Download Análisis Forense - Angel Alonso Parrizas

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
Document related concepts
no text concepts found
Transcript 
Versió
Versión 1.0
Análisis Forense
12 Enero 2005
Curso de Análisis Forense - TISSAT- 2
ÍNDICE
Parte teórica
• Análisis Forense
• Respuesta a Incidentes
• Motivación
• Evidencias
• El Proceso Forense
Parte Práctica
• Herramientas
• Análisis de un caso REAL
Curso de Análisis Forense - TISSAT- 3
Análisis Forense
Definición de Análisis Forense
• Respuesta a Incidentes
Sinónimos: Cyberforensics, Forensic Analysis, Forensics,
Computer Forensics, and Digital Forensics
DFRWS 2001: Digital Forensic Science
The use of scientifically derived and proven methods
toward the preservation, collection, validation,
identification, analysis, interpretation, documentation
and presentation of digital evidence derived from digital
sources for the purpose of facilitating or furthering the
reconstruction of events found to be criminal, or helping
to anticipate unauthorized actions shown to be disruptive
to planned operations
Curso de Análisis Forense - TISSAT- 4
Respuesta a Incidentes
La Respuesta a Incidentes
• Empecemos por el principio….¿Qué es un Incidente?
Algunos tipos de incidentes:
• Compromisos de integridad
• Uso no autorizado
• Denegación de servicio
• Daños
• Intrusiones
Curso de Análisis Forense - TISSAT- 5
Respuesta a Incidentes
El proceso :
Preparación
Identificación
Análisis Forense
Recuperación
Seguimiento
Curso de Análisis Forense - TISSAT- 6
Necesidad de Métodos Forenses
¿Por qué es necesario?
• Los datos digitales son frágiles, volátiles, complejos de interpretar y
deben ser preservados y autenticados adecuadamente.
• Deterioro de las evidencias.
• Cambio de perfil del ciberdelincuente.
• El “iceberg de datos”:
Datos encontrados con herramientas convencionales
Datos adicionales encontrados con herramientas
forenses
Curso de Análisis Forense - TISSAT- 7
Objetivos de la investigación forense
Objetivos Generales
• Confirmar el incidente ocurrido.
• Llevar a cabo una investigación estructura del incidente.
• Preservar y asegurar las evidencias digitales y validarlas para un
posible proceso judicial.
• Asegurar la continuidad de negocio. Minimizar costes de interrupción
de servicio.
• Entender, corregir y proteger de futuros compromisos
Curso de Análisis Forense - TISSAT- 8
Evidencia Digital vs Prueba Electrónica
Una línea
de log
Un fichero
La evidencia digital. Que es?
• No son más que datos
Una MAC
en una
tabla ARP
Donde encontrarlas ??
La prueba digital
• Datos = Prueba? NO
Proceso en
ejecución
Información almacenada o transmitida en formato digital
aceptada en un proceso judicial
Curso de Análisis Forense - TISSAT- 9
Tipos de Evidencias
Tipos de Evidencias
• Testimonio Humano
• Evidencias Físicas
• Evidencias de Red
• Evidencias de Host
Memoria
Conexiones de Red
Procesos
Usuarios conectados
Configuraciones de red
Discos
Volatilidad
Curso de Análisis Forense - TISSAT- 10
El proceso Forense
El proceso Forense
Recolección
Análisis Preliminar
Investigación
Análisis
Presentación
Curso de Análisis Forense - TISSAT- 11
Recolección de Evidencias
Primera Fase: Llegamos al lugar del incidente.
• Preservar la escena del crimen.
De personas: Evitar que acciones de terceros contaminen o destruyan
pruebas
• Recoger evidencias físicas
Descripción del hardware
Descripción de los dispositivos externos
Topologías de red
Fotografiar el sistema
• Recoger evidencias humanas
Testimonio del administrador: ¿Qué ha tocado?
Curso de Análisis Forense - TISSAT- 12
Recolección de Evidencias
Recoger evidencias del host.
No se puede obtener el estado de un
sistema sin alterarlo
• Tratar de obtener la mayor información posible con el mínimo impacto
El dilema: ¿apagamos el sistema, o antes interactuamos con él?
Curso de Análisis Forense - TISSAT- 13
Análisis en frío VS Análisis en caliente
Análisis en Frío
Evitamos un mayor impacto en la máquina.
Solo podemos acceder a la información no volátil.
•
¿Cómo apago el sistema comprometido?
Análisis On-line
Podemos recoger mucha más información.
Técnicas avanzadas solo detectables en memoria.
Fácil contaminación del sistema. Juicio?
login, procesos, binarios contaminados, etc…
Respuesta del intruso. Sistema Peligroso!!
Información no fiable.
