Anlisis Forense Informtico

Lic. Julio C. Ardita

jardita@cybsec. jardita@cybsec.com

17 de Mayo de 2004 Buenos Aires - ARGENTINA

1
2004 CYBSEC S.A.

Anlisis Forense Informtico

Temario
- Anlisis Forense Informtico. - Preservacin de la evidencia. - Metodologa de Anlisis Forense Informtico. - Formas de almacenamiento Imgenes. - Anlisis Forense Windows Linux.

2
2004 CYBSEC S.A.

Anlisis Forense Informtico

Las vulnerabilidades estn creciendo

Vulnerabilities Reported 4500 4000 3500 3000 2500 2000 1500 1000 500 0

Vulnerabilities Reported

Source: CMU Computer Emergency Response Team

3
2004 CYBSEC S.A.

2003 (Est)

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

Anlisis Forense Informtico

Crecimiento de incidentes
Network Incidents Reported 180000 160000 140000 120000 100000 80000 60000 40000 20000 0

Network Incidents Reported

2003 (Est) 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002

Source: CMU Computer Emergency Response Team

4
2004 CYBSEC S.A.

Anlisis Forense Informtico

Qu son los delitos informticos?

Son actos criminales en los cuales se encuentran involucrados las computadoras. 1. Delitos directamente contra computadoras. 2. Delitos donde la computadora contiene evidencia. 3. Delitos donde la computadora es utilizada para cometer el crimen.

5
2004 CYBSEC S.A.

Anlisis Forense Informtico Vale la pena investigar incidentes de seguridad? Qu es lo mximo que se puede lograr? Cul es el la poltica de una Compaa ante un incidente?

Tiempo en el que se produce el incidente: 1 hora. Tiempo requerido para el anlisis del mismo: 20 horas.
Estimaciones FBI - 2001

6
2004 CYBSEC S.A.

Anlisis Forense Informtico

Evidencia Digital
La evidencia computacional es nica, cuando se la compara con otras formas de evidencia documental. A diferencia de la documentacin en papel, la evidencia computacional es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realiz una copia.
7
2004 CYBSEC S.A.

Anlisis Forense Informtico

Anlisis Forense Informtico

Es la tcnica de capturar, procesar e investigar informacin procedente de sistemas informticos utilizando una metodologa con el fin de que pueda ser utilizada en la justicia.
Rodney McKennish, report, 1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing (Australia)

La Informtica Forense se encarga de analizar sistemas informticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociacin extrajudicial.

8
2004 CYBSEC S.A.

Anlisis Forense Informtico

Parte del proceso judicial en relacin al anlisis forense informtico

9
2004 CYBSEC S.A.

Anlisis Forense Informtico

Proceso general
1. Surge un pedido desde un juzgado. 2. Se elabora un Plan (Inteligencia). 3. Se realiza el proceso de secuestro de evidencia. 4. Se realizan copias Cadena de custodia. 5. Se realiza el anlisis. 6. Se escribe y presenta el reporte.

2004 CYBSEC S.A.

Anlisis Forense Informtico

Por qu el anlisis Forense?

Esclarecer actos criminales.

Leyes locales.

Leyes globales (Sarbanes-Oxley, etc).

11
2004 CYBSEC S.A.

Anlisis Forense Informtico

Problemas jurisdiccionales
El hecho donde ocurri? El intruso donde se encuentra? El pas donde ocurri posee legislacin? El pas donde estamos posee legislacin? Dnde se juzga el hecho?
12
2004 CYBSEC S.A.

Anlisis Forense Informtico

Porque la evidencia es tan importante? En la vida real, la evidencia es TODO. Se utiliza para establecer hechos. Permite relacionar los diferentes eventos.

13
2004 CYBSEC S.A.

Anlisis Forense Informtico

Metodologa utilizada
El primer paso es identificar qu computadora puede contener evidencia, reconociendo la frgil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daos accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. Una verdadera imagen espejada es una copia sector a sector de la unidad original investigada.

14
2004 CYBSEC S.A.

