Exposicion Navegadores

INFORMATICA FORENSE

SOBRE NAVEGADORES WEB

Universidad de los Andes

Ingeniería de Sistemas y Computación

SAFE 5102

Aspectos Legales e Informática Forense

Expositores:

Wilmer Torres

Mauricio Castro

Edwin Mauricio Durán

Debido al aumento del uso de los equipos de cómputo y medios virtuales

para realizar conferencias, transacciones bancarias, envío de información

crítica y otras operaciones que se han convertido con el tiempo en

rutinarias y del día a día; algunos crímenes o acciones ilegales que utilizan

estos medios han crecido de manera proporcional y por consiguiente la

informática forense en los últimos años ha tomado gran importancia para la

investigación de la información que queda almacenada en los diferentes

medios.

Introducción

Navegadores

Internet Explorer

Firefox

Chrome

Safari

Internet Explorer (rip)

Fue el primer navegador WEB lanzado por Microsoft para su sistema operativo Windows

en 1995. Actualmente está en la versión 11 para los sistemas Windows 7 y 8, para los

sistemas operativos Windows anteriores se utiliza el IE versión 10.

El caché de navegación es la lista de sitios visitados recientemente (aunque no han sido

marcados como favoritos); es utilizada por la característica de Autocompletar para sugerir

URLs a medida que escribes en el navegador.

Internet Explorer

En la misma ubicación del sistema operativo podemos localizar la carpeta History la cual

contendrá el histórico de los sitios que el usuario seleccionado del equipo ha visitado

recientemente.

Internet Explorer

Navegadores

Internet Explorer

Firefox

Chrome

Safari

Firefox

• Mozilla Firefox es un navegador web

gratuito y open source desarrollado por la

fundación Mozilla.

• Está disponible para para Microsoft

Windows, OS X y GNU/Linux. Usa el

motor Gecko para renderizar páginas web,

el cual implementa actuales y futuros

estándares web.

Navegación anónima

• Este browser puede ser usado en modo

de navegación anónima sin embargo es

sabido que en las versiones 2 y Beta 3

Firefox revelaba el tiempo uptime de la

máquina en los paquetes "Client Hello"

SSL, lo que permitía al investigador

correlacionar tráfico anónimo y no

anónimo.

• Actualmente el bug ha sido corregido.

Historial

• Firefox 3 almacena el historial de sitios

visitados en un archivo llamado

places.sqlite. Este tipo de archivo usa el

formato de base de datos SQLite, el

fichero puede ser encontrado en las

siguientes rutas dependiendo del S.O.:

• Linux

/home/$USER/.mozilla/firefox/$PROFILE.default/places.sqlite

• MacOS-X

/Users/$USER/Library/Application

Support/Firefox/Profiles/$PROFILE.default/places.sqlite

• Windows XP

C:\Documents and Settings\%USERNAME%\Application

Data\Mozilla\Firefox\Profiles\%PROFILE %.default\places.sqlite

• Windows Vista, 7

C:\Users\%USERNAME%\AppData\Roaming\Mozilla\Firefox\Profile

s\%PROFILE%.default\places.sqlite

Tablas Principales

• moz_anno_attributes

• moz_annos

• moz_bookmarks

• moz_bookmarks_roots

• moz_favicons

• moz_historyvisits

• moz_hosts

• moz_inputhistory

• moz_items_annos

• moz_keywords

• moz_places

• sqlite_sequence

• sqlite_stat1

• Descargas

El hisorial de descatrgas se encuentra en un archivo

llamado downloads.sqlite, este se encuentra en la

misma ubicación del fichero places.sqlite

• Cache

El cache de Firefox contiene tanto metadatos como

datos, los cuales pueden ser de importancia forense

inmensa.

La ubicación del caché de navegación se encuentra en

los siguientes directorios de acuerdo al S.O.:

• Linux

/home/$USER/.mozilla/firefox/$PROFILE.default/Cache/

• MacOS-X

/Users/$USER/Library/Caches/Firefox/Profiles/$PROFILE.default/C

ache/

• Windows XP

C:\Documents and Settings\%USERNAME%\Local

Settings\Application Data\Mozilla\Firefox

\Profiles\%PROFILE%.default\Cache\

• Windows Vista, 7

• C:\Users\%USERNAME%\AppData\Local\Mozilla\Firefox\Profiles\%

PROFILE%.default\Cache\

• C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.def

ault\jumplistCache


ault\OfflineCache


ault\startupCache

Como ver el cache?

