lunes, 30 de enero de 2017

Los escribanos plantan cara al Whatsapp (ESP)

  • El decano de la institución, Francisco Cantos, afirma que estos mensajes encierran una «fácil manipulación»
  • El Colegio Notarial de Valencia pide prudencia a la hora de levantar actas sobre conversaciones de esta aplicación

El Whatsapp se ha extendido a una velocidad vertiginosa, va muy por delante de la legislación, Por ello el Colegio Notarial de Valencia aconseja no levantar acta sobre las conversaciones de esta red de mensajería instantánea ante su «vulnerabilidad y su poca fiabilidad». Cada vez hay más casos que presentan como prueba judicial mensajes de esta aplicación y los notarios advierten de «su validez relativa».

Resultado de imagen para whatsapp notario

El decano del Colegio Notarial de Valencia, Francisco Cantos, confiesa que «este es un tema que lleva rondando desde 2014, cuando se probó que el remitente de los mensajes se podía hackear y manipular, pero como cada vez se nos piden más actas de certificación, estamos advirtiendo a nuestro colectivo para que ande con pies de plomo, porque sólo una persona con conocimientos informáticos puede certificar con seguridad la veracidad del ese tipo de mensajes instantáneos, su contenido y su origen».

Un acta firmada por un notario es como un plus de fiabilidad y precisamente Whatsapp no es sinónimo de este adjetivo, por eso a los miembros del gremio «no nos gustan los temas relacionados con esta red de mensajería en los que además aparecen conversaciones sobre temas peliagudos que pueden vulnerar los derechos a la privacidad de la otra persona», explica el decano.

Cantos asegura que su trabajo se puede limitar a certificar una evidencia pero no a dar una garantía procesal. Es más, estas actas suelen ser impugnadas en los juzgados por los abogados contrarios por su validez relativa. Los Ingenieros informáticos advierten de que aproximadamente una de cada 20 pruebas electrónicas están manipuladas.

Es por ello que desde la Asociación de Perítos Judiciales Informáticos, su presidente Ángel Bahamontes, asegura que «son nuestras máquinas las que son capaces de desgranar cualquier documento digital para darle mayor validez en un juicio. Nosotros realizamos informes de 17.000 páginas de garantías con toda esa información que se esconde detrás, porque todo lo digital es rastreable y tiene evidencias, otra cosa es que todos las sepan leer». Esta asociación con tan sólo cinco años de vida aumenta sus socios a pasos agigantados. Empezaron con 46 y ahora son 1.200 y todos ellos con trabajo en donde verificar conversaciones de Whatsapp sobre divorcios, custodias y violencia de género está a la orden del día.

Unos se acercan y otros se alejan de esta aplicación que tantos dolores de cabeza causa a la justicia. Pero todavía no existe ni un juez 2.0 ni sobre todo un notario 2.0 que pueda firmar con seguridad la procedencia y el contenido de estos documentos digitales. El gremio quiere mantenerse lejos de cualquier posible responsabilidad civil o futuras reclamaciones de indemnizaciones porque la prueba no sea del todo fehaciente.

viernes, 20 de enero de 2017

¿Puede un WhatsApp borrado convertirse en una prueba en un juicio?

ESPAÑA

Las conversaciones a través de sistemas de mensajería instantánea siempre han estado en entredicho como medio de prueba. La posibilidad de eliminar mensajes enviados podría complicar más las cosas.
Miles de millones de usuarios de smartphones utilizan sistemas de mensajería instantánea como WhatsApp o Telegram como herramienta central para sus comunicaciones. Tanto es así, que muchas de estas conversaciones han terminado por llegar a los juzgados como medio de prueba en causas abiertas. Aunque los jueces se mostraron reacios en un inicio, poco a poco, este sistema de comunicación ha calado en las jurisdicciones nacionales como indicio, al igual que sucedió en su día con los correos electrónicos.
Sin embargo, las informaciones que se han publicado y que afirman que se podrán eliminar y editar mensajes de las conversaciones mantenidas tanto a través de WhatsApp como Telegram, las dos compañías más importantes a nivel mundial, hace que muchos se planteen si este tipo de sistemas perderán fuerza probatoria ante un tribunal.
"Actualmente, las comunicaciones digitales -correo electrónico o mensajería instantánea- son el principal medio de comunicación que existe y negar a la evidente licitud sería una locura. Creo que la posibilidad de eliminar o editar mensajes no tendrá un impacto demasiado relevante en la aportación de conversaciones como medio de prueba en los tribunales. Hay que recordar que este tipo de evidencias han sido aceptadas en los juzgados, pero siempre en conjunción con otro tipo de pruebas y nunca en solitario. Cualquier caso se basa en la presentación de una serie de pruebas que permiten alcanzar una conclusión razonable visualizándolas en conjunto", explica Norman Heckn, socio el departamento de tecnologías de la información de Ramón y Cajal.

