Hola Continuaremos con la entrevista .En el post anterior se menciono sobre la DIVINDAT como se origino, también se menciono que un delito informático se puede producir de dos maneras la primera es directamente se altere en la computadora ya sea por malos trabajadores o personal y la otra es hacerlo por internet un claro ejemplo son los hacker. Ahora vamos a hablar sobre la herramienta que utilizan casi todos los analistas forenses del mundo la herramienta encase forensic 5.0 Enterprise hablaremos sobre las ventajas de usarla
¿Por qué él la más usada por los analistas forenses?
Rpta.
-Por que permite analizar toda la evidencia dentro de una interfaz gráfica, mediante el uso de un grupo de herramientas , esto reduce el tiempo del análisis a demás maneja grandes cantidades de evidencia y es compatible con diversos sistemas de archivos.
Una vez que se tiene las imágenes del disco de evidencia se puede realizar búsquedas y analizarlas desde cualquier unidad de disco
Cuenta con la aprobación de los tribunales de justicia de todo el mundo
¿A qué se debe?
Crea un duplicado binario exacto de la unidad o disco (copiado bit a bit) ,asigna valores de control de redundancia cíclica a los datos para revelar las instancias en que las pruebas (unidad o disco ) se han modificaron forzosamente o se alteraron de alguna manera.
Un ejemplo es que hayan puesto en la BIOS un programa que cuando se apague o desenchufe el ordenador se borre algunos archivos que comprometan al agresor.
Además tiene un calendario de fechas donde se puede saber cuando fue creado un archivo o cuando se ha modificado el archivo o borrado este calendario es creado por el encase para un rápido análisis
Encase también se pueden obtener los correos eliminados, notas y contacto esto se debe q que es compatible con muchos correos como son yahoo, Hotmail, Outlook , a demás decodifica el historial de la web para saber que paginas ha visitado
Encase forensic 5.0 permite que los analistas impidan la escritura en las unidades sospechosas y otros medios, el sistema permite crear privilegios de acceso para que personas extrañas no puedan tener acceso al encase a fin de preservar la evidencia.
sábado, 25 de octubre de 2008
sábado, 18 de octubre de 2008
DIVINDAT
El día martes 14 de octubre tuve una entrevista con el mayor Silva integrante de la división de es ingeniero sistemas especializado en análisis forense
Como se origina la DIVINDAT (división de delitos de alta tecnología)
Fue creada en el 2006, se crea como una división por que en el Perú existe un departamento de estado egeil el cual se encargada de ver toda la tecnología en el Perú y el DIVINDAT se ría como su policía, el DIVINDAT tiene varias categorías de delitos y también aéreas que se especializan en esos delitos
Menciono muchas cosas importantes como por ejemplo que una norma que tienen que seguir los analistas forenses es que del disco donde se ha cometido un delito tiene que sacar 3 copias pero como sacan copias, por intermedio de una herramienta encase menciono varias herramientas encase, pero ellos utilizan el Forensic 5.0 Enterprice, ¿ por que utilizan esa herramienta y no otras? Rtpa a comparación con el Forensic Enterprice
Las otras herramientas encase sus métodos son muy discutido, entonces no podría decirse que carecería como prueba.
La herramienta Forensic 5.0 Enterprice no solamente se encarga de copiar del disco original (donde se ha cometido el delito) a otro disco bit por bit sino que también realiza el análisis .Es una herramienta indispensable para el analista Forense
¿Cuanto tardan en resolver un delito informático?
Rpta. No se sabe, te lo explicare con un ejemplo
Hace como 5 años antes que se creara la división DIVINDAT sucedió un caso en Chiclayo ,a una señorita siempre la atacaban , pero lamentablemente no se sabía quién era de esta manera pasaron 2 años hasta que se creó la unidad y los padres de la señorita ,llegaron hasta aquí ,como es un delito atreves de internet teníamos que llevar una orden de un juez a la telefónica porque ellos se rehúsan a darnos las direcciones de dominios de sus clientes y sin una orden no se podría hacer ,después de catorce meses nos dio la información y de esta manera se resolvió el caso ,ósea que hay distintos factores que influyen en resolver un delito.
sábado, 11 de octubre de 2008
Principios Basicos de Analisis Forense
Hola a todos en esta oportunidad veremos más a fondo como se realizar un análisis forense pero en este caso estará orientado a la plataforma GNU/Linux ó Unix,lo primero es que hacer cuando se ha realizado un delito en su empresa y como actuar también veremos todo lo concerniente a un analista forense.
