Informe Pericial informtico

Ecuador, 30 de Noviembre del 2011 1. ANTECEDENTES. En nuestra calidad de peritos informticos nosotros Ing. Rosa Mara Das Brito y Diego Izquierdo de la corte penal del Ecuador y a peticin del Ingeniero Catedrtico Roberto Martnez de la materia de Computacin forense dictada en le Escuela Superior Politcnica del Litoral (ESPOL), venimos a efectuar un Informe Tcnico Forense de un ROUTER BX08546PB3000ESL79L con el fin de determinar posibles accesos de intrusos y personas no autorizadas a la configuracin del ROUTER. 2. INTRODUCCIN: El presente informe peritaje tiene como objetivos: a) Determinar el o los posibles usuarios del ROUTER. b) Determinar los antecedentes de utilizacin. c) Determinar los diferentes comandos generados asta la fecha en la configuracin del ROUTER. d) Emitir un reporte de todos los accesos contenidos asta la fecha por parte de los programadores del ROUTER. e) Emitir un reporte de imgenes que comprometan al ROUTER que ha sido vulnerado. Para cumplir con dichos objetivos se realiz el anlisis pertinente con las herramientas especializadas en CAINE al ROUTER Vyatta S00JJ20X980958. El hash del ROUTER analizados es 85D2057CBAD32BC78FADA275C1AB0D4.

3. DESCRIPCIN DEL OBJETO DE ANLISIS: 3.1.1 El ROUTER Vyatta Core 6.1 de las siguientes caractersticas:  Layer 2 Bridging / Cloud Bridging  Stateful Firewall/NAT Failover  LLDP Link Layer Discovery Protocol  QoS Input Interfaces  Port Mirroring and Redirection  BGP Hop Count Security  DHCPv6  IPv6 BGP  IPv6 SNMP  GTSM BGP  More Than 120 Bug Fixes Vyatta Subscription Edition  IPv6 Ready Logo Phase 2 Certification  Configuration Replication  Remote Access API Enhancements  TACACS+ Enhancements 4. ACTIVIDADES REALIZADAS Y SUS RESULTADOS. Tras el minucioso estudio de la informacin almacenada en el ROUTER, teniendo un especial cuidado con la informacin voltil se ha intervenido para la adquisicin de pruebas, en donde se ha analizado los resultados obtenidos con el fin de extraer las conclusiones finales de la investigacin. Con el fin de obtener acceso al ROUTER se procedi a pedir permiso para visualizar cual es la direccin IP. Para ello se utilizo el comando Show interface. Obteniendo los siguientes datos: Ethernet IP: 192.168.67.142

Luego se procedi a utilizar la herramienta de LINUX CAINE 2.5. Desde donde se tuvo ingreso al ROUTER utilizando una conexin remota. Al tener ingreso al ROUTER se procedi a utilizar solo instrucciones que no contaminen la evidencia del Equipo. Teniendo los siguientes resultados: Al utilizar algunos comandos de consulta se puede observar. vyatta@vyatta:~$ show history 33 2011-11-28T02:03:41+0000 set service https 34 2011-11-28T02:03:46+0000 commit 35 2011-11-28T02:03:55+0000 save 36 2011-11-28T02:04:00+0000 exit 37 2011-11-28T02:04:00+0000 exit 38 2011-11-28T02:04:13+0000 show interface 39 2011-11-28T02:04:36+0000 show interfaces 40 2011-11-28T02:07:43+0000 logout 41 2011-11-28T02:14:59+0000 configure 42 2011-11-28T02:15:55+0000 set system login user john fullname "John Smith" 43 2011-11-28T02:18:54+0000 commit 44 2011-11-28T02:19:16+0000 show system login 45 2011-11-28T02:22:17+0000 logout 46 2011-11-28T02:22:25+0000 john 47 2011-11-28T02:22:54+0000 exit 48 2011-11-28T02:22:54+0000 exit vyatta@vyatta:~$ show arp Address HWtype HWaddress Flags Mask 192.168.67.143 ether 00:0c:29:16:ef:3c C 192.168.67.141 ether 00:0c:29:16:ef:3c C 192.168.67.2 ether 00:50:56:e5:e7:ec C 192.168.67.254 ether 00:50:56:e7:77:b8 C

Iface eth0 eth0 eth0 eth0

vyatta@vyatta:~$ show configuration interfaces {

ethernet eth0 { address dhcp hw-id 00:0c:29:23:09:24 } loopback lo { } } service { https { } ssh { } } system { config-management { commit-revisions 20 } console { device ttyS0 { speed 9600 } } login { user john { authentication { encrypted-password **************** plaintext-password **************** } full-name "John Smith" } user vyatta { authentication { encrypted-password **************** } level admin } } ntp {

server 0.vyatta.pool.ntp.org { } server 1.vyatta.pool.ntp.org { } server 2.vyatta.pool.ntp.org { } } package { repository community { components main distribution stable url http://packages.vyatta.com/vyatta } } syslog { global { facility all { level notice } facility protocols { level debug } } } }

5. Conclusiones Al acceder al ROUTER a travs herramientas de tecnologa forense informtica, podemos observar a todos los usuarios registrados y permitidos, con una excepcin del usuario John Smith quien no tiene registro de trabajar en la compaa. Este usuario con conocimientos avanzados, ingreso en el ROOUTER realizando las siguientes configuraciones y cambios desde una mquina externa. Con la direccin IP. 192.168.67.2. Luego de ello se observa que para intentar cubrir sus delitos encripto la clave de acceso de usuario. Por lo tanto, con las pruebas pertinentes se demuestra que fue vulnerado la seguridad del ROUTER 85D2057CBAD32BC78FADA275C1AB0D4. Es todo cuanto este departamento de Forense Informtica puede manifestar en honor a la verdad.

Ing. Rosita Das Palacios

DIRECTORA DEL DEPARTAMENTO DE FORENSE INFORMTICO

Ing. Diego Izquierdo Coronel

FORENSE INFORMTICO