adacsi ardita analisis forense informaticov2
TRANSCRIPT
“Metodología de AnálisisForense Informático”
MSc. Julio C. Ardita, CISM.MSc. Julio C. Ardita, [email protected]@cybsec.com
11 de Julio de 200711 de Julio de 2007Buenos Aires Buenos Aires -- ARGENTINA ARGENTINA
2
© 2007
Metodología de Análisis Forense Informático
Temario Temario
¿Qué es el análisis forense informático?
Metodología
Identificar, preservar, analizar y presentar
Aspectos legales básicos
Identificación y recolección de evidencia
Análisis de la evidencia
Metodologías de investigación
3
© 2007
Metodología de Análisis Forense Informático
Análisis Forense
Informático
4
© 2007
Metodología de Análisis Forense Informático
Crecimiento de incidentes
020000400006000080000
100000120000140000160000180000
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
(Est
)
Network Incidents Reported
NetworkIncidentsReported
Source: CMU Computer Emergency Response Team
5
© 2007
Metodología de Análisis Forense Informático
©
¿Ha tenido incidentes de Seguridad Informática en el últ imo año?
46% 53% 43%
35% 27% 42%18% 20% 15%
0%
50%
100%
150%
Año 2002 Año 2003 Año 2004
NO SABE
NO
SI
Incidentes en Latinoamérica
6
© 2007
Metodología de Análisis Forense Informático
¿Por qué se generan más incidentes que antes?
- Crecimiento de la dependencia tecnológica.
- Amplia disponibilidad de herramientas.
- No hay leyes globales.
- Internet es un laboratorio.
- Falsa sensación de que todo se puede hacer.
- Gran aumento de vulnerabilidades de seguridad (8.064 nuevas en 2006 según CERT).
7
© 2007
Metodología de Análisis Forense Informático
Desde 1999 a Desde 1999 a
hoy hubo mhoy hubo máás de s de
21.000 ataques 21.000 ataques
exitosos a exitosos a
ppááginas Web ginas Web
en Argentina.en Argentina.
http://www.zone-h.org
8
© 2007
Metodología de Análisis Forense Informático
¿Qué son los delitos informáticos?
Son actos criminales en los cuales se encuentran involucrados las computadoras.
1. Delitos directamente contra computadoras.2. Delitos donde la computadora contiene evidencia.3. Delitos donde la computadora es utilizada para cometer el crimen.
9
© 2007
Metodología de Análisis Forense Informático
Robo de propiedad intelectual.
Pornografía infantil.
Fraude
Distribución de virus.
Denegación de servicios
Extorsión.
Estafa.
Acceso no autorizado.
Robo de servicios.
Abuso de privilegios.
Tipos de incidentes
10
© 2007
Metodología de Análisis Forense Informático
¿Qué hacer ante un incidente informático?
¿Vale la pena investigarlo?
¿Qué puedo lograr?
¿Qué ofrece el Análisis Forense Informático?
El análisis forense informático se aplica
una vez que tenemos un incidente y queremos
investigar qué fue lo que pasó, quién fue
y cómo fue.
11
© 2007
Metodología de Análisis Forense Informático
Evidencia Digital
La evidencia computacional es única, cuando se la compara con otras formas de “evidencia documental”.
A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.
Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.
12
© 2007
Metodología de Análisis Forense Informático
¿Qué significa la evidencia?
Requiere tener un conocimiento general profundo.
Cómo la evidencia es creada.
Se puede “falsificar”.
Qué información se puede perder.
Qué puede estar mal.
- Caso log UNIX wtmp – Acceso de usuarios.- Caso DHCP – Asignación de direcciones.
13
© 2007
Metodología de Análisis Forense Informático
Análisis Forense Informático
“Es la técnica de capturar, procesar e investigarinformación procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)
La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
14
© 2007
Metodología de Análisis Forense Informático
Usos de la informática forense
1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para
procesar una variedad de crímenes, incluyendo homicidios, fraude financiero,
tráfico y venta de drogas, evasión de impuestos o pornografía infantil.
