INSTITUTO POLITÉCNICO NACIONAL

Transcripción

1

2 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN SEMINARIO DE TITULACIÓN SEGURIDAD DE LA INFORMACIÓN TESINA EVALUACIÓN DE HERRAMIENTAS PARA ANÁLISIS FORENSE ORIENTADO A DISCOS QUE PRESENTAN PARA OBTENER EL TÍTULO DE INGENIERO EN INFORMÁTICA CASTAÑEDA VILCHIS FRANCISCO JAVIER ROJAS BARRERA VÍCTOR ISRAEL VILLANUEVA PALLARES NORMA ZARAHY INGENIERO EN COMUNICACIONES Y ELECTRÓNICA PRUDENTE TIXTECO MARÍA DEL CARMEN Asesores: DR. GABRIEL SÁNCHEZ PÉREZ M. EN C. MARCOS ARTURO ROSALES GARCÍA VIGENCIA: DES/ESIME-CUL/23/08 MÉXICO, D. F. JUNIO 2009

3 ÍNDICE GENERAL OBJETIVO GENERAL Página I OBJETIVOS PARTICULARES I PLANTEAMIENTO DEL PROBLEMA II CAPITULO I. ANÁLISIS FORENSE. 1.1 Antecedentes del Análisis Forense Evidencia Digital Panorama general sobre el Análisis Forense en México Policía Cibernética Mexicana UNAM-CERT Equipo de respuesta de incidentes de seguridad en cómputo La legislación respecto a delitos informáticos Metodología del Análisis Forense Modos de análisis CAPITULO II. DISCOS DUROS 2.1 Arquitectura general de un disco duro Definición y su función Estructura Física Elementos Estructura lógica de un disco duro Sistemas de Archivos Sistema de archivos Componentes de un Sistema de Archivos Tipos de sistemas de archivos. 27 CAPITULO III. HERRAMIENTAS PARA ANÁLISIS FORENSE 3.1 Importancia de Herramientas en la Forensia Informática. 35

4 3.1.1 Evidencia Equipo Base DD Autopsy AccessData Forensic Toolkit (FTK ) X-WAY Forensics Helix. 56 CAPITULO IV. EVALUACIÓN DE HERRAMIENTAS 4.1 Generación de Imagen Búsqueda de palabras, Dirty Word List (DWL) Resultados 71 CONCLUSIONES 73 REFERENCIAS BIBIOGRAFICAS 75 ANEXOS Glosario 78

5 ÍNDICE DE FIGURAS Figura Página Figura 1.1 Partes que conforman el Análisis Forense. 3 Figura 1.2 Partes que conforman el Análisis Forense Digital. 3 Figura 1.3 Ciclo de vida de análisis forense de las evidencias. 6 Figura 1.4 Diagrama que muestra la forma de seguimiento en el análisis forense de discos duros. 6 Figura 2.1 Estructura interna de un Disco Duro. 20 Figura 2.2 Numeración de cabezas cilindros y sectores. 21 Figura 3.1 Disco duro ocupado como evidencia. 36 Figura 3.2 Comandos desplegados en consola para la creación de una imagen con dd. 37 Figura 3.3 Autopsy. 38 Figura 3.4 Generar un nuevo caso desde el browser. 40 Figura 3.5 Crear un nuevo caso en Autopsy. 41 Figura 3.6 Directorio donde se encontrará cada caso. 41 Figura 3.7 Descripción del Host. 42 Figura 3.8 Directorio donde se encontrará localizada la información del Host. 42 Figura 3.9 Añadir imagen para analizarla. 43 Figura 3.10 Añadir imagen creada. 43 Figura 3.11 Opciones que permite Autopsy después de añadir la imagen. 44 Figura 3.12 AccessData Forensic Toolkit (FTK ). 44 Figura 3.13 Trabajar directamente con (FTK ). 46 Figura 3.14 Crear Imagen. 46

6 Figura 3.15 Elegir tipo de origen para crear imagen. 47 Figura 3.16 Elegir Dispositivo. 47 Figura 3.17 Añadir destino de la imagen. 48 Figura 3.18 Elegir formato de imagen. 48 Figura 3.19 Tamaño de segmentos de la imagen. 49 Figura 3.20 Creando un nuevo caso. 49 Figura 3.21 Funciones a realizar. 50 Figura 3.22 Filtrado de análisis. 51 Figura 3.23 Adquirir Evidencia. 51 Figura 3.24 Añadir archivos pertenecientes a la imagen. 52 Figura 3.25 Crear imagen. 54 Figura 3.26 Seleccionar partición. 54 Figura 3.27 Generar Hash. 55 Figura 3.28 MD5. 55 Figura 3.29 Helix 3 Incident Response. 56 Figura 3.30 Pantalla de bienvenida de la herramienta para Análisis Forense Helix. 56 Figura 3.31 Pantalla de Información del sistema donde se muestran sus características. 57 Figura 3.32 Pantalla de Información del Sistema donde se muestran sus procesos ID. 58 Figura 3.33 Pantalla de Adquisición de Helix. 59 Figura 3.34 Pantalla para Enlazar de Helix a FTK. 59 Figura 3.35 Pantalla de Respuesta ante Incidentes. 60 Figura 3.36 Pantalla de Examinar Contenidos. 61 Figura 3.37 Pantalla de Escanear Imágenes. 61

7 Figura 4.1 Generación de imagen con DD. 63 Figura 4.2 Tiempo de creación de imagen. 64 Figura 4.3 Verificación de MD5. 64 Figura 4.4 Procesos que se realizaron al cargar la imagen al programa. 65 Figura 4.5 Porcentaje de sectores pasados a la imagen. 65 Figura 4.6 Sectores copiados para la creación de la imagen. 65 Figura 4.7 Verificando MD5. 66 Figura 4.8 Parámetros para la realización de la imagen Helix. 66 Figura 4.9 Avance del porcentaje de la generación de la imagen. 67 Figura 4.10 Ventana mostrada para la localización de archivos con la DWL. 68 Figura 4.11 Ventana mostrada para la localización de archivos. 68 Figura 4.12 Resultado de la lista de palabras dadas por FTK. 69 Figura 4.13 Opciones para hacer la búsqueda de las DWL. 70 Figura 4.14 Resultados que muestra X-Way Forensics. 70

8 ÍNDICE DE TABLAS Tabla Página Tabla 2.1 Estructura de la MFT. 29 Tabla 2.2 Arquitectura de archivos. 31 Tabla 4.1 Resultado de palabras en Autopsy. 67 Tabla 4.2 Resultado de palabras en Forensic Toolkit (FTK ). 71 Tabla 4.3 Resultado de las herramientas con las DWL. 72

9 OBJETIVO GENERAL Evaluar rendimiento, fiabilidad e integridad de las diferentes herramientas que existen en el mercado para hacer análisis forense en equipo de cómputo específicamente en la manipulación de discos duros orientado a un procedimiento de análisis forense.. OBJETIVOS ESPECÍFICOS Generar imagen del disco duro a evaluar. Analizar de la estructura lógica del disco duro a evaluar. Recuperar archivos borrados. I

10 PLANTEAMIENTO DEL PROBLEMA En la actualidad el robo o pérdida de información se traduce en pérdidas económicas para las organizaciones y delitos informáticos. Apoyándose de las diferentes técnicas del análisis forense es posible dar solución a esta problemática y mitigar los probables riesgos existentes en el manejo de la información almacenada en los discos duros. Con base en las necesidades actuales de protección y recuperación de la información es necesario contar con herramientas que permitan obtener parcial o totalmente la recuperación de los datos contenidos en dichos dispositivos de almacenamiento. II

11 CAPÍTULO I: ANÁLISIS FORENSE 1.1 Antecedentes del Análisis Forense Evidencia Digital. 1.2 Panorama general sobre el Análisis Forense en México Policía Cibernética Mexicana UNAM-CERT Equipo de respuesta de incidentes de seguridad en cómputo La legislación respecto a delitos informáticos. 1.3 Metodología del Análisis Forense. 1.4 Modos de análisis. 1

12 1.1 Antecedentes del Análisis Forense El Análisis Forense Informático se refiere a la adquisición, análisis y presentación de evidencia para reconstruir información o eventos relacionados con un incidente de seguridad o crimen informático 1. También puede estar definido como el análisis de un equipo atacado para averiguar el alcance de la violación, las actividades de un intruso en el sistema o la puerta utilizada para acceder 2. La definición dada por el NIST (National Institute of Standars and Technology) en su publicación especial dice: El Análisis Forense es la aplicación de la ciencia de la identificación, colección, exanimación y análisis de datos mientras se este preservando la integridad de la información y manteniendo una estricta cadena de custodia de los datos. Datos se refiere a distintas piezas o información digital que ha sido borrada en un lugar específico. El Análisis Forense de Sistemas (Computer Forensics) comprende el proceso de extracción, conservación, identificación, documentación, interpretación y presentación de las evidencias digitales de forma que sean oficialmente aceptadas en cualquier proceso legal, proporcionando las técnicas y principios que facilitan la investigación del delito 3. El Análisis Forense da la pauta para poder establecer distintos parámetros y en casos de crímenes poder determinar con base en la evidencia las responsabilidades de los presuntos implicados crl.iic.uam.es/descargas_web/cursos_verano/ /juanma_canelada/analisis_forense_de_sistemas.pdf 2

13 El Análisis Forense posee cuatro partes que son: la víctima, escena del crimen, evidencia y sospechoso 4, los cuales van directamente relacionados como se muestra en la figura 1.1. Figura 1.1 Partes que conforman el Análisis Forense. Por lo tanto se puede decir que en el caso de un presunto crimen la evidencia digital podría ser de gran utilidad. Tomando como base la figura 1.1 se pueden incluir elementos que ayuden para hacer el Análisis Forense de manera digital. Figura 1.2 Partes que conforman el Análisis Forense Digital. 4 Presentación Análisis Forense de Sistemas/Rafael Calzada Pradas Universidad Carlos III de Madrid 3

14 En la Figura 1.2 muestra como la evidencia se podría encontrar en los distintos sistemas de almacenamiento digital por medio de registros y archivos disponibles en estos Evidencia digital. Evidencia Digital es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". En este sentido, la evidencia digital, es un término utilizado de manera amplia para describir "cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal" 5. En este sentido el documento mencionado establece que la evidencia digital puede ser dividida en tres categorías a saber: 1. Registros almacenados en el equipo de tecnología informática, como: correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc. 2. Registros generados por los equipos de tecnología informática, como: registros de auditoría, registros de transacciones, registros de eventos, etc. 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática, como: hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc. 5 De acuerdo con el HB: Guidelines for the Management of IT Evidence. 4

15 La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. Sin embargo y considerando, el ambiente tan cambiante y dinámico de las infraestructuras de computación y comunicaciones, es preciso detallar las características propias de dicha evidencia en este entorno. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad: 1. Es volátil. 2. Es anónima. 3. Es duplicable. 4. Es alterable y modificable. 5. Es eliminable. Estas características advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia encontrada en una escena del delito. Por tanto, es necesario mantener un conocimiento detallado de las normas y regulaciones legales asociadas con las pruebas y el derecho procesal, así como de las técnicas y procesos que permitan mantener la confiabilidad de los datos recogidos, la integridad de los medios, el análisis detallado de los datos y la presentación idónea de los resultados. En la figura 1.3 se muestra de manera general el ciclo del análisis forense de las posibles evidencias digitales; este proyecto la investigación se concentrara en los medios de almacenamiento. 5

