adacsi ardita analisis forense informaticov2

“Metodología de AnálisisForense Informático”

MSc. Julio C. Ardita, CISM.MSc. Julio C. Ardita, [email protected]@cybsec.com

11 de Julio de 200711 de Julio de 2007Buenos Aires Buenos Aires -- ARGENTINA ARGENTINA

2

© 2007

Metodología de Análisis Forense Informático

Temario Temario

¿Qué es el análisis forense informático?

Metodología

Identificar, preservar, analizar y presentar

Aspectos legales básicos

Identificación y recolección de evidencia

Análisis de la evidencia

Metodologías de investigación

3

© 2007


Análisis Forense

Informático

4

© 2007


Crecimiento de incidentes

020000400006000080000

100000120000140000160000180000

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

2003

(Est

)

Network Incidents Reported

NetworkIncidentsReported

Source: CMU Computer Emergency Response Team

5

© 2007


©

¿Ha tenido incidentes de Seguridad Informática en el últ imo año?

46% 53% 43%

35% 27% 42%18% 20% 15%

0%

50%

100%

150%

Año 2002 Año 2003 Año 2004

NO SABE

NO

SI

Incidentes en Latinoamérica

6

© 2007


¿Por qué se generan más incidentes que antes?

- Crecimiento de la dependencia tecnológica.

- Amplia disponibilidad de herramientas.

- No hay leyes globales.

- Internet es un laboratorio.

- Falsa sensación de que todo se puede hacer.

- Gran aumento de vulnerabilidades de seguridad (8.064 nuevas en 2006 según CERT).

7

© 2007


Desde 1999 a Desde 1999 a

hoy hubo mhoy hubo máás de s de

21.000 ataques 21.000 ataques

exitosos a exitosos a

ppááginas Web ginas Web

en Argentina.en Argentina.

http://www.zone-h.org

8

© 2007


¿Qué son los delitos informáticos?

Son actos criminales en los cuales se encuentran involucrados las computadoras.

1. Delitos directamente contra computadoras.2. Delitos donde la computadora contiene evidencia.3. Delitos donde la computadora es utilizada para cometer el crimen.

9

© 2007


Robo de propiedad intelectual.

Pornografía infantil.

Fraude

Distribución de virus.

Denegación de servicios

Extorsión.

Estafa.

Acceso no autorizado.

Robo de servicios.

Abuso de privilegios.

Tipos de incidentes

10

© 2007


¿Qué hacer ante un incidente informático?

¿Vale la pena investigarlo?

¿Qué puedo lograr?

¿Qué ofrece el Análisis Forense Informático?

El análisis forense informático se aplica

una vez que tenemos un incidente y queremos

investigar qué fue lo que pasó, quién fue

y cómo fue.

11

© 2007


Evidencia Digital

La evidencia computacional es única, cuando se la compara con otras formas de “evidencia documental”.

A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.

Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.

12

© 2007


¿Qué significa la evidencia?

Requiere tener un conocimiento general profundo.

Cómo la evidencia es creada.

Se puede “falsificar”.

Qué información se puede perder.

Qué puede estar mal.

- Caso log UNIX wtmp – Acceso de usuarios.- Caso DHCP – Asignación de direcciones.

13

© 2007


Análisis Forense Informático

“Es la técnica de capturar, procesar e investigarinformación procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)

La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.

14

© 2007


Usos de la informática forense

1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para

procesar una variedad de crímenes, incluyendo homicidios, fraude financiero,

tráfico y venta de drogas, evasión de impuestos o pornografía infantil.

2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio,

pueden ser ayudados por la informática forense.

3. Investigación de Seguros: La evidencia encontrada en computadores, puede

ayudar a las compañías de seguros a disminuir los costos de los reclamos por

accidentes y compensaciones.

4. Temas corporativos: Puede ser recolectada información en casos que tratan

sobre acoso sexual, robo, mal uso o apropiación de información confidencial o

propietaria, o aún de espionaje industrial.

