Hola a todos en esta oportunidad veremos más a fondo como se realizar un análisis forense pero en este caso estará orientado a la plataforma GNU/Linux ó Unix,lo primero es que hacer cuando se ha realizado un delito en su empresa y como actuar también veremos todo lo concerniente a un analista forense.
Como ya he mencionado en anteriores post que he realizado el objetivo principal del Analisis forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, como el objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido.
Como el tema es largo cada semana publicare avances. Bueno comencemos
Si ud.tiene sospechas de que han realizado un delito informatico .
La opción más fácil es de evitar que las cosas no cambien - cerrar el sistema o suspender su funcionamiento.
Si ud apaga el servidor como normalmente hace utilizando el comando shutdown lo más seguro que borre algunas información de interés. Por que puede ser que los intrusos hayan programado los sistemas para eliminar algunos ficheros en el sistema cuando el cable de conexión haya sido sacado o cuando el procedimiento de un shutdown normal haya sido activado.
Si ud. no está seguro de lo que está haciendo, se debe simplemente desenchufar el sistema y ponerse en contacto con un investigador forense especializado, ya que las pruebas pueden ser dañadas con mucha facilidad.
En caso de que Ud esté seguro de si mismo puede utilizar algunas de las herramientas que vienen a continuación, siempre con cuidado.
-last, w, who - Obtener el listado de usuarios actuales en el sistema, logins anteriores, etc.
-ls - Obtener el listado largo (ls -lat) de ficheros en lugares sospechosos, los home directories, directorio /dev, directorio /root, etc.
-ps - Obtener el listado largo de todos los procesos incluidos aquellos sin ttys (e.g., ps auxwww y ps elfwww -- añadir más flags w si el listado se acorta).
-lsof - Obtener un listado completo de descriptores de ficheros, que puede mostrar algunos backdoors, sniffers, eggdrop IRC bots, redireccionadores de puertos para VNC, etc.(Ojo con cwd, cual es el directorio local en el cual el programa ha sido ejecutado.)
find - Identificar todos ficheros corrientes, directorios modificados desde la fecha de último acceso no autorizado, o que pertenecen al usuario desde cuya cuenta se sospecha que fue originado el ataque.
Importante: La utilidad find modifica el i-node "last accessed" con el timestamp actual, entonces no debe utilizar esta utilidad para barrer el sistema de ficheros, si todavía quiere saber cuales son los ficheros accedidos por el atacante si el sistema de ficheros está montado en modo lectura y escritura.
-ltrace, strace, truss (SunOS 5) - Ver últimos accesos a ficheros de configuración de "rootkit", ejemplo: Examinar el fichero /bin/ls trucado.
Para realizar analistas forenses lo principal es tener un equipo dedicado con sus herramientas especializadas, para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los ataques externos. Un ejemplo siguiente:
Tener un ambiente adecuado y seguro, también tener un equipo de computo dedicado para realizar análisis forense
• Un equipo con i386 compatible motherboard con 2 tarjetas controladoras IDE.
• tener por lo menos 2 discos duros sobre el controlador IDE principal (para almacenar el sistema operativo y herramientas, más espacio para poder copiar las particiones salvadas desde la cinta, y espacio adicional para recuperar la información borrada desde discos duros).
• Un segundo controlador IDE sin utilizar. Eso significa que no deberá mezclarse con modificación de configuraciones de hardware de los discos.
• Tarjeta de interfaz SCSI
• Dispositivos de cinta DDS-3 ó DDS-4 4mm (necesitará bastante capacidad para almacenar información de las particiones grandes.).
• Si el sistema está conectado a una red, deberá ser perfectamente parcheado y no tener ningún servicio de red funcionando salvo SSH (para acceso remoto y transferencia de ficheros). Red Hat Linux 7.3 con Bastille Linux 2.0 BETA es muy buena opción (Combinación utilizada en el lab de Activa Link).
Principios que tiene que seguir un analista forense
El equipo de análisis forenses su trabajo principal es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro.
Si el equipo de computo del grupo de analistas forenses fuese acezado por personas extrañas o si el grupo de trabajo modificara o eliminara información por error del disco original donde se ha cometido el delito no podrá seguir el rumbo correcto ya que y carecería de valor ante la justicia ya que.
1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.
2. Hay muchas posibilidades de que se le paso algo importante por alto al grupo de trabajo
Como ya he mencionado en anteriores post que he realizado el objetivo principal del Analisis forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, como el objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido.
Como el tema es largo cada semana publicare avances. Bueno comencemos
Si ud.tiene sospechas de que han realizado un delito informatico .
La opción más fácil es de evitar que las cosas no cambien - cerrar el sistema o suspender su funcionamiento.
Si ud apaga el servidor como normalmente hace utilizando el comando shutdown lo más seguro que borre algunas información de interés. Por que puede ser que los intrusos hayan programado los sistemas para eliminar algunos ficheros en el sistema cuando el cable de conexión haya sido sacado o cuando el procedimiento de un shutdown normal haya sido activado.
Si ud. no está seguro de lo que está haciendo, se debe simplemente desenchufar el sistema y ponerse en contacto con un investigador forense especializado, ya que las pruebas pueden ser dañadas con mucha facilidad.
En caso de que Ud esté seguro de si mismo puede utilizar algunas de las herramientas que vienen a continuación, siempre con cuidado.
-last, w, who - Obtener el listado de usuarios actuales en el sistema, logins anteriores, etc.
-ls - Obtener el listado largo (ls -lat) de ficheros en lugares sospechosos, los home directories, directorio /dev, directorio /root, etc.
-ps - Obtener el listado largo de todos los procesos incluidos aquellos sin ttys (e.g., ps auxwww y ps elfwww -- añadir más flags w si el listado se acorta).
-lsof - Obtener un listado completo de descriptores de ficheros, que puede mostrar algunos backdoors, sniffers, eggdrop IRC bots, redireccionadores de puertos para VNC, etc.(Ojo con cwd, cual es el directorio local en el cual el programa ha sido ejecutado.)
find - Identificar todos ficheros corrientes, directorios modificados desde la fecha de último acceso no autorizado, o que pertenecen al usuario desde cuya cuenta se sospecha que fue originado el ataque.
Importante: La utilidad find modifica el i-node "last accessed" con el timestamp actual, entonces no debe utilizar esta utilidad para barrer el sistema de ficheros, si todavía quiere saber cuales son los ficheros accedidos por el atacante si el sistema de ficheros está montado en modo lectura y escritura.
-ltrace, strace, truss (SunOS 5) - Ver últimos accesos a ficheros de configuración de "rootkit", ejemplo: Examinar el fichero /bin/ls trucado.
Para realizar analistas forenses lo principal es tener un equipo dedicado con sus herramientas especializadas, para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los ataques externos. Un ejemplo siguiente:
Tener un ambiente adecuado y seguro, también tener un equipo de computo dedicado para realizar análisis forense
• Un equipo con i386 compatible motherboard con 2 tarjetas controladoras IDE.
• tener por lo menos 2 discos duros sobre el controlador IDE principal (para almacenar el sistema operativo y herramientas, más espacio para poder copiar las particiones salvadas desde la cinta, y espacio adicional para recuperar la información borrada desde discos duros).
• Un segundo controlador IDE sin utilizar. Eso significa que no deberá mezclarse con modificación de configuraciones de hardware de los discos.
• Tarjeta de interfaz SCSI
• Dispositivos de cinta DDS-3 ó DDS-4 4mm (necesitará bastante capacidad para almacenar información de las particiones grandes.).
• Si el sistema está conectado a una red, deberá ser perfectamente parcheado y no tener ningún servicio de red funcionando salvo SSH (para acceso remoto y transferencia de ficheros). Red Hat Linux 7.3 con Bastille Linux 2.0 BETA es muy buena opción (Combinación utilizada en el lab de Activa Link).
Principios que tiene que seguir un analista forense
El equipo de análisis forenses su trabajo principal es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro.
Si el equipo de computo del grupo de analistas forenses fuese acezado por personas extrañas o si el grupo de trabajo modificara o eliminara información por error del disco original donde se ha cometido el delito no podrá seguir el rumbo correcto ya que y carecería de valor ante la justicia ya que.
1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.
2. Hay muchas posibilidades de que se le paso algo importante por alto al grupo de trabajo
Entradas
1 comentario:
copio http://www.loquefaltaba.com/documentacion/forense/objetiv.html
Publicar un comentario