Resultado del Primer Reto Forense de La Comunidad DragonJAR

Con más de 1000 descargas de la imagen correspondiente al Primer Reto de Análisis Forense Digital  de la Comunidad DragonJAR y luego de realizar la evaluación de los reportes entregados por los participantes, haremos público el resultado de estas evaluaciones.

Reto Analisis Forense Comunidad DragonJAR

Antes de comenzar queremos agradecer a todos los participantes de este primer reto y a todas las personas que realizaron la descarga del entorno virtualizado, esperamos que a "pesar" de que publiquemos los reportes entregados por los participantes, las demás personas se animen  a desarrollar las actividades propuestas.

Es necesario aclarar y realizar un resumen de lo que fue esta primera experiencia como desarrolladores/participantes de este primer reto forense de la comunidad. Pues de esta actividad depende la comprensión de los resultados presentados.

El escenario que se planteó fue el siguiente:

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Los objetivos y reglas del reto son los siguientes:

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

  1. Antecedentes del Sistema/Escenario
  2. Recolección de datos
  3. Descripción de la evidencia
  4. Entorno del análisis/Descripción de las herramientas
  5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
  6. Metodología
  7. Descripción de los hallazgos
  8. Huellas del comportamiento y de las actividades del sospechoso
  9. Cronología de las actividades del sospechoso
  10. Posibles víctimas del sospechoso
  11. Rastros del sospechoso
  12. Conclusiones
  13. Recomendaciones a los padres
  14. Referencias

Como se observa, las reglas y objetivos de este reto pueden resultar algo exigentes para tratarse de un primer reto y acercamiento a estas temáticas (aunque ya habían sido tratadas en profundidad en varios laboratorios de la comunidad), por lo tanto tratamos de no ser tan rigurosos en el proceso de evaluación, aunque esto no debería ser así, pues de ello depende la calidad de los analistas forenses y de la validez de la evidencia presentada por estos ante un Juez.

El número total de personas oficialmente registradas a participar en el reto fue 71, de los cuales solo 7 personas presentaron los reportes solicitados.

Como bien se explica en los objetivos del reto. Se libera un Snapshot (instantánea) de un sistema virtualizado en VMWare.

El primer objetivo por lo tanto será descargar la imagen, comprobar la integridad de los archivos y realizar la implementación/montaje del entorno de análisis (Más información>>)

Aunque no se especificó claramente la idea inicial es personificar el papel de un análisista forense, el cual y como primera medida obligatoria debe velar por la conservación de la evidencia. Por esto y aunque hayamos distribuido la imagen descargable y comprimida del entorno era obligatorio responder correctamente frente al proceso de cadena de custodia, en la cual se debe realizar los procedimientos científicos necesarios para generar mínimo tres copias de seguridad del sistema implicado, entre otras prácticas. (Más información >>)

Vulevo y repito, esta parte no fue especificada de la mejor manera por nosotros, pues damos por entendido que es el primer objetivo en todo análisis forense.

La idea es que en conjunto mejoremos todos, tanto nosotros como desarrolladores de los retos, como ustedes los participantes, por ello se ignoró en gran medida este primer objetivo de conservación de la evidencia. Aunque claro está, para el próximo reto sera indispensable presentar el registro de como fue llevado a cabo este proceso de tanta importancia en las tareas de análisis forense digital.

A excepcion de dos participantes, todos los demás reportes mostraron que contaban ya, como copia de seguridad, la imagen publicada por nosotros. Aunque el reto pretendía meter a los participantes en la escena donde llegaban a modo de allanamiento a la casa del implicado y debían realizar las copias necesarias del sistema.

Por lo tanto solo se evaluó la profundidad y exactitud del análisis demostrativo de las actividades que realizaba el implicado desde dicho computador.

Consideramos que una gran fuente de referencias y de ayuda fue el enlace a los resultados del 3 reto de informática forense de la UNAM, los cuales ofrecen unos perfectos ejemplos a seguir en materia de realización de análisis y reportes. Observamos como entonces solo unos pocos se apoyaron en estos invaluables recursos. Pues dichos reportes presentan de manera muy profesional lo que debería ser un reporte ejecutivo (gerencial) y un reporte técnico (académico).