Anlisis Forense Informtico

Metodologa utilizada
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o informacin necesaria. Finalmente una vez terminada la investigacin se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.

15
2004 CYBSEC S.A.

Anlisis Forense Informtico

Identificar la evidencia
Qu tipo de informacin esta disponible? Cmo la podemos llevar de forma segura?. Qu puede formar parte de la evidencia?

16
2004 CYBSEC S.A.

Anlisis Forense Informtico

Discos rgidos. - Archivos de SWAP. - Archivos temporales. - Espacio no asignado en el disco. - Espacio File-Slack. Memoria y procesos que se encuentran ejecutando. Diskettes, CD-ROMS, DVDs, ZIP, Jaz, Tapes. Archivos de logs. Backups.
17
2004 CYBSEC S.A.

Anlisis Forense Informtico

DOS/Windows almacena archivos en clusters. DOS/Windows escribe al disco en bloques de 512 bytes llamados sectores. Los clusters estan compuestos de un nmero de sectores.
Cluster 1 File Data Last Cluster File Slack

Sector 1 File Data RAM Slack

Last Sector Disk Slack

Son creados cuando se escriben archivos al disco. RAM Slack Buffer de la memoria. Disk Slack Contenido anterior del bloque.
18

2004 CYBSEC S.A.

Anlisis Forense Informtico

Preservar la evidencia
Se debe tratar de no realizar ningun cambio sobre la misma. Se deben registrar y justificar todos los cambios. Realizar un by-pass del sistema operativo y crear por fuera un backup de toda la evidencia. Las copias duplicadas deben ser escritas en otro disco rgido o CD-ROM. Se debe realizar una documentacin de todo el proceso de la generacin de imagenes. Se deben autenticar todos los archivos e imgenes utilizadas con hashes MD5 o SHA1.
19
2004 CYBSEC S.A.

Anlisis Forense Informtico

Cmo preservar la evidencia?

Disk to be Imaged

Last Sector First Sector

Image File
20
2004 CYBSEC S.A.

Anlisis Forense Informtico

Orden de volatilidad
Se debe preservar la evidencia ms vlatil al principio:

Registros, caches, memoria de perifericos. Memoria (kernel, fsica) Estado de las conexiones de red. Procesos que se estn ejecutando. Discos rgidos. Diskettes, archivos de backups CD-ROMs, impresiones.

21
2004 CYBSEC S.A.

Anlisis Forense Informtico

Analizar la evidencia
Se debe extraer la informacin, procesarla e interpretarla. Extraerla producir archivos binarios. Procesarla generar informacin entendible. Interpretarla es la parte ms importante del proceso. El proceso debe poder re-hacerse y producir el mismo resultado.

22
2004 CYBSEC S.A.

Anlisis Forense Informtico

Presentar la evidencia
A la empresa, abogados, la corte, etc. La aceptacin de la misma depender de: Forma de presentacin. Antecedentes y calificacin de la persona que realiz el anlisis. La credibilidad del proceso que fue utilizado para la preservacin y anlisis de la evidencia.

23
2004 CYBSEC S.A.

Anlisis Forense Informtico

Cadena de custodia
Quin ha accedido a la evidencia? Qu procedimientos se han seguido mientras se trabajaba con la evidencia? Cmo podemos demostrar que nuestro anlisis se realiz sobre copias idnticas del original?. Respuesta: Documentacin, firmas digitales, hashes, timestamps, etc.

24
2004 CYBSEC S.A.

Anlisis Forense Informtico

Formas de almacenamiento en dispositivos informticos

Discos rgidos. Diskettes. CD-ROMs. ZIP drive. Tape backups. Dispositivos USB (Discos virtuales). Memory Sticks Cmaras de fotos. PDAs.
25
2004 CYBSEC S.A.

Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos Discos rgidos - Particiones - Linux - FDISK
Device Boot /dev/hda1 /dev/hda2 Start 1 63 End 62 2494 Blocks Id System 497983+ 82 Linux swap 19535040 83 Linux

Linux:~# fdisk Usage: fdisk [-l] [-b SSZ] [-u] device E.g.: fdisk /dev/hda (for the first IDE disk) or: fdisk /dev/sdc (for the third SCSI disk) or: fdisk /dev/eda (for the first PS/2 ESDI drive) or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices) ... Linux:~# fdisk /dev/hda 26
2004 CYBSEC S.A.

Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos Diskettes. Baja utilizacin de diskettes de 3 . y 5 . Poca capacidad 1.440Kbytes (3 ). Acceso a la informacin.

27
2004 CYBSEC S.A.

Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos CR-ROMS. Amplia utilizacin. Difusin masiva. Elevada capacidad 650 700 Mb. Formatos estndares.

28
2004 CYBSEC S.A.

Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos ZIP Disks (una nueva unidad). Tape Backups. Memorias va USB (una nueva unidad). Memory Sticks (Cmaras fotogrficas).

29
2004 CYBSEC S.A.

Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos PDAs. Memoria de la Agenda.

30
2004 CYBSEC S.A.

Anlisis Forense Informtico Imgenes Todo se debe llevar a imgenes para luego poder ser analizadas

IMAGEN

31
2004 CYBSEC S.A.

Anlisis Forense Informtico

Procedimiento de Identificacin y Preservacin de la Evidencia

32
2004 CYBSEC S.A.

Anlisis Forense Informtico

Sistema Victima

PC

PC

PC

Dialup NAT Lanzamiento del Ataque RED Interna

DHCP

TelCo Modems Terminal Server

33

Dnde esta la evidencia?

Auth Server

2004 CYBSEC S.A.

Anlisis Forense Informtico

Dnde est la evidencia?

En la computadora origen del intruso En el sistema telefnico Los logs del sistema de validacin del acceso remoto. En las redes internas. En la computadora de la victima. En la computadora que se utiliz para lanzar el ataque. Pensar acerca del evento y determinar donde puede existir evidencia.
34
2004 CYBSEC S.A.

Anlisis Forense Informtico

Qu significa la evidencia? Requiere tener un conocimiento general profundo. Como la evidencia es creada. Se puede falsificar. Que informacin se puede perder. Que puede estar mal. - Caso log UNIX wtmp Acceso de usuarios. - Caso DHCP Asignacin de direcciones.
35
2004 CYBSEC S.A.

Anlisis Forense Informtico Secuestrar Volatiles?

NO SI

Documentar la Escena

Capturar Voltiles
NO

Apagar Hacer Imgenes?

SI

Es necesario Investigar?
SI

Por qu?

NO

Investigar ON-SITE

Hacer Imgenes

En el Laboratorio, comenzar la fase de Anlisis.

36

2004 CYBSEC S.A.

Anlisis Forense Informtico

Llevar la evidencia vlatil?

La evidencia vlatil es aquella que desaparecer rpido, como ser conexiones activas de red, procesos en la memoria, archivos abiertos, etc. Lo que se haga, tcnicamente va a afectar la evidencia. Ejecutar el comando ps en UNIX sobreescribir partes de la memoria. Se puede sobreescribir la historia de comandos. Se pueden afectar las fechas de acceso a los archivos. Existe el riesgo de programas troyanos.
37
2004 CYBSEC S.A.

Anlisis Forense Informtico

Qu llevar?
Memoria, swap y contenido de directorios temporales. Conexiones de red actuales, puertos abiertos, interfaces promiscuas, archivos relacionados con los puertos. Procesos, archivos abiertos por los procesos. - En lo posible se debe utilizar herramientas seguras para analizar el sistema. - Se deben utilizar herramientas conocidas y ampliamente utilizadas. - Herramientas propias en un CD-ROM, diskette, USB Drive.
38
2004 CYBSEC S.A.

Anlisis Forense Informtico

WINHEX
Editor de discos, memorias, procesos. Posee muchos usos en informtica forense (Clonacin de discos, Captura de RAM, bsqueda de archivos ocultos, etc). Puede entrar en un diskette.

39
2004 CYBSEC S.A.

Anlisis Forense Informtico

WINHEX
Capturar la memoria RAM.

40
2004 CYBSEC S.A.