Está en la página 1de 6

PORTADA • Backtrack y Sleuth Kit

Análisis Forense con BackTrack y Sleuth Kit

DACTILOSCOPIA

fotoflash, Fotolia

Si sabemos que han atacado uno de nuestros sistemas, podemos usar la distribución Live BackTrack e iniciar nuestra investigación con Sleuth Kit. POR KURT SEIFRIED

E

l crimen informático es un serio problema, en gran parte debido a que la mayoría de la información empresarial se gestiona ahora mediante computadoras y no en papel, como se venía haciendo hasta este momento. Nuestras máquinas y redes representan un jugoso objetivo para el atacante, y dependiendo de lo que éste quiera, el ataque podría acabar resultando desde preocupante hasta catastrófico. Como casi toda la información de nuestras compañías se encuentra en máquinas, cualquier acceso a las mismas con intenciones criminales dejará, muy probablemente, algún tipo de rastro. Algo que todos los ataques tienen en común es que la primera vez que nos percatamos de que ha ocurrido un incidente, probablemente no tengamos toda la información necesaria para afrontarlo. Recopilar información para reconstruir los hechos requiere a veces investigación forense. ¿Fue un ataque interno o aprovechó un fallo disponible desde el exterior? ¿Accedió el atacante a un solo sistema o a la red entera? ¿Robó información? ¿Introdujo un virus? ¿Instaló un rootkit?

La distribución de Linux BackTrack [1] y el juego de herramientas forenses Sleuth Kit

[2] nos ayudarán a recopilar información sobre el ataque. En este artículo mostramos

Requisitos Hardware
Los sistemas dedicados al análisis forense necesitan mucho espacio para el almacenamiento, siendo poco probable que nos sobre. Esta cantidad de espacio es imprescindible para tener una copia de la evidencia, además del espacio libre necesario para trabajar con ella; una cantidad estimada podría ser de dos a tres veces el tamaño total de la evidencia. Hoy día no cuesta demasiado hacerse con dispositivos de 2TB. Además deben ser discos rápidos si planeamos usar la búsqueda de palabras clave o la comprobación de archivos eliminados. Hay que tener en cuenta que accederemos a los discos como si de un dispositivo de cinta se tratase (un flujo constante de archivos extremadamente grandes), más que como a un disco duro tradicional (búsqueda y lectura de archivos relativamente pequeños). Por tanto, el uso de dispositivos del tipo de los RAID sólo haría ralentizar las cosas. Por naturaleza propia, el análisis forense de dispositivos electrónicos requiere, por parte del sistema, que se procesen y organicen ingentes cantidades de información. La mayoría de las estaciones de trabajo modernas poseen un disco duro de al menos 100GB. Nuestra estación tiene un disco de 750GB, que costó unos 130 Euros hace aproximadamente seis meses. Para hacer búsquedas de cadenas en 100GB de información (como por ejemplo pornografía), o números de tarjetas de crédito, necesitaremos además una buena potencia de procesamiento por parte de la CPU. Lo bueno de todo esto es que, igual que ocurre con los discos duros, las CPUs son ahora extremadamente rápidas y baratas. Querremos al menos un chip de doble núcleo e ingentes cantidades de memoria para el almacenamiento temporal y el tratamiento de la información.

20

Número 42

WWW.LINUX- MAGAZINE.ES

.

SCSI. Además. Análisis Forense en Linux El proceso de recolección y análisis de evidencias en un sistema Linux sigue generalmente el siguiente patrón: • Apagar el sistema afectado. Además. algún rootkit podría ocultar información. En las siguientes secciones examinamos más a fondo este proceso. como por ejemplo que no estemos viendo lo que hay en realidad. un bloqueador de escritura permite “[…] la extracción de información contenida en un dispositivo sin incurrir en el riesgo de dañar accidentalmente los contenidos del dispositivo. La ciencia forense en el campo de la electrónica es una materia muy extensa que. Lo malo de todo este asunto es que los atacantes son cada vez mejores en técnicas anti-forenses.LINUX. incluso reduciéndola a unas pocas herramientas para sistemas Linux. • Procesar las evidencias y la información para llegar a una conclusión. al tirar del cable dejaríamos el sistema en un estado inconsistente o impediríamos que se escribiesen datos a los dispositivos. y crear una imagen del disco. Debemos examinar el caso con detenimiento – la mejor elección dependerá de qué información queramos obtener y qué planeemos hacer con ella. Anti-Forenses El propósito de la ciencia forense es tratar de determinar qué ocurrió y encontrar evidencias que nos permitan tomar una serie de decisiones o. • Examinar la imagen del disco con herramientas como Sleuth Kit. si el atacante consigue contaminar la evidencia limpiando archivos y datos. • No se acudirá a las fuerzas de seguridad (de lo contrario tendríamos que cubrir muchos aspectos relacionados con la jurisdicción o la custodia). teniendo a su disposición un buen número de juegos de herramientas avanzadas para tal propósito. Policía y Evidencias No somos abogados. puertos paralelos. más probable será que perdamos la verdadera evidencia. implementando hooks a nivel de kernel por ejemplo. nos obliga a dejar un montón de material por cubrir. Apagado del Sistema Afectado En la medida de lo posible. y esto no es un aviso legal. por sí misma.ES . etc) puede costar entre 650 y 1300 Euros. mientras que un juego completo (para tarjetas de memoria. Esto requiere tiempo. La ventaja de apagar el sistema es que podemos arrancar desde un medio confiable. debemos consultar a un abogado para determinar los detalles y debemos ser muy cuidadosos a la hora de documentar todo lo que hacemos. pero previamente explicaremos los pasos a llevar a cabo antes del análisis forense. Sea como fuere. Además. de todas formas. Acceso a los Discos Afectados Una vez más. o quitarlos y conectarlos a otro sistema para la confección de la imagen. Haciendo una imagen de un sistema vivo. inyectando datos falseados o modificando el rastro dejado. o tirando del cable de alimentación.MAGAZINE. • Hacer una copia del disco duro. haciéndose necesaria la orden de registro para cualquier descubrimiento posterior. si el atacante tuviera aún peores intenciones. Si decidimos dejarlos en el sistema original. como un CD de recuperación o un CD de análisis forense como BackTrack. por ejemplo. Si tenemos planeado acudir a la policía en algún momento dado. o de un modo ordenado. Pero existen varios inconvenientes a la hora de examinar un sistema vivo. las reglas de las colecciones de pruebas. • Se dispone de medios para la copia y recuperación. puertos serie. 