Está en la página 1de 40

Análisis Forense Informático

Lic. Julio C. Ardita


jardita@cybsec
jardita@cybsec..com

17 de Mayo de 2004
Buenos Aires - ARGENTINA

1
© 2004 CYBSEC S.A.
Análisis Forense Informático

Temario

- Análisis Forense Informático.


- Preservación de la evidencia.
- Metodología de Análisis Forense Informático.
- Formas de almacenamiento – Imágenes.
- Análisis Forense Windows – Linux.

2
© 2004 CYBSEC S.A.
Análisis Forense Informático

Las vulnerabilidades están creciendo


Vulnerabilities Reported

4500
4000
3500
3000
2500 Vulnerabilities
2000 Reported
1500
1000
500
0

2003 (Est)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Source: CMU Computer Emergency Response Team

3
© 2004 CYBSEC S.A.
Análisis Forense Informático

Crecimiento de incidentes
Network Incidents Reported

180000
160000
140000
120000
100000 Network
80000
60000 Incidents
40000 Reported
20000
0

2003 (Est)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Source: CMU Computer Emergency Response Team

4
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Qué son los delitos informáticos?

Son actos criminales en los cuales se encuentran involucrados


las computadoras.

1. Delitos directamente contra computadoras.


2. Delitos donde la computadora contiene evidencia.
3. Delitos donde la computadora es utilizada para cometer
el crimen.

5
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Vale la pena investigar incidentes de seguridad?

¿Qué es lo máximo que se puede lograr?

¿Cuál es el la política de una Compañía ante un incidente?

Tiempo en el que se produce el incidente: 1 hora.

Tiempo requerido para el análisis del mismo: 20 horas.


© Estimaciones FBI - 2001

6
© 2004 CYBSEC S.A.
Análisis Forense Informático

Evidencia Digital

La evidencia computacional es única, cuando se la compara con


otras formas de “evidencia documental”.

A diferencia de la documentación en papel, la evidencia


computacional es frágil y una copia de un documento almacenado
en un archivo es idéntica al original.

Otro aspecto único de la evidencia computacional es el potencial


de realizar copias no autorizadas de archivos, sin dejar rastro de
que se realizó una copia.

7
© 2004 CYBSEC S.A.
Análisis Forense Informático

Análisis Forense Informático

“Es la técnica de capturar, procesar e investigar información


procedente de sistemas informáticos utilizando una metodología
con el fin de que pueda ser utilizada en la justicia”.
Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)

La Informática Forense se encarga de analizar sistemas


informáticos en busca de evidencia que colabore a llevar
adelante una causa judicial o una negociación extrajudicial.

8
© 2004 CYBSEC S.A.
Análisis Forense Informático

Parte del
proceso judicial
en relación al
análisis forense
informático

9
© 2004 CYBSEC S.A.
Análisis Forense Informático

Proceso general

1. Surge un pedido desde un juzgado.


2. Se elabora un Plan (Inteligencia).
3. Se realiza el proceso de “secuestro de evidencia”.
4. Se realizan copias – Cadena de custodia.
5. Se realiza el análisis.
6. Se escribe y presenta el reporte.

© 2004 CYBSEC S.A.


Análisis Forense Informático

¿Por qué el análisis Forense?

Esclarecer actos criminales.

Leyes locales.

Leyes globales (Sarbanes-Oxley, etc).

11
© 2004 CYBSEC S.A.
Análisis Forense Informático

Problemas jurisdiccionales

¿El hecho donde ocurrió?

¿El intruso donde se encuentra?

¿El país donde ocurrió posee legislación?

¿El país donde estamos posee legislación?

¿Dónde se juzga el hecho?

12
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Porque la evidencia es tan importante?

En la vida real, la evidencia es TODO.

Se utiliza para establecer hechos.

Permite relacionar los diferentes eventos.

13
© 2004 CYBSEC S.A.
Análisis Forense Informático

Metodología utilizada

El primer paso es identificar qué computadora puede contener


evidencia, reconociendo la frágil naturaleza de los datos digitales.

La segunda gran tarea es preservar la evidencia contra daños


accidentales o intencionales, usualmente esto se realiza efectuando
una copia o imagen espejada exacta del medio analizado.
Una verdadera imagen espejada es una copia sector a sector
de la unidad original investigada.

14
© 2004 CYBSEC S.A.
Análisis Forense Informático

Metodología utilizada

El tercer paso es analizar la imagen copia de la original, buscando


la evidencia o información necesaria.

Finalmente una vez terminada la investigación se debe realizar


el reporte de los hallazgos a la persona indicada para tomar las
decisiones, como puede ser un juez o un CEO.

15
© 2004 CYBSEC S.A.
Análisis Forense Informático

Identificar la evidencia

¿Qué tipo de información esta disponible?


¿Cómo la podemos “llevar” de forma segura?.

¿Qué puede formar parte de la evidencia?

16
© 2004 CYBSEC S.A.
Análisis Forense Informático

Discos rígidos.
- Archivos de SWAP.
- Archivos temporales.
- Espacio no asignado en el disco.
- Espacio File-Slack.
Memoria y procesos que se encuentran ejecutando.
Diskettes, CD-ROMS, DVD’s, ZIP, Jaz, Tapes.
Archivos de logs.
Backups.

17
© 2004 CYBSEC S.A.
Análisis Forense Informático

• DOS/Windows almacena archivos en clusters.


• DOS/Windows escribe al disco en bloques de 512 bytes
llamados sectores.
• Los clusters estan compuestos de un número de sectores.
Cluster 1 Last Cluster
File Data File Slack

Sector 1 Last Sector


File Data RAM Slack Disk Slack

• Son creados cuando se escriben archivos al disco.


• RAM Slack – Buffer de la memoria.
• Disk Slack – Contenido anterior del bloque.
18
© 2004 CYBSEC S.A.
Análisis Forense Informático

Preservar la evidencia
Se debe tratar de no realizar ningun cambio sobre la misma.
Se deben registrar y justificar todos los cambios.
Realizar un by-pass del sistema operativo y crear por “fuera”
un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rígido o
CD-ROM.
Se debe realizar una documentación de todo el proceso de la
generación de imagenes.
Se deben autenticar todos los archivos e imágenes utilizadas
con hashes MD5 o SHA1.
19
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Cómo preservar la evidencia?

Disk to be Imaged

Last Sector
First Sector

Image File

20
© 2004 CYBSEC S.A.
Análisis Forense Informático

Orden de volatilidad

Se debe preservar la evidencia más vólatil al principio:


– Registros, caches, memoria de perifericos.
– Memoria (kernel, física)
– Estado de las conexiones de red.
– Procesos que se están ejecutando.
– Discos rígidos.
– Diskettes, archivos de backups
– CD-ROMs, impresiones.

21
© 2004 CYBSEC S.A.
Análisis Forense Informático

Analizar la evidencia

Se debe extraer la información, procesarla e interpretarla.


Extraerla producirá archivos binarios.
Procesarla generará información entendible.
Interpretarla es la parte más importante del proceso.
El proceso debe poder re-hacerse y producir el mismo
resultado.

22
© 2004 CYBSEC S.A.
Análisis Forense Informático

Presentar la evidencia

A la empresa, abogados, la corte, etc.


La aceptación de la misma dependerá de:
Forma de presentación.
Antecedentes y calificación de la persona que realizó
el análisis.
La credibilidad del proceso que fue utilizado para la
preservación y análisis de la evidencia.

23
© 2004 CYBSEC S.A.
Análisis Forense Informático

Cadena de custodia

• ¿Quién ha accedido a la evidencia?


• ¿Qué procedimientos se han seguido mientras se trabajaba
con la evidencia?
• ¿Cómo podemos demostrar que nuestro análisis se realizó
sobre copias idénticas del original?.
• Respuesta: Documentación, firmas digitales, hashes,
timestamps, etc.

24
© 2004 CYBSEC S.A.
Análisis Forense Informático

Formas de almacenamiento en dispositivos informáticos

Discos rígidos.
Diskettes.
CD-ROM’s.
ZIP drive.
Tape backups.
Dispositivos USB (Discos virtuales).
Memory Sticks – Cámaras de fotos.
PDA’s.