Alteración lícita

El letrado insiste en que, aunque una conversación sea alterada de manera lícita -puesto que se lo permite el sistema de mensajería-, ya sea borrando o editando el contenido, siempre deja un rastro y se puede demostrar que ha existido una conversación. "Siempre se podrá justificar que la comunicación ha tenido lugar, aunque será más complicado acreditar el contenido", añade.
En este sentido, Alejandro Touriño, socio director de Ecija, entiende que para hacer valer en un juicio una conversación de WhatsApp y su contenido como prueba no sólo valdrán fotografías de la misma, sino que deberán siempre ir apoyadas por una validación técnica. "La instantánea de una conversación a través de un sistema de mensajería instantánea no tiene demasiado valor probatorio en sí, puesto que esta fotografía puede ser alterada. Frente a esta situación, lo mejor es contar con un peritaje informático que acredite que la evidencia electrónica cumple la cadena de custodia y que existe una certeza técnica de que no ha sido alterada".
El experto en nuevas tecnologías de Ecija insiste en que con este tipo de informe cualquier juez debería aceptar este tipo de prueba y que si una de las partes aporta una conversación completa como medio de prueba y la otra lo niega, será esta última la que tendrá que aportar evidencias que acrediten lo contrario.
"Pensar que la posibilidad de borrar o editar un mensaje en una comunicación electrónica a través de WhatsApp podría rebajar la importancia y validez en un juicio de una prueba como ésta sería una locura. Al fin y al cabo, es lo mismo que si una de las partes se niega a mostrar la conversación en su dispositivo, aunque no hubiese borrado los mensajes", concluye.

Sistemas de acreditación

En la sentencia 300/2015, de 19 de mayo, el Tribunal Supremo estableció que la prueba de una comunicación bidireccional mediante sistemas de mensajería instantánea debía ser abordada con "todas las cautelas, debido a que la posibilidad de una manipulación forma parte de la realidad de las cosas". Frente a esta necesaria precaución de juicio y para evitar la impugnación de la prueba, una de las mejores opciones es presentar ante un juzgado el smartphone o dispositivo en el que se encuentre la conversación para que un secretario judicial levante acta del contenido con la transcripción literal de los mensajes. Otra de las opciones existentes es acudir ante un notario para que éste, mediante un acta, dé fe pública del contenido, tanto en lo que respecta al propio chat, como de las conversaciones que se encontraban en el dispositivo aportado y deje claro los números de teléfono correspondientes a las personas que enviaron los mensajes. Por último, y para dar una muestra más de que la integridad de la conversación no ha sido alterada, también es esencial contar con un informe pericial.

miércoles, 18 de enero de 2017

Tinfoleak v.2.0- Vicente Aguilera

 

Download last version


Las redes sociales son una fuente de información imprescindible en procesos de investigación con distintos propósitos. Entre estas redes, Twitter destaca por la actividad de sus usuarios dada la facilidad de uso y su simplicidad. En muchas ocasiones, los usuarios no son conscientes de todos los datos que facilitamos (directa o indirectamente) y del uso que podría realizar un tercero de la información que publicamos.

Con idea de disponer de una herramienta OSINT (Open-Source INTelligence) que permita automatizar la extracción de información en Twitter y facilitar el análisis posterior para la generación de inteligencia, Vicente Aguilera Díaz ha desarrollado la herramienta Tinfoleak.

