Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analisis Forence Digital
Analisis Forence Digital
1
2004 CYBSEC S.A.
Temario
- Anlisis Forense Informtico. - Preservacin de la evidencia. - Metodologa de Anlisis Forense Informtico. - Formas de almacenamiento Imgenes. - Anlisis Forense Windows Linux.
2
2004 CYBSEC S.A.
Vulnerabilities Reported
2003 (Est)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Crecimiento de incidentes
Network Incidents Reported 180000 160000 140000 120000 100000 80000 60000 40000 20000 0
5
2004 CYBSEC S.A.
Anlisis Forense Informtico Vale la pena investigar incidentes de seguridad? Qu es lo mximo que se puede lograr? Cul es el la poltica de una Compaa ante un incidente?
Tiempo en el que se produce el incidente: 1 hora. Tiempo requerido para el anlisis del mismo: 20 horas.
Estimaciones FBI - 2001
6
2004 CYBSEC S.A.
Evidencia Digital
La evidencia computacional es nica, cuando se la compara con otras formas de evidencia documental. A diferencia de la documentacin en papel, la evidencia computacional es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realiz una copia.
7
2004 CYBSEC S.A.
La Informtica Forense se encarga de analizar sistemas informticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociacin extrajudicial.
8
2004 CYBSEC S.A.
9
2004 CYBSEC S.A.
Proceso general
1. Surge un pedido desde un juzgado. 2. Se elabora un Plan (Inteligencia). 3. Se realiza el proceso de secuestro de evidencia. 4. Se realizan copias Cadena de custodia. 5. Se realiza el anlisis. 6. Se escribe y presenta el reporte.
Leyes locales.
11
2004 CYBSEC S.A.
Problemas jurisdiccionales
El hecho donde ocurri? El intruso donde se encuentra? El pas donde ocurri posee legislacin? El pas donde estamos posee legislacin? Dnde se juzga el hecho?
12
2004 CYBSEC S.A.
Porque la evidencia es tan importante? En la vida real, la evidencia es TODO. Se utiliza para establecer hechos. Permite relacionar los diferentes eventos.
13
2004 CYBSEC S.A.
Metodologa utilizada
El primer paso es identificar qu computadora puede contener evidencia, reconociendo la frgil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daos accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. Una verdadera imagen espejada es una copia sector a sector de la unidad original investigada.
14
2004 CYBSEC S.A.
Metodologa utilizada
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o informacin necesaria. Finalmente una vez terminada la investigacin se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.
15
2004 CYBSEC S.A.
Identificar la evidencia
Qu tipo de informacin esta disponible? Cmo la podemos llevar de forma segura?. Qu puede formar parte de la evidencia?
16
2004 CYBSEC S.A.
Discos rgidos. - Archivos de SWAP. - Archivos temporales. - Espacio no asignado en el disco. - Espacio File-Slack. Memoria y procesos que se encuentran ejecutando. Diskettes, CD-ROMS, DVDs, ZIP, Jaz, Tapes. Archivos de logs. Backups.
17
2004 CYBSEC S.A.
DOS/Windows almacena archivos en clusters. DOS/Windows escribe al disco en bloques de 512 bytes llamados sectores. Los clusters estan compuestos de un nmero de sectores.
Cluster 1 File Data Last Cluster File Slack
Son creados cuando se escriben archivos al disco. RAM Slack Buffer de la memoria. Disk Slack Contenido anterior del bloque.
18
Preservar la evidencia
Se debe tratar de no realizar ningun cambio sobre la misma. Se deben registrar y justificar todos los cambios. Realizar un by-pass del sistema operativo y crear por fuera un backup de toda la evidencia. Las copias duplicadas deben ser escritas en otro disco rgido o CD-ROM. Se debe realizar una documentacin de todo el proceso de la generacin de imagenes. Se deben autenticar todos los archivos e imgenes utilizadas con hashes MD5 o SHA1.
19
2004 CYBSEC S.A.
Image File
20
2004 CYBSEC S.A.
Orden de volatilidad
Se debe preservar la evidencia ms vlatil al principio:
Registros, caches, memoria de perifericos. Memoria (kernel, fsica) Estado de las conexiones de red. Procesos que se estn ejecutando. Discos rgidos. Diskettes, archivos de backups CD-ROMs, impresiones.
