• No se han encontrado resultados

Herramientas forenses para la respuesta a incidentes informáticos

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Herramientas forenses para la respuesta a incidentes informáticos"

Copied!
68
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 68 página )

Texto completo

(1)FACULTAD DE INGENIERÍA ELÉCTRICA. Departamento de Electrónica y Telecomunicaciones. Trabajo de Diploma Herramientas forenses para la respuesta a incidentes informáticos. Autor: Jairo Llano Tejera Tutor: MSc. Yakdiel Rodríguez Gallo-Guerra. Tesis presentada en opción al Título Académico de Ingeniería en Telecomunicaciones y Electrónica.. Santa Clara 2013 “Año 56 de la Revolución”.

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Herramientas forenses para la respuesta a incidentes informáticos Tesis presentada en opción al Título Académico de Ingeniería en Telecomunicaciones y Electrónica. Autor: Jairo Llano Tejera E-mail: jllano@uclv.edu.cu. Tutor: MSc. Yakdiel Rodríguez-Gallo Guerra Prof. Instructor Dpto. de Electrónica Facultad de Ing. Eléctrica, UCLV. E-mail: yrodriguez-gallo@uclv.edu.cu Santa Clara 2014 “Año 56 de la Revolución”.

(3) Hago constar que la presente Tesis en Opción al Título Académico de Ing. en Telecomunicaciones y Electrónica, fue realizada en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que la misma sea utilizada por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentada en eventos, ni publicada sin autorización de la Universidad.. ____________________ Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. ___________________. __________________. Firma del Tutor. Firma del Tutor. _____________________________. ___________________________. Firma del Jefe de Departamento. Firma del Responsable de Información Científico-Técnica.

(4) iv. PENSAMIENTO. La justicia, la igualdad del mérito, el trato respetuoso del hombre, la igualdad plena del derecho: eso es la revolución.. José Martí.

(5) v. DEDICATORIA. A mi familia por el amor y el apoyo que me brindan, A mis amigos por su ayuda y su aliento para lograr este sueño..

(6) vi. AGRADECIMIENTOS. A todas las personas que me ayudaron con la realización de esta tesis y contribuyeron a mi formación como profesional. Gracias..

(7) vii. RESUMEN. La seguridad en equipos informáticos y redes de computadores es un tema de gran relevancia en la actualidad. La Universidad Central Marta Abreu de las Villas (UCLV) no cuenta con una herramienta que permita analizar y procesar eventos producto de un ataque o fallo de seguridad. En el siguiente trabajo se explican los pasos a seguir para la realización de un análisis forense mediante la aplicación de las distribuciones CAINE y DEFT. Primeramente se caracteriza la seguridad de redes y el análisis forense en las telecomunicaciones, y luego se realizan análisis con distintas herramientas de estas distribuciones. Estas herramientas llamadas “de análisis forense” brindan utilidades de recopilación de información y de pruebas, necesarias para dar solución a eventos como ataques informáticos. Este trabajo servirá como material de apoyo al grupo de redes de la UCLV, debido a que la informática forense es relativamente nueva en esta institución, y por consiguiente no hay mucha experiencia en este tema..

(8) viii. ÍNDICE. INTRODUCCIÓN ........................................................................................................................... 10 CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones .......................................................................................................................................................... 15 1.1.. Características de la seguridad en las redes de telecomunicaciones ................... 15. 1.1.1.. Características principales de los ataques Informáticos y tipos de ataques . 17. 1.2.. Introducción al análisis forense en las redes de telecomunicaciones ................... 20. 1.3.. Herramientas utilizadas para la realización de análisis forenses ........................... 22. 1.4.. Conclusiones del capítulo.............................................................................................. 26. CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE y DEFT ............................................................................................................................................... 28 2.1. Análisis forense digital y sus etapas ............................................................................ 28. 2.1.1. Identificación del incidente ..................................................................................... 30. 2.1.2. Recopilación de evidencias ...................................................................................... 32. 2.1.3. Preservación de la evidencia .................................................................................... 35. 2.1.4. Análisis de la evidencia ............................................................................................. 35. 2.1.5. Documentación del incidente.................................................................................... 35. 2.2. Caracterización de las herramientas forenses CAINE y DEFT ............................... 37. 2.3. Conclusiones parciales .................................................................................................. 43. CAPÍTULO 3: Implementación de CAINE Y DEFT. Realización de un análisis forense ... 45 3.1. Instalación de las distribuciones CAINE y DEFT ....................................................... 45. 3.2. Realización de un análisis forense .............................................................................. 47. 3.3. Conclusiones ................................................................................................................... 56.

(9) ix. CONCLUSIONES GENERALES ................................................................................................ 57 RECOMENDACIONES ................................................................................................................ 58 REFERENCIAS BIBLIOGRÁFICAS ........................................................................................... 59 ANEXOS ......................................................................................................................................... 65.

(10) INTRODUCCIÓN. En la actualidad cualquier dispositivo digital capaz de generar información puede brindar evidencia valiosa en caso de presentarse un incidente de seguridad; ya sea en forma de una fotografía, documento, registro de geo localización GPS, mensaje de texto, correo electrónico o incluso un número telefónico registrado como parte de una llamada [Shaw y Browne, 2013]. Esta evidencia es útil para investigar casos relacionados con actividades cibercriminales o de ataques informáticos. En muchas ocasiones la recolección y el manejo de esta información no se realizan de manera adecuada, principalmente debido a que en la mayoría de las redes no se cuenta con políticas o normas que refieran cómo debe realizarse la respuesta a un incidente con estas características. Los datos son el activo más importante de las empresas, y existen muchos factores que pueden afectar a su integridad, como robos, fallos de disco, virus, errores comunes de los usuarios, desastres naturales, y otros. Es por lo tanto indispensable contar con soluciones que garanticen la recuperación completa y rápida de la información crítica. Según el Informe de Seguridad Anual 2014 de Cisco, las amenazas diseñadas para aprovechar la confianza de los usuarios en sistemas, aplicaciones y redes personales han alcanzado niveles asombrosos. De acuerdo con el reporte, la falta de casi un millón de profesionales expertos en seguridad a nivel mundial está impactando las habilidades de las organizaciones de monitorear y asegurar las redes, mientras las vulnerabilidades y amenazas en general alcanzaron sus niveles más altos desde el año 2000. Las vulnerabilidades y amenazas en general alcanzaron su nivel más alto desde que comenzó el seguimiento inicial en mayo del año 2000. A partir de octubre de 2013, las alertas totales acumuladas aumentaron el 14 por ciento año tras año desde el 2012. Debido a esto se deriva la importancia de una labor e inversión en la Seguridad Informática, para reducir los riesgos tecnológicos a los que está expuesta la red y potenciar la productividad al máximo [CISCO, 2014]..

(11) INTRODUCCIÓN 11. Según Larry y Lars [2012], la seguridad informática es el conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información. Cada día existen más personas mal intencionadas que intentan tener acceso a los datos privados de los ordenadores, por lo que se debe impedir al máximo que personas externas puedan leer y/o modificar información, que en principio está destinada a otros usuarios. De igual forma, la seguridad cumple, adicionalmente con el objetivo de imposibilitar que usuarios no autorizados accedan a servicios para los cuales no les han sido autorizados permisos especiales y dar fe y/o verificar que un mensaje contenga exactamente, dentro de los límites de lo razonable, información de la persona quién dice ser. Para preservar la seguridad de la red también se deben considerar riesgos como ataques de virus, códigos maliciosos, gusanos, caballos de troya y hackers. Además, es importante considerar que la seguridad en redes también puede ser vulnerable desde el interior de la misma. Es decir, existen dos tipos de amenazas [Rountree, 2011]: internas y externas. Las amenazas internas pueden ser más serias que las externas porque los Sistemas de Prevención de Intrusos (IPS) y Firewalls son mecanismos no efectivos en amenazas internas, los usuarios conocen la red, saben cómo es su funcionamiento y tienen algún nivel de acceso a ella. Los cortafuegos y los sistemas de detección de intrusos (IDS) son medidas preventivas que alertan y protegen contra la mayoría de los ataques. Pero cuando un atacante viola las medidas de seguridad y el sistema informático es atacado, el administrador debe buscar evidencias para conocer el daño ocurrido, las consecuencias y características de la intrusión, el atacante y verificar la integridad de la información comprometida. Shaw y Browne [2013] plantean que el análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. La “informática forense”, no consiste solamente en la recuperación de datos borrados, discos duros dañados, pendrives, etc., sino que incluye otros dispositivos que también forman parte de la red como servidores, ordenadores, software, switches, routers, firewalls, cableado, etc., donde se.

(12) INTRODUCCIÓN 12. puede encontrar información de gran interés para la investigación que se esté llevando a cabo. Para obtener la citada información de estos dispositivos, el análisis forense se debe hacer “pre mortem” o “en tiempo real”. Los datos de interés se pueden encontrar en muchos lugares, desde los más comunes como pueden ser registros de los cortafuegos y protocolos de transferencia de hipertexto HTTP, hasta en restos de tráfico de red que se puedan encontrar en los discos duros y en volcados de memoria RAM o de Snapshots de máquinas virtuales [Larry y Lars, 2012; Deligiannidis, et al., 2014]. Es importante que los profesionales de seguridad se preparen y conozcan acerca de la importancia en la obtención y manejo de la evidencia ya que cualquier error u omisión puede entorpecer la validez de la información encontrada. Existen muchas aplicaciones, dependientes del sistema operativo, que permiten la obtención y análisis de evidencias digitales [Larry y Lars, 2012]. Actualmente se utilizan herramientas como Sleuthkit y su predecesora The Coroner`s Toolkit (TCT), enfocadas a proporcionar todas las herramientas necesarias para el análisis forense. También han surgido distribuciones live-cd específicas para el análisis forense que incluyen las herramientas necesarias para la búsqueda y análisis de evidencias digitales, entre estas se encuentran CAINE y DEFT, las cuales han sido seleccionadas para el desarrollo de este trabajo. CAINE (Computer Aided for INvestigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia [Barrett y Kipper, 2010; Johnson, 2014]. DEFT (Digital Evidence and Forensic Toolkit) es una distribución de GNU / Linux y DART (Digital Advanced Response Toolkit). Es actualmente desarrollado y mantenido por Stefano Fratepietro, con el soporte de Massimo Dal Cero, Sandro Rossetti, Paolo Dal Checco, Davide Gabrini, Bartolomeo Bogliolo, Valerio Leomporra y Marco Giorgi. La primera versión de DEFT Linux fue introducida en 2005 gracias al Curso de Computación Forense de la Facultad De Leyes en la Universidad de Bolonia. DEFT es un CD LIVE construido encima de Xubuntu con herramientas para la informática forense y la respuesta a incidentes. Es un sistema Live muy ligero y rápido,.

(13) INTRODUCCIÓN 13. creado para los especialistas de la informática forense [Fratepietro, Rossetti y Checco, 2012; Johnson, 2014]. Estas distribuciones cuentan con una serie de utilidades y herramientas especializadas en dar soporte a cada una de las cuatro fases de la Informática Forense: estudio preliminar, recolección de la evidencia, análisis de la evidencia y la elaboración del informe final [Aquilina, J. M., Malin, C. H. y Casey, E., 2010; Capshaw, J., 2011; Daniel, L., 2012]. En Cuba, no existe ninguna empresa que brinde servicios de investigación forense. Cada organización debe contar con especialistas preparados para afrontar un incidente, siempre y cuando las consecuencias no sean graves y los daños no traspasen la frontera empresarial. En el caso específico de la Universidad Central Marta Abreu de las Villas no se ha puesto en práctica ninguna herramienta forense para llevar a cabo evaluaciones en la seguridad de la red, así como detectar posibles ataques ocurridos en la misma. Aunque no ha sido necesario porque no han ocurrido ataques a la red, las incidencias han sido solo debido a la llegada de correos spam. El presente trabajo constituye una guía actualizada para los profesionales, y servirá para identificar y corregir las vulnerabilidades de la red. Con este proyecto se pretende implementar el análisis forense en la red de la UCLV para en caso de un ataque, realizar un análisis de lo ocurrido, que pudiese identificar al atacante o verificar cuales fueron los daños ocasionados y ofrecer a los usuarios de la misma un entorno seguro para sus datos personales, así como la protección de los servidores, switches, routers y otros dispositivos de la red, y así contribuir a fortalecer la seguridad de la misma. Además, proveerá de un material de estudio al personal de seguridad. Lo anterior resalta la importancia que tiene la realización de este trabajo desde el punto de vista tanto práctico como teórico ya que además de fortalecer la seguridad en la red de la UCLV, con la ejecución del mismo se dará solución a problemáticas existentes como es la intrusión a sitios y el robo de contraseñas, vinculadas con el uso de software de adquisición de contraseñas y tendrá gran trascendencia para todos los especialistas, administradores y personal que trabajan en la seguridad de red de la UCLV..

(14) INTRODUCCIÓN 14. Teniendo en cuenta lo anterior, el presente trabajo de diploma plantea el siguiente problema de investigación: ¿Cómo conocer los daños causados, así como el posible atacante, ante una intrusión en una red? Para dar respuesta al problema de investigación se propone como objetivo general: implementar análisis forenses utilizando las herramientas CAINE y DEFT. Partiendo del objetivo general se derivan los siguientes objetivos específicos: 1. Caracterizar la seguridad y el análisis forense en las redes de telecomunicaciones para conocer sus particularidades. 2. Identificar herramientas que se utilicen para el análisis forense en las redes de telecomunicaciones en el mundo. 3. Describir las distribuciones forenses CAINE y DEFT para determinar sus particularidades. 4. Implementar las herramientas CAINE y DEFT para realizar un análisis forense. De los objetivos específicos surgen las siguientes interrogantes científicas: 1. ¿Qué es la seguridad de redes, así como el análisis forense en las redes de telecomunicaciones? 2. ¿Cuáles herramientas utilizar para realizar un análisis forense? 3. ¿Qué particularidades poseen las distribuciones CAINE y DEFT para realizar un análisis forense? 4. ¿Cómo hacer un análisis forense utilizando las herramientas CAINE y DEFT? Para satisfacer los objetivos planteados el trabajo se dividió en: introducción, tres capítulos, conclusiones, recomendaciones y referencias bibliográficas. El primer capítulo abordan las características de la seguridad y del análisis forense en las redes de telecomunicaciones, las herramientas utilizadas para la realización del mismo, así como varias formas de ataques informáticos. En el segundo capítulo se proyectan las características fundamentales y los pasos a seguir para la realización de un análisis forense, y se describen los software de análisis forense a utilizar: CAINE y DEFT. Por último, en el tercer capítulo, se implementan dichos softwares en la red de la UCLV, se realizan análisis forenses y se expresan sus resultados..

(15) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones. Con el advenimiento de Internet y de las posibilidades de conexión por parte de usuarios y empresas a información que se encuentra localizada en cualquier parte del mundo, los administradores de red se han enfrentado al reto de mantener las redes de las compañías en niveles de seguridad requeridos por las mismas, en cuanto al tipo de información que poseen. Al generarse una ruptura de seguridad, se cuenta con la ayuda de los investigadores forenses, cuyo trabajo consiste no solo en conocer el tipo de información que fue comprometida, sino también los daños colaterales que se pudieron ocasionar y si es posible, la persona o personas que ocasionaron dicha ruptura. En este capítulo se abordan las características generales de la seguridad de redes así como diferentes tipos de ataques que pueden ser realizados a una red. Se ofrece una introducción al análisis forense y sus características fundamentales. Además, se comentan herramientas utilizadas para la realización de análisis forense. 1.1. Características de la seguridad en las redes de telecomunicaciones Hoy en día, con los nuevos avances tecnológicos, llegan nuevas vulnerabilidades que implican riesgos para las personas y las compañías ante la posibilidad de ver expuestos datos sensibles. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinadas a conseguir un sistema de información seguro y confiable [López, 2013; Rodríguez Martínez, 2013]. Típicamente, los mecanismos de seguridad que se emplean en sistemas informáticos y en redes de propósito general se pueden dividir en 3 grandes grupos: de prevención, de detección y de recuperación [Deligiannidis et al., 2014; Andress, 2011]. Los mecanismos de prevención son aquellos que aumentan la seguridad del sistema durante el funcionamiento normal de éste, previniendo la ocurrencia de violaciones de la seguridad. Por mecanismos de detección se.

(16) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 16. conoce a aquellos que se utilizan para detectar violaciones de la seguridad o intentos de violación. Para finalizar, los mecanismos de recuperación son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste a su estado de funcionamiento correcto; ejemplos de estos mecanismos son la utilización de copias de seguridad, uso de herramientas para la recuperación de datos borrados y contenidos en el propio sistema. Dentro de este último grupo de mecanismos de seguridad se encuentra un subgrupo denominado mecanismos de análisis forense, cuyo objetivo no es simplemente retornar al sistema a su modo de trabajo normal, sino averiguar el alcance de la violación, las actividades de un intruso en el sistema, y la puerta utilizada para entrar; de esta forma se previenen ataques posteriores y se detectan ataques a otros sistemas de la propia red [Zambrano Rodríguez y Palacios Franco, 2013; Ramió Aguirre, 2006]. La seguridad de los sistemas de información se suele comparar con una cadena, la cual es segura si el eslabón más débil también lo es [Cusack et al., 2013]. Según los autores Daviesa y Tryfonas [2009] y Conrad, Misenar y Feldman [2014], para encontrar ese eslabón y protegerlo se tiene que tratar la seguridad desde distintos puntos de vista: estos son la seguridad física y la seguridad lógica, además, se debe concienciar a los usuarios de la importancia de la seguridad del equipo, del sistema y de la información y proteger los sistemas de comunicación, especialmente en las redes. La seguridad física de un sistema informático consiste en la aplicación de barreras físicas y procedimientos de control frente a amenazas físicas al hardware. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el sistema. Las principales amenazas que se prevén son desastres naturales, incendios accidentales y cualquier variación producida por las condiciones ambientales, amenazas ocasionadas por el hombre como robos o sabotajes y disturbios internos y externos deliberados. La seguridad lógica de un sistema informático consiste en la aplicación de barreras y procedimientos que protejan el acceso a los datos y a la información contenida en él. El activo más importante de un sistema informático es la información y, por tanto, la seguridad lógica se plantea como uno de los objetivos más importantes. La seguridad lógica trata de conseguir los.

(17) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 17. siguientes objetivos [Macfarlane et al., 2012]: restringir el acceso a los programas y archivos, asegurar que los usuarios puedan trabajar sin supervisión y no puedan modificar los programas ni los archivos que no correspondan, asegurar que se estén utilizados los datos, archivos y programas correctos y por el procedimiento correcto, verificar que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y que la información recibida sea la misma que la transmitida y disponer de pasos alternativos de emergencia para la transmisión de información. Para lograr una mayor seguridad es preciso abordar cuatro puntos fundamentales [Rodríguez Z. et al., 2013; Aguilera López P., 2010]: confidencialidad, autenticación, integridad y no repudiación. 1.. Confidencialidad: sólo los usuarios autorizados tendrán acceso a los recursos y a la. información que utilicen. 2.. Autenticación: verificar que la persona es realmente quién dice ser.. 3.. Integridad: cerciorarse que el mensaje no ha sido adulterado desde su origen.. 4.. No repudiación: el usuario no puede refutar o negar una operación realizada. 1.1.1. Características principales de los ataques Informáticos y tipos de ataques. Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático con propósitos desconocidos por el operador del sistema y que, por lo general, causa daño. Por lo que un incidente de seguridad informática, puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos [Kraus et al., 2010; Liao; Tian y Wang, 2009]. Para bloquear estos ataques, es importante estar familiarizado con los principales tipos y tomar medidas preventivas. Según Brandt y Wolff [2010] los ataques pueden ejecutarse por diversos motivos como obtener acceso al sistema, robar información, como secretos industriales o propiedad intelectual, recopilar información personal acerca de un usuario obtener información acerca de una organización, afectar el funcionamiento normal de un servicio, usar los recursos.

(18) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 18. del sistema del usuario, en particular cuando la red en la que está ubicado tiene un ancho de banda considerable y bloquear servicios que se brindan en el host atacado. La mayoría de los incidentes que se dan en la realidad, pueden enmarcarse en varias de las categorías siguientes [Soryal y Saadawi, 2014]. Los incidentes de código malicioso están cualquier tipo de código, ya sea, un gusano, o un “caballo de Troya”, que pueda ejecutarse en un sistema y dañarlo. Los incidentes de acceso no autorizado se producen cuando un usuario o aplicación accede, por medio de hardware o software, sin los permisos adecuados a un sistema, a una red, a una aplicación o los datos. Los incidentes por uso inapropiado se dan cuando los usuarios violan la política de uso apropiado de los sistemas. Un incidente múltiple se produce cuando el incidente implica varios de los tipos anteriores [Michalopoulosa, Mavridisa y Jankovicb, 2014; Mubarak y Slay, 2009]. Los ataques pueden asimismo clasificarse en términos de ataques pasivos y ataques activos [Polanco Bobadilla, 2012]. En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza (eavesdropping), para obtener información de lo que está siendo transmitido. Sus objetivos son la intercepción de datos y el análisis de tráfico; una técnica más sutil para obtener información de la comunicación, puede consistir en la obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados, también observando el control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividades inusuales y el control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad. Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el uso de mecanismos como el cifrado de la información [Colbaugh y Glass, 2013; Catania y García Garino, 2012]. Los ataques activos implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:.

(19) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 19. 1. La suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. 2. Re-actuación: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado. 3. Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. 4. Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc. Los Incidentes de Denegación de Servicios (DoS) son un tipo de incidente cuya finalidad es obstaculizar, dañar o impedir el acceso a redes, sistemas o aplicaciones mediante el agotamiento de sus recursos [Dou, Chen y Chen, 2013]. El ping de la muerte, algo ya anticuado, pero la esencia está en que el ICMP echo request solo puede contener 2^16 (65.536 bytes de datos) en la parte de datos del paquete, si se enviaba este a la víctima, se producía la caída de este en internet, pues no podía manejar tal requerimiento. Una interesante aproximación y uso del antiguo y desfasado ping de la muerte, se está utilizando en el protocolo Bluetooth que usan comúnmente los teléfonos, pues este tiene un paquete de ping similar en la capa L2CAP, el cual es usado para medir el tiempo de comunicación entre los nodos contactados. Otra forma de ataque es el Access Point Spoofing o "Asociación Maliciosa", en este caso el atacante se hace pasar por un Access Point y el cliente piensa estar conectándose a una red verdadera. Este tipo de ataque es común en redes ad-hoc. También está el ARP Poisoning o "Envenenamiento ARP", es un ataque al protocolo ARP (Address Resolution Protocol) conocido como "Man in the Midle" u "hombre en medio". Una computadora invasora X envía un paquete de respuesta ARP para Y diciendo que la dirección IP de la computadora Z apunta hacia la dirección MAC (Media Access Control address o dirección.

(20) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 20. de control de acceso al medio) de la computadora X, y de la misma forma envía un paquete de respuesta ARP para la computadora Z diciendo que la dirección IP de la computadora Y apunta hacia la dirección MAC de X. Como el protocolo ARP no guarda los estados, las computadoras Y y Z asumen que enviaron un paquete de petición ARP solicitando esta información, y asumen los paquetes como verdaderos. A partir de este punto, todos los paquetes enviados y recibidos entre las computadoras Y y Z pasan por X (hombre en medio) [Ackroyd, 2014]. MAC Spoofing o "enmascarar la MAC", ocurre cuando alguien roba una dirección MAC de una red haciéndose pasar por un cliente autorizado. En general, las placas de redes permiten el cambio de un numero MAC por otro, lo que posibilita este tipo de ataque. Existen gran número de ataques, a continuación algunos de los más nombrados: Teardrop, Ping Flooding, Amplification Attacks (Smurf y Fraggle), Distributed Dos Flooding, TCP/IP hijacking, RST hijacking, Port Scanning, Stealth SYN Scan (nmap –sS), FIN Scan (nmap –sF), X-mas Scan (nmap –sX), Null Scan (nmap –sN), Idle Scanning y Spoofing Decoys. 1.2. Introducción al análisis forense en las redes de telecomunicaciones La información es el activo más valioso que se posee en la sociedad actual. Ésta es cada vez más importante para el desarrollo de las empresas y de negocios exitosos a través de la implementación de sistemas de información. Si bien, los actuales sistemas tienen sus cortafuegos, y contramedidas, de igual manera hay ataques para burlarlos, pero se aconseja, siempre tener los sistemas actualizados, y mantener los respaldos de información diarios, pues nadie puede asegurar que un sistema interconectado no esté expuesto a una penetración, ya sea, desde el exterior o interior del mismo [Sammons, 2014; Dykstra, 2013]. Para proteger la información surge una nueva ciencia, la Informática Forense; ésta persigue objetivos preventivos así como reactivos, una vez que se ha dado una infiltración en el sistema. Cuando alguien atraviesa las medidas de seguridad e ingresa en un sistema lo último que se debe hacer es dejarse llevar y actuar de forma inconsciente ya que es intruso puede alterar y/o eliminar las pruebas [Shridhar, Chandrakant y Baburao, 2013; Collins, 2014]. Con el creciente número de ataques dirigidos o de APTs vale la pena revisar la importancia que tiene elevar el.

(21) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 21. nivel de consciencia de las organizaciones en este sentido. Un malware hecho a la medida con el fin de realizar labores de ciberespionaje o sabotaje y que no es detectado a tiempo o que no se llega a conocer cuál fue su origen puede provocar daños importantes para las organizaciones [Johnson, 2014]. La falta de información en la materia por parte de las empresas o incluso los abogados es otro factor importante ya que muchos de los delitos o incidentes informáticos no se denuncian debido a que se asume que será costoso el proceso y al final no se tendrán resultados. Según Shimeall y Spring [2014], la informática forense es “la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal”. En la definición menciona “infraestructura tecnológica”, pues se podría definir como el marco que incluye a todos los elementos tecnológicos, como servidores, ordenadores, software, switches, routers, firewalls, cableado, etc. Pero es una realidad que la mayoría de los trabajos que se realizan en un laboratorio informático forense, son análisis “post mortem”, de ahí es de donde viene realmente el concepto de “informática forense” [Malin y Casey, 2014]. Es muy importante realizar los procedimientos adecuados de primera respuesta una vez que el ataque haya sido detectado. Inicialmente se puede obtener información volátil que incluya conexiones de red, puertos abiertos, información de caches, memoria, entre otras cosas. Posteriormente se extrae la información del disco duro o unidad de almacenamiento siguiendo los procedimientos forenses [Provatakia y Katosb, 2014]. Tanto para la propia gestión de la seguridad de la información, como para la investigación de un hecho, las herramientas utilizadas son en la mayoría de los casos las mismas. Sin embargo, existen diferencias en cuanto a los procedimientos a seguir y las limitaciones legales que se pueden encontrar. Suele haber confusión entre la detección de intrusiones, el control de la seguridad de la red y la recolección de datos para un análisis forense. Las diferencias entre ellas giran en torno al propósito de la recolección de la información, a quién la va a recoger, a si está capacitado técnicamente para hacerlo y si tiene autorización para ello, al protocolo de actuación que se va a seguir, a qué información se debe recoger, cuándo y cómo adquirirla y almacenarla, así como quien realizara el análisis de la misma [Stavrou y Gritzalis, 2014]..

(22) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 22. 1.3. Herramientas utilizadas para la realización de análisis forenses Existen muchas herramientas forenses que automatizan y ayudan al investigador forense en la búsqueda de ciertas cosas, como por ejemplo imágenes borradas, correos electrónicos, conversaciones de chat, etc. Sin embargo, en el análisis de una red casi no hay herramientas que automaticen estas tareas. El analizador de paquetes puede captar los paquetes y el analizador de protocolo puede descifrar el tráfico, pero luego se requiere que un analista sea capaz de averiguar cómo han ocurrido los hechos, y eso implica tener que ir mirando línea por línea. La mayoría de los análisis de red en tiempo real se hacen con sniffers. Un sniffer es una herramienta capaz de capturar el tráfico de red, pudiéndose utilizar tanto en una red cableada como inalámbrica. Estas herramientas se encuentran muy extendidas y desarrolladas para una gran variedad de sistemas operativos (Wireshark, Ettercap, Tcpdump, etc.) [Johnson, 2014]. Cuando se usa una tarjeta de red en “modo normal”, solo se pueden ver los paquetes de red que son dirigidos específicamente a ella. Lo que hacen los sniffers es que ponen a la tarjeta en “modo promiscuo”, permitiendo así el poder escuchar todas las comunicaciones en un segmento de difusión de red; pero en aquellas redes conmutadas o “switcheadas” el uso de un sniffer no va a dar resultado sino se combina con otras técnicas como spoofing, flooding, etc. Sin embargo, hay switches que disponen de puertos especiales de monitoreo, que permiten a los administradores de la red controlar todos los paquetes, incluso en esas redes conmutadas o switcheadas citadas anteriormente [Wees, 2013; Shiaelesa, Chryssanthoub y Katosa, 2013]. Además de los sniffers existen muchas herramientas para la realización de análisis forenses, a continuación se describen brevemente algunas de estas: Firefox Extractor es una herramienta forense de línea de comandos, esta analiza la base de datos SQLite del navegador y genera un informe completo de los sitios webs visitados, descargas, marcadores y cualquier otra información que puede ser muy útil para un examinador forense. Es muy sencillo de utilizar, después de que el programa lee los archivos de SQLite en la carpeta del perfil de Firefox este genera un panorama muy completa en formato HTML o también.