La versión 2.0 actual, implementa las siguientes funcionalidades:

Tinfoleak v2.0

Steve Wozniak twitter profile Tinfoleak 

Información básica sobre el usuario:

  • Imagen del perfil.
  • Fecha de creación de la cuenta.
  • Estado de verificación de la cuenta.
  • Nombre en Twitter.
  • Nombre completo de usuario.
  • Descripción de la cuenta.
  • ID de Twitter.
  • Número de seguidores.
  • Número de usuarios a los que sigue.
  • Número de tweets enviados y promedio de tweets por día.
  • Número de likes.
  • Número de listas.
  • URL extendida.
  • Característica de geolocalización.
  • Ubicación.
  • Zona horaria.
  • Idioma.

Steve Wozniak Client Applications Tinfoleak 

Aplicaciones utilizadas por el usuario:

  • Aplicaciones utilizadas por el usuario para publicar tweets.
  • Número de tweets publicados por el usuario desde cada una de las aplicaciones.
  • Porcentaje de uso de cada aplicación respecto el total de aplicaciones.
  • Fecha del primer uso de la aplicación.
  • Primer tweet publicado con cada aplicación.
  • Fecha del último uso de la aplicación.
  • Último tweet publicado con cada aplicación.
  • Número total de aplicaciones identificadas.

Análisis de hahstags:

  • Fecha, hora, número de retweets, número de likes, usuario que publica el hashtag,
    imagen de perfil del usuario que publica el hashtag, ubicación del usuario que
    publica el hashtag y consulta de los tweets publicados por el usuario
    conteniendo hashtags.
  • Para cada hashtag utilizado por el usuario, se muestra el periodo de tiempo en el
    que fue publicado, el número de retweets, el número de likes, y el número
    de veces que fue utilizado.
  • Fecha, hora, número de retweets, número de likes, y consulta de tweet,
    de los diez hashtags más utilizados por el usuario.
  • Número de hashtags identificados.

Steve Wozniak hashtags Tinfoleak
Análisis de menciones:

  • Fecha, hora, número de retweets, número de likes, usuario que publica las
    menciones, imagen del perfil del usuario que publica las menciones, ubicación del
    usuario que publica las menciones y consulta de los tweets publicados por
    el usuario conteniendo menciones de usuario.
  • Para cada usuario mencionado, se muestra el periodo de tiempo en el que fue
    mencionado, el número de retweets, el número de likes, y el número
    de veces que fue utilizado.
  • Fecha, hora, número de retweets, número de likes, y
    consulta de las diez menciones más utilizadas por el usuario.
  • Número de menciones identificadas.

Steve Wozniak Twitter Mentions Tinfoleak

Análisis del texto publicado:

  • Se muestran los tweets publicados por el usuario que cumplen el filtro especificado
    (búsqueda por palabras clave, retweets, contenido multimedia y listas negras).
  • Para cada tweet, se muestra la fecha, hora, el usuario que publica el tweet,
    la imagen del perfil del usuario, el nombre del usuario, la ubicación
    del usuario y el contenido del tweet.
  • Número de tweets reportados.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de Metadatos:

  • Se muestran metadatos asociados a las imágenes.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de imágenes y videos:

  • Se muestran las imágenes y videos publicados por el usuario, junto a la fecha y
    hora de su publicación, la aplicación utilizada, el usuario a quien se ofrece
    respuesta (si la hubiera), el número de retweets y likes, así como la consulta
    del tweet donde se publica el contenido multimedia asociado.
  • Número de imágenes y videos publicados por el usuario.
  • Descarga de todo el contenido multimedia publicado por el usuario.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de la geolocalización:

  • Fecha y hora de la publicación del tweet.
  • Coordenadas y localización desde las que se publicó el tweet.
  • Información sobre el contenido multimedia (fotografía o video) contenido en el tweet.
  • Acceso al tweet geolocalizable.
  • Aplicación utilizada para la publicación del tweet.
  • Localización asociada a las coordenadas desde las que se publicó el tweet.
  • Ruta seguida por el usuario (incluyendo periodo de tiempo en el que permanece
    en cada ubicación, y número de tweets que envía desde cada una de ellas).
  • Localizaciones más visitadas por el usuario, incluyendo periodo de tiempo
    desde el que publica tweets desde cada localización, número de tweets que envía,
    días de la semana en los que ha publicado tweets desde cada localización,
    día de la semana que más publicaciones ha realizado, coordenadas de cada
    localización y nombre de la ubicación.
  • Generación de fichero de salida en formato KML para ser importado desde
    Google Earth, mostrando los tweets y el contenido multimedia publicado
    desde cada ubicación.