21
2004 CYBSEC S.A.
Analizar la evidencia
Se debe extraer la informacin, procesarla e interpretarla. Extraerla producir archivos binarios. Procesarla generar informacin entendible. Interpretarla es la parte ms importante del proceso. El proceso debe poder re-hacerse y producir el mismo resultado.
22
2004 CYBSEC S.A.
Presentar la evidencia
A la empresa, abogados, la corte, etc. La aceptacin de la misma depender de: Forma de presentacin. Antecedentes y calificacin de la persona que realiz el anlisis. La credibilidad del proceso que fue utilizado para la preservacin y anlisis de la evidencia.
23
2004 CYBSEC S.A.
Cadena de custodia
Quin ha accedido a la evidencia? Qu procedimientos se han seguido mientras se trabajaba con la evidencia? Cmo podemos demostrar que nuestro anlisis se realiz sobre copias idnticas del original?. Respuesta: Documentacin, firmas digitales, hashes, timestamps, etc.
24
2004 CYBSEC S.A.
Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos Discos rgidos - Particiones - Linux - FDISK
Device Boot /dev/hda1 /dev/hda2 Start 1 63 End 62 2494 Blocks Id System 497983+ 82 Linux swap 19535040 83 Linux
Linux:~# fdisk Usage: fdisk [-l] [-b SSZ] [-u] device E.g.: fdisk /dev/hda (for the first IDE disk) or: fdisk /dev/sdc (for the third SCSI disk) or: fdisk /dev/eda (for the first PS/2 ESDI drive) or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices) ... Linux:~# fdisk /dev/hda 26
2004 CYBSEC S.A.
Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos Diskettes. Baja utilizacin de diskettes de 3 . y 5 . Poca capacidad 1.440Kbytes (3 ). Acceso a la informacin.
27
2004 CYBSEC S.A.
Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos CR-ROMS. Amplia utilizacin. Difusin masiva. Elevada capacidad 650 700 Mb. Formatos estndares.
28
2004 CYBSEC S.A.
Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos ZIP Disks (una nueva unidad). Tape Backups. Memorias va USB (una nueva unidad). Memory Sticks (Cmaras fotogrficas).
29
2004 CYBSEC S.A.
Anlisis Forense Informtico Formas de almacenamiento en dispositivos informticos PDAs. Memoria de la Agenda.
30
2004 CYBSEC S.A.
Anlisis Forense Informtico Imgenes Todo se debe llevar a imgenes para luego poder ser analizadas
IMAGEN
31
2004 CYBSEC S.A.
32
2004 CYBSEC S.A.
Sistema Victima
PC
PC
PC
DHCP
Auth Server
Qu significa la evidencia? Requiere tener un conocimiento general profundo. Como la evidencia es creada. Se puede falsificar. Que informacin se puede perder. Que puede estar mal. - Caso log UNIX wtmp Acceso de usuarios. - Caso DHCP Asignacin de direcciones.
35
2004 CYBSEC S.A.
Documentar la Escena
Capturar Voltiles
NO
Es necesario Investigar?
SI
Por qu?
NO
Investigar ON-SITE
Hacer Imgenes
Qu llevar?
Memoria, swap y contenido de directorios temporales. Conexiones de red actuales, puertos abiertos, interfaces promiscuas, archivos relacionados con los puertos. Procesos, archivos abiertos por los procesos. - En lo posible se debe utilizar herramientas seguras para analizar el sistema. - Se deben utilizar herramientas conocidas y ampliamente utilizadas. - Herramientas propias en un CD-ROM, diskette, USB Drive.
38
2004 CYBSEC S.A.
WINHEX
Editor de discos, memorias, procesos. Posee muchos usos en informtica forense (Clonacin de discos, Captura de RAM, bsqueda de archivos ocultos, etc). Puede entrar en un diskette.
39
2004 CYBSEC S.A.
WINHEX
Capturar la memoria RAM.
40
2004 CYBSEC S.A.