curso de analisis forense 2005 - artica.es · que es un ids y como funciona. snort realsecure man...
TRANSCRIPT
Curso de Analisis Forense 2005
1.0 - Introducción al Análisis Forense.
1.1 - Qué es y que no es.
1.2 - Características.
1.3 - Qué se necesita.
Introducción
2
Curso de Analisis Forense 2005
2.0 - Conceptos y enfoque inicial.
2.1 - Cuándo se necesita un Análisis Forense.
2.2 - Problemas del Análisis Forense.
2.3 - Reconstrucción de los hechos.
2.4 - Otras respuestas además del Análisis Forense.
Introducción
3
Curso de Analisis Forense 2005
3.0 - Técnicas generales de Análisis Forense
3.1 - Pasos previos. Principio de incertidumbre3.2 - Cadena de confianza3.3 - Organización y procedimientos iniciales3.4 - Trampas al Analista Forense3.5 - Identificación de las fuentes de datos3.6 - Creación de una "Time-line"3.7 - Clasificación de las evidencias3.8 - Protección de las evidencias
Introducción
4
Curso de Analisis Forense 2005
4.0 Técnicas de análisis de disco
4.1 - Análisis de archivos en imágenes de disco4.2 - Análisis de logs y registros de aplicaciones4.3 - Análisis de volcados (dump) y memoria swap4.4 - Análisis de archivos borrados4.5 - Ocultación de datos en archivos.4.5.1 - Steganografía4.5.2 - Particiones y otras posibilidades4.6 - Cifrado de archivos y sistemas de archivos4.7 - LABORATORIO 1 - Análisis de disco.
Introducción
5
Curso de Analisis Forense 2005
5.0 - Técnicas de análisis de red
5.1 - Capturas raw5.2 - Capturas filtradas5.3 - IDS5.4 - Honeypots5.5 - LABORATORIO 2 - Análisis de red.
Introducción
6
Curso de Analisis Forense 2005
6.0 - Técnicas de análisis en otros sistemas
6.1 - Accesos en servidores de autenticacion
6.2 - Accesos via proxy, caché y similares
6.3 - Rastreo de IP
Introducción
7
Curso de Analisis Forense 2005
7.0 - Técnicas de análisis de binarios
7.1 - Búsqueda de cadenas7.2 - Rastreo en red7.3 - Rastreo de llamadas al sistema7.4 - Decompilación7.5 - Desemsamblado7.6 - LABORATORIO 3 - Análisis de binarios
Introducción
8
Curso de Analisis Forense 2005
Qué es el análisis forense
Parte 1 - Introducción
9
“La recolección y el análisis de datos hecha de manera que no se alteren los datos originales y que permita la fiel reconstrucción de lo que ha sucedido en un sistema”
Qué NO es el análisis forense
- Poner trampas, engañar o perseguir a la gente.- Identificar autores de incidentes.- Tratar con las compañias, los medios de comunicacion.- Cualquier otra cosa qe no sea estrictamente técnica.- “Rebuscar” de cualquier manera en una fuente de datos.
Curso de Analisis Forense 2005
Características
✔ Los sistemas son muy complejos: necesidad de adaptacion y
reciclaje técnico veloz.
✔ Las cosas se pueden ocultar de infinitas maneras.
✔ No existe software para todo.
✔ El conocimiento y la experiencia son muy importantes.
✔ El análisis es muy lento.
Parte 1 - Introduccion
10
Curso de Analisis Forense 2005
Qué se requiere
✔ Capacidad técnica.✔ Conocer las implicaciones técnicas de tus acciones.✔ Conocer cómo se puede manipular la información.✔ Etica profesional.✔ Inteligencia, mente abierta e intuición.✔ Formación contínua.
Parte 1 - Introduccion
11
Curso de Analisis Forense 2005
Cuándo se necesita un Análisis Forense
Procesos judiciales• Recuperacion de evidencias
Casos de pirateria, pederastia, robo de información, etc• Peritajes informaticos.
Procesos de investigación• Incidentes de seguridad.
Hacking, intrusiones, fugas de información, sabotaje, etc• Recuperación de datos
Sabotaje, desastre, otros.• Recuperación de evidencias.
Combinación de factores.
Parte 2 – Enfoque inicial
13
Curso de Analisis Forense 2005
Dificultades implícitas
✔ No somos adivinos.✔ No sabemos que ha pasado.✔ No sabemos a quien o qué nos enfrentamos.✔ No sabemos en qué o en quien confiar.✔ Siempre habra problemas que nos sobrepasen.✔ Volatilidad del medio.✔ El legado de Heisenberg.