Steve Wozniak Twitter Metadata Tinfoleak


Análisis basado en coordenadas geográficas

  • Identificación de tweets publicados en el área geográfica especificada.
  • Fecha, hora, coordenadas geográficas, contenido multimedia publicado, y
    aplicación utilizada en la publicación de cada tweet, así
    como el usuario geolocalizado y consulta del tweet asociado.
  • Identificación de usuarios geolocalizados, incluyendo fotografía del usuario,
    su identificador en Twitter, así como sus identidades digitales en Instagram,
    Foursquare y Facebook.
  • Identificación de usuarios etiquetados en el área geográfica especificada.
    Se incluye el usuario etiquetado, el usuario que lo ha etiquetado, la fecha y hora
    de publicación del tweet, la fotografía en la que se ha etiquetado al usuario,
    y las coordenadas geográficas donde se publicó el tweet.
  • Análisis de contenido multimedia publicado en el área geográfica especificada.
  • Análisis de hashtags y menciones realizadas en el área geográfica especificada.

Análisis de conversaciones entre usuarios

Análisis de conversaciones entre usuarios

  • Se muestran las conversaciones que ha mantenido el usuario especificado
    con el resto de usuarios.
  • Los tweets se agrupan por conversación y se muestran ordenados
    en base al tiempo, mostrando una apariencia de chat.
  • Las conversaciones pueden ser filtradas en base a usuarios, fechas,
    o palabras clave.
  • Se muestra el número de conversaciones y el número
    de mensajes por conversación.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de identidades digitales

  • Identificación de la presencia del usuario en otras redes sociales
  • Se muestra la red social en la que se ha identificado al usuario, el identificador,
    nombre y fotografía que utiliza en cada red social, así como información adicional.
  • Se analiza la presencia del usuario en las siguientes redes sociales:
    Twitter, Instagram, Foursquare, Facebook, LinkedIn, Runkeeper, Flickr, Vine,
    Periscope, Kindle, Youtube, Google+ y Frontback.

sábado, 14 de enero de 2017

eToolz, una herramienta de ping, traceroute y WhoIS todo en uno

Por lo general, cuando queremos comprobar la conectividad de nuestro equipo con un host solemos utilizar la herramienta Ping, si queremos conocer todos los saltos de red desde nuestro sistema al destino la herramienta de traceroute y si queremos obtener información sobre un dominio una aplicación WhoIS. Todas estas aplicaciones suelen ser independientes unas de otras, sin embargo, gracias a eToolz, vamos a poder unificarlas y poder acceder fácilmente a todas ellas sin depender de nada más.

eToolz es una aplicación de origen alemán totalmente gratuita que nos permite centralizar las principales herramientas de red e Internet en una única interfaz de manera que podamos realizar fácilmente todas las consultas y comprobaciones que necesitemos sin tener que depender de varias herramientas diferentes para dicho fin.

Las principales características de eToolz son:

  • Combina y unifica las principales herramientas de red como Ping, Traceroute y Whois.
  • Permite conocer los principales registros DNS de un dominio.
  • Búsqueda automática o manual de los servidores Whois.
  • Permite comprobar la validez de las direcciones de correo.
  • Permite actualizar la hora del sistema desde diferentes servidores.
  • Muestra el encabezado HTTP de una URL.
  • Nos permite ver el adaptador de red utilizado y su información IPv4.

Como hemos dicho, esta aplicación es totalmente gratuita para todos los usuarios, y podemos descargarla desde su página web principal. Además, esta aplicación es portable, por lo que para utilizarla no necesitaremos instalarla en nuestro ordenador y podremos llevarla siempre con nosotros en una memoria USB.

Controla el tráfico de tu red local con Network Meter

Controla el tráfico de tu red local con Network Meter

Cómo funciona eToolz

Una vez descargada esta herramienta la ejecutaremos y lo primero que veremos será una interfaz similar a la siguiente.

etoolz

Como podemos ver, en la parte superior tendremos una barra de menú con todas las herramientas que nos ofrece esta aplicación, como las consultas DNS, las pruebas de Ping, el Traceroute, el WhoIS, etc.

Para utilizar cualquiera de estas herramientas, lo único que debemos hacer es pulsar sobre ella y veremos, en la parte inferior, su apartado correspondiente. Por ejemplo, en el caso de las consultas DNS, tendremos que introducir el dominio a analizar, marcar las opciones deseadas y pulsar sobre “Start” para que el programa nos muestre los resultados obtenidos.

etoolz dns

En el caso del Ping, tan solo debemos introducir la IP o el dominio que queremos comprobar (o el rango de IPs si seleccionamos MultiPing) y pulsar de nuevo sobre Start.

etoolz ping

Si queremos comprobar la ruta tracert desde nuestro ordenador a un host, igualmente introduciremos la IP o el dominio de destino y lanzaremos el test.

etoolz trace

Para obtener la información WhoIS de un host o dominio, el proceso es similar. Tan solo tendremos que introducir el dominio o IP a analizar, elegir la información que queremos que nos devuelva la herramienta y lanzar el análisis desde el botón Start.

etoolz whois

Esta herramienta nos ofrece, como hemos dicho, otras herramientas como el comprobador de direcciones de correo, el analizador de cabeceras HTML, el reloj NTP o el analizador de tarjetas de red locales y, a grandes rasgos, todas ellas funcionan de forma muy similar.

Aunque la mayoría de estas herramientas (ping, tracert, etc) vienen incluidas por defecto en los principales sistemas operativos, como podemos ver, eToolz nos brinda acceso muy sencillo a estas herramientas desde una interfaz clara y, además, nos muestra la información de la forma más intuitiva posible para que con un solo vistazo podamos encontrar la información que estamos buscando.

Clonación, bit a bit, de un disco con #OSForensics en #Windows

Sigamos con la clonación de un disco duro, bit a bit, con OSForensics. Esta Suite Forense permite la adquisición de un disco duro, tanto en un entorno vivo, (Sistema encendido), como en un entorno muerto, (Sistema apagado). Veamos primero el procedimiento para el entorno con el Sistema apagado.

Os comenté en la entrada anterior que, a pesar de que puede que no sea la mejor forma de hacerlo, porque hay varias maneras de adquirir discos duros, (y esta es sólo una más), es muy difícil cometer errores. Veamos el porqué.

Arrancamos el Sistema desde el Pendrive autoarrancable con la suite forense y se nos presenta directamente la pantalla principal de la aplicación.

001

Una vez que ha cargado el ‘Sistema’, (podéis cacharrear lo que queráis), NO nos va a permitir hacer nada que requiera interacción con el disco duro.

002-bis

Como veis, nos arroja un error en el que se nos dice que no tenemos creado ningún caso.

Esto, para mí, es una ventaja. No tenemos ningún explorador de ficheros, no tenemos ningún volúmen montado, no tenemos una terminal sobre la que arrojar ningún comando. No tenemos opción para el error, (al menos accidentalmente).

Lo primero que debemos hacer es crear un caso. Para ello, nos dirigimos a ‘Manage Case’ y clicamos en ‘New Case’. Nos da igual el nombre que le pongamos porque se eliminará en el siguiente reinicio del Sistema.

002

Se nos presentará la siguiente ventana, donde rellenamos los datos que queramos. Sólo es obligatorio asignar un nombre al caso, (y tener muy en cuenta la zona horaria).

003

Una vez generado el caso, lo veremos agregado correctamente en la misma pantalla principal de la suite forense.

004

Ahora nos dirigimos a ‘Drive Imaging’.

005

Se nos presenta una nueva ventana, donde nos posicionará directamente en la pestaña de ‘Create Image’. Aquí, debemos seleccionar el Disco objetivo del clonado y el directorio donde se creará el fichero de imagen, (lógicamente, en otro disco duro). También tenemos que tener en cuenta que hay que seleccionar la casilla para verificar el fichero de imagen una vez creado, ‘Verify File After Completion’. No hace falta que diga el porqué, verdad??