25
© 2004 CYBSEC S.A.
Análisis Forense Informático

Formas de almacenamiento en dispositivos informáticos

Discos rígidos - Particiones

- Linux - FDISK
Device Boot Start End Blocks Id System
/dev/hda1 1 62 497983+ 82 Linux swap
/dev/hda2 63 2494 19535040 83 Linux

Linux:~# fdisk

Usage: fdisk [-l] [-b SSZ] [-u] device


E.g.: fdisk /dev/hda (for the first IDE disk)
or: fdisk /dev/sdc (for the third SCSI disk)
or: fdisk /dev/eda (for the first PS/2 ESDI drive)
or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices)
...
Linux:~# fdisk /dev/hda

26
© 2004 CYBSEC S.A.
Análisis Forense Informático

Formas de almacenamiento en dispositivos informáticos

Diskettes.
Baja utilización de diskettes de 3 ½. y 5 ¼.
Poca capacidad – 1.440Kbytes (3 ½).
Acceso a la información.

27
© 2004 CYBSEC S.A.
Análisis Forense Informático

Formas de almacenamiento en dispositivos informáticos

CR-ROMS.
Amplia utilización.
Difusión masiva.
Elevada capacidad – 650 – 700 Mb.
Formatos estándares.

28
© 2004 CYBSEC S.A.
Análisis Forense Informático

Formas de almacenamiento en dispositivos informáticos

ZIP Disks (una nueva unidad).

Tape Backups.

Memorias vía USB (una nueva unidad).

Memory Sticks
(Cámaras fotográficas).

29
© 2004 CYBSEC S.A.
Análisis Forense Informático

Formas de almacenamiento en dispositivos informáticos

PDA’s.

Memoria de la Agenda.

30
© 2004 CYBSEC S.A.
Análisis Forense Informático

Imágenes

Todo se debe llevar a imágenes para luego poder ser analizadas

IMAGEN

31
© 2004 CYBSEC S.A.
Análisis Forense Informático

Procedimiento de
Identificación y Preservación
de la Evidencia

32
© 2004 CYBSEC S.A.
Análisis Forense Informático

Sistema PC PC PC
Victima
DHCP
Dialup
NAT
Lanzamiento TelCo
del Ataque RED Interna

Modems

Terminal
¿Dónde esta la evidencia? Auth Server
Server
33
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Dónde está la evidencia?

En la computadora origen del intruso


En el sistema telefónico
Los logs del sistema de validación del acceso remoto.
En las redes internas.
En la computadora de la victima.
En la computadora que se utilizó para lanzar el ataque.

Pensar acerca del evento y determinar donde puede existir


evidencia.

34
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Qué significa la evidencia?

Requiere tener un conocimiento general profundo.


Como la evidencia es creada.
Se puede “falsificar”.
Que información se puede perder.
Que puede estar mal.

- Caso log UNIX wtmp – Acceso de usuarios.


- Caso DHCP – Asignación de direcciones.
35
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Secuestrar SI Capturar
Documentar Volatiles? Volátiles
la Escena
NO NO ¿Es necesario
Investigar?
Apagar
SI

¿Hacer Investigar
¿Por qué? NO Imágenes? ON-SITE
SI

Hacer En el Laboratorio,
Imágenes comenzar la fase
de Análisis.
36
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Llevar la evidencia vólatil?

La evidencia vólatil es aquella que desaparecerá rápido, como


ser conexiones activas de red, procesos en la memoria,
archivos abiertos, etc.

Lo que se haga, técnicamente va a afectar la evidencia.


Ejecutar el comando ps en UNIX sobreescribirá partes de
la memoria.
Se puede sobreescribir la historia de comandos.
Se pueden afectar las fechas de acceso a los archivos.
Existe el riesgo de programas “troyanos”.
37
© 2004 CYBSEC S.A.
Análisis Forense Informático

¿Qué llevar?
Memoria, swap y contenido de directorios temporales.
Conexiones de red actuales, puertos abiertos, interfaces
promiscuas, archivos relacionados con los puertos.
Procesos, archivos abiertos por los procesos.

- En lo posible se debe utilizar herramientas seguras para


analizar el sistema.
- Se deben utilizar herramientas conocidas y ampliamente
utilizadas.
- Herramientas propias en un CD-ROM, diskette, USB Drive.
38
© 2004 CYBSEC S.A.
Análisis Forense Informático

WINHEX
Editor de discos, memorias, procesos.

Posee muchos usos en informática forense (Clonación de


discos, Captura de RAM, búsqueda de archivos ocultos,
etc).

Puede entrar en un diskette.

39
© 2004 CYBSEC S.A.
Análisis Forense Informático

WINHEX
Capturar la memoria RAM.

40
© 2004 CYBSEC S.A.