2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense.
3. Investigación de Seguros: La evidencia encontrada en computadores, puede
ayudar a las compañías de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada información en casos que tratan
sobre acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.
15
© 2007
Metodología de Análisis Forense Informático
Parte del proceso judicialen relación alanálisis forenseinformático
16
© 2007
Metodología de Análisis Forense Informático
Problemáticas
Los sistemas son grandes, complejos y cambiantes.
Es posible esconder cosas en cualquier lugar.
Existe una gran variedad de tecnologías disponibles.
No existe una gran cantidad de software.
Conocimiento y experiencia es muy importante.
Obtener y preservar la evidencia es relativamente fácil,
el análisis es complejo y consume mucho tiempo.
Aunque la evidencia pueda ser admitida correctamente,
existe un gran desconocimiento por parte de los jueces.
17
© 2007
Metodología de Análisis Forense Informático
Metodología utilizada
El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.
18
© 2007
Metodología de Análisis Forense Informático
Metodología utilizada
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar
el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.
19
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar más información?
GenerarConclusiones
S
S
S
20
© 2007
Metodología de Análisis Forense Informático
Casos donde se aplicó el
Análisis Forense Informático
21
© 2007
Metodología de Análisis Forense Informático
CASO 1: Denegación de servicio
Descripción del incidente:
El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada
por un intruso que impidió la continuidad del negocio en sus casi 120
sucursales.
En un análisis preliminar de la situación determinó que un intruso había
dejado un programa que se ejecutó el día viernes a las 19:00 horas
y que bloqueaba el acceso al sistema de Ventas.
Se comenzó a trabajar en dos líneas:
- Volver a la operación normal.
- Detección, análisis y rastreo del intruso.
22
© 2007
Metodología de Análisis Forense Informático
CASO 1: Denegación de servicio
Metodología de Investigación:
En relación a la vuelta a la operación normal:
1. Análisis forense inmediato de los equipos afectados.
2. Detección de programas que impedían el normal funcionamiento del
Sistema de Ventas.
3. Análisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicación masiva de cambios y vuelta a la operación normal.
23
© 2007
Metodología de Análisis Forense Informático
CASO 1: Denegación de servicio
Metodología de Investigación:
En relación a la detección, análisis y rastreo del intruso:
1. Ingeniería reversa de los programas que dejó el intruso
2. Determinación de las actividades que realizó el intruso.
3. Detección de rastros de pruebas 4 días antes.
4. Determinación de pruebas que podrían indicar el perfil del intruso.
5. Análisis de los sistemas de acceso remoto.
6. Evaluación de las computadoras personales de los potenciales
sospechosos.
24
© 2007
Metodología de Análisis Forense Informático
CASO 1: Denegación de servicio
Metodología de Investigación:
7. En el equipo de José se detectaron varios elementos (repetición del
patrón de comportamiento del intruso por la forma en que ejecutaba
los comandos).
8. Se detectó que otra computadora que contenía evidencia y se
encontraba al lado del equipo de José misteriosamente fue formateada
y re-instalada dos días después del incidente y en la misma se detectó
el patrón de comportamiento del intruso.
25
© 2007
Metodología de Análisis Forense Informático
CASO 1: Denegación de servicio
Resultados obtenidos :
Se logró detectar la intrusión y se volvió la operación normal en el
plazo inmediato.
De acuerdo a las características detectadas del patrón de
comportamiento, información encontrada, re-instalación de un
equipo, conocimiento de las claves de acceso
necesarias, existe una gran probabilidad de que
el intruso fuera José.
26
© 2007
Metodología de Análisis Forense Informático
CASO 2: Extorsión
Descripción del incidente:
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no
hacer circular entre los Clientes de la misma información confidencial que
había obtenido.