• about:cache

Contiene:

• Memoria caché

• Caché en disco

• Cache Offline

• Dando click en el listado se obtiene información forense importante

como:

• Key - la URL.

• Fetch count – Numero de veces accedida

• Last fetched – yyyy-mm-dd-hh:mm:ss.

• Last modified – yyyy-mm-dd-hh:mm:ss.

• Expires – yyyy-mm-dd-hh:mm:ss.

• Data size – tamaño del archivo

• Security - Si el dociumento tiene alguna información de seguridad

asociada a el

• Client – HTTP.

• Request method – Por ejemplo GET (puede no estar presente)

• Response head – HTTP, informacipon del servidor, etc. (puede o no

estar presente).

• Formato Hexa

Otros archivos importantes:

• search.sqlite

• signons.sqlite

• webappstore.sqlite

Navegadores

Internet Explorer

Firefox

Chrome

Safari

Google Chrome

Lanzo su primera versión al publico en general el 11 de

septiembre de 2008.

Es de los navegadores el mas reciente, pero su popularidad ha

crecido de manera exponencial por la gran cantidad de usuarios

que lo usan.

Esta disponible para los SO Microsoft Windows, Mac OS X,

Ubuntu, Debian, Fedora, openSUSE, Chrome y para moviles

Android y iOS.

Seguridad

Actualiza periódicamente dos listas negras (suplantación de

identidad y Software malicioso) y previene al usuario cuando

intenta visitar una pagina peligrosa.

Permite navegar en modo incognito, así la navegación en

internet sea con total privacidad porque no registra ninguna

actividad y borra los archivos temporales las cookies utilizadas.

Historial de navegación

En el sistema operativo Windows 8 se encuentra en la ruta:

C:\Users\Nombre cuenta\AppData\Local\Google\Chrome\User Data

Navegadores

Internet Explorer

Firefox

Chrome

Safari

Safari

Es un navegador WEB de código cerrado diseñado por Apple

Inc. Fue liberado en forma publica el 07 de Enero de 2003 y en

octubre de ese mismo año se convirtió en versión por defecto

para el MAC OS X.

Esta disponible para los SO iOS y Microsoft Windows (sin

soporte desde el 2012).

Seguridad

Permite navegar de forma privada, el navegador no mantiene el

historial de navegación y aísla cada pestaña de los demás sitios

web.

Impide la carga de sitios de internet fraudulentos y contra

aquellos que albergan software malicioso alertando al usuario.

Bloquea las cookies de los terceros de forma predeterminada

Historial de navegación

Es almacenado en un archivo binario llamado History.plist en el

directorio de cada usuario.

Este navegador utiliza diferentes ubicaciones para almacenar

diferentes tipos de información:

Directorio Usuario

MAC OS X:

/Users/$USER/Library/Safari/

Windows XP:

C:\Documents and

Settings\%USERNAME%\ApplicationData\AppleComputer\Safari\

Windows 7:

C:\Users\{user}\AppData\Roaming\AppleComputer\Safari\

Directorio cache

MAC OS X:

/Users/$USER/Library/Caches/com.apple.Safari/

Windows XP:

C:\Documents and Settings\%USERNAME%\Local

Settings\ApplicationData\AppleComputer\Safari\

Windows 7:

C:\Users\{user}\AppData\Local\AppleComputer\Safari\

Eliminación de cookies

Google Chrome

Se debe ingresar a la opción Historial


Se pueden escoger varias cookies o Borrar todo en datos de

navegación


Internet Explorer

En la pestaña de herramientas buscar la opción Eliminar el historial de

exploración


Escoger las opciones Cookies y datos del sitio web e Historial y clic en

Eliminar


Firefox

En la pestaña de herramientas buscar la opción Limpiar el historial

reciente


Escoger las opción Cookies y lo que se desee eliminar y clic en Limpiar

ahora


Safari

Escoger el botón historial y clic en borrar historial


Solicitara confirmación para borrar el historial y clic en Borrar

Herramientas para la extracción de

evidencia

BrowsingHistoryView

NetAnalysis

Dumpzilla y Mozcache

Pasco

Es una herramienta que permite leer los datos del histórico de 4 Navegadores

Web (Internet Explorer, Mozilla Firefox, Google Chrome y Safari) y muestra

estos datos de navegación en pantalla, mostrando las páginas visitadas en los

diferentes navegadores incluyendo la siguiente información: URL, titulo, fecha,

Navegador y perfiles de usuario. También permite exportar el reporte el

historial de navegación en diferentes archivos como csv / html / xml.

