INFORMATICO
DEFINICIONES
C o m p u t e r f o re n s ic s ( c om p u ta ci n f ore n s e ) . - D i s c i p l i n a d e l a s
c i e n c i as f o re n s e s , q u e c o n s i d e r a n d o l as tare a s p rop i a s a s o c i a d as
c o n l a e v i d e n c i a , p ro c u r a d e s c u b r i r e i n te r p re ta r l a i n f o rm a c i n e n
l o s m e d i os i n f orm t i c o s p ar a e s ta b l e c e r l os h e c h o s y f o rm u l a r l as
h i p te s i s re l a c i o n a d a s c o n e l c as o.
N e tw o r k f o r e n s i c s ( f ore n s e e n re d e s ) . - C om p re n d e r l a m an e r a
c o m o l os p ro t o c ol o s , c on fi g u r a c i on e s e i n f r a e s tr u c tu r a s d e
c o m u n i c a c i o n e s s e c o n j u g an p a r a d a r c om o re s u l tad o u n m o m e n to
e s p e c fi c o e n e l t i e m p o y u n c om p o r tam i e n t o p ar ti c u l ar.
D i g i t a l f o r e n s i c s ( f o re n s e d i g i ta l ) . - E s u n a f o rm a d e a p l i c a r l o s
c o n c e p to s , e s t r a t e g i a s y p ro c e d i m i e n tos d e l a c r i m i n al s ti c a
t r ad i c i on a l a l o s m e d i os i n f o rm t i c os e s p e ci al i za d o s . E s u n a
d i s c i p l i n a e s p e c i a l i z a d a q u e p ro c u r a e l e s c l are c i m i e n to d e l o s
h e c h o s ( q u i n ? , c m o ? , d n d e ? , c u n d o? , p o rq u ? ) d e e v e n to s
q u e p od r an c at a l o g ar s e c om o i n ci d e n te s , f r au d e s o u s os i n d e b i d os
b i e n s e a e n e l c on t ex t o d e l a j u s ti c i a e s p e c i al i za d a o c om o a p o y o a
l a s ac c i o n e s i n t e rn a s d e ad m i n i s tr ac i n d e l a i n s e g u r i d ad
i n f orm t i c a .
HERRAMIENTAS FRECUENTEMENTE
UTILIZADAS EN PROCEDIMIENTOS
FORENSES
ENCASE http://www.encase.com/products/ef_index.asp
FORENSIC TOOLKIT
http://www.accessdata.com/products/utk/
WINHEX http://www.x-ways.net/forensics/index-m.html
Existen otras que no cuentan con tanto reconocimiento
internacional en procesos legales, que generalmente son
aplicaciones en software de cdigo abierto:
Sleuth Kit http://www.sleuthkit.org/
Coroner Toolkit http://www.porcupine.org/forensics/tct.html
Para mayor informacin de otras herramientas forenses en
informtica se sugiere revisar el enlace:
http://www.e-evidence.info/vendors.html
Encase.
Fo r e n s i c To o l k i t
h t t p : / / w w w. a c c e s s d a t a . c o m / P r o d u c t 0 4 _ O v e r v i e w. h t m ? P ro d u c t N u m = 0 4
C o n j u n t o d e h e r r a m i e n t a s d e a n l i s i s f o re n s e .
Disk Doubler II
h t t p : / / w w w. l e c . c z / e n / p ro d u k t y _ d a t o v e _ d i s k d o u b l e r _ I I 2 . h t m l
U n d u p l i c a d o r h a r d w a re d e d i s c o s .
Disk Doubler Plus
h t t p : / / w w w. l e c . c z / e n / p ro d u k t y _ d a t o v e _ d i s k d o u b l e r p l u s 2 . h t m l
Una aplicacin de bsqueda de cadenas en los datos adquiridos.
LA RECUPERACIN DE FICHEROS
BORRADOS O NO ACCESIBLES ENTRA
TAMBIN DENTRO DE ESTE CAMPO Y
PARA ELLO TENEMOS:
Fo r e m o s t
h t t p : / / f o re m o s t . s o u rc e f o rg e . n e t /
Pe rm i t e ex t r a e r fi c h e ro s d e l i n t e r i o r d e u n a i m a g e n d e d i s c o .
Herramientas de recuperacin de archivos.
C I A U n e r a s e - h t t p : / / w w w. c i a u n e r a s e . c o m /
F i l e Re c o v e r - h t t p : / / w w w. fi l e re c o v e r. c o m / d o w n l o a d . h t m l
R - S t u d i o - h t t p : / / w w w. r- s t u d i o . c o m /
O n t r a c k E a s y Re c o v e r y - h t t p : / / w w w. o n t r a c k . c o m / e a s y re c o v e r y /
G e t D a t a B a c k - h t t p : / / w w w. r u n t i m e . o rg /
Sleuth Kit
h t t p : / / w w w. s l e u t h k i t . o rg / i n f o rm e r /
S i s e h a n b o rr a d o p a r t i c i o n e s c o n f d i s k .
N T F S Re a d e r
h t t p : / / w w w. n t f s . c o m / p ro d u c t s . h t m
E s u n p ro g r a m a Wi n d o w s q u e g e n e r a u n a i m a g e n d e fl o p p y d i s k p a r a
a rr a n c a r e n Fre e D o s y p e rm i t e l e e r y c o p i a r fi c h e ro s d e n t ro
de particiones
N T FS .
MDcrack
http://membres.lycos.fr/mdcrack/
Es capaz de romper ha shes MD4, MD5 y NTLM1
Offl in e NT Password Registry editor
http://home.eunet.no/~pnordahl/ntpa sswd/
Permite recuper ar o resta blecer una contra sea en Windows.
Recuperar o restabl ecer una con trasea en Windows 2000
Chntpw - http://www.cgsecurity.org/index.htm l?ntfs.html
pwdump3 http://archives.neohapsis.com/archives/ntbugtra q/2 001-q1/0007.html
Dumpsec - http://www.soma rsoft.com /
L C5
http://www.atstake.com/resea rch/lc/download.html
Es la ltima versin del fa moso crackeador de pa sswords
comercial L0phtCrack, antiguo gr upo de ha cking a hora reconvertido en
el empresa @Stake. Se trata de un softwa re de recupera cin de
pa sswords por fuerza bruta y por diccionario para Microsoft Windows.
Cain
http://www.oxid.it/cain.html
Software muy conocido para la recuperacin de password
Windows.
Rainbowcrack
http://www.antsight.com/zsl/rainbowcrack/
Pe rmit e agilizar e l cracking de contraseas mediante
precomputacin de hashes.
Winrtgen
http://www.oxid.it/project s.html
Se puede agilizar la generacin de tablas para Rainbowcrack.
Revelatio n
http://www.snadboy.com/
Utilidad free ware para reve lar las contrase as ocultas e n el GUI
de Windows.
METODOLOGA
1. FASE DE IDENTIFICACION
Qu informacin se necesita?
Cmo aprovechar la informacin presentada?
En qu orden ubico la informacin?
Acciones necesarias a seguir para el anlisis
forense?
1.1 SOLICITUD FORENSE
Es un documento donde el administrador del equipo
afectado notifi ca de la ejecucin de un incidente y para
ello solicita al equipo de seguridad la revisin del
mismo, donde incluye toda la informacin necesaria
para dar inicio al proceso de anlisis.
INFORMACIN INCLUIDA EN EL
DOCUMENTO:
DESCRIPCIN DEL DELITO
INFORMTICO
Fecha del incidente
Duracin del incidente
Detalles del incidente
INFORMACIN GENERAL
rea
Nombre de la dependencia
Responsable del sistema
afectado
Nombres y Apellidos
Cargo
E-mail
Telfono
Extensin
Celular
Fax
INFORMACIN SOBRE EL
EQUIPO AFECTADO
Direccin IP
Nombre del equipo
Marca y modelo
Capacidad de la RAM
Capacidad del disco duro
Modelo del procesador
Sistema operativo (nombre y
versin)
Funcin del equipo
Tipo de informacin procesada
por el equipo
LA EVIDENCIA SE CLASIFICA
SEGN:
1.3.1 PRIORIDADES DEL ADMINISTRADOR
Las pr ior idades de l a dmi n is trador s e basa n e n l a cr iti ci dad de lo s da os produci dos
por el incidente.
CRITICIDAD DE
LO S D A O S
Extensin de
Criticidad de los
da os produ ci dos
re c u r s o s a f e c t a d o s
L a ex t e n s i n d e l o d a o s p ro d u c i d o s e s :
G r a v e s . - Q u e e l i n c i d e n t e p ro d u j o d a o s m u y s e v e ro s s o b re l o s s e r v i c i o s o
i n f o rm a c i n .
M o d e r a d o s . - Q u e e l i n c i d e n t e c a u s o m o l e s t i a s y p r d i d a d e i n f o rm a c i n .
Le v e s . - Q u e e l i n c i d e n t e p ro d u c i d o n o t i e n e m a y o r i m p o r t a n c i a , n o s e
p ro d u j o n i n g n t i p o d e p e rd i d a p e ro s i u n c o r t e o m o l e s t i a e n l o s s e r v i c i o s .
L a c r i t i c i d a d d e l o s re c u r s o s a f e c t a d o s e s :
A l t a . - Lo s re c u r s o s a f e c t a d o s s o n m u y i m p o r t a n t e s d e n t ro d e l a u n i v e r s i d a d
y c o m o t a l c o m p ro m e t e n e l n o rm a l f u n c i o n a m i e n t o y p re s t a c i n d e
servicios.
M e d i a . - L o s re c u r s o s a f e c t a d o s c a u s a n m o l e s t i a s a u n re a d e l a
universidad.
B a j a . - Lo s re c u r s o s a f e c t a d o s c a u s a n c i e r t a s m o l e s t i a s p e ro s e p u e d e
s e g u i r c o n e l n o rm a l f u n c i o n a m i e n t o d e l o s e q u i p o s .
2. FASE DE PRESERVACION
Una
vez que se cuenta con todas las evidencias del
incidente es necesario conservarlas intactas ya que son las
huellas del crimen, se deben asegurar estas evidencias a
toda costa. Para ello se sigue el siguiente proceso:
2.1 COPIAS DE EVIDENCIAS
Como primer paso se debe realizar dos copias de las
evidencias obtenidas.
Etiquetarla con la fecha y hora de creacin de la copia,
nombre cada copia, por ejemplo COPIA A, COPIA B
Si adems se extrae los discos duros del sistema para
utilizarlos como evidencia, se debe seguir el mismo
procedimiento, colocando sobre ellos la etiqueta
EVIDENCIA ORIGINAL
3. FASE DE ANLISIS
El o b je tivo es re c ons t ruir c on to d o s los d a tos d isp o nib le s la lnea
t e m p or al d el a t a q ue, d et erm inand o la c a d e na d e ac onte c im ient os q ue
t uvie ron lug ar d es d e el inic io d e l a ta q ue , ha sta el m o m ento d e su
d e sc ub r im ient o.
3 . 1 P R E PA R A C I O N PA R A E L A N A L I S I S
Antes de comenzar el anlisis de las evidencias se deber:
1 ) Ac o n d i c i o n a r u n e n t o rn o d e t r a b a j o a d e c u a d o a l e s t u d i o q u e s e d e s e a
re a l i z a r
2 ) Tr a b a j a r c o n l a s i m g e n e s q u e s e re c o p i l c o m o e v i d e n c i a s , o m e j o r a n c o n
una copia de stas, tener en cuenta que es necesario montar las imgenes tal
c u a l e s t a b a n e n e l s i s t e m a c o m p ro m e t i d o.
3 ) S i d i s p o n e d e re c u r s o s s u fi c i e n t e s p re p a r a r d o s e s t a c i o n e s d e t r a b a j o , u n a d e
e l l a s c o n t e n d r a l m e n o s d o s d i s c o s d u ro s .
4 ) I n s t a r u n s i s t e m a o p e r a t i v o q u e a c t u a r d e a n fi t r i n y q u e s e r v i r p a r a
re a l i z a r e l e s t u d i o d e l a s e v i d e n c i a s . E n e s t e m i s m o o rd e n a d o r y s o b re u n
s e g u n d o d i s c o d u ro , i n s t a l a r l a s i m g e n e s m a n t e n i e n d o l a e s t r u c t u r a d e
p a r t i c i o n e s y d e l s i s t e m a d e a rc h i v o s t a l y c o m o e s t a b a n e n e l e q u i p o a t a c a d o.
5 ) E n o t ro e q u i p o i n s t a r u n s i s t e m a o p e r a t i v o c o n fi g u r a d o ex a c t a m e n t e i g u a l
que el equipo atacado, adems mantener nuevamente la misma estructura de
p a r t i c i o n e s y fi c h e ro s e n s u s d i s c o s d u ro s . L a i d e a e s u t i l i z a r e s t e s e g u n d o
o r d e n a d o r c o m o c o n e j i l l o d e I n d i a s y re a l i z a r s o b re l p r u e b a s y
v e r i fi c a c i o n e s c o n f o r m e s e v a y a n s u rg i e n d o h i p t e s i s s o b re e l a t a q u e .
3.2 RECONSTRUCCION DE LA
SECUENCIA TEMPORAL DEL ATAQUE
1) Crear una lnea temporal o timeline de sucesos, para
ello se debe recopilar la siguiente informacin sobre
los fi cheros:
Marcas de tiempo MACD (fecha y hora de
modifi cacin, acceso, creacin y borrado).
Ruta completa.
Tamao en bytes y tipo de fi chero.
Usuarios y grupos a quien pertenece.
Permisos de acceso.
Si fue borrado o no.
3.2 RECONSTRUCCION DE LA
SECUENCIA TEMPORAL DEL ATAQUE
2) Ordenar los archivos por sus fechas MAC, esta
primera comprobacin, aunque simple, es muy
interesante pues la mayora de los archivos tendrn la
fecha de instalacin del sistema operativo, por lo que
un sistema que se instal hace meses y que fue
comprometido recientemente presentar en los
fi cheros nuevos, fechas MAC muy distintas a las de los
fi cheros ms antiguos.
3.2 RECONSTRUCCION DE LA
SECUENCIA TEMPORAL DEL ATAQUE
4) Examinar los fragmentos del archivo
/var/log/messages, que es donde se detectan y
registran los accesos FTP, esto nos permitir
descubrir si sobre esa fecha y hora se crearon varios
archivos bajo el directorio /var/ftp de la mquina
comprometida19, adems se debe tener presente que
este directorio puede ser borrado por el atacante y
deber ser recuperado.
4 FASE DE DOCUMENTACIN Y
PRESENTACIN DE LAS PRUEBAS
Es muy importante comenzar a tomar notas sobre todas las
actividades que se lleven a cabo. Cada paso dado debe ser
documentado y fechado desde que se descubre el incidente
hasta que fi naliza el proceso de anlisis forense
4.1 UTILIZACION DE FORMULARIOS DE REGISTRO DEL
INCIDENTE
stos debern ser rellenados por los departamentos
afectados o por el administrador de los equipos. Alguno de
los formularios que debera preparar sern:
Documento de custodia de la evidencia
Formulario de identifi cacin del equipos y componentes
Formulario de incidencias tipifi cadas
Formulario de publicacin del incidente
Formulario de recogida de evidencias
Formulario de discos duros.
In trod ucci n
Antecedentes del incidente
Re c o l e c c i n d e l o s d a t o s
Descripcin de la evidencia
En torn o d el an lisis
Descripcin d e las h erra mien tas
Anlisis de la evidencia
In formaci n d el sistema an aliz ado
Caractersticas del SO
Aplicaciones
Servicios
Vu l n e r a b i l i d a d e s
Metodologa
Descripcin de los hallazgos
Huellas de la intrusin
Herramien tas u sadas p or el ata can te
Alcance de la intrusin
El origen del ataque
Cro no loga d e la in tru sin
Conclusiones
Re c o m e n d a c i o n e s e s p e c fi c a s
Re f e r e n c i a s
An exo s