Manuales Hacker 4a Parte

LECCIN 7 ATTACK ANALYSIS 7 ATTACK ANALYSIS 7.0 Introduccin Existen muchos programas dentro de tu computadora que intentan abrir conexiones de red. Algunos de estos programas tienen razones vlidas para hacerlo (tu explorador de Internet no funcionara muy bien sin una conexin de red), pero otros son escritos por personas con motivos que van desde lo cuestionable hasta lo criminal. Si deseas proteger tu computadora necesitas aprender a como detectar accesos a la red e identificar el origen del acceso y el motivo de ste. No todo intento de acceso a la red es un ataque, pero si no sabes diferenciar a un amigo de un desconocido podras fcilmente dejar la puerta abierta. 7.1 Netstat y Cortafuegos firewall - de aplicaciones de hospedaje Para poder identificar un ataque necesitas conocer qu aplicaciones y qu procesos corren normalmente en tu computadora. Con slo mirar en un ambiente grfico como Windows o Linux no es posible conocer que procesos corren debajo de la superficie. Puedes utilizar Netstat y un Cortafuegos para ayudarte a identificar aquellos programas que puedan permitrseles conectar a la red. 7.1.1 Netstat El comando netstat muestra el estado de las conexiones de red. Netstat puede proporcionarte informacin sobre qu puertos estn abiertos y qu direcciones IP los estn utilizando, qu puertos estn siendo utilizados por un protocolo en particular, el estado de un puerto, e informacin acerca de los procesos o programas que utilizan dicho puerto. Escribe sobre la lnea de comando: netstat aon (para Windows) netstat apn (para Linux) netstat desplegar informacin similar a sta: Active Connections Proto Local Address Foreign Address State PID

TCP 0.0.0.0:1134 0.0.0.0:0 LISTENING 3400 TCP 0.0.0.0:1243 0.0.0.0:0 LISTENING 3400 TCP 0.0.0.0:1252 0.0.0.0:0 LISTENING 2740 TCP 257.35.7.128:1243 64.257.167.99:80 ESTABLISHED 3400 TCP 257.35.7.128:1258 63.147.257.37:6667 ESTABLISHED 3838 TCP 127.0.0.1:1542 0.0.0.0:0 LISTENING 1516 TCP 127.0.0.1:1133 127.0.0.1:1134 ESTABLISHED 3400 TCP 127.0.0.1:1134 127.0.0.1:1133 ESTABLISHED 3400 TCP 127.0.0.1:1251 127.0.0.1:1252 ESTABLISHED 2740 TCP 127.0.0.1:1252 127.0.0.1:1251 ESTABLISHED 2740

LECCIN 7 ATTACK ANALYSIS Ahora necesitas relacionar el nmero en la columna PID - indicador del proceso - con los nombres de los procesos que estn corriendo. En Windows, debes abrir el Administrador de Tareas presionando las teclas CTRL+ALT+DEL de manera simultnea (si no se muestra la columna PID da un click sobre Ver, Seleccionar Columnas y selecciona PID.) En Linux ve al intrprete de comandos y escribe ps auxf para ver el estado del procesador. En el caso de nuestro ejemplo de resultados, listados en la figura anterior, encontramos que el PID 3400 corresponde a nuestro explorador de Internet y el PID 2740 corresponde a nuestro cliente de correo. Ambos sabemos que estn siendo ejecutados y que tienen una razn vlida para establecer una conexin a Internet. Sin embargo, el PID 3838 corresponde a un programa llamado 6r1n.exe, y el PID 1516 corresponde a un programa llamado buscanv.exe con los cuales no estamos familiarizados. Sin embargo, no por el hecho de que no reconozcas el nombre de un programa no quiere decir que no tenga una razn vlida para estarse ejecutando en el sistema. El siguiente paso ser averiguar en Internet en cualquier mquina de bsqueda qu hacen estos programas. En nuestra bsqueda descubrimos que buscanv.exe debe estar corriendo para el funcionamiento de nuestro programa de antivirus. Por otra parte encontramos que 6r1n.exe puede ser un troyano. Viendo otra vez la lista de resultados del netstat, podemos ver que el puerto asociado con el programa 6r1n.exe es el 6667, el cual es un puerto IRC comnmente utilizado por troyanos para tener acceso remoto. En este punto,

comenzaremos la investigacin de mtodos para remover el troyano. 7.1.2 Cortafuegos (Firewalls) Ahora, te puedes sentar en tu computadora y correr el comando netstat una y otra, y otra, y otra vez para mantener una vigilancia constante de los datos que entran y salen de tu computadora, o puedes utilizar un cortafuego para que lo haga por ti. Un cortafuego monitorea el trfico de la red en tu computadora y utiliza un nmero de reglas o filtros para determinar si un programa tiene o no permiso para acceder a la red. Un cortafuego puede filtrar los datos de acuerdo a la direccin IP y los nombres de dominio, puertos y protocolos, o incluso datos transmitidos. Esto significa que puedes hacer cosas como: Bloquear o permitir toda informacin proveniente de una direccin IP especfica Bloquear o permitir toda informacin proveniente de un dominio especfico Cerrar o abrir puertos especficos Bloquear o permitir ciertos protocolos Bloquear o permitir paquetes de datos con alguna cadena de datos especfica. Tambin puedes combinar esta serie de reglas para un control ms cuidadoso de los datos que son permitidos a travs de la red. Por ejemplo, t puedes:

