AUDITORIA DE INFORMATICA FORENSE Pedro Cacivio
Índice • • • • • • • •
Objetivos. Definición de Informática Forense Problemática Definiendo los ambientes Congelando la escena del crimen Obtención de los datos Análisis del material Análisis Forense
• La informática forense: no es otra cosa que la recopilación de información en un sistema informático, la cual tiene como finalidad el esclarecimiento de un suceso. • Esta compromete tanto al hardware como al software, y estructuras como topologías de red y el ambiente en donde se desarrolla. • Para la misma nos valemos de distintas herramientas, siendo sin duda la mas importante el conocimiento y le experiencia que tengamos como auditores de seguridad, ethical hacker o asesor de seguridad informática.
Puntos a Tener en cuenta • Tener un panorama claro de por que estamos auditando. • Mantener la escena del crimen lo mas inalterable posible. • Tomar todos los recaudos necesarios para manipular la información. • De ser posible una vez congelado el ambiente, trabajar en nuestro laboratorio forense y nunca en el lugar de los hechos. • El trabajo de un investigador forense es necesario para ofrecer un punto de partida fundamental para los investigadores policiales, ofreciéndoles pistas sólidas, así como pruebas para su uso posterior.
Escenarios Posibles de Intrución
Detectar un ataque informático.
1- Objetivo de los atacantes. 2- Método de ataque y posibles fallas explotadas. 3- Acciones cometidas en caso de un acceso. 4- Modificación de registros y plantado de rootkit o programas espías, keyloguer, sniffer, script, etc. 5- Daños ocasionados según el acceso y posibles instrucciones por puertas traseras. 6- Daños colaterales 7- Daños económicos, robo de información espionaje informático, acciones ilícitas, maquinas zombis, ataques a otras partes de la red, etc.
Escenario Posible de Borrados de Datos • Lugar donde fueron borrados los datos • Que tipo de datos fueron borrados o adulterados • Quien produjo la acción y que objetivos persigue • Métodos usados para el Borrado de información • Tiempo en que se produjo el borrado o adulteración de los mismos. • Posible recuperación de los mismo en caso de que sea factible. • Daños Ocasionados y Daños colaterales. • Problemas Legales
Otros puntos a tener en cuenta según nuestra experiencia Que no debe hacer el auditor forense: A- Auditar el sistema para presentar formas de intrusión (¿confuso no?) B- No garantiza la seguridad de los sistemas C- No garantiza la captura de los atacantes D- No garantiza la recuperación de la información E- Se manejara con hipótesis lógicas y comprobables F- Nunca dará por supuesto lo ocurrido
Congelando el Escenario • Hay que lograr no realizar ninguna modificación de los hechos. • Determinar el área de impacto • Hacer imagen por triplicado de los discos afectados • De ser posible dejar los discos originales fuera del servicio, lo mismo con los posibles afectados. • Revisar todo el hardware y sus accesos físicos. • Tomar registros de toda la topología de red, log de routers, tablas ARP, sistemas IDS y Firewalls, etc.
• • • • • • • • • • •
Y que pasa con la intrusión Física? Live CD Ophcrack Backtrack Wifislax Knoppix Ubuntu Hacking9 RIPLinux Pmagic Cualquier distro Live CD o pendriver boot
Herramientas que usaremos • Comandos de la Shell de GNU-Linux • RIPLinux : Live CD para recuperar datos en GNU-linux • Pmagic: Live CD para recuperación de datos en GNU-Linux • Sleuthkit: Colección de líneas de comandos básicos de Unix y herramientas de análisis que te dan la posibilidad de analizar archivos NTFS, FAT, FFS, EXT2FS y EXT3FS • Chkrootkit: detector de rootkits en GNU-linux • Ree: (ROM extensión extractor) escanea tu memoria (/dev/mem) en busca de extensiones ROM, y las transforma en archivos. Las extensiones ROM son las de la BIOS que residen en el chip de tu ordenador
• FireCat: Extensión de seguridad para Firefox • Rda: Herramienta forense para adquirir datos remotamente • Mac-Robber: obtiene los tiempos de modificación, acceso y creación de una serie de archivos para realizar análisis forense. • Testdisk: Herramientas para chequear y recuperar particiones del tipo: FAT12 FAT16 FAT32 - Linux - Linux SWAP (version 1 and 2) NTFS (Windows NT) - BeFS (BeOS) - UFS (BSD) Netware – ReiserFS • Autopsy: Herramienta grafica para recuperar archivos . • Snare: Poderoso sistema de análisis y de ejecución de informes de intrusión
• Fatback : recuperador de particiones FAT • Fenris: simplifica la búsqueda de bugs y las auditorías de seguridad • Aide: Te indica si hay archivos modificados y cuáles son. Se usa mucho en honey pots (sitios aparentemente más frágiles ante invasiones, que captan la atención de los hackers, y que son en realidad una trampa para atraparlos) • Di: Muestra todo lo que tu comando hace e informa de la capacidad del disco en el formato que quieras • Memfetch: Utilidad para descargar la memoria sin comprometer el
• • • • • • • • • • • • • • • • •
El proceso: ser proactivo Políticas de seguridad Plan de respuesta para incidentes de seguridad Plan de informática forense Plan para detección de incidentes Determinar equipo con recursos y autoridad para actuar Implementar procedimientos para diferentes situaciones y amenazas Con regularidad revisar políticas y procedimientos Proteger Preservar Notificar Sistemas Información Contener intrusión Sistemas y logs aceptablemente legal A tu CERT Administración CERT Cuerpo Policial
¿Preguntas?