16 Figura 1.3 Ciclo de vida de análisis forense de las evidencias. Figura 1.4 Diagrama que muestra la forma de seguimiento en el análisis forense de discos duros. 6

17 Algunas de las causas más frecuentes de perdida de información son las siguientes: Golpe en el ordenador (PC, Mac, servidor, portátil, RAID...). Caída del ordenador (PC, Mac, servidor, portátil, RAID...). Formateo accidental o intencional del disco duro. Borrado accidental o intencional de los datos. Archivos infectados por un virus informático. Oxidación del disco duro. Contrastes de temperaturas. Obsolescencia del disco duro. Defecto de fabricación del disco duro. Se puede mencionar que estas causas traen consigo consecuencias que se traducen a su vez en pérdidas económicas; en caso de que se hayan presentado por causa de fraudes éstas ascienden a miles de dólares por perdidas de información y manipulación de la misma. 1.2 Panorama general sobre el análisis forense en México Policía Cibernética Mexicana. La Policía Federal Preventiva ha creado una unidad especializada contra crímenes cibernéticos. Su objetivo inicial es combatir la pornografía infantil en Internet, así como realizar operaciones de patrullaje antihacker en el ciberespacio, como un instrumento para atrapar a los delincuentes que cometen fraude, intrusiones, y aquellos que organizan sus actividades delictivas en la red. 7

18 Las actividades que realiza la Policía Cibernética Mexicana son: Identificación y desarticulación de organizaciones dedicadas al robo, lenocinio, tráfico y corrupción de menores, así como a la elaboración, distribución y promoción de pornografía infantil, por cualquier medio. Análisis y desarrollo de investigaciones de campo sobre actividades de organizaciones locales e internacionales de pedofilia, así como de redes de prostitución infantil. Localización y puesta a disposición ante autoridades ministeriales de personas dedicadas a cometer delitos utilizando computadoras. Integrar un equipo especializado en delitos cibernéticos a fin de hacer este medio electrónico un lugar seguro para el intercambio de información. Analizar y atacar los diferentes tipos de delitos cibernéticos que se presentan en el ciberespacio, así como su modus operandi. Utilizar Internet como un instrumento para identificar a los delincuentes que cometen este tipo de delitos. Realizar patrullajes en la red a fin de localizar sitios que hayan podido ser vulnerados. Analizar y desarrollar estrategias para la identificación de los diversos delitos ocurridos en Internet. Con el objeto de dar a conocer medidas preventivas para navegar por Internet con mayor seguridad, la Dirección de la Policía Cibernética y Delitos Contra Menores, ofrecen pláticas y conferencias a instituciones públicas y privadas que así lo soliciten

19 Los mexicanos damos información a la menor provocación. En encuestas, por teléfono a desconocidos o a quienes apenas se identifican. Incluso se han registrado robos de información en los café Internet UNAM-CERT. Equipo de respuesta a incidentes de seguridad en Cómputo. UNAM-CERT. Equipo de respuesta a incidentes de seguridad en cómputo y de respuesta a incidentes de seguridad de la Universidad Nacional Autónoma de México, atiende incidentes del dominio.unam.mx, es el único CERT (Computer Emergency Response Team) de México reconocido oficialmente ante FIRST es, de hecho, el punto de contacto para los incidentes en el dominio.mx, colabora con entidades del sector gobierno, privado y financiero del país. En sus comienzos el Área de Seguridad en Cómputo, se encargaba de atender incidentes que reportaban los administradores de sistemas y de redes de la universidad como: Virus/gusanos en Windows. Intrusiones en sistemas Unix. Se acudía y revisaba el equipo ingresando y haciendo uso de comandos del sistema y de algunos scripts sencillos. En su principio estas actividades se encontraron con limitaciones como son: No había capacitación formal en el área de atención a incidentes y análisis forense. Los análisis resultaban en hallazgos en el sistema de archivos de material que los intrusos habían dejado visible. 9

20 No se tenía una metodología ni se tomaban precauciones necesarias para un forense. Era difícil detectar intrusiones sofisticadas. Cosas como los LKM (Loadable Kernel Module), rootkits resultaban complejas para analizar. Empezaba un auge global del Análisis Forense y se tenían las limitaciones propias de un área en surgimiento y evolución constante. En 2001, se registra oficialmente UNAM-CERT ante FIRST, conforme atienden más casos los incidentes que se atienden son cada vez más importantes además de contar con sus primeras experiencias con la iniciativa privada en ese mismo sentido surge la necesidad de capacitarse en materia de análisis Forense y emergen la atención de algunos casos en secretarías de Estado (ministerios), los casos más comunes son: Abuso de recursos para afectar a otras redes. Envío de correo spam. Sospechas de personas que acceden a archivos personales a los que no tienen permiso. Incidentes con implicaciones más importantes dentro de la Universidad. Colaboración con entidades gubernamentales encargadas de la investigación de delitos informáticos. Se participa en monitoreos mundiales sobre actividad maliciosa. Se trabaja de manera coordinada con instituciones financieras afectadas por problemas de fraudes. En el periodo , las distintas policías tienen ahora entidades dedicadas a la atención de delitos informáticos con las que UNAM-CERT ha 10

21 colaborado en Análisis Forense, en ese periodo las empresas más grandes empezaron a destinar más recursos a la atención a incidentes de seguridad informática, algunas procuradurías estatales cuentan con peritos en seguridad informática que realizan investigaciones forenses; en la actualidad muchos administradores de sistemas aún no tienen claro para qué sirve el análisis Forense por tanto en algunos casos sigue siendo difícil la respuesta al incidente, se ha tenido que clasificar los incidentes y definir adecuadamente los recursos para la atención y análisis de los casos 7. El equipo de respuesta a incidentes de seguridad en cómputo. De la UNAM en la actualidad realizan actividades como: Phishing. Botnets. Fraudes La legislación respecto a delitos informáticos. En México, los delitos informáticos se encuentran regulados por el Código Penal Federal, libro segundo, titulo noveno, que se refiere a la revelación de secretos y acceso ilícito a sistemas y equipos de informática, en su capítulo segundo dice: Artículo 211 bis 1. Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa

22 Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. Artículo 211 bis 2. Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Artículo 211 bis 3. Al que estando autorizado para acceder a sistemas y equipos de informática del estado, indebidamente modifique, destruya o provoque perdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática del estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa. 12

23 Artículo 211 bis 4. Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Artículo 211 bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque perdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este artículo se incrementaran en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero. 13

24 Artículo 211 bis 6. Para los efectos de los artículos 211 bis 4 y 211 bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 bis de este código. Artículo 211 bis 7. Las penas previstas en este capítulo se aumentaran hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno 8. El Análisis Forense se ha vuelto cada vez más importante en México, es importante cuidar la metodología y, sobre todo, los reportes que se generan de los análisis pues las implicaciones pueden ser severas, es importante capacitar a los administradores de red/sistemas en la detección de intrusiones y en la respuesta a incidentes, es por eso que las recomendaciones que se realizan para estas actividades son las siguientes: Hacer más eficiente la labor de atención a incidentes. Tener mecanismos para clasificar los incidentes y definir límites de recursos materiales y tiempo dedicado a cada caso. Capacitación constante de quienes hacen análisis forense

25 1.3 Metodología del Análisis Forense. En la actualidad existen numerosos métodos para la realización del Análisis Forense la mayoría de estos métodos son muy similares y dependiendo del autor existen pequeñas variaciones, por lo tanto, en este apartado se describe de manera general la metodología que debe seguir el Análisis Forense referente a discos duros. Pensando de forma policial, la escena del crimen es el disco duro, por lo que hay que evitar cualquier situación que pueda alterarlo y se pierdan pistas importantes de la intrusión. Una técnica para hacer Análisis Forense, es: 1. Identificación. Identificar y registrar toda posible evidencia; marcas, modelos y números de serie, mantener una copia con la evidencia. 2. Adquisición. Adquirir la evidencia sin alterarla o dañarla. Autentificar que la información de la evidencia obtenida es igual a la original. Obtener información de fuentes adicionales. 3. Análisis. Es necesario conocer a la víctima. Analizar la información sin modificarla. Identificar los archivos en la evidencia: normales, borrados, pedazos, protegidos, encriptados. Recuperar posibles datos relevantes, como: archivos borrados, archivos ocultos. password. Revelar el contenido de archivos ocultos, temporales, swap, encriptados o con 4. Presentación. Reporte explicito de la investigación. Listado de archivos y datos encontrados. Intentos de ocultar, borrar o proteger información. Todo aquello que se descubrió y pueda ser relevante. Posible autor y sus acciones

26 1.4 Modos de análisis A continuación se describe de forma general los dos posibles modos en que se puede llevar a cabo un Análisis Forense. Sistemas vivos o muertos Una decisión importante al comenzar el análisis de un equipo afectado se encuentra entre desconectar el equipo o dejarlo encendido. El análisis de un sistema vivo a veces tiene ventajas ya que se pueden examinar tablas de procesos para saber qué se está ejecutando, listar las conexiones de red o copiar lo que existe en memoria para analizarlo más tarde. La información se debe recoger en función de la volatilidad. Registros y contenidos de la cache. Contenidos de la memoria. Estado de las conexiones de red. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento. Dentro de las evidencias volátiles serán de interés: Fecha y hora. Procesos activos. Conexiones de red. Puertos TCP/IP abiertos. Usuarios conectados remota y localmente. 16

27 Sin embargo existen varios inconvenientes al hacer un análisis de este tipo, ya que puede no verse en realidad lo que hay y puede existir algún programa que oculte información al generar una imagen del disco duro. Un sistema muerto es más fácil de examinar, ya que después del apagado no se han modificado o eliminado pruebas sobre el sistema. Se recomienda solo tirar del cable de electricidad porque un apagado normal, podría iniciar algún programa destinado a eliminar la evidencia del daño. La ventaja de apagar el sistema es que se puede arrancar desde un medio confiable como un Live CD y crear una imagen del disco, sin sufrir alteraciones

28 CAPÍTULO II: FORENSIA DE DISCOS DUROS 2.1 Arquitectura general de un disco duro Definición y su función Estructura Física Elementos Estructura lógica de un disco duro. 2.2 Sistemas de archivos Sistema de archivos Componentes de un sistema de archivos Tipos de sistemas de archivos. 18

29 2.1 Arquitectura general de un disco duro Definición y su función. Es un dispositivo que permite el almacenamiento de grandes cantidades de información. Forman el principal elemento de la memoria secundaria en un ordenador. Estos dispositivos de almacenamiento utilizan un sistema de grabación magnética utilizando platos de metal (cerámica o cristal) recubiertos de óxidos ferrosos; la rigidez de este material es a lo que se debe el nombre de duro además de que su funcionamiento está basado en discos rígidos (en lugar de discos blandos, como los disquetes) Estructura Física. Un disco duro forma una caja herméticamente cerrada que contiene dos elementos no intercambiables: la unidad de lectura y escritura y el disco como tal. La unidad es un conjunto de componentes electrónicos y mecánicos que hacen posible el almacenamiento y recuperación de los datos en el disco. El disco es una pila de discos, llamados platos, que almacenan información magnéticamente que giran a gran velocidad (7200 o rpm). Cada uno de los platos tiene dos superficies magnéticas: la superior y la inferior. Estas superficies magnéticas están formadas por 19

