Análisis Forense en la Corporación

Alfredo Reino areino@gmail.com

Introducción
   

Limitaciones en el "mundo real" Aspectos legales Fases de una investigación Obtención de la evidencia
• Windows • Unix / Linux • Cisco

Análisis forense como servicio corporativo
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Limitaciones en el "mundo real"

Grandes corporaciones

Las grandes corporaciones no son un mundo "ideal"
• Tamaño
 

• Complejidad
   

Número de sistemas Número de localizaciones Tecnológica Política Organizativa Legal

• Sistemas y aplicaciones críticos • Modelo "clientes internos" • Madurez tecnológica, cultura tecnológica
Alfredo Reino http://www.areino.com/ areino@gmail.com Análisis Forense en la Corporación

Limitaciones
   

Limitaciones Limitaciones Limitaciones Limitaciones

organizativas legales físicas tecnológicas

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Limitaciones físicas

Distancias
• Acceso físico a sistemas y evidencia • Limitaciones de desplazamiento • Zonas horarias

Calendarios
• Diferentes fiestas • Diferentes días críticos

Diferencias
• Culturales • De idioma

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Limitaciones tecnológicas

Ancho de banda
• Acceso remoto a sistemas • Imágenes de disco o memoria

Sistemas de almacenamiento
• SAN / NAS • Almacenamiento distribuido / replicado • RAID • Sistemas críticos

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Limitaciones organizativas

Modelo de gestión
• Centralizado • Descentralizado • "Silos" locales

Quién controla los sistemas?
• Insourcing • Outsourcing

Jurisdicciones internas
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Limitaciones legales

Cada localización tiene
• su legislación nacional referente a cibercrimen y protección de datos • sus políticas de RRHH

Cada localización puede tener
• sus políticas y estándares de seguridad corporativos

Requisitos regulatorios de la industria
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Aspectos Legales

Aspectos Legales

Diferentes modelos
• Unión Europea • Estados Unidos de América

  

Quién investiga Protección de datos Uso judicial de la investigación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Unión Europea
 

27 Estados miembros Dos sistemas legales
• Derecho Común (Common Law)
UK, Irlanda, Chipre, Malta  Más basado en la jurisprudencia

• Derecho Civil
Resto de paises de la UE  Más basado en la ley

Alfredo Reino http://www.areino.com/ areino@gmail.com Análisis Forense en la Corporación

Quién investiga

Empresa "víctima", con personal interno o externo
• En la UE no se requiere licencia de "investigador" para personal externo (en UK posiblemente en el futuro)

El Estado

Otras personas, físicas o jurídicas, afectadas por el incidente de seguridad
• En el contexto de Protección de Datos

• Puede investigar o procesar a los atacantes • Puede investigar a la empresa por seguridad inadecuada

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Legislación Unión Europea

Leyes sobre "hacking"
• EU Information System Attacks Decision

Debe estar implementada por los estados el 16 de Marzo de 2007

• UK Computer Misuse Act • Deutsches Strafgesetzbuch • etc

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Protección de Datos

Protección de Datos
• Data Protection Directive (1995) • Privacy and Electronic Communications Directive (2002)

Las directivas se trasponen a legislación nacional por los estados miembros
• En España la LOPD (1999)

Cada estado miembro tiene una agencia nacional de protección de datos
• En España la "Agencia Española de Protección de Datos"

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Crimen sin fronteras
 

A menudo los casos cruzan fronteras Diferentes elementos pueden estar en diferentes paises
• Los culpables • Las víctimas • Datos y contenido robados • Evidencia del delito • Herramientas usadas

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Crimen sin fronteras

Acuerdos y tratados internacionales
• MLATs (Tratados de Asistencia Mutua Legal) entre paises • Convención de Schengen • MLAT entre UE y EEUU (2003)

Otros procedimientos
• • • • Comisión rogatoria (letter rogatory) Cooperación informal entre Policías INTERPOL Subgrupo de Crimen de Alta Tecnología del G8
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Involucrar a la Policía

Criterios de decisión
• Tipo de delito • Política interna • Obligaciones legales

En UE no es obligatorio, en EEUU sí (según el caso)

• Existencia de víctimas externas (empresas, clientes, usuarios, etc.)
Alfredo Reino http://www.areino.com/ areino@gmail.com Análisis Forense en la Corporación

Honeypots

Legalmente es un "area gris"
• Intercepción de comunicaciones • Protección de datos personales

