Gestión de Incidentes y Herramientas Forenses

CONTENIDO

1. GESTION DE INCIDENTES

2. METODOLOGIA PARA EL ANALISIS FORENSE

3. MECANISMOS PARA ATENCION A INCIDENTES DE SEGURIDAD

4. HERRAMIENTAS FORENSES

4.1. Bloqueadores SCSI/IE/SATA

4.2. Maletines Forenses
4.3. Recolección, preservación y análisis de evidencias en ambientes virtuales

4.4. Máquinas Virtuales como Herramienta de Análisis Forense

4.5. Herramientas de análisis de evidencias en ambientes virtuales

5. HERRAMIENTAS ANTIFORENSES
5.1. Destrucción de la evidencia
5.2. Ocultamiento de evidencia
5.3. Eliminación de la fuente de la evidencia
5.4. Falsificación de la evidencia

5.5. TimeStomp

6. BIBLIOGRAFIA
 Las competencias por desarrollar en el presente modulo son:

 Responder ante un incidente de tipo cibernético.


 Conocer las herramientas forenses para la recuperación de información.

 Identificar el proceso empleado para la Gestión de Incidentes Informáticos.

Teniendo en cuenta que el presente diplomado tiene criterio interdisciplinario, se

considera muy conveniente que quienes pertenecen a otras profesiones diferentes a
Tecnologías de Información, puedan contar con una introducción muy sucinta general a
las Tics de manera que rápidamente puede tener una articulación con la Informática
Forense. Así mismo, quienes son profesionales en Tecnologías de Información esto se
puede ver como un pequeño repaso a lo que visto hace varios años en pregrado o
sencillamente omitirse si existen razones de tiempo que dificulten su lectura.

Estas reflexiones anteriores nos permiten hacer un énfasis en que con la Informática
Forense es posible investigar (aun cuando internet permite el anonimato y el uso de
nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados
artículos y otros documentos enviados a través de redes o publicados en la misma.

2
 1. GESTION DE INCIDENTES

Cualquier evento que atente o altere alguno de los tres pilares de la seguridad de
la información: Integridad, confidencialidad o disponibilidad

Existen 5 tipos de incidentes:

 Accesos no autorizados
 Código malicioso
 Denegación de Servicio
 Escaneos, pruebas o intentos de obtener información de redes o servidores
 Mal uso de los recursos tecnológicos

Cualquiera de los anteriores puede desencadenar un análisis forense

Las dos fases principales de la gestión del incidente, donde participarán los
investigadores forenses son:
La fase de Contención, en la que el examinador forense se centrará en la
preservación de evidencias, es la fase de colección en el análisis forense.

La fase de Erradicación, donde el analista forense se centrará en el análisis de las

evidencias recolectadas, es la fase llamada análisis.

2. METODOLOGIA PARA EL ANALISIS FORENSE

Es importante anotar, que estas herramientas se utilizan en los procesos de las

tareas propias asociadas con la evidencia en el contexto de la situación bajo
inspección. Por ello se busca identificar todas las actividades realizadas por el o los
atacantes de una forma secuencial, desde el inicio de las mismas hasta la
culminación del proceso, buscando saber y comprender qué es lo que hizo,
cuándo lo hizo y la evidencia que soporta estos datos.

La metodología desarrollada se divide en cinco fases. Estas son:

 Identificación
 Preservación
 Análisis
 Documentación
 Presentación de las pruebas
 3. MECANISMOS PARA ATENCION A INCIDENTES DE SEGURIDAD

Un incidente de seguridad es cualquier evento, ataque o actividad maliciosa que

busca comprometer la confidencialidad, integridad, disponibilidad, legalidad o
confiabilidad de la información. Siendo así podemos decir que, todas las áreas de
la universidad han sufrido algún incidente de seguridad, que mucha de las veces
no fue reportada y los conocidos no se los trato a tiempo, por lo que muchos
servicios y aplicaciones sufrieron cambios que ocasionaron el mal funcionamiento
o suspensión del servicio. Entre los incidentes más conocidos tenemos:

 Virus/gusanos en Windows
 Intrusiones en los sistemas
  Envío de correo spam
 Sospechas de personas que accedieron a archivos personales sin
autorización
 Abuso de recursos que afectan otras redes

La metodología de atención a incidentes de seguridad busca, la asignación

oportuna de recursos necesarios con el objeto de prevenir, detectar y mitigar
cualquier tipo de incidente que afecte la seguridad de la información. La siguiente
metodología está basada en tres fases principales como:

 Prevención
 Identificación
 Corrección
 4. HERRAMIENTAS FORENSES.

Hablar de informática forense sin revisar algunas ideas sobre herramientas es

hablar en un contexto teórico de procedimientos y formalidades legales.

Las herramientas informáticas, son la base esencial de los análisis de las evidencias
digitales en los medios informáticos. Sin embargo, es preciso comentar que éstas
requieren de una formalidad adicional que permita validar tanto la confiabilidad
de los resultados de la aplicación de las mismas, como la formación y
conocimiento del equipo de seguridad que las utiliza.

Estos dos elementos hacen del uso de las herramientas, una constante reflexión y
cuestionamiento por parte de la comunidad científica y práctica de la informática
forense en el mundo. Dentro de las herramientas frecuentemente utilizadas en
procedimientos forenses en informática detallamos algunas para conocimiento
general, que son aplicaciones que tratan de cubrir todo el proceso en la
investigación forense en informática:

CAINE

https://www.caine-live.net/
ENCASE

http://www.encase.com/products/ef_index.asp

FORENSIC TOOLKIT

http://www.accessdata.com/products/utk/

WINHEX

http://www.x-ways.net/forensics/index-m.html

Si bien las herramientas detalladas anteriormente son licenciadas y sus precios

oscilan entre los 600 y los 5000 dólares, existen otras que no cuentan con tanto
reconocimiento internacional en procesos legales, que generalmente son
aplicaciones en software de código abierto:

SLEUTH KIT

http://www.sleuthkit.org/

CORONER TOOLKIT

http://www.porcupine.org/foren-sics/tct.html

La mayor parte de las técnicas se basan en la recuperación de información de

discos duros y rígidos. En este entorno de análisis forense de discos tenemos:

ENCASE

http://www.guidancesoftware.com/products/EnCaseForensic/index.shtm

Que puede realizar duplicaciones exactas del contenido de un disco, incluso de

forma remota.

SMART
http://www.asrdata.com/SMART/

Es una utilidad que permite instalar en un disco las imágenes capturadas con
Encase.

FORENSIC TOOLKIT

http://www.accessdata.com/Product04_Overview.htm?ProductNum=04

Conjunto de herramientas de análisis forense. DISK DOUBLER II

http://www.lec.cz/en/produkty_datove_diskdoubler_II2.html

Un duplicador hardware de discos. DISK DOUBLER PLUS

http://www.lec.cz/en/produkty_datove_diskdoublerplus2.html

Una aplicación de búsqueda de cadenas en los datos adquiridos.

La recuperación de ficheros borrados o no accesibles entra también dentro de este

campo y para ello tenemos:

Foremost

http://foremost.sourceforge.net/

Permite extraer ficheros del interior de una imagen de disco.

Herramientas de recuperación de ficheros.

CIA Unerase

http://www.ciaunerase.com/

File Recover

http://www.filerecover.com/download.html
R-Studio http://www.r-studio.com/

Ontrack Easy Recovery

http://www.ontrack.com/easyrecovery/

GetDataBack

http://www.runtime.org/

Sleuth Kit

http://www.sleuthkit.org/informer/

Si se han borrado particiones con fdisk.

NTFS Reader

http://www.ntfs.com/products.htm

Es un programa Windows que genera una imagen de floppy disk para arrancar en
FreeDos y permite leer y copiar ficheros dentro de particiones NTFS.

Crear imágenes de discos de arranque de sistemas operativos

Bootdisk

http://www.bootdisk.com/

Winimage

http://www.winimage.com/winimage.htm

PEBuilder

http://www.nu2.nu/pebuilder/

Wotsit Format

http://www.wotsit.org/

Contiene las especificaciones de múltiples formatos de ficheros.

Gestión de particiones.

Drive Image

http://www.powerquest.com/driveimage/

Norton Ghost –

http://www.symantec.com/ghost/

Por otro lado, el análisis forense también se refiere a determinar las causas del
compromiso de seguridad de un sistema, es decir, la alteración de sus datos o la
caída o malfuncionamiento del sistema.

Control de integridad de ficheros

Tripwire

http://www.tripwire.com/downloads/index.cfm

Osiris

http://osiris.shmoo.com/

John the Ripper

http://www.openwall.com/john/

Es el crackeador de contraseñas de fuerza bruta más famoso, probablemente por

ser gratuito y uno de los primeros.

OpenWall

http://www.openwall.com/PR/

Es una recopilación de recuperadores de contraseñas

Russian Password Crackers

http://www.password-crackers.com/
Incluye crackeadores para compresores, para utilidades de cifrado, BIOS, formatos
de ficheros (Office, PDF, etc.), bases de datos, Sistemas Operativos, Aplicaciones,
etc.

MDcrack

http://membres.lycos.fr/mdcrack/

Es capaz de romper hashes MD4, MD5 y

NTLM1 Offline NT Password Registry editor

http://home.eunet.no/~pnordahl/ntpasswd/

Permite recuperar o restablecer una contraseña en

Windows. Recuperar o restablecer una contraseña en

Windows 2000 Chntpw

http://www.cgsecurity.org/index.html?ntfs.html

Pwdump3

http://archives.neohapsis.com/archives/ntbugtraq/2001-q1/0007.html

Dumpsec

http://www.somarsoft.com/

LC5

http://www.atstake.com/research/lc/download.html

Es la última versión del famoso crackeador de passwords comercial L0phtCrack,

antiguo grupo de hacking ahora reconvertido en la empresa @Stake. Se trata de
un software de recuperación de passwords por fuerza bruta y por diccionario para
Microsoft Windows.
Cain

http://www.oxid.it/cain.html

Software muy conocido para la recuperación de password Windows.

Rainbowcrack

http://www.antsight.com/zsl/rainbowcrack/

Permite agilizar el cracking de contraseñas mediante precomputación de

hashes. Winrtgen

http://www.oxid.it/projects.html

Se puede agilizar la generación de tablas para Rainbowcrack.

Revelation

http://www.snadboy.com/

Utilidad freeware para revelar las contraseñas ocultas en el GUI de Windows

4.1. Bloqueadores SCSI/IDE/SATA

Son dispositivos que se usan para garantizar la ejecución del Análisis Forense a
dispositivos digitales, evitando opciones de lectura o escritura en las evidencias
digitales.
 4.2. Maletines Forenses

El Ultra Kit V 4.1 portable es un maletín forense que contiene la familia de ultra
bloqueadores junto con sus adaptadores y respectivos conectores para su uso en la
obtención de imágenes forenses de cualquier disco duro o dispositivo de
almacenamiento, el Ultra Kit V 4 .1, debe tener algunas maneras de manejo correcto, para
preservar integridad y obtener imágenes forenses de manera correcta sin afectar la
evidencia.

4.3. Recolección, preservación y análisis de evidencias en ambientes virtuales

Hipervisores tipo 2:

Adquisición y preservación de evidencias volátiles

VMware Server: Snapshots.

Microsoft Virtual PC: archivos Virtual Machine Configuration File (VMC) y Saved State File
(.VSV)

Adquisición y preservación de evidencias menos volátiles

VMware Server

Recolección y recuperación de máquinas virtuales eliminadas.

Ubicación en carpeta llamada "My virtual machines" o “Mis equipos virtuales”

Archivos: vmx, vmsd, vmtm, vmxf, vmdk, log, nvram, vswp, vmss, vmsn, vmsd, vmem.

4.4. Máquinas Virtuales como Herramienta de Análisis Forense

Con el surgimiento de herramientas de virtualización como VMWare, nacieron

acercamientos para recrear el entorno de trabajo del sospechoso.

Inicialmente las virtualizaciones forenses no mantenían la integridad de los dispositivos:

permitían la modificación de información almacenada.

Se debía crear copia para el análisis forense porque la original se modificaba.

Las máquinas virtuales permiten montar diferentes imágenes forenses (Encase, Smart, y
DD).

Brindan la opción de proteger el dispositivo de almacenamiento original contra escritura.

4.5. Herramientas de análisis de evidencias en ambientes virtuales

Adquisición de la partición a analizar:

Generar imagen sin ejecutar ningún comando ni modificar nada.

Establecer integridad y fidelidad en los archivos adquiridos.

Apoyar la cadena de custodia.

Herramienta VIX :

Conjunto de herramientas que imitan el comportamiento de las utilidades de línea de

comandos de Unix.

Trabaja siguiendo estos pasos:

Para la máquina virtual.

Obtiene los datos mediante operaciones de sólo lectura.

Pone en marcha la máquina virtual.

Fue creada para ambientes virtuales montados en servidores Citrix Xen.

Las siguientes herramientas son utilizadas en máquinas vituales instaladas bajo Vmware:

Herramientas Encase y Sans Sift Workstation:

Son utilizadas para cargar, leer o montar los archivos del disco duro virtual que contiene el
Sistema Operativo de la máquina virtual.

Herramienta Compare Snapshots:

Compara diferentes imágenes (Snapshots) de una máquina virtual y detecta cambios entre
ellas.

Live View:

Analiza información de disco duro. Permite crear imagen Vmware con el disco y ejecutarla
desde cualquier escritorio.

Permite generar una imagen Vmware desde una imagen o desde un disco físico.

Memparser: Útil para analizar el archivo .VMEM (copia de la memoria de la máquina

virtual). Permite revisar los procesos que estaban en ejecución, las conexiones activas, etc.

Comandos propios de Vmware :

Útiles para obtener información de la máquina virtual y analizarla.

5. HERRAMIENTAS ANTIFORENSES

5.1. Destrucción de la evidencia

El objetivo de esta técnica es evitar que la evidencia sea encontrada por investigadores y
en caso de que la encuentren, disminuir el uso que se le pueda dar a dicha evidencia. No
busca que la evidencia sea inaccesible sino irrecuperable.

Wipe Disk: Se utiliza para borrar discos duros. Permite escoger lo que se quiere borrar.

Shred: Sobre escribe un archivo para ocultar sus contenidos o eliminar el archivo.

SDelete (Secure Delete): Elimina archivos o cualquier porción de archivos en los sectores
no asignados del disco
 5.2. Ocultamiento de evidencia

Hacer inaccesible la evidencia al investigador.

No busca manipular, destruir o modificar la evidencia sino hacerla menos visible para el
investigador.

Esteganografía. Técnica que permiten la ocultación de mensajes u objetos, dentro de otros

llamados portadores.

Criptografía. Ciencia que permite comunicaciones seguras sobre canales inseguros.

Rootkits: Programas que encubren otros procesos que ejecutan acciones maliciosas en el
sistema.

5.3. Eliminación de la fuente de la evidencia

Método que neutraliza la fuente de la evidencia. No es necesario destruir las pruebas

puesto que no se han creado.

El atacante desactiva Logs de auditoría

Logs de auditoría

Registro que describe operaciones que se realizan sobre las bases de datos.

Detalla el tipo de acción (inserción, modificación, eliminación) el usuario y la fecha en que

se realizó.

5.4. Falsificación de evidencia

Método que crea falsas pruebas para los investigadores forenses.

La sobre-escritura de datos y metadatos está asociada a la modificación de información en
medios de almacenamiento y sistemas de archivo.

Manera para hacer inconsistente la recuperación de información o de construir entradas

falsas en las tablas de asignación de archivos que generen archivos inexistentes.

5.5. Timestomp

Escribe los registros de tiempo de los archivos en NTFS evitando que el analista forense
obtenga una línea de tiempo de sucesos, dificultando la correlación de eventos y
desacreditando la evidencia digital.
 6. BIBLIOGRAFIA

 ALEXANDER, M. The underground guide to computer security: slightly askew advice on

protecting your PC and what´s on it. Addison-Wesley. 1995.

 AMOROSO, E. Fundamentals of computer security technology. Prentice-Hall. 1994

 Internet security: professional reference

 ATKINS, D. New Riders.1997

 BRENNER, M. NATO and collective security. Macmillan Press. 1998

 CABALLERO, GIL & PINO. Introducción a la criptografía. Ra-Ma.1996

 CANO MARTINES JEIMY JOSÉ, MOSQUERA GONZÁLEZ JOSÉ ALEJANDRO, CERTAIN
JARAMILLO ANDRÉS FELIPE. Evidencia Digital: contexto, situación e implicaciones
nacionales. Abril de 2005.

http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnolo
gias6.pdf

• CASEY, Eoghan. “Digital Evidence and Computer Crime: Forensic Science, Computers,
and the Internet”. 2004
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnolo
gias6.pdf

 CARIACEDO GALLARDO, Justo. Seguridad en Redes Telemáticas. McGraw Hill, 2004.


 CERT/CC Statistics 1988-2006 Disponible en: http://www.cert.org/stats/cert_stats.html

 FISCH, E. Secure computers and networks: analysis, design, and implementation.

 FUSTER, A., HERNÁNDEZ, L., MONTOYA, F., & MUÑOZ, J. Criptografía, protección de
datos y aplicaciones. Editorial: Editorial Ra-Ma (2012). ISBN 10: 8499641369 ISBN 13:
9788499641362

 GOMEZ, A. ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA, 2ª Ed. Actualizada.
Editorial: Editorial Ra-Ma (2011). ISBN 9788499640365.

• HB171:2003 Handbook Guidelines for the management of IT evidence Disponible en:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf
 JANET RENO, U.S. Attorney General, Oct 28, 1996

 MAIWALD, E. Fundamentos de Seguridad en redes. Mc. Graw-Hill. México. 2005

 MCCARTHY, M. Seguridad Digital. Mc. Graw-Hill. Madrid. 2002

  MENEZES, A.). (1965- ). (1997). Handbook of Applied Cryptography / ALFRED J.
MENEZES, PAUL C. VAN OORSCHOT, SCOTT A. VANSTONE. Boca Raton [etc.]: CRC
Press.

 NORTHCUTT, S & NOVAK J. Network Intrusion Detection.. New Rides. Third Edition.
ISBN 0-7357-1265-4

 RAMIÓ AGUIRRE, JORGE. Seguridad Informática y Criptografía v 4.1 Dpto. de

Publicaciones E.U.I., 2006 (edición impresa). Libro electrónico gratuito disponible en la
página Web del autor
 STALLING, W. Fundamento de Seguridad en Redes. Pearson Education. Madrid. 2005

 SKOUDIS, E. & LISTON T. Counter Hack Reloaded. A Step-by-Step Guide to Computer
Attacks and Effective Defenses. Second Edition. Prentice Hall, 2006. ISBN: 978-0-13-
148104-6

 WELSH, D. Codes and Cryptography.. Clarendon Press. 1996.

 WILEY J. & Sons. PKI: a Wiley tech brief Tom Austin.Austin, 2001