El intruso se comunicaba a través de mensajes de correo electrónico y
en dos oportunidades envió dos documentos de Word escritos por el.
27
© 2007
Metodología de Análisis Forense Informático
CASO 2: Extorsión
Metodología de Investigación:
1. Se investigaron los mensajes de correo electrónico enviados por el
intruso y se determinaron que venían de Locutorios y/o Cybercafes.
2. En dos oportunidades el intruso realizó envíos de mensajes de correo
electrónico conteniendo documentos de Word.
3. Se analizaron los documentos de Word con herramientas para análisis
a nivel binario y se obtuvo información sobre nombres de archivos
internos, fechas de creación, unidades donde fue copiado (aparecía
una unidad A:) y aparecía el directorio donde fue almacenado.
28
© 2007
Metodología de Análisis Forense Informático
CASO 2: Extorsión
Metodología de Investigación:
4. El usuario que aparecía como Autor del documento en el análisis era x
y la Organización x, eso implicaba que el archivo fue generado con un
Microsoft Word registrado a ese nombre.
5. Se analizó el nombre del directorio y apareció lo siguiente:
C:\Documents and Settings\oalvarez\Mis documentos\
6. Una de las personas que habían desvinculado de mala manera unos
meses antes era “Omar Alvarez”.
29
© 2007
Metodología de Análisis Forense Informático
CASO 2: Extorsión
Resultados obtenidos:
Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los
documentos con su computadora personal.
30
© 2007
Metodología de Análisis Forense Informático
CASO 3: Phishing a un Banco
Descripción del incidente:
Un Banco Argentino comenzó a recibir llamados de Clientes alertando
sobre un mensaje que estaban recibiendo pidiendo que se actualizaran
sus datos a las 9:30 am de un jueves de febrero de 2006.
En el análisis preliminar de uno de los mensajes recibidos vía correo
electrónico por parte de un Cliente, se determinó que el Banco estaba
sufriendo un ataque de Phishing.
A las 10:20 am se comenzó a investigar el incidente.
31
© 2007
Metodología de Análisis Forense Informático
CASO 3: Phishing a un Banco
Metodología de Investigación:
1. Se analizó el mensaje de correo electrónico que estaba siendo recibido
por los Clientes. Dentro del mail figuraba un link al sitio web del Banco.
El link que aparecía era correcto, pero la referencia apuntaba a otro
sitio web que se encontraba en Singapur.
2. Se determinó que una vez que se realizaba un click sobre el link, el
sitio falso del intruso explotaba una vulnerabilidad en el Explorer que
le hacia aparecer en la dirección del navegador el sitio original del
Banco.
32
© 2007
Metodología de Análisis Forense Informático
CASO 3: Phishing a un Banco
Metodología de Investigación:
3. Se analizaron los scripts que se ejecutaban y se determinó que el sitio
falso pedía el usuario y la clave del sistema de Home Banking y luego
enviaba esa información a una cuenta determinada de Gmail. Finalmente
lo redirigía al sitio original del Banco con un mensaje para que vuelva a
ingresar los datos.
4. Ante esta situación, se trabajó en dos líneas:
- Generación de datos falsos para el intruso.
- Tomar contacto con la Empresa del sitio web afectado.
33
© 2007
Metodología de Análisis Forense Informático
CASO 3: Phishing a un Banco
Metodología de Investigación:
4.1 Generación de datos falsos para el intruso.
Para confundir y sobrecargar la cuenta de mail del intruso, se generaron
lotes de datos que cumplían con los requerimientos formales, pero que no
eran válidos. Se enviaron unos 37.000 mensajes de forma automatizada.
4.2 Contacto con Singapur.
Debido a la diferencia horaria, cerca de las 19:00hs (GMT-3) pudimos
contactarnos telefónicamente y vía mail con el proveedor de hosting
que colaboró activamente, dando de baja los scripts del intruso del
sitio web y enviándonos la información de los logs de acceso.