¡sí, del atacante! El honeypot puede usarse para lanzar otros ataques Como estrategia de defensa en el juicio Material con copyright Pornografía infantil
Análisis Forense en la Corporación

• Asistencia a un delito

• Inducción al delito (entrapment)

• Contenido ilegal
 

Alfredo Reino http://www.areino.com/ areino@gmail.com

Fases de una investigación

Fases de una investigación
    

Verificación del incidente Obtención de evidencia Análisis de la evidencia Elaboración de informes Almacenamiento de informes y evidencia

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Inicio de la investigación

Usuarios o personal de TI informan de un posible incidente Alerta generada por los sistemas de gestión de sistemas
• Cuentas bloqueadas, funcionamiento errático o incorrecto de aplicaciones, etc.

Alerta generada por los sistemas de gestión de la seguridad Por aviso de terceros Por encargo directo
• Firewall, IDS, Antivirus, etc. • Policía, prensa, competidores, etc.

• Disponibilidad de sistemas, espacio en disco, utilización CPU, intentos de logon, conexiones anómalas, etc.

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Verificación del incidente

Cualquiera que sea la fuente de información que alerta inicialmente, hay que comprobar las otras
• Pueden aportar más información • Pueden confirmar (o descartar) la existencia de un incidente

Un "sistema" no es un "servidor"
• Es necesario verificar el alcance total de una intrusión o incidente

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Verificación del incidente

Los fraudes internos pueden implicar diferentes elementos de un sistema:
• Múltiples Aplicaciones • Sistemas relacionados
 

• Múltiples hosts
   

Infraestructura de red (DNS, DHCP, routers, switches, ...) Sistemas de soporte (directorio, backup, monitorización) Clientes Front-end Middleware Back-end, Bases de datos
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Obtención de evidencia

Primero la información más volátil
• Contenido de la memoria • Conexiones de red • Procesos corriendo

Luego información menos volátil
• Imágenes de almacenamiento (discos, etc.)

Otra información útil
• Fotos de hardware y sitios implicados • Logs de sistemas de monitorización • Entrevistas

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obtención de evidencia

Información volátil útil
• Hora y fecha del sistema • Procesos en ejecución • Conexiones de red • Puertos abiertos y aplicaciones asociadas • Usuarios logados en el sistema • Contenidos de la memoria y ficheros swap o pagefile

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obtención de evidencia

Las herramientas usadas para examinar un sistema en marcha deben
• Ser copias "limpias" (en un CD)

Copias de comandos de sistema
• Diferentes versiones de OS • En Unix/Linux, "statically linked"

Otras herramientas

• Usar el mínimo de recursos del propio sistema • Alterar el sistema lo mínimo

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Análisis de la evidencia

El procedimiento de análisis dependerá del caso y tipo de incidente En general se trabaja con las imágenes de los sistemas de ficheros
• Análisis de Secuencia Temporal ("timeline") • Búsqueda de contenido • Recuperación de binarios y documentos (borrados o corruptos) • Análisis de código (virus, troyanos, rootkits, etc.)

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obtención de la evidencia

Imágenes

Imágenes de un sistema en marcha
• Uso de "dd" y "netcat" para enviar una copia bit-a-bit a un sistema remoto

Tanto Windows como Unix/Linux

• Para Windows puede ser más cómodo usar HELIX
http://www.e-fense.com/helix/  Permite realizar imagen de la memoria física

• Una vez realizada la imagen se computa un hash MD5 y SHA-1
Alfredo Reino http://www.areino.com/ areino@gmail.com Análisis Forense en la Corporación

Imágenes

Imágenes de un sistema apagado
• Extraer disco duro • Si el disco tiene un jumper para "read-only" se puede usar

si no, un "write blocker" por hardware es necesario (IDE/SATA/SCSI/USB/Firewire/...) es recomendable que sea Linux (permite montar los discos manualmente y en modo "read-only") la imagen se puede guardar en discos externos Firewire/USB, almacenamiento SAN, etc

• Conecta el disco a la workstation de análisis forense

• Realiza copia con "dd"

• Por supuesto, hashes MD5 y SHA-1 de original y copia para garantizar integridad
Alfredo Reino http://www.areino.com/ areino@gmail.com Análisis Forense en la Corporación

Procedimiento

Fraude interno / Espionaje industrial
• Periodo de verificación previo, sin alertar al culpable • Información sobre conexiones se obtiene de firewalls, IDS, sniffers, et • Confiscación de hardware • Obtención de imágenes de discos