LECCIN 7 ATTACK ANALYSIS Permitir datos que provengan de www.ibiblio.com a travs de los puertos 20 o 21 solamente. Permitir datos que provengan de www.google.com que usa el protocolo UDP Permitir datos que provengan de www.yahoo.com slo a travs del puerto 80 y slo si el paquete contiene la cadena de texto No desperdiciar el ancho de banda. No es necesario que gastes tu tiempo configurando todas las reglas de un cortafuego, puedes tomar ventaja de que algunos cortafuegos establecen ciertas reglas por s solos. Despus de que hayas instalado un cortafuego, vas a ser inundado de peticiones de control de acceso y tienes que determinar que programa, puede o no, hacer uso de la red. (Es posible que el programa del cortafuego proporcione la opcin de dejar que l mismo determine que programas pueden hacer uso de la red, pero no aprenderas nada, es lo que quieres?). Este proceso ser similar al que utilizamos para identificar los procesos con

netstat. Un programa llamado iexplorer.exe es obviamente Microsoft Internet Explorer y, si t lo usas como tu explorador de Internet el cortafuego debe permitirle acceder a la Internet, pero un programa llamado cbox.exe puede ser cualquier cosa. No tienes otra opcin ms que ir a tu explorador y averiguar en el motor de bsqueda de tu preferencia de qu es el programa. (Claro que antes de hacer esto, le tienes que indicar a tu cortafuego que permita el acceso de tu explorador a la Internet). Un cortafuego puede darte la opcin de permitir el acceso a un programa de manera repetida o slo por una ocasin. Algunos programas, tales como tu explorador de Internet, debern tener acceso a la red en cualquier momento, pero con otros programas como aqullos que requieren verificar actualizaciones puedes aprender mucho acerca de cmo funciona tu computadora dejando que te pregunte cada vez que un programa trate de pedir acceso. Los cortafuegos estn disponibles como programas individuales (incluyendo versiones de distribucin libre para las plataformas Windows y Linux) o existen versiones que vienen junto con programas de antivirus. Adicionalmente, Windows XP contiene dentro de su arquitectura un cortafuego instalado, pero, en el caso del explorador de Internet de Windows, es un objetivo para la gente que busca explotarlo los defectos en otros cortafuegos pueden no encontrase, pero los existentes en un cortafuego de Microsoft sern encontrados y explotados. 7.1.3 Ejercicios Abre una lnea de comando en tu computadora y teclea: netstat aon (para Windows) netstat apn (para Linux) Encuentra los nmeros PID y trata de determinar que programas se estn ejecutando en el sistema. (Esto es algo que puedes hacer tambin en tu casa.)

LECCIN 7 ATTACK ANALYSIS 7.2 Analizadores de paquetes Netstat te dir qu programas estn conectados a la red, pero no te dir que datos del programa se estn enviando. Un analizador de paquetes, sin embargo, te brinda la facultad de registrar y estudiar los datos de los programas que estn siendo enviados a travs de la

red. 7.2.1 Analizando Un analizador de paquetes registrar el trfico de la red en tu computadora, permitindote observar todos los datos. Tcpdump (y en su versin para Windows, windump) estn considerados como el arquetipo de los analizadores de paquetes, sin embargo utilizaremos Ethereal para nuestros ejemplos, debido a que tiene una interficie grfica muy sencilla, permitindote registrar y guardar los registros en un archivo de manera rpida. Si no tienes Ethereal, podrs bajarlo de www.ethereal.com. Para los usuarios de Windows, para utilizar Ethereal en una plataforma Windows, debers bajar e instalar el controlador de captura de paquetes Winpcap. Winpcap est disponible en la pgina de descargas de Ethereal, o bien, lo encontrars directamente en la pgina www.winpcap.polito.it para descargarlo. Cierra cualquier otra aplicacin que se est ejecutando e inicia Ethereal. En el men haz click en View>Autoscroll in Live Capture. Luego, haz click en Capture y Start para ir al men de Capture Options. En esta pantalla, asegrate de que est activado el campo de Capture packets in promiscuous mode, y que tanto los tres apartados bajo Name Resolution estn activados, as como el apartado de Update list of packets in real time.

LECCIN 7 ATTACK ANALYSIS Ahora da un click en el botn de OK. En teora, nada debera pasar por ahora. Vers una pantalla de Ethereal que despliega el nmero de paquetes que estn siendo capturados y, detrs de esto, vers la pantalla de Ethereal que despliega los datos de esos paquetes. Vers una pequea cantidad de trfico originado por otras computadoras en tu red local tratando de mantener la pista de los otros (ARP, NBNS, ICMP) seguido por una actividad de resolucin de nombres DNS por parte de Ethereal. Para ver actividad, tendrs que generarla. Mientras est ejecutndose Ethereal, abre tu explorador de Internet. Minimiza cualquier otra aplicacin exceptuando Ethereal y el explorador de Internet. Ordena estas dos ventanas para que puedas verlas de manera simultnea. Ahora, ve a un motor de bsqueda en tu explorador, como www.google.com.

LECCIN 7 ATTACK ANALYSIS Mientras la pgina es cargada, debers ver informacin acerca de los paquetes capturados. Elige un tpico a buscar y bscalo, haz click en alguna de las pginas que te mostr el buscador y observa lo que sucede en Ethereal. Nota: Si Ethereal no reporta algn tipo de trfico, lo ms seguro es que no elegiste la tarjeta de red correcta. Ve al apartado de Interface en Capture Options y elige otra interfaz de red (NIC). 7.2.2 Decodificando el trfico de red Ahora que ya puedes ver el trfico de la red que se genera a travs de tu computadora, debers saber como decodificarla para interpretarla. En el programa de Ethereal, el primer paso despus de que incluso hayas terminado de capturar paquetes, es ir a la pantalla donde se muestra el resumen de la captura que el programa genera cuando est capturando. Para nuestra sesin de bsqueda web muchos de los paquetes deben ser paquetes TCP (aunque si paraste para ver un video en demanda, el nmero de paquetes UDP seguramente se increment). De cualquier forma, si ests capturando una simple sesin de bsqueda web y aparecen paquetes de tipo ARP o ICMP, sto podra indicar que hay un problema.

LECCIN 7 ATTACK ANALYSIS Despus de que hayas terminado la sesin de captura de paquetes, debers ver algo similar a esto: No. Time Source Destination Protocol Info 1 0.000000 257.10.3.250 rodan.mozilla.org TCP 1656 > 8080 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 2 0.045195 257.10.3.250 rheet.mozilla.org TCP 1657 > http [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 3 0.335194 rheet.mozilla.org 257.10.3.250 TCP http > 1657 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460 4 0.335255 257.10.3.250 rheet.mozilla.org TCP 1657 > http [ACK] Seq=1 Ack=1 Win=17520 Len=0 5 0.338234 257.10.3.250 rheet.mozilla.org HTTP GET /products/firefox/start/ HTTP/1.1 6 0.441049 rheet.mozilla.org 257.10.3.250 TCP http > 1657 [ACK] Seq=1 Ack=580 Win=6948 Len=0

