Analisis Forense Busca De Evidencias

AnAnáálisis forense y herramientaslisis forense y herramientas

Módulo 1. Entendiendo el problema

Antonio Ramos / Jean Paúl García22008/2009


La auditoría forense o informática forense

Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológicas que permiten: identificar, preservar, analizar y presentar datos que sean válidos dentro de un “proceso legal”.

Se persigue la búsqueda de evidencias



Dichas técnicas incluyen:

• Reconstruir el bien informático.

• Examinar datos residuales.

• Autenticar datos.

• Explicar las características técnicas del uso aplicado a los datos y bienes informáticos.



El análisis forense informático será siempre un proceso reactivo que la organización acomete ante eventuales problemas de seguridad interna o externa.

En mucha ocasiones intentando que sus resultados “objetivos” tengan un valor legal como evidencias antes un tribunal.

Este proceso podrá o no podrá finalizar de este modo.



Razones por la cuales será necesario el análisis forense:

Sospechas de actos no autorizados dentro de la organización.Ataques contra los sistemas informáticos de la organización.Sustracción de información sensible o confidencial de la organización.Intentar probar autorías o no autorías ante una acusación.



Se analizarán las dos principales vertientes

1. Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias.

2. Análisis forense en sistemas telemáticosorientado a la detección de actividades no autorizadas.

Nota: tener en cuenta que aunque las herramientas utilizadas podrán variar de una a otra los pasos del proceso de análisis a seguir tienen la misma estructura y son requisitos de este.



Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias

El proceso es el siguiente:

- Identificación.

- Preservación.

- Recuperación y Análisis.

- Presentación de resultados objetivos.

- Destrucción segura del bien clonado (información).



IdentificaciónEs muy importante conocer los antecedentes,

situación actual y el proceso que se quiere seguir para tomar la mejor decisión a la hora de la búsqueda de información.

A su vez resulta crítico tener información sobre el equipo informático, posición y uso en la red a si como datos relativos a los problemas detectados que evidenciaron la necesidad de la auditoria forense.

En esta etapa debe quedar claro el procedimiento a seguir en función de los datos aportados.



PreservaciónEste paso incluye la revisión y generación de un

clonado bit a bit del dispositivo (imagen o cd ...) que vaya a ser estudiado.

Es imprescindible salvaguardar la integridad de los datos realizando una comprobación del checksum del original y de la copia creada.



Se deberá trabajar en todo momento sobre la copia.

Si es posible se trabajará de tal forma que no se modifique nada de la imagen creada.

El original deberá guardarse y permanecer bajo custodia.



Dentro de esta etapa se pueden definir los siguientes pasos:

1. Montaje del dispositivo.2. Obtener las particiones del dispositivo.3. Realizar la suma de verificación (checksum)

del dispositivo original objeto de la auditoria.4. Creación de una imagen para trabajar con ella

(clonado).5. Una vez realizado el clonado se comprobará el

checksum obtenido con el checksum del original.

Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso antes de saltar a la siguiente etapa.



Para la realización del clonado del dispositivo objeto del análisis forense, se podrá utilizar:

Software específico para la generación de clonados e imágenes.

Hardware específico desarrollado para el clonado de dispositivos.

Nota: Las diferencias pueden ser notables en tiempos empleados en realizar la operación, facilidad de uso y precio, aunque los resultados deben de ser los mismos.



RecuperaciónEn este paso se utilizarán distintas herramientas

diseñadas para la recuperación de datos borrados/perdidos en el dispositivo.

Se recomienda el utilizar más de una herramienta de manera de asegurar con las máximas garantías la recuperación de todo dato del dispositivo que pudiera ser accedido.



Es importante el número de herramientas comerciales y de código abierto disponibles para la recuperación de datos, siempre dependerá del tipo de formato del dispositivo a auditar y del gusto del auditor.

Entre ellas:EnCase (evaluada entre las mejores herramientas existentes por sus altas prestaciones).Sleunthkit con su entorno web Autopsy (Una posible alternativa de código libre a EnCase)OndataRecoverySoft.Herramientas para Webmailrecovery.Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel, etc.).



AnálisisProceso de aplicar técnicas científicas y analíticas

a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas.



Se pueden realizar búsquedas de:

Cadenas de caracteres, fechas, horarios, palabras clave, etc.Acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo).Búsqueda de archivos específicos.Recuperación e identificación de correos electrónicos.Recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.Búsquedas realmente avanzadas mediante el uso de scripting si se esta auditando desde un sistema Linux como puede ser Backtrack.

Todas estas operaciones se pueden realizar con comandos propios del sistema operativo GNU/Linux y están incluidas en los paquetes de software comercial.



También a la hora de hacer una auditoría forense uno de los recursos que nos va a dar información relevante y probablemente información crítica para nuestro trabajo son los ficheros de logs de los distintos sistemas operativos.

En sistemas Windows estos se pueden encontrar en “c:\windows\system32\config” .En sistemas *NIX los logs se pueden encontrar en “/var/log”.

Nota: También se comentará la importancia de los logs generados y guardados en servidores, dispositivos, servicios y bases de datos.



Presentación

Una vez obtenidas las evidencias ya sea de archivos del sistema o archivos recuperados se debe realizar un informe que cubra todo el proceso realizado explicando paso a paso lo acontecido y las pruebas encontradas así como la metodología utilizada.



Es importante que este informe no este cargado de tecnicismos y sea relativamente fácil de leer y entender por cualquier persona no especializada en informática, ya que los análisis forenses pueden terminar generando procesos judiciales en los que este informe será una pieza clave en su desarrollo.



Destrucción segura del bien clonado

Será primordial si el bien clonado no va a permanecer custodiado o no es demandado por la empresa en el proceso, su correcta destrucción y certificación de esta destrucción.



Fuentes para consulta y herramientas:

Helix Linux: distribución especializada en análisis forense www.e-fense.com/helix

Fire Linux: http://biatchux.dmzs.comThe Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.phpAutopsy Forensics Browser.

http://www.sleuthkit.org/autopsy/index.phpSysinternals web site. http://www.sysinternals.comFoundstone free forensic tools. http://www.founstone.comNational Software Referente Library. http://www.nsrl.nist.govHerramientas para manejar NTFS desde Linux. http://www.linux-

ntfs.org/doku.php?id=ntfsprogsY probablemente la URL mas importante http://www.google.com



Desarrollo práctico con los alumnos de algunas fases del proceso forense y uso de herramientas

Prueba de concepto

Analisis Forense Busca De Evidencias

Technology

Transcript of Analisis Forense Busca De Evidencias