009-bis

Ahora clicamos en ‘Create Image’ y comenzará el proceso de clonación.

010

Una vez que ha finalizado, correctamente, nos lo comunicará en esa misma pantalla, con un ‘Imaging Successfully Completed’.

012

Si ahora nos dirigimos a ‘Verify / Create Hash’

013

Y seleccionamos el fichero de imagen que acabamos de crear, podemos abrir también el fichero .info que se nos ha generado, donde se encuentra la información del clonado. Y si calculamos su algoritmo hash veremos que coincide.

014

Ahora bien, (y a modo de curiosidad), quizás no nos interese adquirir el disco duro completo, si no algunos ficheros que consideramos clave para la realización de un Análisis Forense. Pues también lo podemos hacer desde aquí mismo.

Nos dirigimos a ‘File System Browser’

015

Y seleccionamos la casilla de ‘Physical Disk’, donde se nos mostrará un desplegable para que seleccionemos el disco que queremos montar. Una vez hecho, clicamos en ‘OK’.

016

Ahora podemos explorar el disco duro con normalidad.

017

Y si seleccionamos algún fichero y clicamos con el botón derecho encima de él, se nos mostrará un menú desplegable, donde podemos observar la opción ‘Save to disk’, que será la que usemos.

018

Y donde se nos presentará esta pantalla para que seleccionemos el disco donde se exportarán los ficheros que seleccionemos.

Ahora vamos a ver la adquisición de un disco en caliente, (con el Sistema encendido). Pensareis, ¿Para qué? Seguro que se os ocurre algún caso donde no se pueda apagar el Sistema, (a mí se me ocurren algunos).

El proceso es muy similar al anterior. La única diferencia que le veo es que NO es necesario crear un caso para ello.

Para ello, nos dirigimos a ‘Drive Imaging’

019

Se nos presenta la ventana de ‘Drive Imaging’, donde seleccionamos el disco duro. Elegimos el fichero de imagen de salida y marcamos la opción de verificación del fichero de imagen después de la completación. Podemos rellenar los datos de ‘Description’ y de ‘Location/Place’.

023

Clicamos en ‘Create Image’.

024

Para que comience el proceso de clonación.

Como en el caso anterior, una vez que finalice correctamente, nos lo dirá.

025

En cualquier caso, y para evitar que nos echen por tierra todo el trabajo por una falta de ‘buenas prácticas’, podemos documentar todo este proceso con una grabación de video.

Marcos @_N4rr34n6_

Clonación, bit a bit, de un disco con #Guymager y #DD en #Linux

Linux da mucho juego. Cuando digo que da mucho juego es que es muy flexible y ofrece múltiples posibilidades. Vamos a ver varias formas para realizar esta operación.

La primera de ellas es usar un entorno Live, (en este caso me decantaré por DEFT), y hacer uso de Guymager.

Para ello, arrancamos el sistema desde el dispositivo USB y elegimos la opción ‘DEFT Linux 8 live’

001

Una vez que arrancado el sistema, levantamos una consola de terminal y tipeamos

guymager

002

De esta forma se ejecuta esta herramienta, que nos presenta las unidades de disco que tenemos disponible.

003

Si seleccionamos una de ellas y realizamos un clic derecho con el ratón, se nos desplegará un menú contextual, en el que elegiremos la opción ‘Acquire image’.

004

Ahora se nos presentará la ventana con las opciones de configuración de la adquisición forense.

005

En esta ventana, tendremos opción de elegir el formato de salida del fichero de imagen, (por compatibilidad recomiendo el formato .dd). Podremos elegir si dividir el fichero de imagen del disco en otros más pequeños. Tendremos que elegir el directorio de salida, (a otro medio extraíble, recordad). Y tendremos que dar un nombre al fichero originado.

En lo referente al cálculo Hash y la verificación… ¿Tenemos prisa? NINGUNA. Por ello vamos a calcular los hashes en sus algoritmos MD5, (De este, realmente, se podría prescindir), en SHA-1 y SHA-256. Marcaremos la opción de releer el recurso después de la adquisición y marcaremos también la opción de verificar la imagen después de la adquisición.