No requiere ningún proceso de instalación para poderla usar, por

defecto ofrece para cargar el historial de todos los navegadores web y

todos los perfiles de usuario de los últimos 10 días.

BrowsingHistoryView

https://www.youtube.com/watch?v=G8ZxLOq5kYM

BrowsingHistoryView

https://www.youtube.com/watch?v=G8ZxLOq5kYM

NetAnalysis

Es una aplicación para la extracción, análisis y presentación de

evidencia forense relacionada con navegadores de internet y actividad

de usuarios en sistemas computacionales y dispositivos móviles.

Esta herramienta incluye una solución de recuperación de datos

avanzada para recuperar elementos borrados del navegador.

NetAnalysis

CacheViewer y FoxAnalysis

Plus • CacheViewer: Provee una forma GUI para ver el about:cache

• FoxAnalysis Plus: Es un software para extraer, ver y analizar el historial de internet del

navegador.

• Con esta herramienta se puede realizar:

• Extraer el historial, bookmarks, cookies, descargas, entradas de formularios, logins, sesiones guardads y sitios

visitados

• Generar linea de tiempo de historial de navegación

• Ver imagenes almacenadas en caché, imagenes de sitios web y otros archivos almacenados por el navegador

• Filtrar palabras clave y fechas

• Generar reportes y exportar información

• Crear casos para análisis

• Recontrucción de páginas web (ver pagina como fue originalmente accedida)

Son herramientas desarrolladas en

Python. Con Dumpzilla se puede extraer

información sobre el funcionamiento / uso

del navegador y con MozCache se puede

explorar el contenido de la caché utilizada

por el navegador

Dumpzilla y Mozcache

Pasco es una herramienta Open Source que analiza los archivos en caché y

puede ser utilizada en los sistemas operativo Windows, Linux y MAC OsX. Utiliza

una interfaz por línea de comando y al recibir un archivo Index.dat, reconstruye

los registros, y devuelve la información en un archivo de formato de texto. Es

bastante práctico ya que exporta los datos en forma de un archivo en Excel.

Pasco

Los campos que nos muestra este programa son:

• El Tipo Record: Define si la actividad es una URL o una dirección URL que se

solicitó y se dirige a otro sitio.

• URL: El sitio actual que fue visitado por el usuario.

• Hora de modificación: El último cambio sufrido por el sitio.

• Tiempo de acceso: La vez que el usuario accede al sitio.

• Nombre: El nombre local del archivo que contiene una copiar la URL que aparece.

• Directorio: directorio local donde se puede encontrar el "Nombre de Archivo "arriba.

• Encabezados HTTP: Las cabeceras HTTP que el usuario recibida cuando fuimos a

la URL.

Pasco

Conclusiones Las aplicaciones de mayor uso alrededor del mundo probablemente sean los

navegadores, estos son utilizados por casi cualquier usuario que quiera acceder a

internet y por esto su importancia en la informática forense ya que con ellos se

encuentran pistas y evidencia no solamente a nivel de cibercrimen, sino también

crímenes penales, lo que hace casi que indispensable su análisis ante una

investigación que amerite conocer detalles sobre el actuar de un sospechoso en la

red.

Existe gran variedad de herramientas en el mercado tanto gratuitas como licenciadas

sin embargo como profesionales en Seguridad de la Información, lo mas importante

en el aspecto de análisis forense en navegadores es conocer los archivos, ficheros,

bases de datos, etc que dejan los diferentes clientes web para recopilarlos y llevar a

cabo un análisis profundo y exhaustivo de los mismos.

Gracias

Exposicion Navegadores

Documents

Transcript of Exposicion Navegadores