El problema



Descargar 356.41 Kb.
Página1/10
Fecha de conversión29.03.2018
Tamaño356.41 Kb.
  1   2   3   4   5   6   7   8   9   10

Pontificia Universidad Javeriana

Consideraciones anti forenses HFS y HFS+




Consideraciones ANTI FORENSES en sistemas de archivos HFS y HFS+

Carlos Enrique Nieto Lara


http://pegasus.javeriana.edu.co/~CIS0710SD01


PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA INGENIERÍA DE SISTEMAS

Bogotá D.C.,

21 de Julio de 2007

Consideraciones Anti forenses en sistemas de archivos HFS y HFS+

Autor

Carlos Enrique Nieto Lara



Trabajo de Grado presentado para optar el título de Ingeniero de Sistemas

Director:

Jeimy José Cano

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA INGENIERÍA DE SISTEMAS

Bogotá D.C.,

21 de Julio de 2007


PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

Rector Magnífico: Padre Gerardo Remolina Vargas S.J.

Decano Académico Facultad de Ingeniería: Ingeniero Francisco Javier Rebolledo Múñoz.

Decano del Medio Universitario Facultad de Ingeniería: Padre Sergio Bernal Restrepo S.J.

Director Carrera de Ingeniería de Sistemas: Ingeniero Luis Carlos Días Chaparro.

Director Departamento de Ingeniería de Sistemas: Ingeniero Germán Alberto Chavarro Flórez.



Notas de aceptación.

Jeimy José Cano Martínez



Director del Proyecto

________________________________________

Andrés González Santos



Jurado

________________________________________

Nelson Gómez de la Peña



Jurado

________________________________________

Julio 2009

Artículo 23 de la Resolución No. 1 de Junio de 1946

La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el anhelo de buscar la verdad y la Justicia


Tabla de contenidos


Consideraciones ANTI FORENSES en sistemas de archivos HFS y HFS+ 1

Consideraciones Anti forenses en sistemas de archivos HFS y HFS+ 2

Tabla de contenidos 6

Resumen ejecutivo 9

Introducción. 11

El problema. 11



Estudio base de la investigación 11

Pregunta de investigación y objetivos 12

Importancia de la investigación 12

REVISIÓN DE LITERATURA 14

Geometría del disco. 16

Los sistemas de archivos. 18



Características HFS+ 19

Conceptos Generales. 19

Versiones de HFS +. 23

Representación de archivos – Forks. 24

Estructuras internas. 24

Definición del problema antiforense. 31

Las técnicas anti forenses 31



Destruir evidencia: 32

Ocultar evidencia: 32

Eliminar la fuente de evidencia: 32

Falsificar evidencia: 32

Clasificación de estructuras del sistema de archivos. 33



Categorías. 33

Categorías aplicadas a HFS+ 40

Consideraciones sobre los datos y metadatos. 47

Implementando tecnicas ANTI FORENSES en HFS+. 48

Introducción. 48

Metodología empleada 48

Técnicas anti forenses. 51



Ocultando información. 51

Eliminando información. 61

Falsificando pistas. 63

Evitando crear evidencia. 69

Técnica implementada: Desactivar el journal. 69

Recomendaciones para los investigadores en informatica forense 71

Identificar correctamente una partición HFS+ 71

Prestar atención al montaje de los dispositivos. 74

Atributos extendidos de archivo. 75



Trabajos futuros. 76

Las redes neuronales y el análisis forense. 76

SleuthKit y HFS+. 76

Spotligth: Metadatos al alcance. 76



Conclusiones. 78

ANEXOS 81

Revisión del volumen previo a modificaciones. 81



Información general del encabezado del volumen. 81

Información de los archivos especiales. 82

Análisis Finder 90

Glosario. 91

BIBLIOGRAFÍA 92




Abstract

El presente documento investigativo aplica los principios de las técnicas anti forenses al sistema de archivos HFS+, buscando develar vulnerabilidades existentes y brindar a los investigadores informáticos forenses recomendaciones que permitan detectar actividades delictivas que puedan servir como evidencia durante un proceso legal.


Abstract

This research paper applies the principles of the Anti-forensic techniques to a HFS+ file system, seeking to uncover vulnerabilities and provide computer forensic investigators, recommendations to detect criminal activities that can serve as evidence in legal proceedings.


Resumen ejecutivo
Con el paso del tiempo y medida que la información empieza a tomar un papel protagónico en la sociedad, comienza a ser cada vez más común, el tener en cuenta en cualquier tipo de investigación la evidencia digital como herramienta para ayudar a esclarecer los hechos.

Casi al mismo tiempo que los métodos usados para la recolección y análisis de la evidencia han ido evolucionando, también lo han hecho las técnicas para evitarlos. Esta guerra en que los atacantes usan métodos cada vez más sofisticados para evadir o entorpecer el proceso investigativo, también conocidos como técnicas anti forenses, ha logrado, en opinión de muchos investigadores [CANO2007] elevar y mejorar los niveles de seguridad, partiendo de la generación de inseguridad para lograr seguridad.

Un eslabón que puede ser vulnerado y que normalmente posee información valiosa para un proceso investigativo, es el sistema de archivos de un sistema operativo. Esta pieza clave, a pesar de los grandes avances que se han logrado en los últimos años, tiene sus limitaciones y contiene información que debe ser interpretada de múltiples formas. HFS y HFS+ al igual que muchos de los sistemas de archivos de última generación guarda en su interior, una estructura rica en características tanto estructurales como forenses (meta datos), pero, con la gran diferencia que el trabajo investigativo forense en este campo ha sido mucho menor, como lo demuestran publicaciones como el libro “File System Forensic Analysis” escrito por Brian Carrier donde se analiza en profundidad varios sistemas de archivos con un enfoque orientado a investigaciones forenses, en el cual se revisa tangencialmente el sistema de archivos de Apple.

Teniendo en cuenta todo lo dicho anteriormente y analizando detalladamente los trabajos que hasta el momento existen en esta rama, se logra develar una clara oportunidad investigativa que pueda aportar no solo a la comunidad científica, sino también a futuros trabajos forenses, así como al desarrollo de futuras herramientas de software para dichos análisis.


Objetivo general
Realizar una investigación detallada, sobre el sistema de archivos HFS/HFS+, donde se identifiquen fallas o falencias de seguridad que puedan se explotadas por un intruso para entorpecer o evitar una investigación forense generando como resultado, una serie de sugerencias o soluciones a dichas fallas, caracterizar en el sistema de archivos la presencia de las mismas y orientar a los investigadores forenses sobre los detalles y análisis a realizar sobre este tipo de sistema de archivos.
Objetivos específicos


  • Apropiarse del conocimiento sobre la construcción general de un sistema de archivos.

  • Conocer a detalladamente la manera como se explotan las características de un sistema de archivos.

  • Conocer en profundidad la manera como está construido el sistema de archivos HFS/HFS+

  • Aplicar los conocimientos conseguidos para buscar vulnerabilidades en el sistema de archivos que es objeto de estudio, siguiendo las consideraciones recientes sobre técnicas anti forenses.

  • Proponer soluciones y orientaciones a los investigadores forenses al revisar sistemas de archivo HFS y HFS+ y cómo se materializan las técnicas anti forenses.




Compartir con tus amigos:
  1   2   3   4   5   6   7   8   9   10


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal