Introducción a la Informática Forense
27
Transcript of Introducción a la Informática Forense
Carlos A. Horna Valle jos carlos @apes o l.org
In t rod u cción
La ciencia Forense se ha d estacad o p or los sorp rend en tes resu ltad os que ha m ost rad o en cam p os com o m ed icina, cr im inalís t ica y sus ap licaciones en invest igaciones arqueológicas y p oliciales .
La nesecid ad p roteger la in form ación cr ít ica, es area d e segurid ad in form át ica qu ien se esp ecializ a
en ello, aún as í no exis te un s is tem a 100% seguro, p or lo que cuand o nuest ras p olít icas , s is tem as d e d etección d e in t rusos y esquem as d e segurid ad fallan , an tes d e restau rar el s is tem a s in saber s i es tarem os vu lnerables otra vez , la in form át ica forense analiz a y exp lica el acon tecim ien to.
Con cep tos Bás icos Segu r id ad In form át ica, Con ju n to d e
p olít icas , m etod ologías y h er ram ien tas qu e ayu d an a m an ten er la in tegr id ad , con fid en cialid ad y acces ib ilid ad d e la in form ación .
Atacan te, en te extern o qu e ir ru m p e en in s talacion es ajen as con d iversos fin es (com u n m en te d añ in os) h acien d o u so d e m etod ologías y h er ram ien tas p rop ias o ad qu ir id as p ara ta les p rop ós itos .
Con cep tos Bás icos
In cid en te, act ivid ad efectu ad a o el p roceso rea liz ad o p or el a tacan te p ara lograr su objet ivo.
Vict im a o h os t com p rom et id o, equ ip o a tacad o y m od ificad o p or el a tacan te p ara ad ecu ar lo a su objet ivo.
Evid en cias , in form ación relevan te sobre el in cid en te, cu alqu ier in form ación qu e p u ed a p rop orcion ar d a tos sobre m etod ología , accesos o id en t ificación d el a tacan te.
Con cep tos Bás icos
RootKit , con jun to d e herram ien tas in s talad as p or el atacan te en el host vict im a que em ulan funciones norm ales d el s is tem a, reem p laz and o m od ulos o ap licaciones p or vers iones m od ificad as que p erm iten acceso o uso d e host p or el atacan te.
Honey Pot , host m on itor con servicios abiertos y sup uestas vu lnerabilid ad es, usad o p ara analiz ar a los atacan tes en un am bien te aud itable a fin d e recolectar in form ación d e técn icas y m etod ologías d e ataque s in com p rom eter equ ip os en p rod ucción .
An ális is Foren se
An alis is d e las evid en cias recolectad as d el h os t vict im a a fin d e ob ten er el m étod o d e en t rad a , act ivid ad d e in t ru sos , id en t id ad y or igen d e in t ru sos , es d ecir obten er n o solo u n a p ersp ect iva d el in cid en te s in o t am bien el m ovil u objet ivo y las evid en cias legales n ecesar ias .
Prin cip io d e in tercam bio
Cad a Con tacto d eja u n Ras t ro
Sosp echoso
Víct im a
Evid encia
Prin cip io d e in tercam bio El atacan te su be h er ram ien tas a l h os t
víct im a
Víct im a
Evid encia
Alertas d e equ ip os d e m on itoreo
Traz a d e conexiones
Restos d e Conexiones
Con t ienen ficheros con el m ism o hash
El h os t víct im a
Iden t ifiquem os las partes que se involucran con la in form acion :
– Preocesador
– Perifér icos
Procesos
Con gelación d e la escen a d el cr im en Recolección d e In form ación Firm ad o d e evid en cias (con cop ias ) An ális is d e las evid en cias In form e Corrección d e p rob lem as Recu p eración d el s is t em a
Ges t ión d e in cid en tes Prep aración
Detección
Recup eración
Aud itoria
Anális is Forense
Id en t ificación d e u n h os t com p rom et id o
Cam bios d e con t raseñ as
Ap arecen u su ar ios n u evos d escon ocid os
Precesos ext rañ os ejecu tan d ose en el h os t
Alteracion es en el t rafico d e red d el h os t
Diferen cias en t re in form ación d e h erram ien tas d e ad m in is t ración d el s is tem a com o esp acio en d isco o u so d e m em oria .
Sosp ech as d e rootk it
Con gelar la escen a
Recolectar la m ayor can t idad de datos volat iles del s is tem a an tes d e p roceder a ais lar lo.
