Reto de RedIRIS de Análisis Forense

Transcripción

1 Reto de RedIRIS de Análisis Forense Omar Walid Llorente Mayo de 2004 Introducción Qué es el análisis forense? Qué es un reto de análisis forense? Quién lo organiza? RedIRIS PED: Honeynet Project: Linuxsecurity.com: Cuáles son los objetivos de un reto? Cómo se prepara un reto de análisis forense? 2

2 Reto de RedIRIS 2003 Patrocinadores: Normativa: Se permitía el uso de cualquier herramienta de análisis Se permitía la participación individual o conjunta Se pide la realización de dos informes: ejecutivo y técnico La entrega de documentos ha de ser anónima y sellada temporalmente Fechas: del 11 Noviembre 2003 al 1 Enero 2004 a las 00:00 GMT Premios: Herramientas y documentación de seguridad para los cinco mejores Valoración: Se premiará a quienes presenten un informe más completo ateniéndose a la normativa 3 Datos y ordenador necesarios Imágenes crudas de los sistemas de ficheros de la máquina atacada Imagen cruda de la partición de swap de la máquina atacada Herramientas de comprobación de archivos (md5sum) Herramientas de (des)compresión de ficheros (bzip2) Características requeridas del ordenador de análisis: Gran cantidad de memoria y CPU Sistemas de almacenamiento de acceso rápido y aleatorio Alimentación ininterrumpida Portátil Conectado a Internet 4

3 Herramientas genéricas Herramientas de gestión de archivos (kernel linux): Para poder trabajar con imágenes crudas (loop-device) Para poder leer el sistema de ficheros de la máquina atacada (ext2, ext3, reiserfs, afs, xfs, vfat, ntfs, bsd, apple-hfs, sun ) Para analizar el sistema de ficheros (particiones, i-nodos) Para recuperar archivos borrados (directorios, ficheros) Para comprobar fechas de cambio de status [ctime], uso [atime] o modificación [mtime] (stat, ls --full-time time={status,use}) Herramientas de búsqueda y ordenación de archivos (ls, find, sort) Herramientas de búsqueda de cadenas y patrones en los archivos (grep, awk) 5 Herramientas específicas Herramienta de análisis forense: Sleuth Kit + Autopsy URL: Está basada en The Coroner s Toolkit, Está dividida en dos partes: Interfaz gráfico (Autopsy) Basado en tecnología web + seguridad Conjunto de herramientas de análisis (Sleuth Kit) Interfaz tipo texto Para acceder, se utiliza un navegador web estándar. 6

4 Sub-herramientas de Sleuth Kit fsstat: Da detalles del sistema de ficheros, así como estadísticas de perfiles, tamaños y etiquetas. ffind: Busca nombres de ficheros borrados o no que apuntan a una estructura de metadatos determinada. fls: Lista los nombres de ficheros borrados o no de un directorio. icat: Extrae las unidades de datos de un fichero determinado especificado por su dirección de estructura de metadatos. ifind: Busca la estructura de metadatos que apunta a un nombre de fichero concreto o la estructura de metadatos que apunta a una unidad de metadatos concreta. ils: Lista las estructuras de metadatos y sus contenidos en un formato delimitado por caracteres " ". istat: Muestra las estadísticas y detalles sobre una estructura de metadatos concreta de forma sencilla de leer. dcat: Extrae los contenidos de una unidad de datos concreta. 7 Sub-herramientas de Sleuth Kit dls: Lista los detalles sobre unidades de datos y extrae el espacio sin utilizar dle sistema de ficheros. dstat: Muestra las estadísticas de una unidad de datos concreta de forma sencilla. dcalc: Calcula dónde están los datos del espacio sin utilizar (del dls) en el fichoro imagen original del sistema de ficheros. mmls: Muestra el perfil de un disco, incluyendo el espacio libre. La salida identifica el tipo de partición y su tamaño, lo que permite usar dd sencillamente para extraer las particiones. hfind: Utiliza un algoritmo de ordenado binario para buscar hashes en las bases de datos NIST NSRL, Hashkeeper, and otras bases de datos hash creadas con md5sum. mactime: Toma su entrada de las herramientas fls e ils para crear una línea temporal de las actividades de los ficheros. sorter: Ordena los archivos basándose en el tipo de fichero y realiza un test de dada uno a partir de su extensión y de la búsqueda en bases de datos hash 8

5 Interfaz gráfico 9 Referencias Computer Forensic Analysis: Basic Steps in Forensic Analysis of Unix Systems Defeating Forensic Analysis on Unix Forensic Analysis of a Live Linux System Honeynet in Spanish: 10