AUDITORIA DE AUDITORIA DE INFORMATICA FORENSEINFORMATICA FORENSE

Pedro CacivioPedro Cacivio

ÍndiceÍndice

• Objetivos.Objetivos.• Definición de Informática ForenseDefinición de Informática Forense• ProblemáticaProblemática• Definiendo los ambientesDefiniendo los ambientes• Congelando la escena del crimenCongelando la escena del crimen• Obtención de los datosObtención de los datos• Análisis del materialAnálisis del material• Análisis ForenseAnálisis Forense

• La informática forense: no es otra cosa que La informática forense: no es otra cosa que la recopilación de información en un sistema la recopilación de información en un sistema informático, la cual tiene como finalidad el informático, la cual tiene como finalidad el esclarecimiento de un suceso.esclarecimiento de un suceso.

• Esta compromete tanto al hardware como al Esta compromete tanto al hardware como al software, y estructuras como topologías de software, y estructuras como topologías de red y el ambiente en donde se desarrolla.red y el ambiente en donde se desarrolla.

• Para la misma nos valemos de distintas Para la misma nos valemos de distintas herramientas, siendo sin duda la mas herramientas, siendo sin duda la mas importante el conocimiento y le experiencia importante el conocimiento y le experiencia que tengamos como auditores de seguridad, que tengamos como auditores de seguridad, ethical hacker o asesor de seguridad ethical hacker o asesor de seguridad informática.informática.

Puntos a Tener en cuentaPuntos a Tener en cuenta

• Tener un panorama claro de por que Tener un panorama claro de por que estamos auditando.estamos auditando.

• Mantener la escena del crimen lo mas Mantener la escena del crimen lo mas inalterable posible.inalterable posible.

• Tomar todos los recaudos necesarios para Tomar todos los recaudos necesarios para manipular la información.manipular la información.

• De ser posible una vez congelado el De ser posible una vez congelado el ambiente, trabajar en nuestro laboratorio ambiente, trabajar en nuestro laboratorio forense y nunca en el lugar de los hechos.forense y nunca en el lugar de los hechos.

• El trabajo de un investigador forense es El trabajo de un investigador forense es necesario para ofrecer un punto de partida necesario para ofrecer un punto de partida fundamental para los investigadores fundamental para los investigadores policiales, ofreciéndoles pistas sólidas, así policiales, ofreciéndoles pistas sólidas, así como pruebas para su uso posterior.como pruebas para su uso posterior.

Escenarios Posibles de Escenarios Posibles de IntruciónIntruciónDetectar un ataque informáticoDetectar un ataque informático..1- Objetivo de los atacantes.1- Objetivo de los atacantes.2- Método de ataque y posibles fallas 2- Método de ataque y posibles fallas explotadas.explotadas.3- Acciones cometidas en caso de un acceso.3- Acciones cometidas en caso de un acceso.4- Modificación de registros y plantado de rootkit 4- Modificación de registros y plantado de rootkit o programas espías, keyloguer, sniffer, script, etc.o programas espías, keyloguer, sniffer, script, etc.5- Daños ocasionados según el acceso y posibles 5- Daños ocasionados según el acceso y posibles instrucciones por puertas traseras.instrucciones por puertas traseras.6- Daños colaterales6- Daños colaterales7- Daños económicos, robo de información 7- Daños económicos, robo de información espionaje informático, acciones ilícitas, maquinas espionaje informático, acciones ilícitas, maquinas zombis, ataques a otras partes de la red, etc.zombis, ataques a otras partes de la red, etc.

Escenario Posible de Borrados Escenario Posible de Borrados de Datosde Datos

• Lugar donde fueron borrados los datosLugar donde fueron borrados los datos• Que tipo de datos fueron borrados o Que tipo de datos fueron borrados o

adulteradosadulterados• Quien produjo la acción y que objetivos Quien produjo la acción y que objetivos

persiguepersigue• Métodos usados para el Borrado de informaciónMétodos usados para el Borrado de información• Tiempo en que se produjo el borrado o Tiempo en que se produjo el borrado o

adulteración de los mismos.adulteración de los mismos.• Posible recuperación de los mismo en caso de Posible recuperación de los mismo en caso de

que sea factible.que sea factible.• Daños Ocasionados y Daños colaterales.Daños Ocasionados y Daños colaterales.• Problemas Legales Problemas Legales

Otros puntos a tener en cuenta según nuestra experiencia

Que no debe hacer el auditor forense:

A- Auditar el sistema para presentar formas de intrusión (¿confuso no?)

