exposicion navegadores
Post on 07-Jul-2016
243 Views
Preview:
DESCRIPTION
TRANSCRIPT
INFORMATICA FORENSE
SOBRE NAVEGADORES WEB
Universidad de los Andes
Ingeniería de Sistemas y Computación
SAFE 5102
Aspectos Legales e Informática Forense
Expositores:
Wilmer Torres
Mauricio Castro
Edwin Mauricio Durán
Debido al aumento del uso de los equipos de cómputo y medios virtuales
para realizar conferencias, transacciones bancarias, envío de información
crítica y otras operaciones que se han convertido con el tiempo en
rutinarias y del día a día; algunos crímenes o acciones ilegales que utilizan
estos medios han crecido de manera proporcional y por consiguiente la
informática forense en los últimos años ha tomado gran importancia para la
investigación de la información que queda almacenada en los diferentes
medios.
Introducción
Navegadores
Internet Explorer
Firefox
Chrome
Safari
Internet Explorer (rip)
Fue el primer navegador WEB lanzado por Microsoft para su sistema operativo Windows
en 1995. Actualmente está en la versión 11 para los sistemas Windows 7 y 8, para los
sistemas operativos Windows anteriores se utiliza el IE versión 10.
El caché de navegación es la lista de sitios visitados recientemente (aunque no han sido
marcados como favoritos); es utilizada por la característica de Autocompletar para sugerir
URLs a medida que escribes en el navegador.
Internet Explorer
En la misma ubicación del sistema operativo podemos localizar la carpeta History la cual
contendrá el histórico de los sitios que el usuario seleccionado del equipo ha visitado
recientemente.
Internet Explorer
Navegadores
Internet Explorer
Firefox
Chrome
Safari
Firefox
• Mozilla Firefox es un navegador web
gratuito y open source desarrollado por la
fundación Mozilla.
• Está disponible para para Microsoft
Windows, OS X y GNU/Linux. Usa el
motor Gecko para renderizar páginas web,
el cual implementa actuales y futuros
estándares web.
Navegación anónima
• Este browser puede ser usado en modo
de navegación anónima sin embargo es
sabido que en las versiones 2 y Beta 3
Firefox revelaba el tiempo uptime de la
máquina en los paquetes "Client Hello"
SSL, lo que permitía al investigador
correlacionar tráfico anónimo y no
anónimo.
• Actualmente el bug ha sido corregido.
Historial
• Firefox 3 almacena el historial de sitios
visitados en un archivo llamado
places.sqlite. Este tipo de archivo usa el
formato de base de datos SQLite, el
fichero puede ser encontrado en las
siguientes rutas dependiendo del S.O.:
• Linux
/home/$USER/.mozilla/firefox/$PROFILE.default/places.sqlite
• MacOS-X
/Users/$USER/Library/Application
Support/Firefox/Profiles/$PROFILE.default/places.sqlite
• Windows XP
C:\Documents and Settings\%USERNAME%\Application
Data\Mozilla\Firefox\Profiles\%PROFILE %.default\places.sqlite
• Windows Vista, 7
C:\Users\%USERNAME%\AppData\Roaming\Mozilla\Firefox\Profile
s\%PROFILE%.default\places.sqlite
Tablas Principales
• moz_anno_attributes
• moz_annos
• moz_bookmarks
• moz_bookmarks_roots
• moz_favicons
• moz_historyvisits
• moz_hosts
• moz_inputhistory
• moz_items_annos
• moz_keywords
• moz_places
• sqlite_sequence
• sqlite_stat1
• Descargas
El hisorial de descatrgas se encuentra en un archivo
llamado downloads.sqlite, este se encuentra en la
misma ubicación del fichero places.sqlite
• Cache
El cache de Firefox contiene tanto metadatos como
datos, los cuales pueden ser de importancia forense
inmensa.
La ubicación del caché de navegación se encuentra en
los siguientes directorios de acuerdo al S.O.:
• Linux
/home/$USER/.mozilla/firefox/$PROFILE.default/Cache/
• MacOS-X
/Users/$USER/Library/Caches/Firefox/Profiles/$PROFILE.default/C
ache/
• Windows XP
C:\Documents and Settings\%USERNAME%\Local
Settings\Application Data\Mozilla\Firefox
\Profiles\%PROFILE%.default\Cache\
• Windows Vista, 7
• C:\Users\%USERNAME%\AppData\Local\Mozilla\Firefox\Profiles\%
PROFILE%.default\Cache\
• C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.def
ault\jumplistCache
• C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.def
ault\OfflineCache
• C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.def
ault\startupCache
Como ver el cache?
• about:cache
Contiene:
• Memoria caché
• Caché en disco
• Cache Offline
• Dando click en el listado se obtiene información forense importante
como:
• Key - la URL.
• Fetch count – Numero de veces accedida
• Last fetched – yyyy-mm-dd-hh:mm:ss.
• Last modified – yyyy-mm-dd-hh:mm:ss.
• Expires – yyyy-mm-dd-hh:mm:ss.
• Data size – tamaño del archivo
• Security - Si el dociumento tiene alguna información de seguridad
asociada a el
• Client – HTTP.
• Request method – Por ejemplo GET (puede no estar presente)
• Response head – HTTP, informacipon del servidor, etc. (puede o no
estar presente).
• Formato Hexa
Otros archivos importantes:
• search.sqlite
• signons.sqlite
• webappstore.sqlite
Navegadores
Internet Explorer
Firefox
Chrome
Safari
Google Chrome
Lanzo su primera versión al publico en general el 11 de
septiembre de 2008.
Es de los navegadores el mas reciente, pero su popularidad ha
crecido de manera exponencial por la gran cantidad de usuarios
que lo usan.
Esta disponible para los SO Microsoft Windows, Mac OS X,
Ubuntu, Debian, Fedora, openSUSE, Chrome y para moviles
Android y iOS.
Seguridad
Actualiza periódicamente dos listas negras (suplantación de
identidad y Software malicioso) y previene al usuario cuando
intenta visitar una pagina peligrosa.
Permite navegar en modo incognito, así la navegación en
internet sea con total privacidad porque no registra ninguna
actividad y borra los archivos temporales las cookies utilizadas.
Historial de navegación
En el sistema operativo Windows 8 se encuentra en la ruta:
C:\Users\Nombre cuenta\AppData\Local\Google\Chrome\User Data
Navegadores
Internet Explorer
Firefox
Chrome
Safari
Safari
Es un navegador WEB de código cerrado diseñado por Apple
Inc. Fue liberado en forma publica el 07 de Enero de 2003 y en
octubre de ese mismo año se convirtió en versión por defecto
para el MAC OS X.
Esta disponible para los SO iOS y Microsoft Windows (sin
soporte desde el 2012).
Seguridad
Permite navegar de forma privada, el navegador no mantiene el
historial de navegación y aísla cada pestaña de los demás sitios
web.
Impide la carga de sitios de internet fraudulentos y contra
aquellos que albergan software malicioso alertando al usuario.
Bloquea las cookies de los terceros de forma predeterminada
Historial de navegación
Es almacenado en un archivo binario llamado History.plist en el
directorio de cada usuario.
Este navegador utiliza diferentes ubicaciones para almacenar
diferentes tipos de información:
Directorio Usuario
MAC OS X:
/Users/$USER/Library/Safari/
Windows XP:
C:\Documents and
Settings\%USERNAME%\ApplicationData\AppleComputer\Safari\
Windows 7:
C:\Users\{user}\AppData\Roaming\AppleComputer\Safari\
Directorio cache
MAC OS X:
/Users/$USER/Library/Caches/com.apple.Safari/
Windows XP:
C:\Documents and Settings\%USERNAME%\Local
Settings\ApplicationData\AppleComputer\Safari\
Windows 7:
C:\Users\{user}\AppData\Local\AppleComputer\Safari\
Eliminación de cookies
Google Chrome
Se debe ingresar a la opción Historial
Eliminación de cookies
Se pueden escoger varias cookies o Borrar todo en datos de
navegación
Eliminación de cookies
Internet Explorer
En la pestaña de herramientas buscar la opción Eliminar el historial de
exploración
Eliminación de cookies
Escoger las opciones Cookies y datos del sitio web e Historial y clic en
Eliminar
Eliminación de cookies
Firefox
En la pestaña de herramientas buscar la opción Limpiar el historial
reciente
Eliminación de cookies
Escoger las opción Cookies y lo que se desee eliminar y clic en Limpiar
ahora
Eliminación de cookies
Safari
Escoger el botón historial y clic en borrar historial
Eliminación de cookies
Solicitara confirmación para borrar el historial y clic en Borrar
Herramientas para la extracción de
evidencia
BrowsingHistoryView
NetAnalysis
Dumpzilla y Mozcache
Pasco
Es una herramienta que permite leer los datos del histórico de 4 Navegadores
Web (Internet Explorer, Mozilla Firefox, Google Chrome y Safari) y muestra
estos datos de navegación en pantalla, mostrando las páginas visitadas en los
diferentes navegadores incluyendo la siguiente información: URL, titulo, fecha,
Navegador y perfiles de usuario. También permite exportar el reporte el
historial de navegación en diferentes archivos como csv / html / xml.
