Análisis Forense en la Corporación Alfredo Reino [email protected].
-
Upload
jessenia-reyes -
Category
Documents
-
view
105 -
download
0
Transcript of Análisis Forense en la Corporación Alfredo Reino [email protected].
Análisis Forense en la Corporación
Alfredo [email protected]
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Introducción
Limitaciones en el "mundo real" Aspectos legales Fases de una investigación Obtención de la evidencia
• Windows• Unix / Linux• Cisco
Análisis forense como servicio corporativo
Limitaciones en el "mundo real"
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Grandes corporaciones
Las grandes corporaciones no son un mundo "ideal"• Tamaño
Número de sistemas Número de localizaciones
• Complejidad Tecnológica Política Organizativa Legal
• Sistemas y aplicaciones críticos• Modelo "clientes internos"• Madurez tecnológica, cultura tecnológica
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Limitaciones
Limitaciones organizativas Limitaciones legales Limitaciones físicas Limitaciones tecnológicas
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Limitaciones físicas
Distancias• Acceso físico a sistemas y evidencia• Limitaciones de desplazamiento• Zonas horarias
Calendarios• Diferentes fiestas• Diferentes días críticos
Diferencias • Culturales• De idioma
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Limitaciones tecnológicas
Ancho de banda• Acceso remoto a sistemas• Imágenes de disco o memoria
Sistemas de almacenamiento• SAN / NAS• Almacenamiento distribuido / replicado• RAID• Sistemas críticos
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Limitaciones organizativas
Modelo de gestión• Centralizado• Descentralizado• "Silos" locales
Quién controla los sistemas?• Insourcing• Outsourcing
Jurisdicciones internas
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Limitaciones legales
Cada localización tiene• su legislación nacional referente a
cibercrimen y protección de datos• sus políticas de RRHH
Cada localización puede tener• sus políticas y estándares de seguridad
corporativos Requisitos regulatorios de la
industria
Aspectos Legales
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Aspectos Legales
Diferentes modelos• Unión Europea• Estados Unidos de América
Quién investiga Protección de datos Uso judicial de la investigación
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Unión Europea
27 Estados miembros Dos sistemas legales
• Derecho Común (Common Law) UK, Irlanda, Chipre, Malta Más basado en la jurisprudencia
• Derecho Civil Resto de paises de la UE Más basado en la ley
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Quién investiga
Empresa "víctima", con personal interno o externo• En la UE no se requiere licencia de
"investigador" para personal externo (en UK posiblemente en el futuro)
El Estado• Puede investigar o procesar a los atacantes• Puede investigar a la empresa por seguridad
inadecuada Otras personas, físicas o jurídicas,
afectadas por el incidente de seguridad• En el contexto de Protección de Datos
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Legislación Unión Europea
Leyes sobre "hacking"• EU Information System Attacks Decision
Debe estar implementada por los estados el 16 de Marzo de 2007
• UK Computer Misuse Act• Deutsches Strafgesetzbuch• etc
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Protección de Datos
Protección de Datos• Data Protection Directive (1995)• Privacy and Electronic Communications
Directive (2002) Las directivas se trasponen a legislación
nacional por los estados miembros• En España la LOPD (1999)
Cada estado miembro tiene una agencia nacional de protección de datos• En España la "Agencia Española de Protección
de Datos"
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Crimen sin fronteras
A menudo los casos cruzan fronteras Diferentes elementos pueden estar
en diferentes paises• Los culpables• Las víctimas• Datos y contenido robados• Evidencia del delito• Herramientas usadas
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Crimen sin fronteras
Acuerdos y tratados internacionales• MLATs (Tratados de Asistencia Mutua Legal)
entre paises• Convención de Schengen• MLAT entre UE y EEUU (2003)
Otros procedimientos• Comisión rogatoria (letter rogatory)• Cooperación informal entre Policías• INTERPOL• Subgrupo de Crimen de Alta Tecnología del G8
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Involucrar a la Policía
Criterios de decisión• Tipo de delito• Política interna• Obligaciones legales
En UE no es obligatorio, en EEUU sí (según el caso)
• Existencia de víctimas externas (empresas, clientes, usuarios, etc.)
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Honeypots
Legalmente es un "area gris"• Intercepción de comunicaciones• Protección de datos personales
¡sí, del atacante!
• Asistencia a un delito El honeypot puede usarse para lanzar otros ataques
• Inducción al delito (entrapment) Como estrategia de defensa en el juicio
• Contenido ilegal Material con copyright Pornografía infantil
Fases de una investigación
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Fases de una investigación
Verificación del incidente Obtención de evidencia Análisis de la evidencia Elaboración de informes Almacenamiento de informes y
evidencia
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Inicio de la investigación
Usuarios o personal de TI informan de un posible incidente• Cuentas bloqueadas, funcionamiento errático o
incorrecto de aplicaciones, etc. Alerta generada por los sistemas de gestión de
sistemas• Disponibilidad de sistemas, espacio en disco, utilización
CPU, intentos de logon, conexiones anómalas, etc. Alerta generada por los sistemas de gestión de la
seguridad• Firewall, IDS, Antivirus, etc.
Por aviso de terceros• Policía, prensa, competidores, etc.
Por encargo directo
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Verificación del incidente
Cualquiera que sea la fuente de información que alerta inicialmente, hay que comprobar las otras• Pueden aportar más información• Pueden confirmar (o descartar) la
existencia de un incidente Un "sistema" no es un "servidor"
• Es necesario verificar el alcance total de una intrusión o incidente
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Verificación del incidente
Los fraudes internos pueden implicar diferentes elementos de un sistema:• Múltiples Aplicaciones• Sistemas relacionados
Infraestructura de red (DNS, DHCP, routers, switches, ...)
Sistemas de soporte (directorio, backup, monitorización)
• Múltiples hosts Clientes Front-end Middleware Back-end, Bases de datos
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obtención de evidencia
Primero la información más volátil• Contenido de la memoria• Conexiones de red• Procesos corriendo
Luego información menos volátil• Imágenes de almacenamiento (discos, etc.)
Otra información útil• Fotos de hardware y sitios implicados• Logs de sistemas de monitorización• Entrevistas
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obtención de evidencia
Información volátil útil• Hora y fecha del sistema• Procesos en ejecución• Conexiones de red• Puertos abiertos y aplicaciones
asociadas• Usuarios logados en el sistema• Contenidos de la memoria y ficheros
swap o pagefile
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obtención de evidencia
Las herramientas usadas para examinar un sistema en marcha deben• Ser copias "limpias" (en un CD)
Copias de comandos de sistema • Diferentes versiones de OS• En Unix/Linux, "statically linked"
Otras herramientas
• Usar el mínimo de recursos del propio sistema• Alterar el sistema lo mínimo
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Análisis de la evidencia
El procedimiento de análisis dependerá del caso y tipo de incidente
En general se trabaja con las imágenes de los sistemas de ficheros• Análisis de Secuencia Temporal ("timeline")• Búsqueda de contenido• Recuperación de binarios y documentos
(borrados o corruptos)• Análisis de código (virus, troyanos, rootkits,
etc.)
Obtención de la evidencia
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Imágenes
Imágenes de un sistema en marcha• Uso de "dd" y "netcat" para enviar una
copia bit-a-bit a un sistema remoto Tanto Windows como Unix/Linux
• Para Windows puede ser más cómodo usar HELIX
http://www.e-fense.com/helix/ Permite realizar imagen de la memoria física
• Una vez realizada la imagen se computa un hash MD5 y SHA-1
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Imágenes
Imágenes de un sistema apagado• Extraer disco duro• Si el disco tiene un jumper para "read-only" se puede
usar si no, un "write blocker" por hardware es necesario
(IDE/SATA/SCSI/USB/Firewire/...)• Conecta el disco a la workstation de análisis forense
es recomendable que sea Linux (permite montar los discos manualmente y en modo "read-only")
• Realiza copia con "dd" la imagen se puede guardar en discos externos
Firewire/USB, almacenamiento SAN, etc• Por supuesto, hashes MD5 y SHA-1 de original y copia
para garantizar integridad
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Procedimiento
Fraude interno / Espionaje industrial• Periodo de verificación previo, sin alertar al culpable• Información sobre conexiones se obtiene de firewalls,
IDS, sniffers, et• Confiscación de hardware• Obtención de imágenes de discos
Intrusión Externa• Desconectar red• Obtener información volátil (memoria, registro,
conexiones, etc.)• Verificar incidente (logs, IDS, firewalls, etc.)• Obtención de imágenes de discos
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Problemas con Servidores
Se puede desconectar siempre la red o la alimentación en sistemas críticos?• Coste de downtime vs. coste del incidente• Coste de reinstalación y puesta en marcha• Coste de revalidación, recertificación
Es factible siempre el hacer imágenes de todos los discos?• Almacenamiento en SAN/NAS• Configuraciones RAID• Volúmenes de >200GB comunes (incluso TB)• Distinción de disco físico y lógico cada vez
menos clara
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
RAID
Configuraciones comunes de RAID• RAID 0 ("disk striping")
2 discos mín, no tiene resiliencia a fallos Capacidad = Suma de los discos
• RAID 1 ("disk mirroring") 2 discos mín, soporta caida de 1 disco Capacidad = La del disco de menor tamaño
• RAID 5 ("disk striping with parity") 3 discos mín, soporta caida de 1 disco Capacidad = 2/3 de la suma de los 3 discos
Típicamente se usa• RAID 1 (o similar) para sistema operativo• RAID 5 (o similar) para datos
El problema de RAID• Es necesario hacer imágenes de los discos físicos?• En la mayoría de los casos es suficiente realizar la imagen de un disco
"lógico", a través de la controladora RAID• Si es RAID 1 existe la posibilidad de extraer uno de los discos del mirror
y usarlo como "original"
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
RAID
Tiempo en realizar una imagen
Fuente: http://www.cyanline.com/pres/auscert05-run-a-case.pdf
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Problemas con evidencia original
¿Cómo se preserva la evidencia original?• Si se puede parar el sistema y tenemos acceso
físico Se hacen dos copias de todos los discos (usando
discos de idéntico modelo) Se guardan los originales Se arranca el sistema desde una de las copias Se investiga sobre otra copia
• Si no tenemos acceso físico Procedimiento de obtención de la imagen sencillo
para que un técnico remoto pueda hacerlo• Si no se puede parar el sistema
Se realiza imagen online, que pasa a ser considerada "original"
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Problema de la distancia
Muchos servidores tienen tarjetas de acceso remoto (Lights-out Operations)• Desde el punto de vista del servidor, es como
acceder desde la consola localmente• Permiten montar CDs o diskettes virtuales
Operador remoto• Usando toolkit automatizado, con posible
asistencia telefónica Problemas: Zonas horarias, lenguaje, etc.
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Resumen
La información y evidencia recogida tiene que ser la mejor posible dadas las circunstancias
En un delito, la evidencia informática suele corroborar o apoyar una investigación, pero no tiene por qué ser la "pistola humeante"
No es siempre necesario obtener "toda" la información disponible• No merece la pena• Puede llevar mucho tiempo
Obtención de evidencia
Sistemas Windows
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
date /t & time /t• fecha y hora
ipconfig /all• información tcp/ip
netstat -aon• conexiones abiertas y puertos en espera, con PID asociado
psinfo -shd• informacion del sistema (hardware, software, hotfixes,
versiones, etc.) pslist -t
• lista de procesos at
• lista de tareas programadas (también mirar en %windir%\tasks\ folder)
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
psloggedon• usuarios logados y hora de logon
psloglist• volcado de log de eventos
psservice• información de servicios de sistema
net use, net accounts, net session, net share, net user• conexiones netbios/smb
listdlls• lista de DLLs cargadas en sistema
sigcheck -u -e c:\windows• lista de ficheros (.exe, .dll) no firmados
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
streams -s c:\• lista ficheros con alternate data streams (ads)
logonsessions -p• sesiones actuales y procesos por sesión
arp -a• muestra tabla de caché ARP
ntlast • muestra eventos de logon correctos y fallidos
route print• muestra tabla de rutado IP
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
autorunsc• muestra elementos de autoejecución
hfind c:• ficheros ocultos
promiscdetect• detecta interfaces de red en modo "PROMISC"
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
volume_dump• muestra información sobre volumenes, mount points,
filesystem, etc. pwdump2
• muestra hashes (nthash/lmhash) de cuentas locales lsadump2
• muestra LSA secrets (necesita SeDebugPrivilege) strings
• busca cadenas ASCII/Unicode en ficheros
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información - GUI
rootkit revealer• detecta rootkits (usermode o kernelmode)
process explorer• información útil sobre procesos, librerías que usan, recursos
accedidos, conexiones de red, etc. tcpview
• muestra conexiones de red y aplicaciones asociadas
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Dispositivos Windows
\\. Local machine \\.\C: C: volume \\.\D: D: volume \\.\PhysicalDrive0 First physical disk \\.\PhysicalDrive1 Second physical disk \\.\CdRom0 First CD-Rom \\.\Floppy0 First floppy disk \\.\PhysicalMemory Physical memory
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Imagen de memoria
Imagen de la memoria usando "dd"dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000
• Acceso a PhysicalMemory desde usermode ya no se permite en Windows Server 2003 SP1 (es necesario usar un driver en modo kernel)
Se puede volcar el espacio de memoria de un proceso con "pmdump"
Se puede obtener el fichero de paginación• No se puede copiar 'pagefile.sys' en un sistema en marcha• Si se apaga el ordenador, se modifica el fichero de paginación
(o opcionalmente se borra)• Si es necesario este fichero, quitar cable de alimentación y
obtener imágenes del disco
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Ejemplo PMDump
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Ficheros log Log de eventos (Application, System, Security, DNS) IIS/webserver/FTP logs/URLScan Windows Firewall log (%windir%\pfirewall.log) Dr. Watson logs
• contiene información sobre procesos que corrían cuando una aplicación falló
setupapi.log• información sobre instalacíón de aplicaciones y dispositivos
schedlgu.txt• información sobre tareas programadas
Antivirus / IDS / IAS / ISA Server / ... logs
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Carpeta Prefetch Usada por Windows para almacenar información sobre
ejecutables, para optimizar el rendimiento• En WinXP se realiza prefetches al arrancar y al lanzar
aplicaciones. Win2003 realiza el prefetch sólo al arrancar (por defecto)
• Los ficheros .pf en %systemroot%/prefetch contienen información sobre el path de los ficheros
• La fecha y hora (MAC) del fichero .pf nos da información sobre cuándo una aplicación ha sido ejecutada
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Otras fuentes
LastWrite en claves de registro• Se puede usar 'lsreg.pl' para extraer esta
informaciónKey -> CurrentControlSet\Control\Windows\ShutdownTime
LastWrite : Tue Aug 2 12:06:56 2005
Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01 Ficheros INFO2
• Información sobre ficheros borrados• Se puede usar 'rifiuti' para extraer información• C:\Recycler\%USERSID%\INFO2
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Otras fuentes
Documentos recientesHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Directorios temporales Caché navegador web
• Se puede usar 'pasco' para analizar• Cache y cookies• Browser history
Obtención de evidencia
Sistemas UNIX
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
uptime• tiempo que lleva el sistema corriendo
uname -a• tipo de OS y versión de kernel
date• fecha y hora del sistema
fdisk -l• mapa de particiones
lsof -itn• muestra ficheros abiertos
netstat -nap• muestra puertos abiertos
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
pcat• copia espacio de memoria de un proceso
ls -lit | sort• muestra inodos por secuencia, permite buscar troyanos
memdump• volcado de memoria física
mac-robber y mac-time• obtiene información sobre MAC de ficheros
file• identifica un fichero
ldd• muestra librerías dinámicas utilizadas por un binario
strings• muestra cadenas ASCII en ficheros
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Obteniendo información
gdb• debugger
objdump• muestra información sobre ficheros objeto
readelf• muestra información sobre ficheros ELF
strace• traza de llamadas al sistema
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
/proc
El directorio /proc en Linux contiene una representación de los procesos en ejecución
El fichero en la carpeta /proc/<pid> es el binario del proceso• ¡Aunque se haya borrado del disco
después de lanzarlo!
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Otras fuentes
Ficheros log (/var/log) .bash_history Fichero swap
Obtención de evidencia
Routers CISCO
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Cisco Routers
Existen cientos de vulnerabilidades que afectan a routers Cisco• Buscando "cisco router" en CVE aparecen unas 50
¿Por qué atacar un router?• Deshabilitar la red, DoS• Atacar otros routers• Evitar firewalls, IDS, ...• Interceptar tráfico• Redireccionar tráfico
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Cisco Routers
Dos tipos de memoria• Flash (persistente)
Configuración de arranque Ficheros sistema operativo IOS
• RAM (volátil) Configuración actual Tablas dinámicas (rutado, ARP, NAT, violaciones de
ACLs, estadísticas, etc.)
