Toma de evidencias de servicios de Internet

En noviembre del 2014 publicamos la Guía de Toma de Evidencias en entornos Windows cuyo público objetivo eran profesionales del sector informático: técnicos de soporte IT, administradores de sistemas, administradores de redes, analistas de malware, etc., que pese a tener conocimientos informáticos sólidos habitualmente no están familiarizados con el proceso de análisis forense digital. El documento pretendía ser una guía práctica de los pasos a seguir en el caso de que surja un incidente con el fin de recopilar las evidencias necesarias para realizar un posterior análisis que derive en una solución para el propio incidente.

La guía utiliza como base la RFC 32271 «Guidelines for Evidence Collection and Archiving» o «Directrices para la Recopilación de Evidencias y su Almacenamiento» y se centra en la toma de evidencias a nivel local. Sin embargo, hay algunos incidentes que requieren obtener también otro tipo de evidencias principalmente relacionadas con servicios online como pueden ser: redes sociales, servicios de almacenamiento en nube, servicios de mensajería, etc. Este tema, en algunos casos, tiene también una relación directa con la obtención de inteligencia en fuentes abiertas u «Open Source Intelligence» (OSINT) y el proceso de Information Gathering. Sin embargo, en esta ocasión se enfoca desde el punto de vista de la toma de evidencias para la resolución de un incidente.

Es por ello que en el presente artículo se indican una serie de pautas que pueden servir de utilidad para la obtención de evidencias de diferentes servicios de Internet,en el caso de que sea necesario. Es importante tener en cuenta que la información a la que se hace referencia es accesible por tener acceso físico al dispositivo, pero que puede haber información adicional de interés que esté en el lado del servidor y a la que obviamente no se tiene acceso. En el caso de requerirla debe ser solicitada a través de los canales oficiales cumpliendo para ello los requisitos establecidos por el servicio como puede ser la elaboración de un escrito, una orden judicial, etc.

Información de servicios de Google

Google cuenta con más de 1.000 millones de usuarios y ofrece multitud de servicios online que abarcan un gran número de temáticas: desde el propio buscador hasta Google Earth, Google Play, Youtube, etc. es por ello que merece un apartado propio.

Como parte fundamental de su modelo de negocio y con el fin de proveer de una mejor experiencia a los usuarios recopilan multitud de información, siendo esta de interés en muchos incidentes relacionados con la seguridad.

A continuación se indican algunos ejemplos:

• Configuración de una cuenta

  Para consultar la configuración de una cuenta se debe acceder al siguiente enlace: https://myaccount.google.com. Desde esa página se puede consultar información de interés como: los dispositivos que han estado activos en la cuenta durante los últimos 28 días o que están conectados actualmente, dispositivos móviles asociados, listado de contactos, etc. Así mismo, es posible exportar gran cantidad de información de los servicios de Google utilizados por el usuario de la cuenta accediendo para ello al siguiente enlace https://www.google.com/settings/takeout?pli=1.

  

  Como se puede observar la información obtenida incluye desde los ficheros almacenados en Google Drive, las fotos subidas en Google Fotos, todo el correo electrónico de GMAIL, etc. Es por ello que se debe tener presente que el proceso puede requerir bastante tiempo, pero dependiendo del tipo de incidente puede ser de gran utilidad.

• Panel de control de Google

  Permite acceder a información similar que la indicada en el punto anterior junto con el listado de contactos, el historial de ubicaciones, las aplicaciones instaladas en un dispositivo móvil asociado a la cuenta, los permisos que tienen ciertas aplicaciones sobre la cuenta, etc. Se puede acceder a través del siguiente enlace: https://www.google.com/settings/dashboard

• Historial de la cuenta

  Incluye entre otras cosas las búsquedas realizadas a través del buscador, lugares visitados, videos buscados o vistos en Youtube, etc. y puede ser consultada en el siguiente enlace: https://www.google.com/settings/accounthistory

Redes sociales (Facebook, Twitter, etc.)

Las redes sociales son uno de los servicios online más utilizados por los usuarios. Ante la necesidad de sociabilizar, un aspecto inherente a la condición humana, se tiende en mayor o menor medida a utilizarlas en algunos casos mediante un uso responsable y en otros casos no tanto. Es por ello que la información almacenada en las mismas puede resultar de interés.