22 Número 42 WWW. Pero. así no se escribirán los discos duros. debemos decidir cómo. en algunos casos. las conexiones de red o copiar lo que hay en memoria para examinarlo más tarde. tenemos varias opciones: Podemos dejar los dispositivos afectados en el sistema y arrancar desde un CDROM o un stick USB. las herramientas mostradas se pueden usar para examinar otros tipos de sistemas Unix o Windows. Los rootkits modernos pueden ocultar datos y procesos fácilmente. ¿cómo apagamos el sistema? Un apagado ordenado podría iniciar programas destinados a la limpieza de evidencias o. Esto se consigue permitiendo el paso de los comandos de lectura e impidiendo el de los comandos de escritura […]”. sobreescribir el firmware del disco duro o del sistema. al cometer un error haciendo la imagen de disco. deberíamos reconsiderar nuestra elección y optar por tirar del cable de alimentación. Sistemas Vivos y Muertos Una de las decisiones principales a las que nos tendremos que enfrentar es si apagar o no el sistema una vez que sospechamos que ha podido ser comprometido. dispositivos USB. pudiéndose garantizar que después de su apagado no se han modificado o eliminado pruebas acerca del estado en que se encontraba el sistema. Un sistema muerto es más fácil de examinar. sabemos que en ciertas jurisdicciones podemos recopilar evidencias dentro de nuestra organización sin necesidad de una orden de registro. lo más recomendable sería un apagado ordenado. Normalmente. Mientras más tiempo tiene el atacante para sus manipulaciones. de todas formas. razón suficiente para crear una duda razonable ante un juzgado). más probable es que escape. la cadena de custodia y las herramientas viables varían de una jurisdicción a otra. acciones legales. De acuerdo con la wiki sobre análisis forense [3]. ATA. un bloqueo de escritura viene a costar de 65 a 200 Euros. es imprescindible asegurarse de configurar la BIOS para que no arranque desde el dispositivo afectado. una alternativa bastante común es arrancar un Live CD Bloqueo Hardware Una opción interesante puede ser la inversión en un bloqueo de escritura por hardware. En cualquier caso. • Es posible desconectar los sistemas afectados para hacer una copia de seguridad. si sospechamos que el atacante ha dejado algún tipo de bomba lógica o de scripts de limpieza. listar Arranque de BackTrack Después de apagar el sistema. Y si decidimos apagarlo. Podemos hacer cosas como examinar la tabla de procesos para ver qué se está ejecutando. Aunque nos centremos en Linux.PORTADA • Backtrack y Sleuth Kit cómo usar BackTrack y Sleuth Kit. el coste de la modificación o eliminación accidental de evidencias podría ser mucho mayor que el coste del dispositivo (la ausencia de un bloqueo de escritura podría ser. Si acudimos a la policía se nos puede considerar agentes. Aquí vamos a suponer que se dan las siguientes circunstancias: • Se sabe cuáles son los sistemas que pueden haber sido comprometidos (no cubriremos las herramientas más comunes para detección de ataques como Snort o Tripwire). El análisis forense de un sistema vivo tiene a veces sus ventajas.