Lo interesante está en la RAM
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Cisco Routers
No reiniciar el router Acceder siempre por consola
• no por red Recoger información usando comandos
"show" Capturar sesión de terminal
• Casi todos los programas de terminal tienen esta función
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Cisco Routers
Información útil Si la contraseña ha cambiado y no
podemos entrar, hay información que se puede conseguir por SNMP
• snmpwalk –v1 Router.domain.com public• snmpwalk –v1 Router.domain.com private
Otra información• Logs de syslog• Traps SNMP enviadas a sistema de
monitorización Es buena política tener logs activados!
show clock detailshow versionshow running-configshow startup-configshow reloadshow ip routeshow ip arpshow usersshow loggingshow ip interfaceshow interfacesshow tcp brief allshow ip socketsshow ip nat translations verboseshow ip cache flowshow ip cefshow snmp usershow snmp groupshow clock detail
Análisis forense como servicio corporativo
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Marco de trabajo
Soportado por Política de Seguridad corporativa
Servicio forense como parte de procedimiento de Respuesta a Incidentes
Roles, responsabilidades, y autoridad, tienen que estar muy definidos
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Equipo
Investigadores forenses• Con experiencia, cualificaciones, y acceso a
todas las herramientas y bases de datos• Número pequeño, dependiendo del tamaño de
la organización y el número de casos procesados
Personal de respuesta a incidentes• Pueden llevar a cabo las fases de verificación y
obtención de evidencia
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Equipo - Otros
Administradores de sistema• Aportan conocimiento de la infraestructura y
podrían ser los únicos en tener acceso a sistemas (por política)
Departamentos legales y de RRHH• Dependiendo del caso, puede ser útil o
necesario involucrarlos en la investigación
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Herramientas
Kit de recolección de evidencia• Automatizado, que pueda ser usado por cualquiera• Multiplataforma• HELIX o similar
Análisis de imágenes de discos• The Sleuth Kit + Autopsy Browser• EnCase
Recuperación de contraseñas• Advanced Password Recovery Software Toolkit
Dispositivos móviles• PDA Seizure• MOBILedit Forensics Edition
Esteganográfía• Stego Suite
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Bases de datos
Base de datos de "hashes"• Permite descartar ficheros conocidos• Cada sistema estándar y aplicación
utilizado en la corporación debería estar registrado en la base de datos de hashes
Base de datos de casos y evidencia• Que permita búsqueda fácil• ¿Cómo se resolvió aquél caso similar?
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Bases de datos
Base de datos de herramientas• Toda herramienta debe ser probada
Metodología establecida de antemano
• Documentación de uso, resultados, e impacto en el sistema
• Copia segura de la herramienta, con hashes de los ficheros en papel
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Infrastructura necesaria
Workstations de análisis forense• Conectividad hardware de todo tipo (IDE, SCSI, Firewire, USB,
SATA) Almacenamiento para imágenes
• Dado que son ficheros grandes, la velocidad de lectura/escritura es fundamental (SAN por fibra, etc.)
• Opcionalmente, sistemas de archivado digital EMC Centera, NetApp NearStore, etc.
Almacenamiento físico para evidencia e informes• Caja fuerte, archivador con llave, sala de archivos
CDs de herramientas de obtención de evidencias• con instrucciones detalladas para que la obtención de
evidencias la pueda hacer alguien no-cualificado de forma remota
Sistemas que alberguen las bases de datos comentadas anteriormente
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Areas de investigación futura
Análisis de imágenes de memoria Dispositivos móviles
• Teléfonos móviles• PDAs y Blackberries• Navegadores GPS• Reproductores MP3• Cámaras digitales
Telefonía IP, VoIP
Análisis Forense en la CorporaciónAlfredo Reinohttp://www.areino.com/[email protected]
Areas de investigación futura
Infrastructura forense distribuida• Agentes instalados en todos los sistemas• Gestionados centralmente• Permite obtener datos de diferentes fuentes y
correlacionarlos Idea
• Uso de PXE Boot para reiniciar una máquina y que arranque con un entorno de obtención de evidencia