jul 5, 2009

Enviado por en InfoSec

Análisis Forense de Sistemas (Computer Forensics)

Concepto

El Análisis Forense de Sistemas (Computer Forensics) comprende el proceso de extracción, conservación, identificación, documentación, interpretación y presentación de las evidencias digitales de forma que sean legalmente aceptadas en cualquier proceso legal (por ejemplo un juicio).

Proporciona las técnicas y principios que facilitan la investigación del delito y su metodología básica consiste en:

  • Adquirir las evidencias sin alterar ni dañar el original. La forma ideal de examinar un sistema consiste en detenerlo y examinar una copia de los datos originales, es importante tener en cuenta que no se puede examinar un sistema presuntamente comprometido utilizando las herramientas que se encuentran en dicho sistema pues estas pueden estar afectadas. La Cadena de Custodia documenta el proceso completo de las evidencias durante la vida del caso, quién la recogió y donde, quien y como la almacenó, quién la procesó… etc. Cada evidencia deberá ser identificada y etiquetada a ser posible en presencia de testigos, con el número del caso, una breve descripción, la firma y la fecha en que fue recogida.

  • Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de la investigación son idénticas a las abandonadas por el delincuente en la escena del crimen. Las técnicas y herramientas de control de integridad que mediante la utilización de una función hash generan una huella electrónica digital de un fichero o un disco completo constituyen una ayuda básica.

  • Análizar los datos sin modificarlos. En este punto, es crucial proteger las evidencias físicas originales trabajando con copias idénticas de forma que en caso de error se pueda recuperar la imagen original y continuar con el análisis de forma correcta. Se recomienda la realización de dos copias de los discos originales. Estas copias deben ser clones realizados bit a bit del dispositivo original, los backups normales no copian ficheros que han sido borrados ni determinadas partes de los discos que pueden contener pistas importantes para el desarrollo de la investigación. Es básico realizar siempre un control de integridad de la copia realizada antes de comenzar ningún análisis.

De los párrafos anteriores puede deducirse que las evidencias digitales presentan una serie de ventajas sobre otros conjuntos de evidencias físicas. Estas ventajas son:

  • Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera el original. Si alguien intenta destruir las evidencias se pueden tener copias igualmente válidas lejos del alcance del criminal.

  • Con la utilización de herramientas adecuadas es fácil determinar si la evidencia ha sido modificada o falsificada comparándola con la original.

  • Es relativamente difícil destruir una evidencia digital. Incluso borrándola puede ser recuperada del disco.

VENTAJAS DE LINUX COMO HERRAMIENTA DE ANÁLISIS FORENSE

El sistema operativo Linux presenta algunas características que le dotan de grandes ventajas a la hora de ser utilizado como herramienta de análisis forense de sistemas. Estas características son:

  • Todo, incluido el hardware se trata y representa como un fichero.

  • Soporta numerosos tipos de sistemas de archivos, mucho no reconocidos por Windows

  • Permite montar los sistemas de archivos

  • Permite análizar un sistema en funcionamiento de forma segura y poco invasiva.

  • Permite redirigir la salida de un comando a la entrada de otro (múltiples comandos en una línea)

  • Permite revisar el código fuente de la mayoría de sus utilidades

  • Permite generar dispositivos de arranque

  • Es gratuito, así como la mayoría de las herramientas utilizadas para el análisis forense de sistemas.

Ciclo de vida de análisis forense de las evidencias

ciclo de vida

Objetivos de Análisis Forense

  • Saber que ha sucedido

  • Determinar la magnitud del incidente

  • Determinar otras entidades implicadas

  • Prevenir y mejorar la preparación para incidentes futuros

  • Eliminar el riesgo y las posibles responsabilidades

  • Si es necesario, denunciar

Clasificación de Evidencia

clasificacion

Recolección de Evidencias

Evidencias volátiles: Son aquellas que se perderan al apagar el equipo.

  • Hora del sistema y desfase horario
  • Contenido de la memoria
  • Procesos en ejecución:
    • Módulos/Controladores del Sistema Operativo
    • Programas en ejecución
  • Usuarios conectados
  • Configuración de red
    • Direcciones IP, tabla de rutas, cache arp, etc
    • Conexiones activas, puertos abiertos
  • Hacer checksum de todo, para evitar alteraciones

Evidencias no volátiles: Son aquellas que permanecerán tras apagar el equipo

  • Copiarlas al equipo de análisis
    • De forma local o a través de la red
    • Hacer checksum
  • Nunca
    • Utilizar programas del sistema para hacer la copia
    • Montar los sistemas de ficheros en modo escritura
  • También logs de IDS/Cortafuegos externos

Análisis

Proceso para identificar, análizar y presentar evidencias digitales, de modo y forma que sean aceptadas en un tribunal. En este apartado se detalla de forma resumida la secuencia de actividades llevada a cabo para la obtención de las evidencias objeto del análisis.

El tiempo avanza y es nuestro amigo.

  • Tratar de correlar eventos
  • Logs del sistema
  • Tiempos MAC de los ficheros
  • Si no han sido alterados, información clave
  • Reconstruir la secuencia de comandos ejecutados
  • Analizar adecuadamente los programas en entornos seguros
  • ¿Dónde puede haber información?
  • Archivos normales
  • Archivos temporales
  • Archivos ocultos
  • Archivos borrados
  • Slack space
  • ¿Esteganografía?

Informe

  • Características del análisis forense
  • Documentado
  • Reproducible
  • Resultados verificables
  • Independiente
  • Del investigador
  • De las herramientas empleadas
  • De la metodología

Conclusión

El tema del Analisis Forense de Sistemas o Informatica Forense, es muy extenso y rico en conocimiento. Lamentablemente este articulo es una recopilación de documentaciones que se encuentran por Internet.

En un futuro realizare un post, de como realizar un analisis forense paso a paso con la imagen de un sistema comprometido. Este dara detalle de:

  • Como correr la imagen en un sistema linux
  • Las herramientas que se utilizaran
  • Los pasos para recolectar la informacion
  • El analisis
  • Y como realizar un informe

Para los que quieran investigar por su cuenta, a continuación doy unos enlaces interesantes. Como un ftp para las descargas de las imagenes de los sistemas comprometidos, otro donde se encuentran los informes referente a cada reto y así van aprendiendo con el paso de la lectura.

Enlaces:

Att. FeCr_88

PD: Casper -> Estaras vivo?

PD2: B@cho -> Arregla mis post ¬¬

PD3: Kalith -> Su nuevo pseudonimo Kalithagra

    9 Comentarios

    1. avatar
      Kalith dice:
      julio 6, 2009 en 6:13 pm

      Cual Kalithagra -.-!!

      con respecto al artículo, por demas interesante, sería bueno complementarlo con algunos ejemplos reales, logs, screen etc.. pero repito buen tute.

      Usando Firefox 3.0.10 Firefox 3.0.10 en Ubuntu 9.04 Ubuntu 9.04
      • avatar
        FeCr_88 dice:
        julio 7, 2009 en 6:34 am

        XD.. Besos, bueno. la intención es que para el segundo post. Venga un caso Semi-Real. Con una imagen de un sistema comprometido, haciendo el analisis paso a paso.

        Usando IceWeasel 3.0.6 IceWeasel 3.0.6 en Debian GNU/Linux Debian GNU/Linux
    « Comentarios más viejos

    Dejar una respuesta

    Debes ser Alojarse para enviar un comentario.