34
© 2007
Metodología de Análisis Forense Informático
CASO 3: Phishing a un Banco
Metodología de Investigación:
5. Con la información de los logs de acceso, se filtró la información
basura que habíamos generado a propósito y junto con otra
información se entrecruzaron los datos determinando qué Clientes
habían ingresado sus datos.
6. Paralelamente se comenzó a investigar el origen del intruso.
35
© 2007
Metodología de Análisis Forense Informático
CASO 3: Phishing a un Banco
Resultados obtenidos:
En pocas horas se logró frenar el ataque de phishing y determinar
cuáles habían sido los Clientes del Banco afectados. Se detectó que el
intruso había accedido solamente a dos cuentas.
Se logró rastrear el origen del intruso. Provenía de Colombia.
36
© 2007
Metodología de Análisis Forense Informático
Aspectos legales
37
© 2007
Metodología de Análisis Forense Informático
Medidas Legales
Es muy importante tomar contacto y tener charlas informativas
con los abogados del Departamento Legal de la Empresa.
Es clave que los abogados estén al día de esta nueva problemática,
ya que llegado el caso de actuar, ellos decidirán qué pasos legales
seguir.
38
© 2007
Metodología de Análisis Forense Informático
Problemas jurisdiccionales
¿El hecho dónde ocurrió?
¿El Intruso dónde se encuentra?
¿El país donde ocurrió posee legislación?
¿El país donde estamos posee legislación?
¿Dónde se juzga el hecho?
39
© 2007
Metodología de Análisis Forense Informático
Aspectos Legales – Legislación en el Mundo
http://www.hfernandezdelpech.com.ar/DerechoInfoInter.htm
40
© 2007
Metodología de Análisis Forense Informático
Análisis de Caso
Análisis del fallo de un juez sobre una intrusión en la Página Web de la Corte Suprema de Justicia.
Investigación técnica.
Técnicas de análisis forense informático.
Ley.
41
© 2007
Metodología de Análisis Forense Informático
El sistema legal y la informática forense
En una causa, hay que tener en cuenta lo siguiente:
La credibilidad del investigador va a ser cuestionada.
El “otro lado” tendrá un equipo de análisis forense.
Utilizar software validado.
Mantener la cadena de custodia.
Asegurarse que el análisis está completo.
42
© 2007
Metodología de Análisis Forense Informático
Metodología
43
© 2007
Metodología de Análisis Forense Informático
Identificar la evidencia
¿Qué tipo de información está disponible?
¿Cómo la podemos “llevar” de forma segura?.
¿Qué puede formar parte de la evidencia?
44
© 2007
Metodología de Análisis Forense Informático
Discos rígidos.- Archivos de SWAP.- Archivos temporales.- Espacio no asignado en el disco.- Espacio File-Slack.
Memoria y procesos que se encuentran ejecutando.Diskettes, CD-ROMS, DVD’s, ZIP, Jazz, Tapes.Archivos de logs.Backups.PDA’s.Memory Stick’s.
45
© 2007
Metodología de Análisis Forense Informático
Preservar la evidencia
Se debe tratar de no realizar ningún cambio sobre la misma.
Se deben registrar y justificar todos los cambios.
Realizar un by-pass del sistema operativo y crear por “fuera”
un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rígido o
CD-ROM.
Se debe realizar una documentación de todo el proceso de la
generación de imágenes.
Se deben autenticar todos los archivos e imágenes utilizadas
con hashes MD5 o SHA.
46
© 2007
Metodología de Análisis Forense Informático
Orden de volatilidad
Se debe preservar la evidencia más volatil al principio:
– Registros, caches, memoria de periféricos.– Memoria (kernel, física)– Estado de las conexiones de red.– Procesos que se están ejecutando.– Discos rígidos.– Diskettes, archivos de backups– CD-ROMs, impresiones.
47
© 2007
Metodología de Análisis Forense Informático
Analizar la evidencia
Se debe extraer la información, procesarla e interpretarla.