Los resultados de las evaluaciones quedaron así:

Vuelvo y repito, para este primer resultado intentamos no ser completamente rigurosos en el proceso de calificación, pues tratamos simplemente de resaltar las buenas prácticas o técnicas presentadas por los concursantes.

No todos los informes pueden estar en el podio ganador, pero en reconocimiento a su trabajo y tiempo realizando el reto forense, vamos a hablar un poco de cada uno de los informes, comentando sus puntos a favor y en contra, para que en nuevas ediciones de nuestro reto forense corrigan sus errores y fortalezcan sus talentos (En orden de resultados -Pudium).

1 - Javier G.

  • PRO's: Correcto uso del reporte ejecutivo para el objetivo del mismo. Muy detallado y acertado el proceso de análisis y resultados obtenidos.
  • CONTRA's: Se hecha de menos el detalle técnico del proceso de preservación de la evidencia.

2 - Mario Alfonso Riaño Rojas

  • PRO's: Buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. Correcto análisis cronológico de las actividades delictivas del implicado. Muy buenos resultados para tratarse de un primer análisis forense digital. Correcto y acertado procedimiento de preservación de la evidencia. Buen nivel de detalle descriptivo del sistema objetivo.
  • CONTRA's: Se hecha de menos un poco más de detalle y acierto en el proceso de análisis de la evidencia.

3 - Manuel Antonio Meléndez Andrade

  • PRO's: Se percibe que hubo buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. El reporte técnico refleja muy buenos hallazgos, pero carece de los procedimientos utilizados para llegar a estos.
  • CONTRA's: Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Aunque las conclusiones son buenas, no se detallan los procedimientos técnicos realizados para llegar a estos. (preservación de la evidencia, montaje del entorno de análisis, copia y análisis de datos volátiles, memoria ram, etc)

4 - Julián Sotos Sepúlveda

  • PRO´s: Se percibe que hubo buena documentación para la realización del análisis. El reporte ejecutivo reflejan unas buenas conclusiones del análisis. Correcto el uso descriptivo de como debería realizarse de adquisición de la evidencia. Buenas conclusiones. Buenas recomendaciones y compromisos a los padres y a los menores de edad/jóvenes.
  • CONTRA´s: No se detalla técnicamente el proceso de preservación de la evidencia. No se realizó análisis de memoria. El uso de la herramienta COFEE es de uso restrictivo a organismos policiales de algunos países. No se detallan las técnicas utilizadas para obtener la mayoría de resultados

5 - Seifreed:

  • PRO's: Fue quien más información adjunta envío y documento cada instrucción con que obtuvo esta información. Se percibe que hubo buena documentación para la realización del análisis.
  • CONTRA's: No realizó ningún tipo de análisis, se limitó a sacar información sin buscar realacion alguna entre ella y sin analizar en detalle los resultados obtenidos por estas. La mayor parte del reporte técnico se enfocó a verificar la integridad del archivo descargado (4 páginas), proceso que podría ser realizado de manera más óptima con el objetivo de documentar actividades más relevantes. No detalló el procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Tan solo se limita a mostrar como sería el proceso de generación de una imagen del sistema en GNU/Linux (Asumo que booteo el sistema desde un LiveCD GNU/Linux para realizar dicha copia). Muchas aplicaciones software pueden automatizar ese proceso de extracción de datos, generación de logs del sistema, etc... Pero el sentido de un análisis forense es verificar, análizar, detallar, organizar, y presentar estos resultados. No se realizó análisis de memoria.

6 - Víctor J.

