Informática Forense

Definición y Objetivo 

  • La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada.
  • Para conseguir sus objetivos, la Informática Forense desarrolla técnicas idóneas para ubicar, reproducir y analizar evidencias digitales con fines legales.

 Ámbito de actuación

Todo hecho en el que un sistema informático esté involucrado, tanto si es el fin o un medio, puede ser objeto de estudio y análisis, y por ello, puede llevarse a juicio como medio probatorio.

Principios

  • Adherirse a estándares legales
  • Formación específica en técnicas forenses
  • Investigación debe ser “Forensically sound”
  • Obtener Permisos:

– investigación/ recolección evidencias
– monitorizar uso de ordenadores

  • Control de Evidencias Digitales

– Cadena de Custodia

Normas Fundamentales
1. Preservar la evidencia original
2. Establecer y mantener la Cadena de Custodia
3. Documentar todo hecho
4. NO EXTRALIMITARSE

  • Conocimientos personales
  • Leyes, Normas , Procedimientos

Riesgos: 

Corromper evidencias –> No admitirse en juicio

Objetivos del Proceso

  • Identificar las posibles fuentes disponibles
  • Recoger diferentes tipos de evidencias
  • Analizar las evidencias encontradas
  • Confirmar por pruebas cruzadas

– Así se establecen las bases para Probar que se han cometido actos deshonestos o ilegales.

Principio de Intercambio de Locard

Edmond Locard (Francia, 1877-1966). Pionero de la criminalística.  “Cada contacto deja un rastro”

  • Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto
  • En el momento en que un criminal cruza una escena del crimen, o entra en contacto con una víctima, la víctima se queda con algo del criminal, pero este a su vez se lleva algo a cambio.
  • El Principio de Locard tiene plena validez en el ámbito informático y las evidencias electrónicas
  • Hay que determinar el ¿Cómo? el ¿Dónde? podemos encontrar las evidencias

El criterio de Daubert

Daubert Criteria o Daubert Standard (1993) es el método que se sigue en los EEUU para admitir que una evidencia científica es no sólo pertinente (relevant) para el caso, sino que también es fiable (reliable).

Se basa en cuatro factores utilizados para evaluar las evidencias científicas:

1. Pruebas realizadas
2. Revisiones cruzadas (peer review)
3. Tasa de error (error rate) de las pruebas
4. Aceptación por la comunidad científica

Tipos de Ciberamenazas

1. Ciberespionaje (Robo propiedad industrial/intelectual)

  • Objetivo: Administraciones públicas / Empresas estratégicas
  • China, Rusia, Irán, otros…
  • Servicios de Inteligencia / Fuerzas Armadas / Otras empresas

2. Ciberdelito (Crimen por Internet)

  • Objetivo: Robo información de tarjetas de crédito / Fraude
  • Telemático / Blanqueo de dinero…
  • HACKERS y crimen organizado

3. Ciberactivismo (Uso político de Internet)

  • Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal.
  • ANONYMOUS y otros grupos

4. Ciberterrorismo (Uso de Internet por terroristas)

  • Objetivo : Comunicaciones , obtención de información, propaganda o financiación, Ataque a Infraestructuras críticas
  • ETA , organizaciones de apoyo y Grupos Yihaidistas

Fuente: http://www.criptored.upm.es/descarga/ConferenciaJavierPagesTASSI2013.pdf



Fundamentos de la Informática Forense

La Ciencia Forense nos proporciona los principios y técnicas que facilitan la investigación de los delitos criminales, mediante la identificación, captura, reconstrucción y análisis de las evidencias.

La Ciencia Forense recurre a la aplicación de un método científico para analizar las evidencias disponibles y formular hipótesis sobre lo ocurrido.

El trabajo de la Ciencia Forense se basa en el “Principio de Transferencia de Locard”, según el cual cualquier persona u objeto que entra en la escena del crimen deja un rastro en la escena o en la propia víctima y viceversa, es decir, también se lleva consigo algún rastro de la escena del crimen.

Por su parte, la Informática Forsense se encarga de: adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

Por tanto. cómo. desde dónde. cuando se está realizando un análisis forense se intenta responder a las siguientes preguntas:

  • ¿Quién ha realizado el ataque?
  • ¿Cómo se realizo?
  • ¿Qué vulnerabilidades se han explotado?
  • ¿Qué hizo el intruso una vez que accedió al sistema?
  • Etc.