15

© 2007


Parte del proceso judicialen relación alanálisis forenseinformático

16

© 2007


Problemáticas

Los sistemas son grandes, complejos y cambiantes.

Es posible esconder cosas en cualquier lugar.

Existe una gran variedad de tecnologías disponibles.

No existe una gran cantidad de software.

Conocimiento y experiencia es muy importante.

Obtener y preservar la evidencia es relativamente fácil,

el análisis es complejo y consume mucho tiempo.

Aunque la evidencia pueda ser admitida correctamente,

existe un gran desconocimiento por parte de los jueces.

17

© 2007


Metodología utilizada

El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales.

La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.

18

© 2007


Metodología utilizada

El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria.

Finalmente una vez terminada la investigación se debe realizar

el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.

19

© 2007


Documentar la Escena

¿Secuestrarvolátiles?

Capturar volátiles

¿Es necesario Investigar ONSITE?

Investigar ON-SITE

Hacer imágenes

Investigar en el Laboratorio

¿Volver a buscar más información?

GenerarConclusiones

S

S

S

20

© 2007


Casos donde se aplicó el

Análisis Forense Informático

21

© 2007


CASO 1: Denegación de servicio

Descripción del incidente:

El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada

por un intruso que impidió la continuidad del negocio en sus casi 120

sucursales.

En un análisis preliminar de la situación determinó que un intruso había

dejado un programa que se ejecutó el día viernes a las 19:00 horas

y que bloqueaba el acceso al sistema de Ventas.

Se comenzó a trabajar en dos líneas:

- Volver a la operación normal.

- Detección, análisis y rastreo del intruso.

22

© 2007



Metodología de Investigación:

En relación a la vuelta a la operación normal:

1. Análisis forense inmediato de los equipos afectados.

2. Detección de programas que impedían el normal funcionamiento del

Sistema de Ventas.

3. Análisis de programas y modificaciones realizadas por el intruso.

4. Planteo de soluciones.

5. Pruebas sobre una sucursal de los cambios.

6. Aplicación masiva de cambios y vuelta a la operación normal.

23

© 2007




En relación a la detección, análisis y rastreo del intruso:

1. Ingeniería reversa de los programas que dejó el intruso

2. Determinación de las actividades que realizó el intruso.

3. Detección de rastros de pruebas 4 días antes.

4. Determinación de pruebas que podrían indicar el perfil del intruso.

5. Análisis de los sistemas de acceso remoto.

6. Evaluación de las computadoras personales de los potenciales

sospechosos.

24

© 2007




7. En el equipo de José se detectaron varios elementos (repetición del

patrón de comportamiento del intruso por la forma en que ejecutaba

los comandos).

8. Se detectó que otra computadora que contenía evidencia y se

encontraba al lado del equipo de José misteriosamente fue formateada

y re-instalada dos días después del incidente y en la misma se detectó

el patrón de comportamiento del intruso.

25

© 2007



Resultados obtenidos :

Se logró detectar la intrusión y se volvió la operación normal en el

plazo inmediato.

De acuerdo a las características detectadas del patrón de

comportamiento, información encontrada, re-instalación de un

equipo, conocimiento de las claves de acceso

necesarias, existe una gran probabilidad de que

el intruso fuera José.

26

© 2007


CASO 2: Extorsión


Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no

hacer circular entre los Clientes de la misma información confidencial que

había obtenido.

El intruso se comunicaba a través de mensajes de correo electrónico y

en dos oportunidades envió dos documentos de Word escritos por el.

27

© 2007


CASO 2: Extorsión


1. Se investigaron los mensajes de correo electrónico enviados por el

intruso y se determinaron que venían de Locutorios y/o Cybercafes.

2. En dos oportunidades el intruso realizó envíos de mensajes de correo

electrónico conteniendo documentos de Word.