  • PRO's: Se percibe que hubo buena documentación para la realización del análisis. Buena la iniciativa de realización del copiado del sistema, pero esta se debe detallar más (herramientas, horario, firmas, copias de seguridad, etc.). Muy bueno el análisis con X-Ways Forensics, aunque solo se limitó a analizar para ADS.
  • CONTRA's: Solo se entregó un reporte técnico y otro documento que no refleja los objetivos de un reporte ejecutivo. Se mencionan intentos fallidos de actividades. No detalló el procedimiento de preservación de la evidencia. No se realizó análisis de memoria.

7 - Henry Fernando Montalvan Celi:

  • PRO's: Buena iniciativa y decisión de abordar un reto forense sin ningún tipo de experiencia en este campo. Se percibe que hubo buena documentación para la realización del análisis, pero no es recomendable copiar esa misma información en los reportes.
  • CONTRA's: Solo envió un reporte ejecutivo, que a la vez parece más un reporte técnico incompleto, pues enumera las actividades relizadas a nivel técnico pero no en el detalle requerido. No detalló ningún procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Cuando enumera hallazgos de actividades realizadas en el equipo implicado, no se detallan como se consiguió obtener dichos hallazgos. El reporte refleja que los análisis se realizaron en el sistema en ¨caliente¨ y como se mencionó anteriormente no se realizó copias de seguridad de la evidencia, por lo tanto se está alterando la evidencia. No es recomendado instalar software de terceros en el sistema objetivo. No se realizó análisis de memoria.

Listaremos algunas recomendaciones generales a raíz de todos los reportes presentados para este concurso,  las cuales deben ser tenidas en cuenta para la realización de los análisis y reportes de futuros concursos. Enumeraremos también los aciertos presentados por todos los reportes de los participantes de este primer concurso, los cuales servirán de guía a todos los interesados en estas temáticas y a futuros participantes de los próximos retos de análisis forense digital que se publicarán en el portal.

  • La presentación de los informes debe realizarse con buena ortografía y dejando de lado bromas o chistes que nada tienen que ver con la finalidad del reporte.
  • No se deben enumerar intentos fallidos de una u otra acción o actividad común para un analista forense. El objetivo es presentar en el informe ejecutivo los resultados finales de los procedimientos científicos realizados.
  • Es necesario siempre realizar la cronología de las actividades realizadas en el sistema.
  • Informar en detalle las características / antecedentes del sistema analizado.
  • Cuando se realizan análisis con herramientas de pago, estas deben estar debidamente licenciadas y adquiridas a sus proveedores.
  • Todo análisis forense está sujeto a unos objetivos planteados por los interesados, como pueden ser, demostrar el robo de información, el desprestigio por medio de internet, rastreo de correos electrónicos, recuperación de información, etc. Para este caso el objetivo era demostrar con pruebas contundentes que la persona que operaba dicho sistema realizaba actos criminales relacionados con la pedofilia. Por ende estos informes deben presentar dichas pruebas de lo contrario serán inefectivos pues no cumplen con el objetivo del reto.

Aunque no habíamos anunciado nada acerca de premiación a los dos mejores informes en el momento de plantear el reto, siempre teniamos presente recompensar de alguna manera a las personas que cumplieron con los objetivos del reto, por su esfuerzo y dedicación y por compartir su conocimiento con los demás.

Por ello decidimos entregar un premio a cada uno de ellos.

Javi G. - Libro: Análisis Forense Digital en Entornos Windows de Juan Garrido

Mario Alfonso Riaño - Libro: Computer Forensics JumpStart de la editorial sybex

Nuevamente muchas gracias a todos los participantes de este primer reto forense de nuestra comunidad. Esperamos que los próximos tengan aún más acogida por parte de nuestros visitantes, pues esperamos publicar muchos otros retos con diferentes grados de dificultad.

Los ganadores pueden ponerse en contacto con nosotros con los mismos emails con los que se registraron, para acordar el proceso de envío de los premios.

Quienes estén interesados en realizar o continuar con el análisis de este reto puede hacerlo por medio del proyecto colaborativo de entrenamiento en seguridad Sec-Track, el cual viene publicando de manera colaborativa el paso a paso para realizar de la mejor manera el análisis.

Go up