Locard y Red TOR 1

FORENSE A TOR – I: Preliminares

  Todos los que nos dedicamos al mundo de la Forense Informática sabemos en qué consiste el denominado “Principio de Intercambio”, o “Principio de Locard”, postulado en 1928 por el Dr. Edmund Locard, médico, abogado y criminólogo considerado por muchos como el padre de la criminología y responsable indiscutible de los protocolos forenses policiales.

 

  Como todos sabemos igualmente, el Principio de Intercambio viene a decir que “siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. El legado que dejó Locard ha sido fundamental a la hora de resolver casos de toda índole criminal; pero lo que nunca se habría imaginado es que un postulado tan antiguo como el suyo encajara como un guante en los casos de cibercriminalidad.

  A lo largo de varios artículos -y utilizando como base este importante principio-, voy a explicaros cómo toda acción acaba dejando un rastro, una secuela. Y qué mejor que hacerlo con el navegador TOR y el asalto a su anonimato.

  Definamos el campo de actuación: no es objeto de este estudio interceptar paquetes de datos entre conexiones TOR, ni montar MitM’s, ni nada que se le parezca. En nuestro caso, lo que queremos es saber qué rastros deja la instalación de TOR en nuestras máquinas, y si igualmente queda constancia de navegación en alguna parte. Lo que se pretende es generar un protocolo de cosas comunes que podemos encontrarnos y dónde, de tal forma que estas “transferencias de material”, puedan ser posteriormente buscadas en otros equipos.

onion

  Para ello, lo primero que vamos a hacer es recolectar el material que vamos a necesitar, antes de meternos al asunto. Es imprescindible tener montada una máquina virtual, ya sea con VmWare, o VirtualBox, o con cualquier otro entorno que nos guste más. Una vez instalada esta aplicación montaremos un Windows, un Linux y un Mac Os/X para, mediante el uso de diferentes técnicas, encontrar los rastros que de la instalación/ejecución puedan haberse transferido al sistema operativo. Huelga decir que lo que habrá que hacer primero será “clonar”, cada sistema operativo una vez terminada la instalación y antes de empezar a hacer nada, para poder así disponer siempre de una máquina “limpia”, desde la que poder empezar desde cero.

  En este caso empezaremos nuestra forense a TOR con una máquina virtual en la que tenemos montado un Windows 10 Pro. Vamos a utilizar las siguientes herramientas (gratuitas), para nuestra forense, de las que iremos hablando en sucesivos capítulos. Las listamos a continuación:

  • RegShot: con la que haremos un backup de nuestro registro de Windows, antes y después de la instalación para que, una vez instalado/ejecutado TOR, podamos saber qué cosas se han creado, modificado y/o eliminado en Windows.
  • ProcessMonitor: para comprobar qué procesos de sistema intervienen (o son anulados), durante nuestras pruebas.
  • WireShark: para monitorizar la red y ver (otra cosa es que lo entendamos), el tráfico de información que se genera, desde el comienzo de la instalación.
  • Paragón Backup: para poder hacer un Backup de algunos ficheros de sistema que, de no ser de esta forma, no podríamos copiar a otros dispositivos, por estar utilizados por el S. Operativo.
  • RamCapturer: para capturar el contenido de la memoria Ram del sistema.
  • HxD: un lector de código hexadecimal.
  • TorBrowser: Obvio. Es nuestro objeto de estudio.

  Mediante los posteriores estudios que iremos publicando en SpiderBond, pretendemos demostrar que, aunque se haya podido desinstalar TOR (o mejor dicho, eliminar, pues no tiene desinstalación), y borrar cachés, ficheros temporales, etc, siempre quedará un rastro de su paso por nuestro equipo: el famoso intercambio o transferencia de material, postulado por nuestro “Sherlock Holmes francés”, hace ya casi 100 años. Estad atentos, porque, enseguida, os explicamos cómo hacerlo.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Co-Director del Tïtulo Propio “Derecho Tecnológico e Informática Forense”, impartido por la UnEx dtif.unex.es

Profesor en el “Máster de Abogacía Digital”, impartido por la USAL

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected] 

One comment on “Locard y Red TOR

  1. Pingback: Forense TOR en Windows - El Blog del Perito Informático Forense

Leave a Reply