PDF de programación - Análisis E Implementación De Las Técnicas Anti-Forenses Sobre ZFS

Análisis E Implementación De Las
Técnicas Anti-Forenses Sobre ZFS



Jonathan Cifuentes Arias
Jeimy J. Cano, Ph.D., CFE



Motivación

> Crecimiento anual del 60% del universo



digital:



> Nuevo sistema de archivos ZFS (Solaris,


OpenSolaris, *Mac OS X ?)

> Limitadas fuentes de información. Primer



trabajo de investigación…



Objetivo General



los métodos anti-forenses
“Aplicar
sobre el sistema de archivos ZFS, que
comprometan la disponibilidad o la
utilidad de la evidencia digital sobre
éste.”



3

Justificación
Desafíos de la computación forense

Problemática Anti-forense



Tomado de: CANO, J. 2010 - Riesgos emergentes para los informáticos forenses. Retos y oportunidades. pag 15.

Objetivo #1



Estudiar el sistema de archivos ZFS,
con el ánimo de
las
estructuras de datos y los métodos de
almacenamiento
poder
identificar donde se aloja la evidencia.


conocer

para

5

Sistema De Archivos ZFS

> Sumas de comprobación

> Capacidad

> Grupos de almacenamiento (Pool)

> Auto-reparación

> Administración Simplificada

> Modelo de copia por escritura (COW)



6

Informática Forense En ZFS

> Open Solaris Forensics Tools Project

(2004)


> Digital forensic implications of ZFS



> ZFS On-Disk Data Walk - Max Bruning

• Modified mdb and zdb (x64)
• 64-bit version of rawzfs.so (not

tested...)



7

Realidad Anti-forense

Métodos anti-forenses según Ryan Harris:

8

Objetivo #2



“Plantear un modelo de aplicación de
técnicas anti-forenses para ZFS,
detallando el tipo de pruebas y
donde se aplican en dicho sistema de
archivos.”


9

Modelo Para Implementar Técnicas
Anti-forenses

Metodología propuesta en el proyecto:
“Consideraciones anti forenses en sistemas de archivos
HFS y HFS+”

Construir un
volumen de

prueba

Verificar la
información
del volumen

Modificar el

volumen

Verificar y
analizar el
resultado

Conclusiones

de los

resultados

10

Objetivo #3



Aplicar el modelo propuesto sobre el
sistema de archivos ZFS y presentar
algunas recomendaciones para los
investigadores en informática forense.


11

Aplicación Del Modelo Propuesto

 = ZFS es Vulnerable


 = ZFS Identifica la anomalía

12

• WIPING 

• Identificar dónde se encuentra

el archivo objetivo (Zdb y el
mdb).

• Sobrescribir el archivo (zero-

fill).



• Identificar trazas que deja el

archivo (root_dataset).

• Eliminar las trazas.

Destrucción de la
evidencia

13



• Slack space 

• FSB (“File System Blocks”) ajustan

dinámicamente el cluster. Por defecto esta en
128KB máximo.

• Slack space para archivos más pequeños que

el FSB 

• Slack space para archivos más grandes que

el FSB 

• Slack space ocupado de ceros
• Espacios reservados

• Boot Block 
• BlankSpace 

• Espacio no asignado 

Ocultar la
evidencia

14




• Deshabilitar el ZIL

(ZFS Intent Log) 

• Antes
• Después

Eliminación de la fuente

15

• Uberblock

• El campo “ub_timestamp” aloja la

marca de tiempo.

• uberblock activo 
• uberblock con un número de

grupo de transacción más bajo 

• Incriminar a una persona

específica 
• El campo “dn_bonus” del dnode

almacena: marcas de tiempo, tamaño,
propietario, privilegios de acceso.

Falsificación de la
evidencia

16

RECOMENDACIONES PARA LOS
INVESTIGADORES EN
INFORMÁTICA FORENSE


> Identificar el uberblock activo para verificar el

último acceso a los datos en un pool y si los
datos son consistentes.


> Verificar las sumas de comprobación.



> Verificar si el ZIL se encuentra deshabilitado.



17

> Revisar anomalías en los espacios reservados.

Trabajos Futuros


> Herramientas y metodologías para

realizar un análisis previo en un
proceso forense con ZFS


> Destrucción de la evidencia teniendo

en cuenta instantáneas y clones


> Falsificar atributos de un archivo



18

> Vulnerar sumas de comprobación



Referencias



John F Gantz et al. (2008, Marzo) The Diverse and Exploding Digital Universe: An Updated Forecast of
Worldwide Information Growth Through 2011. [Online]. http://www.emc.com/collateral/analyst-
reports/diverse-exploding-digital-universe.pdf [Ene 20, 2010]

Nicole Lang Beebe, Sonia D. Stacy, and Dane Stuckey, "Digital forensic implications of ZFS," Science
Direct, journal homepage: www.elsevier.com/locate/dii n, vol. 6, pp. S99-S107.

EMC Corporation. (2008) Crecimiento explosivo del Universo Digital. El nuevo fenómeno mundial: la
“Sombra Digital”. [Online]. http://argentina.emc.com/about/news/press/2008/20080311-01.htm [Sep 23,
2009]

Jeimy Cano. (2007) Inseguridad Informática y Computación Anti-forense: Dos Conceptos Emergentes en
Seguridad de la Información. [Online].
http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=44702&TEMPLATE=/ContentManage
ment/ContentDisplay.cfm [Oct 23, 2009]

Brian Carrier, File System Forensic Analysis, 1st ed.: Addison Wesley Professional, March 17, 2005.
Scott Berinato. (2007, June 08) Data Protection: The Rise of Anti-Forensics. [Online].
http://www.csoonline.com/article/221208/The_Rise_of_Anti_Forensics [Oct 26, 2009]

Ryan Harris, "Arriving at an anti-forensics consensus: Examining how to define and control the anti-
forensics problem," Science Direct, journal homepage: www.elsevier.com/locate/diin, vol. 3S, pp. S44-
S49, 2006.


