Análisis Forense de un
Sistema Windows
3ª Jornada Tecnológica inFORMANdo
Ismael Valenzuela Espejo
Information Security Specialist
[email protected]
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Agenda
• Introducción al Análisis Forense
• Fases de una investigación
– Verificación
– Obtención
– Análisis
– Elaboración de informes y custodia de evidencias
• Obtención de evidencias en un sistema Windows
• Aspectos Legales
• Referencias
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Acerca de mí
•
Information Security Specialist en iSOFT, una
compañía del Grupo IBA Health
• Presente en 5 continentes
• Más de 3.500 empleados
• Responsabilidades
Investigaciones forenses / Log Analysis
• Respuesta ante incidentes
•
• Auditorías de seguridad / Pentests
• Diseño e implementación de políticas,
arquitecturas de seguridad, implementación
de ISO 27001, etc..
• Certified Information Systems Security Professional
(CISSP)
• Certified Information Security manager (CISM)
• SANS GIAC Certified Intrusion Analyst (GCIA)
• SANS GIAC Certified Forensic Analyst (GCFA)
•
•
• Miembro del SANS GIAC Advisory Board
•
IRCA accredited ISO 27001 Lead Auditor
ITIL Certified
Instructor de BSi en ISO 27001, ISO 20000 y BS 27999
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
Respuesta a Incidentes vs Análisis Forense
• Fases habituales de la Respuesta a
Incidentes:
– Planificar y preparar
– Detección del Incidente
– Contención y Respuesta
– Recuperación
– Análisis (post-mortem)
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
¡¡¡ ME HAN HACKEADO !!!
¿AHORA QUÉ?
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
Respuesta a Incidentes vs Análisis Forense
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• En “dos palabras”…
• “Forensic Computing is the
process of identifying, preserving,
analyzing and presenting digital
evidence in a manner that is legally
acceptable” (Rodney McKemmish
1999)
• Se basa en el principio “de
intercambio de Locard ”
• Edmun Locard (1877-1966), criminalista francés.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Principio de intercambio de LOCARD
– “siempre que dos objetos entran en contacto
transfieren parte del material que incorporan al
otro objeto”
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Una investigación forense consta de:
– Identificación de la evidencia (verificación)
– Obtención de la evidencia
– Análisis y evaluación de evidencias
– Presentación y almacenamiento de evidencias
•
Incluye los siguientes aspectos:
– IDENTIFICAR, PRESERVAR, ANALIZAR y PRESENTAR la
evidencia de manera adecuada.
– Debe realizarse siguiendo los estándares apropiados,
especialmente si los resultados tienen que poder admitirse en
un juicio.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Tipos de evidencias:
– Testimonio humano
– Tráfico de red
– Dispositivos de red
– Sistemas Operativos
– Bases de Datos
– Aplicaciones
– Periféricos
– Ficheros en discos internos, externos,
USB, CD-ROM, etc…
– Teléfonos
– Impresoras
– …¡TODO!
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Inicio
• Usuarios o personal de TI informan de un posible
incidente
– Cuentas bloqueadas, funcionamiento errático o incorrecto de
aplicaciones, ficheros desaparecidos, etc.
• Alerta generada por los sistemas de gestión de sistemas
– Disponibilidad de sistemas, espacio en disco, utilización CPU,
intentos de logon, conexiones anómalas, etc.
• Alerta generada por los sistemas de gestión de la
seguridad
– Firewall, IDS, Antivirus, etc.
• Por aviso de terceros
– Policía, prensa, competidores, etc.
• Por encargo directo
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Verificación - ¿Tienes TODA la información?
Aplicaciones
SO
Servidor
Sistemas Informatizados
Infraestructura de Sistemas
LAN / DMZ
Entorno Externo
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Verificación del incidente
• Los fraudes internos pueden implicar diferentes
elementos de un sistema:
– Múltiples Aplicaciones
– Sistemas relacionados
• Infraestructura de red (DNS, DHCP, routers, switches, ...)
