algunas herramientas linux de análisis forenseifoppian/seguridad/forensics.pdf · objetivo es...
TRANSCRIPT
Algunas Herramientas Linux de Análisis Forense
Italo Foppiano ReyesDirección de Tecnologías de Información
Universidad de Concepción
Temario
● Motivación● Introducción● Conceptos básicos● Recopilación de información● Comandos básicos● Sleuthkit
– Lineas de tiempo
● Autopsy– Análisis de la información
Temario
● Conclusiones● Comentarios● Preguntas
Motivación
● Basta pocos minutos conectado a Internet para sufrir un ataque
● Poca inversión en seguridad● Solo conociendo qué hizo un atacante es
posible prevenir futuros ataques● Inversión de tiempo para análisis forense es
alto– Por 1 hora atacante => 10 horas de administrador
de sistemas o más
Motivación
● Esfuerzos internacionales de promover el Análisis Forense– Reto Forense Hispano: organizado por UNAM-
CERT y RedIRIS
– Honeypot Proyect
● Poca participación nacional– Ningún Chileno en Reto V1, 2 y 3
Introducción● Objetivo es proveer un resumen de algunas
herramientas linux para el análisis de sistemas post-mortem
● Incremento explosivo de Internet en las últimas décadas ha provocado un incremento similar en la frecuencia de ataques
● A medida que evoluciona la red, también evolucionan los atacantes
● A pesar del incremento anterior poco varía la forma en que los sistemas almacenan la información– Sugiere vigencia de estas técnicas
Conceptos Básicos
● “rm” en UNIX normalmente significa pérdida de información– Los sistemas de archivos modernos evitan la
fragmentación, aun bajo uso intensivo
– La información borrada permanece por mucho tiempo
– Información que varía frecuentemente suele reutilizar el espacio de almacenamiento
– Actividad poco usual suele registrarse en lugares poco usuales, por lo que pueden permanecer por mucho tiempo
Persistencia de la Información
● Según experiencia de Vietse Venema– De un conjunto de discos duros usados se pudo
rescatar el 70% de la información
– La mayor parte de la información permanece inalterable, lo que es muy útil al momento de realizar un análisis forense.
Conceptos Básicos
Conceptos Básicos
● Tiempos MAC– No tiene nada que ver con McDonald
● Atributos de tiempo asociados a cualquier archivo o directorio en sistemas de archivos Unix y Windows.– mtime: instante en que un archivo o directorio fue
modificado por última vez
– atime: instante en que un archivo o directorio fue accesado por última vez
– ctime: instante en que un archivo o directorio fue creado
Recopilación de Información
● Para obtener conclusiones precisas se requiere de información completa
● Sin embargo existe volatilidad en la información– Requiere determinar qué información interesa
● Aplica el principio de incertidumbre de Heisenberg– No es posible capturar toda la información en linea
sin alterar el estado actual del sistema
● No necesariamente se requiere toda la información
Recopilación de Información
● Capas e ilusión– Todo sistema computacional posee capas de
abstracción● Ej. lo desplegado en pantalla es una representación del
contenido de un archivo, que a su vez e una representación de una secuencia de bytes
– Una abstracción genera una ilusión que nos ayuda a comprender mejor
– A medida que se desciende en las capas de abstracción la información se hace más precisa , pero a su vez menos significativa
– Precisión v/s ambigüedad como consecuencia
Recopilación de Información
● Capturando la Información del sistema de archivos– Se requiere evitar alterar la información de acceso
de los archivos
– Se desea copiar los archivos borrados
● Se prefiere copiar la información a otro disco si es posible o a través de la red– Ej dd if=/dev/hda1 bs=100k
Recopilación de Información
● Se sugiere bootear con un sistema confiable– Ej. knoppix
– Usar “nc” para enviar contenido a otro sistema mediante una red confiable
– Ej. ● dd if=/dev/hda1 bs=100k | nc -w 1 host_receptor 1234
Recopilación de Información
Recopilación de Información
Recopilación de Información
● Protegiendo la imagen– md5sum imagen >imagen.md5
● Montando la imagen en la máquina de análisis● No se desea modificar la información● No se desea que se ejecute programas
– Ej. mount imagen /victima -t ext3 -o loop, noexec,ro
– No es indispensable para algunas herramientas de análisis forense como TCT (The Coroners Toolkit)
Comandos Básicos
● Comandos simples de Unix– dd, strings, ldd, grep
● Caso real utilizando grep– Ataques simples por puerto 80
– Toda actividad concentrada en logs de apache
– Linea de tiempo
– Espectro del ataque
– Ej.
Sleuthkit
● Sleuthkit– Conjunto de herramientas para el análisis forense
basado en el Coroners Tool Kit (Wietse Venemas & Dan Farmer)
– Basadas en linea de comando
– Permite accesar una imagen sin tener que montarla
– Procedimiento algo engorroso
– Ej de caso de prueba
Autopsy
● GUI para sleuthkit● Permite automatizar algunas tareas● Gestiona el estudio de un caso● Permite generar reportes● Paquete recomendado junto con sleuthkit● Ej.
Conclusiones
● Es posible realizar un análisis simple con herramientas básicas de *unix
● Un análisis exhaustivo demanda bastante tiempo y dependerá de la experiencia del investigador
● Existen herramientas OpenSource muy buenas que facilitan el análisis forense
● Linux es una plataforma flexible y adecuada par realizar análisis forense
Comentarios
● Es necesario más investigadores forenses● Existen aplicaciones comerciales muy buenas
para el análisis forense– EnCase:
● Para window$
● Existen empresas comerciales que ofrecen servicio de análisis forense y recuperación de información– ¿nicho de mercado poco explotado?
Preguntas
● ¿?