Analisis forense

Análisis Forense InformáticoAnálisis Forense Informático

Lic. Julio C. ArditaLic. Julio C. Arditajardita@jardita@cybseccybsec..comcom

17 de Mayo de 2004Buenos Aires - ARGENTINA

Análisis Forense Informático Análisis Forense Informático

TemarioTemario

- Análisis Forense Informático.

- Preservación de la evidencia.

- Metodología de Análisis Forense Informático.

- Formas de almacenamiento – Imágenes.

- Análisis Forense Windows – Linux.

10001500200025003000350040004500

Vulnerabilities Reported

VulnerabilitiesReported

Source: CMU Computer Emergency Response Team

Las vulnerabilidades están creciendo

Crecimiento de incidentes

020000400006000080000

1000001200001400001600001800001989

Network Incidents Reported

NetworkIncidentsReported

Source: CMU Computer Emergency Response Team

¿Qué son los delitos informáticos?

Son actos criminales en los cuales se encuentran involucrados las computadoras.

1. Delitos directamente contra computadoras.2. Delitos donde la computadora contiene evidencia.3. Delitos donde la computadora es utilizada para cometer el crimen.

¿Vale la pena investigar incidentes de seguridad?

¿Qué es lo máximo que se puede lograr?

¿Cuál es el la política de una Compañía ante un incidente?

Tiempo en el que se produce el incidente: 1 hora.

Tiempo requerido para el análisis del mismo: 20 horas.© Estimaciones FBI - 2001

Evidencia Digital

La evidencia computacional es única, cuando se la compara con otras formas de “evidencia documental”.

A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.

Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.

AnAnáálisis Forense Informlisis Forense Informááticotico

“Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)

La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.

Parte del proceso judicialen relación alanálisis forenseinformático

Proceso general

1. Surge un pedido desde un juzgado.

2. Se elabora un Plan (Inteligencia).

3. Se realiza el proceso de “secuestro de evidencia”.

4. Se realizan copias – Cadena de custodia.

5. Se realiza el análisis.

6. Se escribe y presenta el reporte.

¿Por qué el análisis Forense?

Esclarecer actos criminales.

Leyes locales.

Leyes globales (Sarbanes-Oxley, etc).

Problemas jurisdiccionales

¿El hecho donde ocurrió?

¿El intruso donde se encuentra?

¿El país donde ocurrió posee legislación?

¿El país donde estamos posee legislación?

¿Dónde se juzga el hecho?

¿Porque la evidencia es tan importante?

En la vida real, la evidencia es TODO.

Se utiliza para establecer hechos.

Permite relacionar los diferentes eventos.

Metodología utilizadaMetodología utilizada

El primer paso es identificar qué computadora puede contener evidencia, reconociendo la frágil naturaleza de los datos digitales.

La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. Una verdadera imagen espejada es una copia sector a sector de la unidad original investigada.

Metodología utilizadaMetodología utilizada

El tercer paso es analizar la imagen copia de la original, buscandola evidencia o información necesaria.

Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.

Identificar la evidencia

¿Qué tipo de información esta disponible?

¿Cómo la podemos “llevar” de forma segura?.

¿Qué puede formar parte de la evidencia?

Discos rígidos.- Archivos de SWAP.- Archivos temporales.- Espacio no asignado en el disco.- Espacio File-Slack.

Memoria y procesos que se encuentran ejecutando.Diskettes, CD-ROMS, DVD’s, ZIP, Jaz, Tapes.Archivos de logs.Backups.

• DOS/Windows almacena archivos en clusters.• DOS/Windows escribe al disco en bloques de 512 bytes

llamados sectores.• Los clusters estan compuestos de un número de sectores.

• Son creados cuando se escriben archivos al disco.• RAM Slack – Buffer de la memoria.• Disk Slack – Contenido anterior del bloque.

File Data File SlackCluster 1 Last Cluster

File Data RAM Slack Disk Slack

Sector 1 Last Sector

Preservar la evidencia

Se debe tratar de no realizar ningun cambio sobre la misma.Se deben registrar y justificar todos los cambios.Realizar un by-pass del sistema operativo y crear por “fuera”un backup de toda la evidencia.Las copias duplicadas deben ser escritas en otro disco rígido oCD-ROM.Se debe realizar una documentación de todo el proceso de lageneración de imagenes.Se deben autenticar todos los archivos e imágenes utilizadascon hashes MD5 o SHA1.

Disk to be Imaged

Image File

First SectorLast Sector

¿Cómo preservar la evidencia?

Orden de volatilidad

Se debe preservar la evidencia más vólatil al principio:

– Registros, caches, memoria de perifericos.– Memoria (kernel, física)– Estado de las conexiones de red.– Procesos que se están ejecutando.– Discos rígidos.– Diskettes, archivos de backups– CD-ROMs, impresiones.

Analizar la evidencia

Se debe extraer la información, procesarla e interpretarla.

Extraerla producirá archivos binarios.

Procesarla generará información entendible.

Interpretarla es la parte más importante del proceso.

El proceso debe poder re-hacerse y producir el mismoresultado.

Presentar la evidencia

A la empresa, abogados, la corte, etc.La aceptación de la misma dependerá de:

Forma de presentación.Antecedentes y calificación de la persona que realizó el análisis.La credibilidad del proceso que fue utilizado para la preservación y análisis de la evidencia.

