PDF de programación - Análisis Forense de Sistemas GNU/Linux, Unix

Análisis Forense de Sistemas

GNU/Linux, Unix

David Dittrich

[email protected]

Ervin Sarkisov

[email protected]

Copyright David Dittrich, Ervin Sarkisov. Se otorga permiso para copiar, distribuir y/o modificar este documento bajo
los términos de la Licencia de Documentación Libre GNU, Versión 1.1 o cualquier otra versión posterior publicada
por la Free Software Foundation. Puede consultar una copia de la licencia en: http://www.gnu.org/copyleft/fdl.html

Miles servidores corporativos están siendo comprometidos diariamente, Gbytes de información privilegiada se
transfieren cada día por los los canales de comunicación, las corporaciones informan de miles y millones de pérdidas.

La mayoría de las investigaciones de casos similares, estén realizadas por parte de las empresas especializadas o por
parte de las agencias gubernamentales, precisan un estudio forense previo para recoger todas las pruebas encontradas
en los equipos y determinar los factores claves para reconstruir los hechos transcurridos, antes, durante y a posteriori
del posible acceso no autorizado al sistema. Todo ese trabajo puede ser complicado por múltiples razones, siendo
una analogía directa la ciencia forense tradicional en los casos criminales, dónde la escena del crimen es el servidor
comprometido y cualquier equivocación o descuido puede causar la pérdida de información vital que podría desvelar
algún hecho importante sobre el "la víctima", el "criminal", el "objetivo" o el "móvil".

Los intrusos permanentemente mejoran sus técnicas, sean de acceso, ocultación de pruebas o de eliminación de huellas,
siendo difícil, o en algunos casos imposible de reconstruir el 100% de los eventos ocurridos. Los forenses de hace
varios años tienen dificultades adaptándose a las nuevas técnicas ya que no solo son necesarios los conocimientos de
la materia sino experiencia en campos que tienen bastante poco que ver con la ciencia forense - ingeniería inversa,
criptografía, programación en lenguajes de bajo nivel.

Este artículo incluye descripción básica que permitirá al público general conocer el alcance y supuestos de ciencia
informática forense, sus técnicas que podrán ser presentadas mejor a partir de un caso práctico de investigación.
También estarán cubiertos temas como protección / des-protección de binarios cifrados bajo GNU/Linux, técnicas
de realización de copias de seguridad byte por byte, sistemas de ficheros loopback y utilización de la herramienta
universal del investigador forense informático TCT.

Tabla de contenidos

1

1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Organización del Documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2. Objetivos
1.3. Alcance y Supuestos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.4. Indicaciones
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.5. Equipo Necesario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2. Objetivos Tácticos/Estratégicos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3. Congelación de la Escena del Crimen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
4. Problemas con Recolección de Información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5. Almacenamiento de Pruebas
6. Preparación para el Análisis
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7. Análisis con Herramientas Estándar de Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
8. The Coroner’s Toolkit
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
9. Usando TCT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
10. Ejemplo de Informe de Pruebas Encontradas
11. Apéndice A - Métodos de Protección de Binarios
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
11.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
11.2. Métodos de Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
12. Apéndice B - Sistema de Ficheros Loopback de Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

13. Referencias
14. Agradecimientos

12.1. Conclusiones

1. Introducción

La ciencia forense es metódica y se basa en acciones premeditadas para reunir pruebas y analizarlas. La tecnología,
en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel importante en reunir la
información y pruebas necesarias. La escena del crimen es el ordenador y la red a la cual éste está conectado.

1.1. Organización del Documento

El documento pretende dar una vista global del trabajo de los analístas forenses en los entornos GNU/Linux y
iniciar a los administradores de sistemas en el mundo de ciencia forense informática a través de conceptos teóricos,
procedimientos pre-establecidos de tratamiento de información y casos prácticos. El documento también indica la
manera de montar un laboratorio forense, el equipo necesario, configuración de hardware y de software.

A lo largo del trayecto trazado por este whitepaper se dará a conocer la problemática de algunos aspectos del análisis
como congelación de la escena del crimen, preparación y análisis a través de herramientas comúnes de GNU/Linux y
con utilidades específicas como TCT, TASK, etc. Se mencionarán técnicas de duplicación de sistema de ficheros y su
montura en loopback y análisis.

2

Teniendo en cuenta que cada día los intrusos utilizan técnicas más y más avanzadas de protección de sus herramientas,
también cubriremos el tema de ocultación de propósito de los binarios ELF a través de cifrado y ofuscación con
Burneye y/o otras utilidades.

1.2. Objetivos

El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada para reconstruir a través
de todos los medios el log de acontecimientos que tuvieron lugar desde el momento cuando el sistema estuvo en su
estado integro hasta el momento de detección de un acceso no autorizado.

Esa tarea debe ser llevada acabo con máxima cautela, asegurándose que se conserva intacta, a la mayor medida posible,
la información contenida en el disco de un sistema comprometido, de forma similar que los investigadores policiales
intentan mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles.

El trabajo de un investigador forense es necesario para ofrecer un punto de partida fundamental para los investigadores
policiales, ofreciéndoles pistas sólidas, así como pruebas para su uso posterior.

1.3. Alcance y Supuestos

Cada uno de los incidentes es único, por lo tanto, la involucraron de un investigador forense externo es diferente en
cada caso. Algunas veces el trabajo puede estar limitado a colaborar con las agencias del gobierno como Departamento
de Delitos Telemáticos de Guardia Civil y/o Brigada Investigación Tecnológica, proporcionándoles el equipo íntegro
para que sea analizado en sus instalaciones y por sus expertos.

Otras veces será necesario previamente realizar una recolección de información del sistema informático: analizar
ficheros log, estudiar el sistema de ficheros (FS) del equipo comprometido y reconstruir la secuencia de eventos para
tener una imagen clara y global del incidente.

El análisis termina cuando el forense tiene conocimiento de como se produjo el compromiso (1), bajo que circunstan-
cias (2), la identidad de posible/s atacador/es (3), su procedencia y origen (4), fechas de compromiso (5), objetivos
del/los atacador/es (6) así como, cuando ha sido reconstruida completamente la secuencia temporal de los eventos (7).

Cuando un investigador forense empieza el análisis de la situación nunca sabe con lo que va a enfrentarse. Al principio
puede ser que no encuentre a simple vista ninguna huella ni prueba de que el equipo ha sido violado, especialmente
si hay un "rootkit" [1] instalado en la máquina. Puede encontrar procesos extraños ejecutándose con puertos abiertos.
También es frecuente que vea una partición oc