7 0.441816 rheet.mozilla.org 257.10.3.250 HTTP HTTP/1.1 304 Not Modified 8 0.559132 257.10.3.250 rheet.mozilla.org TCP 1657 > http [ACK] Seq=580 Ack=209 Win=17312 Len=0 9 2.855975 257.10.3.250 rodan.mozilla.org TCP 1656 > 8080 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 10 4.475529 257.10.3.250 name.server.com DNS Standard query PTR 250.3.10.257.in-addr.arpa 11 4.475776 257.10.3.250 name.server.com DNS Standard query PTR 205.111.126.207.in-addr.arpa 12 4.475854 257.10.3.250 name.server.com DNS Standard query PTR 202.111.126.207.in-addr.arpa En este ejemplo, estos 12 paquetes ilustran la actividad que el explorador de Internet tiene cuando se conecta a cada pgina de inicio. La informacin ms fcil de decodificar esta en las columnas de origen y destino. La direccin IP 257.10.3.250 es la computadora local, las otras direcciones han sido resueltas por su nombre a travs de Ethereal. Debido a que utilizamos Mozilla Firefox como explorador de Internet, y debido a que tiene como pgina de inicio la pgina de Mozilla Firefox, no es de sorprenderse el ver direcciones del dominio de mozilla.org. Las peticiones enviadas a name.server.com fueron probablemente generadas por Ethereal cuando enva peticiones de tipo DNS para resolver direcciones IP a nombres. (Nota: estos accesos producidos por el programa de Ethereal fueron debidos a las opciones configuradas en el apartado de Display Options y el apartado de Name Resolution. Estos apartados fueron activados, para fines de ilustracin en ste ejemplo, para obtener una salida ms legible. Si deshabilitas estas opciones, no vers stos datos adicionales). Observar la informacin de origen y destino pueden ayudarte a detectar alguna actividad no autorizada. Por ejemplo, un nombre de dominio desconocido que aparezca constantemente puede indicarte que tienes un programa de tipo espa spyware instalado en tu computadora. La siguiente columna es la de Protocolo, la cual indica qu protocolo estn utilizando los paquetes. Otra vez, para saber si algo anda mal, debers saber qu puedes esperar. En la sesin de exploracin web esperamos respuestas TCP y http, y sabes el porqu de los paquetes de tipo DNS. Sin embargo, una gran cantidad de paquetes de tipo ICMP pueden significar que tu mquina est siendo rastreada (mediante el uso de la herramienta PING). La ltima columna, Informacin, provee mayor detalle de la informacin acerca de los paquetes. Los paquetes 2, 3 y 4 muestran el proceso de comunicacin TCP three-handed handshake de SYN, SYN/ACK, ACK, los cuales indican que se ha establecido una conexin.

El paquete 5 muestra un comando HTTP GET seguido por el paquete 7 que indica una respuesta de tipo 304 Not modified.

LECCIN 7 ATTACK ANALYSIS Si deseas mayor informacin sobre los paquetes, al final de las dos ventanas en la pantalla de Ethereal, se muestran explicaciones ms detalladas. La ventana de en medio muestra el detalle del encabezado del paquete. La ventana inferior muestra el volcado ASCII y hexadecimal hex de los datos dentro del paquete. 7.2.3 Analizando otras computadoras Algunos de ustedes han mirado en la informacin de esta seccin y habindose fijado en los datos registrados por Ethereal, se preguntarn acerca de las posibilidades del uso de aplicaciones del tipo analizador de paquetes para registrar actividades en las computadoras de otras personas. Es esto posible? S y no. A esto se le denomina modo promiscuo, lo cual permite que un analizador de paquetes pueda monitorear la actividad de la red para todas las computadoras en una red. Esto significa que podrs registrar cualquier actividad de red en otra computadora que se encuentra en tu misma red (dependiendo de cmo est configurado el hardware), pero lo que s es cierto es que no podrs elegir cualquier otra computadora de manera aleatoria y que mgicamente analices sus datos las dos computadoras debern estar conectadas entre s fsicamente, y el hardware y software deber estar configurado de manera apropiada. 7.2.4 Sistemas de Deteccin de Intrusos IDS por sus siglas en ingls Probablemente te habrs dado cuenta de que el uso de un analizador de paquetes puede detectar actividad no autorizada en tiempo real, la cual requiere que ests sentado en frente de tu computadora, observando las salidas del analizador de paquetes y deseando de manera desesperada ver algn tipo de patrn. Un sistema de deteccin de intrusos realiza ste tipo de tareas por ti. Estos programas combinan la habilidad de registrar actividad de la red a partir de una serie de reglas que le permiten sealar actividades no autorizadas y generar avisos en tiempo real. 7.2.5 Ejercicios

1. Abre la aplicacin de Ethereal y comienza a capturar en vivo. Ahora abre tu explorador de Internet y busca descargar un documento en texto plano. Descrgalo y slvalo en tu disco duro, cierra el explorador y finaliza la sesin de Ethereal. Busca en los paquetes capturados por Ethereal, prestando mucha atencin al volcado ASCII al final de la ventana. Qu es lo que ves? Si tienes acceso a una cuenta de correo electrnico, trata de leer tu correo mientras Ethereal realiza una captura de paquetes. Qu es lo que ves? 2. Abre Ethereal. En la pantalla de Capture Options cercirate que est marcado el apartado de Capture packets in promiscuous mode. Esta opcin te permitir capturar paquetes hacia o provenientes de otras computadoras. Comienza a capturar y ve qu es lo que pasa. Ves algn trfico que no sea el de tu mquina?