Cadena de custodia

• ¿Quién ha accedido a la evidencia?• ¿Qué procedimientos se han seguido mientras se trabajaba

con la evidencia?• ¿Cómo podemos demostrar que nuestro análisis se realizó

sobre copias idénticas del original?.• Respuesta: Documentación, firmas digitales, hashes,

timestamps, etc.

Formas de almacenamiento en dispositivos informáticos

Discos rígidos.Diskettes.CD-ROM’s.ZIP drive.Tape backups.Dispositivos USB (Discos virtuales).Memory Sticks – Cámaras de fotos.PDA’s.

Discos rígidos - Particiones

- Linux - FDISKDevice Boot Start End Blocks Id System/dev/hda1 1 62 497983+ 82 Linux swap/dev/hda2 63 2494 19535040 83 Linux

Linux:~# fdisk

Usage: fdisk [-l] [-b SSZ] [-u] deviceE.g.: fdisk /dev/hda (for the first IDE disk)

or: fdisk /dev/sdc (for the third SCSI disk)or: fdisk /dev/eda (for the first PS/2 ESDI drive)or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices)...

Linux:~# fdisk /dev/hda

Diskettes.

Baja utilización de diskettes de 3 ½. y 5 ¼.

Poca capacidad – 1.440Kbytes (3 ½).

Acceso a la información.

CR-ROMS.

Amplia utilización.

Difusión masiva.

Elevada capacidad – 650 – 700 Mb.

Formatos estándares.

ZIP Disks (una nueva unidad).

Tape Backups.

Memorias vía USB (una nueva unidad).

Memory Sticks

(Cámaras fotográficas).

PDA’s.

Memoria de la Agenda.

Imágenes

Todo se debe llevar a imágenes para luego poder ser analizadas

IMAGEN

Procedimiento de

Identificación y Preservación

de la Evidencia

PC PCPC

DialupNAT

Modems

TerminalServerAuth

Server

RED Interna

SistemaVictima

Lanzamientodel Ataque

¿Dónde esta la evidencia?

¿Dónde está la evidencia?

En la computadora origen del intruso

En el sistema telefónico

Los logs del sistema de validación del acceso remoto.

En las redes internas.

En la computadora de la victima.

En la computadora que se utilizó para lanzar el ataque.

Pensar acerca del evento y determinar donde puede existirevidencia.

¿Qué significa la evidencia?

Requiere tener un conocimiento general profundo.Como la evidencia es creada.Se puede “falsificar”.Que información se puede perder.Que puede estar mal.

- Caso log UNIX wtmp – Acceso de usuarios.- Caso DHCP – Asignación de direcciones.

Documentar la Escena

¿SecuestrarVolatiles?

CapturarVolátiles

¿Es necesario Investigar?

¿HacerImágenes?

Apagar

¿Por qué?

HacerImágenes

En el Laboratorio, comenzar la fase

de Análisis.

InvestigarON-SITENO

¿Llevar la evidencia vólatil?

La evidencia vólatil es aquella que desaparecerá rápido, comoser conexiones activas de red, procesos en la memoria,archivos abiertos, etc.

Lo que se haga, técnicamente va a afectar la evidencia.Ejecutar el comando ps en UNIX sobreescribirá partes de la memoria.

Se puede sobreescribir la historia de comandos.

Se pueden afectar las fechas de acceso a los archivos.

Existe el riesgo de programas “troyanos”.

¿Qué llevar?

Memoria, swap y contenido de directorios temporales.

Conexiones de red actuales, puertos abiertos, interfaces

promiscuas, archivos relacionados con los puertos.

Procesos, archivos abiertos por los procesos.

- En lo posible se debe utilizar herramientas seguras paraanalizar el sistema.

- Se deben utilizar herramientas conocidas y ampliamenteutilizadas.

- Herramientas propias en un CD-ROM, diskette, USB Drive.

WINHEX

Editor de discos, memorias, procesos.

Posee muchos usos en informática forense (Clonación de discos, Captura de RAM, búsqueda de archivos ocultos, etc).

Puede entrar en un diskette.

WINHEX

Capturar la memoria RAM.

Analisis forense

Documents

Informe Analisis Forense interpol

David Perez ISACA 14nov07 Analisis Forense v04

Analisis Forense de Sistemas Informaticos

Taller: Analisis forense de dispositivos iOS

Analisis Forense en ADN

Analisis Forense Memoria RAM

ADACSI Ardita Analisis Forense Informaticov2

Analisis forense en dispositivos iOS taller

Analisis Forense (Linux)

Analisis Forense Busca De Evidencias

Webinar Gratuito "Analisis Forense con Autopsy 2"

MEDICINA FORENSE INSTRUMENTO DE ANALISIS Y …

Analisis Forense de Celulares_20100721064941

El Analisis de Fallas o La Ingenieria Forense

Analisis Forense en Fotografias

Tecnicas de Analisis en Genetica Forense

RETO ANALISIS FORENSE FORO.ELHACKER

Presman Taller Analisis Forense Robo Identidad

Modulo 5. Ejemplos de Analisis Forense

Analisis Forense de Sistemas Linux Doc v10