Este análisis puede determinar quién. El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. En el análisis forense se realiza un análisis posterior de los incidentes de seguridad. mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Etapas en el análisis forense de un incidente informático

  • Identificación y captura de evidencias
  • Preservación de las evidencias
  • Análisis de la información obteneida
  • Elaboración de un informe con las conclusiones del análisis forense

Seguidamente se estudiarán las actividades y aspectos a tener en cuenta en cada una de estas actividades.

Captura de Evidencias

Una evidencia es toda aquella información que podrá ser capturada y analizada posteriormente para interpretar de la forma más exacta posible el incidente de segurida: en qué ha consistido, qué daños ha provocado, cuáles son sus consecuencias y quién pudo ser el responsable. También se puede considerar como evidencias los campos magnéticos y los pulsos electrónicos emitidos por los equipos informáticos.

  • Debemos tener en cuenta, por lo tanto, que el proceso de captura de evidencias digitales no debe alterar el escenario objetivo de análisis.
  • A pesar de ser intangibles, las evidencias digitales o electrónicas pueden ser admitidas como prueba en un juicio.
  • Aislamiento de la escena del crimen para evitar la corrupción de esta y de las evidencias que en ella pueda hallarse.
  • Es posible generar distintas copias de evidencia digitales para facilitar su conservación y posterior análisis.
  • La tecnología informática permitirá averiguar si alguna de estas copias ha sido modificada o falsificada.
  • Conviene utilizar herramientas de almacenamiento, que se pueda ejecutar directamente sin la necesidad de instalar un software que pueda contener troyanos.

Evidencias Volátiles: Toda aquella información que se perderá al apagar un equipo informático por ejemplo:

  • Volcado de memoria global del sistema.
  • Procesos y servicios en ejecución.
  • Drivers
  • Información de la situación y configuración de servicios y las tarjetas de red.
  • Sesiones que se encuentran abiertas en el momento.

Obtención de los Discos Duros

Apagar repentinamente el equipo para evitar la perdida de información ü Arrancar desde el CD-ROM con un Disco live con S.O de MS-DOS o LINUX. ü Se procede a hacer una imagen del disco duro.

Preservación de las Evidencias Digitales

  • Se deberá utilizar un adecuado método de identificación, precinto, Etiquetado y almacenamiento de evidencias.
  • Se deberá documentar todo el proceso de obtención de las evidencias deberá precisar y reflejar lugar y personas que intervinieron en el proceso y cada una de las evidencias.

Análisis de las Evidencias Obtenidas

  • Identificación de los tipos de archivos, a partir de sus extensiones.
  • Visualización de los ficheros gráficos.
  • Estudio de las fechas de creación, cambio y ultimo acceso a los ficheros.
  • Revisión de los permisos de acceso y ejecución de los ficheros.
  • Revisión de los distintos ficheros temporales obtenidos en la imagen del sistema como lo es la memoria cache.
  • Información y ficheros ocultos mediante técnicas estenográficas (disciplina que estudia el conjunto de técnicas cuyo fin es la ocultación de información).

Con las herramientas adecuadas también es posible recuperar fragmentos de antiguos ficheros, además de facilitar el análisis de los datos que pudieran encontrarse en los espacios de separación de la particiones y sectores del disco.

Organismos de Informática forense

ASOCIACIÓN INTERNACIONAL DE ESPECIALISTAS EN INVESTIGACIÓN INFORMÁTICA

ASOCIACIÓN INTERNACIONAL SOBRE LAS EVIDENCIAS INFORMÁTICA

Plan de Recuperación del Negocio

Las empresas son mas consientes de la necesidad de prevenirse en caso de situaciones catastróficas como pueden ser:

  • Incendios
  • Inundaciones
  • Terremotos
  • Huracanes

Medios adecuados que permitan restaurar el funcionamiento de un sistema informático de la organización:

  • Disponibilidad de un Centro Alternativo (servidor y bases de datos corporativos)
  • Existencia de líneas back-up para las comunicaciones
  • Sistemas de almacenamiento RAID en los servidores.
  • Implantación de clusters de servidores con balanceo de carga

Centro Alternativo o Centro Back-up

  • Es un local o edificio exclusivamente dedicado a las copias de seguridad de los datos críticos para el negocio suficientemente actualizados y con el equipo necesario.