Toda medida es poca para garantizar la integridad de la evidencia.

Cuando estemos seguros, clicaremos en el botón ‘Start’, que dará comienzo al proceso de adquisición.

006

Mientras se encuentra activo el proceso podemos observar la información del mismo, en la parte inferior de la ventana.

007

Y una vez que ha finalizado, lo veremos en el estado, con un aviso en verde, que nos dictará ‘Finished – Verified & ok’, y el progreso en el 100%.

008

Ahora podemos listar los ficheros generados, con

ls -l | grep ImagenDisco

009

Podemos ver, también, el fichero de información de la adquisicón.

Si queremos unir los ficheros posteriormente, para comenzar a trabajar con la imagen, basta con ejecutar

cat ‘/media/root/TOSHIBA EXT/ImagenDisco.000’ ‘/media/root/TOSHIBA EXT/ImagenDisco.001’ ‘/media/root/TOSHIBA EXT/ImagenDisco.002’ ‘/media/root/TOSHIBA EXT/ImagenDisco.003’ … > ‘/media/root/TOSHIBA EXT/ImagenDiscoUnida’

010

Que, entre otras, nos devuelve información del disco adquirido.

011

E información del proceso de adquisición.

012

Este fichero deberá de ser adjuntado al informe pericial correspondiente.

Vamos a ver ahora cómo realizar esta operación con ‘DD’, en modo local y en remoto.

Uso de DD en local

Para adquirir la imagen en bruto de un disco duro con ‘DD’ en modo local, basta con tipear en la consola

sudo dd conv=sync,noerror bs=64K if=/dev/sda | pv | dd ‘of=/media/marcos/TOSHIBA EXT/ImagenDiscoDuro.dd’

010

Con ‘sudo’ ejecutamos la utilidad con privilegios de administración, (es necesario).

dd llama a la utilidad.

conv=sync,noerror le dice a la utilidad que omita los errores del disco, (sectores defectuosos).

bs=64K establece la medida del bloque.

if=/dev/sda indica el disco o partición de origen, (input file).

pv es una utilidad para monitorizar el progreso, (de esta forma no tendremos que usar ‘time’.

dd vuelve a llamar a la utilidad

‘of=/media/marcos/TOSHIBA EXT/ ImagenDiscoDuro.dd’ le dice a la utilidad dónde tiene que escribir el fichero generado, (output file).

Uso de DD en remoto con NC, (Netcat)

Para adquirir la imagen en bruto de un disco duro con ‘DD’, en modo remoto con ‘NC’, (Netcat), lo primero que hay que saber es la IP de la máquina desde la que queramos trabajar, (en mi caso he elegido trabajar sobre la máquina de destino del fichero). Para ello ejecutamos

ifconfig

011

Hecho esto, levantamos la consola y tipeamos

nc -l -p 3333 | sudo dd ‘of=/media/marcos/TOSHIBA EXT/ImagenDiscoNC.dd'

013

nc –l –p 3333 llama a la utilidad y le dice que permanezca a la escucha de una conexión entrante en el puerto 3333

sudo eleva los privilegios, (es necesario)

dd llama a la utilidad

‘of=/media/marcos/TOSHIBA EXT/ImagenDiscoNC.dd’ indica la ubicación del fichero de salida. Este fichero, este disco externo, debe estar conectado en esta máquina, (por algo le indicamos que el fichero de salida lo genere ahí.

Ahora nos vamos a la máquina objeto de la extracción del disco.

En ella, tras levantar un terminal, tipeamos

sudo dd conv=sync,noerror bs=64K if=/dev/sda | pv | nc 192.168.1.39 3333

012

sudo eleva los privilegios, (es necesario).

dd llama a la utilidad

conv=sync,noerror le indica que ignore los errores del disco, (sectores defectuosos).

bs=64K establece la medida del bloque.

if=/dev/sda indica el disco o partición de origen.

pv es una utilidad para monitorizar el progreso, (de esta forma no tendremos que usar ‘time’.

nc 192.168.1.39 3333 indica llama a la utilidad Netcat y le indica que se conecte a la máquina con IP 192.168.1.39 a través del puerto 3333.