No requiere ningún proceso de instalación para poderla usar, por
defecto ofrece para cargar el historial de todos los navegadores web y
todos los perfiles de usuario de los últimos 10 días.
BrowsingHistoryView
https://www.youtube.com/watch?v=G8ZxLOq5kYM
BrowsingHistoryView
NetAnalysis
Es una aplicación para la extracción, análisis y presentación de
evidencia forense relacionada con navegadores de internet y actividad
de usuarios en sistemas computacionales y dispositivos móviles.
Esta herramienta incluye una solución de recuperación de datos
avanzada para recuperar elementos borrados del navegador.
NetAnalysis
NetAnalysis
CacheViewer y FoxAnalysis
Plus • CacheViewer: Provee una forma GUI para ver el about:cache
• FoxAnalysis Plus: Es un software para extraer, ver y analizar el historial de internet del
navegador.
• Con esta herramienta se puede realizar:
• Extraer el historial, bookmarks, cookies, descargas, entradas de formularios, logins, sesiones guardads y sitios
visitados
• Generar linea de tiempo de historial de navegación
• Ver imagenes almacenadas en caché, imagenes de sitios web y otros archivos almacenados por el navegador
• Filtrar palabras clave y fechas
• Generar reportes y exportar información
• Crear casos para análisis
• Recontrucción de páginas web (ver pagina como fue originalmente accedida)
Son herramientas desarrolladas en
Python. Con Dumpzilla se puede extraer
información sobre el funcionamiento / uso
del navegador y con MozCache se puede
explorar el contenido de la caché utilizada
por el navegador
Dumpzilla y Mozcache
Pasco es una herramienta Open Source que analiza los archivos en caché y
puede ser utilizada en los sistemas operativo Windows, Linux y MAC OsX. Utiliza
una interfaz por línea de comando y al recibir un archivo Index.dat, reconstruye
los registros, y devuelve la información en un archivo de formato de texto. Es
bastante práctico ya que exporta los datos en forma de un archivo en Excel.
Pasco
Los campos que nos muestra este programa son:
• El Tipo Record: Define si la actividad es una URL o una dirección URL que se
solicitó y se dirige a otro sitio.
• URL: El sitio actual que fue visitado por el usuario.
• Hora de modificación: El último cambio sufrido por el sitio.
• Tiempo de acceso: La vez que el usuario accede al sitio.
• Nombre: El nombre local del archivo que contiene una copiar la URL que aparece.
• Directorio: directorio local donde se puede encontrar el "Nombre de Archivo "arriba.
• Encabezados HTTP: Las cabeceras HTTP que el usuario recibida cuando fuimos a
la URL.
Pasco
Conclusiones Las aplicaciones de mayor uso alrededor del mundo probablemente sean los
navegadores, estos son utilizados por casi cualquier usuario que quiera acceder a
internet y por esto su importancia en la informática forense ya que con ellos se
encuentran pistas y evidencia no solamente a nivel de cibercrimen, sino también
crímenes penales, lo que hace casi que indispensable su análisis ante una
investigación que amerite conocer detalles sobre el actuar de un sospechoso en la
red.
Existe gran variedad de herramientas en el mercado tanto gratuitas como licenciadas
sin embargo como profesionales en Seguridad de la Información, lo mas importante
en el aspecto de análisis forense en navegadores es conocer los archivos, ficheros,
bases de datos, etc que dejan los diferentes clientes web para recopilarlos y llevar a
cabo un análisis profundo y exhaustivo de los mismos.
Gracias
top related