Curso de Analisis Forense 2005
1.0 - Introducción al Análisis Forense.
1.1 - Qué es y que no es.
1.2 - Características.
1.3 - Qué se necesita.
Curso de Analisis Forense 2005
2.0 - Conceptos y enfoque inicial.
2.1 - Cuándo se necesita un Análisis Forense.
2.2 - Problemas del Análisis Forense.
2.3 - Reconstrucción de los hechos.
2.4 - Otras respuestas además del Análisis Forense.
Curso de Analisis Forense 2005
3.0 - Técnicas generales de Análisis Forense
3.1 - Pasos previos. Principio de incertidumbre
3.2 - Cadena de confianza
3.3 - Organización y procedimientos iniciales
3.4 - Trampas al Analista Forense
3.5 - Identificación de las fuentes de datos
3.6 - Creación de una "Time-line"
3.7 - Clasificación de las evidencias
3.8 - Protección de las evidencias
Curso de Analisis Forense 2005
4.0 Técnicas de análisis de disco
4.1 - Análisis de archivos en imágenes de disco
4.2 - Análisis de logs y registros de aplicaciones
4.3 - Análisis de volcados (dump) y memoria swap
4.4 - Análisis de archivos borrados
4.5 - Ocultación de datos en archivos.
4.5.1 - Steganografía
4.5.2 - Particiones y otras posibilidades
4.6 - Cifrado de archivos y sistemas de archivos
4.7 -
LABORATORIO 1
- Análisis de disco.
Curso de Analisis Forense 2005
5.0 - Técnicas de análisis de red
5.1 - Capturas raw
5.2 - Capturas filtradas
5.3 - IDS
5.4 - Honeypots
5.5 -
LABORATORIO 2
- Análisis de red.
Curso de Analisis Forense 2005
6.0 - Técnicas de análisis en otros sistemas
6.1 - Accesos en servidores de autenticacion
6.2 - Accesos via proxy, caché y similares
6.3 - Rastreo de IP
Curso de Analisis Forense 2005
7.0 - Técnicas de análisis de binarios
7.1 - Búsqueda de cadenas
7.2 - Rastreo en red
7.3 - Rastreo de llamadas al sistema
7.4 - Decompilación
7.5 - Desemsamblado
7.6 -
LABORATORIO 3
- Análisis de binarios
Curso de Analisis Forense 2005
Qué es el análisis forense
Parte 1 - Introducción
“La recolección y el análisis de datos hecha de manera que no se alteren los datos originales y que permita la fiel reconstrucción de lo que ha sucedido en un sistema”
Qué NO es el análisis forense
- Poner trampas, engañar o perseguir a la gente. - Identificar autores de incidentes.
- Tratar con las compañias, los medios de comunicacion. - Cualquier otra cosa qe no sea estrictamente técnica.
Curso de Analisis Forense 2005
Características
✔ Los sistemas son muy complejos: necesidad de adaptacion y
reciclaje técnico veloz.
✔ Las cosas se pueden ocultar de infinitas maneras. ✔ No existe software para todo.
✔ El conocimiento y la experiencia son muy importantes. ✔ El análisis es muy lento.
Curso de Analisis Forense 2005
Qué se requiere
✔
Capacidad técnica.
✔
Conocer las implicaciones técnicas de tus acciones.
✔Conocer cómo se puede manipular la información.
✔Etica profesional.
✔
Inteligencia, mente abierta e intuición.
✔Formación contínua.
Curso de Analisis Forense 2005
Curso de Analisis Forense 2005
Cuándo se necesita un Análisis Forense
Procesos judiciales
• Recuperacion de evidencias
Casos de pirateria, pederastia, robo de información, etc
• Peritajes informaticos.
Procesos de investigación
• Incidentes de seguridad.
Hacking, intrusiones, fugas de información, sabotaje, etc
• Recuperación de datos
Sabotaje, desastre, otros.
• Recuperación de evidencias.
Curso de Analisis Forense 2005
Dificultades implícitas
✔
No somos adivinos.
✔
No sabemos que ha pasado.
✔
No sabemos a quien o qué nos enfrentamos.
✔No sabemos en qué o en quien confiar.
✔
Siempre habra problemas que nos sobrepasen.
✔Volatilidad del medio.
✔
El legado de Heisenberg.
Curso de Analisis Forense 2005
Reconstruyendo los hechos
➔
Objetivo (en procesos de investigación)
➔
Saber QUÉ ha ocurrido.
➔
CUANDO ha sucedido
➔
CÓMO ha sido.
➔
Las fechas están para orientarnos.
● Creación de la línea de tiempo.
● Examinar sólo una ventana de tiempo a la vez. ● Seguir la pista sin perdernos.
Curso de Analisis Forense 2005
Otras respuestas simultáneas al Análisis Forense
“
El analista VS el político “
Contacto con las autoridades.
✔ CERT.
✔ Servicios de seguridad. ✔ Proveedor de servicios. ✔ RFC 2196
Contacto con los medios.
RFC 2196 (p 5.2.6)
Contacto con la empresa.
RFC 2350, RFC 2196
Parte 2 – Enfoque inicial
Curso de Analisis Forense 2005
Curso de Analisis Forense 2005
Pasos previos.
El DEBER de proteger la integridad de la información.
Principio de incertidumbre
Examinar o almacenar una parte del sistema, modificará alguna parte del sistema.
Curso de Analisis Forense 2005
Cadena de confianza
✗
El shell y las variables de entorno.
✗
El comando
✗
Librerias dinamicas
✗
Controladores o modulos
✗Kernel
✗
Hardware
Curso de Analisis Forense 2005
Organización y procedimientos iniciales
●
Aislar el medio
Realizar copias
Verificar la integridad del mismo
●
Crear un timeline
●Analisis de datos
Curso de Analisis Forense 2005
Trampas al analista
Trampas al acceder al medio
Troyanos autodestructivos, demonios “watchdog”, trampas binarias, bombas lógicas
Trampas al “apagar”
Información volátil: claves, índices, datos.
Trampas al “encender”
Watchdog de encendido, trampas físicas.
Ocultación de datos
Curso de Analisis Forense 2005
Identificación de las fuentes de datos
- Sistema de archivos local. - Logs de sistema
- Logs de aplicación.
- Swap y volcados de memoria - Archivos borrados.
- Particiones ocultas - Red.
- Servidores de acceso remoto -> Radius, RAS.
- Servidores de autenticacion -> LDAP, Domain Controller, etc. - Network IDS (remotos).
- Host IDS (local).
- Honeypots en misma red.
Curso de Analisis Forense 2005
Creación de una "Time-line"
Nos da un poco de orden en el caos.
Secuencia las acciones, basandonos en:
● Acceso a los archivos.
● Creación/Modificación de los archivos.
Ventanas de tiempo
Curso de Analisis Forense 2005
Clasificación de las evidencias.
Secuencia en el tiempo (Timeline) Ficheros
Secuecias de comandos, información recolectada del sistema Logs, textos, binarios, imagenes y otro tipo de archivos.
Datos RAW.
Pistas:
Cadenas encontradas en el ruido. Indicios no vinculantes.
Notas aportadas por el investigador
Curso de Analisis Forense 2005
Protección de las evidencias.
Crear un entorno de trabajo seguro
Chroot, maquinas independientes, vmware
Extracción segura de las evidencias
Dispositivos externos, discos duros extraibles, firewire
Necesidad de mantener la integridad de las evidencias.
Creación de HASHes (MD5, SHA1, herramientas automaticas)
Redundancia de la información.
Copias de seguridad de TODO.
Curso de Analisis Forense 2005
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #1
Acceso a los discos
➢ Mediante un arranque en frio con un bootdisk
➢ Dispositivos externos (USB, Firewire)
➢ A los discos fisicamente (conexion fisica IDE/SCSI...)
➢ En caliente
Acceso al dispositivo
Norton Ghost Acronis Otros.. dd if=/dev/hdaCurso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #2
Imágenes de discos. Formatos
Entorno de trabajo seguro
vmWare chroot
Dispositivos loopback Réplica exacta
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #3
Herramientas para trabajar con imagenes
Sleuthkit, heredero de The Coroner's Toolkit (TCT)
enCase, herramienta comercial (Windows)
dd
Norton Ghost (Windows)
Acronis (Windows)
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #4
Curso de Analisis Forense 2005
Analisis de logs
- Syslog, event log y similares (Bitácora del sistema)
- Demonios del sistema.
- Servidores web y de aplicaciones distribuidas.
- Logs de autenticación y acceso remoto.
- Históricos de comandos.
- Históricos de accesos.
- Favoritos, ultimos sitios navegados, y similares.
- Cachés de passwords.
Curso de Analisis Forense 2005
Volcados de memoria y disco
Espacio de memoria SWAP
Volcados de memoria (Core dumps)
Espacio en disco no asignado
Herramientas:
autopsy - sleuthkit strings
enCase
Curso de Analisis Forense 2005
Análisis de archivos borrados
Sistemas de Asignacion de archivos comunes
FAT y variantes EXT y variantes
Archivos borrados
undeleteBorrado seguro
wipeRecuperación manual de datos
Curso de Analisis Forense 2005
Análisis de archivos en “caliente”
No recomendado
No es un analisis forense, es una “Biopsia”
Afecta a los datos obtenidos.
Borrado accidental de evidencias o modificación. Facilidad de caer en una trampa.
Técnicas basicas
Analisis SWAP
Analisis /proc/kore en Linux Analisis logs
Analisis modulos kernel
Busqueda de troyanos y rootkits
Curso de Analisis Forense 2005
Ocultación de datos en archivos
Steganografía
Métodos
Estadística.
Difusión de error.
Inserción de bloques.
Graficos (JPEG, GIF, etc)
jphide, outguess, steghide, F5, camouflaje vs metodos manuales
Textos
Curso de Analisis Forense 2005
Cifrado y sistemas de archivo
Sistemas de disco cifrado.
Forzado de mecanismos criptográficos.
fcrackzip
Cifrado de llave publica / llave privada
pgp
Ocultación de datos en particiones ocultas
Ocultación y cifrado.
Sistemas de archivos steganográficos.
Curso de Analisis Forense 2005
LABORATORIO DE DISCO
Curso de Analisis Forense 2005
Práctica 1.
Se ha encontrado un diskete en el registro del domicio de un sospechoso acusado de terrorismo. Se buscan pruebas contra él.
En ese disco pueden ocultarse datos, se sospecha que una organización esta formando a sus activos sobre manejo y
fabricación de explosivos, asi como dándoles información sobre sus objetivos (fotografías, etc).
Determinar si existen pruebas que sirvan para acusar al
sospechoso y asegurar su veracidad. Si es posible averiguar algo sobre la posible víctima, será un bonus.
Curso de Analisis Forense 2005
Práctica 2.
Gracias al enjuiciamiento por actividades terroristas, se ha
seguido de un grupo terrorista hasta una universidad de Madrid. Se ha incautado abundante material informático de varios de los asistentes a una reunión “underground” en la Universidad.
Se sabe que uno de los detenidos está ultimando un atentado contra un empresario de Madrid, se necesita saber el método empleado y si es posible la fecha y el lugar.
Curso de Analisis Forense 2005
Práctica 3.
Se ha seguido la pista del detenido, un experto en hacking, hasta un servidor ubicado en el centro de datos de una empresa en Sevilla que ha sido utilizado para almacenar información sobre fabricación de bombas y desde el cual se sospecha existe abundante
información sobre la banda de extorsión.
Se ha tenido acceso al servidor por mediación de la policia y el juez nos pide como peritos que colaboremos con la policía científica para investigar si el servidor ha sido hackeado, cuando, y que contiene que valor para la investigación.
Esta práctica continuará para su resolución en la parte 5: Análisis de Red e IDS
Curso de Analisis Forense 2005
Capturar del cable en modo “raw”
Sniffers y modo promiscuo Herramientas
snifferpro y otras herramientas comerciales. tcpdump
ethereal tethereal
Curso de Analisis Forense 2005
Capturar del cable con filtros
Herramientas
ngrep dsniff
Otras herramientas
p0f
perl, grep, scripting
Curso de Analisis Forense 2005
IDS
Que es un IDS y como funciona.
snort
realsecure man hunt dragon
Propósito y arquitectura de un IDS
Trabajo inline
Tipos de registros y capturas (eventos, pcap)
Sobresaturación, falsos positivos, falsos negativos.
Curso de Analisis Forense 2005
Honeypots
Introducción a los honetpots Honeynet project http://www.honeynet.org Herramientas sebek (LKM) tarpits honeyd vmware otros
Curso de Analisis Forense 2005
Práctica 4
Conjuntamente con el análisis de la practica 3 de disco, existe información obtenida por medio de IDS del tráfico hacia el
servidor. Con ayuda de esta información y del análisis de disco, determinar exactamente el tipo de ataque sufrido y el modus operandi del agresor, asi como las consecuencias de dicho ataque.
Curso de Analisis Forense 2005
Curso de Analisis Forense 2005
Accesos en servidores de autenticación
Radius.
R.A.S.
Registros telefónicos.
Telefonía Móvil.
Curso de Analisis Forense 2005
Accesos via proxy, caché y similares
Rastreo de IP
Contacto con proveedores
Curso de Analisis Forense 2005
Curso de Analisis Forense 2005
Introducción
Puede ser peligroso. Complejidad.
Aproximación “en frio”
Búsqueda de cadenas. Dependencia de librerías. Formato de archivo.
Decompilación Desensamblado.
Curso de Analisis Forense 2005
Aproximación “en caliente”
Aislar el medio
Réplica hardware
Réplica virtual (vmWare) Jaula root
Ejecución con trazas
ltrace strace
Captura de red en la ejecución
Curso de Analisis Forense 2005
LABORATORIO DE BINARIOS
Curso de Analisis Forense 2005
Práctica 5
Se han encontrado un juego de varias herramientas
(binarios) utilizados por el intruso de la práctica 3 y 4. Se pide determinar el origen de estas herramientas, su utilidad y su autoría, por si esto nos pudiera dar mas pistas sobre el autor de los hechos.
Curso de Analisis Forense 2005
Práctica 6.
Un juez nos pide que determinemos si una persona, acusada de Pedofilia, es culpable o no. En este caso, todo tipo de fotos de gatos serán considerado como material “pedofilo” para la práctica.
En esta práctica haremos uso de todas las técnica de análisis forense vistas durante el curso. Además contaremos con la dificultad añadida de ser un entorno bastante caótico: Windows98.
No debemos olvidar que el método basado en líneas de tiempo es de especial importancia para seguir todas y cada una de las pistas y que nuestra motivación debe ser objetiva, esto es, debemos tener una ética que exige imparcialidad y no dejarnos llevar por nuestros juicios de valor.
Curso de Analisis Forense 2005
Analisis Forense
Medio cambiante.
Complejidad técnica.
Reto y evolución contínuo.
Múltiples aproximaciones.
Metodología básica
Técnicas básicas:
Preservar información.
Copiar / Acceder información. Análisis de disco.
Análisis de red.
Curso de Analisis Forense 2005
Curso de Análisis Forense Noviembre 2004
Dudas, preguntas, sugerencias y quejas:
Sancho Lerena
