Taller de Casos de Análisis Forense Digital

Transcripción

1 Taller de Casos de Análisis Forense Digital Ing. Gustavo Daniel Presman MCP, EnCE, CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE Linkedin:

2 WHOAMI Ingeniero Electrónico, UBA 1987 Master en Tecnologías de la Información en el programa GADEX 2010/2011 Certificado en Informática Forense EnCE, ACE, CCE, NPFA y FCA Miembro del capítulo sudamericano HTCIA Profesor titular de Análisis Forense y Delitos Informáticos en la Maestría de Seguridad Informática UBA y en la UDBSV (El Salvador) Profesor titular de la Especialización en Derecho Informático de la UBA Miembro de numerosos comités académicos de eventos de Seguridad Informática Expositor Frecuente en eventos de toda Latinoamérica Perito Informático y Consultor en tópicos de Informática Forense en toda Latinoamérica

3 TALLER Metodología: Análisis conceptual y discusión metodológica de casos con resolución empleando EnCase Forensic. Material: Presentación distribuida por el CIE Archivos de Evidencia y VMs (13 GB) disponible por 7 días en NIVEL INTERMEDIO

4 CASOS A DESARROLLAR 1-Identificación avanzada de contenido mediante la técnica de File Carving 2- Investigaciones con cifrado 3- Respuesta a Incidentes e investigaciones en red

5 CASO 1 IDENTIFICACIÓN AVANZADA DE CONTENIDO MEDIANTE LA TÉCNICA DE FILE CARVING

6 Que es el File Carving? Es el proceso de extracción y recuperación de archivos mediante la obtención de fragmentos del mismo, en ausencia de metadatos externos Objetos no almacenados en el sistema de archivos Unidades sin sistema de archivos Sistemas de archivos desconocidos

7 Cuando hacer File Carving? Ultimo recurso cuando... Buscamos elementos eliminados Tenemos unidades formateadas Tenemos unidades con MBR/VBR dañado No tenemos filesystem o es desconocido Donde se hace?

8 Áreas especiales de File System Archivos de Intercambio Archivos de Hibernación Espacio Descuidado (Slack Space) Contenedores extraños ( VMs, Unidades encriptadas)

9 Áreas especiales de disco Espacio sin particionar (Unpartitioned) Espacio No Utilizado (Unallocated) MBR VBR ESPACIO UTILIZADO ESPACIO NO UTILIZADO ESPACIO SIN PARTICIONAR PARTICION #1

10 Ventajas y desventajas del File Carving El File Carving solo permite hallar Contenido (hasheable) No se obtienen metadatos externos (Nombre del file, MAC times, permisos ) La eventual fragmentación del archive El contenido recuperable puede ofrecer muchos Falsos positivos

11 Ejemplo: JPG

12 Proceso de File Carving Recuperación de archivos con independencia de la estructura de FS Identificación de Signature Identificación de File length o Footer Seguimiento de bloques secuenciales Reconstrucción Presentación y Extracción

13 Identificación La búsqueda se efectúa sobre el espacio sin estructura detectando el inicio a través del encabezamiento, pero donde termina? File Lenght ( PST ) Footer (Doc, jpg, AVI) Si buscamos texto plano, File Carving no es una opción

14 Extracción La búsqueda se realiza sobre bloques secuenciales, en sentido directo o inverso... Posibles inconvenientes : Sobreescritura intermedia Sobreescritura del Header Sobreescritura del Footer Disco previamente defragmentado (FS modernos, antiforensics)

15 Foremost Scalpel Datalifter Encase FTK Winhex Herramientas para File Carving

16 Que puedo hacer si No hay header/footer? No hay datos identificables? El Archivo está parcialmente sobreescrito? El Archivo está Fragmentado? Existen tecnicas de busqueda de contenido digital pero requieren una muestra Fuzzy Hashing (ssdeep / FTK) Block Hashing (Encase)

17 File System101 El almacenamiento en un disco se hace en bloques físicos o sectores Para poder almacenar datos un disco debe estar particionado en volúmenes lógicos Cada volumen se divide en bloques lógicos o clusters que contienen un numero fijo de sectores El FS utiliza un número entero de bloques lógicos para almacenar un archivos Cada clúster se llena desde el inicio hasta el final sin dejar espacio libre, salvo el bloque final que contiene slack space Cuando se completa un bloque lógico se utiliza otro y el FS lleva registro de la secuencia Nunca un bloque lógico es compartido por dos archivos

18 File Carving por Hashes en bloque FASE 1: Crear un mapa de Hashes (Valor, ubicación) fragmentando el archivo indubitable en el mismo tamano que el bloque del disco a analizar

19 File Carving por Hashes en bloque FASE 2: Calcular el hash de cada bloque del disco o del espacio sin utilizar Comparar y ordenar

20 Desventajas del File Carving por bloque Procesador intensivo Solo se puede procesar una evidencia a la vez El mapa de hashes podría tener que cambiarse para un mismo indubitable (block size) Algunos archivos recuperados podrían requerir reconstrucción parcial

21 HANDS ON!

22 CASO 2 INVESTIGACIONES DIGITALES CON CIFRADO

23 Cifrado 101 Archivo legible Archivo ilegible Archivo legible ORIGEN ALGORITMO DE CIFRADO DESTINO Clave de cifrado Clave de descifrado

24 Impacto en las investigaciones Desazón Complejidad Sin embargo, no hay que desesperar Usuarios con claves de diccionario Usuarios con repeticion de claves Administradores de claves

25 Tipos de evidencia digital con Cifrado Contraseñas almacenadas NAVEGADORES APLICACIONES Contraseñas de archivos Office documents, PDF, etc. Contraseñas hasheadas Windows, Unix, etc. Cifrado de volúmenes físicos y lógicos TrueCrypt, BitLocker FileVault2, PGP

26 ETAPAS DEL ANÁLISIS 1. DETECCION Por simple apertura Por identificación mediante software Hallazgo de contenedores cifrados (Unidades o archivos esteganografiados) 2. RESOLUCION Obtención de la contraseña Apertura o acceso

27 IDENTIFICANDO ARCHIVOS MEDIANTE SU ENTROPIA En termodinámica la Entropía es la energía de un proceso que no puede utilizarse para producir trabajo. Es una medida del desorden molecular. Segun Claude Shannon P i : Probabilidad de tomar un cierto estado físico n: Numero de estados diferentes b: base del logarítmo segun el sistema empleado

28 PARA CONTENIDO BINARIO Toma valores entre : 0: Contenido perfectamente ordenado 8: Contenido perfectamente aleatorio UTILIDAD DE LA ENTROPÍA BINARIA Identificación de archivos similares (Near match) Malware Polimórfico Código binario identico en diferentes compiladores Compresión Cifrado

29 TOMEMOS UN ARCHIVO DE 100 bytes Lleno de ceros H=0 Mitad unos y mitad ceros H=1

30 Cifrando con PGP H=

31 Cifrando un contenedor de Truecrypt H=

32 Metodología para descifrar Debilidad del Algoritmo Desencripción Instantánea Remoción de Protecciones Ataque de Keyspace en memoria RAM Uso de Rainbow Tables Obtención de contraseñas Diccionario (Forensic Reloaded!) Fuerza Bruta

33 Artefactos en RAM: Contraseñas en texto plano Claves de Cifrado Archivos abiertos Procesos en ejecución(truecrypt, etc.) Pseudo RAM: Auxilio de la memoria RAM Archivo / Partición de Paginación Archivo de Hibernación

34 Y cuando solo resta la Fuerza Bruta 1- Aceleradores de Hardware / GPU 2- Ataques distribuidos /DNA 3- Cloud services

35 HANDS ON!

36 CASO 3 RESPUESTA A INCIDENTES E INVESTIGACIONES EN RED

37 Respuesta: Recolección de datos volátiles Recolectar datos volátiles es comparable a la obtención de fotografías en la escena del hecho, de allí que se refiere como SNAPSHOT a la obtención de datos volátiles e irrepetibles que se encuentran solo si el sistema se encuentra encendido, al igual que las fotos de la escena del hecho Algunos ejemplos: Page 37

38 Datos volátiles : Cualquiera que desaparezca con el apagado del equipo Memoria de procesos Puertos abiertos Sockets abiertos y conexiones actuales Procesos y servicios activos Archivos abiertos Usuarios dentro del sistema Trabajos programados Tablas de cache/arp/netbios/ruteos Volúmenes cifrados Page 38

39 Pueden recolectarse datos volátiles de manera Forense? Que es un procedimiento Forensically Sound? (con validez legal ) Metodología recomendada por: NIST SP 800 Guide to Integrating Forensic Techniques into Incident Response ISO/IEC Guidelines for identification, collection, acquisition, and preservation of digital evidence

40 Recolección de evidencia volátil Mínimamente invasiva Recolectada lo antes posible, teniendo presente el orden de volatilidad (RFC 2737 : RAM / Network / Procesos en ejecución / Discos ) Preservando para análisis futuros Empleando procedimientos científicos repetibles y consistentes

41 El perito o analista forense debe tomar decisiones, según su sano juicio, bajo las autorizaciones correspondientes, con fundamento técnico y las documentará y las documentará y las documentará y las documentará y las documentará y las documentará y las documentará

42 Algunas herramientas para sistemas Windows: Simples, propias del OS o externas,preferentemente livianas / de línea de comando y firmadas creando un toolkit dentro de un pendrive con capacidad de almacenamiento DD / Winen /FTK Imager /Magnet capture RAM : Recolección de RAM MS Userdump : Procesos en ejecución con su PID Netstat anb : Puertos y su estado ( a= all / n=numeric / b= ejecutable vinculado) Task manager : Procesos activos MS PsTools psfile : Archivos abiertos MS PsTools psloggedon : Usuarios dentro del sistema at : tareas programadas Nbstat c : Tabla NetBIOS arp a : tabla ARP Magnet Encript Disk Detector / TcHunt : Detección de cifrado 42

43 Conexión directa por red / Direct network connection Tecnología de EnCase Enterprise disponible en EnCase Forensic desde v7.06 Basado en un agente (servlet) creado bajo certificados digitales Solo una conexión a la vez El agente (servlet) permite el acceso a nivel de File System El agente (servlet) permite el acceso a datos volátiles 43

44 Conexión remota en 3 pasos: 1- Generación del Servlet 2- Instalación del Servlet en el equipo a investigar 3- Conexión al equipo a investigar desde EnCase Forensic 44