Análisis Forense
Ya os he comentado que soy aficionado a la seguridad infórmatica, y hoy voy a hablaros sobre una de sus ramas, el analisis forense.
El análasis forense de computadores consiste en examinar una maquina comprometida (atacada), para saber quién la atacó, desde donde la atacó, como logró acceso al sistema, y que hizo en el sistema. Os explico básicamente como se debe de proceder:
- Cuando se sabe que una maquina ha sido atacada, lo primero que hay que tener en cuenta es que tenemos que conservar el sistema los mas intacto posible, para evitar el borrado accidental de pruebas digitales.
- Luego podemos hacer dos cosas, una analizarla "en caliente", es decir con el sistema encendido, con el inconveniente que supone, al usarla encendida modificamos el sistema y podemos destruir alguna prueba, asi como puede ser que el atacante intente atacar otras maquinas de nuestra red, por lo que habría que desconectar el cable de red, si analizamos el sistema encendido tenemos que tener en cuenta la posibilidad de que existan rootkits que oculten algunos procesos. O bien apagar el sistema, pero no apagarlo de manera normal, ya que eso supondría la posibilidad de pérdida de valiosas pruebas, así que lo que hay que hacer es desconectarlo de la corriente eléctrica, sí, habeis leido bien, hay que desenchufar el ordenador. El inconveniente que supone es que no podemos analizar la memoria RAM, sin embargo tenemos la gran ventaja de que el disco duro está intacto, y tambien hemos evitado que el atacante ataque mas sistemas de nuestra red.
- Una vez hemos desconectado la maquina desmontamos el disco duro y lo montamos en otro ordenador (es muy recomendable que tenga linux). Una vez este conectado tenemos que realizar tres imagenes bit a bit del disco duro, que podemos hacerlo con el comando dd, cuya sintaxis es la siguiente: dd if=/dev/hda2 of=/media/analisis/imagen.img Donde if indica el archivo de entrada (el archivo (disco duro) del cual queremos crear la imagen) y of el de salida (donde guardaremos la imagen. Por qué tres imagenes?? pues una para guardarla junto al disco duro envuelto y cerrado en una caja fuerte con una etiqueta que ponga la fecha, de que sistema es, y el checksum. Otra imagen sera con la que trabajaremos durante el analisis, y por último, la tercera se la entragamos etiquetada a alguien de confianza para que la guarde tambien como prueba en caso de juicio.
- Luego tenemos que montar la imagen con los siguientes parametros: ro, loop, nodev,noexec Tras esto, procederemos al analisis, miraremos los ficheros logs, veremos los ultimos logins realizados en el sistema, buscaremos usuarios sospechosos el el archivo /etc/passwd, y tambien revisaremos la integridad de los archivos importantes del sistema, para asegurarnos de que no existen rootkits, revisaremos las MAC times de los archivos (modified, acceded, created, fechas de modificación, acceso y creaccion de los archivos), que podremos realizar usando TCT (The Coroner's Toolkit), para revisar si ha habido algun cambio en algun archivo importante.
- Tras todo esto deberemos tener una idea aproximada de lo que ha ocurrido, luego despues de esto ya seguiremos una linea de investigacion u otra, segun hayamos descubierto una cosa u otra.
Para mas informacion os dejo unos enlaces, tambien que sepais de la existencia de un reto de analisis forense el cual ya va por la tercera edicion, de las tres ya se dispone de resultados en pdf, asi que los podeis consultar para ver como se realiza un analisis forense.
Enlaces de interes
The Coroner's Toolkit
Reto Forense v1
Reto Forense v2
Reto Forense v3
Forensic-es.org
Security Focus
Forensics Focus
Computer Forensics, Cybercrime and Steganography Resources
E-vindence
Live cds de seguridad
Live cds de analisis forense
Bueno eso es todo, hasta la próxima.
Saludos.
El análasis forense de computadores consiste en examinar una maquina comprometida (atacada), para saber quién la atacó, desde donde la atacó, como logró acceso al sistema, y que hizo en el sistema. Os explico básicamente como se debe de proceder:
- Cuando se sabe que una maquina ha sido atacada, lo primero que hay que tener en cuenta es que tenemos que conservar el sistema los mas intacto posible, para evitar el borrado accidental de pruebas digitales.
- Luego podemos hacer dos cosas, una analizarla "en caliente", es decir con el sistema encendido, con el inconveniente que supone, al usarla encendida modificamos el sistema y podemos destruir alguna prueba, asi como puede ser que el atacante intente atacar otras maquinas de nuestra red, por lo que habría que desconectar el cable de red, si analizamos el sistema encendido tenemos que tener en cuenta la posibilidad de que existan rootkits que oculten algunos procesos. O bien apagar el sistema, pero no apagarlo de manera normal, ya que eso supondría la posibilidad de pérdida de valiosas pruebas, así que lo que hay que hacer es desconectarlo de la corriente eléctrica, sí, habeis leido bien, hay que desenchufar el ordenador. El inconveniente que supone es que no podemos analizar la memoria RAM, sin embargo tenemos la gran ventaja de que el disco duro está intacto, y tambien hemos evitado que el atacante ataque mas sistemas de nuestra red.
- Una vez hemos desconectado la maquina desmontamos el disco duro y lo montamos en otro ordenador (es muy recomendable que tenga linux). Una vez este conectado tenemos que realizar tres imagenes bit a bit del disco duro, que podemos hacerlo con el comando dd, cuya sintaxis es la siguiente: dd if=/dev/hda2 of=/media/analisis/imagen.img Donde if indica el archivo de entrada (el archivo (disco duro) del cual queremos crear la imagen) y of el de salida (donde guardaremos la imagen. Por qué tres imagenes?? pues una para guardarla junto al disco duro envuelto y cerrado en una caja fuerte con una etiqueta que ponga la fecha, de que sistema es, y el checksum. Otra imagen sera con la que trabajaremos durante el analisis, y por último, la tercera se la entragamos etiquetada a alguien de confianza para que la guarde tambien como prueba en caso de juicio.
- Luego tenemos que montar la imagen con los siguientes parametros: ro, loop, nodev,noexec Tras esto, procederemos al analisis, miraremos los ficheros logs, veremos los ultimos logins realizados en el sistema, buscaremos usuarios sospechosos el el archivo /etc/passwd, y tambien revisaremos la integridad de los archivos importantes del sistema, para asegurarnos de que no existen rootkits, revisaremos las MAC times de los archivos (modified, acceded, created, fechas de modificación, acceso y creaccion de los archivos), que podremos realizar usando TCT (The Coroner's Toolkit), para revisar si ha habido algun cambio en algun archivo importante.
- Tras todo esto deberemos tener una idea aproximada de lo que ha ocurrido, luego despues de esto ya seguiremos una linea de investigacion u otra, segun hayamos descubierto una cosa u otra.
Para mas informacion os dejo unos enlaces, tambien que sepais de la existencia de un reto de analisis forense el cual ya va por la tercera edicion, de las tres ya se dispone de resultados en pdf, asi que los podeis consultar para ver como se realiza un analisis forense.
Enlaces de interes
The Coroner's Toolkit
Reto Forense v1
Reto Forense v2
Reto Forense v3
Forensic-es.org
Security Focus
Forensics Focus
Computer Forensics, Cybercrime and Steganography Resources
E-vindence
Live cds de seguridad
Live cds de analisis forense
Bueno eso es todo, hasta la próxima.
Saludos.
posted by Neobius @ 18:02
0 Comments:
Publicar un comentario
<< Home