Curso de Analisis Forense. Sancho Lerena

Transcripción

1 Curso de Analisis Forense Sancho Lerena Enero 2005

2 Introducción Introducción al Análisis Forense Qué es y que no es Características Qué se necesita. 2

3 Introducción Conceptos y enfoque inicial Cuándo se necesita un Análisis Forense Problemas del Análisis Forense Reconstrucción de los hechos Otras respuestas además del Análisis Forense. 3

4 Introducción Técnicas generales de Análisis Forense Pasos previos. Principio de incertidumbre Cadena de confianza Organización y procedimientos iniciales Trampas al Analista Forense Identificación de las fuentes de datos Creación de una "Time-line" Clasificación de las evidencias Protección de las evidencias 4

5 Introducción 4.0 Técnicas de análisis de disco Análisis de archivos en imágenes de disco Análisis de logs y registros de aplicaciones Análisis de volcados (dump) y memoria swap Análisis de archivos borrados Ocultación de datos en archivos Steganografía Particiones y otras posibilidades Cifrado de archivos y sistemas de archivos LABORATORIO 1 - Análisis de disco. 5

6 Introducción Técnicas de análisis de red Capturas raw Capturas filtradas IDS Honeypots LABORATORIO 2 - Análisis de red. 6

7 Introducción Técnicas de análisis en otros sistemas Accesos en servidores de autenticacion Accesos via proxy, caché y similares Rastreo de IP 7

8 Introducción Técnicas de análisis de binarios Búsqueda de cadenas Rastreo en red Rastreo de llamadas al sistema Decompilación Desemsamblado LABORATORIO 3 - Análisis de binarios 8

9 Parte 1 - Introducción Qué es el análisis forense La recolección y el análisis de datos hecha de manera que no se alteren los datos originales y que permita la fiel reconstrucción de lo que ha sucedido en un sistema Qué NO es el análisis forense - Poner trampas, engañar o perseguir a la gente. - Identificar autores de incidentes. - Tratar con las compañias, los medios de comunicacion. - Cualquier otra cosa qe no sea estrictamente técnica. - Rebuscar de cualquier manera en una fuente de datos. 9

10 Parte 1 - Introduccion Características Los sistemas son muy complejos: necesidad de adaptacion y reciclaje técnico veloz. Las cosas se pueden ocultar de infinitas maneras. No existe software para todo. El conocimiento y la experiencia son muy importantes. El análisis es muy lento. 10

11 Parte 1 - Introduccion Qué se requiere Capacidad técnica. Conocer las implicaciones técnicas de tus acciones. Conocer cómo se puede manipular la información. Etica profesional. Inteligencia, mente abierta e intuición. Formación contínua. 11

12 Parte 2 Enfoque inicial 12

13 Parte 2 Enfoque inicial Cuándo se necesita un Análisis Forense Procesos judiciales Recuperacion de evidencias Casos de pirateria, pederastia, robo de información, etc Peritajes informaticos. Procesos de investigación Incidentes de seguridad. Hacking, intrusiones, fugas de información, sabotaje, etc Recuperación de datos Sabotaje, desastre, otros. Recuperación de evidencias. Combinación de factores. 13

14 Parte 2 Enfoque inicial Dificultades implícitas No somos adivinos. No sabemos que ha pasado. No sabemos a quien o qué nos enfrentamos. No sabemos en qué o en quien confiar. Siempre habra problemas que nos sobrepasen. Volatilidad del medio. El legado de Heisenberg. 14

15 Parte 2 Enfoque inicial Reconstruyendo los hechos Objetivo (en procesos de investigación) Saber QUÉ ha ocurrido. CUANDO ha sucedido CÓMO ha sido. Las fechas están para orientarnos. Creación de la línea de tiempo. Examinar sólo una ventana de tiempo a la vez. Seguir la pista sin perdernos. 15