Uso de DD en remoto, a través de SSH, (1)

Para adquirir una imagen de un disco duro, a través del protocolo SSH, lo primero que hay que saber el la IP de la máquina con la que deseemos trabajar. Vamos a ver las dos formas, (desde la máquina objeto de la extracción y desde la máquina destino del fichero de imagen. Tipeamos

ifconfig

001

Es necesario, si no está levantado, iniciar el servicio SSH. Para ello escribimos

sudo service ssh start

002

Ahora nos vamos a la otra máquina y probamos la conexión, mandando 3 paquetes, con

ping -c 3 192.168.1.38

003

Si no tenemos problemas de conexión, podemos proceder con la extracción, mediante

ssh -p 22 marcos@192.168.1.38 “sudo dd if=/dev/sda | gzip -1 –“ | pv | dd ‘of=/media/marcos/TOSHIBA EXT/ImagenDiscoRemoto’

004

ssh –p 22 indica que queremos establecer conexión mediante este protocolo a través del puerto 22.

marcos@192.168.1.38 indica el nombre de usuario y el host de destino.

sudo eleva los privilegios de la utilidad que se llamará a continuación.

dd llama a la utilidad

if=/dev/sda indica el disco o partición objeto de la extracción.

gzip -1 – indica que queremos comprimir la imagen que se genere en ese nivel de compresión, (1).

pv es una utilidad para monitorizar el progreso, (de esta forma no tendremos que usar ‘time’).

dd vuelve a llamar a la utilidad

‘of=/media/marcos/TOSHIBA EXT/ImagenDiscoRemoto’ indica la ubicación del fichero de salida. Este fichero, este disco externo, debe estar conectado en esta máquina, (por algo le indicamos que el fichero de salida lo genere ahí.

Uso de DD en remoto, a través de SSH, (2)

La otra forma de realizar este proceso, es ejecutando la orden en la otra máquina.

Para ello, deberemos saber también su dirección IP, con

ifconfig

006

Volvemos a levantar el servicio SSH, mediante

sudo service ssh start

Después de esto, si desconocemos qué disco queremos extraer, podemos ejecutar

sudo fidisk -l

007

Realizamos una prueba de conexión entre ambas máquinas, enviando 3 paquetes, con

ping –c 3 192.168.1.39

008

Ahora procedemos a la adquisición del disco, mediante

sudo dd if=/dev/sda | gzip -1 - | pv | ssh -p22 marcos@192.168.1.39 dd ‘of=/media/marcos/TOSHIBA EXT/ImagenRemota’

009

sudo eleva los privilegios.

dd llama a la utilidad.

if=/dev/sda indica el disco o partición objeto de la extracción

gzip -1 indica que queremos comprimir el fichero originado en el nivel 1.

pv monitoriza el progreso de adquisición

ssh –p22 indica que queremos conectarnos a través del protocolo SSH y del puerto 22

marcos@192.168.1.39 indica el usuario y el host de la otra máquina.

dd vuelve a llamar a la utilidad

‘of=/media/marcos/TOSHIBA EXT/ImagenRemota’ indica la ruta donde se generará el archivo de imagen del disco.

Para terminar, SIEMPRE, SIEMPRE, SIEMPRE, sin limpiar la pantalla, (clear), listaremos ese fichero que hemos adquirido, calcularemos su firma digital, como mínimo con el protocolo SHA-1, y copiaremos ese fichero a otro medio extraíble. Para ello, escribimos

ls -l ‘/media/marcos/TOSHIBA EXT’ | grep ImagenDiscoRemoto
sha1sum ‘/media/marcos/TOSHIBA EXT/ImagenDiscoRemoto’
cp ‘/media/marcos/TOSHIBA EXT/ImagenDiscoRemoto’  ‘/media/marcos/TOSHIBA EXT/CopiaImagenDiscoRemoto’
ls -l ‘/media/marcos/TOSHIBA EXT’ | grep ImagenDiscoRemoto

005

Tras esto, realizamos una captura de pantalla, que será adjuntada al informe pericial correspondiente.

Hay más formas de adquirir una imagen de disco. Sólo os he mostrado algunas.

Con esto hemos terminado la fase de adquisición de evidencias.

Marcos @_N4rr34n6_