LECCIN 7 ATTACK ANALYSIS Qu sabes acerca del hardware que conecta tu computadora a la red? Te conecta a otras computadoras a travs de un concentrador, conmutador o encaminador? Trata de indagar en una mquina de bsqueda qu pieza o piezas hardware haran ms difcil el capturar paquetes de otras computadoras. Qu hardware lo hara ms fcil? 3. Ve al sitio www.snort.org, o utiliza una mquina de bsqueda para investigar sistemas de deteccin de intrusos. Cul es la diferencia entre stos y los cortafuegos? Qu tienen en comn con los analizadores de paquetes? Qu tipos de actividad no autorizada pueden detectar? Qu tipos de actividad pueden no ser detectados? 7.3 Redes y Sistemas Tipo Seuelo (Honeypots y Honeynets) A la gente que le gusta observar chimpancs van a un zoolgico, debido a que regularmente encontraran chimpancs ah. A la gente que le gusta observar pjaros ponen bebedores para aves con la finalidad de que vayan los pjaros hacia ellos. A la gente que le gusta observar peces tienen acuarios, y compran peces para ponerlos ah. Pero, qu haras para observar a los hackers? Pondras un sistema tipo seuelo honeypot. Pinsalo de sta manera eres un oso. No sabrs mucho (y ms siendo un oso) pero sabes

que la miel es deliciosa, y que no hay nada mejor en un verano caluroso que un puado de miel. De repente, sentado afuera en el campo ves un gran panal lleno de miel, y piensas Yum!. Pero una vez que pones tu garra en el panal, corres el riesgo de quedarte atorado. Si no hay nadie ms, dejars una gran y pegajosa huella por donde camines, y cualquiera que las siga terminara por descubrir que fuiste t quien tom la miel. Ms de un oso ha sido descubierto debido a su irresistible adiccin a la deliciosa miel. Un sistema tipo seuelo es un sistema informtico, red o mquina virtual, con el nico propsito de atrapar hackers. En un sistema tipo seuelo existen usuarios no autorizados no contienen informacin real almacenada ni algn tipo de aplicacin real instalada por lo que, cualquier acceso y/o cualquier intento de ser utilizados, puede ser identificado como no autorizado. En lugar de verificar registros del sistema para identificar intrusiones al mismo, el administrador del sistema sabe que cada acceso registrado es una intrusin, as que gran parte del trabajo ya est hecho. 7.3.1 Tipos de Sistemas Tipo Seuelo Existen dos tipos de Sistemas Tipo Seuelo: de produccin y de investigacin. Los Sistemas Tipo Seuelo de Produccin son generalmente utilizados como sistemas de avisos. Un Sistema Tipo Seuelo de produccin identifica una intrusin y genera una alarma. Pueden mostrar que un intruso ha logrado identificar el sistema o red y que est siendo de su inters, pero no ms all. Por ejemplo, si deseas saber si viven otros osos cerca de tu morada, pondras diez pequeos tarros de miel. Si al revisarlos a la maana siguiente encuentras uno o

LECCIN 7 ATTACK ANALYSIS ms vacos, entonces sabrs que los osos han estado cerca del lugar sin conocer nada ms de ellos. Los Sistemas Tipo Seuelo de Investigacin son utilizados para recolectar informacin sobre las actividades de los Hackers. Un Sistema Tipo Seuelo de Investigacin atrapa a los hackers y los mantiene ocupados mientras estn siendo registradas todas sus acciones. Por ejemplo, si en lugar de documentar simplemente su presencia deseas estudiar a los osos, entonces te sentaras cerca de un gran, delicioso y pegajoso panal en el campo, pero pondras cmaras, grabadoras y asistentes de investigacin con sus libretas de apuntes y cascos alrededor del panal.

Los dos tipos de Sistemas Tipo Seuelo difieren principalmente en su complejidad. Es ms fcil que configures y mantengas un sistema de produccin debido a su simplicidad y al poco manejo de informacin que deseas obtener. En un Sistema Tipo Seuelo en produccin slo deseas saber si te estn pegando; no te interesa saber si los hackers se quedan rondando por ah. Sin embargo, en un Sistema Tipo Seuelo de investigacin desears que los hackers se queden con la finalidad de ver qu es lo que estn haciendo. Esto hace ms complejo la configuracin y el mantenimiento de un sistema de este tipo, debido a que el sistema deber parecer como un sistema real, en produccin y que ofrece archivos y/o servicios interesantes para los hackers. Un oso que sabe cmo es un panal, gastar slo un minuto en un panal vaco, pero slo un panal repleto de deliciosa miel lo mantendr merodeando el lugar, tanto como te sea necesario para que puedas estudiarlo. 7.3.2 Construyendo un Sistema Tipo Seuelo En el sentido ms bsico, un sistema de tipo seuelo no es nada ms que un sistema informtico configurado con la esperanza de que sea comprometido por intrusos. Esencialmente, esto significa que si t conectas una computadora con un sistema operativo inseguro a la Internet, slo bastar que te sientes a esperar el momento en que la mquina est comprometida. Ahora, ya has creado un sistema de tipo seuelo! Pero en realidad, este sistema no es tan til como parece. Es como si dejaras tu miel en el campo y te fueras a tu casa en la ciudad. Cuando regreses, lo ms seguro es que la miel haya desaparecido y no sabrs ni quin, ni cmo, ni porqu desapareci. No aprenders nada de tu sistema tipo seuelo, a menos de que exista una manera para obtener informacin de l. Para que te sea til, incluso en los sistemas ms sencillos, deber tener algn sistema de deteccin de intrusos. El sistema de deteccin de intrusos puede ser tan simple como un cortafuego. Generalmente el cortafuego es utilizado para prevenir el acceso de usuarios no autorizados a un sistema, aunque tambin para registrar todo aquello que sucede y/o saber si una aplicacin ha sido detenida. El revisar los archivos de registro producidos por un cortafuego puede brindarte informacin bsica sobre los intentos de acceso al sistema tipo seuelo. Otros sistemas ms complejos de tipo seuelo contemplan el uso de hardware, tales como concentradores, conmutadores o encaminadores, a fin de monitorear o controlar accesos futuros a la red. Tambin es comn que utilicen analizadores de paquetes para obtener

informacin adicional acerca del trfico de red.