Parte 2 – Enfoque inicial
14
Curso de Analisis Forense 2005
Reconstruyendo los hechos
➔ Objetivo (en procesos de investigación)➔ Saber QUÉ ha ocurrido. ➔ CUANDO ha sucedido➔ CÓMO ha sido.
➔ Las fechas están para orientarnos.
● Creación de la línea de tiempo.● Examinar sólo una ventana de tiempo a la vez.● Seguir la pista sin perdernos.
Parte 2 – Enfoque inicial
15
Curso de Analisis Forense 2005
Otras respuestas simultáneas al Análisis Forense
“ El analista VS el político “
Contacto con las autoridades.✔ CERT.✔ Servicios de seguridad.✔ Proveedor de servicios.✔ RFC 2196
Contacto con los medios.RFC 2196 (p 5.2.6)
Contacto con la empresa.RFC 2350, RFC 2196
Parte 2 – Enfoque inicial
16
Curso de Analisis Forense 2005
Pasos previos.
El DEBER de proteger la integridad de la información.
Principio de incertidumbre
Examinar o almacenar una parte del sistema, modificará alguna parte del sistema.
Parte 3 - Técnicas generales de Análisis Forense
18
Curso de Analisis Forense 2005
Cadena de confianza
✗ El shell y las variables de entorno.✗ El comando✗ Librerias dinamicas✗ Controladores o modulos✗ Kernel✗ Hardware
Parte 3 - Técnicas generales de Análisis Forense
19
Curso de Analisis Forense 2005
Organización y procedimientos iniciales
● Aislar el medioRealizar copiasVerificar la integridad del mismo
● Crear un timeline
● Analisis de datos
Parte 3 - Técnicas generales de Análisis Forense
20
Curso de Analisis Forense 2005
Trampas al analistaTrampas al acceder al medio
Troyanos autodestructivos, demonios “watchdog”, trampas binarias, bombas lógicas
Trampas al “apagar”Información volátil: claves, índices, datos.
Trampas al “encender”Watchdog de encendido, trampas físicas.
Ocultación de datosSteganografía, ocultación en sistemas de archivos, dispersión de datos, etc
Parte 3 - Técnicas generales de Análisis Forense
21
Curso de Analisis Forense 2005
Identificación de las fuentes de datos
- Sistema de archivos local.- Logs de sistema- Logs de aplicación.- Swap y volcados de memoria- Archivos borrados.- Particiones ocultas- Red.- Servidores de acceso remoto -> Radius, RAS.- Servidores de autenticacion -> LDAP, Domain Controller, etc.- Network IDS (remotos).- Host IDS (local).- Honeypots en misma red.
Parte 3 - Técnicas generales de Análisis Forense
22
Curso de Analisis Forense 2005
Creación de una "Time-line"
Nos da un poco de orden en el caos.Secuencia las acciones, basandonos en:
● Acceso a los archivos.● Creación/Modificación de los archivos.
Ventanas de tiempo
Parte 3 - Técnicas generales de Análisis Forense
23
Curso de Analisis Forense 2005
Clasificación de las evidencias.
Secuencia en el tiempo (Timeline)
Ficheros Secuecias de comandos, información recolectada del sistemaLogs, textos, binarios, imagenes y otro tipo de archivos.Datos RAW.
Pistas: Cadenas encontradas en el ruido.Indicios no vinculantes.Notas aportadas por el investigador
Parte 3 - Técnicas generales de Análisis Forense
24
Curso de Analisis Forense 2005
Protección de las evidencias.
Crear un entorno de trabajo seguroChroot, maquinas independientes, vmware
Extracción segura de las evidenciasDispositivos externos, discos duros extraibles, firewire
Necesidad de mantener la integridad de las evidencias.Creación de HASHes (MD5, SHA1, herramientas automaticas)
Redundancia de la información.Copias de seguridad de TODO.
Parte 3 - Técnicas generales de Análisis Forense
25
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #1
Acceso a los discos➢ Mediante un arranque en frio con un bootdisk
➢ Dispositivos externos (USB, Firewire)➢ A los discos fisicamente (conexion fisica IDE/SCSI...)