(23) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 23. puede extraer los datos a un archivo CSV, este tipo de archivos es un tipo de documento sencillo para presentar datos de forma de tabla facilitando la clasificación de los datos [Rodríguez, 2013]. Knoppix STD es una distribución basada en Debian y no necesita instalarse ya que en realidad es un LiveCD y puede ejecutarse directamente desde un CD, DVD o USB de inicio. Knoppix STD cuenta con una serie de herramientas clasificadas en varias categorías: authentication, password cracking, encryption, forensics, firewalls, honeypots, intrusion detection system, network utilities, penetration, packet sniffers, assemblers, vulnerability assessment and wireless networking [Wees, 2013]. Forensics (TestDisk) se utiliza durante análisis forense para recuperar tablas de particiones dañadas, reparar una MFT o reconstruir los sectores de arranque. Esta herramienta provee todas estas funcionalidades y puede ejecutarse prácticamente bajo cualquier plataforma incluida MacOS. Además de que puede recuperar archivos de un sin número de sistemas de archivos principalmente Windows y Linux [Aguilera López, 2010]. Network-Utilities (Argus) es una poderosa herramienta que opera bajo un modelo clienteservidor. La utilidad de esta herramienta de verdad es invaluable sobre todo para investigaciones forenses ya que permite llegar a correlacionar toda la actividad de red de un determinado equipo, realizar gráficas, estadísticas etcétera. Es muy útil sobre todo si la necesidad de no repudio es imperativa ya que, configurando esta herramienta adecuadamente, se puede contar con los elementos necesarios para probar que una actividad ocurrió en la red y qué equipos (hosts) estuvieron involucrados [Shimeall, 2014]. Wireless-Tools (Kismet) es una poderosa herramienta utilizada para la auditoria de redes inalámbricas. Sirve para interceptar y capturar tráfico para poder romper una red inalámbrica y se utiliza como un sistema de detección de intrusos (IDS) para redes inalámbricas [Guan, 2014]. EnCase brinda a los investigadores la capacidad de crear imágenes de unidades y preservarlas. Posee además una suite completa de herramientas para el análisis, la preservación y la documentación, a manera de brindar la mayor cantidad de utilidades a los examinadores forenses digitales. Soporta multiplataforma (Windows, Solaris, Macintosh, Linux, etc.), crea copias comprimidas de los discos, proporciona y documenta eficientemente fechas, horas,.

(24) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 24. registros de accesos, es decir todos los rastros de intervención en un proceso, permite ver archivos borrados, ocultos y los que están en el espacio sin asignar, en este mismo punto es bueno mencionar que EnCase localiza automáticamente y despliega muchos formatos de imágenes, incluyendo las que fueron eliminadas, genera un reporte del proceso, mostrando el caso investigado, la evidencia principal, algunos comentarios, imágenes recuperadas, tiempo en que se realizó la búsqueda, entre otros detalles [Mutawa et al., 2012]. SANS Investigative Forensic Toolkit (SIFT) es un Live CD basado en Ubuntu que incluye todas las herramientas que se necesitan para llevar a cabo una investigación forense o la respuesta a incidentes en profundidad. SIFT incluye herramientas como log2timeline para generar una línea de tiempo a partir de los registros del sistema, Rifiuti para el examen de la papelera de reciclaje y mucho más [SANS, 2010]. ProDiscover Básico es una sencilla herramienta de investigación forense digital que permite analizar e informar sobre la evidencia encontrada en una unidad. Una vez que se agrega una imagen forense, puede ver los datos contenidos o mirar las agrupaciones que contienen los datos. También puede buscar datos utilizando el nodo de búsqueda en base a los criterios especificados [Klaver, 2010]. Volatility Framework es un conjunto de herramientas libres escritas en python para el análisis forense digital de Memoria RAM. Con Volatility se puede analizar dumps de memoria de sistemas operativos Windows, Linux y MAC en 32 y 64 bits. Con ella se puede extraer información sobre los procesos en ejecución, sockets abiertos de red y conexiones de red, archivos DLL cargados para cada proceso, las secciones del registro en caché, los identificadores de proceso, y más [Zammit Tabona, 2014]. El Sleuth Kit (+Autopsy) es una herramienta forense de código abierto utilizada para llevar a cabo un análisis en profundidad de diversos sistemas de archivos. Autopsy es esencialmente una interfaz gráfica de usuario montado sobre SleuthKit. Viene con funciones como análisis de línea de tiempo, Filtrado Hash, análisis del sistema de archivo y búsqueda por palabra clave, con la posibilidad de añadir otros módulos de funcionalidad extendida [Autopsy, 2013]..

(25) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 25. FTK Imager es un visor de datos y de imágenes que permite examinar los archivos y carpetas en los discos duros locales, unidades de red, CD / DVD, y revisar el contenido de las imágenes forenses o volcados de memoria. FTK Imager sirve para crear archivos SHA1, hashes MD5, carpetas de imágenes forenses en el disco, la revisión y recuperación de archivos que fueron borrados de la papelera de reciclaje y montar una imagen forense para ver su contenido en el Explorador de Windows [Zammit Tabona, 2014]. Linux 'dd' viene por defecto en la mayoría de las distribuciones de Linux disponibles en la actualidad, esta herramienta se puede utilizar para diversas tareas forenses digitales como limpiar una unidad y la creación de una imagen de una unidad [Johnson III, 2014]. Oxygen Forensic Suite proporciona al investigador forense extraer evidencias de un teléfono móvil, incluye la capacidad de reunir información de dispositivos como fabricante, la plataforma OS, IMEI, número de serie, etc., contactos, mensajes de correo electrónico, SMS, MMS, etc., la recuperación de mensajes borrados, registros de llamadas, calendario e información de tareas. También viene con un explorador de archivos que le permite acceder y analizar fotos de usuario, vídeos, documentos y bases de datos del dispositivo [Klaver, 2010]. Free Hex Editor Neo es un editor básico hexagonal que fue diseñado para manejar archivos muy grandes como archivos de base de datos o imágenes forenses y la realización de acciones tales como el tallado manual de datos , edición de archivos de bajo nivel , recopilación de información, o la búsqueda de datos ocultos [Flaglien et al., 2011]. Bulk_extractor es una herramienta de análisis forense informático que escanea una imagen de disco, un archivo o directorio de archivos y extrae informaciones específicas como números de tarjetas de crédito, dominios, direcciones de correo electrónico, URL y archivos ZIP. La información extraída se envía a una serie de archivos de texto, que puede ser revisado manualmente o analizado mediante el uso de otras herramientas o scripts forenses [Okolica y Peterson, 2011]. Xplico es un analizador forense de red, que tiene como objetivo extraer los datos de aplicaciones de tráfico de Internet como pueden ser un mensaje de correo electrónico de POP, IMAP o el tráfico SMTP. Sus características incluyen soporte para múltiples protocolos como HTTP, SIP,.

(26) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 26. IMAP, TCP, UDP, el reensamblaje TCP, y la capacidad para enviar datos a una base de datos MySQL o SQLite [XPLICO, 2011]. LastActivityView permite ver qué acciones fueron tomadas por un usuario y qué hechos han ocurridos en la máquina. Registra cualquier actividad como correr un archivo ejecutable, abrir un archivo / carpeta desde el Explorador, una aplicación o sistema de bloqueo, o realizar una instalación de software por un determinado usuario. La información se puede exportar a un archivo CSV / XML / HTML [Murphey, 2007]. Digital Forensics Framework (DFF) es una herramienta de investigación forense digital y una plataforma de desarrollo que permite recopilar, preservar y revelar la evidencia digital. Entre otras, las funciones de DFF incluyen la capacidad de leer formatos de archivo RAW forense, EWF y AFF, acceder a los dispositivos locales y remotos, analizar los datos del registro, buzones y del sistema de archivos y recuperar archivos ocultos y suprimidos [Lilliard et al., 2010]. Mandiant RedLine ofrece la capacidad de realizar un análisis a un archivo host específico en la memoria. Recoge información sobre los procesos en ejecución y los controladores en la memoria, y reúne los metadatos del sistema de archivos, datos de registro, registros de eventos, información de la red, los servicios, las tareas y el historial de Internet [Ellis, 2009]. La colección de herramientas disponibles para el investigador sigue creciendo y muchas herramientas se actualizan regularmente por sus desarrolladores para que puedan trabajar con las últimas tecnologías. En este contexto, es tarea del examinador forense informático juzgar qué herramientas son las más apropiadas para una investigación, teniendo en cuenta la naturaleza de la evidencia que debe ser recogida. 1.4. Conclusiones del capítulo 1. A través de la revisión bibliográfica del tema se pudo caracterizar la seguridad en redes y los distintos tipos de ataques que pueden sufrir, así como los detalles principales de las herramientas forenses. 2. Un análisis forense digital permite identificar, preservar y analizar evidencias para presentar un informe válido dentro de un proceso legal ante una intrusión a cualquier.

(27) CAPÍTULO 1: Características de la seguridad y del análisis forense en las telecomunicaciones 27. sistema, así como conocer si se modificó, copió o borró información de un determinado lugar..

(28) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE y DEFT. En caso de que alguien irrumpa una red o sistema o host con cualquier fin, sería necesario realizar una investigación de lo ocurrido, identificar al atacante si se da la posibilidad, determinar cuál fue la brecha de seguridad que utilizó y si dejó alguna puerta trasera para una futura irrupción. En el presente capítulo se explican las fases para la realización de un análisis forense digital y se introducen las herramientas CAINE y DEFT para la caracterización de sus potencialidades como distribuciones para llevar a cabo este tipo de tareas. 2.1 Análisis forense digital y sus etapas La informática forense puede tomar dos vías, la primera con finalidad preventiva y la otra con finalidad correctiva [Collins, 2014; Garfinkel et al., 2012]. En el caso de la preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados, anticipándose a un posible problema [Palomo et al., 2012]. Por otro lado, puede tener objetivos correctivos, para brindar una solución favorable una vez que la vulneración y las infracciones ya se han producido. Cuando esto ocurre, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos [Sammons, 2014]. En la presente investigación se sigue esta segunda vía como tema de desarrollo..

(29) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 29 y DEFT. Los incidentes en una red pueden ocurrir de diversas formas, por lo que es poco práctico elaborar procedimientos con instrucciones paso a paso para el manejo de cada incidente. Lo mejor que puede hacer una organización es prepararse para manejar cualquier tipo de incidente y, más específicamente, para manejar los tipos más comunes según la experiencia de los administradores de red. Dentro del análisis forense digital se pueden destacar las siguientes fases, que serán desarrolladas con detalles más adelante [James y Gladyshev, 2013; Sammons, 2014; Roussev, Quates y Martell, 2013]: 1. Identificación del incidente. 2. Recopilación de evidencias (Crear una imagen de los dispositivos sospechosos). 3. Preservación de la evidencia. 4. Análisis de la evidencia. 5. Documentación y presentación de los resultados. Para muchas organizaciones, la parte más difícil del proceso de respuesta a incidentes es precisamente la detección y la evaluación de los mismos, y en caso de confirmarse alguno, el tipo, extensión y magnitud del problema. Lo que hace esto difícil es una combinación de tres factores: . Los incidentes pueden ser detectados a través de medios diferentes, con distintos niveles de detalle y de fidelidad. La capacidad de detección automatizada incluye Sistemas de Detección de Intrusos (IDS) que trabajan tanto para entornos de redes como para host, además de software antivirus y los analizadores de logs. Los incidentes también pueden ser detectados de forma no automática, como por ejemplo, los problemas reportados por los usuarios. Algunos incidentes pueden ser detectados fácilmente por signos evidentes como el bloqueo de algún servicio, mientras que otros son casi imposibles de detectar sin la automatización.. . El volumen de los posibles incidentes suele ser alto, por ejemplo, no es raro que en una organización se reciban miles o incluso millones de alertas de posibles intrusiones por día.. . Los conocimientos técnicos especializados y la amplia experiencia del personal forense.

(30) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 30 y DEFT. son necesarios para el correcto y eficiente análisis de los datos relacionados con el incidente. En la mayoría de las organizaciones, las pocas personas con este nivel de conocimientos son probablemente asignados a otras tareas.. 2.1.1 Identificación del incidente Esta primera fase de identificación del incidente viene aparejada con la fase de búsqueda y recopilación de evidencias. Antes de comenzar con la búsqueda de información, la organización debe asegurarse de que el problema no se trata de hardware ni de software de su red. Ejemplo: un servidor caído por problemas eléctricos o un fallo en el router. Uno de los primeros lugares donde comenzar la búsqueda de indicios es en los equipos que se consideran comprometidos. Hay que tener en cuenta que los atacantes han podido borrar algunos registros locales en esos equipos, pero aun así, puede haber indicios en otras máquinas próximas tales como escaneado de puertos o tráfico inusual en cortafuegos y routers de la red [Cohen, 2010]. Para evitar que se eliminen huellas o se modifiquen datos en el equipo lo primero que debe hacerse es crear una imagen del equipo. Para verificar la integridad de los ficheros del sistema, es necesario contar con utilidades como Tripwire o AIDE (Advance Intrusion Detection Enviroment) especializadas en este tipo de tareas. Es importante conocer los procesos que se están ejecutando en el equipo en busca de que alguno resulte extraño, hay que tener en cuenta aquellos que consuman recursos en exceso, con ubicaciones poco frecuentes en el sistema de archivos, que mantengan conexiones de red en puertos TCP (Transmission Control Protocol) o UDP (User Datagram Protocol) no habituales, etc. A partir de las conexiones mostradas hay que listar todos los puertos TCP y UDP abiertos además de los procesos, usuarios y aplicaciones que los utilizan, siempre con la idea de identificar actividad no usual. La aparición en el listado de procesos sin nombre pueden ser indicios de la ejecución de un troyano o puerta trasera (backdoor) en el equipo [Brandt y Wolff, 2010]. En caso de que queden dudas acerca del incidente hay que consultar los archivos de registro del sistema y logs en busca de entradas y avisos sobre fallos de instalación, accesos no autorizados, conexiones erróneas o fallidas. Dependiendo de la plataforma que se emplee se.

(31) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 31 y DEFT. encontrarán estos archivos en distintas ubicaciones: Microsoft Windows: Este sistema operativo proporciona un entorno para realizar estas búsquedas; si se considera que se trata aún de una aplicación segura, se puede hacer dentro del menú Herramientas administrativas, el Visor de sucesos, el de Servicios o el de la Directiva de seguridad local. Si no se entiende bien la información que estos visores le aportan se puede consultar la base de datos de ayuda de Microsoft. Otro lugar donde se esconde gran cantidad información es el registro de Windows. La aplicación del sistema regedit.exe puede ayudar en esta tarea, aunque existen otras herramientas como reg (permite hacer consultas al registro sin modificarlo), o regdmp (exporta el registro en formato de texto plano: .txt), para su posterior consulta. En estos archivos es engorroso encontrar datos específicos, debido a la cantidad de información que aquí se almacena. Un punto de partida es. buscar. en. las. claves. del. registro. Run,. RunOnce,. RunOnceEx,. RunServices,. RunServicesOnce, Winlogon, pues bajo estas claves se encuentran los servicios, programas y aplicaciones que se cargan en el inicio del sistema [Zhangb et al., 2014]. UNIX/Linux: En este tipo de sistemas se dispone de una serie de archivos de registro (logs), que se encuentran habitualmente bajo el directorio /var/log (ver Tabla 1.1) [Shimeall y Spring 2014].. Directorio. Descripción. /var/log/messages. Contiene los mensajes generales del sistema. /var/log/secure. Guarda los sistemas de autenticación y seguridad. /var/log/wmtp. Guarda un historial de inicio y cierres de sesión pasadas. /var/run/utmp. Guarda una lista dinámica de quien ha iniciado la sesión. /var/log/btmp. Guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux) Tabla 1.1: Archivos log en Unix/Linux.

(32) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 32 y DEFT. Además, los programas y aplicaciones crean normalmente sus propios archivos de registro que pueden ser encontrados bajo el directorio /var. Todos estos archivos están en modo texto, por lo que se puede utilizar cualquier editor o visor de texto para buscar indicios del ataque [Contos, 2007; Ellis, 2009]. Estos archivos de registro, también pueden contener indicios de los archivos de claves, usuarios y grupos, los mismos se encuentran en /etc/passwd, /etc/shadow, /etc/group. También se pueden encontrar indicios de actividad anómala al consultar el archivo /root/.bash_history que contiene los comandos ejecutados por el usuario root. Para el propósito inicial de confirmación del ataque o compromiso de sus sistemas estas primeras consultas serán suficientes, aunque se tendrán que volver a utilizar de forma más exhaustiva estos datos tal y como se verá en el apartado de análisis de evidencias. 2.1.2 Recopilación de evidencias Al concluir que el sistema informático ha sido atacado después de la fase de Identificación del Incidente se pasa a la etapa de recopilación de evidencias. Antes de realizar cualquier acción hay que estar seguros de tener protegida la imagen del sistema. Una vez cerciorado esto, los administradores deben valorar si devuelven el sistema a su estado normal cuanto antes, lo que hará que se pierdan casi todas las evidencias que los atacantes hayan podido dejar en “la escena del crimen”, eliminando la posibilidad de realizar un análisis forense de lo sucedido que le permita contestar a las preguntas ¿qué?, ¿cómo?, ¿quién?, ¿de dónde? y ¿cuándo? se comprometió el sistema, e impidiendo incluso llevar a cabo acciones legales posteriores si se diese el caso. Esto también puede que lleve a volver a trabajar con un sistema vulnerable, exponiéndolo nuevamente a otro ataque [Xynos et al., 2010; Martini y Raymond, 2012]. Se deben recopilar evidencias que permitan determinar el método de entrada al sistema, la actividad de los intrusos, su identidad y origen, duración del compromiso y todo ello extremando las precauciones para evitar alterar las evidencias durante el proceso de recolección. Es importante, a partir de este momento, llevar un registro de todas las operaciones que se realicen sobre los sistemas atacados [Hargreaves y Patterson, 2012]: la.

(33) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE33 y DEFT. fecha, hora de inicio y fin de cada uno de los pasos, las características como números de serie de cada equipo, de sus componentes, de su Sistema Operativo, etc. Existen dos formas para la recolección de evidencias: cuando el sistema está en los llamados estados “frío” y “caliente” [Okolica y Peterson, 2011]. El primero supone el equipo apagado, cuando la información volátil ha sido limpiada. Caso contrario ocurre con el equipo en estado “caliente”, pues el sistema mantiene todos los datos.En el sistema existen pruebas ocultas con diferentes niveles de volatilidad, como los registros del procesador, estructuras de datos en la memoria RAM (Random Access Memory) o memoria de tipo caché, conexiones de red activas, usuarios y procesos actuales, sistema de archivos, etc. Será muy difícil reunir toda esta información a la vez y gran parte de esta se perderá si se decide apagar el equipo de la forma habitual, pues en este proceso se realizan una serie de pasos programados para cerrar el sistema de forma limpia, pero si además el atacante ha instalado las herramientas adecuadas éste podría eliminar, modificar y sustituir ficheros a su antojo durante el apagado, y se “limpiarán” también del equipo las huellas de su atacante. Además si el atacante sigue on-line, puede detectar su actividad y actuar con una acción evasiva o, peor aún, destructiva eliminando todo tipo de información [Aquilina, Malin y Casey, 2010]. En caso de realizar una recopilación del equipo en estado “caliente”, las evidencias deben recopilarse siguiendo el orden de mayor a menor volatilidad. Según la RFC 3227 [RFC, 2009], se propone utilizar el siguiente orden de volatilidad y por tanto de recopilación de evidencias: . Registros y contenidos de la caché.. . Contenidos de la memoria.. . Estado de las conexiones de red, tablas de rutas.. . Estado de los procesos en ejecución.. . Contenido del sistema de archivos y de los discos duros.. . Contenido de otros dispositivos de almacenamiento.. Los cuatro primeros puntos representan un tipo de datos volátil, que se perderán o modificarán si apaga o reinicia el sistema, es por tanto muy fácil eliminar estas evidencias de forma inadvertida..

(34) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 34 y DEFT. Dentro de las evidencias volátiles será de interés recuperar los siguientes datos del sistema en tiempo real [Mee et al., 2006]: . Fecha y hora.. . Procesos activos.. . Conexiones de red.. . Puertos TCP/UDP abiertos y aplicaciones asociadas “a la escucha”.. . Usuarios conectados remota y localmente.. El proceso de recopilación de evidencias, en algunos casos, genera poca información, pero en otros puede generar tal cantidad que sea necesario el uso de medios de almacenamiento con una capacidad considerable. En estos casos es aconsejable que se utilice discos externos USB para el transporte de grandes cantidades de información. Otra opción es emplear herramientas de transmisión de datos por la red, como por ejemplo Netcat, que permiten enviar toda la información recopilada a un sistema seguro, como por ejemplo un equipo conectado en la misma red o un portátil conectado directamente al sistema afectado [Turner, 2007; Lillard et al., 2010]. Tan pronto como se haya obtenido toda la información volátil del sistema se recopila la información contenida en los discos duros, teniendo en cuenta que estos dispositivos no sólo contienen las particiones, los archivos, directorios, etc., sino que también contienen otro tipo de datos que hacen referencia a los propios archivos y a flujos de información, son los metadatos que serán de gran importancia en el análisis forense [Murphey, 2007; Harms, 2006; Sammons, 2012]. Cuando se realiza una copia de seguridad de un disco o soporte en general se procede a copiar los archivos tal cual el sistema operativo los “ve”, perdiéndose gran cantidad de información oculta en el disco. Por el contrario si se realiza una imagen del disco, se crea una copia bit-a-bit del disco original preservando toda la información que contenga, incluyendo los bloques de los ficheros eliminados, espacio libre tras cada bloque, metadatos, etc..

(35) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 35 y DEFT. 2.1.3 Preservación de la evidencia Una vez recopilada la evidencia del ataque, es importante continuar siendo metódico y sobre todo conservar intactas las “huellas del crimen” por lo que no se debe trabajar sobre la copia original de la evidencia. Por lo que se deben realizar como mínimo dos copias de estas, además de generar una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD513 [Fichera, 2013; Orebaugh, 2006]. Las copias deben ser etiquetadas para distinguirlas, colocando en ellas como datos principales el nombre, la fecha y hora de la creación. La información debe ser guardada en un lugar seguro donde solamente el personal autorizado y capacitado para manipularla pueda acceder a ella. 2.1.4 Análisis de la evidencia Con las evidencias digitales recopiladas y almacenadas de forma segura, se pasa a la fase de Análisis Forense, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento [Fichera y Bolt, 2013; Brueckner et al., 2008]. Este análisis se puede dar por concluido cuando se conozcan todos o algunos de los siguientes elementos: cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. 2.1.5 Documentación del incidente Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto hará más eficiente y efectivo el mismo, al tiempo que reducirá las posibilidades de error a la hora de gestionar el incidente [Case et al., 2008; Watson y Jones, 2013]. Por otro lado, cuando se haya concluido el análisis y durante éste, se deben mantener.

(36) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 36 y DEFT. informados a las personas responsables de la organización, para ello al menos se tienen que confeccionar dos tipos de informes, uno Técnico y otro Ejecutivo [Croft y Olivier, 2010]. A continuación se explica el contenido de cada uno de estos informes. 1. Informe Técnico Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense. Deberá contener, al menos, los siguientes puntos: . Antecedentes del incidente. . Recolección de los datos. . Descripción de la evidencia. . Entorno del análisis. . Descripción de las herramientas. . Análisis de la evidencia. . Información del sistema analizado. . Características del SO. . Aplicaciones. . Servicios. . Vulnerabilidades. . Metodología. . Descripción de los hallazgos. . Huellas de la intrusión. . Herramientas usadas por el atacante. . Alcance de la intrusión. . El origen del ataque. . Cronología de la intrusión. . Conclusiones. . Recomendaciones específicas.

(37) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE37 y DEFT. . Referencias. 2. Informe Ejecutivo Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrán los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, y será de especial interés para exponer lo sucedido a personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración, e incluso algunos directivos. En este informe deberá describir, al menos, lo siguiente: . Motivos de la intrusión. . Desarrollo de la intrusión. . Resultados del análisis. . Recomendaciones. Estos informes deben ser entregados a las autoridades pertinentes, según las regulaciones de cada país y en particular de cada empresa. 2.2 Caracterización de las herramientas forenses CAINE y DEFT CAINE (Computer Aided INvestigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia. Es una distribución de Linux basada en Ubuntu dirigida a los investigadores en informática forense [Barrett y Kipper, 2010]. Actualmente el proyecto se mantiene por Nanni Bassetti. La última versión de CAINE está basada en el Ubuntu Linux 12.04 LTS, MATE y LightDM Según CAINE [2013] esta distribución no pretende ser una nueva herramienta forense o framework de recopilación de ellas, pues este tipo de distribuciones ya existen (ejemplo Felix FCCU, Deft, entre otras). CAINE propone como novedad un nuevo entorno de fácil uso para todo este tipo de herramientas. Además introduce características importantes, que aspiran a.

(38) CAPÍTULO 2: Análisis forense digital y caracterización de las herramientas forenses CAINE 38 y DEFT. llenar el vacío de interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes y resultados [Watson, 2014]. CAINE garantiza [CAINE, 2014]: •. un entorno interoperable que apoya al investigador digital durante las cuatro fases de la investigación digital. •. una interfaz gráfica fácil. •. una compilación semiautomática del informe final. Entre sus principales características están: •. WinTaylor, software forense ambientado para entorno Windows. •. Página html compatible con Internet Explorer para ejecutar las herramientas forenses en Windows. •. NTFS -3g actualizado a 2009.1.1 (resolver un error ntfs -3g). •. Nueva opción de arranque en modo de texto.. •. Paquetes actualizados de Ubuntu 8.04. •. Firefox 3.0.6. •. Gtkhash, software ambientado para los archivos hash. •. Nuevas características agregadas a los informes: investigadores y nombre del caso. •. Informe en multi-idioma: italiano, Inglés, alemán, francés y portugués. •. Firefox comienza con la lista de herramientas y un breve manual de utilización. WinTaylor es la nueva interfaz forense construida para Windows e incluida en CAINE Live CD. Está escrita en Visual Basic 6 para maximizar la compatibilidad con los sistemas Windows más antiguos, y proporciona un conjunto interno de los programas forenses de renombre [Watson y Jones, 2013]. WinTaylor propone una sencilla y completa integración de software forense y hereda la filosofía de diseño de Caín. Para garantizar la transparencia de las operaciones realizadas por WinTaylor durante su ejecución, está a disposición el código fuente del programa, que está licenciado bajo la GNU Lesser GPL 2.1. El código es visible y editable, en beneficio de.

Figure

Tabla 1.1: Archivos log en Unix/Linux
Figura 3.1 Herramienta GtkHash para el cálculo del valor MD5.
Figura 3.2 Opciones de booteo en DEFT
Figura 3.3 Herramienta dd ejecutada en CAINE
+7

Referencias

Descargar ahora ( PDF - 68 página - 1.89 MB )

Outline

Realización de un análisis forense Conclusiones

Documento similar

Formato pdf

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

Formulario de datos básicos de la solicitud de autorización de investigaciones clínicas con productos sanitarios (Anexo C)

 Tejidos de origen humano o sus derivados que sean inviables o hayan sido transformados en inviables con una función accesoria..  Células de origen humano o sus derivados que

plan de trabajo 2023

a) Implement a new architecture, making efficient use of new technological developments, information sources, and analytical methods. b) Establish an institutional and

este enlace

Una vez se hayan valorado las solicitudes, el MS publicará en su página web y con anterioridad a fi nalizar el plazo de nominación, la autoridad competente nominada como

guía rápida

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

EL ARCHIVO DE LOYOLA EN TIEMPOS DE LA EXPULSIÓN Y LAS APORTACIONES DE LOS JESUÍTAS LLEGADOS DE ITALIA (SEGÚN RESEÑA DEL P. PÉREZ PICÓN)

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

LA ACTIVIDAD INFORMAL DE LA ADMINISTRACIÓN. PREMISAS PARA UNA TENTATIVA DE RECONSTRUCCIÓN DE UNA CATEOGRÍA (CASI) OLVIDADA*

En este sentido, puede defenderse que, si la Administración está habilitada normativamente para actuar en una determinada materia mediante actuaciones formales, ejerciendo

Cambios necesarios para la viabilidad de las actuaciones urbanísticas de regeneración urbana*

Este mismo régimen de deberes tiene sentido cuando la actuación de reforma o renovación significa un cambio radical de la morfología urbana, normalmente acompa- ñado por un cambio