• Sistemas de soporte (directorio, backup, monitorización)
– Múltiples hosts
• Clientes
• Front-end
• Middleware
• Back-end, Bases de datos
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
1. Sistema “muerto”
– Sin corriente
eléctrica
– Sistema apagado
– Disco Duro
– Discos Externos,
CD-ROMs,
disqueteras, etc...
2. Sistema “vivo”
– Con corriente
eléctrica
– Procesos en
ejecución
– Accesos a disco
– Dispositivos
removibles en
contínuo cambio
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• Respuesta inicial es
CRÍTICA
– Apagar el sistema a analizar
puede destruir evidencia crítica (en
Unix es posible recuperar
información del espacio swap).
– Los atacantes pueden aprovechar
las ventajas de la volatilidad de la
memoria (hay malware que solo se
ejecuta en memoria).
– El nivel de ocultación de datos
dependerá del nivel de acceso
conseguido y de la pericia del
atacante.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
+ volátil
Fases de una Investigación
Obtención de la evidencia
• Recabar conexiones de red y
desconectar de la red
• Adquirir procesos en ejecución y
memoria del Sistema
• Adquirir imágenes de discos
• Fotografías de hw y lugares
• Continuar verificación del incidente
• Logs, IDS, entrevistas, logs de
SO, aplicaciones, correlación,
etc...
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
- volátil
Fases de una Investigación
Obtención de la evidencia
• Información volátil importante:
– Hora y fecha del sistema
– Procesos en ejecución
– Conexiones de red
– Puertos abiertos y aplicaciones asociadas
– Usuarios logados en el sistema
– Contenidos de la memoria y ficheros swap o
pagefile
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• Nunca confíes en el sistema que se está
analizando. El atacante puede haberlo
comprometido.
• Las herramientas usadas para examinar un
sistema en marcha deben
– Ser copias "limpias" (en un CD)
• Copias de comandos de sistema
– Diferentes versiones de OS
– En Unix/Linux, "statically linked"
• Otras herramientas
– Usar el mínimo de recursos del propio sistema
– Alterar el sistema lo mínimo
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• Imágenes de un sistema “vivo”
– Uso de "dd" y "netcat" para enviar una copia
bit-a-bit a un sistema remoto
• Tanto Windows como Unix/Linux
– Para Windows puede ser más cómodo usar
HELIX
• http://www.e-fense.com/helix/
• Permite realizar imagen de la memoria física
– Una vez realizada la imagen se computa un
hash MD5 y SHA-1
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• Imágenes de un sistema apagado
– Extraer disco duro
– Si el disco tiene un jumper para "read-only" se puede usar
• si no, un "write blocker" por hardware es necesario (IDE/SATA/
SCSI/USB/Firewire/...)
– Conecta el disco a la workstation de análisis forense
• es recomendable que sea Linux (permite montar los discos
manualmente y en modo "read-only")
– Realiza copia con "dd"
• la imagen se puede guardar en discos externos Firewire/USB,
almacenamiento SAN, etc
– Por supuesto, hashes MD5 y SHA-1 de original y copia para
garantizar integridad
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• Fraude interno / Espionaje industrial
– Periodo de verificación previo, sin alertar al culpable
– Información sobre conexiones se obtiene de firewalls, IDS,
sniffers, etc
– Confiscación de hardware
– Obtención de imágenes de discos
• Intrusión Externa
– Desconectar red
– Obtener información volátil (memoria, registro, conexiones,
etc.)
– Verificar incidente (logs, IDS, firewalls, etc.)
– Obtención de imágenes de discos
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• Se puede desconectar siempre la red o la
alimentación en sistemas críticos?
– Coste de downtime vs. coste del incidente
– Coste de reinstalación y puesta en marcha
– Coste de revalidación, recertificación
• Es factible siempre el hacer imágenes de
todos los discos?
– Almacenamiento en SAN/NAS
– Configuraciones RAID
– Volúmenes de >200GB comunes (incluso TB)
– Distinción de disco físico y lógico cada vez menos
clara
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Obtención de la evidencia
• ¿Cómo se preserva la evidencia original?
– Si se puede parar el sistema y tenemos acceso
físico
• Se hacen dos copias de todos los disc
Comentarios de: Análisis Forense de un Sistema Windows (0)
No hay comentarios