bitcoin prize

"VERIFICANDO INTEGRIDAD DE ARCHIVOS PARA COMPUTO FORENSE CON POWERSHELL"

"VERIFICANDO INTEGRIDAD DE ARCHIVOS PARA COMPUTO FORENSE CON POWERSHELL"
una de las herramientas con las que mas contamos ala hora de hacer nuestras actividades como profesionales de la seguridad es a las terminales y lineas de comandos,  muchas veces no contamos con poderosas herramientas con GUI avanzadas dependiendo de los entornos donde nos toque laborar,  pero una cosa que debemos procurar siempre en cualquier labor es a los comandos,  pues de ultima instancia seran estos,  los que al final del dia nos salven de una interesante coartada,  ahora bien cambiando un poco nuestra perspectiva del tema,  dentro del computo forense ya sea para una cadena de custodia o para que sea valido frente a diferentes pruebas de validez en un tribunal de justicia de una manera un poco tecnica,    la integridad es de los conceptos mas importantes dentro de las pruebas e investigaciones que se realizan dentro del computo forense,   una cosa si es verdad y lo voy a redescrubrir aqui mismo que es la validez misma de la integridad ,  la integridad viene siendo entonces como huellas o pistas que van dejando los usuarios o atacantes dentro del mismo entorno donde se produjo o se produjeron los incidentes de seguridad,  sea este entorno del tamaño que sea y sin importar la ubicacion misma,  una herramienta super poderosa que viene integrado desde el sistema operativo windows 10 en todas sus versiones actuales y futuras.
por otro lado,  las grandiosas formulas magicas y criptograficamente conocidas como hashes son numeros de larga cantidad de x variables valores de una sola entrada y de una forma de irreversibilidad,  esto quiere decir que dadas unos parametros iniciales y una formula matematica que usa los valores inciales dentro de la ecuacion de la formula  para dar con el resultado final de esta "irreversibilidad"  pero hay una vulneraabilidad que existe dentro de  estas poderosas funciones matematicas son las llamadas colisiones , estas colisiones podrian efectuar que dos hashes tengan el mismo valor,  esto varia dependiendo de la fortaleza o debilidad de las funciones matematicas,  se estima que el md5 es el protocolo criptografico que mas debilidades tiene en cuanto a colisiones mateamticas,  mientras que los demas como puden ser sha256 la posibilidaid de encontrarse con una colision es de 0.0000001%  un valor casi nulo matematicamente hablando.
vamos a comprobar la integridad dentro de un archivo, cambiaremos el contenido para ver que es lo que sucede una vez realizado esto mismo.
la siguiente imagen muestra como es una funcion matematica hasheada como se le suele decir en computacion:

como podemos ver en la anterior imagen la mas minima perturbacion dentro del contenido del archivo o de los datos perturba en cierta medida el resultado completo de la funcion hash.
realizaremos un caso practico en el que crearemos un archivo vacio recien creado,  como  vemos en la imagen, el archivo no tiene ningun contenido.
una vez hecho esto vamos a verificar el hash y despues meteremos contenido en el y volveremos a verificar el hash para revisar la integridad.

ahora procederemos a verificar la integridad con un especial comando de powershell llamado Get-FileHash que extrae la integridad de ciertos archivos o un conjunto de archivos ,  ademas acepta multiples atributos como el algoritmo criptografico que deseamos utilizar para nuestras pruebas de integridad asi como el tipo de datos a efectuar.
en la imagen se observa el hash unico que resulto de tal archivo vacio de texto.
ahora volveremos al mismo archivo y le pondremos contenido haber que es lo que resulta en el hash despues.
volvemos a las propiedades de dicho archivo para checar los cambios correspondientes al fichero y al tamaño,  asi como entre otros valores importantes del archivo.
podemos verificar que el texto que hemos añadido correspondiente a una cadena de texto como "hola" pesa 5 bytes , podemos verificar los datos de creacion asi como de modificacion y el ultimo acceso que se tuvo a estos mismos.
ahora mismo regresamos a powershell con Get-FileHash y el atributo --Algorithm sha256 el mismo que utilizamos anteriormente para verificar la integridad del archivo cuando este se encontraba vacio.
podemos verificar que el simple "hola"  ha perturbado la entrada y la salida del valor unico hash,  es por esto mismo que esto es ultra importante para computo forense en donde la integridad es una de las cosas mas valiosas que se tienen que cuidar para evitar la contaminacion de las evidencias digitales,  una evidencia contaminada es una evidencia o datos digitales que ya no son utilizables en un caso real de investigacion,  sea cual sea el caso sin excepcion.
saludos y que tengan un feliz fin de año!
Stuxnet


REFERENCIAS Y ENLACES TECNICOS:
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-6
https://es.wikipedia.org/wiki/Función_hash

0 comments:

Publicar un comentario

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más