30 millones de pequeños elementos capaces de ser magnetizados positiva o negativamente A cada lado de los platos y sobre cada cara hay un brazo con un cabezal. Una serie de cabezales (uno por cara del disco) montados sobre brazos que le permiten acceder a cualquier punto de la superficie magnética son los encargados de leer o escribir sobre los discos la información que envía (o solicita) el ordenador como se puede observar en la figura 2.1. Figura 2.1 Estructura interna de un Disco Duro. Fuente: Físicamente, la unidad mínima de almacenamiento en cualquier disco duro es el sector. Un sector consta de 512 bytes y es la electrónica del disco la que puede suministrar esa unidad mínima de datos. Un sistema operativo, no opera con sectores, sino con 'clusters'. Un cluster es la más pequeña unidad de almacenamiento en un disco duro y representa 8 sectores. El tamaño del cluster queda generalmente determinado por el sistema de archivos (FAT, FAT32, NTFS) y el tamaño del disco duro. 20

31 2.1.3 Elementos. Los datos se organizan en forma de pistas concéntricas, numeradas desde el borde exterior (pista cero) hasta el interior. El número de pistas varía de un disco a otro, dependiendo de su diámetro, tamaño de los cabezales, etc. Esta densidad de pistas es uno de los parámetros que determinan la capacidad del disco. Las pistas están agrupadas en "cilindros", que son el grupo de pistas de las diferentes caras que tienen el mismo número. Los cilindros se dividen en "sectores", en forma radial. Por tanto, cada sector queda unívocamente determinado si se conoce: cabeza, cilindro y sector. Las cabezas y cilindros comienzan a numerarse desde el cero y los sectores desde el uno. En consecuencia, el primer sector de un disco duro será el correspondiente a la cabeza 0, cilindro 0 y sector 1 como se observa en la figura 2.2. Figura 2.2 Numeración de cabezas cilindros y sectores. Fuente: 21

32 Todas estas divisiones y convenciones sirven para ubicar los datos dentro del disco, es decir, forman parte de la "dirección" del dato. El primer sistema de direccionamiento que se usó es CHS (cilindro-cabeza-sector), ya que con estos tres valores se puede situar un dato cualquiera del disco. En la actualidad se utiliza un sistema más sencillo, llamado LBA (Logical block addressing -Direccionamiento Lógico de Bloques), que consiste en dividir el disco entero en sectores y asignar a cada uno un único número Estructura lógica de un disco duro. La estructura lógica de un disco duro está formada por: El sector de arranque (Master Boot Record). Espacio particionado. Espacio sin particionar. Sistema de ficheros. Cluster El sector de arranque (Master Boot Record). En él se almacena la tabla de particiones (una especie de "mapa" de la ubicación de los datos) y un pequeño programa Master de inicialización, llamado también Master Boot. Este programa es el encargado de leer la tabla de particiones y ceder el control al sector de arranque de la partición activa. Las particiones ocupan un grupo de cilindros contiguos del disco duro. Cada partición del disco duro puede tener un sistema de archivos distinto

33 El particionamiento. Es una técnica simple que puede considerarse como un precursor de la gestión de volúmenes lógicos, conocida en inglés como LVM (Logical Volume Management). Mediante esta técnica, se puede ejecutar o instalar más de un sistema operativo en un ordenador, sin necesidad de particiones especificas. Esta técnica es la que permite los "live CD" o el booteo desde un pen drive. En un disco duro sólo pueden existir 4 particiones primarias -incluyendo la extendida- sólo las particiones primarias se pueden activar. Dentro de una partición extendida se pueden definir particiones lógicas sin límite. Si se habla de la arquitectura IBM PC, una partición es una parte del disco duro que puede tener su propio sistema de archivos, independiente de las demás. Existen tres tipos de particiones principales: 1. Partición primaria. 2. Partición extendida, que contiene una o más particiones lógicas. 3. Partición lógica. El espacio particionado es el espacio del disco que ha sido asignado a alguna partición. Las características más sobresalientes, desde el punto de vista mecánico, que se tienen en cuenta al comparar un disco duro con otro son las siguientes: Tiempo medio de acceso: Es el tiempo medio que tardan en situarse los cabezales en el cilindro deseado. Por lo general es más o menos una tercera parte del tiempo que tarda el brazo en ir desde el centro al exterior o viceversa. 23

34 Tiempo máximo de acceso: Tiempo que tarda el brazo que porta los cabezales en ir del centro al exterior o viceversa. Tiempo pista a pista: es el tiempo que tarda en pasar el brazo de la pista actual a la adyacente. Tasa de transferencia: Velocidad a la que el disco duro puede transferir la información al ordenador. Caché de pista: Los discos duros disponen de una memoria sólida, del tipo RAM (Random Access Memory), dentro del disco, que se utiliza como cache. En cuanto a los estándares de comunicación hay distintos a la hora de comunicar un disco duro con el ordenador. Los más utilizados son IDE/ATA, SCSI, y SATA (Serial-ATA). Sistema de ficheros. Cada sistema operativo tiene su propio sistema de ficheros para optimizar el espacio y la velocidad. Cluster. Conjunto contiguo de pistas que componen la unidad más pequeña de almacenamiento de un disco. 2.2 Sistemas de archivos Sistema de archivos Un sistema de archivos se refiere a los archivos y directorios almacenados en un computador son implementados para el almacenamiento, la organización jerárquica, la manipulación, el acceso, el direccionamiento y la recuperación de datos. Un sistema de archivos puede tener formatos diferentes llamados tipos de sistemas de archivos. Estos formatos determinan cómo se almacenará la información como archivos y directorios. 24

35 Ejemplos de sistemas de archivos son: FAT (File Allocation Table), NTFS (New Technology File System), UFS (Unix File System), ext2 (Second Extended FileSystem), ext3 (Third Extended FileSystem) 12. En general, los sistemas operativos tienen su propio sistema de archivos los cuales pueden ser representados de forma textual o gráficamente utilizando un gestor de archivos. El software del sistema de archivos se encarga de organizar los archivos (que suelen estar segmentados físicamente en pequeños bloques de pocos bytes) y directorios, manteniendo un registro de qué bloques pertenecen a qué archivos, qué bloques no se han utilizado y las direcciones físicas de cada bloque. Los sistemas de archivos pueden ser clasificados en tres categorías: sistemas de archivo de disco, sistemas de archivos de red y sistemas de archivos de propósito especial. Sistemas de archivo de disco (Disk file system). Tipo especial de sistema de archivos diseñado para el almacenamiento, acceso y manipulación de archivos en un dispositivo de almacenamiento. Son sistemas de archivos de disco: NTFS, EXT2, EXT3, FAT, UFS. Sistemas de archivos de red (Network file system). Tipo especial de sistema de archivos diseñado para acceder a sus archivos a través de una red. Este sistema se puede clasificar en dos: los sistemas de ficheros distribuidos (no proporcionan E/S en paralelo) y los sistemas de ficheros paralelos (proporcionan una E/S de datos en paralelo)

36 Un ejemplo de sistema de archivos distribuido es CIFS (Common Internet File System), también conocido como SMB o Samba. Sistemas de archivos de propósito especial (Special purpose file system). Aquellos tipos de sistemas de archivos que no son ni sistemas de archivos de disco, ni sistemas de archivos de red. Ejemplos: ftpfs (File Transfer Protocol File System), nntpfs, swap Componentes de un sistema de archivos. Siguiendo el modelo referencial planteado por Brian Carrier existen cinco categorías de datos de análisis para profundizar y comparar los diferentes tipos de sistemas de archivos: sistema de archivos, contenido, metadatos, nombre de archivos y aplicación. La categoría sistema de archivo es información que hace referencia a estructuras de datos disponibles, unidad de almacenamiento de datos, versión del sistema de archivos, fecha de creación, dicho de otra forma, es la información base para usuario del sistema. Por ejemplo para los sistemas FAT, esta información se puede encontrar en el sector de arranque (o boot sector). La categoría contenido incluye la localización donde se ubican los archivos, los bloques o sectores asignados (unidades de almacenamiento) en el disco. Estas unidades de almacenamiento pueden tener dos estados: asignado (allocated) y no asignado (nonallocated) ,175 26

37 Al hablar de metadatos, se hace referencia a la información que describe los archivos; es decir, datos que describen los datos. Esta categoría contiene información como: dónde está ubicado el contenido del archivo, qué tan grande es el archivo, la hora y fechas en que el archivo fue leído o modificado y el control de acceso al mismo. La categoría nombre de archivos considera los nombres mismos de los archivos y la dirección donde se encuentra los metadatos. La importancia de esta categoría reside en poder ubicar el directorio raíz donde se encuentran los archivos, para a partir de ahí revisar los metadatos e identificar la ubicación del mismo y proceder con su recuperación, si es el caso. Finalmente, la categoría aplicación contiene estructuras de datos que establecen características especiales adicionales en los sistemas de archivos como la capacidad de sistema de archivos de asignar y restringir el uso de espacio en disco o la capacidad del sistema de archivos de guardar registros de eventos ocurridos en él, con el propósito de contar con información para reconstrucción ante eventualidades Tipos de sistemas de archivos Sistema de archivos FAT Un disco formateado con FAT se asigna en clusters, cuyo tamaño está determinado por el tamaño del volumen. Cuando se crea un archivo, se crea una entrada en el directorio y se establece el primer número de cluster que contiene datos. Esta entrada de la tabla FAT indica que éste es el último cluster del archivo o señala al cluster siguiente. 14 Traducción tomada de JCM 2005 que hace referencia a Carrier, Brian. File system forensic analysis Addison Wesley ProfessionalEdition: PrimeraMarzo 17, 2005 pag 174,

38 El sistema de archivos FAT se caracteriza por la tabla de asignación de archivos (FAT), que en realidad es una tabla en la que reside la parte "superior" del volumen. Para proteger el volumen, se conservan dos copias de la FAT por si una de ellas resulta dañada. Además, las tablas de FAT y el directorio raíz deben almacenarse en una ubicación fija para que se puedan encontrar correctamente los archivos de inicio del sistema. Las particiones FAT tienen un tamaño limitado a un máximo de 4 Gigabytes (GB) bajo Windows NT y 2 GB en MS-DOS. Sistema de archivos HPFS (High Performance File System). El sistema de archivos HPFS se presentó por primera vez con OS/2 para permitir un mejor acceso a los discos duros mayores que estaban apareciendo en el mercado. Además, era necesario que un nuevo sistema de archivos extendiera el sistema de nomenclatura, la organización y la seguridad para las crecientes demandas del mercado de servidores de red. HPFS mantiene la organización de directorio de FAT, pero agrega la ordenación automática del directorio basada en nombres de archivo. Los nombres de archivo se extienden hasta 254 caracteres de doble byte. Además, la unidad de asignación cambia de clusters a sectores físicos, lo que reduce el espacio en disco perdido. HPFS intenta asignar la mayor cantidad de datos de un archivo en sectores contiguos como sea posible. De esta forma aumenta la velocidad al hacer un procesamiento secuencial de un archivo. 28

39 Sistema de archivos NTFS NTFS contiene muchas mejoras sobre los sistemas FAT. La más importante es la optimización del uso de memoria en volúmenes grandes, corrección de errores ante caídas de máquina o de hardware, protección y seguridad ante accesos no autorizados, un servicio de índices y compresión y encriptación de datos. Las características de recuperación de NTFS merecen una mención especial: Windows recuerda en tiempo real todas las modificaciones al sistema de archivos tomando checkpoints (puntos de sincronismo) que se usan, por ejemplo, para corregir en segundo plano y de modo transparente al usuario errores del sistema ante reinicios espontáneos. Al contrario que en sistema FAT, los cuales contiene una tabla de asignación de archivos al comienzo del volumen, NTFS organiza esto en una pieza central: la Master File Table (MFT). La MFT controla todos los ficheros en el volumen en una estructura de base de datos relacional metadata. La estructura de una entrada de la MFT, denominada file record; registro de archivo que se muestra a continuación en la tabla 2,1, se le otorga una dirección inicial basada en su localización en la tabla, iniciando por cero. La primera entrada en la tabla es $MFT, donde se describe en el disco la localización de ella misma. La localización de la MFT es establecida por el boot sector, el cual siempre se ubica en el primer sector del sistema de archivos. Encabezado de Entrada de MFT Atributos Atributos Atributos Espacio no utilizado Tabla 2.1 Estructra de la MFT Fuente:Estructura física de las entradas en la MFT [Tomado de: Carrier 2005, pág.275] 29

40 Desde el punto de vista de un usuario, NTFS sigue organizando los archivos en directorios que, al igual que ocurre en HPFS, se ordenan. Sin embargo, a diferencia de FAT o de HPFS, no hay ningún objeto "especial" en el disco y no hay ninguna dependencia del hardware subyacente. Además, no hay ninguna ubicación especial en el disco, como las tablas de FAT o los Bloques súper de HPFS. Los objetivos de NTFS: Confiabilidad, que es especialmente deseable para los sistemas avanzados y los servidores de archivos. Una plataforma para tener mayor funcionalidad. Compatibilidad con los requisitos de POSIX. Para garantizar la confiabilidad de NTFS, se trataron tres áreas principales: posibilidad de recuperación, eliminación de errores graves de un único sector y revisiones. NTFS es un sistema de archivos recuperable porque hace un seguimiento de las transacciones con el sistema de archivos. Cuando se ejecuta un comando chkdsk en FAT o HPFS, se comprueba la coherencia de los punteros dentro del directorio, la asignación y las tablas de archivos. En NTFS se mantiene un registro de transacciones con estos componentes de forma que chkdsk sólo tenga que deshacer las transacciones hasta el último punto de confirmación para recuperar la coherencia dentro del sistema de archivos. Una desventaja de NTFS es que no integra actualmente ningún cifrado de archivos. Por tanto, alguien puede iniciar bajo MS-DOS u otro sistema operativo y emplear una utilidad de edición de disco de bajo nivel para ver los datos almacenados en un volumen NTFS. 30

41 Sistema de archivos ext Dentro de Linux el sistema de archivos del kernel se organiza a partir del árbol de directorios, en este árbol se encuentran nombres de archivos y directorios. Junto con cada nombre hay un número que identifica de forma única la información y que permite ubicarla en algún dispositivo de almacenamiento. Los directorios y archivos de un sistema Unix tienen una estructura estándar, tal como se muestra en la tabla 2.2. / raiz (primaria) /boot contiene archivos de arranque del SO (primaria) /home contiene directorio de trabajo de usuarios (primaria) /var contiene archivos de tamaño variable /tmp contiene temporales, imágenes iso (9 Gb) /etc contiene archivos de configuración del sistema /dev contiene información de dispositivos swap memoria de interacambio (2RAM< 4Gb) Tabla 2.2 Arquitectura de archivos. Sistema de archivos ext2 Ext2 es un sistema de archivos desarrollado para y junto con Linux. Permite todas las características que el sistema de archivos virtual de Linux soporta: directorios y archivos como i-nodos (con permisos, dueños y tipos especiales). Entre sus límites se cuentan: nombres de archivos de máximo 255 caracteres, archivos de máximo 2GB, sistema de archivos de máximo 4TB. 31

42 En el disco la información se organiza en bloques (de 1024, 2048 o 4096 bytes), estos bloques se juntan en grupos (cada uno de máximo bloques), algunos de los bloques se reservan para el administrador para que pueda operar si los usuarios llegan a llenar el sistema de archivos. Cada grupo tiene algunos bloques de control y otros de datos, entre los bloques de control ésta una copia del superbloque; bloque que describe el sistema de archivos completo y una tabla de los nodos-i cuyos datos están en el bloque. Un nodo-i mantiene información sobre un archivo es decir: atributos (modo, uid, gid, fecha de acceso, fecha de creación, fecha de modificación, fecha de eliminación), cantidad de enlaces y lista de los bloques del grupo en donde se encuentra la información del archivo 15. Sistema de archivos ext3. El sistema de archivos ext3 es una versión mejorada de ext2. Las mejoras que se tienen son: Disponibilidad. Agrega a ext2 un journaling, en caso de fallo solo se revisan las últimas operaciones registradas. Integridad de los datos. Permite seleccionar el tipo y nivel de los datos en caso de un cierre inapropiado o caída del sistema. Máximo Tamaño de archivos: 16 Gb 2 Tb. Tamaño máximo de nombre de archivo: 255 Bytes Menor consumo de CPU. Fácil transición: migración de ext2 a ext

43 Sistema de archivos UFS Es el acrónimo para denominar al sistema de archivos UNIX file system (UFS) el cual es un sistema de archivos utilizado por varios sistemas operativos UNIX y tipo-unix. El cual es soportado por diferentes sistemas basados en UNIX como Solaris, FreeBSD, OpenBSD y Mac OS X. En Linux, existe soporte parcial al sistema de archivos UFS, de solo lectura, y utiliza sistema de archivos nativo de tipo ext2 el cual es inspirado en UFS. 33

44 CAPÍTULO III: HERRAMIENTAS PARA ANÁLISIS FORENSE 3.1 Importancia de Herramientas en la Forensia Informática Evidencia Equipo. 3.2 DD. 3.3 Autopsy. 3.4 AccessData Forensic Toolkit (FTK ). 3.5 X-WAY Forensics. 3.6 Helix. 34

45 3.1 Importancia de herramientas en la forensia informática. La importancia que tiene el recabo y almacenamiento de evidencia digital tal como un incidente de seguridad está contenida en el RFC Si la recolección de la evidencia es correcta, será de mucha utilidad para determinar al culpable de algún ataque. El punto cinco de este documento menciona el uso de las herramientas que se deben tener para realizar recolección de evidencia. Se debe contar con los programas necesarios para la recolección y forensia de datos en un dispositivo de almacenamiento. El kit debe incluir lo siguiente: Una herramienta para examinar procesos. Una herramienta para analizar el estado del sistema. Herramientas para generar cadenas MD5. Programas para generar imágenes bit a bit y poder analizarlas. Scripts para la recolección de evidencias. 35

46 3.1.1 Evidencia siguientes: Las características del Disco Duro tomado como evidencia son las Disco Duro interno. Serial Attached ATA. Capacidad de 160 GB RPM. Firmware 3.ADA. Figura 3.1 Disco duro ocupado como evidencia Equipo base. Datos Equipo Base: Procesador: Core 2 Duo 2.19 Ghz. RAM: 1 Gb. Sistema Operativo: Windows XP SP3. Sistema de Archivos: NTFS. Tamaño de la partición analizada: Gb. 36

47 3.2 DD Utilidad mediante comandos existente desde hace tiempo en los sistemas Unix, se encuentra bajo GPL. Permite copiar bloque a bloque la información, mediante la generación de una imagen del dispositivo para poder trabajar con ella y no bajo la evidencia original. Sin embargo si el medio del cual se desea extraer la información esta y dañado, será muy difícil extraerla mediante esta herramienta. Crear una imagen del dispositivo. En una terminal se escribe el siguiente comando. dd if=\\.\l: of=k:\tesinadd\tesina.dd bs=4096 conv=noerror Hacer copia de seguridad de la imagen Figura 3.2 Comandos desplegados en consola para la creación de una imagen con DD. 37

48 3.3 Autopsy Figura 3.3 Autopsy Descripción Autopsy es una herramienta forense de The Sleuth Kit (TSK) con una interfaz gráfica (browser), con el cual se pueden hacer análisis no intrusivos en los sistemas a investigar. Proporciona una interfaz tipo Manejador de Archivos, y muestra detalles sobre datos borrados y estructuras del sistema de archivos. Funcionamiento: Permite visualizar archivos y directorio borrados y existentes. Generación de informes. Analiza imagenes creadas con DD. Soporta FAT, NTFS, ext2 y ext3. Búsquedas en NIST (National Software Reference Library NSRL ). Búsquedas con expresiones regulares. 38

49 Técnicas de búsqueda de evidencia Listado de Archivos: Analiza los archivos y directorios, incluyendo los nombres de archivos eliminados y nombres de archivos basados en Unicode. Contenido de Archivos: Los contenidos de archivos pueden ser visualizados en bruto (raw), hexadecimal o en cadenas ASCII extraídas. Lista de HASH: Para identificar rápidamente archivos desconocidos como confiables o dañinos se realizan operaciones de búsqueda en una lista de hash. Autopsy utiliza NIST y listas de archivos conocidos como confiables o dañinos creadas por los usuarios. Ordenando por tipo de archivo: Para identificar archivos de un tipo conocido, se ordenan los archivos basándose en sus firmas internas. La extensión de un archivo puede ser comparada también con un tipo de archivo para identificar archivos que pueden tener su extensión modificada para ocultarlos.. Línea de tiempo de la actividad de archivos: Autopsy puede crear líneas de tiempo que contienen entradas de los tiempos de Modificación, Acceso, y Cambio (MAC) de archivos asignados y sin asignar. Búsqueda de palabras clave: Las búsquedas de palabras clave en una imagen de un sistema de archivos puede ser realizado utilizando cadenas ASCII y expresiones regulares. Análisis de Metadatos: Autopsy permite visualizar detalles de cualquier estructura de metadatos en el sistema de archivos. Esto es útil para la recuperación de contenido eliminado. 39

50 Detalles de la imagen: Los detalles del sistema de archivos pueden ser visualizados, incluyendo la disposición sobre el disco y tiempos de actividad. Este modo proporciona información que es de utilidad durante la recuperación de datos 17. Comenzar con Autopsy. Por defecto Autopsy usa la URL, Se crea un nuevo caso: lo cual creará un nuevo directorio en el sistema para poder ir añadiendo la evidencia. Figura 3.4 Generar un nuevo caso desde el browser