3. Se analizaron los documentos de Word con herramientas para análisis

a nivel binario y se obtuvo información sobre nombres de archivos

internos, fechas de creación, unidades donde fue copiado (aparecía

una unidad A:) y aparecía el directorio donde fue almacenado.

28

© 2007


CASO 2: Extorsión


4. El usuario que aparecía como Autor del documento en el análisis era x

y la Organización x, eso implicaba que el archivo fue generado con un

Microsoft Word registrado a ese nombre.

5. Se analizó el nombre del directorio y apareció lo siguiente:

C:\Documents and Settings\oalvarez\Mis documentos\

6. Una de las personas que habían desvinculado de mala manera unos

meses antes era “Omar Alvarez”.

29

© 2007


CASO 2: Extorsión

Resultados obtenidos:

Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los

documentos con su computadora personal.

30

© 2007


CASO 3: Phishing a un Banco


Un Banco Argentino comenzó a recibir llamados de Clientes alertando

sobre un mensaje que estaban recibiendo pidiendo que se actualizaran

sus datos a las 9:30 am de un jueves de febrero de 2006.

En el análisis preliminar de uno de los mensajes recibidos vía correo

electrónico por parte de un Cliente, se determinó que el Banco estaba

sufriendo un ataque de Phishing.

A las 10:20 am se comenzó a investigar el incidente.

31

© 2007




1. Se analizó el mensaje de correo electrónico que estaba siendo recibido

por los Clientes. Dentro del mail figuraba un link al sitio web del Banco.

El link que aparecía era correcto, pero la referencia apuntaba a otro

sitio web que se encontraba en Singapur.

2. Se determinó que una vez que se realizaba un click sobre el link, el

sitio falso del intruso explotaba una vulnerabilidad en el Explorer que

le hacia aparecer en la dirección del navegador el sitio original del

Banco.

32

© 2007




3. Se analizaron los scripts que se ejecutaban y se determinó que el sitio

falso pedía el usuario y la clave del sistema de Home Banking y luego

enviaba esa información a una cuenta determinada de Gmail. Finalmente

lo redirigía al sitio original del Banco con un mensaje para que vuelva a

ingresar los datos.

4. Ante esta situación, se trabajó en dos líneas:

- Generación de datos falsos para el intruso.

- Tomar contacto con la Empresa del sitio web afectado.

33

© 2007




4.1 Generación de datos falsos para el intruso.

Para confundir y sobrecargar la cuenta de mail del intruso, se generaron

lotes de datos que cumplían con los requerimientos formales, pero que no

eran válidos. Se enviaron unos 37.000 mensajes de forma automatizada.

4.2 Contacto con Singapur.

Debido a la diferencia horaria, cerca de las 19:00hs (GMT-3) pudimos

contactarnos telefónicamente y vía mail con el proveedor de hosting

que colaboró activamente, dando de baja los scripts del intruso del

sitio web y enviándonos la información de los logs de acceso.

34

© 2007




5. Con la información de los logs de acceso, se filtró la información

basura que habíamos generado a propósito y junto con otra

información se entrecruzaron los datos determinando qué Clientes

habían ingresado sus datos.

6. Paralelamente se comenzó a investigar el origen del intruso.

35

© 2007



Resultados obtenidos:

En pocas horas se logró frenar el ataque de phishing y determinar

cuáles habían sido los Clientes del Banco afectados. Se detectó que el

intruso había accedido solamente a dos cuentas.

Se logró rastrear el origen del intruso. Provenía de Colombia.

36

© 2007


Aspectos legales

37

© 2007


Medidas Legales

Es muy importante tomar contacto y tener charlas informativas

con los abogados del Departamento Legal de la Empresa.

Es clave que los abogados estén al día de esta nueva problemática,

ya que llegado el caso de actuar, ellos decidirán qué pasos legales

seguir.

38

© 2007


Problemas jurisdiccionales

¿El hecho dónde ocurrió?

¿El Intruso dónde se encuentra?