16 Parte 2 Enfoque inicial Otras respuestas simultáneas al Análisis Forense El analista VS el político Contacto con las autoridades. CERT. Servicios de seguridad. Proveedor de servicios. RFC 2196 Contacto con los medios. RFC 2196 (p 5.2.6) 16 Contacto con la empresa. RFC 2350, RFC 2196

17 Parte 3 - Técnicas generales de Análisis Forense 17

18 Parte 3 - Técnicas generales de Análisis Forense Pasos previos. El DEBER de proteger la integridad de la información. Principio de incertidumbre Examinar o almacenar una parte del sistema, modificará alguna parte del sistema. 18

19 Parte 3 - Técnicas generales de Análisis Forense Cadena de confianza El shell y las variables de entorno. El comando Librerias dinamicas Controladores o modulos Kernel Hardware 19

20 Parte 3 - Técnicas generales de Análisis Forense Organización y procedimientos iniciales Aislar el medio Realizar copias Verificar la integridad del mismo Crear un timeline Analisis de datos 20

21 Parte 3 - Técnicas generales de Análisis Forense Trampas al analista Trampas al acceder al medio Troyanos autodestructivos, demonios watchdog, trampas binarias, bombas lógicas Trampas al apagar Información volátil: claves, índices, datos. Trampas al encender Watchdog de encendido, trampas físicas. 21 Ocultación de datos Steganografía, ocultación en sistemas de archivos, dispersión de datos, etc

22 22 Curso de Analisis Forense 2005 Parte 3 - Técnicas generales de Análisis Forense Identificación de las fuentes de datos - Sistema de archivos local. - Logs de sistema - Logs de aplicación. - Swap y volcados de memoria - Archivos borrados. - Particiones ocultas - Red. - Servidores de acceso remoto -> Radius, RAS. - Servidores de autenticacion -> LDAP, Domain Controller, etc. - Network IDS (remotos). - Host IDS (local). - Honeypots en misma red.

23 Parte 3 - Técnicas generales de Análisis Forense Creación de una "Time-line" Nos da un poco de orden en el caos. Secuencia las acciones, basandonos en: Acceso a los archivos. Creación/Modificación de los archivos. Ventanas de tiempo 23

24 Parte 3 - Técnicas generales de Análisis Forense Clasificación de las evidencias. Secuencia en el tiempo (Timeline) Ficheros Secuecias de comandos, información recolectada del sistema Logs, textos, binarios, imagenes y otro tipo de archivos. Datos RAW. Pistas: Cadenas encontradas en el ruido. Indicios no vinculantes. Notas aportadas por el investigador 24

25 Parte 3 - Técnicas generales de Análisis Forense Protección de las evidencias. Crear un entorno de trabajo seguro Chroot, maquinas independientes, vmware Extracción segura de las evidencias Dispositivos externos, discos duros extraibles, firewire Necesidad de mantener la integridad de las evidencias. Creación de HASHes (MD5, SHA1, herramientas automaticas) Redundancia de la información. Copias de seguridad de TODO. 25

26 Descanso 26

27 Parte 4 - Técnicas de análisis de disco Análisis de archivos en imágenes de disco #1 Acceso a los discos Mediante un arranque en frio con un bootdisk Dispositivos externos (USB, Firewire) A los discos fisicamente (conexion fisica IDE/SCSI...) En caliente Acceso al dispositivo Norton Ghost Acronis Otros.. dd if=/dev/hda 27

28 Parte 4 - Técnicas de análisis de disco Análisis de archivos en imágenes de disco #2 Imágenes de discos. Formatos Entorno de trabajo seguro vmware chroot Dispositivos loopback Réplica exacta 28

29 Parte 4 - Técnicas de análisis de disco Análisis de archivos en imágenes de disco #3 Herramientas para trabajar con imagenes Sleuthkit, heredero de The Coroner's Toolkit (TCT) encase, herramienta comercial (Windows) dd Norton Ghost (Windows) Acronis (Windows) 29

30 Parte 4 - Técnicas de análisis de disco Análisis de archivos en imágenes de disco #4 30

31 Parte 4 - Técnicas de análisis de disco Analisis de logs - Syslog, event log y similares (Bitácora del sistema) - Demonios del sistema. - Servidores web y de aplicaciones distribuidas. - Logs de autenticación y acceso remoto. - Históricos de comandos. - Históricos de accesos. - Favoritos, ultimos sitios navegados, y similares. - Cachés de passwords. 31 Herramientas: grep, expresiones regulares y scripting.

32 32 Curso de Analisis Forense 2005 Parte 4 - Técnicas de análisis de disco Volcados de memoria y disco Espacio de memoria SWAP Volcados de memoria (Core dumps) Espacio en disco no asignado Herramientas: autopsy - sleuthkit strings encase

33 33 Curso de Analisis Forense 2005 Parte 4 - Técnicas de análisis de disco Análisis de archivos borrados Sistemas de Asignacion de archivos comunes FAT y variantes EXT y variantes Archivos borrados undelete Borrado seguro wipe Recuperación manual de datos dd

34 Parte 4 - Técnicas de análisis de disco Análisis de archivos en caliente No recomendado No es un analisis forense, es una Biopsia Afecta a los datos obtenidos. Borrado accidental de evidencias o modificación. Facilidad de caer en una trampa. 34 Técnicas basicas Analisis SWAP Analisis /proc/kore en Linux Analisis logs Analisis modulos kernel Busqueda de troyanos y rootkits

35 Parte 4 - Técnicas de análisis de disco Ocultación de datos en archivos Steganografía Métodos Estadística. Difusión de error. Inserción de bloques. Graficos (JPEG, GIF, etc) jphide, outguess, steghide, F5, camouflaje vs metodos manuales Textos 35 Sonido (MP3)

36 Parte 4 - Técnicas de análisis de disco Cifrado y sistemas de archivo Sistemas de disco cifrado. Forzado de mecanismos criptográficos. fcrackzip Cifrado de llave publica / llave privada pgp Ocultación de datos en particiones ocultas Ocultación y cifrado. Sistemas de archivos steganográficos. 36

37 Parte 4 - Técnicas de análisis de disco LABORATORIO DE DISCO 37

38 Parte 4 - Técnicas de análisis de disco Práctica 1. Se ha encontrado un diskete en el registro del domicio de un sospechoso acusado de terrorismo. Se buscan pruebas contra él. En ese disco pueden ocultarse datos, se sospecha que una organización esta formando a sus activos sobre manejo y fabricación de explosivos, asi como dándoles información sobre sus objetivos (fotografías, etc). Determinar si existen pruebas que sirvan para acusar al sospechoso y asegurar su veracidad. Si es posible averiguar algo sobre la posible víctima, será un bonus. 38

39 Parte 4 - Técnicas de análisis de disco Práctica 2. Gracias al enjuiciamiento por actividades terroristas, se ha seguido de un grupo terrorista hasta una universidad de Madrid. Se ha incautado abundante material informático de varios de los asistentes a una reunión underground en la Universidad. Se sabe que uno de los detenidos está ultimando un atentado contra un empresario de Madrid, se necesita saber el método empleado y si es posible la fecha y el lugar. 39

40 40 Curso de Analisis Forense 2005 Parte 4 - Técnicas de análisis de disco Práctica 3. Se ha seguido la pista del detenido, un experto en hacking, hasta un servidor ubicado en el centro de datos de una empresa en Sevilla que ha sido utilizado para almacenar información sobre fabricación de bombas y desde el cual se sospecha existe abundante información sobre la banda de extorsión. Se ha tenido acceso al servidor por mediación de la policia y el juez nos pide como peritos que colaboremos con la policía científica para investigar si el servidor ha sido hackeado, cuando, y que contiene que valor para la investigación. Esta práctica continuará para su resolución en la parte 5: Análisis de Red e IDS

41 Parte 5 Técnicas de análisis en red Capturar del cable en modo raw Sniffers y modo promiscuo Herramientas snifferpro y otras herramientas comerciales. tcpdump ethereal tethereal 41

42 Parte 5 Técnicas de análisis en red Capturar del cable con filtros Herramientas ngrep dsniff Otras herramientas p0f perl, grep, scripting 42

43 Parte 5 Técnicas de análisis de red IDS Que es un IDS y como funciona. snort realsecure man hunt dragon Propósito y arquitectura de un IDS Trabajo inline Tipos de registros y capturas (eventos, pcap) Sobresaturación, falsos positivos, falsos negativos. 43 Engaño a los IDS

44 Parte 5 Técnicas de análisis de red Honeypots Introducción a los honetpots Honeynet project Herramientas sebek (LKM) tarpits honeyd vmware otros 44

45 Parte 5 Técnicas de análisis de red Práctica 4 Conjuntamente con el análisis de la practica 3 de disco, existe información obtenida por medio de IDS del tráfico hacia el servidor. Con ayuda de esta información y del análisis de disco, determinar exactamente el tipo de ataque sufrido y el modus operandi del agresor, asi como las consecuencias de dicho ataque. 45

46 Parte 6 - Técnicas de analisis en otros sistemas 46

47 Parte 6 - Técnicas de analisis en otros sistemas Accesos en servidores de autenticación Radius. R.A.S. Registros telefónicos. Telefonía Móvil. 47

48 Parte 6 - Técnicas de analisis en otros sistemas Accesos via proxy, caché y similares Rastreo de IP Contacto con proveedores 48

49 Descanso 49

50 Parte 7 - Técnicas de análisis de binarios Introducción Puede ser peligroso. Complejidad. Aproximación en frio Búsqueda de cadenas. Dependencia de librerías. Formato de archivo. Decompilación Desensamblado. 50

51 Parte 7 - Técnicas de análisis de binarios Aproximación en caliente Aislar el medio Réplica hardware Réplica virtual (vmware) Jaula root Ejecución con trazas ltrace strace Captura de red en la ejecución 51

52 Parte 7 - Técnicas de análisis de binarios LABORATORIO DE BINARIOS 52

53 Parte 7 - Técnicas de análisis de binarios Práctica 5 Se han encontrado un juego de varias herramientas (binarios) utilizados por el intruso de la práctica 3 y 4. Se pide determinar el origen de estas herramientas, su utilidad y su autoría, por si esto nos pudiera dar mas pistas sobre el autor de los hechos. 53

54 54 Curso de Analisis Forense 2005 Práctica final (Bonus) Práctica 6. Un juez nos pide que determinemos si una persona, acusada de Pedofilia, es culpable o no. En este caso, todo tipo de fotos de gatos serán considerado como material pedofilo para la práctica. En esta práctica haremos uso de todas las técnica de análisis forense vistas durante el curso. Además contaremos con la dificultad añadida de ser un entorno bastante caótico: Windows98. No debemos olvidar que el método basado en líneas de tiempo es de especial importancia para seguir todas y cada una de las pistas y que nuestra motivación debe ser objetiva, esto es, debemos tener una ética que exige imparcialidad y no dejarnos llevar por nuestros juicios de valor.

55 Revisión final Analisis Forense 55 Medio cambiante. Complejidad técnica. Reto y evolución contínuo. Múltiples aproximaciones. Metodología básica Técnicas básicas: Preservar información. Copiar / Acceder información. Análisis de disco. Análisis de red. Análisis de binarios. Análisis de datos en general.

56 Fin del curso Curso de Análisis Forense Noviembre 2004 Dudas, preguntas, sugerencias y quejas: Sancho Lerena slerena@gmail.com 56