tercero : Este m=E9todo permite adem=E1s levantar  nuevamente =
el equipo=20
(despertarlo) para hacer An=E1lisis In Situ, y encontrar otras =
Evidencias mediante=20
Shells Remotos, v=EDnculos en red, etc., pero con TODA la Evidencia (HDD =
+ RAM)=20
preservada correctamente. </DIV>
<DIV> </DIV>
<DIV>Un saludo,</DIV>
<DIV> </DIV>
<DIV>Flavio.-</DIV><BR><BR>
<DIV><SPAN class=3Dgmail_quote>El d=EDa 19/01/07, <B =
class=3Dgmail_sendername>Rom=E1n=20
Ram=EDrez</B> <<A=20
href=3D"mailto:rramirez (at) chasethesun (dot) es [email concealed]">rramirez (at) chasethesun (dot) es [email concealed]</A>>=
20
escribi=F3:</SPAN>=20
<BLOCKQUOTE class=3Dgmail_quote=20
style=3D"PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc =
1px solid"><BR>>=20
PASO 1<BR>> - An=E1lisis de la memoria f=EDsica (RAM) y obtener un =
DUMP=20
(vaciado o respaldo)<BR>> de dicha memoria. <BR><BR>Si yo fuera =
t=FA obviar=EDa=20
esta parte. Es dudoso que puedas sacarle partido<BR>a un volcado de =
memoria y=20
en el caso de que lo hicieras estar=EDamos<BR>hablando de que =
estar=EDas=20
corrompiendo la escena del crimen para obtener <BR>una imagen de la =
memoria o=20
de los procesos (has de hacerlo en caliente).<BR><BR>Este tipo de =
evidencias=20
vol=E1tiles tienen una utilidad m=EDnima (m=E1s a=FAn<BR>teniendo en =
cuenta que en un=20
80% de los casos puedes obtener evidencias <BR>de los ficheros de =
intercambio=20
o del=20
=
swap).<BR><BR><BR>>        &n
b=
sp;   =20
Software, Programa o Herramienta Sugerida:<BR><BR>Si vas a hacerlo =
mira pcat=20
para unix y/o las herramientas de<BR>sysinternals en=20
Microsoft.<BR><BR><BR>> - Para el an=E1lisis del sistema de =
archivos, obtener=20
las particiones del<BR>> disco=20
=
duro.<BR>>          
;=
  =20
Software, Programa o Herramienta Sugerida:<BR><BR>dd,=20
Encase,...<BR><BR><BR>> - Una vez obtenido lo anterior sacar una =
huella=20
digital de dichos archivos <BR>> para garantizar la integridad de =
la=20
informaci=F3n que ser=E1 manipulada durante<BR>> la=20
=
investigaci=F3n.<BR>>        
&=
nbsp;   =20
Software, Programa o Herramienta Sugerida:<BR><BR>md5 Y sha1 (no solo =
uno de=20
ellos, cualquier abogado te lo desmonta en un <BR>segundo con la =
excusa de las=20
colisiones) o emplea un hash m=E1s potente<BR>como sha256 o=20
hmac.<BR><BR><BR><BR>> PASO 2<BR>> - Ya analizada la memoria, =
hacer una=20
an=E1lisis general del Sistema<BR>> Operativo(SO) recopilando horas =
de acceso=20
SO, =FAltimos paquetes instalados, <BR>> archivos ocultos, procesos =
no=20
identificados, etc=E9tera. Aqu=ED la revista<BR>> sugiere las =
herramientas=20
netstat, rpm, equery, ps, ls, lsof y verificar que<BR>> las =
herramientas no=20
hayan sido afectadas, aunque no menciona como hacer la <BR>>=20
verificaci=F3n.<BR><BR>Esto son evidencias vol=E1tiles, volvemos al =
problema del=20
an=E1lisis en<BR>caliente. No se justifica (a no ser que exista =
alg=FAn requisito=20
legal que<BR>desconozca en tu pa=EDs).<BR><BR>Emplea Encase, Autopsy, =
FTK, iLook=20
(solo fuerzas gubernamentales y es <BR>una herramienta =
pobre).<BR><BR><BR>>=20
PASO 3<BR>><BR>> - An=E1lisis de la memoria RAM para ver el =
detalle de las=20
acciones realizadas<BR>> por el atacante, la explicaci=F3n es muy =
escueta y=20
no ofrece precisiones de <BR>> c=F3mo hacer el=20
=
an=E1lisis.<BR>>         
;=
   =20
Software, Programa o Herramienta Sugerida:<BR><BR>gdb, idapro,=20
=
ollydbg<BR><BR><BR><BR><BR><BR>Saludos<BR></BLOCKQUOTE></DIV><BR></BODY>
<=
/HTML>

------_=_NextPart_001_01C73E76.0B58D500--

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus