PDF de programación - Análisis Forense de Sistemas GNU/Linux, Unix - Contribución Congreso Hispalinux

Análisis Forense de Sistemas

GNU/Linux, Unix - Contribución Congreso Hispalinux

Authors

David Dittrich

dittrich at cac dot washington dot edu

The Grugq

grugq at anti dash forensics dot com

Ervin Sarkisov

ervin dot sarkisov at hispalinux dot es

Resumen
Miles servidores corporativos están siendo comprometidos diariamente, Gbytes de

información privilegiada se transfieren cada día por los los canales de comunicación, las
corporaciones informan de miles y millones de pérdidas.

La mayoría de las investigaciones de casos similares, estén realizadas por parte de las
empresas especializadas o por parte de las agencias gubernamentales, precisan un estudio
forense previo para recoger todas las pruebas encontradas en los equipos y determinar los
factores claves para reconstruir los hechos transcurridos, antes, durante y a posteriori del
posible acceso no autorizado al sistema. Todo ese trabajo puede ser complicado por
múltiples razones, siendo una analogía directa la ciencia forense tradicional en los casos
criminales, dónde la escena del crimen es el servidor comprometido y cualquier
equivocación o descuido puede causar la pérdida de información vital que podría desvelar
algún hecho importante sobre el "la víctima", el "criminal", el "objetivo" o el "móvil".

Los intrusos permanentemente mejoran sus técnicas, sean de acceso, ocultación de

pruebas o de eliminación de huellas, siendo difícil, o en algunos casos imposible de
reconstruir el 100% de los eventos ocurridos. Los forenses de hace varios años tienen
dificultades adaptándose a las nuevas técnicas ya que no solo son necesarios los
conocimientos de la materia sino experiencia en campos que tienen bastante poco que ver
con la ciencia forense - ingeniería inversa, criptografía, programación en lenguajes de bajo
nivel.

Este artículo incluye descripción básica que permitirá al público
general conocer el alcance y supuestos de ciencia informática
forense, sus técnicas que podrán ser presentadas mejor a partir de
un caso práctico de investigación. También estarán cubiertos temas
como protección / des-protección de binarios cifrados bajo
GNU/Linux, técnicas de realización de copias de seguridad byte por
byte, sistemas de ficheros loopback y utilización de la herramienta
universal del investigador forense informático TCT.

Tabla de Contenidos

1. Resumen del Whitepaper………………………………………………………………………………………
2. Introducción …………………………………………………………………………………………………………
a. Objetivos …………………………………………………………………………………………………
b. Alcance y Supuestos ………………………………………………………………………………
c. Indicaciones ……………………………………………………………………………………………
d. Equipo Necesario ……………………………………………………………………………………
3. Objetivos Tácticos/Estratégicos …………………………………………………………………………
4. Congelación de la Escena del Crimen …………………………………………………………………
5. Problemas con Recolección de Información ………………………………………………………
6. Almacenamiento de Pruebas ………………………………………………………………………………
7. Preparación para el Análisis ………………………………………………………………………………
8. Análisis con Herramientas Estándares de Unix …………………………………………………
9. The Coroner's Toolkit …………………………………………………………………………………………
10. Usando TCT ………………………………………………………………………………………………………
11. Ejemplo de Informe de Pruebas Encontradas …………………………………………………

3
4
4
4
5
6
7
8
10
11
12
19
27
28
31

A. Apéndice A - Métodos de Protección de Binarios

45
a. Introducción ……………………………………………………………………………………………
45
b. Métodos de Protección ……………………………………………………………………………
B. Apéndice B - Sistema de Ficheros Loopback de Linux ……………………………………
49
C. Apéndice C - Anti-Forensics: Teoría de Evasión Forense ………………………………
51
52
a. Introducción ……………………………………………………………………………………………
53
b. Resumen Sistema de Ficheros ext2fs ……………………………………………………
c. Organización de ext2fs ……………………………………………………………………………
55
d. Técnicas de Evasión ………………………………………………………………………………… 64
65
e. Herramientas Evasivas ……………………………………………………………………………
65
f. RuneFS Tool ……………………………………………………………………………………………
1. The Defilers Toolkit ……………………………………………………………………
67
Necrofile Tool ………………………………………………………………
68
Klismafile Tool ……………………………………………………………… 71

Referencias………………………………………………………………………………………………………………… 74
Agradecimientos………………………………………………………………………………………………………………
76
Copyleft……………………………………………………………………………………………………………………………… 76



2



1. Resumen del Whitepaper

Miles servidores corporativos están siendo comprometidos diariamente, Gbytes de

información privilegiada se transfieren cada día por los los canales de comunicación, las
corporaciones informan de miles y millones de pérdidas.

La mayoría de las investigaciones de casos similares, estén realizadas por parte de las
empresas especializadas o por parte de las agencias gubernamentales, precisan un estudio
forense previo para recoger todas las pruebas encontradas en los equipos y determinar los
factores claves y reconstruir los hechos transcurridos, antes, durante y a posteriori del
posible compromiso.

Todo ese trabajo puede ser complicado por múltiples factores, siendo una analogía

directa la ciencia forense tradicional en los casos criminales, dónde la escena del crimen es
el servidor comprometido y cualquier equivocación o descuido pueden causar la pérdida de
información vital que podría desvelar algún hecho importante sobre el "la víctima", el
"criminal", el "objetivo" o el "móvil".

Los intrusos permanentemente mejoran sus técnicas, sean de acceso, ocultación de

pruebas o de eliminación de huellas, siendo difícil, o en algunos casos imposible de
reconstruir el 100% de los eventos ocurridos. Los forenses de hace varios años tienen
dificultades adaptándose a las nuevas técnicas ya que no solo son necesarios los
conocimientos de la materia sino experiencia en campos que tienen bastante poco que ver
con la ciencia forense - ingeniería inversa, criptografía, programación en lenguajes de bajo
nivel.

El 'white paper' incluye descripción básica que permitirá al público general conocer el

alcance y supuestos de ciencia informática forense, sus técnicas que podrán ser
presentados mejor a partir de un caso práctico de investigación. También estarán
cubiertas temas como protección / des-protección de binarios cifrados bajo GNU/Linux,
técnicas de realización de copias de seguridad byte por byte, y sistemas de ficheros
loopback y utilización de la herramienta universal del investigador forense informático TCT.



3



2. Introducción

La ciencia forense es metódica y se basa en acciones premeditadas para reunir

pruebas y analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos,
son aplicaciones que hacen un papel importante en reunir la información y pruebas
necesarias. La escena del crimen es el ordenador y la red a la cual éste está conectado.



a. Objetivos

El objetivo de un análisis forense informático es realizar un proceso de búsqueda
detallada para reconstruir a través de todos los medios el log de acontecimientos que
tuvieron lugar desde el momento cuando el sistema estuvo en su estado integro hasta el
momento de detección de un compromiso.

Esa tarea debe ser llevada acabo con máxima cautela, asegurándose que se conserva

intacta, a la mayor medida posible, la información contenida en el disco de un sistema
comprometido, de forma similar que los investigadores policiales intentan mantener la
escena del crimen intacta, hasta que se recogen todas las pruebas posibles.

El trabajo de un investigador forense es necesario para ofrecer un punto de partida

fundamental para que los investigadores policiales, ofreciéndoles pistas sólidas, así como
pruebas para su utilización posterior.



b. Alcance y Supuestos

Cada uno de los incidentes es único, por lo tanto, la involucraron de un investigador

forense externo es diferente en cada caso. Algunas veces el trabajo puede estar limitado a
colaborar con las agencias del gobierno como Departamento de Delitos Telemáticos de
Guardia Civil y/o Brigada Investigación Tecnológica, proporcionándoles el equipo íntegro
para que sea analizado en sus instalaciones y por sus expertos.

Otras veces será necesario previamente realizar una recolección de información del

sistema informático: analizar ficheros log, estudiar el sistema de ficheros (FS) del equipo
comprometido y reconstruir la secuencia de eventos para tener una imagen clara y global
del incidente.

El análisis termina cuando el forense tiene conocimiento de como se produjo el

compromiso (1), bajo que circunstancias (2), la identidad de posible/s atacador/es (3), su
procedencia y origen (4), fechas de compromiso (5), objetivos del/los atacador/es (6) así
como, cuando ha sido reconstruida completamente la línea temporal de los eventos (7).
Cuando un investigador forense empieza el análisis de la situación nunca sabe con lo

que va a enfrentarse. Al principio puede ser que no encuentre a simple vista ninguna
huella ni prueba de que el equipo ha sido comprometido, especialmente si hay un "rootkit"
[1] instalado en la máquina. Puede encontrar procesos extraños ejecutándose con puertos
abiertos. También es frecuente que vea una partición ocupada 100% de su capacidad,
pero cuando la verifica a través de du, el sistema muestra otro porcentaje de ocupación.
Puede encontrar una saturación de tráfico de red desde un host específico. Es posible
encontrar aplicaciones que están consumiendo un porcentaje elevado de del CPU pero no
haya ningún indicio de un programa con ese nombre en el sistema de ficheros.



4

Los pasos para empezar la investigación de un incidente son diferentes en cada caso.

El investigador debe tomar decisiones basándose en su experiencia y el "sexto sentido"
para llegar al fondo del asunto. No es necesario seguir pasos determinados, ni su orden es
importante a veces.

Puede que algunos pa