Estrategias de un Centro Alternativo:

A. No de dispone de un centro alternativo y no existen copias de seguridad, debemos señalar que un porcentaje importante de organizaciones y empresas de todo tipo y de menor tamaño se encuentran en esta situación.

B. Trasporte periódico de copias de seguridad a un almacén, el tiempo de recuperación de la información pude ser de mas de una semana ya que no solo se tienen las copias de seguridad y no los equipos.

C. Centro alternativo “Frio” un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización.

D. Centro alternativo “CALIENTE” un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización los datos se replican cada día o cada hora.

E. Centro alternativo “CALIENTE” en una configuración en espejo o “mirror” un centro que cuenta con un equipamiento que el centro principal y trabaja de modo paralelo pudiendo entrar de manera inmediata a la caída del centro principal.

Procedimiento para la Recuperación

  • Detección y respuesta del desastre en el Centro Principal: incendio, inundación, etc.
  • Traslado de la actividad al Centro Alternativo: poner en marcha los servidores y equipos informáticos.
  • Recuperacion del Centro Principal Siniestrado.

EN RESUMEN:

La metodología habitualmente seguida es:

1) Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.

2) Adquisición de datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

3) Análisis e investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

4) Realización del informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente.

Los tipos de análisis forenses más comunes son:

a) Análisis forense de sistemas: en este análisis se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.).

b) Análisis forense de redes: en este tipo se engloba el análisis de diferentes redes (cableadas, wireless, bluetooth, etc.).

c) Análisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal.

Habría que añadir los análisis de comportamiento de usuarios, no recogidos en el libro por su  xcesivo enfoque al tecnicismo informático y que descuida a los usuarios denro del sistema de información.

Herramientas de Análisis Forense

Fuente: Conexión Inversa (http://conexioninversa.blogspot.com.es/2013/09/forensics-powertools-listado-de.html)

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

  • pd Proccess Dumper – Convierte un proceso de la memoria a fichero.
  • FTK Imager – Permite entre otras cosas adquirir la memoria.
  • DumpIt – Realiza volcados de memoria a fichero.
  • Responder CE – Captura la memoria y permite analizarla.
  • Volatility – Analiza procesos y extrae información util para el analista.
  • RedLine – Captura la memoria y permite analizarla. Dispone de entrono gráfico.
  • Memorize – Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla.

  • ImDisk – Controlador de disco virtual.
  • OSFMount – Permite montar imágenes de discos locales en Windows asignando una letra de unidad.
  • raw2vmdk – Utilidad en java que permite convertir raw/dd a .vmdk
  • FTK Imager – Comentada anteriormente, permite realizar montaje de discos.
  • vhdtool – Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
  • LiveView – Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
  • MountImagePro – Permite montar imágenes de discos locales en Windows asignando una letra de unidad

CARVING Y HERRAMIENTAS DE DISCO

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

  • PhotoRec – Muy útil, permite la recuperación de imágenes y vídeo.
  • Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
  • RecoverRS – Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco.
  • NTFS Recovery – Permite recuperar datos y discos aún habiendo formateado el disco.
  • Recuva – Utilidad para la recuperación de ficheros borrados.
  • Raid Reconstructor – Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
  • CNWrecovery – Recupera sectores corruptos e incorpora utilidades de carving.
  • Restoration – Utilidad para la recuperación de ficheros borrados.
  • Rstudio – Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
  • Freerecover – Utilidad para la recuperación de ficheros borrados.
  • DMDE – Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
  • IEF – Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.
  • Bulk_extractor – Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

  • analyzeMFT – David Kovar’s utilidad en python que permite extraer la MFT
  • MFT Extractor- Otra utilidad para la extracción de la MFT
  • INDXParse – Herramienta para los indices y fichero $I30.
  • MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT
  • MFT_Parser – Extrae y analiza la MFT
  • Prefetch Parser – Extrae y analiza el directorio prefetch
  • Winprefectchview – Extrae y analiza el directorio prefetch
  • Fileassassin – Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE

  • PDF Tools de Didier Stevens.
  • PDFStreamDumper – Esta es una herramienta gratuita para el análisis PDFs maliciosos.
  • SWF Mastah – Programa en Python que extrae stream SWF de ficheros PDF.
  • Proccess explorer – Muestra información de los procesos.
  • Captura BAT – Permite la monitorización de la actividad del sistema o de un ejecutable.
  • Regshot – Crea snapshots del registro pudiendo comparar los cambios entre ellos
  • Bintext – Extrae el formato ASCII de un ejecutable o fichero.
  • LordPE – Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
  • Firebug – Analisis de aplicaciones web.
  • IDA Pro – Depurador de aplicaciones.
  • OllyDbg – Desemsamblador y depurador de aplicaciones o procesos.
  • Jsunpack-n – Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
  • OfficeMalScanner – Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
  • Radare – Framework para el uso de ingeniería inversa.
  • FileInsight – Framework para el uso de ingeniería inversa.
  • Volatility Framework con los plugins malfind2 y apihooks.
  • shellcode2exe – Conversor de shellcodes en binarios.