Intrusión Externa
• Desconectar red • Obtener información volátil (memoria, registro, conexiones, etc.) • Verificar incidente (logs, IDS, firewalls, etc.) • Obtención de imágenes de discos

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Problemas con Servidores

Se puede desconectar siempre la red o la alimentación en sistemas críticos?
• Coste de downtime vs. coste del incidente • Coste de reinstalación y puesta en marcha • Coste de revalidación, recertificación

Es factible siempre el hacer imágenes de todos los discos?
• • • •

Almacenamiento en SAN/NAS Configuraciones RAID Volúmenes de >200GB comunes (incluso TB) Distinción de disco físico y lógico cada vez menos clara
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

RAID

Configuraciones comunes de RAID
• RAID 0 ("disk striping")
 

• RAID 1 ("disk mirroring")
 

2 discos mín, no tiene resiliencia a fallos Capacidad = Suma de los discos 2 discos mín, soporta caida de 1 disco Capacidad = La del disco de menor tamaño 3 discos mín, soporta caida de 1 disco Capacidad = 2/3 de la suma de los 3 discos

• RAID 5 ("disk striping with parity")
 

Típicamente se usa

El problema de RAID

• RAID 1 (o similar) para sistema operativo • RAID 5 (o similar) para datos • Es necesario hacer imágenes de los discos físicos? • En la mayoría de los casos es suficiente realizar la imagen de un disco "lógico", a través de la controladora RAID • Si es RAID 1 existe la posibilidad de extraer uno de los discos del mirror y usarlo como "original"
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

RAID

Tiempo en realizar una imagen

Fuente: http://www.cyanline.com/pres/auscert05-run-a-case.pdf Alfredo Reino http://www.areino.com/ areino@gmail.com Análisis Forense en la Corporación

Problemas con evidencia original

¿Cómo se preserva la evidencia original?

• Si se puede parar el sistema y tenemos acceso físico
  

• Si no tenemos acceso físico

Se hacen dos copias de todos los discos (usando discos de idéntico modelo) Se guardan los originales Se arranca el sistema desde una de las copias Se investiga sobre otra copia

• Si no se puede parar el sistema

Procedimiento de obtención de la imagen sencillo para que un técnico remoto pueda hacerlo Se realiza imagen online, que pasa a ser considerada "original"
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Problema de la distancia

Muchos servidores tienen tarjetas de acceso remoto (Lights-out Operations)
• Desde el punto de vista del servidor, es como acceder desde la consola localmente • Permiten montar CDs o diskettes virtuales

Operador remoto
• Usando toolkit automatizado, con posible asistencia telefónica

Problemas: Zonas horarias, lenguaje, etc.

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Resumen

La información y evidencia recogida tiene que ser la mejor posible dadas las circunstancias En un delito, la evidencia informática suele corroborar o apoyar una investigación, pero no tiene por qué ser la "pistola humeante" No es siempre necesario obtener "toda" la información disponible
• No merece la pena • Puede llevar mucho tiempo

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obtención de evidencia
Sistemas Windows

Obteniendo información

date /t & time /t ipconfig /all
• fecha y hora • información tcp/ip • conexiones abiertas y puertos en espera, con PID asociado • informacion del sistema (hardware, software, hotfixes, versiones, etc.) • lista de procesos • lista de tareas programadas (también mirar en %windir%\tasks\ folder)

netstat -aon psinfo -shd pslist -t at

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información

psloggedon
• usuarios logados y hora de logon

psloglist
• volcado de log de eventos

psservice
• información de servicios de sistema

net use, net accounts, net session, net share, net user
• conexiones netbios/smb

listdlls
• lista de DLLs cargadas en sistema

sigcheck -u -e c:\windows
• lista de ficheros (.exe, .dll) no firmados

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información

streams -s c:\
• lista ficheros con alternate data streams (ads)

logonsessions -p
• sesiones actuales y procesos por sesión

arp -a
• muestra tabla de caché ARP

ntlast
• muestra eventos de logon correctos y fallidos

route print
• muestra tabla de rutado IP

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información

autorunsc
• muestra elementos de autoejecución

hfind c:
• ficheros ocultos

promiscdetect
• detecta interfaces de red en modo "PROMISC"

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información

volume_dump
• muestra información sobre volumenes, mount points, filesystem, etc.

pwdump2
• muestra hashes (nthash/lmhash) de cuentas locales

lsadump2
• muestra LSA secrets (necesita SeDebugPrivilege)

strings
• busca cadenas ASCII/Unicode en ficheros

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información - GUI

rootkit revealer
• detecta rootkits (usermode o kernelmode)

process explorer
• información útil sobre procesos, librerías que usan, recursos accedidos, conexiones de red, etc.

tcpview
• muestra conexiones de red y aplicaciones asociadas

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Dispositivos Windows
       

\\. \\.\C: \\.\D: \\.\PhysicalDrive0 \\.\PhysicalDrive1 \\.\CdRom0 \\.\Floppy0 \\.\PhysicalMemory

Local machine C: volume D: volume First physical disk Second physical disk First CD-Rom First floppy disk Physical memory

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Imagen de memoria

Imagen de la memoria usando "dd"
dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000

• Acceso a PhysicalMemory desde usermode ya no se permite en Windows Server 2003 SP1 (es necesario usar un driver en modo kernel)

Se puede volcar el espacio de memoria de un proceso con "pmdump" Se puede obtener el fichero de paginación
• No se puede copiar 'pagefile.sys' en un sistema en marcha • Si se apaga el ordenador, se modifica el fichero de paginación (o opcionalmente se borra) • Si es necesario este fichero, quitar cable de alimentación y obtener imágenes del disco

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Ejemplo PMDump

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Ficheros log
   

Log de eventos (Application, System, Security, DNS) IIS/webserver/FTP logs/URLScan Windows Firewall log (%windir%\pfirewall.log) Dr. Watson logs
• contiene información sobre procesos que corrían cuando una aplicación falló

setupapi.log
• información sobre instalacíón de aplicaciones y dispositivos

schedlgu.txt
• información sobre tareas programadas

Antivirus / IDS / IAS / ISA Server / ... logs

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Carpeta Prefetch

Usada por Windows para almacenar información sobre ejecutables, para optimizar el rendimiento
• En WinXP se realiza prefetches al arrancar y al lanzar aplicaciones. Win2003 realiza el prefetch sólo al arrancar (por defecto) • Los ficheros .pf en %systemroot%/prefetch contienen información sobre el path de los ficheros • La fecha y hora (MAC) del fichero .pf nos da información sobre cuándo una aplicación ha sido ejecutada

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Otras fuentes

LastWrite en claves de registro
• Se puede usar 'lsreg.pl' para extraer esta información
Key -> CurrentControlSet\Control\Windows\ShutdownTime
LastWrite : Tue Aug 2 12:06:56 2005 Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01

Ficheros INFO2
• Información sobre ficheros borrados • Se puede usar 'rifiuti' para extraer información • C:\Recycler\%USERSID%\INFO2

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Otras fuentes

Documentos recientes
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

 

Directorios temporales Caché navegador web
• Se puede usar 'pasco' para analizar • Cache y cookies • Browser history

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obtención de evidencia
Sistemas UNIX

Obteniendo información

uptime
• tiempo que lleva el sistema corriendo

uname -a
• tipo de OS y versión de kernel

date
• fecha y hora del sistema

fdisk -l
• mapa de particiones

lsof -itn
• muestra ficheros abiertos

netstat -nap
• muestra puertos abiertos

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información

pcat

ls -lit | sort memdump

• copia espacio de memoria de un proceso • muestra inodos por secuencia, permite buscar troyanos • volcado de memoria física • obtiene información sobre MAC de ficheros • identifica un fichero • muestra librerías dinámicas utilizadas por un binario • muestra cadenas ASCII en ficheros

mac-robber y mac-time file ldd

strings

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obteniendo información

gdb
• debugger

objdump
• muestra información sobre ficheros objeto

readelf
• muestra información sobre ficheros ELF

strace
• traza de llamadas al sistema

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

/proc

El directorio /proc en Linux contiene una representación de los procesos en ejecución El fichero en la carpeta /proc/<pid> es el binario del proceso
• ¡Aunque se haya borrado del disco después de lanzarlo!

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Otras fuentes
  

Ficheros log (/var/log) .bash_history Fichero swap

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Obtención de evidencia
Routers CISCO

Cisco Routers

Existen cientos de vulnerabilidades que afectan a routers Cisco
• Buscando "cisco router" en CVE aparecen unas 50

¿Por qué atacar un router?
• • • • • Deshabilitar la red, DoS Atacar otros routers Evitar firewalls, IDS, ... Interceptar tráfico Redireccionar tráfico

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Cisco Routers

Dos tipos de memoria
• Flash (persistente)
 

Configuración de arranque Ficheros sistema operativo IOS Configuración actual Tablas dinámicas (rutado, ARP, NAT, violaciones de ACLs, estadísticas, etc.)

• RAM (volátil)
 

Lo interesante está en la RAM

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Cisco Routers
 

No reiniciar el router Acceder siempre por consola Recoger información usando comandos "show" Capturar sesión de terminal
• no por red

• Casi todos los programas de terminal tienen esta función

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Cisco Routers
 

Información útil Si la contraseña ha cambiado y no podemos entrar, hay información que se puede conseguir por SNMP
• • snmpwalk –v1 Router.domain.com public snmpwalk –v1 Router.domain.com private Logs de syslog Traps SNMP enviadas a sistema de monitorización

Otra información
• •

Es buena política tener logs activados!

show show show show show show show show show show show show show show show show show show show

clock detail version running-config startup-config reload ip route ip arp users logging ip interface interfaces tcp brief all ip sockets ip nat translations verbose ip cache flow ip cef snmp user snmp group clock detail

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Análisis forense como servicio corporativo

Marco de trabajo

Soportado por Política de Seguridad corporativa Servicio forense como parte de procedimiento de Respuesta a Incidentes Roles, responsabilidades, y autoridad, tienen que estar muy definidos

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Equipo

Investigadores forenses
• Con experiencia, cualificaciones, y acceso a todas las herramientas y bases de datos • Número pequeño, dependiendo del tamaño de la organización y el número de casos procesados

Personal de respuesta a incidentes
• Pueden llevar a cabo las fases de verificación y obtención de evidencia

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Equipo - Otros

Administradores de sistema
• Aportan conocimiento de la infraestructura y podrían ser los únicos en tener acceso a sistemas (por política)

Departamentos legales y de RRHH
• Dependiendo del caso, puede ser útil o necesario involucrarlos en la investigación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Herramientas

Kit de recolección de evidencia

Análisis de imágenes de discos Recuperación de contraseñas Dispositivos móviles Esteganográfía
• Stego Suite • PDA Seizure • MOBILedit Forensics Edition

• Automatizado, que pueda ser usado por cualquiera • Multiplataforma • HELIX o similar • The Sleuth Kit + Autopsy Browser • EnCase • Advanced Password Recovery Software Toolkit

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Bases de datos

Base de datos de "hashes"
• Permite descartar ficheros conocidos • Cada sistema estándar y aplicación utilizado en la corporación debería estar registrado en la base de datos de hashes

Base de datos de casos y evidencia
• Que permita búsqueda fácil • ¿Cómo se resolvió aquél caso similar?

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Bases de datos

Base de datos de herramientas
• Toda herramienta debe ser probada

Metodología establecida de antemano

• Documentación de uso, resultados, e impacto en el sistema • Copia segura de la herramienta, con hashes de los ficheros en papel

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Infrastructura necesaria

Workstations de análisis forense Almacenamiento para imágenes

• Conectividad hardware de todo tipo (IDE, SCSI, Firewire, USB, SATA) • Dado que son ficheros grandes, la velocidad de lectura/escritura es fundamental (SAN por fibra, etc.) • Opcionalmente, sistemas de archivado digital

Almacenamiento físico para evidencia e informes CDs de herramientas de obtención de evidencias
• Caja fuerte, archivador con llave, sala de archivos • con instrucciones detalladas para que la obtención de evidencias la pueda hacer alguien no-cualificado de forma remota

EMC Centera, NetApp NearStore, etc.

Sistemas que alberguen las bases de datos comentadas anteriormente
Análisis Forense en la Corporación

Alfredo Reino http://www.areino.com/ areino@gmail.com

Areas de investigación futura
 

Análisis de imágenes de memoria Dispositivos móviles
• • • • • Teléfonos móviles PDAs y Blackberries Navegadores GPS Reproductores MP3 Cámaras digitales

Telefonía IP, VoIP

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Areas de investigación futura

Infrastructura forense distribuida
• Agentes instalados en todos los sistemas • Gestionados centralmente • Permite obtener datos de diferentes fuentes y correlacionarlos

Idea
• Uso de PXE Boot para reiniciar una máquina y que arranque con un entorno de obtención de evidencia

Alfredo Reino http://www.areino.com/ areino@gmail.com

Análisis Forense en la Corporación

Sign up to vote on this title
UsefulNot useful