Extraerla producirá archivos binarios.
Procesarla generará información entendible.
Interpretarla es la parte más importante del proceso.
El proceso debe poder re-hacerse y producir el mismo
resultado.
48
© 2007
Metodología de Análisis Forense Informático
Presentar la evidencia
A la empresa, abogados, la corte, etc.
La aceptación de la misma dependerá de:
Forma de presentación.
Antecedentes y calificación de la persona querealizó el análisis.
La credibilidad del proceso que fue utilizado para lapreservación y análisis de la evidencia.
49
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar más información?
GenerarConclusiones
S
S
S
50
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
Realizar un mapa de la ubicación física de los componentes.
Realizar un mapa con las conexiones físicas de los equipos.
Etiquetar todos los elementos de forma unívoca de formapermanente.
51
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
Fotografiar o videograbar todo el procedimiento.
Fotografiar la disposición de los equipos.
Conexiones de las computadoras, redes, etc.
El display de los equipos involucrados.
52
© 2007
Metodología de Análisis Forense Informático
Asegurar los equipos
Analizar si existen diskettes y cd-roms puestos en las
unidades. Extraer los discos y etiquetarlos.
Desenchufar las computadoras (PC y MAC). En las Minis y Mainframe se debe utilizar el proceso de apagado estándar).
Abrir el equipo para identificar las partes internas (discos rígidos, etc):
Fotografiar la parte interna de los equipos abiertos.
Identificar cada componente, etiquetarlo y documentarlo
(discos rígidos, etc).
Colocar el switch de on/off en OFF de la Computadora.
53
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar más información?
GenerarConclusiones
S
S
S
54
© 2007
Metodología de Análisis Forense Informático
¿Llevar la evidencia volatil?
La evidencia volatil es aquella que desaparecerá rápido,
como ser conexiones activas de red, procesos en la
memoria, archivos abiertos, etc.
Lo que se haga, técnicamente va a afectar la evidencia.
Ejecutar el comando ps en UNIX sobreescribirá partes
de la memoria.
Se puede sobreescribir la historia de comandos.
Se pueden afectar las fechas de acceso a los archivos.
Existe el riesgo de programas “troyanos”.
55
© 2007
Metodología de Análisis Forense Informático
¿Qué llevar?
Memoria, swap y contenido de directorios temporales.
Conexiones de red actuales, puertos abiertos, interfaces promiscuas, archivos relacionados con los puertos.
Procesos, archivos abiertos por los procesos.
- En lo posible se deben utilizar herramientas seguras para
analizar el sistema.
- Se deben utilizar herramientas conocidas y ampliamente
utilizadas.
- Herramientas propias en un CD-ROM, diskette, USB Drive.
56
© 2007
Metodología de Análisis Forense Informático
WINHEX
Editor de discos, memorias, procesos.
Posee muchos usos en informática forense (Clonación de discos, Captura de RAM,búsqueda de archivos ocultos, etc).
Puede entrar en un diskette.
57
© 2007
Metodología de Análisis Forense Informático
Información de conexiones a la red
netstat –an
TCPVIEW
58
© 2007
Metodología de Análisis Forense Informático
Conexiones a nivel Netbios
59
© 2007
Metodología de Análisis Forense Informático
Procesos
ProcessExplorer
60
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar más información?
GenerarConclusiones
S
S
S
61
© 2007
Metodología de Análisis Forense Informático
Proceso de copia de la Imagen
62
© 2007
Metodología de Análisis Forense Informático
Realizando imágenes
Dos posibilidades:
Imágenes bit a bit (dd, WinHEX).
Imágenes bit a bit o compactadas (Ghost).
63
© 2007
Metodología de Análisis Forense Informático
MD5
Se utiliza para generar un “checksum”, a travésde una función hash de un archivo.
Funciona bajo Windows y bajo UNIX (md5sum).