¿El país donde ocurrió posee legislación?

¿El país donde estamos posee legislación?

¿Dónde se juzga el hecho?

39

© 2007


Aspectos Legales – Legislación en el Mundo

http://www.hfernandezdelpech.com.ar/DerechoInfoInter.htm

40

© 2007


Análisis de Caso

Análisis del fallo de un juez sobre una intrusión en la Página Web de la Corte Suprema de Justicia.

Investigación técnica.

Técnicas de análisis forense informático.

Ley.

41

© 2007


El sistema legal y la informática forense

En una causa, hay que tener en cuenta lo siguiente:

La credibilidad del investigador va a ser cuestionada.

El “otro lado” tendrá un equipo de análisis forense.

Utilizar software validado.

Mantener la cadena de custodia.

Asegurarse que el análisis está completo.

42

© 2007


Metodología

43

© 2007


Identificar la evidencia

¿Qué tipo de información está disponible?

¿Cómo la podemos “llevar” de forma segura?.

¿Qué puede formar parte de la evidencia?

44

© 2007


Discos rígidos.- Archivos de SWAP.- Archivos temporales.- Espacio no asignado en el disco.- Espacio File-Slack.

Memoria y procesos que se encuentran ejecutando.Diskettes, CD-ROMS, DVD’s, ZIP, Jazz, Tapes.Archivos de logs.Backups.PDA’s.Memory Stick’s.

45

© 2007


Preservar la evidencia

Se debe tratar de no realizar ningún cambio sobre la misma.

Se deben registrar y justificar todos los cambios.

Realizar un by-pass del sistema operativo y crear por “fuera”

un backup de toda la evidencia.

Las copias duplicadas deben ser escritas en otro disco rígido o

CD-ROM.

Se debe realizar una documentación de todo el proceso de la

generación de imágenes.

Se deben autenticar todos los archivos e imágenes utilizadas

con hashes MD5 o SHA.

46

© 2007


Orden de volatilidad

Se debe preservar la evidencia más volatil al principio:

– Registros, caches, memoria de periféricos.– Memoria (kernel, física)– Estado de las conexiones de red.– Procesos que se están ejecutando.– Discos rígidos.– Diskettes, archivos de backups– CD-ROMs, impresiones.

47

© 2007


Analizar la evidencia

Se debe extraer la información, procesarla e interpretarla.

Extraerla producirá archivos binarios.

Procesarla generará información entendible.

Interpretarla es la parte más importante del proceso.

El proceso debe poder re-hacerse y producir el mismo

resultado.

48

© 2007


Presentar la evidencia

A la empresa, abogados, la corte, etc.

La aceptación de la misma dependerá de:

Forma de presentación.

Antecedentes y calificación de la persona querealizó el análisis.

La credibilidad del proceso que fue utilizado para lapreservación y análisis de la evidencia.

49

© 2007




Capturar volátiles


Investigar ON-SITE

Hacer imágenes



GenerarConclusiones

S

S

S

50

© 2007



Realizar un mapa de la ubicación física de los componentes.

Realizar un mapa con las conexiones físicas de los equipos.

Etiquetar todos los elementos de forma unívoca de formapermanente.

51

© 2007



Fotografiar o videograbar todo el procedimiento.

Fotografiar la disposición de los equipos.

Conexiones de las computadoras, redes, etc.

El display de los equipos involucrados.

52

© 2007


Asegurar los equipos

Analizar si existen diskettes y cd-roms puestos en las

unidades. Extraer los discos y etiquetarlos.

Desenchufar las computadoras (PC y MAC). En las Minis y Mainframe se debe utilizar el proceso de apagado estándar).

Abrir el equipo para identificar las partes internas (discos rígidos, etc):

Fotografiar la parte interna de los equipos abiertos.

Identificar cada componente, etiquetarlo y documentarlo

(discos rígidos, etc).

Colocar el switch de on/off en OFF de la Computadora.