Para obtener dicha información es posible utilizar los mecanismos de exportación que incorporan algunas de ellas, en el caso de tener acceso a las mismas como se presenta en el contexto actual del artículo, o herramientas especialmente diseñadas para ello. En el artículo OSINT - La información es poder se mencionan varias como Creepy, OSINTStalker, Tinfoleak, etc.

• Facebook

  Facebook es la red social de uso mayoritario, más de 1.200 millones de usuarios, de ahí su potencial como fuente de información. En el caso de tener acceso a la cuenta, es posible exportar la información de esta red social a través del siguiente enlace: https://www.facebook.com/settings?tab=account, mediante la opción «Descarga una copia de tu información.». La copia incluye multitud de información de la cuenta como:

  • Todas las sesiones activas almacenadas, con inclusión de la fecha, la hora, el dispositivo, la dirección IP y la información sobre el navegador y las cookies del dispositivo.
  • Lista de las direcciones IP desde las que se ha iniciado sesión en la cuenta.
  • Direcciones de correo electrónico que se han añadido a la cuenta (incluso las que han eliminado).
  • Historial de las conversaciones que se han mantenido en el chat de Facebook.
  • Personas que han sido eliminadas de la lista de amigos.

  Si no se tiene acceso es posible utilizar alguna de las herramientas anteriormente mencionadas como por ejemplo OSINTStalker.

• Twitter

  Twitter es un servicio con más de 255 millones de usuarios activos y en el que se generan anualmente más de 200.000 millones de tweets. En el caso de tener acceso a la cuenta, es posible acceder a la información de la cuenta a través del siguiente enlace: https://analytics.twitter.com o desde https://twitter.com/settings/account pulsando el botón «Solicitar archivo de Twitter».

  Si no se tiene acceso a la cuenta se puede utilizar la API pública de Twitter. Dicha infraestructura permite obtener gran cantidad de información adicional, como se puede observar en su documentación, que puede resultar de interés.

  A modo de ejemplo, se muestra el siguiente código a partir del cual se pueden obtener los últimos 1.400 tweets de una cuenta junto con el número de veces que han sido marcados como favoritos o retweeteados.

  

  Con el fin de simplificar la operativa es posible utilizar alguna de las herramientas como por ejemplo Tinfoleak, aunque pese a ser bastante completa quizá se requiera extraer alguna información que no esté implementada en la utilidad y sea necesario usar la API.

Servicios de Nube (Dropbox, Mega, OneDrive, etc.)

Los servicios de nube permiten tener accesible la información desde cualquier ubicación y a través de múltiples dispositivos con el consiguiente beneficio. Pueden suponer una fuente de información notable y por lo que en cierto tipo de incidentes puede ser de utilidad su obtención y análisis. A diferencia de las redes sociales, donde gran cantidad de la información de las cuentas es pública y accesible, en este caso se requiere acceso mediante los credenciales.

• Dropbox

  En el siguiente enlace https://www.dropbox.com/account/security se pueden visualizar las sesiones iniciadas y los dispositivos y aplicaciones vinculadas a la cuenta.

• Mega

  En el siguiente enlace https://mega.io/#fm/account/history es posible consultar las sesiones iniciadas, el historial de compras y el historial de transacciones.

• OneDrive

  En el siguiente enlace https://account.microsoft.com/devices?lang=es-es se muestran los dispositivos vinculados a la cuenta y en https://account.live.com/Activity?mkt=es-ES la actividad reciente: IP desde la que se ha accedido, dispositivo / plataforma utilizada y fecha / hora de acceso.

Servicios de mensajería (Gmail, Outlook, Yahoo, etc.)

• Gmail

  Es posible exportar la información correspondiente a Gmail (emails, contactos, etc.) siguiendo los pasos indicados en el apartado de Información de servicios de Google.

• Outlook

  Para consultar la actividad reciente de la cuenta se realiza igual manera que en el caso de OneDrive, a través del siguiente enlace: https://account.live.com/Activity?mkt=es-ES. Para poder consultar la configuración de seguridad y por tanto ciertos aspectos relevantes como los dispositivos de confianza o si está activada la autenticación en dos pasos se puede consultar el siguiente enlace: https://account.live.com/proofs/Manage?mkt=es-ES.

  Por otra parte, es posible exportar los contactos de la cuenta a través del siguiente enlace: https://people.live.com/?success=true pulsando en la opción «Administrar» «Exportar».

• Yahoo

  Para consultar la actividad reciente de la cuenta se puede hacer a través del siguiente enlace: https://login.yahoo.com/account/activity.