Especializacin en Seguridad Informtica Curso Informtica Forense INFORMATICA FORENSE ING. ESP. HAROLD EMILIO CABRERA MEZA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD PASTO COLOMBIA 2014 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense TABLA DE CONTENIDO UNIDAD 1. FUNDAMENTOS DE LA INFORMTICA FORENSE FASES DE LA INFORMTICA FORENSE. 3 Descripcin de las fases de la Informtica Forense. 3 Fase de Identificacin 5 Fase de Validacin y preservacin. 9 Fase de Anlisis 11 Fase de Documentacin y Presentacin de las pruebas 19 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense UNIDAD 1. FUNDAMENTOS DE LA INFORMTICA FORENSE FASES DE LA INFORMTICA FORENSE. Descripcin de las fases de la Informtica Forense. Considerando la fragilidad del insumo con el cual trabajan los especialistas en informtica forense, es preciso extremar las medidas de seguridad y control que stos deben tener a la hora de adelantar sus labores, pues cualquier imprecisin en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [wilson 2003, taylor, r., caeti, t., kall loper, d., fritsch, e y liederbach, j. 2006]. En este sentido, se detalla de manera bsica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado: 1 Los procedimientos llevados a cabo se dividen en las siguientes etapas: Identificacin Estando en el lugar de la escena donde se realiz el ataque informtico se debe rotular con sus respectivas caractersticas fsicas el elemento que va ser objeto del anlisis forense, para preservar el elemento que puede ser desde un disquette o un disco rgido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organizacin. Val idacin y preservacin de los datos adquiridos 1 CANO J EIMY J . Phd. CFE Introduccin a la informtica forense UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Con el elemento identificado se procede a realizar una imagen exacta del contenido de la evidencia asignando un cdigo nico correspondiente a una combinacin nica de bytes que constituye la totalidad del medio en observacin. Este cdigo de validacin ha de ser lo suficientemente complejo como para evitar vulneraciones en la informacin rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada, es decir, crear un cdigo que solamente personal calificado y legalmente autorizado pueda manipular para proteger el elemento a ser analizado; esto con el fin de establecer una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad. Anl isis y descubrimiento de evidencia Se procede a realizar una coleccin de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar informacin a muchos niveles. El punto de partida del anlisis comienza al detectar una tipo de ataque informtico o la sospecha de manipulacin no autorizada de informacin. Una actividad ilcita reportada puede ser el borrado la informacin que puede comprometer a una persona o informacin que pudo haber sido ocultada o almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash drive. El anlisis forense est orientado por un caso en particular y aqu es necesaria la informacin que provee quien solicita la investigacin forense. En el anlisis forense se pueden buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, imgenes, mensajes de correo electrnico, actividad desarrollada en UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense internet, a diferentes niveles palabras claves tales como un nmero telefnico, el nombre de una ciudad o una empresa, etc. En base a este anlisis se determina un patrn de comportamiento del usuario en cuanto a la creacin, modificacin y borrado de mensajes, actividad de correo electrnico, etc. Informe Se presenta un informe escrito en un lenguaje a la vez tcnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretacin. Aunque a menudo se subestima la importancia de los pasos 1 y 2 y se considera el paso 3 el especfico de la informtica forense, hay que tener en cuenta que la evidencia informtica es por definicin frgil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal. Fase de Identificacin 2 La fase de identificacin se refiere a la recopilacin de informacin necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aqu se pregunta: Qu informacin se necesita? Cmo aprovechar la informacin presentada? En qu orden ubico la informacin? Acciones necesarias a seguir para el anlisis forense? 2 PINZON OLMEDO Fredy Bolivar, La Informtica Forense, Universidad catlica de Loja UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense La identificacin debe prever los desafos que se pasaran durante los procesos de las fases de preservacin y extraccin. Esta fase culmina con un Plan a seguir. Etapa 1: Levantamiento de informacin inici al para el Anl isis Forense La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecucin de un incidente y para ello solicita al equipo de seguridad la revisin del mismo, donde incluye toda la informacin necesaria para dar inicio al proceso de anlisis. La informacin incluida en el documento debe ser la siguiente: Descripcin Del Delito Informtico Fecha del incidente Duracin del incidente Detalles del incidente Informacin General rea Nombre de la dependencia Responsable del sistema afectado Nombres y Apellidos Cargo E-mail Telfono Extensin Celular Fax UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Informacin Sobre El Equipo Afectado Direccin IP Nombre del equipo Marca y modelo Capacidad de la RAM Capacidad del disco duro Modelo del procesador Sistema operativo (nombre y versin) Funcin del equipo Tipo de informacin procesada por el equipo Toda la informacin del incidente, la evidencia digital, copias o imgenes de la escena del crimen. Reconocer un incidente mediante indicadores y determinar su tipo. Esto no esta incluido dentro del anlisis forense, pero es significativo en los siguientes pasos. Esta fase esta dividida en dos procesos inciales que son: Etapa 2: Asegurar la escena Para asegurar que tanto los procesos como las herramientas a utilizar sean las ms idneas se debe contar con un personal idneo a quien se le pueda asignar la conduccin del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodologa. Identi ficar las evidencias El siguiente paso y muy importante es la identificacin de la evidencia presentada en nuestra escena del crimen, la misma que estar sujeta a todos los procesos UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense necesarios para la presentacin de resultados finales, la evidencia se clasificara segn: Tipo de dispositivo A las evidencias tambin se las puede clasificar segn el tipo de dispositivo donde se encuentran: - Sistemas informticos - Redes - Redes Inalmbricas - Dispositivos mviles - Sistemas embebidos - Otros dispositivos Modo de almacenamiento A las evidencias tambin se las clasifica segn el medio de almacenamiento. Como pueden ser: - Voltiles: Aquellas que se perdern al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecucin, programas en ejecucin, usuarios conectados, configuracin de red, conexiones activas, puertos abiertos, etc. - No voltiles: medios fsicos de almacenamiento como memorias flash, CD, discos duros. El primer proceso del anlisis forense comprende la identificacin, bsqueda y recopilacin de evidencias, se debe identificar qu cosas pueden ser evidencias, dnde y cmo estn almacenadas, qu sistema operativo se est utilizando. A UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense partir de estos pasos, el equipo forense puede identificar los procesos para la recuperacin de evidencias adecuadas, as como las herramientas a utilizar. Fase de Validacin y preservacin. 3 Aunque el primer motivo de la recopilacin de evidencias sea la resolucin del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deber documentar de forma clara cmo ha sido preservada la evidencia tras la recopilacin. En esta fase, es imprescindible definir los mtodos adecuados para el almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las huellas del crimen, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso: Etapa 1: Copias de l a evidencia. Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar tambin una suma de comprobacin de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creacin de la copia, nombre cada copia, por ejemplo Copia A, Copia B para distinguirlas claramente del original. Si adems se extrae los discos duros del sistema para utilizarlos como evidencia, se debe seguir el mismo procedimiento, colocando sobre ellos la etiqueta Evidencia Original, incluir adems las correspondientes sumas hash, fecha y hora de la extraccin del equipo, datos de la persona que realiz la operacin, fecha, hora y lugar donde se almacen por ejemplo en una caja fuerte. 3 PINZON OLMEDO Fredy Bolivar, La Informtica Forense, Universidad catlica de Loja UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Tener en cuenta que existen factores externos como cambios bruscos de temperatura o campos electromagnticos que pueden alterar la evidencia. Toda precaucin es poca, incluso si decide enviar esos discos a que sean analizados por empresas especializadas. Etapa 2: Cadena de custodia Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulacin de las copias, desde que se tomaron hasta su almacenamiento. El documento debe contener la siguiente informacin: - Dnde, cundo y quin examin la evidencia, incluyendo su nombre, su cargo, un nmero de identificacin, fechas y horas, etc. - Quin estuvo custodiando la evidencia, durante cuanto tiempo y dnde se almacen. - Cuando se cambie la custodia de la evidencia tambin se deber documentar cundo y como se produjo la transferencia y quin la transport. Todas estas medidas harn que el acceso a la evidencia sea muy restrictivo quedando claramente documentado, posibilitando detectar y pedir responsabilidades ante manipulaciones incorrectas, intentos de acceso no autorizados o que algn otro dispositivo electromagntico se use dentro de un determinado radio. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Fase de Anlisi s 4 Antes de iniciar esta fase se deben preparar herramientas, tcnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el anlisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores. Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, iniciamos la fase ms laboriosa, el Anlisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la lnea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Este anlisis se dar por concluido cuando se descubra cmo se produjo el ataque, quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el objetivo del ataque, qu daos causaron. En el proceso de anlisis se emplean las herramientas propias del sistema operativo (anfitrin) y las que se prepararon en la fase de extraccin y preparacin. Etapa 1: Preparacin para el anlisis Antes de comenzar el anlisis de las evidencias se deber: Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar. Trabajar con las imgenes que se recopil como evidencias, o mejor an con una copia de stas, tener en cuenta que es necesario montar las imgenes tal cual estaban en el sistema comprometido. 4 PINZON OLMEDO Fredy Bolivar, La Informtica Forense, Universidad catlica de Loja UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendr al menos dos discos duros. Instalar un sistema operativo que actuar de anfitrin y que servir para realizar el estudio de las evidencias. En este mismo computador y sobre un segundo disco duro, instalar las imgenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado. En otro equipo instalar un sistema operativo configurado exactamente igual que el equipo atacado, adems mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros. La idea es utilizar este segundo ordenador como conejillo de Indias y realizar sobre l pruebas y verificaciones conforme se vayan surgiendo hiptesis sobre el ataque. Si no se dispone de estos recursos, se puede utilizar software como VMware 5 , que permitir crear una plataforma de trabajo con varias mquinas virtuales. Tambin se puede utilizar una versin LIVE de sistemas operativos como Caine 6 , que permitir interactuar con las imgenes montadas pero sin modificarlas. Si se est muy seguro de las posibilidades y de lo que va a hacer, se puede conectar los discos duros originales del sistema atacado a una estacin de trabajo independiente para intentar hacer un anlisis en caliente del sistema, se deber tomar la precaucin de montar los dispositivos en modo slo lectura, esto se puede hacer con sistemas anfitriones UNIX/Linux, pero no con entornos Windows. 5 VMware es un programa propietario que permite montar maquinas virtuales que recrean el sistema operativo donde estaba instalado el disco duro atacado. 6 Caine es un software libre montado en Ubuntu que permite realizar una anlisis forense por la gran cantidad de herramientas que posee UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Etapa 2: Reconstruccin del ataque Si ya se tienen montadas las imgenes del sistema atacado en una estacin de trabajo independiente y con un sistema operativo anfitrin de confianza, se procede con la ejecucin de los siguientes pasos: Crear una lnea temporal o timeline de sucesos, para ello se debe recopilar la siguiente informacin sobre los ficheros: - Marcas de tiempo MACD (fecha y hora de modificacin, acceso, creacin y borrado). - Ruta completa. - Tamao en bytes y tipo de fichero. - Usuarios y grupos a quien pertenece. - Permisos de acceso. - Si fue borrado o no. Sin duda esta ser la informacin que ms tiempo llevar recopilar, pero ser el punto de partida para el anlisis, podra plantearse aqu el dedicar un poco de tiempo a preparar un script que automatizase el proceso de creacin del timeline, empleando los comandos que proporciona el sistema operativo y las herramientas utilizadas. Ordenar los archivos por sus fechas MAC, esta primera comprobacin, aunque simple, es muy interesante pues la mayora de los archivos tendrn la fecha de instalacin del sistema operativo, por lo que un sistema que se instal hace meses y que fue comprometido recientemente presentar en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros ms antiguos. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente o instalaciones de programas posteriores a la del sistema operativo y que adems se encuentren en rutas poco comunes. Pensar que la mayora de los atacantes y sus herramientas crearn directorios y descargarn sus aplicaciones en lugares donde no se suele mirar, como por ejemplo en los directorios temporales. A modo de gua centrarse en la siguiente bsqueda: - los archivos de sistema modificados tras la instalacin del sistema operativo. - averiguar la ubicacin de los archivos ocultos, de qu tipo son - identificar tambin los archivos borrados o fragmentos de stos, pues pueden ser restos de logs y registros borrados por los atacantes, destacar la importancia de realizar imgenes de los discos pues se puede acceder al espacio residual que hay detrs de cada archivo, (recordar que los ficheros suelen almacenarse por bloques cuyo tamao de clster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve. - Pensar que est buscando una aguja en un pajar, por lo que se deber ser metdico, ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado y compararla con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque. - Comenzar a examinar con ms detalle los ficheros logs y registros que se examinaron durante la bsqueda de indicios del ataque, intentar buscar una correlacin temporal entre eventos. Pensar que los archivos log y de registro son generados de forma automtica por el propio sistema operativo o por aplicaciones especficas, conteniendo datos sobre accesos al equipo, errores de inicializacin, creacin o modificacin de usuarios, estado del sistema, etc. Por lo que tendr que buscar entradas extraas y compararlas UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense con la actividad de los ficheros. Editar tambin el archivo de contraseas y buscar la creacin de usuarios y cuentas extraas sobre la hora que considere se inici el ataque del sistema. Etapa 3: Determinacin del ataque Una vez obtenida la cadena de acontecimientos que se han producido, se deber determinar cul fue la va de entrada al sistema, averiguando qu vulnerabilidad o fallo de administracin caus el agujero de seguridad y que herramientas utiliz el atacante para aprovecharse de tal brecha. Estos datos, al igual que en el caso anterior, se debern obtener de forma metdica, empleando una combinacin de consultas a archivos de logs, registros, claves, cuentas de usuarios. El siguiente proceso permitir conocer que acciones realizo el atacante: Revisar los servicios y procesos abiertos que se recopilaron como evidencia voltil, as como los puertos TCP/UDP y conexiones que estaban abiertas cuando el sistema estaba an funcionando. Examinar con ms detalle aquellas circunstancias que resultan sospechosas cuando se busc indicios sobre el ataque, y realizar una bsqueda de vulnerabilidades a travs de Internet, emplear Google o utilizar pginas especficas donde se encuentran perfectamente documentadas ciertas vulnerabilidades. Si ya se tiene claro cul fue la vulnerabilidad que dej el sistema desprotegido, es necesario ir un paso ms all y buscar en Internet algn exploits 7 anterior a la fecha del incidente, que utilice esa vulnerabilidad. Generalmente se encontrar en forma de rootkit 8 y un buen lugar donde 7 Exploit (del ingls to exploit, explotar, aprovechar) es el nombre con el que se identifica un programa informtico malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa. 8 Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informticos o crackers que consiguen acceder ilcitamente a un sistema informtico. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense comenzar la bsqueda es, nuevamente, Google aunque tambin ser de utilidad utilizar la informacin presentado en la correccin de vulnerabilidades sobre reporte de vulnerabilidades as como la siguiente direccin: http://www.packetstormsecurity.org Reforzar cada una de las hiptesis empleando una formulacin causa - efecto, tambin es el momento de arrancar y comenzar a utilizar la mquina preparada como conejillo de Indias. Probar sobre la mquina los exploits 9 que se encontr, recordar que en el anlisis forense un antecedente es que los hechos han de ser reproducibles y sus resultados verificables, por lo tanto comprobar si la ejecucin de este exploit 9 sobre una mquina igual que la afectada, genere los mismos eventos que ha encontrado entre sus evidencias. Etapa 4: Identificacin del atacante. Si ya se logro averiguar cmo entraron en el sistema, es hora de saber quin o quines lo hicieron. Para este propsito ser de utilidad consultar nuevamente algunas evidencias voltiles que se recopil en las primeras fases, revisar las conexiones que estaban abiertas, en qu puertos y qu direcciones IP las solicitaron, adems buscar entre las entradas a los logs de conexiones. Tambin se puede indagar entre los archivos borrados que se recuper por si el atacante elimin alguna huella que quedaba en ellos. Si se tiene pensado llevar a cabo acciones legales o investigaciones internas, debe realizar este proceso caso contrario se debe saltar y empezar con la recuperacin completa del sistema atacado y mejorar su seguridad. Pero si se decide perseguir a los atacantes, se deber: Realizar algunas investigaciones como parte del proceso de identificacin. Primero intentar averiguar la direccin IP del atacante, para ello revisar con detenimiento los registros de conexiones de red y los procesos y servicios UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense que se encontraban a la escucha. Tambin se podra encontrar esta informacin en fragmentos de las evidencias voltiles, la memoria virtual o archivos temporales y borrados, como restos de email, conexiones fallidas entre otros. Al tener una IP sospechosa, comprobarla en el registro Ripe Ncc (www.ripe.net) 9 o la Icann 10 a quin pertenece. Pero, no sacar conclusiones prematuras, muchos atacantes falsifican la direccin IP con tcnicas de spoofing 11 . Otra tcnica de ataque habitual consiste en utilizar ordenadores zombis, stos son comprometidos en primera instancia por el atacante y posteriormente son utilizados para realizar el ataque final sin que sus propietarios sepan que estn siendo cmplices de tal hecho. Por ello, para identificar al atacante se tendr que verificar y validar la direccin IP obtenida. Utilizar tcnicas hacker pero solo de forma tica, para identificar al atacante, por si el atacante dej en el equipo afectado una puerta trasera o un troyano, est claro que en el equipo del atacante debern estar a la escucha esos programas y en los puertos correspondientes, bien esperando noticias o buscando nuevas vctimas. Si se procede de esta forma, se puede usar una de las herramientas como nmap 12 , para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando y as muchas mas caractersticas que poseen los equipos. 9 El Centro de Coordinacin de redes IP europeas (Rseaux IP Europens Network Coordination Centre (RIPE NCC)) es el Registro Regional de Internet (RIR) para Europa, Oriente Medio y partes de Asia Central. 10 ICANN se fund en 1998 como asociacin sin nimo de lucro y en ella se renen personas de todo el mundo cuyo objetivo es asegurar que Internet sea segura, estable e interoperativa. Esta asociacin promueve la competencia y desarrolla polticas de identificadores nicos de Internet 11 spoofing se conoce a la creacin de tramas TCP/IP utilizando una direccin IP falsa 12 Nmap es un programa de cdigo abierto que sirve para efectuar rastreo de puertos UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Etapa 5: Perfil del atacante Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos detalles se podr encontrar los siguientes tipos: Hackers: Son los ms populares y se trata de personas con conocimientos en tcnicas de programacin, redes, Internet y sistemas operativos. Sus ataques suelen tener motivaciones de tipo ideolgico (pacifistas, cologistas, anti globalizacin, anti Microsoft entre otros.) o simplemente lo consideran como un desafo intelectual. SciptKiddies: Son una nueva especie de delincuentes informticos. Se trata de jvenes que con unos conocimientos aceptables en Internet y programacin emplean herramientas ya fabricadas por otros para realizar ataques y ver que pasa. Su nombre viene de su corta edad y del uso de los scripts, guas de ataques que encuentran por Internet. Profesionales: Son personas con muchsimos conocimientos en lenguajes de programacin, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparacin del mismo, realizando un estudio meticuloso de todo el proceso que llevar a cabo, recopilando toda la informacin posible sobre sus objetivos, se posicionar estratgicamente cerca de ellos, realizar un tanteo con ataques en los que no modificar nada ni dejar huellas cuando lo tenga todo bien atado entonces atacar, este tipo de atacantes se encuentra muy poco y adems se dedica a dar grandes golpes. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Etapa 6: Evaluacin del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el anlisis forense ofrece la posibilidad de investigar qu es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitir evaluar el compromiso de los equipos y realizar una estimacin del impacto causado. Generalmente se pueden dar dos tipos de ataques: Ataques pasivos: En los que no se altera la informacin ni la operacin normal de los sistemas, limitndose el atacante a fisgonear por ellos. Ataques activos: En los que se altera y en ocasiones seriamente tanto la informacin como la capacidad de operacin del sistema. Se deber tener en cuanta, adems otros aspectos del ataque como los efectos negativos de tipo tcnico que ha causado el incidente, tanto inmediatos como potenciales adems de lo crtico que eran los sistemas atacados, por ejemplo ataques al cortafuegos, el router de conexin a Internet o Intranet, el servidor Web, los servidores de bases de datos, tendrn diferente repercusin segn el tipo de servicio que presta la Universidad y las relaciones de dependencia entre los usuarios. Fase de Documentaci n y Presentacin de las pruebas 13 Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de anlisis forense, esto permitir ser ms eficiente y efectivo al tiempo que se reducir las posibilidades de error a la hora de gestionar el incidente. 13 PINZON OLMEDO Fredy Bolivar, La Informtica Forense, Universidad catlica de Loja UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Etapa 1: Utilizacin de formularios de registro del incidente Es importante que durante el proceso de anlisis se mantenga informados a los administradores de los equipos y que tras la resolucin del incidente se presenten los informes Tcnico y Ejecutivo. El empleo de formularios puede ayudarle bastante en este propsito, estos debern ser rellenados por los departamentos afectados o por el administrador de los equipos. Alguno de los formularios que debera preparar sern: - Documento de custodia de la evidencia - Formulario de identificacin de equipos y componentes - Formulario de incidencias tipificadas - Formulario de publicacin del incidente - Formulario de recogida de evidencias - Formulario de discos duros. Etapa 2: Informe Tcnico Este informe consiste en una exposicin detallada del anlisis efectuado. Deber describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense. A modo de orientacin, deber contener, al menos, los siguientes puntos: - Introduccin - Antecedentes del incidente - Recoleccin de los datos - Descripcin de la evidencia - Entorno del anlisis - Descripcin de las herramientas - Anlisis de la evidencia - Informacin del sistema analizado - Caractersticas del SO - Aplicaciones UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense - Servicios - Vulnerabilidades - Metodologa - Descripcin de los hallazgos - Huellas de la intrusin - Herramientas usadas por el atacante - Alcance de la intrusin - El origen del ataque - Cronologa de la intrusin - Conclusiones - Recomendaciones especficas - Referencias - Anexos Etapa 3: Informe Ejecutivo Este informe consiste en un resumen del anlisis efectuado pero empleando una explicacin no tcnica, con lenguaje comn, en el que se expondr los hechos ms destacables de lo ocurrido en el sistema analizado. Constar de pocas pginas, entre tres y cinco, y ser de especial inters para exponer lo sucedido al personal no especializado en sistemas informticos, como pueda ser el departamento de Recursos Humanos, Administracin e incluso algunos directivos. En este informe constara lo siguiente: - Introduccin: Descripcin del objetivo del anlisis del sistema previamente atacado y comprometido, tambin se incluye la informacin de la evidencia proporcionada. - Anlisis: Descripcin del entorno de trabajo y de las herramientas de anlisis forense seleccionadas as como la cantidad de tiempo empleado en el mismo. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense - Sumario del incidente: Resumen del incidente tras el anlisis de la evidencia aportada. - Principales Conclusiones del anlisis: Detalle de las conclusiones a las que se llego una vez terminado el proceso de anlisis. - Solucin al incidente: Descripcin de la solucin para recuperacin del incidente. - Recomendaciones finales: pasos que se deben realizar para garantizar la seguridad de los equipos y que el incidente no vuelva a suceder. Lnea de tiempo de la investigacin 14 La definicin de la lnea de tiempo es fundamental al momento de iniciar una investigacin, constituye el marco que permite a un investigador indagar en base a un criterio de tiempo determinando que ficheros pueden o no ser importantes para el caso. La lnea de tiempo se define en 2 momentos dentro de una investigacin: La lnea previa: surge con la entrevista inicial, nos muestra la pauta para iniciar los anlisis y hace referencia a los detalles de tiempos y sucesos iniciales dados por las personas que nos encarga la investigacin. Aqu un ejemplo: Nos dicen que: 14 Redlif (2013), Computer Forensic, Red latinoamericana de informtica forense. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense La lnea de investigacin: Se inicia con la fase del anlisis, las conclusiones previas permitiran establecer un inicio, pero la lnea de tiempo ms exacta se vera durante la fase del anlisis. Esta lnea de tiempo se hace con las evidencias encontradas dentro del anlisis. Ejemplo. Y para cada detalle que anotamos deberemos tener sus respectivas evidencias, de esta manera recreamos el delito. Entre los elementos que deben delimitar la lnea de tiempo tenemos los siguientes: Ficheros creados, modificados o eliminados dentro de una ventana de tiempo cercana a las fechas identificadas en la lnea previa. Posibles ficheros modificados posteriormente pero que pudieran haber sido objeto de la accin en la ventana temporal fijada para la investigacin. En base a las investigaciones preliminares, fijar posibles ventanas temporales posteriores a los hechos identificados previamente. Determinar ficheros anteriores a la lnea temporal de accin. Aunque nunca debe despreciarse de forma inicial ningn tipo de ficheros, debern ser analizados con menor rigurosidad, que aquellos enmarcados en los tiempos ms crticos. Detectar posibles ficheros discordantes con las fechas existentes. Estas discordancias podran proporcionar datos significativos. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas tecnologa e ingeniera Especializacin en Seguridad Informtica Curso Informtica Forense Entre estos ficheros debern tenerse en cuenta: Ficheros existentes con fechas posteriores a la investigacin. Ficheros de documentos con fechas previas a la instalacin de la mquina. Si la respuesta ante una incidencia ha sido rpida, podrn evaluarse ficheros logs alterados e identificar horarios significativamente incoherentes para la organizacin, como ficheros abiertos o modificados En horario nocturno cuando no hay actividad normal, determinar las horas de actividad de una maquina en funcin del anlisis de los ficheros de logs y la modificacin de los ficheros del sistema.