Exis te in form ación im p ortan te en :
Regis tros d el p rocesad or
Procesos en m em oria Ram
Datos d e red (t rafico, tablas arp , conexiones )
El d irector io / p roc
Los arch ivos tem p orales
Con gelar la escen a
Un a vez recolectad a la in form ación volat il, se p roced e a d ejar la in form ación lo m as es tát ica p os ib le, en es te p u n to se recom ien d a qu itar el flu id o eléct r ico d el h os t (d escon ectar lo) s in ap agar o d ar d e baja el s is tem a op erat ivo, s im p lem en te d escon ectar lo p ara qu e n o se ejecu te n in gu n cód igo d añ in o cam u flad o en t re los p rocesos d e baja d el s is tem a.
Hacer solo lo n ecesar io
No puedo obtener e l e s tado de l s is tem a s in alterarlo , a l in t en tar obten er u n a im agen d e la m em oria ram , t en d rem os qu e el p roceso o p rogram a u t iliz ad o, t am bien es tara a lli, p or lo qu e es im p os ib le obten er lo s in a lt eración .
Norm alm ente e l adm inis trador de tecta e l incidente , los p rocesos efectu ad os p or el ad m in is t rad or son claves en el an alis is , as i p od em os saber qu e efectos t en d r ian en la m od ificación d e la escen a , es p reciso saber exactam en te qu e p aso h a segu id o h as ta qu e el p erson al d e an alis is llegu e.
Herram ien tas
NO u t iliz ar las herram ien tas d el s is tem a com p rom etid o p ara realiz ar las cop ias y recoleccion d e evid encias , p od rian estar alterad as .
Utiliz ar binarios (herram ien tas) d esd e un cd o d isket te.
Raliz ar cop ias d e segurid ad d e las evid encias .
Firm ar las evid encias p ara asegurar la in tegrid ad d e la in form ación .
Ven tajas d e GNU/ Lin u x
Booteable d esd e cd . Sop or te a u n a gran can t id ad d e Sis tem as
d e fich eros . Disp os it ivo loop back p ara m on tar
im agen es d e las p ar t icion es .
In form ación
Arch ivos n orm ales Arch ivos tem p orales Arch ivos ocu ltos Arch ivos bor rad os Mon itores
In form e
Docu m en tad o Rep rod u cib le Resu ltad os ver ificab les In d ep en d ien te
– Del invest igador
– De la m etodología
Mon itoreo
Los m on itores relacionad os al host víct im a p ued en d arnos p is tas com p lem en tarias en el caso:
– Monitores d e t ráfico
– Detección d e in trusiones
– Logs d e equ ip os cercanos
– In form ación en las estaciones d e t rabajo t ransm it id os d esd e el host com p rom et id o.
– In form ación en las exp eriencias d e los ad m in is t rad ores y usuarios d el host .
Sis tem as apetecibles p ara los atacan tes por su configuración s im ulando una ser ie d e servicios vu lnerables a determ inados ataques o por tener un nom bre que pued a suger ir que t iene in form ación u t il p ara los atacan tes .
Equip o m onitoreado a fin de detectar cuando se p roduz can los ataques y as i obtener in form ación sobre el atacan te.
Equ ip os Tram p a
Proceso d e Ataqu e
Recoleccion de in form ación im portan te Escaneo d e puertos Iden t ificación de s is tem as vu lnerables Seleccion de herram ien tas Preparacion del ataque Incidente Ins talación de herram ien tas y rootkit Borrado de p is tas Reincidencia
GNU/ Lin u x
KNOPPIX- STD
En laces in teresan tes
h t tp :/ / www.ap esol.org h t tp :/ / www.lin u x- foren s ics .com h t tp :/ / www.cybercop m ail.com h t tp :/ / www.secu r ityfocu s .org h t tp :/ / www.op en foren s ics .org
h t tp :/ / www.h on eyn et .org h t tp :/ / www.kn op p ix.s td .org
Conclus iones
La seguridad no es un p rod ucto, s ino un es t ilo de vida que involucra m uchos factores .
El Software Libre gracias a la d ispon ibilidad de su cod igo se m uest ra com o una alternat iva confiable y p ersonaliz able en tem as d e segur idad .
Existen m uchos desarrollos de software basados en Software Libre que no solo nos ayudaran a m antener segu ra nuest ra in form acion s ino a aud itar la.