C:\md5 autoruns.exe6CEEBF54C840854415163A186E172D02 autoruns.exe
64
© 2007
Metodología de Análisis Forense Informático
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar más información?
GenerarConclusiones
S
S
S
65
© 2007
Metodología de Análisis Forense Informático
Comienzo de la investigación
Primero se trabaja utilizando herramientas sobre la imagen.
Luego se pasa la imagen al formato original y se comienza a aplicar las técnicas antes descriptas.
Se requiere de tiempo para realizar una investigación seria.
66
© 2007
Metodología de Análisis Forense Informático
Correlación de eventos
Se puede obtener un caso más sólido si se puedemostrar logs de varias fuentes que tienen unarelación.
¿Qué se debe buscar?:Buscar entradas en los logs por usuario.Buscar entradas en los logs por dirección IP.Buscar entradas en los logs por tiempo.
67
© 2007
Metodología de Análisis Forense Informático
Problemáticas de los LOGS
Siempre utilizamos la fecha de los logs para correlacionareventos de diferentes logs de diferentes Sistemas.
Los principales problemas son:
Sincronización de relojes de los sistemas.
Zona horaria.
Orden cronológico de eventos.
Saltos de eventos.
68
© 2007
Metodología de Análisis Forense Informático
Sincronización de relojes
Muchas veces inferimos la hora de los eventos de los logs.
En un Servidor vemos en los logs del Web Server unaconexión al puerto 80 en T1.
Luego vemos en los logs de la aplicación, un acceso de unusuario xxxx en T2. (Sabemos que es el mismo usuario).
Existe una diferencia: T2-T1. Si se utiliza la misma zonahoraria.
Muchas veces no se puede realizar este análisis, depende
de la cantidad de fuentes que tengamos.
69
© 2007
Metodología de Análisis Forense Informático
Zona horaria
No se puede comparar manzanas con naranjas.
Se debe pedir la zona horaria (Time Zone) de cada Log.
En una investigación global, se debe utilizar GMT como
referencia.
Es realmente muy complejo tratar con estas diferencias.
70
© 2007
Metodología de Análisis Forense Informático
Saltos de eventos
Cuando estamos investigando entre diferentes LOGS, lo que se debe hacer es analizar un log, relacionarlo con los otros, investigar en los otros, para luego poder volver a investigarnuevamente en el primer log nuevas posibilidades.
Otras sesiones (anteriores o posteriores).
Analizando usuario, dirección IP, servicios, etc.
71
© 2007
Metodología de Análisis Forense Informático
Investigar on-line
Nivel de red
Nivel Sistema Operativo Windows.
Nivel Sistema Operativo UNIX
Nivel Sistema Operativo AS/400
72
© 2007
Metodología de Análisis Forense Informático
Analizar el tráfico de red
Se puede capturar todo el tráfico de red.
Es difícil para el intruso poder detectarlo.
Simplemente loguear las conexiones es muy útil.
Si se loguea el contenido, es necesario espacio en disco.
El Servidor donde funciona el analizador de protocolos debe
estar protegido.
Existen problemas con las conexiones encriptadas.
73
© 2007
Metodología de Análisis Forense Informático
Ethereal
74
© 2007
Metodología de Análisis Forense Informático
DHCP
La computadora cuando bootea le pide al DCHP Serverque le asigne una dirección IP y la utiliza durante untiempo.
Una vez que el leasing terminó, otra computadora puedeutilizar esa dirección IP.
Deben almacenarse los LOGS del DHCP Server.
Tomar fotos o Print-Screens
75
© 2007
Metodología de Análisis Forense Informático
Correo Electrónico
Estos protocolos de correo electrónico (POP/IMAP)
generan los logs básicos en el archivo syslog en UNIX.
El logging es básico.
A qué hora alguien se conectó y desconectó.
Hay que activarlo extra si se quiere conocer qué actividad
se realizó sobre el Servidor.
Exchange/Groupwise/Lotus Notes generan sus propios
LOGS.