.

0.c -/-rw—r—r. VFAT.MAGAZINE. dcfldd posee la capacidad de crear hashes MD5 y SHA256 de los datos. Debian. dcfldd incluye funciones útiles para el trabajo de análisis forense.168.kurt kurt 58498 /home/kurt/. Creación de una Copia de Seguridad Crear una imagen completa de una partición o de un disco es relativamente sencillo con Linux. lo siguiente: dcfldd if=/dev/hda1 U hash=md5..LINUX. un MD5 y un hash SHA256 para cada bloque de 10GB de datos (y lo escribirá en un log). permitiendo así la verificación de éstos. El procedimiento típico en una investigación con Sleuth Kit es: Listado 1: Registro de Accesos 01 Mon Jun 02 2008 01:16:45 24 . NTFS… • Se encuentra en desarrollo activo y está orientada específicamente a pruebas de intrusión. entre los que se incluyen EXT2. Finalmente. Recomendamos la distribución Live BackTrack en CD (Figura 1) [4]. Para enviar el contenido de la imagen a sha256log=sha256.kurt kurt 58500 /home/kurt/. nosotros hemos usado la versión beta de BackTrack sin problemas. Linux escanea en busca de todas las etiquetas de los discos.sha256 U hashwindow=10G U md5log=md5. tenemos que estar seguros de cómo serán tratados estos dispositivos en fstab.1.c -/-rw-r—r.bashrc 24 Número 42 WWW. EXT3.txt U creará una imagen de hda1.sync U combinar dd con herramientas como nc o split=10G splitformat=aa U SSH. Algunas de estas herramientas son mmstat. son otra posibilidad. que lista las características y contenidos de un sistema de archivos.bash_logout 02 03 176 . En esta máquina. Las distribuciones Live de Linux. el comando divide los datos en archivos de 10GB cuyos nombres acabarán en aa. La herramienta dd.txt U otro sistema sin tener que desmontar el hashconv=after bs=512 U equipo para sacar los discos. Autopsias y Sleuth Kit Sleuth Kit es una útil colección de herramientas de análisis forense de código abierto. sólo hay que ejecutar nc en modo de escucha y volcar el contenido a un archivo: nc -l 9000 > driveimage.168. etc. ab y así sucesivamente. además de la capacidad de partir los archivos fácilmente.kurt kurt 58499 /home/kurt/. nuestro sistema acabará montando /dev/hde3. Lo podemos hacer creando hashes criptográficos (MD5 y SHA256) y copiándolos de forma segura fuera del sistema (a través de un módulo de memoria USB o de una conexión con OpenSSH).PORTADA • Backtrack y Sleuth Kit de Linux. Sólo hay que dirigirse a la página de descarga. podemos conv=noerror. ya podremos arrancar BackTrack desde el CD. • incluyen utilidades de análisis forense como la herramienta de copia de disco avanzada dcfldd [5]. pulsar sobre el torrent y esperar a que se descargue. puede hacer imágenes de Figura 1: La distribución Live BackTrack de Linux está espeparticiones o de discos cializada en análisis forense. Por ejemplo.) tienen un modo de recuperación o de emergencia que podemos usar para acceder al sistema.dd dd if=/dev/hda1 bs=2k |U nc 192. separando los bloques de entrada si fuese necesario.dd Configuración de /etc/fstab en un Sistema Forense Si hemos conectado dispositivos de evidencia a un sistema Linux. montará la que encontró en último lugar. Conviene recordar que a menos que estemos enviando los datos a través de una red segura. A diferencia de dd.. y conectamos un disco de evidencia que tiene /dev/ hde3 etiquetada como home. debemos comprobar que no son alterados durante la transferencia. por supuesto sólo funcionará si el sistema con el que interactuamos es lo suficientemente reciente como para arrancar desde dispositivos USB. completos. por lo que no hemos de preocuparnos por los posibles scripts y las herramientas troyanizadas que hubieran podido quedar en el sistema para cubrir rastros.ES . con la consiguiente modificación de la evidencia como resultado.bash_profile 124 . Casi todos los medios de instalación (Red Hat. Simplemente ejecutando el comando of=driveimage. dos particiones etiquetadas como home).. Un sistema Live tratará el discoevidencia como simples datos. Algunas de las ventajas de BackTrack son: • Soporta varios sistemas de archivos. podemos descargar una versión para USB y copiarla a un módulo de memoria USB. o jls. Por lo que si tenemos /dev/hda2 etiquetada como home. y continuará la lectura en caso de encontrar algún error.0. Luego puede usarse cualquier herramienta estándar para grabar CDs y quemarlo en un CD.c -/-rw-r—r. Cuando tengamos nuestra copia. Alternativamente. en dispositivos de CD o USB. que muestra información sobre las tablas de particiones. Durante el arranque. especificando el tamaño máximo de las partes (trabajar con un archivo de 250Gb puede ser inviable en determinadas ocasiones). Si encuentra varias etiquetas con el mismo nombre (por ejemplo. incluida en el CD de BackTrack. Para descargar BackTrack necesitaremos un cliente de BitTorrent (el software se distribuye a través de BitTorrent).1 9000 estaremos creando una imagen de la primera partición del primer disco IDE (hda1) y enviando los datos al puerto TCP 9000 de la máquina 192.