LECCIN 7 ATTACK ANALYSIS Los sistemas tipo seuelo de Investigacin debern ejecutar programas para simular el uso normal, hacindoles parecer que el sistema tipo seuelo est siendo accedido por usuarios autorizados, engaando a intrusos potenciales con correos, contraseas y datos falsos. Este tipo de programas tambin pueden ser utilizados para disfrazar sistemas operativos, hacerlos parecer como por ejemplo, que una computadora con plataforma Linux est corriendo Windows. Pero el asunto acerca de la miel es que es pegajosa, y que siempre existe la posibilidad de que el sistema tipo seuelo se torne en un nido de abejas. Y cuando las abejas regresan a su casa no te gustara ser el que se le ator la mano en el panal. Un sistema tipo seuelo mal configurado puede fcilmente convertirse en un punto de lanzamiento de otros ataques. Si un hacker compromete tu sistema tipo seuelo, de manera instantnea realizar un asalto sobre una gran empresa o utilizar tu sistema para distribuir spamm de tipo inundacin, y lo ms seguro es que t seas identificado como el responsable. Un sistema tipo seuelo bien configurado puede controlar el trfico de red entrante y/o saliente de la computadora. Un sistema sencillo de produccin podr permitir la entrada de trfico a travs de tu cortafuego, pero frenar todo el trfico saliente. sta es una sencilla pero de eficaz solucin, pero algunos intrusos se percatan rpidamente que no existe trfico saliente, aunque no todos. Los sistemas tipo seuelo de investigacin que deseen mantener a los intrusos interesados por el mayor tiempo posible en algunas ocasiones utilizan software que mutilan, los cuales auditan el trfico saliente y desarman los datos potencialmente peligrosos mediante su modificacin hacindolos inofensivos. 7.3.3 Ejercicios Los sistemas tipo seuelo pueden ser herramientas tiles para la investigacin y para la identificacin de intrusos, pero el utilizarlos para atraparlos y procesarlos es otro asunto. Distintas jurisdicciones tienen diferentes definiciones y estndares, jueces y jurados pueden discrepar en los puntos de vista, por lo que muchas preguntas debern ser consideradas. Los sistemas tipo seuelo representan un intento de trampa? El registrar las actividades de

un hacker resulta, de alguna manera, en la intercepcin de la comunicacin como en el caso de los telfonos? Y de acuerdo a preguntas especficas de stos sistemas puede ser ilegal el comprometer un sistema que est diseado para ser comprometido? Estas preguntas todava tendrn que ser revisadas, estudiadas y probadas a fondo. Discute tus opiniones con respecto a la legalidad del uso de sistemas tipo seuelo para atrapar a hackers involucrados en actividades criminales. Piensas que puede ser una herramienta til para las agencias protectoras de la ley? Es una trampa? Piensas que constituye un conocimiento atractivo pero molesto? Si un hacker compromete un sistema tipo seuelo, quin crees que sera el responsable?

LECCIN 7 ATTACK ANALYSIS Lecturas Recomendadas Netstat http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/enus/ netstat.mspx Informacin General de los Cortafuegos: http://www.howstuffworks.com/firewall.htm http://www.interhack.net/pubs/fwfaq Uno de muchos programas libres tipo cortafuego: http://www.agnitum.com/index.html Protegiendo con cortafuegos para Linux: http://www.iptables.org Analizadores de Paquetes http://www.robertgraham.com/pubs/sniffing-faq.html Snort y sistemas de deteccin de intrusos IDSs: http://www.linuxsecurity.com/feature_stories/feature_story-49.html http://www.snort.org/docs/lisapaper.txt Sistemas de Tipo Seuelo Honeypots: http://www.honeypots.net/honeypots/links

LECCIN 8 DIGITAL FORENSICS License for Use Information LECCIN 8 DIGITAL FORENSICS 8.1. Introduccin Forensics o el anlisis forense est relacionado con la aplicacin de tcnicas de investigacin metdicas para poder reconstruir una secuencia de eventos. La mayora de personas conocen el concepto de anlisis forense por la televisin y las pelculas, como por ejemplo la serie CSI ( Crime Scene Investigation ) que es una de las ms conocidas. La ciencia del anlisis forense ha estado durante mucho tiempo, e incluso todava lo est, relacionada con la Patologa Forense (averiguar las causas de la muerte de personas). La primera descripcin detallada que se ha encontrado del anlisis forense es respecto a la Patologa Forense y data del 1248, en un libro chino llamado Hsi DuanYu (the Washing Away of Wrongs). Este libro describe como distinguir si alguien ha muerto ahogado o estrangulado.1 Digital forensics o el anlisis forense digital es un poco menos confuso pero tambin es menos conocido. Es el arte de recrear qu ha pasado en un dispositivo digital. Al principio, estaba restringido solo a los ordenadores, pero ahora comprende cualquier tipo de dispositivo digital como telfonos mviles, cmaras digitales e, incluso, dispositivos GPS2. Se ha utilizado para capturar asesinos, secuestradores, infractores, jefes de la Mafia y muchas otras clases de gente poco amistosa. En esta leccin, cubriremos dos aspectos del anlisis forense (lo sentimos, todos basados en ordenadores no hay temas de mviles aqu). 1. As pues, veremos lo que la gente puede llegar a tener en sus propios ordenadores. Esto cubre...

 la recuperacin de ficheros borrados decodificacin elemental la bsqueda de cierto tipo de ficheros la bsqueda de ciertas frases la bsqueda en reas interesantes del ordenador 2. Tambin veremos lo que un usuario remoto ha estado haciendo en el ordenador de otra persona. Esto cubre... la lectura de ficheros log la reconstruccin de acciones la bsqueda en reas interesantes del ordenador el rastreo de la fuente 1 Aparentemente est relacionado con las marcas dejadas alrededor de la garganta, y el nivel de penetracin del agua en los pulmones. 2 Global Positioning System Sistema que puede comunicar tu posicin en cualquier parte del mundo utilizando satlites orbitales.

LECCIN 8 DIGITAL FORENSICS Esta leccin se centrar en las herramientas disponibles en Linux. Existen tambin herramientas disponibles para Windows as como software y hardware dedicado para el anlisis forense, pero con la capacidad de Linux para montar y entender un gran nmero de sistemas de ficheros y sistemas operativos. 8.2. Principios del Forensics 8.2.1. Introduccin Existen un gran nmero de principios bsicos que son necesarios independientemente de si ests examinando un ordenador o un cadver. Esta seccin resume la mayora de estos principios. 8.2.2. Evita la contaminacin En televisin salen los examinadores forenses ataviados con batas blancas y guantes, cogiendo todas las pruebas con pinzas y ponindolas en bolsa de plstico selladas. Todo ello es para prevenir la contaminacin. Aqu es donde

las evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y deja sus huellas digitales en la hoja del cuchillo (te acuerdas de la pelcula del Fugitivo? Piensa en los problemas que lleg a tener!). 8.2.3. Acta metdicamente En cualquier cosa que hagas, si tuvieras que ir a un juicio, necesitaras justificar todas las acciones que hayas tomado. Si actas de una manera cientfica y metdica, tomando cuidadosas notas de todo lo que haces y cmo lo haces, esta justificacin es mucho ms fcil. Tambin permite a cualquier otra persona poder seguir tus pasos y verificar que t no has cometido ningn error que pueda poner en duda el valor de tu evidencia. 8.2.4. Cadena de Evidencias Siempre debes mantener lo que se denomina la Cadena de Evidencias. Esto significa que, en cualquier momento del tiempo, desde la deteccin de la evidencia hasta la presentacin final en el juicio, puedes justificar quin ha tenido acceso y dnde ha sido. Esto elimina la posibilidad de que alguien haya podido sabotearlo o falsificarlo de alguna manera. 8.2.5. Conclusiones Ten siempre presentes estas cosas, incluso si tu trabajo no se va a presentar a ningn tribunal. As podrs maximizar tus habilidades como analista forense.

