Analisis forense

1

Análisis Forense InformáticoAnálisis Forense Informático

Lic. Julio C. ArditaLic. Julio C. Arditajardita@[email protected]

17 de Mayo de 2004Buenos Aires - ARGENTINA

© 2004 CYBSEC S.A.

2

© 2004 CYBSEC S.A.

Análisis Forense Informático Análisis Forense Informático

TemarioTemario

- Análisis Forense Informático.

- Preservación de la evidencia.

- Metodología de Análisis Forense Informático.

- Formas de almacenamiento – Imágenes.

- Análisis Forense Windows – Linux.

3

© 2004 CYBSEC S.A.


0500

10001500200025003000350040004500

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

20

03

(E

st)

Vulnerabilities Reported

VulnerabilitiesReported

Source: CMU Computer Emergency Response Team

Las vulnerabilidades están creciendo

4

© 2004 CYBSEC S.A.


Crecimiento de incidentes

020000400006000080000

1000001200001400001600001800001989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

20

03

(E

st)

Network Incidents Reported

NetworkIncidentsReported

Source: CMU Computer Emergency Response Team

5

¿Qué son los delitos informáticos?

Son actos criminales en los cuales se encuentran involucrados las computadoras.

1. Delitos directamente contra computadoras.2. Delitos donde la computadora contiene evidencia.3. Delitos donde la computadora es utilizada para cometer el crimen.

© 2004 CYBSEC S.A.


6

¿Vale la pena investigar incidentes de seguridad?

¿Qué es lo máximo que se puede lograr?

¿Cuál es el la política de una Compañía ante un incidente?

Tiempo en el que se produce el incidente: 1 hora.

Tiempo requerido para el análisis del mismo: 20 horas.© Estimaciones FBI - 2001

© 2004 CYBSEC S.A.


7

Evidencia Digital

La evidencia computacional es única, cuando se la compara con otras formas de “evidencia documental”.

A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.

Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.

© 2004 CYBSEC S.A.


8

AnAnáálisis Forense Informlisis Forense Informááticotico

“Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)

La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.

© 2004 CYBSEC S.A.


9

Parte del proceso judicialen relación alanálisis forenseinformático

© 2004 CYBSEC S.A.


Proceso general

1. Surge un pedido desde un juzgado.

2. Se elabora un Plan (Inteligencia).

3. Se realiza el proceso de “secuestro de evidencia”.

4. Se realizan copias – Cadena de custodia.

5. Se realiza el análisis.

6. Se escribe y presenta el reporte.

© 2004 CYBSEC S.A.


11

¿Por qué el análisis Forense?

Esclarecer actos criminales.

Leyes locales.

Leyes globales (Sarbanes-Oxley, etc).

© 2004 CYBSEC S.A.


12

Problemas jurisdiccionales

¿El hecho donde ocurrió?

¿El intruso donde se encuentra?

¿El país donde ocurrió posee legislación?

¿El país donde estamos posee legislación?

¿Dónde se juzga el hecho?

© 2004 CYBSEC S.A.


13

¿Porque la evidencia es tan importante?

En la vida real, la evidencia es TODO.

Se utiliza para establecer hechos.

Permite relacionar los diferentes eventos.

© 2004 CYBSEC S.A.


14

Metodología utilizadaMetodología utilizada

El primer paso es identificar qué computadora puede contener evidencia, reconociendo la frágil naturaleza de los datos digitales.

La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. Una verdadera imagen espejada es una copia sector a sector de la unidad original investigada.

© 2004 CYBSEC S.A.


15

Metodología utilizadaMetodología utilizada

El tercer paso es analizar la imagen copia de la original, buscandola evidencia o información necesaria.

Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.

© 2004 CYBSEC S.A.


16

Identificar la evidencia

¿Qué tipo de información esta disponible?

¿Cómo la podemos “llevar” de forma segura?.

¿Qué puede formar parte de la evidencia?

© 2004 CYBSEC S.A.


17

Discos rígidos.- Archivos de SWAP.- Archivos temporales.- Espacio no asignado en el disco.- Espacio File-Slack.

Memoria y procesos que se encuentran ejecutando.Diskettes, CD-ROMS, DVD’s, ZIP, Jaz, Tapes.Archivos de logs.Backups.

© 2004 CYBSEC S.A.


18

• DOS/Windows almacena archivos en clusters.• DOS/Windows escribe al disco en bloques de 512 bytes

llamados sectores.• Los clusters estan compuestos de un número de sectores.

• Son creados cuando se escriben archivos al disco.• RAM Slack – Buffer de la memoria.• Disk Slack – Contenido anterior del bloque.

File Data File SlackCluster 1 Last Cluster

File Data RAM Slack Disk Slack

Sector 1 Last Sector

© 2004 CYBSEC S.A.


19

Preservar la evidencia

Se debe tratar de no realizar ningun cambio sobre la misma.Se deben registrar y justificar todos los cambios.Realizar un by-pass del sistema operativo y crear por “fuera”un backup de toda la evidencia.Las copias duplicadas deben ser escritas en otro disco rígido oCD-ROM.Se debe realizar una documentación de todo el proceso de lageneración de imagenes.Se deben autenticar todos los archivos e imágenes utilizadascon hashes MD5 o SHA1.

© 2004 CYBSEC S.A.


20

Disk to be Imaged

Image File

First SectorLast Sector

¿Cómo preservar la evidencia?

© 2004 CYBSEC S.A.


21

Orden de volatilidad

Se debe preservar la evidencia más vólatil al principio:

– Registros, caches, memoria de perifericos.– Memoria (kernel, física)– Estado de las conexiones de red.– Procesos que se están ejecutando.– Discos rígidos.– Diskettes, archivos de backups– CD-ROMs, impresiones.

© 2004 CYBSEC S.A.


22

Analizar la evidencia

Se debe extraer la información, procesarla e interpretarla.

Extraerla producirá archivos binarios.

Procesarla generará información entendible.

Interpretarla es la parte más importante del proceso.

El proceso debe poder re-hacerse y producir el mismoresultado.

© 2004 CYBSEC S.A.


23

Presentar la evidencia

A la empresa, abogados, la corte, etc.La aceptación de la misma dependerá de:

Forma de presentación.Antecedentes y calificación de la persona que realizó el análisis.La credibilidad del proceso que fue utilizado para la preservación y análisis de la evidencia.

© 2004 CYBSEC S.A.


24

Cadena de custodia

• ¿Quién ha accedido a la evidencia?• ¿Qué procedimientos se han seguido mientras se trabajaba

con la evidencia?• ¿Cómo podemos demostrar que nuestro análisis se realizó

sobre copias idénticas del original?.• Respuesta: Documentación, firmas digitales, hashes,

timestamps, etc.

© 2004 CYBSEC S.A.


25

© 2004 CYBSEC S.A.


Formas de almacenamiento en dispositivos informáticos

Discos rígidos.Diskettes.CD-ROM’s.ZIP drive.Tape backups.Dispositivos USB (Discos virtuales).Memory Sticks – Cámaras de fotos.PDA’s.

26

© 2004 CYBSEC S.A.



Discos rígidos - Particiones

- Linux - FDISKDevice Boot Start End Blocks Id System/dev/hda1 1 62 497983+ 82 Linux swap/dev/hda2 63 2494 19535040 83 Linux

Linux:~# fdisk

Usage: fdisk [-l] [-b SSZ] [-u] deviceE.g.: fdisk /dev/hda (for the first IDE disk)

or: fdisk /dev/sdc (for the third SCSI disk)or: fdisk /dev/eda (for the first PS/2 ESDI drive)or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices)...

Linux:~# fdisk /dev/hda

27

© 2004 CYBSEC S.A.



Diskettes.

Baja utilización de diskettes de 3 ½. y 5 ¼.

Poca capacidad – 1.440Kbytes (3 ½).

Acceso a la información.

28

© 2004 CYBSEC S.A.



CR-ROMS.

Amplia utilización.

Difusión masiva.

Elevada capacidad – 650 – 700 Mb.

Formatos estándares.

29

© 2004 CYBSEC S.A.



ZIP Disks (una nueva unidad).

Tape Backups.

Memorias vía USB (una nueva unidad).

Memory Sticks

(Cámaras fotográficas).

33

PC PCPC

DialupNAT

Modems

TelCo

TerminalServerAuth

Server

RED Interna

DHCP

SistemaVictima

Lanzamientodel Ataque

© 2004 CYBSEC S.A.


¿Dónde esta la evidencia?

34

¿Dónde está la evidencia?

En la computadora origen del intruso

En el sistema telefónico

Los logs del sistema de validación del acceso remoto.

En las redes internas.

En la computadora de la victima.

En la computadora que se utilizó para lanzar el ataque.

Pensar acerca del evento y determinar donde puede existirevidencia.

© 2004 CYBSEC S.A.


35

¿Qué significa la evidencia?

Requiere tener un conocimiento general profundo.Como la evidencia es creada.Se puede “falsificar”.Que información se puede perder.Que puede estar mal.

- Caso log UNIX wtmp – Acceso de usuarios.- Caso DHCP – Asignación de direcciones.

© 2004 CYBSEC S.A.


36

Documentar la Escena

¿SecuestrarVolatiles?

CapturarVolátiles

¿Es necesario Investigar?

¿HacerImágenes?

Apagar

¿Por qué?

HacerImágenes

En el Laboratorio, comenzar la fase

de Análisis.

InvestigarON-SITENO

NONO

SI

SI

SI

© 2004 CYBSEC S.A.


37

¿Llevar la evidencia vólatil?

La evidencia vólatil es aquella que desaparecerá rápido, comoser conexiones activas de red, procesos en la memoria,archivos abiertos, etc.

Lo que se haga, técnicamente va a afectar la evidencia.Ejecutar el comando ps en UNIX sobreescribirá partes de la memoria.

Se puede sobreescribir la historia de comandos.

Se pueden afectar las fechas de acceso a los archivos.

Existe el riesgo de programas “troyanos”.

© 2004 CYBSEC S.A.


38

¿Qué llevar?

Memoria, swap y contenido de directorios temporales.

Conexiones de red actuales, puertos abiertos, interfaces

promiscuas, archivos relacionados con los puertos.

Procesos, archivos abiertos por los procesos.

- En lo posible se debe utilizar herramientas seguras paraanalizar el sistema.

- Se deben utilizar herramientas conocidas y ampliamenteutilizadas.

- Herramientas propias en un CD-ROM, diskette, USB Drive.

© 2004 CYBSEC S.A.


39

WINHEX

Editor de discos, memorias, procesos.

Posee muchos usos en informática forense (Clonación de discos, Captura de RAM, búsqueda de archivos ocultos, etc).

Puede entrar en un diskette.

© 2004 CYBSEC S.A.


Analisis forense

Documents

Transcript of Analisis forense