Preguntas?
http:/ / w w w .apes ol.org
In t rod u cción
La ciencia Forense se ha d estacad o p or los sorp rend en tes resu ltad os que ha m ost rad o en cam p os com o m ed icina, cr im inalís t ica y sus ap licaciones en invest igaciones arqueológicas y p oliciales .
La nesecid ad p roteger la in form ación cr ít ica, es area d e segurid ad in form át ica qu ien se esp ecializ a
en ello, aún as í no exis te un s is tem a 100% seguro, p or lo que cuand o nuest ras p olít icas , s is tem as d e d etección d e in t rusos y esquem as d e segurid ad fallan , an tes d e restau rar el s is tem a s in saber s i es tarem os vu lnerables otra vez , la in form át ica forense analiz a y exp lica el acon tecim ien to.
Con cep tos Bás icos Segu r id ad In form át ica, Con ju n to d e
p olít icas , m etod ologías y h er ram ien tas qu e ayu d an a m an ten er la in tegr id ad , con fid en cialid ad y acces ib ilid ad d e la in form ación .
Atacan te, en te extern o qu e ir ru m p e en in s talacion es ajen as con d iversos fin es (com u n m en te d añ in os) h acien d o u so d e m etod ologías y h er ram ien tas p rop ias o ad qu ir id as p ara ta les p rop ós itos .
Con cep tos Bás icos
In cid en te, act ivid ad efectu ad a o el p roceso rea liz ad o p or el a tacan te p ara lograr su objet ivo.
Vict im a o h os t com p rom et id o, equ ip o a tacad o y m od ificad o p or el a tacan te p ara ad ecu ar lo a su objet ivo.
Evid en cias , in form ación relevan te sobre el in cid en te, cu alqu ier in form ación qu e p u ed a p rop orcion ar d a tos sobre m etod ología , accesos o id en t ificación d el a tacan te.
Con cep tos Bás icos
RootKit , con jun to d e herram ien tas in s talad as p or el atacan te en el host vict im a que em ulan funciones norm ales d el s is tem a, reem p laz and o m od ulos o ap licaciones p or vers iones m od ificad as que p erm iten acceso o uso d e host p or el atacan te.
Honey Pot , host m on itor con servicios abiertos y sup uestas vu lnerabilid ad es, usad o p ara analiz ar a los atacan tes en un am bien te aud itable a fin d e recolectar in form ación d e técn icas y m etod ologías d e ataque s in com p rom eter equ ip os en p rod ucción .
An ális is Foren se
An alis is d e las evid en cias recolectad as d el h os t vict im a a fin d e ob ten er el m étod o d e en t rad a , act ivid ad d e in t ru sos , id en t id ad y or igen d e in t ru sos , es d ecir obten er n o solo u n a p ersp ect iva d el in cid en te s in o t am bien el m ovil u objet ivo y las evid en cias legales n ecesar ias .
Prin cip io d e in tercam bio
Cad a Con tacto d eja u n Ras t ro
Sosp echoso
Víct im a
Evid encia
Prin cip io d e in tercam bio El atacan te su be h er ram ien tas a l h os t
víct im a
Víct im a
Evid encia
Alertas d e equ ip os d e m on itoreo
Traz a d e conexiones
Restos d e Conexiones
Con t ienen ficheros con el m ism o hash
El h os t víct im a
Iden t ifiquem os las partes que se involucran con la in form acion :
– Preocesador
– Perifér icos
Procesos
Con gelación d e la escen a d el cr im en Recolección d e In form ación Firm ad o d e evid en cias (con cop ias ) An ális is d e las evid en cias In form e Corrección d e p rob lem as Recu p eración d el s is t em a
Ges t ión d e in cid en tes Prep aración
Detección
Recup eración
Aud itoria
Anális is Forense
Id en t ificación d e u n h os t com p rom et id o
Cam bios d e con t raseñ as
Ap arecen u su ar ios n u evos d escon ocid os
Precesos ext rañ os ejecu tan d ose en el h os t
Alteracion es en el t rafico d e red d el h os t
Diferen cias en t re in form ación d e h erram ien tas d e ad m in is t ración d el s is tem a com o esp acio en d isco o u so d e m em oria .
Sosp ech as d e rootk it
Con gelar la escen a
Recolectar la m ayor can t idad de datos volat iles del s is tem a an tes d e p roceder a ais lar lo.
Exis te in form ación im p ortan te en :
Regis tros d el p rocesad or
Procesos en m em oria Ram
Datos d e red (t rafico, tablas arp , conexiones )
El d irector io / p roc
Los arch ivos tem p orales
Con gelar la escen a
Un a vez recolectad a la in form ación volat il, se p roced e a d ejar la in form ación lo m as es tát ica p os ib le, en es te p u n to se recom ien d a qu itar el flu id o eléct r ico d el h os t (d escon ectar lo) s in ap agar o d ar d e baja el s is tem a op erat ivo, s im p lem en te d escon ectar lo p ara qu e n o se ejecu te n in gu n cód igo d añ in o cam u flad o en t re los p rocesos d e baja d el s is tem a.
Hacer solo lo n ecesar io
No puedo obtener e l e s tado de l s is tem a s in alterarlo , a l in t en tar obten er u n a im agen d e la m em oria ram , t en d rem os qu e el p roceso o p rogram a u t iliz ad o, t am bien es tara a lli, p or lo qu e es im p os ib le obten er lo s in a lt eración .
Norm alm ente e l adm inis trador de tecta e l incidente , los p rocesos efectu ad os p or el ad m in is t rad or son claves en el an alis is , as i p od em os saber qu e efectos t en d r ian en la m od ificación d e la escen a , es p reciso saber exactam en te qu e p aso h a segu id o h as ta qu e el p erson al d e an alis is llegu e.
Herram ien tas
NO u t iliz ar las herram ien tas d el s is tem a com p rom etid o p ara realiz ar las cop ias y recoleccion d e evid encias , p od rian estar alterad as .
Utiliz ar binarios (herram ien tas) d esd e un cd o d isket te.
Raliz ar cop ias d e segurid ad d e las evid encias .
Firm ar las evid encias p ara asegurar la in tegrid ad d e la in form ación .
Ven tajas d e GNU/ Lin u x
Booteable d esd e cd . Sop or te a u n a gran can t id ad d e Sis tem as
d e fich eros . Disp os it ivo loop back p ara m on tar
im agen es d e las p ar t icion es .
In form ación
Arch ivos n orm ales Arch ivos tem p orales Arch ivos ocu ltos Arch ivos bor rad os Mon itores
In form e
Docu m en tad o Rep rod u cib le Resu ltad os ver ificab les In d ep en d ien te
– Del invest igador
– De la m etodología
Mon itoreo
Los m on itores relacionad os al host víct im a p ued en d arnos p is tas com p lem en tarias en el caso:
– Monitores d e t ráfico
– Detección d e in trusiones
– Logs d e equ ip os cercanos
– In form ación en las estaciones d e t rabajo t ransm it id os d esd e el host com p rom et id o.
– In form ación en las exp eriencias d e los ad m in is t rad ores y usuarios d el host .
Sis tem as apetecibles p ara los atacan tes por su configuración s im ulando una ser ie d e servicios vu lnerables a determ inados ataques o por tener un nom bre que pued a suger ir que t iene in form ación u t il p ara los atacan tes .
Equip o m onitoreado a fin de detectar cuando se p roduz can los ataques y as i obtener in form ación sobre el atacan te.
Equ ip os Tram p a
Proceso d e Ataqu e
Recoleccion de in form ación im portan te Escaneo d e puertos Iden t ificación de s is tem as vu lnerables Seleccion de herram ien tas Preparacion del ataque Incidente Ins talación de herram ien tas y rootkit Borrado de p is tas Reincidencia
GNU/ Lin u x
KNOPPIX- STD
En laces in teresan tes
h t tp :/ / www.ap esol.org h t tp :/ / www.lin u x- foren s ics .com h t tp :/ / www.cybercop m ail.com h t tp :/ / www.secu r ityfocu s .org h t tp :/ / www.op en foren s ics .org
h t tp :/ / www.h on eyn et .org h t tp :/ / www.kn op p ix.s td .org
Conclus iones
La seguridad no es un p rod ucto, s ino un es t ilo de vida que involucra m uchos factores .
El Software Libre gracias a la d ispon ibilidad de su cod igo se m uest ra com o una alternat iva confiable y p ersonaliz able en tem as d e segur idad .
Existen m uchos desarrollos de software basados en Software Libre que no solo nos ayudaran a m antener segu ra nuest ra in form acion s ino a aud itar la.
Preguntas?
http:/ / w w w .apes ol.org