19

Referencias



Rogers M. (2005) Anti-forensics. [Online]. http://www.cyberforensics.purdue.edu/ [Oct 28, 2009]

Sun Microsystems, Inc. (2008) Solaris™ ZFS. Better, safer way to manage your data. [Online].
http://www.opensolaris.com/learn/features/solariszfs.pdf [Oct 30, 2009]

Sun Microsystems, Inc, Solaris ZFS Administration Guide. Santa Clara, U.S.A, 2009.

Jeff Bonwick and Bill Moore. ZFS The Last Word In File Systems. [Online].
www.opensolaris.org/os/community/zfs [Oct 30, 2009]

Sun Microsystems, Inc. (2006) ZFS On-Disk Specification. [Online].
http://hub.opensolaris.org/bin/download/Community+Group+zfs/docs/ondiskformat0822.pdf [Oct 29,
2009]

Jeimy Cano. (2006) Introducción a la informática forense. [Online].
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf [May 16, 2010]

E Casey, Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.:
Academic Press, February 2000.

Andrew Li. Zettabyte File System Autopsy: Digital Crime Scene Investigation for Zettabyte File System.
[Online].
http://web.science.mq.edu.au/~rdale/teaching/itec810/2009H1/WorkshopPapers/Li_Andrew_FinalWorksh
opPaper.pdf [Dic 18, 2009]



20

Referencias



Evtim Batchev. (2007, Nov) PROPOSAL: Open Solaris Forensics Tools Project. [Online].
http://www.opensolaris.org/jive/thread.jspa?threadID=45379 [Nov 11, 2009]

Sun Microsystems, Inc. (2009) Project forensics: Forensic Tools. [Online].
http://hub.opensolaris.org/bin/view/Project+forensics/ [Dic 09, 2009]


Max Bruning, "ZFS On-Disk Data Walk (Or: Where's My Data)," in OpenSolaris Developer Conference,

Prague, 2008. [Online]. http://www.osdevcon.org/2008/files/osdevcon2008-max.pdf [Nov 11, 2009]
Max Bruning. (2008, August) Max Bruning's weblog: Recovering removed file on zfs disk. [Online].

http://mbruning.blogspot.com/2008/08/recovering-removed-file-on-zfs-disk.html [Nov 11, 2009]

Max Bruning, "ZFS On-Disk Data Walk (or: Where's my Data?)," 2008. [Online].



http://www.bruningsystems.com/osdevcon_draft3.pdf [Dic 9, 2009]

Andrew Li and Josef Pieprzky. Digital Crime Scene Investigation for Zettabyte File System. [Online].
http://web.science.mq.edu.au/~rdale/teaching/itec810/2009H1/WorkshopSlides/Session2RoomW6B338/05
_Li_Andrew_WorkshopSlides.pdf [Sep 23, 2009]

Jeimy Cano. (2007, Sept) Estrategias anti-forenses en informática: Repensando la computación forense.
[Online]. http://www.alfa-redi.org/rdi-articulo.shtml?x=9608 [Ene 22, 2010]

Sonny Discini. (2007, June) Antiforensics: When Tools Enable the Masses. [Online].
http://www.esecurityplanet.com/features/article.php/3685836/Antiforensics-When-Tools-Enable-the-
Masses.htm [Ene 20, 2010]



21

Referencias



Tom Van de Wiele. (2006, November) Uniskill – ICT Anti-Forensics. [Online].
http://www.bcie.be/Documents/BCIE_Training03_ICT_Anti-Forensics_291106_TVdW.pdf [Ene 22,
2010]
Jeimy Cano. Borrando archivos. Conceptos básicos sobre la dinámica del funcionamiento de los sistemas
de archivo. [Online]. http://www.virusprot.com/filesystems05.pdf [Ene 22, 2010]

grugq. (2004) The art of defiling: Defeating forensic analysis on Unix file systems. [Online].
http://www.packetstormsecurity.org/hitb04/hitb04-grugq.pdf [Ene 26, 2010]

BJ Bellamy. (2007, Mayo) Anti-Forensics and Reasons for Optimism. [Online].
http://www.nasact.org/conferences_training/nsaa/conferences/ITWorkshopConferences/2007ITWorkshop
Conference/PresentationsHandouts/bellamy.ppt [Ene 20, 2010]

Charles Williford. (2007, November) Computer Anti-Forensics. [Online].
http://www.fis.ncsu.edu/csd2007/Files/antiforensic.pdf [Ene 20, 2010]

Vincent Liu and Francis Brown. (2006, April) Bleeding-Edge Anti-Forensics. [Online].
http://www.metasploit.com/data/antiforensics/InfoSecWorld%202006-K2-
Bleeding_Edge_AntiForensics.ppt [Ene 29, 2010]

Vincent Liu and Patrick Stach. (2006, May) Defeating Forensic Analysis CEIC. [Online].
http://www.metasploit.com/data/antiforensics/CEIC2006-Defeating_Forensic_Analysis.pdf [Ene 28, 2010]



22

Referencias



Paul Henry. (2007, Oct) Anti - Forensics. [Online].
http://www.thetrainingco.com/pdf/Tuesday/Tuesday%20Keynote%20-%20Anti-Forensics%20-
%20Henry.pdf [Feb 2, 2010]

Carlos Enrique Nieto, Consideraciones an