FRAMEWORKS

Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

  • PTK – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
  • Log2timeline – Es un marco para la creación automática de un super línea de tiempo.
  • Plaso – Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.
  • OSForensics – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
  • DFF – Framework con entorno gráfico para el análisis.
  • SANS SIFT Workstation – Magnifico Appliance de SANS. Lo utilizo muy a menudo.
  • Autopsy – Muy completo. Reescrito en java totalmente para Windows. Muy útil.

ANÁLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema, direcciones IP, información de aplicaciones.

  • RegRipper – Es una aplicación para la extracción, la correlación, y mostrar la información del registro.
  • WRR – Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.
  • Shellbag Forensics Análisis de los shellbag de windows.
  • Registry Decoder – Extrae y realiza correlación aun estando encendida la máquina datos del registro.

HERRAMIENTAS DE RED

Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques, etc.

 

  • WireShark – Herramienta para la captura y análisis de paquetes de red.
  • NetworkMiner – Herramienta forense para el descubrimiento de información de red.
  • Netwitness Investigator – Herramienta forense. La versión ‘free edition’ está limitado a 1GB de tráfico.
  • Network Appliance Forensic Toolkit – Conjunto de utilidades para la adquisición y análisis de la red.
  • Xplico – Extrae todo el contenido de datos de red (archivo pcap o adquisición en tiempo real). Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.
  • Snort – Detector de intrusos. Permite la captura de paquetes y su análisis.
  • Splunk – Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.
  • AlientVault – Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.

RECUPERACIÓN DE CONTRASEÑAS

Todo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, en navegadores.

  • Ntpwedit – Es un editor de contraseña para los sistemas basados ​​en Windows NT (como Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.
  • Ntpasswd – Es un editor de contraseña para los sistemas basados ​​en Windows, permite iniciar la utilidad desde un CD-LIVE
  • pwdump7 – Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.
  • SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.

DISPOSITIVOS MÓVILES

Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense de dispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero que son muy interesantes e importantes.

iPhone

  • iPhoneBrowser – Accede al sistema de ficheros del iphone desde entorno gráfico.
  • iPhone Analyzer – Explora la estructura de archivos interna del iphone.
  • iPhoneBackupExtractor – Extrae ficheros de una copia de seguridad realizada anteriormente.
  • iPhone Backup Browser – Extrae ficheros de una copia de seguridad realizada anteriormente.
  • iPhone-Dataprotection – Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta con contraseñas simples (4 dígitos) y descifrar copias de seguridad.
  • iPBA2 – Accede al sistema de ficheros del iphone desde entorno gráfico.
  • sPyphone – Explora la estructura de archivos interna.

BlackBerry

  • Blackberry Desktop Manager – Software de gestión de datos y backups.
  • Phoneminer – Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.
  • Blackberry Backup Extractor – Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.
  • MagicBerry – Puede leer, convertir y extraer la base de datos IPD.

Android

  • android-locdump. – Permite obtener la geolocalización.
  • androguard – Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC
  • viaforensics – Framework de utilidades para el análisis forense.
  • Osaf – Framework de utilidades para el análisis forense.

PRODUCTOS COMERCIALES

No podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.

  • UFED Standard (http://www.cellebrite.com)
  • XRY (http://www.msab.com)
  • Mobilyze (http://www.blackbagtech.com)
  • SecureView2 (http://mobileforensics.susteen.com)
  • MobilEdit! (http://www.mobiledit.com)
  • Oxygen Forensic (http://www.oxygen-forensic.com)
  • CellDEK (http://www.logicube.com)
  • Mobile Phone Examiner (http://www.accessdata.com)
  • Lantern (http://katanaforensics.com)
  • Device Seizure (http://www.paraben.com)
  • Neutrino (www.guidancesoftware.com)


 

Etiquetado con:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*