LECCIN 8 DIGITAL FORENSICS 8.3. Anlisis forense individualizado 8.3.1. Introduccin Esta seccin trata sobre el anlisis forense en una sola mquina. Para asignarle un nombre mejor, lo llamaremos stand-alone forensics o anlisis forense individualizado. Probablemente, esta es la parte ms comn del anlisis forense de ordenadores y su papel principal se basa en descubrir qu se ha estado haciendo con un ordenador en particular. El analista forense podra estar buscando una evidencia de fraude, como por ejemplo hojas de balance financieras, evidencia de comunicacin con alguien, correos electrnicos o una agenda de direcciones, o evidencia de un tema particular, como imgenes

pornogrficas. 8.3.2. Fundamentos sobre discos duros y medios de almacenaje Los elementos que componen un ordenador comn son, entre otros: el procesador, la memoria, la tarjeta grfica, la unidad de CD, etc. Uno de los ms importantes es el disco duro. Aqu es donde se guarda la mayor parte de la informacin que el ordenador necesita. El sistema operativo (OS) como Windows o Linux reside aqu, junto con las aplicaciones de usuario como el procesador de texto y los juegos. Aqu tambin se guarda gran cantidad de informacin, ya sea de forma deliberada al guardar un fichero, o de forma incidental con del uso de ficheros temporales y cachs. Esto es lo que permite a un analizador forense reconstruir las acciones que el usuario ha llevado a cabo con el ordenador, los ficheros a los que ha accedido y mucho, mucho ms. El disco duro puede ser examinado a varios niveles, pero para el propsito de esta leccin nos centraremos nicamente en el nivel del sistema de ficheros (file system). Sin embargo, debemos tener en cuenta que los profesionales son capaces de analizar el disco a un gran nivel de detalle para determinar lo que contena; incluso si ha sido sobrescrito varias veces. El sistema de ficheros (file system) es la implementacin en un ordenador de un gabinete de ficheros. Este contiene cajones (las particiones), carpetas (los directorios) y papeles (los ficheros). Los ficheros y los directorios pueden estar ocultos, aunque slo es una caracterstica superficial que puede ser fcilmente desactivada. Los siguientes ejercicios nos permitirn tener un mejor conocimiento de las bases del almacenaje de informacin en los discos. Ejercicios Para cada uno de los trminos siguientes relacionados con los medios de almacenaje, busca informacin y aprende cmo funcionan. Tu primer paso en el anlisis forense consiste en conocer cmo funciona un equipo de manera normal.

LECCIN 8 DIGITAL FORENSICS

1. Disco fsico/duro/magntico: Aqu es donde bsicamente tu ordenador almacena los ficheros para que permanezcan all cuando se apaga el ordenador. Explica cmo se utiliza el magnetismo en un disco duro. 2. Pistas: Qu son las pistas de un disco duro? 3. Sectores: Esto es un espacio fijo donde se almacenan los datos. Explica cmo. 4. Cluster/Unidad de asignacin: Explica porqu, cuando se escribe un fichero en el disco duro, puede ser que ocupe ms espacio del que necesita. Qu pasa con el espacio vaco? Si buscas el trmino file slack te ayudar a entender el concepto. 5. Espacio libre/sin asignar: Esto es lo que queda una vez que has suprimido archivos. Pero esos ficheros realmente han desaparecido? Explica cmo se borra un fichero del ordenador. Si buscas las herramientas relacionadas con el borrado o eliminacin segura (secure delete), stas te pueden ayudar. 6. Hash, tambin conocido como MD5 hash: Explica qu es hash y para qu se utiliza. 7. BIOS: Son las siglas de "Basic Input/Output System". Qu es y donde est en el PC? 8. Sector de arranque: ste trabaja con las tablas de particin para ayudar a que tu PC encuentre el sistema operativo que debe ejecutar. Hay muchas herramientas para trabajar con las particiones, siendo la estndar la herramienta llamada fdisk. Conocer cmo funcionan estas herramientas es tu primer indicio para entender cmo funcionan las particiones y el sector de arranque. 9. Cyclical Redundancy Check (CRC): Tambin se le conoce como Cdigo de Redundancia Cclica. Cuando el disco duro te informa de un mensaje de error de lectura o "read error", esto significa que los datos fallaron en el chequeo de CRC. Averigua qu es el chequeo de CRC y qu hace. 10. Firma de fichero: A veces un fichero tiene una firma pequea de 6 bytes al inicio del fichero que identifica el tipo de fichero. La forma ms fcil para verla es abrir el fichero con un editor de texto. Abre 3 ficheros de cada una de las siguientes extensiones con un editor de texto: .jpg, .gif, .exe, .mp3. Cul es la primera palabra al inicio de cada uno de los ficheros?

11. RAM (Random-Access Memory): Tambin se conoce como simplemente memoria y es el emplazamiento temporal para leer y escribir informacin, ya que es mucho ms rpido que escribir en el disco duro. El problema es que se pierde toda la informacin cuando se apaga el ordenador. Explica cmo trabaja la RAM. Sabiendo que tu ordenador debe de tener entre 64 y 512 Mb de RAM, busca informacin sobre algn ordenador que tenga ms RAM que esa. Actualmente, el disco RAM mayor (un disco duro superrpido emulado en RAM) es de 2.5 Tb (Terabyte). Cuntas veces es mayor que tu PC?

