FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI05 Analisis forense de sistemas
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
AI05 Analisis forense de sistemas
1. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 1
ANÁLISIS FORENSE
DE SISTEMAS
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM
2. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 2
Índice
1. Introducción
2. ISO/IEC 27037
3. Recolección de datos
4. Análisis de evidencias
5. Respuesta a incidentes
6. Bibliografía
3. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 3
1 Introducción – Análisis Forense
Análisis Forense: se trata de saber quién, cuándo,
dónde, cómo y por qué se produjo un incidente de
seguridad
Análisis Forense: proceso para identificar, analizar y
presentar evidencias digitales, de modo y forma
que sean aceptadas en un tribunal
Análisis Forense: proceso interactivo que parte de
una hipótesis y una línea temporal (fecha y hora
aproximada del incidente) y que evoluciona según se
van constatando evidencias
4. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 4
1 Introducción – Análisis Forense
Características del análisis forense
Documentado
Reproducible
Resultados verificables
Independiente
Del investigador
De las herramientas empleadas
De la metodología
5. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 5
1 Introducción – Evidencia digital
Evidencia digital
Cualquier información contrastable del sistema
Información de valor probatorio: que prueba o ayuda
a probar algo relevante en relación con el sistema
Las evidencias tienen que ser recogidas según
procedimientos formales y por personal autorizado
para poder establecer su fiabilidad y respetando el
derecho a la intimidad
La evidencia tiene que ser autentificada por un
testigo que de fe de que es original para ser admitida
en un juicio
6. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 6
1 Introducción – Evidencia digital
Evidencia digital
Hay que garantizar su integridad mediante métodos
formales al recoger, almacenar, analizar y presentar
Mantener la cadena de custodia garantizando la
confidencialidad, autenticidad e integridad
Si la evidencia va a ser presentada en un juicio:
Etiquetar evidencias y obtener hash MD5 o SHA1/2
Registro de accesos ASPEI - RUBRIKA
7. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 7
1 Introducción – Evidencia digital
Perito informático
Al no ser la evidencia auto-explicativas es necesario la
presencia de un experto (perito informático forense)
RAE Perito:
1. Entendido, experimentado, hábil, práctico en una
ciencia o arte.
3. Persona que, poseyendo determinados
conocimientos científicos, artísticos, técnicos o
prácticos, informa, bajo juramento, al juzgador
sobre puntos litigiosos en cuanto se relacionan con su
especial saber o experiencia.
8. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 8
1 Introducción – Legislación aplicable
Suprancional
Carta de Derechos Humanos
Convención Europea sobre Protección de los
Individuos respecto al Tratamiento Automatizado de
Datos Personales
Unión europea
Directiva 95/46EC sobre Protección de los
Individuos respecto al Tratamiento Automatizado de
Datos Personales y movimiento de dichos datos
Directiva 97/66EC sobre Procesamiento de Datos
Personales y Protección de la Privacidad en el
Sector de las Telecomunicaciones
9. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 9
1 Introducción – Legislación aplicable: delitos
Contra el derecho a la intimidad: difusión de datos
Propiedad intelectual por derechos de autor
Falsedades: moneda o tarjetas de crédito
Sabotajes informáticos
Fraudes informáticos con fines de lucro ilícito
Amenazas, calumnias o injurias realizadas por
medios informáticos o de comunicación
Pornografía infantil: posesión, distribución o
exhibición en soportes informáticos o telemáticos
19. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 19
2 ISO/IEC 27037
Principios que gobiernan la evidencia digital
1. Relevancia
Pertinente a la situación que se analiza
2. Confiabilidad
Repetibilidad
Auditabilidad
3. Suficiencia
Sustentar los hallazgos
Verificar las afirmaciones
20. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 20
2 ISO/IEC 27037
Principios que gobiernan la evidencia digital
Relevancia
¿La evidencia que se aporta vincula al sujeto
con la escena del crimen y la víctima?
¿La evidencia prueba algunas hipótesis
concreta que se tiene del caso en estudio?
¿La evidencia recolectada valida un indicio
clave que permita esclarecer los hechos en
estudio?
21. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 21
2 ISO/IEC 27037
Principios que gobiernan la evidencia digital
Confiabilidad
¿Los procedimientos efectuados sobre los
dispositivos tecnológicos han sido previamente
probados?
¿Se conoce la tasa de error de las
herramientas forenses informáticas utilizadas?
¿Se han efectuado auditorias sobre la eficacia
y eficiencia de los procedimientos y
herramientas utilizadas para adelantar el
análisis forense informático?
22. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 22
2 ISO/IEC 27037
Principios que gobiernan la evidencia digital
Suficiencia
¿Se ha priorizado toda la evidencia
recolectada en el desarrollo del caso, basado
en su apoyo a las situaciones que se deben
probar?
¿Se han analizado todos los elementos
informáticos identificados en la escena del
crimen?
¿Se tiene certeza que no se ha eliminado o
sobreescrito evidencia digital en los medios
analizados?
23. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 23
2 ISO/IEC 27037
Roles o actores
Digital Evidence First Responder (DEFR)
Autorizado, formado y habilitado para actuar
en la escena de un incidente, y así evaluar el
escenario y adquirir las evidencias digitales
con las debidas garantías
Digital Evidence Specialist (DES)
Perito digital
Adquirir y analizar evidencias digitales
24. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 24
Índice
1. Introducción
2. ISO/IEC 27037
3.Recolección de datos
4. Análisis de evidencias
5. Respuesta a incidentes
6. Bibliografía
25. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 25
3 Recolección de datos
Principio de intercambio de Locard
Cuando dos objetos entran en contacto siempre
transfieren material que incorporan al otro
Escena del
crimen
VíctimaSospechoso
Evidencia
26. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 26
3 Recolección de datos
Principio de intercambio de Locard (Digital)
Escena del
crimen
VíctimaSospechoso
Evidencia
Alertas de equipos
de monitorización
Trazas de
conexiones
Contienen ficheros
con el mismo hash
Histórico de
últimas conexiones
27. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 27
3 Recolección de datos
Principio de indeterminación de Heisenberg
Teoría cuántica
Es imposible conocer
simultáneamente la posición y
velocidad del electrón, y por tanto,
es imposible determinar su
trayectoria.
Cuanto mayor sea la exactitud con
la que se conozca la posición,
mayor será el error de velocidad, y
viceversa, …
28. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 28
3 Recolección de datos
Principio de indeterminación de Heisenberg
No se puede obtener el estado de un sistema sin
alterarlo
El mero hecho de medir altera la magnitud medida
Tratar de obtener la mayor información posible con
el mínimo impacto
Normalmente el administrador detecta el incidente
Cambio de contraseñas
Reinicio, actualización o instalación
La mayor parte de las veces sin éxito
Preguntar y anotar todo lo realizado por el
administrador
29. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 29
3 Recolección de datos
Clasificación de evidencias
Registros CPU
Memoria caché
Memoria interna
Módulos S.O.
Controladores de dispositivos
Programas en ejecución
Conexiones activas
Memoria externa
Discos
Soportes regrabables
Soportes no regrabables VOLATILIDAD
30. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 30
3 Recolección de datos
Evidencia digital volátil
Último arranque del sistema
El histórico de comandos
Procesos en ejecución
Información del portapapeles («clipboard»)
Usuarios conectados local o remótamente
Conexiones abiertas y puertos
Información de rutas
Etc.
31. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 31
3 Recolección de datos
Evidencia digital persistente
Metadatos (Prácticas con FOCA y Office)
Ficheros modificados o accedidos
Recuperar ficheros borrados (papelera reciclaje,
sectores no reutilizados de ficheros borrados)
Entradas en logs del sistema (histórico accesos)
Ficheros temporales (Ej. cookies de navegación)
Caché del navegador y URL recientes
Registro de windows
Correos enviados, recibidos o borrados
Ficheros ocultos
Ejecutables camuflados
Usuarios y grupos de reciente creación
32. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 32
3 Recolección de datos
Duplicado forense
Es una copia exacta bit a bit o byte a byte de toda
la información fuente.
Puede almacenarse de una forma diferente, en
forma comprimida.
Se obtienen hash y se etiquetan como evidencia.
El análisis forense se hace sobre la copia y así se
preserva el original.
Herramientas hardware para copia física.
33. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 33
3 Recolección de datos
Duplicado forense – Área memoria proceso
PMDUMP: área de memoria de un proceso
Práctica de análisis
EnCase Imager. Copia:
Unidades de disco.
Memoria RAM completa
Áreas de memoria de un proceso.
DD (Unix y Linux) y windd (Windows)
34. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 34
3 Recolección de datos volátiles
Respuesta inicial ante un incidente con el objetivo
de recoger datos que se pueden perder
Realizar pocas operaciones (Locard) antes de
decidir si se realiza un duplicado forense
Herramientas:
Sysinternals (Descargar de microsoft)
Foundstone
Errores habituales
Apagar o reiniciar el sistema
Suponer que el sistema es seguro
No documentar el proceso de recogida de datos
Documentar el proceso
35. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 35
3 Recolección de datos volátiles Windows
Tener preparado un sistema de confianza con los
comandos del sistema y utilidades necesarias
«sysinternals» (Ej. USB boot)
1. Consola (CMD.exe) de confianza
2. Fecha y hora
Date /t > Evidencias_Volatiles.txt (E_V)
Time /t >> E_V
3. Obtener una relación de todos los ficheros con las
fechas de:
Último acceso dir /t:a/a/s/o:d >> E_V
Modificación dir /t:w/a/s/o:d >> E_V
Creación dir /t:c/a/s/o:d >> E_V
36. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 36
3 Recolección de datos volátiles Windows
4. Relación de usuarios conectados al sistema
Psloggedon >> E_V
5. Puertos abiertos netstat –an >> E_V
6. Tabla de rutas netstat –r >> E_V
7. Procesos en ejecución
Pslist >> E_V
8. Tabla conversión IP a MAC
arp –a >> E_V
9. Fecha y hora fin recogida información
Date /t >> E_V
Time /t >> E_V
10.Histórico de comandos utilizados
Doskey /history >> E_V
37. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 37
3 Recolección de datos volátiles Windows
Recolección especial si:
No se hace duplicado forense
No se puede apagar el servidor
1. Política de auditoría auditpol /get /category:*
2. Conexiones de usuarios Ntlast (McAffee)
3. Exportar el registro para un análisis posterior
Reg export clave/subclave fichero
DumpReg
4. SAM y «crack» de contraseñas
Pwdump3
John de Ripper
5. Dump de RAM: userdump, pmdump, dd,
EndCase Imager, Adplus, etc
38. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 38
3 Recolección de datos de tráfico de red
Monitorizar conexiones: tcptrace
Monitorización total:
WinDump (tcpdump)
WinTcap
Network Monitor
WireShark
Privacidad de los datos escaneados
Analizar salida del sniffer
IP origen o destino sospechosas
Puerto destino sospechoso: no válido
Tráfico de usuario o automático
39. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 39
3 Recolección de datos persistentes
Ubicación de datos persistentes
Discos duros
Memorias flash
Smartphones
PDA
Documentos (DOC, PDF, correos, borrados, etc)
Problema: se puede alterar la evidencia sólo con
hacer la búsqueda
Requisito: conocer la estructura de los sistemas de
ficheros a analizar o dónde se encuentran las
evidencias: FAT, NTFS, Ext2/3 (Linux)
40. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 40
Índice
1. Introducción
2. ISO/IEC 27037
3. Recolección de datos
4.Análisis de evidencias
5. Respuesta a incidentes
6. Bibliografía
41. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 41
4 Análisis de evidencias
Prácticas con PMDUMP
Prácticas con Foca
Prácticas con Auto-Spy
Prácticas con Nitroba
Otras herramientas
42. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 42
4 Análisis de evidencias
Duplicado forense
Área memoria proceso - Práctica
wwww.securitytube.net - Práctica con PMDUMP
PMDUMP Adquirir datos de memoria RAM
-list Lista de procesos en ejecución
PID fichero: volcado del área de memoria
Práctica
Descargar PMDUMP www.ntsecurity.nu
Descargar programa ejemplo: mempass.exe
Ejecutar mempass, contraseña y espera
Copia área memoria de mempass con pmdump
Strings Extrae cadenas ascii del volcado de
memoria de mempass hecho con pmdump
43. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 43
4 Análisis de evidencias
Metadatos52 (Prácticas con FOCA y Office)
Descargar e instalar versión de prueba de «Forensic
FOCA» desde www.elevenpaths.com
Descargar desde el CV ZIP con DOC y PDF ejemplo
Localizar en el programa Word la utilidad
«Comprobar problemas – Inspeccionar documento»
Analizar y comparar los resultados de FOCA y WORD
de los ficheros ejemplo
Buscar en web públicas ficheros y analizarlos
44. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 44
Índice
1. Introducción
2. ISO/IEC 27037
3. Recolección de datos
4. Análisis de evidencias
5.Respuesta a incidentes
6. Bibliografía
45. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 45
5 Respuesta a incidentes
ISO/IEC 27002
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD
DE INFORMACIÓN
13.1 Reportando eventos y debilidades de la
seguridad de información
OBJETIVO: Asegurar que los eventos y
debilidades en la seguridad de información
asociados con los sistemas de información sean
comunicados de una manera que permita que se
realice una acción correctiva a tiempo.
46. AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 46
5 Respuesta a incidentes
ISO/IEC 27002
13.2 Gestión de las mejoras e incidentes en la
seguridad de información
OBJETIVO: Asegurar un alcance consistente y
efectivo aplicado a la gestión de incidentes en la
seguridad de información. Las responsabilidades
y procedimientos deben establecerse para
maniobrar los eventos y debilidades en la
seguridad de información de una manera efectiva
una vez que hayan sido reportados. Donde se
requiera evidencia, esta debe ser recolectada
para asegurar el cumplimiento de los requisitos
legales.