Como ya he mencionado en anteriores post que he realizado el objetivo principal del Analisis forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, como el objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido.
Como el tema es largo cada semana publicare avances. Bueno comencemos
Si ud.tiene sospechas de que han realizado un delito informatico .
La opción más fácil es de evitar que las cosas no cambien - cerrar el sistema o suspender su funcionamiento.
Si ud apaga el servidor como normalmente hace utilizando el comando shutdown lo más seguro que borre algunas información de interés. Por que puede ser que los intrusos hayan programado los sistemas para eliminar algunos ficheros en el sistema cuando el cable de conexión haya sido sacado o cuando el procedimiento de un shutdown normal haya sido activado.
Si ud. no está seguro de lo que está haciendo, se debe simplemente desenchufar el sistema y ponerse en contacto con un investigador forense especializado, ya que las pruebas pueden ser dañadas con mucha facilidad.
En caso de que Ud esté seguro de si mismo puede utilizar algunas de las herramientas que vienen a continuación, siempre con cuidado.
-last, w, who - Obtener el listado de usuarios actuales en el sistema, logins anteriores, etc.
-ls - Obtener el listado largo (ls -lat) de ficheros en lugares sospechosos, los home directories, directorio /dev, directorio /root, etc.
-ps - Obtener el listado largo de todos los procesos incluidos aquellos sin ttys (e.g., ps auxwww y ps elfwww -- añadir más flags w si el listado se acorta).
-lsof - Obtener un listado completo de descriptores de ficheros, que puede mostrar algunos backdoors, sniffers, eggdrop IRC bots, redireccionadores de puertos para VNC, etc.(Ojo con cwd, cual es el directorio local en el cual el programa ha sido ejecutado.)
find - Identificar todos ficheros corrientes, directorios modificados desde la fecha de último acceso no autorizado, o que pertenecen al usuario desde cuya cuenta se sospecha que fue originado el ataque.
Importante: La utilidad find modifica el i-node "last accessed" con el timestamp actual, entonces no debe utilizar esta utilidad para barrer el sistema de ficheros, si todavía quiere saber cuales son los ficheros accedidos por el atacante si el sistema de ficheros está montado en modo lectura y escritura.
-ltrace, strace, truss (SunOS 5) - Ver últimos accesos a ficheros de configuración de "rootkit", ejemplo: Examinar el fichero /bin/ls trucado.
Para realizar analistas forenses lo principal es tener un equipo dedicado con sus herramientas especializadas, para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los ataques externos. Un ejemplo siguiente:
Tener un ambiente adecuado y seguro, también tener un equipo de computo dedicado para realizar análisis forense
• Un equipo con i386 compatible motherboard con 2 tarjetas controladoras IDE.
• tener por lo menos 2 discos duros sobre el controlador IDE principal (para almacenar el sistema operativo y herramientas, más espacio para poder copiar las particiones salvadas desde la cinta, y espacio adicional para recuperar la información borrada desde discos duros).
• Un segundo controlador IDE sin utilizar. Eso significa que no deberá mezclarse con modificación de configuraciones de hardware de los discos.
• Tarjeta de interfaz SCSI
• Dispositivos de cinta DDS-3 ó DDS-4 4mm (necesitará bastante capacidad para almacenar información de las particiones grandes.).
• Si el sistema está conectado a una red, deberá ser perfectamente parcheado y no tener ningún servicio de red funcionando salvo SSH (para acceso remoto y transferencia de ficheros). Red Hat Linux 7.3 con Bastille Linux 2.0 BETA es muy buena opción (Combinación utilizada en el lab de Activa Link).
Principios que tiene que seguir un analista forense
El equipo de análisis forenses su trabajo principal es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro.
Si el equipo de computo del grupo de analistas forenses fuese acezado por personas extrañas o si el grupo de trabajo modificara o eliminara información por error del disco original donde se ha cometido el delito no podrá seguir el rumbo correcto ya que y carecería de valor ante la justicia ya que.
1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.
2. Hay muchas posibilidades de que se le paso algo importante por alto al grupo de trabajo
Como ya he mencionado en anteriores post que he realizado el objetivo principal del Analisis forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, como el objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido.
Como el tema es largo cada semana publicare avances. Bueno comencemos
Si ud.tiene sospechas de que han realizado un delito informatico .
La opción más fácil es de evitar que las cosas no cambien - cerrar el sistema o suspender su funcionamiento.
Si ud apaga el servidor como normalmente hace utilizando el comando shutdown lo más seguro que borre algunas información de interés. Por que puede ser que los intrusos hayan programado los sistemas para eliminar algunos ficheros en el sistema cuando el cable de conexión haya sido sacado o cuando el procedimiento de un shutdown normal haya sido activado.
Si ud. no está seguro de lo que está haciendo, se debe simplemente desenchufar el sistema y ponerse en contacto con un investigador forense especializado, ya que las pruebas pueden ser dañadas con mucha facilidad.
En caso de que Ud esté seguro de si mismo puede utilizar algunas de las herramientas que vienen a continuación, siempre con cuidado.
-last, w, who - Obtener el listado de usuarios actuales en el sistema, logins anteriores, etc.
-ls - Obtener el listado largo (ls -lat) de ficheros en lugares sospechosos, los home directories, directorio /dev, directorio /root, etc.
-ps - Obtener el listado largo de todos los procesos incluidos aquellos sin ttys (e.g., ps auxwww y ps elfwww -- añadir más flags w si el listado se acorta).
-lsof - Obtener un listado completo de descriptores de ficheros, que puede mostrar algunos backdoors, sniffers, eggdrop IRC bots, redireccionadores de puertos para VNC, etc.(Ojo con cwd, cual es el directorio local en el cual el programa ha sido ejecutado.)
find - Identificar todos ficheros corrientes, directorios modificados desde la fecha de último acceso no autorizado, o que pertenecen al usuario desde cuya cuenta se sospecha que fue originado el ataque.
Importante: La utilidad find modifica el i-node "last accessed" con el timestamp actual, entonces no debe utilizar esta utilidad para barrer el sistema de ficheros, si todavía quiere saber cuales son los ficheros accedidos por el atacante si el sistema de ficheros está montado en modo lectura y escritura.
-ltrace, strace, truss (SunOS 5) - Ver últimos accesos a ficheros de configuración de "rootkit", ejemplo: Examinar el fichero /bin/ls trucado.
Para realizar analistas forenses lo principal es tener un equipo dedicado con sus herramientas especializadas, para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los ataques externos. Un ejemplo siguiente:
Tener un ambiente adecuado y seguro, también tener un equipo de computo dedicado para realizar análisis forense
• Un equipo con i386 compatible motherboard con 2 tarjetas controladoras IDE.
• tener por lo menos 2 discos duros sobre el controlador IDE principal (para almacenar el sistema operativo y herramientas, más espacio para poder copiar las particiones salvadas desde la cinta, y espacio adicional para recuperar la información borrada desde discos duros).
• Un segundo controlador IDE sin utilizar. Eso significa que no deberá mezclarse con modificación de configuraciones de hardware de los discos.
• Tarjeta de interfaz SCSI
• Dispositivos de cinta DDS-3 ó DDS-4 4mm (necesitará bastante capacidad para almacenar información de las particiones grandes.).
• Si el sistema está conectado a una red, deberá ser perfectamente parcheado y no tener ningún servicio de red funcionando salvo SSH (para acceso remoto y transferencia de ficheros). Red Hat Linux 7.3 con Bastille Linux 2.0 BETA es muy buena opción (Combinación utilizada en el lab de Activa Link).
Principios que tiene que seguir un analista forense
El equipo de análisis forenses su trabajo principal es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro.
Si el equipo de computo del grupo de analistas forenses fuese acezado por personas extrañas o si el grupo de trabajo modificara o eliminara información por error del disco original donde se ha cometido el delito no podrá seguir el rumbo correcto ya que y carecería de valor ante la justicia ya que.
1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.
2. Hay muchas posibilidades de que se le paso algo importante por alto al grupo de trabajo
Suscribirse a:
Entradas (Atom)
Entradas