LECCIN 8 DIGITAL FORENSICS 8.3.3. Encriptacin, Desencriptacin y Formatos de Ficheros Muchos de los ficheros que te encontrars no son descifrables de manera inmediata. Muchos programas tienen sus propios formatos de fichero, mientras que hay otros que utilizan formatos estndar por ejemplo, los formatos de fotografas estndar - gif, jpeg, etc. Linux proporciona una utilidad excelente para ayudarte a empezar a determinar el tipo de cada fichero. Es lo que se denomina file. Command Line Switch Efecto -k No para a la primera coincidencia, contina -L Sigue links simblicos -z Intenta mirar en el interior de archivos comprimidos. Un ejemplo de la utilizacin del comando file se muestra a continuacin: [simon@frodo file_example]$ ls arp.c nwrap.pl isestorm_DivX.avi oprp_may11_2004.txt krb5-1.3.3 VisioEval.exe krb5-1.3.3.tar Windows2003.vmx krb5-1.3.3.tar.gz.asc [simon@frodo file_example]$ file * arp.c: ASCII C program text isestorm_DivX.avi: RIFF (little-endian) data, AVI

krb5-1.3.3: directory krb5-1.3.3.tar: POSIX tar archive krb5-1.3.3.tar.gz.asc: PGP armored data nwrap.pl: Paul Falstad's zsh script text executable oprp_may11_2004.txt: ASCII English text, with very long lines, with CRLF line terminators VisioEval.exe: MS-DOS executable (EXE), OS/2 or MS Windows Windows2003.vmx: a /usr/bin/vmware script text executable [simon@frodo file_example]$ A partir de aqu, puedes intentar leer cierto tipo de ficheros. Hay ciertas utilidades de conversin de ficheros disponibles para Linux e, incluso, hay ms disponibles en Internet, as como tambin visualizadores de ficheros para varios formatos. A veces se puede requerir ms de un paso para llegar hasta donde realmente se puede trabajar con la informacin Intenta pensar de forma lateral! LECCIN 8 DIGITAL FORENSICS De manera ocasional, te podrs encontrar ficheros que han sido encriptados o protegidos con alguna contrasea. La complicacin que esto presenta vara segn la encriptacin proporcionada por ciertas aplicaciones, pero puede dar grandes quebraderos de cabeza incluso a entidades como la NSA (o GCHQ o cualquier agencia estatal o local). Tambin existe un gran nmero de herramientas disponibles en Internet, que puedes utilizar para romper la encriptacin de un fichero. Solo hace falta que mires alrededor del ordenador con el que ests trabajando, para ver que las personas no son muy buenas recordando contraseas y seguramente habrn dejado escrito en algn papel su contrasea. Adems, es muy comn que las contraseas estn relacionadas con sus mascotas, familiares, fechas (aniversarios, nacimientos), nmeros de telfono, matrculas y otras combinaciones sencillas (123456, abcdef, qwerty...). Adems, las personas son reticentes a utilizar ms de una o dos contraseas para

todo, por lo que si consigues una contrasea de algn fichero o aplicacin, prueba la misma con otros ficheros porque seguramente ser la misma. Ejercicios Aunque es legal crackear tus propias contraseas si las has olvidado, en algunos pases no es legal intentar resolver cmo se han encriptado los ficheros para protegerlos de ser crackeados. Las pelculas DVD tambin estn encriptadas para prevenir que se puedan extraer del DVD y se vendan. Aunque es una manera excelente de encriptacin, no es legal buscar mtodos para averiguar cmo se ha utilizado la encriptacin. Esto lleva a tu primer ejercicio: 1. Qu es "DeCSS" y qu relacin tiene con la encriptacin de DVDs? Busca informacin sobre "decss" para aprender ms. 2. Saber que algo est protegido mediante contraseas significa aprender cmo abrir ese fichero. Esto es lo que se conoce como crackear la contrasea. Busca informacin sobre cracker distintos tipos de contraseas. Para hacerlo busca "cracking XYZ passwords" donde XYZ es el tipo de contrasea que ests buscando. Hazlo para el siguiente tipo de contraseas: a. MD5 b. Windows Administrator c. Adobe PDF d. Excel 3. Si el mtodo de encriptacin es demasiado fuerte para romperlo, seguramente ser necesario realizar un ataque de diccionario o dictionary attack (tambin llamado de fuerza bruta o brute force). Encuentra qu es un ataque de diccionario y mira si puedes encontrar una herramienta que realice un ataque de diccionario contra el fichero de password de UNIX: el /etc/passwd.

LECCIN 8 DIGITAL FORENSICS 8.3.4 Buscando una aguja en un pajar Los programas comerciales existentes sobre anlisis forenses incluyen herramientas de bsqueda de grandes prestaciones, permitindole buscar segn

diferentes combinaciones y permutaciones de factores. Pero para no depender de estas herramientas, en su mayora de gran coste, haremos uso de nuestro ingenio para realizar ese anlisis. Nos ayudaremos de las herramientas bsicas que nos proporciona Linux. Las siguientes tablas detallan el uso de los comandos find, grep y strings, y explica como utilizarlas en combinacin, una con otra. 8.3.4.1 Find find [path...][expression] find se usa para encontrar archivos que renen ciertos criterios dentro del sistema operativo, no est diseado para mirar dentro de cada archivo. Debe haber un milln de permutaciones de expresiones que se pueden combinar para buscar un archivo. Ejercicio: 1. Lee la pgina del manual del comando find. En la siguiente tabla completa el Efecto para cada una de las Expresiones. (Indicacin: Cuando se pasa un nmero como argumento se puede especificar de las siguientes formas: +n para indicar mayor que n; -n para indicar menor que n; n para indicar igual que n). Expresin Efecto -amin n Archivos accedidos hace menos de n minutos -anewer -atime -cnewer -iname -size -type -user 8.3.4.2 Grep grep es una herramienta inmensamente potente. Se utiliza para encontrar ciertas lneas dentro de un archivo. Esto te permite encontrar rpidamente ficheros que contienen cierta informacin dentro de un directorio o de un sistema de ficheros. Tambin permite buscar ciertas expresiones comunes. Existen algunos patrones

de bsqueda que permiten especificar ciertos criterios que la bsqueda debe encontrar. Por ejemplo: encontrar todas las palabras de un diccionario que empiezan por s y terminan por t para ayudarte a resolver un crucigrama. grep ^s.*t$ /usr/share/dict/words Ejercicios:

