PDF de programación - Análisis Forense Digital - Hackers & Seguridad

1

Análisis Forense Digital


LICENCIA



Copyright (c) 2.006 - 2.007 Miguel López Delgado.

Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2 or
any later version published by the Free Software Foundation; with no
Invariant Sections, no Front-Cover Texts being “Análisis Forense Digi-
tal”, and no Back-Cover Texts.

A copy of the license is included in the section entitled "GNU Free Do-
cumentation License".



El presente documento se distribuye bajo la licencia conocida como “GNU Free Documenta-
tion License”: http://www.gnu.org/copyleft/fdl.html.



Todos los nombres propios de programas, sistemas operativos, equipos hardware, etc., que
aparecen en este libro son marcas registradas por sus respectivos fabricantes, compañías u
organizaciones.





“Análisis Forense Digital”

Segunda Edición:
Primera Edición:



Autor:



Web:
e-mail:



Miguel López Delgado
Ingeniero Técnico Industrial
Experto Profesional en Seguridad Informática
www.codemaster.es
[email protected]



A mis hijos Manuel y Paula, por ser una
fuente constante de inspiración.



2

Análisis Forense Digital

Computer Forensics

Análisis Forense Digital



junio 2007, revisada y adaptada para su publicación en CriptoRed
junio 2.006





Análisis Forense Digital



3



1



Índice

Identificación del incidente: Búsqueda y recopilación de evidencias.

3

4
4
5
6
7
8

10

10
10
13
15
16
17
17
19
20
21
22
22
23
23

24

24

27

28

28

29
29
30
31

Descubrir las señales del ataque.
Recopilación de evidencias.

Preservación de la evidencia.
Análisis de la evidencia.

Antecedentes.
Conceptos y terminología.
Prevención de ataques a sistemas.
Preparación y respuesta ante incidentes.
Aspectos legales.

Preparación para el análisis: El entorno de trabajo.
Reconstrucción de la secuencia temporal del ataque.
Determinación de cómo se realizó el ataque.
Identificación del autor o autores del incidente.
Evaluación del impacto causado al sistema.


1.- Índice.

2.- Introducción.



3.- Fases de un Análisis Forense Digital.



4.- Herramientas para Análisis Forense Digital.



5.- Conclusiones.

6.- Bibliografía y referencias.

7.- URLs.

Apéndices.
A.1.- Esquema del proceso de respuesta a incidentes.
A.2.- Ejemplo de e-mail de notificación sobre incidentes a un ISP.
A.3.- Glosario de términos.



Utilización de formularios de registro del incidente.
El Informe Técnico.
El Informe Ejecutivo.

Software de Libre Distribución y Open Source.

Documentación del incidente.





Análisis Forense Digital



4


2


Introducción



Antecedentes

Un jueves por la tarde comienza a circular por Internet un nuevo “gusano”. Éste apro-

vecha una vulnerabilidad de Microsoft Windows XP que había sido publicada oficialmente un
par de semanas atrás y que se acompañó del correspondiente “parche”. Se conoce que el “gu-
sano” se extiende auto enviándose por e-mail usando todas las direcciones que encuentra en el
sistema infectado, además está programado para generar diferentes nombres de archivos ad-
juntos y sus extensiones pueden variar, al tiempo que elige entre un centenar de asuntos y
cuerpos de mensaje diferentes. Cuando el “gusano” infecta un sistema realiza una escalada de
privilegios hasta obtener derechos de Administrador, realizando entonces la descarga, desde
diferentes direcciones IP y vía FTP, de un agente para la ejecución de ataques de denegación
de servicio distribuido (DDoS). Aunque los fabricantes de software antivirus alertan inmedia-
tamente del “gusano” su expansión ha sido muy rápida y aún no se dispone de su firma. Su
organización ya ha sufrido una infección importante por la ejecución del “gusano” unas tres
horas antes de que dispusiese de la firma para su antivirus y este se encuentra activo en al-
gunos sistemas de su red.



Ante un escenario de este tipo, podríamos hacernos las siguientes preguntas:

¿Tiene su organización un equipo de respuesta a incidentes como parte de su política

¿Es capaz de identificar los sistemas infectados y proceder a su desconexión y recupe-

de seguridad?

ración?

¿Podría informar y justificar a sus empleados una anulación temporal de sus cuentas

de correo electrónico para su investigación?

Si el ataque DDoS está programado para atacar al servidor Web de otra organización,
por ejemplo a la mañana siguiente, ¿sería capaz de manejar una situación en la que di-
cha organización le pidiese responsabilidades tras detectar que el ataque se ha produ-
cido desde direcciones IP suyas?

Este tipo de situaciones no son ni mucho menos casos aislados o anecdóticos, según un es-
tudio realizado por McAfee, compañía centrada en soluciones de prevención de intrusiones y
de gestión de riesgos, revela el grado de desprotección de las organizaciones a la hora de ges-
tionar su seguridad. Casi la mitad (el 45 por ciento) de los 600 ejecutivos TI europeos perte-
necientes a compañías de más de 250 empleados encuestados durante el 2.005, afirmaron que
su infraestructura informática nunca está protegida al 100 por cien frente a las vulnerabilida-
des.


La inclusión en la política de seguridad de procedimientos capaces de recibir, analizar
y posteriormente responder a este tipo de incidentes, ya sean inminentes o en curso, se con-
vierte en un componente indispensable de la infraestructura de los sistemas informáticos de la





5

Análisis Forense Digital

organización, pues los ataques a dichos sistemas no sólo ha aumentado en número sino que
también lo han hecho en variedad y capacidad destructiva.

Veremos a lo largo del presente trabajo, como la aplicación de técnicas forenses al

análisis de sistemas proporciona una metodología adecuada en el proceso de respuesta ante
incidentes.

Conceptos y terminología


Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos,
unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir
y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la
Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar nuestra
investigación, ya sea criminal o no.


Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces
hablamos de Computer Forensics, o para nosotros Análisis Forense Digital. Esta disciplina
es relativamente nueva y se aplica tanto para la investigación de delitos “tradicionales”,
(homicidios, fraude financiero, narcotráfico, terrorismo, etc.), como para los propiamente re-
lacionados con las tecnologías de la información y las comunicaciones, entre los que destacan
piratería de software y comunicaciones, distribución de pornografía infantil, intrusiones y
“hacking” en organizaciones, spam, phishing, etc.


De manera más formal podemos definir el Análisis Forense Digital como un conjunto
de principios y técnicas que comprende el proceso de adquisición, conservación, documenta-
ción, análisis y presentación de evidencias digitales y que llegado el caso puedan ser acepta-
das legalmente en un proceso judicial. Por evidencia digital se entiende al conjunto de datos
en formato binario, esto es, comprende los ficheros, su contenido o referencias a éstos (meta-
datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.


tes fases, que serán desarrolladas con más detalle a lo largo deeste documento:



Por otro lado, hay que definir otro concepto importante, el de Incidente de Seguridad

Informática, pues éste ha evolucionado en los últimos tiempos. En principio un incidente de
este tipo se entendía como cualquier evento anómalo que pudiese afectar a la seguridad de la
información, como podría ser una pérdida de disponibilidad, su integridad o confidencialidad,
etc. Pero la aparición de nuevos tipos de incidentes ha hecho que este concepto haya ampliado
su definición. Actualmente un Incidente de Seguridad Informática puede considerarse co-
mo una violación o intento de violación de la política de seguridad, de la política de uso ade-
cuado o de las buenas prácticas de utilización de los sistemas informáticos.


1ª. Identificación del incidente.
2ª. Recopilación de evidencias.
3ª. Preservación de la evidencia.
4ª. Análisis de la evidencia.
5ª. Documentación y presentación de los resultados.

Dentro del Análisis Forense Digital (en adelante AFD), podemos destacar las siguien-





6

Análisis Forense Digital


Tras esta definición cabe ahora una categorización de dichos incidentes que nos aporte
una base para su valoración y nos de una visión de cómo afrontarlos. Aunque se han propues-
to varios tipos de clasificaciones sobre taxonomías de incidentes, no existe ningún consenso al
respecto y ni mucho menos sobre cual de ellas es la más acertada. La que se propone a conti-
nuación tiene la finalidad de ayudar a una mejor comprensión de apartados siguientes del do-
cumento:

Incidentes de Denegación de Servicios (DoS): Son un tipo de incidentes cuya finalidad es
obstaculizar, dañar o impedir el acceso a redes, sistemas o aplicaciones mediante el agota-
miento de sus recursos.

Incidentes de código malicioso: Cualquier tipo de código ya sea, virus, gusano, “caballo de
Troya”, que pueda ejecutarse en un sistema e infectarlo.

Incidentes de acceso no autorizado: Se produce cuando un usuario o aplicación accede, por
medio de hardware o software, sin los permisos adecuados a un si