asegurándonos así de que obtenemos todos los datos. ordena en varias categorías como imágenes. los Listado 2: /home/kurt/ . el software es extremadamente sencillo de utilizar y los resultados no se harán esperar demasiado. automatiza el proceso y usa una interfaz web.1) al servidor web. Posiblemente la mejor sea la pantalla File Type.linuxleo. com/ [7] “Defeating Forensic Analysis on Unix”: http://www. 2. acceso. desde antiguas instalaciones de Windows hasta documentos que no veíamos desde hace tiempo. Extracción de Archivos con Icat Icat es una utilidad relativamente sencilla que busca un inodo dentro de un archivo de imagen y saca los datos a un archivo. extrae los archivos. creamos una línea temporal (actividad de los archivos. Después de hacerlo.pgp 02 PGP key security ring 03 Image: /evidence/ddriveimage. como números de tarjetas de crédito. La opción -s copia el espacio por rellenar.dd > U datos-salida ils -f ext -m U /evidencia/ddriveimage. Un ejemplo sería: fls -f ext -m / U /evidencia/ddriveimage.org/ [3] Bloqueos de escritura: http://www.dd672959. 3. sino también en Windows y otros tipos de Unix.org/ backtrack_download.dd672945 05 06 /home/secret/.dd Inode: 672959 09 Saved to: crypto/ddriveimage. El navegador de análisis forense Autopsy. Con la interfaz web de Autopsy.ES Número 42 25 . por si el atacante modificó las fechas de acceso. la gestión de notas y eventos o el soporte multiusuario. sino que además nos ofrece un número de búsquedas preconfiguradas. Creamos con fls un listado con los nombres de archivos y directorios críticos dentro de la imagen. y nos da la opción de copiar los archivos para un análisis posterior. como el seguimiento de casos. then 05 . Palabras Clave También nos puede resultar útil la pantalla de búsqueda de Autopsy.pgp/pubring.html?issue=59&id=6 Listado 3: Salida del Archivo de Cifrado 01 /home/secret/.pgp 07 PGP key public ring 08 Image: /evidence/ddriveimage.phrack.0.bash_profile 02 03 # Obtener aliases y funciones 04 if [ -f ~/. remoteexploit. encontramos información de hace varios años.sleuthkit. Por defecto. de cualquier modo. Un ejemplo de salida de archivos relacionados con la criptografía es el que se muestra en el Listado 3. en la que se puede ver que un usuario llamado Kurt accedió a una cuenta a través de SSH. pero esperemos un poco antes de pulsar sobre Sort Files by Type. Autopsy sólo permite la conexión a localhost (127. creamos un listado con información sobre los inodos. remoteexploit. ejecutables.bashrc ]. direcciones IP o fechas.net/ [6] Linux LEO: http://www. Esta funcionalidad escanea el archivo de imagen completo. En nuestras pruebas. extraemos de los inodos los archivos interesantes (y eliminados).una interfaz web para Sleuth Kit RECURSOS [1] BackTrack: http://www.bash_profile (Listado 2).LINUX. números de la seguridad social. Conclusión Sleuth Kit ofrece un juego potentísimo – y libre – de utilidades para el análisis forense de componentes electrónicos. mientras Ordenar por Tipo de Archivo En la pantalla de análisis de imagen de Autopsy podemos encontrar varias opciones.sourceforge. etc).MAGAZINE. que podría contener información interesante u oculta. Para dar permiso a una dirección IP remota necesitamos la opción -c. podemos cometer fácilmente algún error que nos podría costar mucho tiempo y esfuerzo.d >> U datos-salida mactime -b datos-salida U 01/01/200812/31/2008 > U informe-actividad-2008 que la opción -r recupera archivos eliminados.org/wiki/ Write_Blockers [4] Descarga de BackTrack: http://www. pudiéndose ejecutar no sólo en Linux. ~/. disponible desde el sitio web de Sleuth Kit [2].pgp/secring.0.dd 58499 Este comando nos muestra los contenidos de /home/kurt/. por lo que una vez hecha una búsqueda ya no tenemos que volver a esperar para obtener los resultados..html [2] Sleuth Kit: http://www. Con ils. documentos.org/ issues. por lo que si el acceso no es local. Autopsy Aunque la curva de aprendizaje de Sleuth Kit no sea demasiado pronunciada. Los resultados de las búsquedas se guardan en caché. en las que usamos máquinas antiguas con discos duros que ya tocan a su fin. Sleuth Kit definitivamente merece un sitio entre las herramientas de cualquier auditor o administraI dor de sistemas.html [5] dcfldd: http://dcfldd. etc.bashrc 06 fi 07 08 # Entorno específico del usuario e inicio de programas 09 10 PATH=$PATH:$HOME/bin 11 12 export PATH 13 14 autopsy .dd Inode: 672945 04 Saved to: crypto/ddriveimage. Autopsy proporciona además algunas funciones adicionales. La utilidad presenta varias opciones que nos pueden resultar útiles. Con mactime. merece la pena recordar que Autopsy no ofrece ningún tipo de cifrado. 4.org/backtrack. obtendremos una salida similar a la del Listado 1. Con icat.p gp WWW. o bien nos conectamos desde una red de confianza o bien usamos algo como OpenSSH para crear un canal seguro.bash_profile 01 # . forensicswiki. Por ejemplo: icat -s -f ext U driveimage. eliminación. Querremos especificar un rango de datos bastante amplio. archivos relacionados con la criptografía.Backtrack y Sleuth Kit • PORTADA 1. No sólo gestiona la búsqueda basada en expresiones regulares.