76
© 2007
Metodología de Análisis Forense Informático
LOGS de Web Servers
Problemática del protocolo HTTP.Tamaño.Análisis y separación de una conexión.LOGS de Proxy.Cache Proxy intermedios de Proveedores.
HTTP/S
77
© 2007
Metodología de Análisis Forense Informático
Análisis Windows
Se realiza ON-SITE o en el Laboratorio.
78
© 2007
Metodología de Análisis Forense Informático
Objetivo de la investigación
Foco en el uso típico de la computadora.
Foco en posibles actividades no autorizadas.
- Material no autorizado.
- Hacking.
Foco en la información.
- Contactos.
- Passwords.
- Números de cuenta.
79
© 2007
Metodología de Análisis Forense Informático
Configuración:Información del sistema.Configuración de la red.Programas instalados.
Cosas estándares:Documentos.Mensajes de correo electrónico.Archivos zipeados.Música – archivos gráficos.
Archivo borrados:Papelera de reciclaje.Análisis de la registry.
Archivos ocultos:Slack Space.Archivos encriptados.Tipos de archivos alterados.
¿Qué busco?
80
© 2007
Metodología de Análisis Forense Informático
Fechas MAC en Windows
81
© 2007
Metodología de Análisis Forense Informático
Información del sistema
Aplicación:
Computer Management
82
© 2007
Metodología de Análisis Forense Informático
Cosas específicas a buscar
Sitios Web (Si es un IIS).Sitios FTP (Si es un IIS).Terminal ServicesSi se utiliza como DNS o Servidor de Mail.Log propios de Windows
•EventViewer•C:\WINNT\system32\LogFiles\
83
© 2007
Metodología de Análisis Forense Informático
Event Viewer
84
© 2007
Metodología de Análisis Forense Informático
LOGS IIS
85
© 2007
Metodología de Análisis Forense Informático
Servicios activos
86
© 2007
Metodología de Análisis Forense Informático
Búsqueda con el Regedit
87
© 2007
Metodología de Análisis Forense Informático
Búsqueda de archivos
88
© 2007
Metodología de Análisis Forense Informático
Información borrada
Papelera de reciclaje.
Norton.
Utilizando el WINHEX.
89
© 2007
Metodología de Análisis Forense Informático
WINHEX – Análisis de la información
90
© 2007
Metodología de Análisis Forense Informático
Información relacionada con Internet
- Historia de navegación (Ver el browser).C:\Documents and Settings\jardita.ADCYBSEC\Configuración local\Historial
- CacheC:\Documents and Settings\USER\Configuración local\Archivos temporales de InternetC:\Documents and Settings\jardita.ADCYBSEC\Configuraciónlocal\Temp
- Cookies.
91
© 2007
Metodología de Análisis Forense Informático
http://www.cftt.nist.gov
92
© 2007
Metodología de Análisis Forense Informático
Software que ya ha pasado pruebas del NIST
dd FreeBSD Encase 3.20 Safeback 2.18 Safeback (Sydex) 2.0 dd GNU fileutils 4.0.36, Provided with Red Hat Linux 7.1 RCMP HDL VO.8.
93
© 2007
Metodología de Análisis Forense Informático
ENCASE
Líder en el mercado de productos de análisis forense en
Estados Unidos.
De la empresa Guidance Software.
Permite realizar adquisición y análisis de evidencia
Para sistemas operativos FAT, NTFS, HPFS y EXT2.
http://www.youtube.com/watch?v=O4ce74q2zqM
94
© 2007
Metodología de Análisis Forense Informático
ENCASE
¿Preguntas?
MSc. Julio C. Ardita, CISM.MSc. Julio C. Ardita, [email protected]@cybsec.com
www.cybsec.com
Muchas gracias por acompañarnos
MSc. Julio C. Ardita, CISM.MSc. Julio C. Ardita, [email protected]@cybsec.com
www.cybsec.com