➢ En caliente
Acceso al dispositivoNorton GhostAcronisOtros..dd if=/dev/hda
Parte 4 - Técnicas de análisis de disco
27
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #2
Imágenes de discos. Formatos
Entorno de trabajo segurovmWarechrootDispositivos loopbackRéplica exacta
Parte 4 - Técnicas de análisis de disco
28
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #3
Herramientas para trabajar con imagenes
Sleuthkit, heredero de The Coroner's Toolkit (TCT)enCase, herramienta comercial (Windows)
dd Norton Ghost (Windows)Acronis (Windows)
Parte 4 - Técnicas de análisis de disco
29
Curso de Analisis Forense 2005
Análisis de archivos en imágenes de disco #4
Parte 4 - Técnicas de análisis de disco
30
Curso de Analisis Forense 2005
Analisis de logs
- Syslog, event log y similares (Bitácora del sistema)- Demonios del sistema.- Servidores web y de aplicaciones distribuidas.- Logs de autenticación y acceso remoto.- Históricos de comandos.- Históricos de accesos.- Favoritos, ultimos sitios navegados, y similares.- Cachés de passwords.
Herramientas: grep, expresiones regulares y scripting.
Parte 4 - Técnicas de análisis de disco
31
Curso de Analisis Forense 2005
Volcados de memoria y disco
Espacio de memoria SWAP
Volcados de memoria (Core dumps)
Espacio en disco no asignado
Herramientas:
autopsy - sleuthkitstringsenCase
Parte 4 - Técnicas de análisis de disco
32
Curso de Analisis Forense 2005
Análisis de archivos borrados
Sistemas de Asignacion de archivos comunesFAT y variantesEXT y variantes
Archivos borradosundelete
Borrado segurowipe
Recuperación manual de datosdd
Parte 4 - Técnicas de análisis de disco
33
Curso de Analisis Forense 2005
Análisis de archivos en “caliente”
No recomendado
No es un analisis forense, es una “Biopsia”Afecta a los datos obtenidos.Borrado accidental de evidencias o modificación.Facilidad de caer en una trampa.
Técnicas basicasAnalisis SWAPAnalisis /proc/kore en LinuxAnalisis logsAnalisis modulos kernelBusqueda de troyanos y rootkits
Parte 4 - Técnicas de análisis de disco
34
Curso de Analisis Forense 2005
Ocultación de datos en archivos
Steganografía
MétodosEstadística.Difusión de error.Inserción de bloques.
Graficos (JPEG, GIF, etc)jphide, outguess, steghide, F5, camouflaje vs metodos manuales
Textos
Sonido (MP3)
Parte 4 - Técnicas de análisis de disco
35
Curso de Analisis Forense 2005
Cifrado y sistemas de archivo
Sistemas de disco cifrado.Forzado de mecanismos criptográficos.
fcrackzip
Cifrado de llave publica / llave privadapgp
Ocultación de datos en particiones ocultasOcultación y cifrado.Sistemas de archivos steganográficos.
Parte 4 - Técnicas de análisis de disco
36
Curso de Analisis Forense 2005
Práctica 1.
Se ha encontrado un diskete en el registro del domicio de un sospechoso acusado de terrorismo. Se buscan pruebas contra él.
En ese disco pueden ocultarse datos, se sospecha que una organización esta formando a sus activos sobre manejo y fabricación de explosivos, asi como dándoles información sobre sus objetivos (fotografías, etc).
Determinar si existen pruebas que sirvan para acusar al sospechoso y asegurar su veracidad. Si es posible averiguar algo sobre la posible víctima, será un bonus.
Parte 4 - Técnicas de análisis de disco
38
Curso de Analisis Forense 2005
Práctica 2.
Gracias al enjuiciamiento por actividades terroristas, se ha seguido de un grupo terrorista hasta una universidad de Madrid. Se ha incautado abundante material informático de varios de los asistentes a una reunión “underground” en la Universidad.
Se sabe que uno de los detenidos está ultimando un atentado contra un empresario de Madrid, se necesita saber el método empleado y si es posible la fecha y el lugar.
Parte 4 - Técnicas de análisis de disco
39
Curso de Analisis Forense 2005
Práctica 3.
Se ha seguido la pista del detenido, un experto en hacking, hasta un servidor ubicado en el centro de datos de una empresa en Sevilla que ha sido utilizado para almacenar información sobre fabricación de bombas y desde el cual se sospecha existe abundante información sobre la banda de extorsión.
Se ha tenido acceso al servidor por mediación de la policia y el juez nos pide como peritos que colaboremos con la policía científica para investigar si el servidor ha sido hackeado, cuando, y que contiene que valor para la investigación.