53

© 2007




Capturar volátiles


Investigar ON-SITE

Hacer imágenes



GenerarConclusiones

S

S

S

54

© 2007


¿Llevar la evidencia volatil?

La evidencia volatil es aquella que desaparecerá rápido,

como ser conexiones activas de red, procesos en la

memoria, archivos abiertos, etc.

Lo que se haga, técnicamente va a afectar la evidencia.

Ejecutar el comando ps en UNIX sobreescribirá partes

de la memoria.

Se puede sobreescribir la historia de comandos.

Se pueden afectar las fechas de acceso a los archivos.

Existe el riesgo de programas “troyanos”.

55

© 2007


¿Qué llevar?

Memoria, swap y contenido de directorios temporales.

Conexiones de red actuales, puertos abiertos, interfaces promiscuas, archivos relacionados con los puertos.

Procesos, archivos abiertos por los procesos.

- En lo posible se deben utilizar herramientas seguras para

analizar el sistema.

- Se deben utilizar herramientas conocidas y ampliamente

utilizadas.

- Herramientas propias en un CD-ROM, diskette, USB Drive.

56

© 2007


WINHEX

Editor de discos, memorias, procesos.

Posee muchos usos en informática forense (Clonación de discos, Captura de RAM,búsqueda de archivos ocultos, etc).

Puede entrar en un diskette.

57

© 2007


Información de conexiones a la red

netstat –an

TCPVIEW

58

© 2007


Conexiones a nivel Netbios

59

© 2007


Procesos

ProcessExplorer

60

© 2007




Capturar volátiles


Investigar ON-SITE

Hacer imágenes



GenerarConclusiones

S

S

S

61

© 2007


Proceso de copia de la Imagen

62

© 2007


Realizando imágenes

Dos posibilidades:

Imágenes bit a bit (dd, WinHEX).

Imágenes bit a bit o compactadas (Ghost).

63

© 2007


MD5

Se utiliza para generar un “checksum”, a travésde una función hash de un archivo.

Funciona bajo Windows y bajo UNIX (md5sum).

C:\md5 autoruns.exe6CEEBF54C840854415163A186E172D02 autoruns.exe

64

© 2007




Capturar volátiles


Investigar ON-SITE

Hacer imágenes



GenerarConclusiones

S

S

S

65

© 2007


Comienzo de la investigación

Primero se trabaja utilizando herramientas sobre la imagen.

Luego se pasa la imagen al formato original y se comienza a aplicar las técnicas antes descriptas.

Se requiere de tiempo para realizar una investigación seria.

66

© 2007


Correlación de eventos

Se puede obtener un caso más sólido si se puedemostrar logs de varias fuentes que tienen unarelación.

¿Qué se debe buscar?:Buscar entradas en los logs por usuario.Buscar entradas en los logs por dirección IP.Buscar entradas en los logs por tiempo.

67

© 2007


Problemáticas de los LOGS

Siempre utilizamos la fecha de los logs para correlacionareventos de diferentes logs de diferentes Sistemas.

Los principales problemas son:

Sincronización de relojes de los sistemas.

Zona horaria.

Orden cronológico de eventos.

Saltos de eventos.

68

© 2007


Sincronización de relojes

Muchas veces inferimos la hora de los eventos de los logs.

En un Servidor vemos en los logs del Web Server unaconexión al puerto 80 en T1.

Luego vemos en los logs de la aplicación, un acceso de unusuario xxxx en T2. (Sabemos que es el mismo usuario).

Existe una diferencia: T2-T1. Si se utiliza la misma zonahoraria.

Muchas veces no se puede realizar este análisis, depende

de la cantidad de fuentes que tengamos.

69

© 2007


Zona horaria

No se puede comparar manzanas con naranjas.

Se debe pedir la zona horaria (Time Zone) de cada Log.

En una investigación global, se debe utilizar GMT como

referencia.

Es realmente muy complejo tratar con estas diferencias.