Curso de Análisis Forense - TISSAT- 14
Recolección de Evidencias
Recolección de evidencias en caliente
Muy fácil contaminar las evidencias!!
• No utilizar las herramientas del sistema. Podrían haber sido alteradas
• No ser intrusivo:
Ejecutar lo estrictamente necesario.
No alterar el contenido del disco
No instalar programas, ni volcar salida de programas a disco duro.
Utilizar medios externos para almacenar los datos o enviarlos vía red.
• Recoger por orden de volatilidad
• Documentación
• Modificación y Sobreescritura en discos
Curso de Análisis Forense - TISSAT- 15
Recolección de Evidencias
Preparación del Toolkit
• Herramientas limpias
• Compiladas estáticamente
• Ejemplos: nc,netsatst,memdump, dd , pcat, etc…
Interactuar con el entorno
• Análisis del tráfico del red
Procedimiento:
• csi#
nc -l -p 8888 > date_compromised
• victima# /mnt/cdrom/date | /mnt/cdrom/nc 192.168.1.100 8888 -w 3
Curso de Análisis Forense - TISSAT- 16
Recolección de Evidencias
Estudio previo del Impacto
• Comando mount
Fichero
Modificado
/etc/ld.so.cache
atime
/lib/tls/libc.so.6
atime
/usr/lib/locale/locale-archive
atime
/etc/fstab
atime
/etc/mtab
Atime, mtime, ctime
/dev/cdrom
atime
/bin/mount
atime
Curso de Análisis Forense - TISSAT- 17
Recolección de Evidencias
Evidencias a recoger
• Memoria
• Tablas caché: arp, rutas, etc..
• Conexiones de red
• Procesos
• Módulos del kernel
• Información del sistema
• Fecha
Curso de Análisis Forense - TISSAT- 18
Recolección de Evidencias
Recolección de evidencias en frío
• Extracción de discos
• Copiado de disco. bit-por-bit
Recolección de evidencias de red
• IDS
• Firewall
• Herramientas de monitorización
La entrega de los medios
• Documento firmado por el perito/notario y la empresa.
Curso de Análisis Forense - TISSAT- 19
Recolección de Evidencias
Reglas Básicas:
• Sumas de comprobación
• Documentación de TODO
• Cadena de Custodia
• Consideraciones de transporte y almacenamiento
• Puede no ser suficiente
Perito judicial o Notario
Curso de Análisis Forense - TISSAT- 20
Análisis de Evidencias
Segunda Fase: Empezamos el análisis
Consideraciones:
• NUNCA trabajar con datos, evidencias, dispositivos, etc..
ORIGINALES
• Respetar la legislación y las políticas de la Organización
• Documentación
• Resultados Verificables y Reproducibles
• No existe un procedimiento estándar.
Curso de Análisis Forense - TISSAT- 21
Análisis de Evidencias
Preparación del entorno forense
• Laboratorio forense.
¿Utópico?
• El Sistema de análisis
Entorno limpio
Aislado de la red
Herramientas limpias y esterilizadas
• Sistema de Simulación
Vmware
• Sistema de Pruebas en caliente
Curso de Análisis Forense - TISSAT- 22
Análisis de las Evidencias
Objetivo de Análisis
• Quién? Como? Con que? Porqué? Cuando? Etc…
Reconstrucción temporal de los hechos: Timeline
• Correlación de eventos. De donde ?
Análisis del sistema de ficheros
• Análisis de los ficheros corrientes del sistema
Comprobación de integridad de los binarios del sistema.
ROOTKITS y Virus???
• Archivos temporales.
• Archivos o directorios “ocultos”
Nombres camuflados
•
•
•
•
Archivos borrados
Slack space
Partición swap
Esteganografía, cifrado, etc…
Curso de Análisis Forense - TISSAT- 23
Fin Parte Te
órica
Teórica
CONFIDENCIALIDAD Y RESTRICCIONES DE USO
Toda la información contenida en el presente documento, sea de naturaleza técnica, comercial, financiera o de cualquier otro tipo, es propiedad de TISSAT y considerada como
“Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo
consentimiento expreso de TISSAT.
Curso de Análisis Forense - TISSAT- 24
Roberto Gutié
Gutiérrez
Ángel Alonso Párrizas
Related documents
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
Informática Forense
Informática Forense
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
Inyección Avanzada de SQL en Servidores con
Inyección Avanzada de SQL en Servidores con
Analisis forense en Sistemas Informaticos.
Analisis forense en Sistemas Informaticos.
Análisis Forense Informático
Análisis Forense Informático
Presentación Forensica Digital
Presentación Forensica Digital
Eventos y Convenciones - Convenciones y Congresos
Eventos y Convenciones - Convenciones y Congresos