Esta práctica continuará para su resolución en la parte 5: Análisis de Red e IDS
Parte 4 - Técnicas de análisis de disco
40
Curso de Analisis Forense 2005
Capturar del cable en modo “raw”
Sniffers y modo promiscuoHerramientas
snifferpro y otras herramientas comerciales.tcpdumpetherealtethereal
Parte 5 – Técnicas de análisis en red
41
Curso de Analisis Forense 2005
Capturar del cable con filtros
Herramientas
ngrepdsniff
Otras herramientas
p0f perl, grep, scripting
Parte 5 – Técnicas de análisis en red
42
Curso de Analisis Forense 2005
IDS
Que es un IDS y como funciona.snortrealsecureman huntdragon
Propósito y arquitectura de un IDSTrabajo inline
Tipos de registros y capturas (eventos, pcap)
Sobresaturación, falsos positivos, falsos negativos.
Engaño a los IDS
Parte 5 – Técnicas de análisis de red
43
Curso de Analisis Forense 2005
Honeypots
Introducción a los honetpots
Honeynet projecthttp://www.honeynet.org
Herramientas
sebek (LKM)tarpitshoneydvmwareotros
Parte 5 – Técnicas de análisis de red
44
Curso de Analisis Forense 2005
Práctica 4
Conjuntamente con el análisis de la practica 3 de disco, existe información obtenida por medio de IDS del tráfico hacia el servidor. Con ayuda de esta información y del análisis de disco, determinar exactamente el tipo de ataque sufrido y el modus operandi del agresor, asi como las consecuencias de dicho ataque.
Parte 5 – Técnicas de análisis de red
45
Curso de Analisis Forense 2005
Accesos en servidores de autenticación
Radius.R.A.S.Registros telefónicos.Telefonía Móvil.
Parte 6 - Técnicas de analisis en otros sistemas
47
Curso de Analisis Forense 2005
Accesos via proxy, caché y similares
Rastreo de IP
Contacto con proveedores
Parte 6 - Técnicas de analisis en otros sistemas
48
Curso de Analisis Forense 2005
Introducción
Puede ser peligroso.Complejidad.
Aproximación “en frio”
Búsqueda de cadenas.Dependencia de librerías.Formato de archivo.DecompilaciónDesensamblado.
Parte 7 - Técnicas de análisis de binarios
50
Curso de Analisis Forense 2005
Aproximación “en caliente”
Aislar el medioRéplica hardwareRéplica virtual (vmWare)Jaula root
Ejecución con trazasltracestrace
Captura de red en la ejecución
Parte 7 - Técnicas de análisis de binarios
51
Curso de Analisis Forense 2005
LABORATORIO DE BINARIOS
Parte 7 - Técnicas de análisis de binarios
52
Curso de Analisis Forense 2005
Práctica 5
Se han encontrado un juego de varias herramientas (binarios) utilizados por el intruso de la práctica 3 y 4. Se pide determinar el origen de estas herramientas, su utilidad y su autoría, por si esto nos pudiera dar mas pistas sobre el autor de los hechos.
Parte 7 - Técnicas de análisis de binarios
53
Curso de Analisis Forense 2005
Práctica 6.
Un juez nos pide que determinemos si una persona, acusada de Pedofilia, es culpable o no. En este caso, todo tipo de fotos de gatos serán considerado como material “pedofilo” para la práctica.
En esta práctica haremos uso de todas las técnica de análisis forense vistas durante el curso. Además contaremos con la dificultad añadida de ser un entorno bastante caótico: Windows98.
No debemos olvidar que el método basado en líneas de tiempo es de especial importancia para seguir todas y cada una de las pistas y que nuestra motivación debe ser objetiva, esto es, debemos tener una ética que exige imparcialidad y no dejarnos llevar por nuestros juicios de valor.
Práctica final (Bonus)
54
Curso de Analisis Forense 2005
Analisis Forense
Medio cambiante.Complejidad técnica.Reto y evolución contínuo.Múltiples aproximaciones. Metodología básicaTécnicas básicas:
Preservar información.Copiar / Acceder información.Análisis de disco.Análisis de red.Análisis de binarios.Análisis de datos en general.
Revisión final
55
Curso de Analisis Forense 2005
Curso de Análisis Forense Noviembre 2004
Dudas, preguntas, sugerencias y quejas:
Sancho [email protected]
Fin del curso
56