70

© 2007


Saltos de eventos

Cuando estamos investigando entre diferentes LOGS, lo que se debe hacer es analizar un log, relacionarlo con los otros, investigar en los otros, para luego poder volver a investigarnuevamente en el primer log nuevas posibilidades.

Otras sesiones (anteriores o posteriores).

Analizando usuario, dirección IP, servicios, etc.

71

© 2007


Investigar on-line

Nivel de red

Nivel Sistema Operativo Windows.

Nivel Sistema Operativo UNIX

Nivel Sistema Operativo AS/400

72

© 2007


Analizar el tráfico de red

Se puede capturar todo el tráfico de red.

Es difícil para el intruso poder detectarlo.

Simplemente loguear las conexiones es muy útil.

Si se loguea el contenido, es necesario espacio en disco.

El Servidor donde funciona el analizador de protocolos debe

estar protegido.

Existen problemas con las conexiones encriptadas.

74

© 2007


DHCP

La computadora cuando bootea le pide al DCHP Serverque le asigne una dirección IP y la utiliza durante untiempo.

Una vez que el leasing terminó, otra computadora puedeutilizar esa dirección IP.

Deben almacenarse los LOGS del DHCP Server.

Tomar fotos o Print-Screens

75

© 2007


Correo Electrónico

Estos protocolos de correo electrónico (POP/IMAP)

generan los logs básicos en el archivo syslog en UNIX.

El logging es básico.

A qué hora alguien se conectó y desconectó.

Hay que activarlo extra si se quiere conocer qué actividad

se realizó sobre el Servidor.

Exchange/Groupwise/Lotus Notes generan sus propios

LOGS.

76

© 2007


LOGS de Web Servers

Problemática del protocolo HTTP.Tamaño.Análisis y separación de una conexión.LOGS de Proxy.Cache Proxy intermedios de Proveedores.

HTTP/S

78

© 2007


Objetivo de la investigación

Foco en el uso típico de la computadora.

Foco en posibles actividades no autorizadas.

- Material no autorizado.

- Hacking.

Foco en la información.

- Contactos.

- Passwords.

- Números de cuenta.

79

© 2007


Configuración:Información del sistema.Configuración de la red.Programas instalados.

Cosas estándares:Documentos.Mensajes de correo electrónico.Archivos zipeados.Música – archivos gráficos.

Archivo borrados:Papelera de reciclaje.Análisis de la registry.

Archivos ocultos:Slack Space.Archivos encriptados.Tipos de archivos alterados.

¿Qué busco?

82

© 2007


Cosas específicas a buscar

Sitios Web (Si es un IIS).Sitios FTP (Si es un IIS).Terminal ServicesSi se utiliza como DNS o Servidor de Mail.Log propios de Windows

•EventViewer•C:\WINNT\system32\LogFiles\

90

© 2007


Información relacionada con Internet

- Historia de navegación (Ver el browser).C:\Documents and Settings\jardita.ADCYBSEC\Configuración local\Historial

- CacheC:\Documents and Settings\USER\Configuración local\Archivos temporales de InternetC:\Documents and Settings\jardita.ADCYBSEC\Configuraciónlocal\Temp

- Cookies.

92

© 2007


Software que ya ha pasado pruebas del NIST

dd FreeBSD Encase 3.20 Safeback 2.18 Safeback (Sydex) 2.0 dd GNU fileutils 4.0.36, Provided with Red Hat Linux 7.1 RCMP HDL VO.8.

93

© 2007


ENCASE

Líder en el mercado de productos de análisis forense en

Estados Unidos.

De la empresa Guidance Software.

Permite realizar adquisición y análisis de evidencia

Para sistemas operativos FAT, NTFS, HPFS y EXT2.

http://www.youtube.com/watch?v=O4ce74q2zqM

¿Preguntas?


www.cybsec.com

Muchas gracias por acompañarnos


www.cybsec.com