B- No garantiza la seguridad de los sistemas

C- No garantiza la captura de los atacantes

D- No garantiza la recuperación de la información

E- Se manejara con hipótesis lógicas y comprobables

F- Nunca dará por supuesto lo ocurrido

Congelando el Escenario• Hay que lograr no realizar ninguna modificación

de los hechos.• Determinar el área de impacto• Hacer imagen por triplicado de los discos

afectados• De ser posible dejar los discos originales fuera

del servicio, lo mismo con los posibles afectados.

• Revisar todo el hardware y sus accesos físicos.• Tomar registros de toda la topología de red, log

de routers, tablas ARP, sistemas IDS y Firewalls, etc.

• Y que pasa con la intrusión Física?• Live CD• Ophcrack• Backtrack• Wifislax• Knoppix• Ubuntu• Hacking9• RIPLinux• Pmagic• Cualquier distro Live CD o pendriver boot

Herramientas que usaremos • Comandos de la Shell de GNU-Linux• RIPLinux : Live CD para recuperar datos en

GNU-linux• Pmagic: Live CD para recuperación de datos en

GNU-Linux• Sleuthkit: Colección de líneas de comandos

básicos de Unix y herramientas de análisis que te dan la posibilidad de analizar archivos NTFS, FAT, FFS, EXT2FS y EXT3FS

• Chkrootkit: detector de rootkits en GNU-linux• Ree: (ROM extensión extractor) escanea tu

memoria (/dev/mem) en busca de extensiones ROM, y las transforma en archivos. Las extensiones ROM son las de la BIOS que residen en el chip de tu ordenador

• FireCat: Extensión de seguridad para FirefoxFireCat: Extensión de seguridad para Firefox• Rda: Herramienta forense para adquirir datos Rda: Herramienta forense para adquirir datos

remotamenteremotamente• Mac-Robber: obtiene los tiempos de Mac-Robber: obtiene los tiempos de

modificación, acceso y creación de una serie de modificación, acceso y creación de una serie de archivos para realizar análisis forense.archivos para realizar análisis forense.

• Testdisk: Herramientas para chequear y Testdisk: Herramientas para chequear y recuperar particiones del tipo: FAT12 FAT16 recuperar particiones del tipo: FAT12 FAT16 FAT32 - Linux - Linux SWAP (version 1 and 2) - FAT32 - Linux - Linux SWAP (version 1 and 2) - NTFS (Windows NT) - BeFS (BeOS) - UFS (BSD) - NTFS (Windows NT) - BeFS (BeOS) - UFS (BSD) - Netware – ReiserFSNetware – ReiserFS

• Autopsy: Herramienta grafica para recuperar Autopsy: Herramienta grafica para recuperar archivos .archivos .

• Snare: Poderoso sistema de análisis y de Snare: Poderoso sistema de análisis y de ejecución de informes de intrusiónejecución de informes de intrusión

• Fatback : recuperador de particiones FATFatback : recuperador de particiones FAT• Fenris: simplifica la búsqueda de bugs y las Fenris: simplifica la búsqueda de bugs y las

auditorías de seguridadauditorías de seguridad• Aide: Te indica si hay archivos modificados Aide: Te indica si hay archivos modificados

y cuáles son. Se usa mucho en honey pots y cuáles son. Se usa mucho en honey pots (sitios aparentemente más frágiles ante (sitios aparentemente más frágiles ante invasiones, que captan la atención de los invasiones, que captan la atención de los hackers, y que son en realidad una trampa hackers, y que son en realidad una trampa para atraparlos)para atraparlos)

• Di: Muestra todo lo que tu comando hace e Di: Muestra todo lo que tu comando hace e informa de la capacidad del disco en el informa de la capacidad del disco en el formato que quierasformato que quieras

• Memfetch: Utilidad para descargar la Memfetch: Utilidad para descargar la memoria sin comprometer elmemoria sin comprometer el funcionamiento de la máquina.

• El proceso: ser proactivoEl proceso: ser proactivo• Políticas de seguridadPolíticas de seguridad• Plan de respuesta para incidentes de seguridadPlan de respuesta para incidentes de seguridad• Plan de informática forensePlan de informática forense• Plan para detección de incidentesPlan para detección de incidentes• Determinar equipo con recursos y autoridad para actuarDeterminar equipo con recursos y autoridad para actuar• Implementar procedimientos para diferentes situaciones y Implementar procedimientos para diferentes situaciones y

amenazasamenazas• Con regularidad revisar políticas y procedimientosCon regularidad revisar políticas y procedimientos• Proteger Preservar NotificarProteger Preservar Notificar• SistemasSistemas• InformaciónInformación• Contener intrusiónContener intrusión• Sistemas y logs aceptablemente legal Sistemas y logs aceptablemente legal • A tu CERTA tu CERT• AdministraciónAdministración• CERTCERT• Cuerpo PolicialCuerpo Policial

¿Preguntas?¿Preguntas?