Analisis forense
Transcript of Analisis forense
1
Análisis Forense InformáticoAnálisis Forense Informático
Lic. Julio C. ArditaLic. Julio C. Arditajardita@[email protected]
17 de Mayo de 2004Buenos Aires - ARGENTINA
© 2004 CYBSEC S.A.
2
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
TemarioTemario
- Análisis Forense Informático.
- Preservación de la evidencia.
- Metodología de Análisis Forense Informático.
- Formas de almacenamiento – Imágenes.
- Análisis Forense Windows – Linux.
3
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
0500
10001500200025003000350040004500
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
20
03
(E
st)
Vulnerabilities Reported
VulnerabilitiesReported
Source: CMU Computer Emergency Response Team
Las vulnerabilidades están creciendo
4
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Crecimiento de incidentes
020000400006000080000
1000001200001400001600001800001989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
20
03
(E
st)
Network Incidents Reported
NetworkIncidentsReported
Source: CMU Computer Emergency Response Team
5
¿Qué son los delitos informáticos?
Son actos criminales en los cuales se encuentran involucrados las computadoras.
1. Delitos directamente contra computadoras.2. Delitos donde la computadora contiene evidencia.3. Delitos donde la computadora es utilizada para cometer el crimen.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
6
¿Vale la pena investigar incidentes de seguridad?
¿Qué es lo máximo que se puede lograr?
¿Cuál es el la política de una Compañía ante un incidente?
Tiempo en el que se produce el incidente: 1 hora.
Tiempo requerido para el análisis del mismo: 20 horas.© Estimaciones FBI - 2001
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
7
Evidencia Digital
La evidencia computacional es única, cuando se la compara con otras formas de “evidencia documental”.
A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.
Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
8
AnAnáálisis Forense Informlisis Forense Informááticotico
“Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)
La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
9
Parte del proceso judicialen relación alanálisis forenseinformático
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Proceso general
1. Surge un pedido desde un juzgado.
2. Se elabora un Plan (Inteligencia).
3. Se realiza el proceso de “secuestro de evidencia”.
4. Se realizan copias – Cadena de custodia.
5. Se realiza el análisis.
6. Se escribe y presenta el reporte.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
11
¿Por qué el análisis Forense?
Esclarecer actos criminales.
Leyes locales.
Leyes globales (Sarbanes-Oxley, etc).
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
12
Problemas jurisdiccionales
¿El hecho donde ocurrió?
¿El intruso donde se encuentra?
¿El país donde ocurrió posee legislación?
¿El país donde estamos posee legislación?
¿Dónde se juzga el hecho?
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
13
¿Porque la evidencia es tan importante?
En la vida real, la evidencia es TODO.
Se utiliza para establecer hechos.
Permite relacionar los diferentes eventos.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
14
Metodología utilizadaMetodología utilizada
El primer paso es identificar qué computadora puede contener evidencia, reconociendo la frágil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. Una verdadera imagen espejada es una copia sector a sector de la unidad original investigada.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
15
Metodología utilizadaMetodología utilizada
El tercer paso es analizar la imagen copia de la original, buscandola evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
16
Identificar la evidencia
¿Qué tipo de información esta disponible?
¿Cómo la podemos “llevar” de forma segura?.
¿Qué puede formar parte de la evidencia?
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
17
Discos rígidos.- Archivos de SWAP.- Archivos temporales.- Espacio no asignado en el disco.- Espacio File-Slack.
Memoria y procesos que se encuentran ejecutando.Diskettes, CD-ROMS, DVD’s, ZIP, Jaz, Tapes.Archivos de logs.Backups.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
18
• DOS/Windows almacena archivos en clusters.• DOS/Windows escribe al disco en bloques de 512 bytes
llamados sectores.• Los clusters estan compuestos de un número de sectores.
• Son creados cuando se escriben archivos al disco.• RAM Slack – Buffer de la memoria.• Disk Slack – Contenido anterior del bloque.
File Data File SlackCluster 1 Last Cluster
File Data RAM Slack Disk Slack
Sector 1 Last Sector
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
19
Preservar la evidencia
Se debe tratar de no realizar ningun cambio sobre la misma.Se deben registrar y justificar todos los cambios.Realizar un by-pass del sistema operativo y crear por “fuera”un backup de toda la evidencia.Las copias duplicadas deben ser escritas en otro disco rígido oCD-ROM.Se debe realizar una documentación de todo el proceso de lageneración de imagenes.Se deben autenticar todos los archivos e imágenes utilizadascon hashes MD5 o SHA1.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
20
Disk to be Imaged
Image File
First SectorLast Sector
¿Cómo preservar la evidencia?
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
21
Orden de volatilidad
Se debe preservar la evidencia más vólatil al principio:
– Registros, caches, memoria de perifericos.– Memoria (kernel, física)– Estado de las conexiones de red.– Procesos que se están ejecutando.– Discos rígidos.– Diskettes, archivos de backups– CD-ROMs, impresiones.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
22
Analizar la evidencia
Se debe extraer la información, procesarla e interpretarla.
Extraerla producirá archivos binarios.
Procesarla generará información entendible.
Interpretarla es la parte más importante del proceso.
El proceso debe poder re-hacerse y producir el mismoresultado.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
23
Presentar la evidencia
A la empresa, abogados, la corte, etc.La aceptación de la misma dependerá de:
Forma de presentación.Antecedentes y calificación de la persona que realizó el análisis.La credibilidad del proceso que fue utilizado para la preservación y análisis de la evidencia.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
24
Cadena de custodia
• ¿Quién ha accedido a la evidencia?• ¿Qué procedimientos se han seguido mientras se trabajaba
con la evidencia?• ¿Cómo podemos demostrar que nuestro análisis se realizó
sobre copias idénticas del original?.• Respuesta: Documentación, firmas digitales, hashes,
timestamps, etc.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
25
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Formas de almacenamiento en dispositivos informáticos
Discos rígidos.Diskettes.CD-ROM’s.ZIP drive.Tape backups.Dispositivos USB (Discos virtuales).Memory Sticks – Cámaras de fotos.PDA’s.
26
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Formas de almacenamiento en dispositivos informáticos
Discos rígidos - Particiones
- Linux - FDISKDevice Boot Start End Blocks Id System/dev/hda1 1 62 497983+ 82 Linux swap/dev/hda2 63 2494 19535040 83 Linux
Linux:~# fdisk
Usage: fdisk [-l] [-b SSZ] [-u] deviceE.g.: fdisk /dev/hda (for the first IDE disk)
or: fdisk /dev/sdc (for the third SCSI disk)or: fdisk /dev/eda (for the first PS/2 ESDI drive)or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices)...
Linux:~# fdisk /dev/hda
27
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Formas de almacenamiento en dispositivos informáticos
Diskettes.
Baja utilización de diskettes de 3 ½. y 5 ¼.
Poca capacidad – 1.440Kbytes (3 ½).
Acceso a la información.
28
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Formas de almacenamiento en dispositivos informáticos
CR-ROMS.
Amplia utilización.
Difusión masiva.
Elevada capacidad – 650 – 700 Mb.
Formatos estándares.
29
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Formas de almacenamiento en dispositivos informáticos
ZIP Disks (una nueva unidad).
Tape Backups.
Memorias vía USB (una nueva unidad).
Memory Sticks
(Cámaras fotográficas).
30
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Formas de almacenamiento en dispositivos informáticos
PDA’s.
Memoria de la Agenda.
31
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Imágenes
Todo se debe llevar a imágenes para luego poder ser analizadas
IMAGEN
32
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
Procedimiento de
Identificación y Preservación
de la Evidencia
33
PC PCPC
DialupNAT
Modems
TelCo
TerminalServerAuth
Server
RED Interna
DHCP
SistemaVictima
Lanzamientodel Ataque
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
¿Dónde esta la evidencia?
34
¿Dónde está la evidencia?
En la computadora origen del intruso
En el sistema telefónico
Los logs del sistema de validación del acceso remoto.
En las redes internas.
En la computadora de la victima.
En la computadora que se utilizó para lanzar el ataque.
Pensar acerca del evento y determinar donde puede existirevidencia.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
35
¿Qué significa la evidencia?
Requiere tener un conocimiento general profundo.Como la evidencia es creada.Se puede “falsificar”.Que información se puede perder.Que puede estar mal.
- Caso log UNIX wtmp – Acceso de usuarios.- Caso DHCP – Asignación de direcciones.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
36
Documentar la Escena
¿SecuestrarVolatiles?
CapturarVolátiles
¿Es necesario Investigar?
¿HacerImágenes?
Apagar
¿Por qué?
HacerImágenes
En el Laboratorio, comenzar la fase
de Análisis.
InvestigarON-SITENO
NONO
SI
SI
SI
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
37
¿Llevar la evidencia vólatil?
La evidencia vólatil es aquella que desaparecerá rápido, comoser conexiones activas de red, procesos en la memoria,archivos abiertos, etc.
Lo que se haga, técnicamente va a afectar la evidencia.Ejecutar el comando ps en UNIX sobreescribirá partes de la memoria.
Se puede sobreescribir la historia de comandos.
Se pueden afectar las fechas de acceso a los archivos.
Existe el riesgo de programas “troyanos”.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
38
¿Qué llevar?
Memoria, swap y contenido de directorios temporales.
Conexiones de red actuales, puertos abiertos, interfaces
promiscuas, archivos relacionados con los puertos.
Procesos, archivos abiertos por los procesos.
- En lo posible se debe utilizar herramientas seguras paraanalizar el sistema.
- Se deben utilizar herramientas conocidas y ampliamenteutilizadas.
- Herramientas propias en un CD-ROM, diskette, USB Drive.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
39
WINHEX
Editor de discos, memorias, procesos.
Posee muchos usos en informática forense (Clonación de discos, Captura de RAM, búsqueda de archivos ocultos, etc).
Puede entrar en un diskette.
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
40
© 2004 CYBSEC S.A.
Análisis Forense Informático Análisis Forense Informático
WINHEX
Capturar la memoria RAM.