LECCIN 8 DIGITAL FORENSICS 1. Lee la pgina del manual del comando grep. 2. Busca por Internet expresiones comunes para el comando grep. Intenta construir una expresin regular que permita encontrar todas las palabras que tengan cuatro letras y contengan una a. 8.3.4.3 Strings strings es otra utilidad muy til. Esta herramienta busca dentro de un fichero cualquier tipo de expresiones o frases que puedan ser ledas (human readable strings). Esto nos puede dar gran cantidad de informacin sobre un fichero especfico, y proveer informacin sobre la aplicacin que lo cre, autores, fecha de creacin, etc. Ejercicio: 1. Lee la pgina del manual del comando strings. 8.3.4.4 Awk awk es un lenguaje de programacin diseado para trabajar con frases. Se utiliza para extraer informacin de un comando y usarla como parmetros de otro. Por ejemplo, para extraer del comando ps nicamente el nombre de los programas que se estn ejecutando, deberamos usar: ps | awk '{print $4}' Ejercicio: 1. Lee la pgina del manual del comando awk. 8.3.4.5 El pipe | Todos los comandos anteriores pueden combinarse usando el comando pipe (enlace) de UNIX, el cual se representa con el smbolo |. Esto nos permite coger el resultado de un comando para proveer de parmetros a otro. Por ejemplo,

para encontrar en el directorio actual todos los ficheros mpg, utilizaremos: ls | grep mpg Ejercicios: 1. Usando el comando ls, el comando grep y el comando pipe, encuentra en el directorio actual todos los ficheros que fueron creados este mes. 2. Usando el comando ps y el comando awk, muestra el nombre de todos los programas que se estn ejecutando.

LECCIN 8 DIGITAL FORENSICS 8.3.5 Haciendo uso de otras fuentes Existen muchas ms vas para examinar la manera en que se ha utilizado un ordenador. Casi todas las aplicaciones que se ejecutan en un ordenador registran datos adicionales ms all de los que se necesitan para correr la aplicacin. Se pueden incluir los archivos temporales que utiliza, los archivos temporales de Internet, etc. Ejercicios: 1. Qu es el browser cache? Encuentra el lugar donde el explorador que utilizas guarda su cache. 2. Qu son los browser cookies? Encuentra el lugar donde el explorador que utilizas guarda sus cookies. 3. Busca informacin acerca de las cookies del explorador. Qu tipo de cookies son y qu tipo de informacin hay en ellas guardas? 4. Tu ordenador usa directorios temporales donde guardar archivos por defecto para el usuario. Se conocen como Datos de aplicacin (Application Data). Busca los directorios temporales que tienes disponibles en tu ordenador. A menudo se suelen llamar como tmp o temp, pero hay muchos ms que desconoces, que tambin son temporales. Una buena manera de encontrarlos es haciendo un FIND de los archivos que contengan la fecha de hoy. Desaparecen estos archivos al reiniciar el ordenador? 8.4 Network Forensics 8.4.0 Introduccin

Network forensics (forensics de red) se usa par buscar donde se encuentra un ordenador y para saber si un archivo en particular se ha enviado desde un ordenador en concreto. El network forensics es bastante complicado, pero se van a tratar los temas bsicos que se puedan aplicar al da a da. 8.4.1 Firewall Logs Quin se conecta a mi ordenador? El firewall es una utilidad que hace que se bloqueen las conexiones entre dos puntos de la red. Existen diferentes tipos de firewalls. Sin tener en cuenta el tipo ni la tarea del firewall, descubriremos que los archivos logs sern los que nos ayuden ms. Solamente utilizando los logs, podremos encontrar la manera o conducta con la que nos atacan nuestro firewall, para as combatirles. Ejercicios: 1. Visita la web http://www.dshield.org. Esta web contiene los archivos logs de multitud de firewalls de todo el mundo, con los que se puede contrastar los diferentes ataques que sufren y los patrones que siguen dichos ataques. Esto

LECCIN 8 DIGITAL FORENSICS ayuda a los profesionales a verificar si su red estar bien protegida si sufre algn tipo de ataque como el que ya se ha realizado en otro lugar. Haz una leida por la web y explica cmo se ha realizado este grfico de proporciones y su significado. 2. En la misma web, lee el apartado Fight back y las respuestas de los emails recibidos. Intenta explicar su propsito. 8.4.2 La cabecera de los mails Los e-mails contienen adems de la informacin propia, una informacin acerca de cada ordenador por el que ha ido pasando hasta llegar al ordenador tuyo. Esta informacin se encuentra en la cabecera. A veces, hay ms informacin en las cabeceras, pero no es tarea fcil ver esta informacin. Los clientes de correo tienen diferentes maneras de ver dicha informacin. Lo realmente interesante es saber como ha sido escrita esta informacin para atrs. En lo ms alto de la lista esta tu ordenador, y segn van avanzando las lneas, te vas alejando de tu ordenador hasta llegar finalmente al ordenador que te ha enviado el correo.

Ejercicios 1. Visita la web http://www.samspade.org y ves a la seccin The Library. Despus de leer esta seccin deberas ser capaz de saber leer las cabeceras de los e-mails. chale un vistazo tambin a los e-mails falsificados y al abuso de emails. Explica los diferentes mtodos para poder hacer dao mediante el uso del correo electrnico. 2. Determina como averiguar las cabeceras de los e-mails que recibes propios. Tienen algn campo en particular que no te pertenezca? Analzala e intenta explicar cada uno de los campos que hay en ella. 8.5 Lecturas de inters Los siguientes links estn en ingls: http://www.honeynet.org/papers/forensics/ http://www.honeynet.org/misc/chall.html - Some forensic exercises. http://www.porcupine.org/forensics/ - The classics http://www.computerforensics.net/ http://www.guidancesoftware.com/corporate/whitepapers/index.shtm#EFE http://www.forensicfocus.com/ http://www.securityfocus.com/infocus/1679 http://www.linuxsecurity.com/feature_stories/feature_story-139.html http://www.linuxsecurity.com/feature_stories/feature_story-140.html http://www.securityfocus.com/incidents http://staff.washington.edu/dittrich/talks/blackhat/blackhat/forensics.html http://www.openforensics.org/ http://fire.dmzs.com/ http://www.sleuthkit.org/ http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm