Professional Documents
Culture Documents
TEMA:
ESTUDIO Y APLICACIN DE PROCEDIMIENTOS DE ANLISIS FORENSE EN
SERVIDORES DE BASES DE DATOS SQL SERVER Y MYSQL, CASO
PRCTICO: DESITEL - ESPOCH
TESIS DE GRADO
Previa obtencin del Ttulo de
PRESENTADO POR:
Ana Luca Juntamay Tenezaca
Nancy Patricia Macas Carrasco
RIOBAMBA ECUADOR
2011
AGRADECIMIENTO
Nuestro
ms
sincero
agradecimiento
Dios
por
DEDICATORIA
Con mucho cario a mis padres, pilares fundamentales en mi vida. Gracias por todo pap y
mam por darme una carrera para mi futuro y por creer en m.
A mis hermanas por estar conmigo y apoyarme siempre.
Tambin dedico este proyecto a mi esposo Gustavo, por su
paciencia, por su comprensin, por su fuerza, por su amor, por ser tal
como es.
A m querida hija Mishell, incentivo para cumplir mis metas y anhelos, y quien es la alegra en
mi vida.
FIRMAS DE RESPONSABILIDADES
NOMBRE
FIRMA
FECHA
DIRECTOR DPTO.
DOCUMENTACIN
NOTA DE LA TESIS
DIRECTOR DE ESCUELA DE
INGENIERA EN SISTEMAS
NDICE DE ABREVIATURAS
ASP
BD
Base de Datos
CFFTPM
CGI
CRM
DBA
DBMS
DCSA
DFRW
DLL
DML
DOM
ERP
FAT
IDS
IP
IPS
ISECOM
MAC
MD5
MDAC
MYD
MYI
NIST
NTFS
ODBC
OISSG
OLAP
OLTP
OSSTMM
PHP
RAM
RTO
SGBD
SPID
SQL
URL
XML
XSS
Cross-SiteSripting
NDICE GENERAL
PORTADA
AGRADECIMIENTO
DEDICATORIA
NDICE DE ABREVIATURAS
NDICE GENERAL
NDICE DE FIGURAS
NDICE DE TABLAS
INTRODUCCIN
CAPTULO I
1. MARCO REFERENCIAL ..................................................................................... 23
1.1. ANTECEDENTES .................................................................................................. 23
1.2. JUSTIFICACIN DEL PROYECTO DE TESIS ................................................... 25
1.2.1. JUSTIFICACIN TERICA ................................................................... 26
1.2.2. JUSTIFICACIN METODOLGICA .................................................... 26
1.2.3. JUSTIFICACIN PRCTICA................................................................. 27
1.3. OBJETIVOS ............................................................................................................ 28
1.3.1. OBJETIVO GENERAL ............................................................................ 28
1.3.2. OBJETIVOS ESPECFICOS:................................................................... 28
1.4. MARCO HIPOTTICO .......................................................................................... 29
1.4.1. HIPTESIS ............................................................................................... 29
1.5. MARCO METODOLGICO.................................................................................. 29
1.5.1. MTODOS ............................................................................................... 29
1.5.2. TCNICAS ............................................................................................... 29
CAPTULO II
2. MARCO TERICO ............................................................................................... 30
2.1. ANLISIS FORENSE DIGITAL ........................................................................... 30
2.1.1. Evidencia Digital....................................................................................... 30
2.1.2. Delitos Informticos .................................................................................. 32
2.1.3. Qu es Anlisis Forense Digital? ............................................................ 35
2.1.4. Aspectos Legales....................................................................................... 37
NDICE DE FIGURAS
Figura II.1. Clasificacin de Delitos Informticos ......................................................... 33
Figura II.2. Elementos del Lenguaje SQL ...................................................................... 38
Figura II.3. Autenticacin ............................................................................................... 43
Figura II.4. Modelo de Autenticacin ............................................................................. 44
Figura II.5. Diagrama de Autenticacin de SQL Server................................................. 45
Figura II.6. Esquema de Permisos Generales ................................................................. 45
Figura II.7. Jerarqua de encriptacin ............................................................................. 47
Figura II.8. Puntos de 'friccin' de las bases de datos relacionales ............................... 49
Figura II.9. Escenario de Ataques a Bases de Datos ..................................................... 51
Figura III.10. Diagrama de Modelo Forense Digital Abstracto ...................................... 64
Figura III.11. Fases de CFFTPM .................................................................................... 67
Figura III.12. Diagrama de Modelo Bsico de anlisis forense...................................... 72
Figura III.13. Fase de Identificacin ............................................................................... 73
Figura III.14. Fase de Identificacin ............................................................................... 75
Figura III.15. Fase de Anlisis del Modelo Bsico......................................................... 77
Figura III.16. Fase de Identificacin del Modelo Bsico ............................................... 78
Figura IV.17. Tipo de Escaneo de Acunetix Web Scanner ............................................ 88
Figura IV.18. Seleccionar el target para el escaneo ........................................................ 88
Figura IV.19. Seleccionar opciones para el escaneo ...................................................... 89
Figura IV.20. Seleccionar el modo de escaneo ............................................................... 89
Figura IV.21. Finalizacin de Escaneo ........................................................................... 90
Figura IV.22. Resultados de Escaneo ............................................................................. 90
Figura IV.23. Resultados de Escaneo con Havij y la opcin Autodetect ....................... 92
Figura IV.24 Opcin Find Admin................................................................................... 92
Figura IV.25. Opcin MD5 en Havij .............................................................................. 93
Figura IV.26. Opcin MySQL Blind a un sitio web ....................................................... 93
Figura IV.27. Ventana del Asistente de NGSSQuirrel ................................................... 95
Figura IV.28. Ingreso de la direccin IP de SQL Server ................................................ 95
Figura IV.29. Seleccionar la instancia de SQL Server ................................................... 95
Figura IV.30. Ingresar credenciales SQL Server ............................................................ 96
Figura IV.69. Pantalla principal de Stellar Phoenix MySQL Recovery ...................... 123
Figura IV.70. Paneles principales de Stellar Phoenix MySQL Recovery ................... 123
Figura IV.71. Ventana principal de SQL Recovery Tool ............................................ 125
Figura IV.72 Porcentaje de carga del proceso ............................................................. 125
Figura IV.73 Lista de datos recuperados ..................................................................... 126
Figura IV.74 Descripcin de la estructura de la base de datos .................................... 126
Figura IV.75 Descripcin de los datos de las tablas recuperadas. ............................... 127
Figura IV.76 Lista de procedimientos almacenados. ................................................... 127
Figura IV.77. Informacin recuperada ....................................................................... 128
Figura IV.78. Eleccin del archivo a recuperar. .......................................................... 129
Figura IV.79. Lista completa de los datos a recuperar. ............................................... 130
Figura IV.80. Opcin file. ............................................................................................ 130
Figura IV.81. Ventana principal de Recovery for SQL Server. .................................. 131
Figura IV.82. Ubicacin del archivo .mdf ................................................................... 132
Figura IV.83. Verificacin de licencia......................................................................... 132
Figura IV.84. Tipos de reparacin. .............................................................................. 133
Figura IV.85. Ubicacin del archivo donde se guardara la informacin. .................... 133
Figura IV.86. Porcentaje del proceso de recuperacin. ............................................... 134
Figura IV.87. Nombre del servidor SQL y el tipo de autenticacin ............................ 134
Figura IV.88 Modo para importar................................................................................ 135
Figura IV.89. Listado de informacin a recuperar....................................................... 135
Figura IV.90. Archivo .mdf recuperado ...................................................................... 136
Figura IV.91. Informacin recuperada ........................................................................ 136
Figura IV.92. Ingresar instancia de SQL Server 2005 ................................................. 142
Figura IV.93. Indicar si utiliza o no credenciales ......................................................... 142
Figura IV.94. Ventana inicial Windows Forensic Toolchest........................................ 142
Figura IV.95. Ejecucin de sentencias SQL Server...................................................... 143
Figura IV.96. Carpeta con resultados del anlisis forense ............................................ 143
Figura IV.97. Informacin del Sistema ........................................................................ 144
Figura IV.98. Resultados de anlisis de herramientas de recuperacin en SQL SERVER
147
Figura IV.99. Resultados de anlisis de herramientas de recuperacin en MySQL ..... 148
NDICE DE TABLAS
Tabla II.I Tipos de Delitos .............................................................................................. 34
Tabla II.II Instrucciones de Permiso ............................................................................... 46
Tabla II.III Vulnerabilidades de bases de datos relacionales ampliamente difundidas .. 49
Tabla III.IV Cuadro resumen de los modelos de anlisis forense de acuerdo a sus fases o
pasos................................................................................................................................ 81
Tabla III.V Definicin de parmetros ............................................................................. 82
Tabla III.VI Cuadro resumen de los modelos de anlisis forense .................................. 83
Tabla IV.VII Cuadro Resumen de Herramientas Software ............................................ 85
Tabla IV.VIII Cuadro resumen de herramientas software de vulnerabilidad en BD.... 106
Tabla IV.IX Cuadro Resumen de Herramientas de Recuperacin de Base de Datos .. 137
Tabla II.XI Cantidad de Informacin de Herramientas de Recuperacin de Base de
Datos con SQL Server .................................................................................................. 146
Tabla IV.XII Cantidad de Informacin de Herramientas de Recuperacin de Base de
Datos con MySQL ........................................................................................................ 147
Tabla IV.XIII Facilidad de Uso de Herramientas de Recuperacin de Base de Datos
Con SQL Server ............................................................................................................ 149
Tabla IV.XIV Facilidad de Uso de Herramientas de Recuperacin de Base de Datos con
MySQL ......................................................................................................................... 150
Tabla IV.XV Funcionalidad de Herramientas de Recuperacin de Base de Datos en
SQL Server ................................................................................................................... 151
Tabla IV.XVI Funcionalidad de Herramientas de Recuperacin de Base de Datos en
MySQL ......................................................................................................................... 152
Tabla IV.XVII Tabla Comparativa de Herramientas de Deteccin de Vulnerabilidades
en Base de Datos ........................................................................................................... 154
Tabla IV.XVIII Facilidad de Uso de Herramientas de Deteccin de Vulnerabilidades en
Base de Datos con SQL Server ..................................................................................... 155
Tabla IV.XIX Facilidad de Uso de Herramientas de Deteccin de Vulnerabilidades en
Base de Datos con MySQL........................................................................................... 156
Tabla IV.XX. Funcionalidad de las Herramientas de Deteccin de Vulnerabilidades en
Base de Datos con SQL Server y MySQL .................................................................... 158
Tabla IV.XXI Deteccin de Vulnerabilidades en Base de Datos con SQL Server ...... 159
Tabla IV.XXII Deteccin de Vulnerabilidades en Base de Datos con MySQL ........... 160
Tabla V.XXIII Relacin entre el Modelo Propuesto y los Modelos Revisados. .......... 167
Tabla IV.XXIV Valores utilizados para determinar prioridad ..................................... 172
Tabla IV.XXV Repositorios de Evidencias .................................................................. 172
Tabla IV.XXVI Estacin Forense ................................................................................. 179
-21-
INTRODUCCIN
La gua de procedimientos de anlisis forense se encuentra conformada por las fases de:
Identificacin, Verificacin, Recoleccin de evidencias, Anlisis de evidencias,
Recuperacin de datos y Preparacin de informe, estas fases se basan en modelos
estndares y procedimientos ms aceptados en cuanto a informtica forense. Se debe
seguir la gua paso a paso de forma que sea aceptada en cualquier proceso legal
Existe una variedad de herramientas software para trabajar en el anlisis de
vulnerabilidades, recuperacin y anlisis forense en base de datos tales como:
Acunextix Vulnerability Web, NGSSQuirrel, Aronis Recovery for SQL Server, Stellar
Phoenix for MySQL y Windows Forensic ToolChest.
-22-
-23-
CAPTULO I
1. MARCO REFERENCIAL
1.1. ANTECEDENTES
Hoy en da, se hace impensable administrar un negocio cualquiera sea su envergadura,
sin la implementacin de algn tipo de software de base de datos. Sistemas de Recursos
Humanos, Liquidacin de Haberes, Administracin de Clientes,ERPs, CRMs,
Aplicaciones Web interactivas, son tan solo algunos de los sistemas que a menudo
suelen ser requeridos en gran parte de los escenarios de negocio, los mismos que
requieren indirectamente un gestor de base de datos.
El activo ms valioso que una empresa posee es la Bases de datos, sin embargo, se
presta muy poca atencin en la obtencin y registro de las transacciones. Adems, en un
esfuerzo para reducir costos, muchas organizaciones estn consolidando varias bases de
datos en los sistemas de misin crtica, que son frecuentemente blanco de los atacantes.
-24-
Los principios de la Informtica forense pueden aplicarse a una base de datos, que es un
almacn de datos persistente, a menudo relacional. Por ejemplo, las marcas de tiempo
que se aplican a la hora de actualizar una fila de una tabla relacional pueden ser
inspeccionadas y probadas para su validez a fin de verificar las acciones de un usuario
de base de datos.
citamos
los
siguientes:
Modelo
Digital
Forensic
Research
-25-
-26-
-27-
Tambin se analizarn los problemas de seguridad que tiene un DBMS (Data Base
Management System), debido a que sobre ellos vamos a realizar el anlisis forense y es
de vital importancia entender con claridad estos conceptos para conseguir una
investigacin adecuada y formal.
La ESPOCH al igual que cualquier otra institucin cuenta con aplicaciones web las
mismas que interactan con un Servidor de Base de Datos y que se encuentran
expuestos a ataques externos o internos, o incluso a errores sin mala intencin.
Nuestro trabajo de investigacin consiste en proponer, aplicar y evaluar una gua
metodolgica para realizar anlisis forenses en una base de datos. Esta investigacin
trata de dar respuesta a la pregunta: Cmo desarrollar un anlisis forense orientado a
incidentes en base de datos? Para responder a este interrogante se realiza una revisin
de los conceptos fundamentales, herramientas, modelos de investigacin
De igual manera, se realizarn escenarios de pruebas en los que se aplicarn los ataques
comunes en base de datos a fin de evaluar la gua propuesta, adems se estudiar y
aplicar herramientas de deteccin de vulnerabilidades a fin de mejorar la seguridad del
servidor de base de datos La sntesis de los temas anteriores, provee una base y los
conocimientos necesarios para presentar una gua metodolgica, que luego ser
-28-
probada, aplicada y analizada segn sus resultados en el Servidor de Bases de Datos del
Sistema Acadmico de la ESPOCH.
1.3. OBJETIVOS
Realizar una copia de la base de datos del sistema acadmico a travs de la red
hacia la estacin de trabajo forense, donde se utilizarn las herramientas de
anlisis forense que permitirn revisar y analizar los registros de las sentencias
SQL ejecutadas, procesos, sesiones, permisos, etc.
-29-
1.5.1. MTODOS
Para la comprobacin de la hiptesis ser aplicado un mtodo cientfico que permitir
establecer una secuencia ordenada de actividades que nos llevar a establecer nuestras
conclusiones sobre la investigacin realizada.
Tambin se utilizar como complemento del presente trabajo al mtodo, por cuanto,
este establece el procedimiento necesario para la recopilacin, anlisis e integracin de
resultados necesarios para el desarrollo de la gua de tcnicas y procedimientos de
anlisis forense en bases de datos.
1.5.2. TCNICAS
En Cuanto a fuentes de informacin se utilizar principalmente fuentes que se refieren
al tema de investigacin como pginas web, tambin se emplear la observacin y
experimentacin por parte de los investigadores. Para la elaboracin de la gua de
procedimientos y tcnicas, as como tambin del informe informtico forense se
realizar:
Aplicacin de Encuestas
Elaboracin de Entrevistas
Revisin de Documentos
Simulaciones
Escenarios de Pruebas
-30-
CAPTULO II
2. MARCO TERICO
2.1. ANLISIS FORENSE DIGITAL
Para realizar una gua de referencia que permita llevar a cabo anlisis forense orientados
a incidentes en el DBMS SQL Server o en MYSQL, es necesario entender
principalmente la informtica forense debido a que, es en sta ciencia en donde se
establecen los conceptos y procedimientos que permiten realizar la investigacin. Se
inicia con una revisin del contexto general de anlisis forense digital, su propsito, los
objetivos y algunas definiciones bsicas del campo como las evidencias digitales y los
aspectos legales que deben ser analizados.
-31-
De acuerdo con el HB: 171 2003 Guide lines for the Management of IT Evidence, la
evidencia digital es: "cualquier informacin, que sujeta a una intervencin humana u
otra semejante, ha sido extrada de un medio informtico".
Uno de los pasos a tener en cuenta en toda investigacin, sea la que sea, consiste en la
captura de la(s) evidencia(s). Por evidencia entendemos toda informacin que podamos
procesar en un anlisis. Por supuesto que el nico fin del anlisis de la(s) evidencia(s) es
saber con la mayor exactitud qu fue lo que ocurri. Podemos entender evidencia como
(19):
Un Log en un fichero
Un fichero en disco
Un proceso en ejecucin
Archivos temporales
Restos de instalacin
La evidencia digital posee, entre otros, los siguientes elementos que la hacen un
constante desafo para aquellos que la identifican y analizan en la bsqueda de la
verdad:
1. Es voltil
2. Es annima
3. Es duplicable
4. Es alterable y modificable
5. Es eliminable
Estas caractersticas nos advierten sobre la exigente labor que se requiere por parte de
los especialistas en temas de informtica forense, tanto en procedimientos, como en
-32-
Segn Eugenio Urdaneta (11) un delito informtico se puede definir como aquellas
conductas ilcitas sancionadas por el ordenamiento jurdico, donde se hace uso indebido
de las computadoras como medio o instrumento para la comisin de un delito, y as
mismo aquellas otras conductas que van dirigidas en contra de las computadoras
convirtiendo a stas en su fin u objetivo.
El presente trabajo considera el concepto del autor Julio TellezValdes, ya que define al
delito informtico de una forma simple y comprensible. Aunque no hay definicin de
carcter universal propia de delito Informtico, sin embargo muchos han sido los
esfuerzos de expertos que se han ocupado del tema, y aun cuando no existe una
-33-
Caractersticas
-34-
Descripcin
Falsificacin Electrnica
Daos Informticos
Fraude Informtico
Pornografa Infantil
Produccin, comercializacin y
distribucin de imgenes pornogrficas
de nios, nias y adolescentes
Fuente: http://www.criptored.upm.es/guiateoria/gt_m592d.htm
-35-
Segn Miguel Lpez Delgado (3) Anlisis Forense Digital es un conjunto de principios
y tcnicas que comprende el proceso de adquisicin, conservacin, documentacin,
anlisis y presentacin de evidencias digitales y que llegado el caso puedan ser
aceptadas legalmente en un proceso judicial.
-36-
Principios forenses
Existen un gran nmero de principios bsicos que son necesarios independientemente
de si se est examinando un ordenador o un cadver. Estos principios son (16):
-37-
Ahora bien el problema que se advierte por parte de las instituciones llamadas a
perseguir las llamadas infracciones informticas es la falta de preparacin en el orden
tcnico tanto de la Fiscala como de la Polica Judicial, esto en razn de la falta por un
lado de la infraestructura necesaria, como centros de vigilancia computarizada, las
modernas herramientas de software y todos los dems implementos tecnolgicos
necesarios para la persecucin de los llamados Delitos Informticos, de igual manera
falta la suficiente formacin tanto de los Fiscales que dirigirn la investigacin como
del cuerpo policial que lo auxiliara en dicha tarea, dado que no existe hasta ahora en
nuestra polica una Unidad Especializada, como existe en otros pases como en Estados
Unidos donde el FBI cuenta con el ComputerCrimeUnit, o en Espaa la Guardia Civil
cuenta con un departamento especializado en esta clase de infracciones. De otro lado
tambin por parte de la Funcin Judicial falta la suficiente preparacin por parte de
Jueces y Magistrados en tratndose de estos temas, ya que en algunas ocasiones por no
decirlo en la mayora de los casos los llamados a impartir justicia se ven confundidos
con la especial particularidad de estos delitos y los confunden con delitos tradicionales
que por su estructura tpica son incapaces de
Subsumir a estas nuevas conductas delictivas que tiene a la informtica como su medio
o fin. Por tanto es esencial que se formen unidades Investigativas tanto policiales como
de la Fiscala especializadas en abordar cuestiones de la delincuencia informtica
trasnacional y tambin a nivel nacional.
-38-
Con el avance
ance de la tecnologa digital en los ltimos aos, ha surgido una nueva
generacin de delincuentes que expone a los gobiernos, las empresas y los individuos a
estos peligros (23).
2.2. INTRODUCCIN
N A BASES DE DATOS RELACIONALES
Figura II.2.
II Elementos del Lenguaje SQL
-39-
Las declaraciones que pueden tener un efecto persistente en los esquemas y datos, o
que puedan controlar las transacciones, el flujo del programa, las conexiones, sesiones,
o de diagnstico.
SQL tambin incluye la terminacin de (";") coma declaracin. Aunque no es necesario
en cualquier plataforma, que se define como una parte estndar de la gramtica de SQL.
Espacios en blanco insignificantes es generalmente ignorado en las sentencias SQL y
consultas, lo que facilita al formato de cdigo SQL para mejorar la legibilidad.
-40-
La idea es que los encargados de la base de datos encuentren las tcnicas idneas, o sea,
aquellas que permitan la mayor velocidad posible de acceso a los datos. Una mala
decisin en esta rea puede resultar en una menor velocidad de acceso a la base de
datos, o en un uso excesivo del espacio de almacenamiento, o incluso, puede aumentar
la velocidad de consulta de una base de datos, pero disminuir la velocidad de
actualizacin de la misma.
-41-
Server que se utiliza para acceder a una base de datos SQL Server desde pginas
Active Server (ASP).
Microsoft SQL Server ofrece a los administradores de dos opciones de realizar
la autenticacin de usuario: el modo de autenticacin de Windows y el modo de
autenticacin mixta. Hacer la eleccin correcta afecta tanto a la seguridad y el
mantenimiento de bases de datos de su organizacin.
Autenticacin bsica
La autenticacin es el proceso de confirmacin de la identidad de un usuario o equipo.
El proceso normalmente consta de cuatro pasos:
1. El usuario hace una afirmacin de la identidad, por lo general, proporcionando un
nombre de usuario. Por ejemplo, yo podra hacer esta afirmacin contando una base
de datos que mi nombre de usuario es "mchapple".
2. El sistema pregunta al usuario a probar su identidad. El problema ms comn es
una solicitud de una contrasea.
3. El usuario responde al desafo de proporcionar la prueba solicitada.
En este
-42-
Autenticacin de MySQL
MySQL 5.1 utiliza un protocolo de autenticacin basado en un algoritmo de hash de la
clave que es incompatible con la utilizada por los mayores (pre-4.1) clientes. Si usted
actualiza su servidor a 4.0, intenta conectarse a l desde un cliente ms viejo pueden
fallar con el siguiente mensaje:
shell>mysql
Cliente no soporta el protocolo de autenticacin solicitado por el
servidor; considerar la actualizacin de cliente de MySQL
Para resolver este problema, debe utilizar uno de los siguientes mtodos:
Actualizar todos los programas cliente para utilizar 4.1.1 o posterior biblioteca
cliente.
Cuando se conecta al servidor con un pre-4.1 del programa cliente, utilice una
cuenta que todava tiene un pre-4.1-clave al estilo.
Restablecer la contrasea para pre-4.1 de estilo para cada usuario que necesite
utilizar un pre-4.1 del programa cliente.
-43-
Sustituya la clave que desea utilizar para newpwd en los ejemplos anteriores. MySQL
no puede decir cul es la clave original, as que tendrs que elegir uno nuevo.
Para cada registro de cuenta que aparece por la consulta, utiliza el Host y los valores de
Usuario y asignarle una contrasea a travs del OLD_PASSWORD() y, o bien la
funcin SET PASSWORD o UPDATE tal como se describe anteriormente.
Qu es Autenticacin?
Es bsicamente el proceso de determinar que alguien es realmente quien dice ser.
-44-
En SQL Server nos encontramos con tres niveles o capas en los cuales podemos
gestionar la seguridad. El primero de ellos se encuentra a nivel de servidor, en l
podemos gestionar quin tiene acceso al servidor y quin no, y adems gestionamos que
roles va a desempear. Para que alguien pueda acceder al servidor debe tener un inicio
de sesin (login) asignado, y a ste se asignaremos los roles o funciones que puede
realizar sobre el servidor.
El que alguien tenga acceso al servidor no quiere decir que pueda acceder a las bases de
datos que se encuentran en l. Para ello hay que tener acceso a la siguiente barrera de
seguridad, que es a nivel de base de dato. Para que un login tenga acceso a una base de
datos, tenemos que crear en ella un usuario (user). Deberemos crear un usuario en cada
una de las bases de datos a las que queramos que acceda un login.
Anlogamente, el que un usuario tenga acceso a una base de datos no quiere decir que
tenga acceso a todo su contenido, ni a cada uno de los objetos que la componen. Para
que esto ocurra tendremos que irle concediendo o denegando permisos sobre cada uno
de los objetos que la componen (8).
A continuacin se puede observar un grfico que refleja este modelo.
-45-
Figura II.5.
II Diagrama de Autenticacin de SQL Server
Permisos
Los administradores de base de datos deberan analizar peridicamente los permisos de
SQL Server para asegurarse de que no hay inicios de sesin y usuarios no deseados y el
acceso de base de datos, respectivamente.
resp
Al crear objetos de base de datos, se deben conceder permisos de forma explcita para
que los usuarios tengan acceso a ellos. Cada objeto susceptible de protegerse tiene
permisos que se pueden otorgar a una entidad de seguridad mediante instrucciones de
permiso.
Esquema de permisos generales
-46-
volver a crear conjuntos de permisos distintos para cada usuario. Las funciones se
pueden anidar. Sin embargo, la existencia de demasiados niveles de anidamiento puede
reducir el rendimiento. Tambin se puede agregar usuarios a funciones fijas de bases de
datos para simplificar los permisos de asignacin.
A partir de SQL Server 2005, se pueden conceder permisos a nivel de esquema. Los
usuarios heredan automticamente los permisos en todos los objetos nuevos creados en
el esquema; no es necesario otorgar permisos cuando se crean objetos nuevos (9).
DESCRIPCIN
GRANT
Concede un permiso.
REVOKE
Revoca un permiso.
DENY
Fuente: http://msdn.microsoft.com/es-es/library/bb669084.aspx
Elaborador por: Microsoft Corporation
-47-
-48-
SQL Server 2005 cifra los datos con una infraestructura de cifrado jerrquico y
administracin de claves. Cada capa cifra la capa inferior utilizando una combinacin
de certificados, claves asimtricas y claves simtricas.
Se puede sealar que las bases de datos relacionales posee varios defectos en cuanto
seguridad
-49-
VULNERABILIDADES CONOCIDAS
Oracle 10g 23
(3 de severidad alta)
MySQL 5.x 17
(3 de severidad alta)
Fuente: http://www.als-es.com/home.php?location=recursos/articulos/seguridad-en-bases-dedatos
-50-
Otra tcnica de seguridad es el cifrado de datos, que sirven para proteger datos
confidenciales que se transmiten por satlite o por algn otro tipo de red de
comunicaciones. El cifrado puede proveer proteccin adicional a secciones
confidenciales de una base de datos.
Los datos se codifican mediante algn algoritmo de codificacin. Un usuario no
autorizado que tenga acceso a los datos codificados tendr problemas para descifrarlos,
pero un usuario autorizado contara con algoritmos (o claves) de codificacin o
descifrado para descifrarlos.
-51-
Estas bases de datos parecen estar seguras debido a que los usuarios no estn
directamente conectados a ellas, sino a travs del servidor web, pero en realidad estas
son frecuentemente blanco de ataques a travs de la red de datos o va web.
-52-
En lneas generales, podemos decir que los ataques a base de datos suelen formar parte
de uno de los siguientes dos grandes grupos: Ataques que No Requieren Autenticacin y
Ataques que Requieren Autenticacin.
Los ataques que No Requieren Autenticacin, son los que generalmente suelen tener
mas prensa, puesto que no se requiere presentar credenciales validas antes de lanzar el
ataque. Dentro de esta categora, se encuentran por ejemplo, algunas de las
explotaciones de Buffer Overflow.
-53-
-54-
El error puede sufrir variaciones pero lo que nos interesa es que nos devuelva el
unknowncolumn y el nmero que es lo que nos indica que columna es la que no
est definida.
-55-
$query = "SELECT * FROM user where user = '. $_REQUEST ('user'(. "'";
o
$query = "SELECT * FROM user where max_connections = " .$_REQUEST('user'(;
Entonces inyeccin de SQL es todava posible. Una forma posible de tratar con
el teclado numrico problema en PHP / MySQL es delimitar * all * los datos del
usuario entre comillas simples, incluyendo nmeros. La comparacin seguir
funcionando, pero magic_quotes_gpcproteger frente a los atacantes escapar de
la cadena.
Obviamente, si "magicquotes" est desactivada, la inyeccin de SQL es siempre
posible, dependiendo de sobre la forma en la entrada del usuario se valida.
Suponiendo que el atacante es capaz de montar un ataque de inyeccin SQL, la
pregunta es, entonces, Qu pueden hacer? Una lista de las zonas de mayor
peligro se ofrece a continuacin (15):
UNION SELECT
LOAD_FILE function
BENCHMARK function
La mayora de los
-56-
Funcionamiento bsico
El principio operativo de un desbordamiento de bfer guarda una relacin muy
estrecha con la arquitectura del procesador en la que se ejecuta una aplicacin
vulnerable.
Los datos ingresados en una aplicacin se almacenan en la memoria de acceso
aleatorio en una zona que se conoce como bfer. Un programa con un diseo
correcto debera estipular un tamao mximo para los datos de entrada y
garantizar que no superen ese valor.
Las instrucciones y los datos de un programa en ejecucin se almacenan
temporalmente en forma adyacente en la memoria, en una zona llamada pila.
Los datos ubicados despus del bfer contienen una direccin de retorno (que se
denomina puntero de instruccin) que le permite al programa continuar su
tiempo de ejecucin. Si el tamao de los datos es mayor que el del bfer, la
direccin de retorno se sobrescribe y el programa leer una direccin de
memoria no vlida generando una violacin de segmento en la aplicacin.
Un pirata informtico con un slido conocimiento tcnico puede asegurarse de
que la direccin de memoria sobrescrita corresponda a una real, por ejemplo,
una que est ubicada en el mismo bfer. Como tal, al ingresar las instrucciones
en el bfer (el cdigo arbitrario), es fcil para l ejecutar este procedimiento.
Por lo tanto, es posible incluir instrucciones en el bfer que permitan abrir un
intrprete de comandos (shell) permitiendo que el pirata tome control del
sistema. Este cdigo arbitrario que posibilita la ejecucin del intrprete de
comandos se conoce como cdigo de shell o shellcode.
-57-
Descripcin tcnica
Un desbordamiento de bffer ocurre cuando los datos que se escriben en un
bffer corrompen aquellos datos en direcciones de memoria adyacentes a los
destinados para el bffer, debido a una falta de validacin de los datos de
entrada. Esto se da comnmente al copiar cadenas de caracteres de un bffer a
otro.
Desbordamiento de bfer y Aplicaciones Web
Los agresores utilizan los desbordamientos de bfer a la ejecucin de corrupcin
de la pila de una aplicacin web. Mediante el envo de insumos cuidadosamente
diseada para una aplicacin Web, un atacante puede provocar que la aplicacin
web ejecute cdigo arbitrario.
Los fallos de desbordamiento de bfer puede estar presente tanto en el servidor
web o aplicaciones que sirven a los aspectos estticos y dinmicos del sitio, o la
aplicacin web en s. Los desbordamientos de bfer en los productos de servidor
utilizado es probable que sean ampliamente conocidos y pueden suponer un
riesgo significativo para los usuarios de estos productos.
Errores de desbordamiento de bfer en las aplicaciones web personalizadas
tienen menos probabilidades de ser detectados porque no ser normalmente un
nmero mucho menor de los hackers tratando de encontrar y explotar tales fallas
en una aplicacin especfica. Si se descubre en una aplicacin personalizada, la
capacidad de explotar el fallo (aparte de choque de la demanda) se reduce
significativamente por el hecho de que el cdigo fuente y mensajes de error de
aplicacin general no estn a disposicin de los piratas informticos (6).
Entornos afectados
Casi todos los servidores web conocidos, servidores de aplicaciones y entornos
de aplicaciones Web son vulnerables a desbordamientos de bfer, la excepcin
notable son los entornos escritos en lenguajes interpretados como Java o Python,
que son inmunes a estos ataques (a excepcin de los desbordamientos de su
mismo interpretor).
Lenguajes: C, C++, Fortran, Assembly
Plataformas de operacin: Todos, aunque parcial, las medidas preventivas
pueden ser utilizados, en funcin del entorno.
-58-
Se ha dicho que las computadoras son realmente perfectas. La razn detrs de esta
afirmacin es que si usted profundiza lo suficiente, detrs de cada error computacional
encontrar el error humano que lo caus. En esta seccin se exploran los tipos de
errores humanos ms comunes y sus impactos.
La lista puede continuar, pero esto es suficiente para ilustrar la situacin. Puesto que los
usuarios no tienen privilegios de super usuario, los errores que cometen estn
usualmente limitados a sus propios archivos. Como tal, el mejor enfoque es dividido:
-59-
Errores de configuracin
Los administradores de sistemas a menudo deben configurar varios aspectos de un
sistema computacional. Esta configuracin incluye:
Correo electrnico
Cuentas de usuarios
Red
Aplicaciones
La lista puede extenderse mucho ms. La tarea actual de configurar vara en gran
medida; algunas tareas requieren editar un archivo de texto (usando cualquiera de los
cientos de sintaxis de archivos de configuracin), mientras que otras tareas requieren la
ejecucin de alguna utilidad de configuracin.
El hecho de que estas tareas son manejadas de forma diferente es simplemente un reto
adicional al hecho bsico de que cada tarea de configuracin requiere un conocimiento
diferente. Por ejemplo, el conocimiento requerido para configurar un agente de
transporte de correo es fundamentalmente diferente al conocimiento requerido para
configurar una conexin de red.
-60-
Dado todo esto, quizs debera ser una sorpresa que solamente se cometen unos pocos
errores. En cualquier caso, la configuracin es y seguir siendo, un reto para los
administradores de sistemas. Hay algo que se pueda hacer para hacer el proceso menos
susceptible a errores?
Errores cometidos durante el mantenimiento
Este tipo de errores pueden ser insidiosos porque se hace muy poca planificacin o
seguimiento durante el mantenimiento de da a da.
Los administradores de sistemas ven el resultado de estos errores diariamente,
especialmente de los usuarios que juran que no cambiaron nada - simplemente la
computadora se ech a perder. El usuario que afirma esto usualmente no se recuerda
qu fue lo que hizo y cuando le pase lo mismo a usted, probablemente usted tampoco
recuerde lo que hizo.
-61-
CAPTULO III
3. MODELOS DE ANLISIS FORENSE
3.1. REVISIN DE MODELOS DE ANLISIS FORENSE
Una de las principales formas en las que los investigadores tratan de entender la base
cientfica de una disciplina es la construccin de modelos que reflejen sus
observaciones. El rea de la Informtica Forenses Digital es una ciencia en constante
evolucin, y que con el avance tecnolgico esta ha cambiando de una de una simple
destreza a una verdadera ciencia forense. Debido a las circunstancias previamente
expuestas, es importante la revisin de los modelos de investigacin ms aceptados en
esta disciplina en la actualidad, ya que permite entender de una mejor manera los
procedimientos y estndares que rigen hoy la informtica forense en el mundo.
Un buen modelo de investigacin de informtica forense debe contar con una serie de
principios los cuales se exponen a continuacin (21):
-62-
Cualidades
Adems de los principios anteriormente mencionados, un modelo de investigacin para
la informtica forense debe tener una serie de cualidades adicionales las cuales se
expondrn a continuacin (21):
-63-
-64-
Inspeccin: Las fuentes potenciales de las pruebas son examinadas mediante el filtrado
y tcnicas de coincidencia de patrn. La idea es reducir el volumen de las pruebas y
determinar las correspondientes piezas de evidencia que se utilizarn para recrear la
escena del crimen o el incidente.
Anlisis: En la fase de anlisis se recopilas y renen las pruebas para reconstruir la
escena del crimen.
Presentacin: En la fase de presentacin, la investigacin es bien documentada y
presentada como un testimonio o como un informe a un superior en relacin con un
incidente.
Decisin: Por ltimo, en la fase final se toma una decisin realizada en relacin con un
incidente, o un veredicto que se haga en un tribunal de justicia (1).
Examen de datos
Anlisis
Presentacin
Retorno evidencias
-65-
3.1.3. Modelo Forense The Cyber Forensic Field Triage Process Model (CFFTPM)
El modelo puede llevarse a cabo en el escenario que ofrece el beneficio adicional de
tener un circuito de retroalimentacin con los investigadores, lo que permite al analista
de computacin forense modificar sus bsquedas basadas en las aportaciones de los
investigadores principales y aquellos en contacto directo con el sospechoso. Debido a la
-66-
Mientras que al mismo tiempo proteger la integridad de las pruebas y/o las posibles
pruebas para el examen y anlisis.
-67-
Planificacin
La primera fase de la CFFTPM es la planificacin adecuad. Idealmente, un investigador
tendr una matriz que cuantifica las diversas posibilidades de la escena del crimen, el
sospechoso y la evidencia digital y califica la experiencia de los diferentes
investigadores en el equipo de investigacin. Para el investigador principal, esta matriz
se utiliza para definir lo que se conoce y lo que no sabe lo que ayuda a determinar lo
que se quiere ser conocido.
La fuerza inicial determina el nmero de sospechosos, y cualquier otras cohortes que se
trate, pero tambin podran incluir conocidos o posibles capacidades del sospechoso. La
actividad define las acciones especficas de la sospecha (incluso los pequeos detalles
pueden ser importantes ms adelante). La ubicacin no es slo la ubicacin fsica de la
escena, sino tambin las posibilidades virtuales del ciberespacio. En trminos del
ciberespacio puede incluir direcciones de correo electrnico, localizadores de recursos
uniformes (URL), nombres de usuario, contraseas, dominios de red y otros aspectos
relacionados, smbolos o las empresas o identificadores de la agencia.
-68-
Por ltimo, equipos tratan los diferentes tipos de dispositivos almbricos e inalmbricos
de hardware y aplicaciones de software que se puede esperar cuando se acerque a la
escena del crimen digital.
La misin de la investigacin se determina normalmente por el tipo de delito cometido,
a su vez determinar el nivel de investigacin y el nivel de conocimientos necesario para
la investigacin.
Triage
Una vez que la adecuada planificacin se ha completado, el proceso de investigacin se
traslada a la fase que tiene que ver ms directamente con el sospechoso real o escena del
crimen (segn el caso). Por el bien de la investigacin se supone que la escena ha sido
debidamente asegurada y controlada. Aqu la escena se refiere tanto a lo fsico y lo
digital.
Al igual que el tiempo es un factor crucial en CFTTPM, es muy importante que
establecer algn tipo de prioridad inicial. En el campo de la medicina triage se refiere a:
Un proceso para la clasificacin de heridos en grupos en funcin de su necesidad o
beneficio esperado del tratamiento mdico inmediato. Triage se utiliza en salas de
emergencia, en campos de batalla, y en lugares de desastres, cuando la escasez de
recursos sanitarios ha de ser asignado.
Para nuestros propsitos, triage se defien como: Un proceso en el que las cosas se
clasifican en trminos de importancia o prioridad. En esencia, esos elementos, piezas de
evidencia o recipientes potenciales de la evidencia de que son los ms importantes o la
necesidad de ms voltiles que se abordan en primer lugar.
-69-
Directorio de Inicio
De forma predeterminada, el directorio de inicio slo se puede acceder slo por la
cuenta de usuario asociada. Tambin de forma predeterminada, la ubicacin de los
archivos almacenados asociados con diferentes aplicaciones se establece en una
subcarpeta dentro del directorio de origen. La presencia de documentos de cargo los
archivos en el directorio principal del sospechoso o de una de sus subcarpetas
(incluyendo personajes notables como "escritorio" mis documentos "y" favoritos ") es
un indicador fiable de que slo el sospechoso (o cualquiera que pueda conectarse a esa
cuenta) tenido acceso a esos archivos.
Propiedades de archivo (de seguridad)
Puede ser til y eficiente del tiempo, destinadas a comprobar la propiedad y las
propiedades de seguridad de objetos con valor probatorio conocido. La capacidad de
establecer y leer permisos de seguridad no est disponible en FAT, y est desactivado
por defecto en Windows, incluso cuando el sistema de archivos NTFS se utiliza.
Cuando un archivo es creado, la cuenta de usuario inicia la sesin se registra como el
"dueo" como parte del descriptor de seguridad del archivo (Esto se puede cambiar slo
si un administrador de "apropiacin" del archivo, en cuyo caso el Administrador se
registra como el propietario). Los permisos tambin pueden ser de utilidad limitada en
-70-
Aunque los tiempos MAC parecen simplse, es bien documentado que hay muchas
inconsistencias con los tiempos de MAC y hay varias otras vulnerabilidades al describir
otros sistemas de proveedor especfico de funcionamiento, tales como los que se utilizan
en dispositivos personales de las tecnologas digitales (por ejemplo, PDA's, telfonos
mviles, reproductores de MP3).
Otra cuantificacin incluye la identificacin y anlisis de aplicaciones de software y
archivos de datos de acceso y la utilizacin en tiempos calificados de inters. De nuevo,
esto se puede obtener mediante la correlacin de usuarios conocidos con los tiempos de
MAC posiblemente estableciendo periodos nico tiempo que podra ser de gran valor.
Por ltimo, la tercera cuantificacin incluye la identificacin y anlisis de accesos
directos reciente y la informacin almacenada. Estas podran incluir, pero no se limitan
a los elementos en el escritorio, de uso general las aplicaciones de software, y los
distintos locales de las cookies del navegador de Internet, la cach y el archivo
-71-
index.dat. Tenga en cuenta que las diferentes estructuras de Internet (cookies, cach y el
archivo index.dat) puede ser muy til para determinar la inteligencia cronolgico en que
estos proporcionan muchaInternet.
Internet
Casi todos los casos ser necesario un examen de artefactos asociados con la actividad
de Internet, como la mensajera instantnea (IM), correo electrnico y navegacin web.
El valor, el costo del tiempo, la criticidad y el tiempo puede variar ampliamente,
dependiendo de las circunstancias, incluyendo las aplicaciones a las que afecta, tipo de
actividad que se examina, y si el PC es examinado como victima o sospechoso.
-72-
Caso Especfico
Se trata de un conjunto de habilidades, y requiere la capacidad de conciliar una serie de
requisitos en conflicto de la manera ms adecuada no slo para un tipo de caso, pero
para configurar cada una de las circunstancias especficas. Existen varias prcticas que
pueden facilitar la optimizacin de los recursos. Un equipo examinador forense debe ser
capaz de evaluar los recursos de tiempo, utilizar la inteligencia pre-raid, personalizar
objetivos de bsqueda, y dar prioridad a objetivos de bsqueda.
De todos los recursos disponibles para el examinador, el tiempo es generalmente ms
corto en la oferta. Una cuenta a la hora de tomar acciones es si el requisito de tiempo es
"limitada" o "sin lmites". El tiempo es claramente la esencial en un caso, pero la falta
de un plazo en el caso no acotado puede justificar algunas vas de investigacin que no
sera viable en una situacin delimitada. En todos los casos, el tiempo es un muy
costoso. El tiempo de costo de cualquier actividad de control debe ser sopesado en
funcin del potencial de resultados fructferos de esta actividad.
El valor de la planificacin y la inteligencia previa a la operacin no puede dejar de
enfatizarse. Una informacin fiable sobre los trminos de bsqueda, los contactos, los
tipos de actividades, las aplicaciones usadas, etc antes de que la bsqueda se puede
permitir que el examinador a desarrollar por lo menos algunas de las estrategias de
bsqueda antes de la llegada a la escena.
-73-
Identificacin:
En esta fase se realiza una evaluacin de los recursos, alcance y objetivos necesarios
para realizar la investigacin interna.
-74-
El producto final de esta fase, debe entregar un documento detallado con la informacin
que permita definir un punto de inicio para la adquisicin de datos y para la elaboracin
del documento final.
Inicia la cadena de Custodia, llenando el formato correspondiente, iniciando una
bitcora de los procesos que se llevan a cabo y el embalaje de la Evidencia.
Determinar: Quien?, Que?, Donde?, Por qu? Mantener una copia con la evidencia,
Como?, Cuando?
-75-
Adquisicin:
En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el grfico
anterior para adquirir la evidencia sin alterarla o daarla, se autentica que la informacin
de la evidencia sea igual a la original.
De igual forma, se toman otras fuentes de informacin de los sistemas vivos, los datos
voltiles como:
Archivos temporales
Registros de sucesos.
-76-
Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada y
firmar su contenido con un hash de MD5 o SHA1, generando as el segundo original, a
partir de este se generaran las copias para el Anlisis de datos, cada copia debe ser
comprobada con firmas digitales nuevamente de MD5 o SHA1. Documente la evidencia
con el documento del embalaje (y cadena de custodia) que puedan garantizar que se
incluye informacin acerca de sus configuraciones. Por ejemplo, anote el fabricante y
modelo, configuracin de los puentes, y el tamao del dispositivo. Adems, tenga en
cuenta el tipo de interfaz y de la condicin de la unidad.
Realice mnimo el segundo original y una copia del segundo original para el
anlisis y almacene el segundo original en un sitio seguro
Autentica
Correcta
Completa
Convincente
-77-
Anlisis de Datos:
-78-
Determinar si los archivos no tienen algn tipo de cifrado (varias claves del
registro no lo pueden determinar).
n de Login/Logout
Login/Logout del sistema, nombres de usuario e informacin
Informacin
del AD (Directorio Activo)
Figura III.16.
III
Fase de Identificacin del Modelo Bsico
-79-
Organizacin de la Informacin:
Retomemos toda la documentacin generada en las fases de la metodologa e igual
cualquier informacin anexa como notas, antecedentes o informe policial.
Identifiquemos lo ms importante y pertinente de la investigacin
Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para
presentar.
-80-
En la siguiente tabla se lista las fases o pasos de los cuatro modelos y se indica con un
visto la fase que pertenece a cada modelo respectivamente.
-81-
Tabla III.IV Cuadro resumen de los modelos de anlisis forense de acuerdo a sus
fases o pasos
Modelo
Preparacin
Planificacin
Asegurar la
escena
Estudio y
reconocimiento
Documentacin
de la Escena
Coleccin de
Evidencia
Voltil
Coleccin de
Evidencia No
Voltil
Examen de
Datos
Preservacin
Anlisis
Presentacin
Revisin
Decisin
Suma
Total (%)
Modelo Digital
Forensic
Research
Workshops
(DFRW)
Modelo
Forense Digital
Abstracto
Modelo
CFFTPM
Modelo Bsico
de Anlisis
Forense
8
61.54%
9
69.23%
10
76.92%
8
61.54%
-82-
DEFINICIN
Guardar la informacin de
registro
Determina Herramientas
Software en alguna Fase
-83-
Considera todo
el sistema
Guardar la
informacin de
registro
Presentar los
eventos de
manera en que
puedan ser
analizados y
entendidos
Posee subtareas o pasos
dentro de cada
Fase
Determina
Herramientas
Software en
alguna Fase
Define como
realizar el
Informe Final a
entregar
Suma
Total (%)
Modelo Digital
Forensic
Research
Workshops
(DFRW)
Modelo
Bsico de
anlisis
forense
2
33.33%
3
50%
4
66.67%
6
100%
-84-
CAPTULO IV
4. ESTUDIO DE HERRAMIENTAS SOFTWARE
4.1. INTRODUCCIN
En este captulo se va revisar las herramientas software que permiten reparar o
recuperar los archivos daados en MySQL 5.x y en SQL Server 2005, as tambin las
herramientas de deteccin de vulnerabilidades en una base de datos y las herramientas
forenses que nos permitan recolectar la evidencia digital de manera ms fcil y gil.
-85-
-86-
Definicin
Acunetix es una herramienta diseada para descubrir agujeros de seguridad en sus
aplicaciones web, que un atacante hace abuso de probabilidades de aumentar el acceso
ilcito a sistemas y datos. Busca vulnerabilidades mltiples, incluyendo la inyeccin
SQL, cross site scripting, y contraseas dbiles.
La aplicacin puede ser utilizada para realizar escaneo de vulnerabilidades web y de
aplicaciones y para realizar la penetracin las pruebas en contra de los problemas
identificados. Sugerencias de mitigacin son provistas a la sazn cada debilidad y se
puede utilizar para aumentar la seguridad del servidor web o una aplicacin se est
probando.
Caractersticas
Pueden reducir los falsos positivos al analizar un sitio Web porque podemos
internamente comprender mejor el comportamiento de la aplicacin web.
-87-
No hay necesidad de escribir la direccin URL con sus reglas al anlisis de las
aplicaciones web que utilizan un motor de bsquedas URL amigables, mediante
la tecnologa de AcuSensor el escaneador es capaz de volver a escribir
direcciones URL SEO sobre la marcha.
Capacidad para probar las inyecciones del correo electrnico. Por ejemplo, un
usuario malintencionado puede anexar informacin adicional tal como una lista
o algunos destinatarios o informacin adicional al cuerpo del mensaje para
enviarlo bajo un formulario web o a un gran nmero de destinatarios como spam
de forma annima.
Utilidad
Acunetix es una herramienta fcil de utilizar puede trabajar con el asistente de escaneo,
en la primera ventana le pide que ingrese la direccin URL a la que va a escanear.
-88-
En esta pantalla se observa informacin del servidor web y del sistema operativo que
est usando el sitio web a escanear.
-89-
-90-
HAVIJ
Definicin
Havij es una herramienta gratuita programada en Visual basic, la cual permite
automatizar la inyeccin SQL y ayuda a los probadores de penetracin a encontrar
vulnerabilidades en una pgina web y explotar la inyeccin SQL. Todo lo que necesita
-91-
saber un poco de inyeccin de SQL y ya est. Usted slo necesita hacer clic en un botn
y esperar hasta que encuentra una explotacin de consulta SQL. No slo eso, tambin
puede buscar una base de datos, recuperar usuarios DBMS y los hashes de contraseas,
tablas y columnas de descarga, ir a buscar los datos de la base de datos, ejecuta las
sentencias SQL, e incluso acceder al sistema de archivos subyacente y la ejecucin de
comandos en el sistema operativo.
Caractersticas
Estas son las funciones actuales que Havij aporta a partir de ahora:
Utilidad
Para esta herramienta se utiliza un sitio web en php y mysql en target copie la direccin
URL y dar clic en Analyze y le muestra la siguiente informacin.
-92-
-93-
-94-
NGSSQUIRREL
Definicin
NGSSQuirrel es una herramienta de gestin para Microsoft SQL Server que puede
generar automticamente una secuencia de comandos de bloqueo basado en las
vulnerabilidades encontradas, adems de ejecutar una auditora de seguridad completa.
La aplicacin de este software le ayudar a proteger el servidor contra hackers y robo de
datos no autorizados. De esta manera NGSSQuirrel facilita enormemente la carga
administrativa de las acciones de proteccin de servidores SQL Server.
Caractersticas
Utilizacin
Al abrir la herramienta se muestra la siguiente ventana asistente.
-95-
Ahora en esta ventana nos pide que ingrese la direccin IP del Servidor de Base de
Datos que desea escanear y el puerto que este caso el programa lo pone por defecto.
-96-
-97-
N-STALKER
Definicin
La N-Stalker Web Application Security Scanner fue creado en abril de 2000 por
especialistas en seguridad informtica, que evala una aplicacin web contra una amplia
variedad de vulnerabilidades, incluyendo la capa de aplicacin y la capa de
infraestructura. Analiza en busca de la capa de aplicacin se basan en la Open Web
Application Security Project (OWASP) Top 10 y comunes.
-98-
Este producto es muy fcil de instalar, pero un poco difcil de usar. Despus de que la
aplicacin este instalada, todo se ejecuta desde la aplicacin N-Stalker. Esta aplicacin
tiene un aspecto limpio y organizado, pero puede ser un poco abrumador al principio.
Este producto tiene una gran cantidad de opciones que se pueden configurar, as que se
debe dedicar unos minutos a familiarizarse con la consola.
Caractersticas
La documentacin incluye una nica gua de usuario en PDF, que cubre todo el
producto de la instalacin mediante el uso de caractersticas y configuracin
avanzada.
Utilidad
-99-
-100-
SQLRECON
Definicin
Es una potente herramienta que de forma automtica, permite entre otras funciones,
descubrir bases de datos tipo MS-SQL. Esta dirigida a ofrecer a los administradores
agobiados dentro de grandes redes, un sistema fcil para descubrir si alguien hace
procesos inadecuados como por ejemplo, la instalacin de un servidor sin permisos
jerrquicos, comprobando de paso si existe el usuario SA y si su contrasea es nulo o
no, como cuando se instala por defecto un servidor MS-SQL.
Puede explorar la red mediante las siguientes tcnicas:
UDP (por sondeo UDP 1434)
REG (control de registro remoto)
WMI: (iniciar una consulta de WMI)
TCP: (scaning puerto TCP 1433 por defecto el puerto TCP para SQL Server y MSDE/
'puerto del servidor Ocultar' 2433)
SMC: (consultar el administrador de control de servicios)
SA: (acceso a la instancia de SQL Server con una contrasea en blanco)
BRO: (control al servicio del navegador para SQL registro de Server)
AD: (consulta de Active Directory de registro de servidores SQL Server)
Caractersticas
Escaneo de rangos de IP
Escaneo de Lista IP
-101-
Utilidad
Su funcionamiento es sencillo, una vez descargada e instalada, la ejecutaremos
ingresando tan solo la direccin IP de nuestro servidor objetivo, en los campos
mencionados como Start/End dentro del cuadro IP Range. Luego tan solo
presionaremos Scan y esperaremos los resultados.
En este caso en particular y tan solo para remarcar el valor agregado de esta herramienta
como parte de un proceso interno de auditora, se decidi lanzar un scanning sobre la
red de la politcnica ingresado un rango de direcciones IP.
-102-
En esta ventana se puede observar la direccin IP del servidor de SQL Server 2005 y el
puerto que est usando.
-103-
WEBCRUISER
Definicin
Es una compacta pero potente herramienta de escaneo de seguridad web que le ayudar
en las auditoras de su sitio web. Posee un escner de vulnerabilidades y una serie de
herramientas de seguridad. Puede soportar escaneo de sitios web adems de POC
(prueba de conceptos) para vulnerabilidades web: inyeccin SQL, Scripting de sitios
cruzados, inyeccin XPath, etc. Por lo tanto, WebCruiser es adems una herramienta
automtica de inyeccin SQL, herramienta de inyeccin XPath, y una herramienta de
scripting de sitios cruzados.
Caractersticas:
Inyeccin GET/Post/cookie.
-104-
Utilidad
-105-
-106-
ACUNETIX
WEB
VULNERABILITY
SCANNER
HAVIJ
NGSSQUIRREL
N-STALKER
SQL RECON
WEB CRUISER
PRECIO
$1445.00
Libre
Pagada
$1400 $6300
Pagada
$ 49.00
REQUERIMIENTOS
DBMS
Microsoft
SQL Server
MySQL
Microsoft
SQL Server
Microsoft
SQL Server
MySQL
Microsoft
SQL Server
-107-
Existen herramientas diseadas para reparar y recuperar los archivos daados de base de
datos a causa de un ataque de virus, apagado inesperado del sistema, error de lectura de
los medios de comunicacin y as sucesivamente. Para la recuperacin de la base de
datos se puede utilizar Software que permite recuperar todos los componentes de la base
de datos incluyendo tablas, claves primarias y las relaciones.
Definicin
Es un software de recuperacin de datos de gran alcance para los archivos daados de
bases de datos MySQL Server (. MYD y. MYI). En caso de fallo repentino de base de
datos, la recuperacin fiable de los datos esenciales de emergencia a menudo es de vida
o muerte. Recuperacin para MySQL cumple perfectamente con estos requisitos.
Guarda la informacin recuperada en el ajuste de secuencia de comandos Transact-SQL
para la recreacin de base de datos rpida. Recupera la estructura de tabla y los datos,
los ndices de recuperacin de datos. Fcil de usar, no se requieren habilidades
especiales.
Caractersticas
Recupera archivos de bases de datos MySQL (. MYD,. MYI) y guarda los datos
recuperados en una secuencia de comandos SQL
-108-
Utilidad
Recovery for MySQL permite recuperar la base de datos al dar click en Recover, al dar
click en esta opcin el programa permitir mostrar una pantalla en donde hay que
seleccionar la base de datos a recuperar.
-109-
Definicin
Acronis Recovery for MS SQL Server proporciona una tecnologa probada de copia de
seguridad de bases de datos que reducir drsticamente el tiempo de recuperacin
despus de una catstrofe, para que pueda volver a trabajar en cuestin de minutos en
vez de horas. La Recuperacin en un paso y la Recuperacin automtica al punto de
error reducen el tiempo de desconexin y ayudan a su organizacin a mejorar su
Objetivo de tiempo de recuperacin (RTO).
Caractersticas
Utilidad
Una vez instalado el programa se presenta la pantalla de inicio en donde seleccionar la
opcin Conectar a un equipo remoto si se conoce el equipo caso contrario elegir
Buscar servidores
-110-
Buscar servidores permite encontrar todos los servidores que se encuentran en la red, de
esta forma elegimos el servidor que deseamos.
Una vez seleccionado el servidor proceder a conectar con el equipo
+
Figura IV.47. Recuadro procesando
Una vez ingresado al servidor el programa permite escoger algunas opciones como:
Copia de seguridad, Restaurar, Limpieza de la ubicacin de la copia de seguridad, Plan
de recuperacin de desastres, etc. Lista de Tareas para SQL Server en: FIEEIS-I03
-111-
Luego ingresar el nombre del usuario y la clave esta opcin se presenta si se escoge la
opcin Utilizar Acronis Recovery para MS SQL Server Assistant
-112-
Pero al elegir la opcin Crear copia de seguridad completa ahora los pasos a seguir
sern los siguientes:
-113-
-114-
Y finalmente se visualiza una lista completa de las operaciones que se realizara, dar clic
en finalizar para terminar con la realizacin de la copia de seguridad
-115-
Las opciones de restauracin son: Ahora y segn programado esta opcin permite
restaurar de acuerdo a fechas en las que se hicieron las copias de seguridad
-116-
-117-
-118-
-119-
Seleccionar la base de datos ahora elegir el mtodo de envi en mismo que puede ser
por medio de correo electrnico o mostrndolo en formato html.
Al seleccionar enviarlo por correo electrnico, el asistente presentara los parmetros del
correo electrnico para enviar el plan de recuperacin de desastres.
-120-
Una vez especificados los parmetros el asistente presentara una lista completa de ;las
operaciones que se van a realizar y por ultimo dar click en finalizar.
-121-
Definicin
Este software est diseado para reparar y recuperar los archivos de base de datos
corruptos (MYD y. MYI). Las restauraciones de reparacin MySQL aplicacin daada.
MYD y archivos. MYI por ejemplo, de un ataque de virus, cierre inesperado del
sistema, error de lectura de los medios de comunicacin y as sucesivamente. El
Software de recuperacin de Base de datos para MySQL ayuda en la recuperacin de
todos los componentes de base de datos MySQL Server, incluyendo tablas, claves
primarias y las relaciones. Stellar Phoenix Recuperacin de la base de datos MySQL
utiliza algoritmos de gran alcance, que lleva a cabo completa y exhaustiva exploracin
del archivo de MySQL con el fin de recuperar la mayor cantidad de datos posible. El
software nunca borra o modifica los datos originales, e incluso archivos muy daados
pueden ser ptimamente reparados y restaurados. Sistema de servidor MySQL tambin
-122-
Caractersticas
Recupera datos de tablas en las que se aplican por defecto y las propiedades de
incremento automtico
Restaura todos los tipos de datos excepto los tipos de datos espaciales
Utilidad
Para iniciar la herramienta Stellar Phoenix Recuperacin de bases de datos para MySQL
se sigue los siguientes pasos:
-123-
1. Haga clic en Inicio | Programas | Stellar Phoenix Recuperacin de bases de datos para
MySQL y seleccione Stellar Phoenix MySQL Recovery para abrir la herramienta. El
Stellar Phoenix Recuperacin de bases de datos MySQL para la ventana se abre:
La ventana principal de este software est compuesta por tres paneles. El panel
izquierdo muestra la estructura de rbol de la base de datos (s). El panel derecho
muestra los detalles de la base de datos (s) de archivos. El panel inferior nombrado
como Messagelog muestra la transformacin de un proceso continuo.
-124-
Definicin
SysTools SQL Recovery es un programa para la recuperacin las bases de datos SQL,
permite reparar las bases de datos corruptas en SQL, cuenta con herramientas para la
recuperacin de los datos, tablas, vistas, disparadores, procedimientos almacenados,
reglas por defecto, tipos de datos definidos por el usuario y los factores desencadenantes
de las bases de datos MDF corruptas. SysTools SQL Recovery es compatible con
Microsoft SQL Server 2000.
Caractersticas
Recupera valores por defecto y predefinidos, las reglas, limitar los "cheques",
tipos de datos de usuario, etc
Utilidad
Para iniciar esta herramienta primero seleccionar la ruta del archivo .mdf.
-125-
-126-
Como se puede observar esta herramienta nos muestra las tablas, procedimientos
almacenados, vistas, claves, etc.
-127-
Una vez seleccionada la informacin a recuperar dar click en Export el cual permite
guardar y recuperar la base de datos al dar click en esta opcin la herramienta pedir
que se ingrese el tipo de Export , llenar las credenciales de la base de datos y
finalmente dar click en Export/Save.
-128-
Definicin
Este MS SQL Server es un software de recuperacin muy fcil de utilizar utilidad que
repara y recupera daados bases de datos SQL sin ninguna modificacin
Caractersticas
Funciones definidas por el usuario recupera y definido por el usuario los tipos de
datos
-129-
Utilidad
La herramienta presenta una amplia gama de opciones para la recuperacin de base de
datos
Antes de elegir el archivo a recuperar se debe parar el servicio de SQL SERVER para
que funcione el programa.
Parado el servicio dar click en Open MS SQL file to be repaired, al seleccionar esta
opcin el programa visualizara una ventana en donde se debe elegir la ruta del archivo a
recuperar.
Al seleccionar la ubicacin del archivo el programa mostrara los resultados de la
informacin del archivo.
El programa mostrara el contenido de la base de datos a recuperar
-130-
-131-
Caractersticas
Recuperacin para SQL Server reparaciones daado bases de datos SQL Server,
copias de seguridad y los registros (. Mdf,. Ndf. Bak,. Ldf).
Recupera SQL Server 2005, 2008 de datos comprimidos (tipos de filas, RAGE)
Recupera SQL Server 2008 FILESTREAM tipo de datos. Tenga en cuenta que
la base de datos deben ser recuperados en el mismo equipo donde se encuentra
la base de datos original
Utilidad
Antes de utilizar esta herramienta se debe detener el servicio de SQL, para continuar
con la recuperacin dar click en Recover.
-132-
Esta opcin permite al usuario localizar el archivo mdf que va ser recuperado.
Seleccionar el archivo a recuperar y dar click en Next.
-133-
Antes de realizar la reparacin se debe crear una carpeta en la ubicacin que se desea,
esta carpeta contendr toda la informacin de la base de datos recuperada. Seleccionar
la carpeta creada.
-134-
-135-
Una vez finalizada la recuperacin proceder a abrir la carpeta creada con este fin.
-136-
-137-
LICENCIA
RECOVERY
FOR MY SQL
VERSION 2.0
Licencia
Standard:
$ 149,00.
Licencia
Enterprise:
$ 223,00.
1 ao de
Servicio de
Licencia:
$ 253,00.
ACRONIS
RECOVERY
FOR MS SSQL
SERVER
VERSION 1.0
Plataformas admitidas:
Precio por Lice
- x86, x64
ncia: $ 621,78
Sistemas operativos compatibles:
- Windows 2000 (SP4+)
- Windows XP (SP1+)
- Windows Vista
- Windows Server 2003 (versiones de 32
bits y 64 bits)
STELLAR
PHOENIX
DATABASE
RECOVERY
FOR MYSQL
VERSION 2.0
Sistema operativo:
Windows 7, Vista, Server 2003, XP y
2000
RAM: 1 GB como mnimo (2 GB
recomendado)
Disco duro: 50 MB de espacio libre en
disco
Sistema operativo: Windows Todos
RAM: 64 MB RAM
Disco duro: Mnimo 10 MB de espacio
Licencia de
Administrador
:
$ 399
STELLAR
PHOENIX SQL
RECOVERY
RECOVERY
FOR SQL
SERVER
VERSION 4.1
Licencia para
la
organizacin:
$ 399
Licencia de
usuario de
segmento
acadmico:
$ 349
Standard
License
$499,00
Enterprise
License
$748,00
1-ao de
licencia de
servicios
$848,00
SYSTOOLS SQL
RECOVERY
VERSION 4.5
Licencia
Personal:
$129
TIPO DE
RECUPERACIO
N
No se recupera
claves y tiene
limitaciones
Muestra slo la
tabla de nombres y
datos de la tabla
Fechas no comprendidos
en el rango de enero, 1,
1900 - Diciembre 31,
2199 se puede recuperar
correctamente
Orden de las filas en los
cuadros recuperados
pueden diferir de la
orden original
-138-
Helix CD: Esta herramienta pertenece a la categora de Live CDs. Este tipo de
herramientas tienen, entre otras ventajas propias de ellas, que no necesitan tiempo para
ser instaladas ni tampoco es necesario cargar otro sistema operativo; de ser necesario,
simplemente se inicia la herramienta desde el CD y queda lista para utilizar.
Helix es un Live CD de respuesta ante incidentes, basado en una distribucin de Linux
llamada Knoppix. Helix contiene una serie de herramientas que permiten realizar
anlisis forenses de forma efectiva y prctica tanto de equipos de cmputo como de
imgenes de discos. La herramienta puede ser descargada directamente de
http://www.e-fense.com/helix. La herramienta ofrece dos modos de funcionamiento
-139-
Finalmente es importante resaltar que ste Live CD cuenta, adems de los comandos de
anlisis propios de Linux, con una serie de herramientas forenses importantes como The
Sleuthkit & Autopsy
SQLCMD
Es una utilidad para el manejo de bases de datos relacionales (SGBD) basado en el
lenguaje Transact-SQL mediante la lnea de comandos. SQLCMD utiliza el OLE DB
para su conexin con la Base de datos. SQLCMD tambin es uno de los ltimos
recursos cuando el sistema falla (por ejemplo cuando la base de datos principal del
sistema llamada master se corrompe). Cuando se cuelgue el sistema o no este
disponible. La Conexin dedicada de Administracin (DAC en ingls) es uno de los
ltimos recursos.
Utilizando la lnea de comandos sqlcmd, usted puede:
MD5
Es uno de los algoritmos de reduccin criptogrficos diseados por el profesor Ronald
Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnolgico de
Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 despus
de que Hans Dobbertin descubriese su debilidad.
A pesar de su amplia difusin actual, la sucesin de problemas de seguridad detectados
desde que, en 1996, Hans Dobbertin anunciase una colisin de hash, plantea una serie
de dudas acerca de su uso futuro.
-140-
Codificacin
La codificacin del MD5 de 128 bits es representada tpicamente como un nmero de
32 dgitos hexadecimal. El siguiente cdigo de 28 bytes ASCII ser tratado con MD5 y
veremos su correspondiente hash de salida:
MD5 ("Esto s es una prueba de MD5") = e99008846853ff3b725c27315e469fbc
Un simple cambio en el mensaje nos da un cambio total en la codificacin hash, en este
caso cambiamos dos letras, el s por un no.
MD5 ("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034
Otro ejemplo sera la codificacin de un campo vaco:
MD5 ("") = d41d8cd98f00b204e9800998ecf8427e
Un profesional de la seguridad bien informado puede usar WFT para ayudar a buscar
seales de un incidente, de intrusos, o para confirmar el mal uso de equipo de
configuracin. WFT produce una salida que sea til para el usuario admin, pero tambin
es apropiado para su uso en los procedimientos judiciales. Se ofrece un amplio registro
de todas sus acciones, junto con el clculo de valores de hash MD5/SHA1, lo que
permite asegurarse de que su salida es verificable.
La principal ventaja de usar WFT para llevar a cabo las respuestas de incidentes o de
auditora es que proporciona una forma simplificada de scripting esas actividades
utilizando una metodologa adecuada para la recogida de datos.
Beneficios de WFT
Proporcionar una respuesta que es:
Consistente y verificable
-141-
-142-
-143-
15. Si el archivo esta bien configurado el programa cargara todos los archivos de la
siguiente manera.
-144-
-145-
Acronis
Recovery For
Ms Sql
Server
Systools Sql
Recovery
Stellar
Phoenix Sql
Recovery
Recovery For
Sql Server
Recovery For
My Sql
Stellar
Phoenix
Database
Recovery For
Mysql
FACI
LIDA
D DE
USO
OBTECIN
DE LA
HERRAMIE
NTA
FUNCION
ALIDAD
TIPO DE RECUPERACIN
RECUPERA
ARCHIVOS(.md
f, .myi, .myd)
Restaura la
estructura
de la tabla y
los datos
Recupera y
realiza copias
de seguridad
Recuperacin
automtica al
punto de error
Recupera
procedimientos
almacenados,
vistas, ndices,
password, etc,
Cree un plan
de
recuperacin
de catstrofes
TIEM
PO
RECUP
ERO
INFO
(SI/NO)
TIE
MP
O
REC
UPER
O
INFO
(SI/N
O)
TIEM
PO
RECUP
ERO
INFO
(SI/NO)
TIEMP
O
RECUP
ERO
INFO
(SI/NO
TIEMP
O
CANT
INF(%)
TIEMP
O
REC
UPER
O
INFO
(SI/N
O
85%
Pagado
80%
5
min
SI
10
min
SI
20
min
SI
20
min
SI
10
min
100
20
min
SI
85%
Pagado
75%
SI
No
No
SI
20
Min
SI
10
min
15
min
100
70%
25
min
20
min
SI
Pagado
10
min
15
min
SI
90%
5
min
4
min
100
20
min
SI
85%
Pagado
75%
SI
No
No
SI
No
90
No
75%
Pagado
75%
SI
20
min
SI
15
min
10
min
10
min
100
75%
20
min
20
min
20
min
SI
Pagado
15
min
10
min
10
min
SI
75%
5
min
8
min
8
min
100
20
min
SI
SI
SI
SI
SI
SI
SI
-146-
Conclusiones
Stellar Phoenix Sql Recovery y Acronis Recovery For Ms Sql Server crean un plan
de recuperacin de catstrofes para SQL Server.
Diferentes
NMERO DE
NMERO DE
TABLAS A
TABLAS
RECUPERAR RECUPERADAS
8
8
100
Diferentes
87,5
Diferentes
87,5
Diferentes
87,5
TOTAL
(%)
-147-
Conclusin
Acronis Recovery For Ms SQL Server es la mejor herramienta en cuanto se refiere a la
cantidad de informacin recuperada para SQL Server.
Diferentes
NMERO DE
NMERO DE
TABLAS A
TABLAS
RECUPERAR RECUPERADAS
8
7
Diferentes
TOTAL
(%)
87,5
100
-148-
Conclusin
Stellar Phoenix Database Recovery For Mysql es una buena herramienta para recuperar
la mayor cantidad de informacin en Mysql.
-149-
INSTALACIO
N
MANEJ
O
INTERFA
Z
TOTAL
(SUMA)
TOTAL
(%)
100
100
100
100
HERRAMIENTAS
ACRONIS
RECOVERY FOR
MS SQL SERVER
SYSTOOLS SQL
RECOVERY
STELLAR
PHOENIX SQL
RECOVERY
RECOVERY FOR
SQL SERVER
Conclusin
Las herramientas utilizadas para la recuperacin de base de datos son fciles de utilizar
ya que cuentan con una buena interfaz lo cual permiten al usuario un excelente manejo
-150-
Anlisis en MySQL
INSTALACI
N
MANEJ
O
INTERFAZ
TOTAL
(SUMA)
TOTAL
(%)
100
100
HERRAMIENTAS
RECOVERY FOR
MY SQL
STELLAR
PHOENIX
DATABASE
RECOVERY FOR
MYSQL
-151-
Conclusin
La facilidad de uso de estas herramientas es totalmente fcil ya que cuentan con una
interfaz amigable.
Matriz Funcionalidad
Valoracin
SI
X NO
Los parmetros se realizan en base a la recuperacin que ejecutan las herramientas ya
sea si se borro o restaura algn elemento de la base de datos.
HERRAMIE
NTAS
Restau
ra la
estruct
ura de
la
tabla y
los
datos
Recup
era y
realiza
copias
de
seguri
dad
ACRONIS
RECOVERY
FOR MS
SQL
SERVER
SYSTOOLS
SQL
RECOVERY
STELLAR
PHOENIX
SQL
RECOVERY
RECOVERY
FOR SQL
SERVER
Fuente: Anlisis prctico realizado en la tesis
Elaborado por: Nancy Macas
Recupera
cin
automti
ca al
punto de
error
Recupera
procedimi
entos
almacenad
os, vistas,
ndices,
etc
Cree un
plan de
recupera
cin de
catstrof
es
TOT
AL
(%)
100
66,66
100
83,33
-152-
Conclusin
Acronis Recovery For Ms Sql Server y Stellar Phoenix Sql Recovery Server son herramientas
que nos brindan mayor nmero de funcionalidades logrando una mejor recuperacin y
reparacin de la base de datos.
Resta
ura la
estru
ctura
de la
tabla
y los
datos
Recu
pera
y
realiz
a
copia
s de
segur
idad
HERRAMIENTA
S
RECOVERY
FOR MY SQL
STELLAR
PHOENIX
DATABASE
RECOVERY
FOR MYSQL
Fuente: Anlisis prctico Realizado en la Tesis
Elaborado por: Nancy Macas
Recupe
racin
autom
tica al
punto
de
error
Recuper
a
procedi
mientos
almacen
ados,
vistas,
ndices,
etc
Cree
un plan
de
recupe
racin
de
catstr
ofe
TOT
AL
(%)
66,66
100
-153-
Conclusin
Stellar Phoenix Database Recovery For Mysql tiene un 100% de funcionalidad para
reparar bases de datos My Sql
Las herramientas Stellar Phoenix Sql Recovery y Acronis Recovery For Ms Sql
Server son las que mayor beneficios nos brindan para servidores de datos SQL Server
Stellar Phoenix Database Recovery For Mysql es una gran alternativa para trabajar con
MySql
PARMETROS
FACILIDAD DE
USO
OBTENCION DE LA
HERRAMIENTA
SQL
Server
100%
MySQL
-
Pagado
100%
100%
100%
N-STALKER
SQLRECON
HERRAMIENTAS
ACUNETIX
WEB
VULNERABILITY
SCANNER
HAVIJ
NGSSQUIRREL
WEBCRUISER
DETECCIN DE
VULNERABILIDADES
SQL Server
MySQL
60%
60%
Libre
60%
100%
100%
Pagada
80%
80%
88,90%
Pagado
60%
80%
100%
Pagada
60%
60%
88,90%
88,90%
Pagado
80%
80%
80%
FUNCIONALIDAD
-155-
PARMETROS
INSTALA
CIN
MANEJO
INTERFA
Z
TOTAL
(SUMA)
TOTAL
(%)
100
3
3
3
3
3
3
3
3
2
3
2
2,67
3
3
3
3
3
3
9
9
8
9
8
8,67
100
100
88,90
100
88,90
96,3
HERRAMIENTAS
ACUNETIX WEB
VULNERABILITY
SCANNER
HAVIJ
NGSSQUIRREL
N-STALKER
SQLRECON
WEBCRUISER
PROMEDIO
-156-
Conclusin
En cuanto a la facilidad de uso la mayora de escners son fciles de usar y sobre todo
son intuitivos, sin embargo en cuanto al manejo se puede mencionar que WebCruiser y
N-Stalker necesitan mayor nivel de conocimientos tcnicos para su ptima utilizacin.
INSTALACI
ON
MANEJO
INTERFA
Z
TOTAL
(SUMA)
TOTAL
(%)
3
3
3
3
2
3
3
3
3
9
8
8,5
100
88,90
94,50
HERRAMIENTAS
HAVIJ
WEBCRUISER
PROMEDIO
-157-
Conclusin
Havij es la mejor herramienta en cuanto a facilidad de uso, mientras que WebCruiser en
cuanto al manejo requiere mayor conocimiento tcnico.
Matriz Funcionalidad
Valoracin
SI
X NO
-158-
Permite
escaneo
mediante
host
Permite
escaneo
mediante
rangos de
IP
Trabaj
a con
SQL
Server
Trabaj
a con
MySQ
L
TOTA
L (%)
60
66.67
100
X
33.33
100
X
X
X
33.33
60
80
60
60
80
66.67
HERRAMIENTAS
ACUNETIX WEB
VULNERABILIT
Y SCANNER
HAVIJ
NGSSQUIRREL
N-STALKER
SQLRECON
WEBCRUISER
PROMEDIO
-159-
Puertos
Abiertos
Contrase
as
dbiles
Acceso a
elementos
de la BD
(tablas,
procedimi
entos,
vistas,
etc.)
X
66.67
100
X
66.67
66.67
HERRAMIENTA
S
ACUNETIX WEB
VULNERABILIT
Y SCANNER
HAVIJ
NGSSQUIRREL
N-STALKER
SQLRECON
WEBCRUISER
PROMEDIO
Otros
(Frame
work,
Memor
ia, etc)
TOTA
L (%)
60
83.33
100
80
80
60
80
76.68
-160-
Conclusin
La mejor herramienta es Havij ya que permite detectar algunas vulnerabilidades, a
continuacin estn NGSSQuirrel, N-Stalker y WebCruiser que permiten visualizar los
elementos de la Base de Datos.
Inyeccin
SQL
Puertos
Abiertos
Contrase
as
Dbiles
100
100
X
50
HERRAMIENTAS
HAVIJ
WEBCRUISER
PROMEDIO
Acceso a
elemento
s de la
BD
(tablas,
procedi
mientos,
vistas,
etc.)
100
Otros
(Fram
ework
,
Memo
ria,
etc)
TOTA
L (%)
100
100
80
90
-161-
CAPTULO V
El principal elemento que se debe proteger en una investigacin de cualquier tipo que
involucre un servidor de base de datos es el equipo en el que se encuentra instalada la
aplicacin. Es en ste que se encuentra la posible evidencia digital que puede llegar a
ser determinante en un caso judicial. La evidencia digital, debido a su naturaleza, es
extremadamente frgil. Basado en lo anterior, es sobresaliente seguir un procedimiento
estndar que asegure la proteccin y el anlisis exitoso de dicha evidencia digital con el
fin de encontrar la mayor cantidad de detalles sobre el incidente ocurrido en el equipo,
sin embargo, para disear lo anterior es necesario revisar con ms detenimiento los
-162-
Asegurar y evaluar la escena: Se deben llevar a cabo una serie de pasos para
asegurar la integridad de la evidencia potencial.
-163-
A continuacin de enumeran las seis fases del ciclo de vida y se proporciona una
pequea descripcin de cada una (5):
-164-
Alcance
Existen diversos modelos propuestos para guiar el proceso forense digital en muchas
partes del mundo, tal como se present en el Captulo III. Sin embargo, no se ha llegado
a ninguna conclusin sobre cul es la ms apropiada. A pesar de que, cada marco de
trabajo podra trabajar bien con un tipo de investigacin particular, ninguna de ellas se
centra en la informacin especfica que est involucrada en el anlisis forense de una
base de datos. La gua propuesta ha sido desarrollada para ayudar a las prcticas
forenses que involucren un Servidor de base de datos.
Se han incorporado aquellas prcticas y tcnicas estndar existentes en el mundo de la
investigacin fsica y digital. Este modelo intenta superar las principales deficiencias de
-165-
los modelos digitales forenses existentes discutidos en las secciones anteriores ya que a
menudo estos modelos suelen ser muy generales y excluyen el anlisis de la base de
datos atacada.
Limitaciones
La gua presenta las siguientes limitaciones:
-166-
pesar de todo, varias propuestas hacen referencia a las mismas reas, aunque
a
resaltan el
grado de importancia en aspectos diferentes.
La gua aqu propuesta est orientada a ser empleada en aquellos incidentes o delitos en
los que se requiera obtener evidencia digital de una base de datos que estuviera
involucrada. La gua propuesta
propuesta se estructur en 6 fases. Las cuales estn
complementadas de tal forma, que permitan incluir la mayor cantidad de puntos a
considerar para realizar el proceso de anlisis forense a servidores de base de datos SQL
Server y MySQL y se explican a continuacin.
cont
Fase I: Identificacin
1. Preparacin
3. Documentar la
Escena
2. Inspeccin
2. Recoleccin de
Datos
3. Linea de Tiempo
Figura V.111
111. Fases de la Gua de Anlisis Forense Propuesta
Ahora que se cuenta con el listado de fases, es posible presentar una comparacin entre
las actividades de la gua propuesta con las actividades de los
los modelos descritos
-167-
Fases
Preparacin
Fase I
M.
Abstracto
CFFTPM
M.
Bsico
X
X
Aseguramiento de la Escena
Fase II
Inspeccin
Documentar la escena
Fase III
Priorizacin de evidencia
recogida
Recoleccin de Datos
Lnea de tiempo
Fase IV
Fase V
Recuperacin de Datos
Fase VI
X
X
Organizacin de la Informacin
Fase I: Identificacin
1. Preparacin.- La fase de preparacin ocurre antes de que se efectue la
investigacin como tal. Esto involucra un entendimiento inicial de la naturaleza del
crimen y actividades, por ejemplo:
a) Definir una serie de roles entre el personal involucrado con el objetivo de
-168-
-169-
-170-
-171-
-172-
4
3
2
1
3
5
Fuente:http://www.blackhat.com/presentations/bh-usa-07/fowler/
Sistema Operativo
o
o
o
o
Fuente:http://www.blackhat.com/presentations/bh-usa-07/fowler/
Realizar una copia imagen de los dispositivos(bit a bit), con una herramienta
apropiada. Y firmar su contenido con un hash de MD5 o SHA1, generando asi el
-173-
segundo original, a partir de este se generaran las copias para el Anlisis de datos,
cada copia debe ser comprobada con firmas digitales nuevamente de MD5 o SHA1.
Documente la evidencia con el documento de embalaje(y cadena de custodia) que
puedan garantizar que se incluyen informacin acerca de sus configuracines.
-174-
A travs del anlisis, se habr identificado toda la informacin relacionada con aquellos
objetos considerados sobresalientes. De igual forma, se habra identificado cules son
las caractersticas que presenten esos objetos. Al final de esta fase y por consecuencia,
se deber contar con una lista de caractersticas para cada pieza de informacin que
resulte de inters.
-175-
Emitir conclusiones
Resumen de Incidentes
Pruebas
Detalles
Conclusin
Documentos de Respaldo
-176-
Portada
Nombres
Nmeros de cdulas
Antecedentes
2. Cronograma de Actividades
Secuencia de acciones por parte de los peritos informticos en determinar tiempos,
se pueden ayudar con software como el Project de Microsoft office para su
estructuracin.
3. Proceso de anlisis y entorno de investigacin
El propsito este captulo es detallar las herramientas empleadas en el anlisis as
como la construccin del entorno de anlisis forense usado para la investigacin.
Se detalla la secuencia a de actividades llevada a cabo para la obtencin de las
evidencias y el anlisis de las mismas.
En otras palabras involucra las fases de la gua de procedimientos
4. Conclusiones
Finalmente este apartado agrupa los principales puntos que se obtienen como
consecuencia del anlisis forense efectuado
5. Anexos
Pueden ser formularios, reglamentos, entrevistas, tablas, etc. utilizadas para realizar los
pasos anteriormente expuestos.
-177-
CAPTULO VI
6. APLICACIN DE LA GUIA DE PROCEDIMIENTOS DE
ANLISIS FORENSE EXPUESTOS EN DESITEL-ESPOCH
6.1. INTRODUCCIN
Es necesario comprender la importancia de aplicar en forma adecuada cada una de las
fases que se incluye en la gua de procedimientos, para la cual se cita a continuacin
cada una de ellas aplicadas en un escenario real que se detalla a continuacin.
-178-
puede ser resuelto por el mdulo de auditora del sistema Acadmico, pero si no
es parte de los procesos del modulo se aplicara la gua propuesta.
Procesos del Modulo de Auditoria del Sistema Acadmico de la ESPOCH
(OASIS)
o Ingreso de Notas
o Control y Autenticacin de Usuarios
o Quin Matricul?, Quin gener la Matricula?
o Fallos de Ingreso al Sistema (si hay 3 intentos fallidos se bloquea la cuenta)
En general para que la gua de anlisis forense pueda ser aplicada, se requiere
que el host sobre el que est el servidor de base de datos posea conectividad de
red entre la victima (servidor afectado) y la estacin forense, esto implica que
todos los servicios de red TCP/IP, as como los equipos activos de red del
Backbone institucional estn funcionando correctamente en el segmento de red
entre estos dos equipos.
Equipo de Ataque
-179-
Computador
porttil
SOFTWARE
HP
Pavilon
Sistema
Operativo:
Microsoft
DV6120
Windows XP
Programas:
2.40GHz
VMware Workstation
SOFTWARE
Programas:
WEBSERVE-240D78\SQL2005
Sistema Operativo
Database Versin:
9.0
Direccin IP:
172.30.60.5
Modo de Autenticacin
-180-
OAS_Sistemas
Nmero de tablas
87
Nmero de procedimientos
154
almacenados
Nmero de Vistas
24
Nmero de Funciones
43
39
Usuario
SOFTWARE
2.40GHz
XP Professional SP 3.0
6.5.1. ESCENARIO 1
Dos computadoras, una que tenga instalado SQL Server 2005, la misma
que tendr la copia de la Base de Datos del Sistema Acadmico y el sitio
web clonado y que sea vulnerable a la inyeccin SQL. Mientras que la
segunda mquina ser el atacante y debe tener acceso al sitio web de la
vctima.
-181-
-182-
-183-
Una vez ejecutada la inyeccin SQL el atacante ingresa al sitio web de acuerdo
al tipo de usuario (docente, estudiante, directivo) previamente seleccinado.
6.5.2. ESCENARIO 2
6.5.2.1. Ataque de fuerza bruta con Diccinario
Figura VI.117. Arquitectura del escenario ataque Fuerza bruta con Diccionario
-184-
Se utiliza la herramienta zenmap para ver el puerto que utiliza SQL Server 2005
-185-
El ataque se realiza desde el sistema operativo Backtrack 5.0 que contiene una
herramienta para ataque de fuerza bruta con diccionario denominada Medusa.
Adems se tiene un archivo de texto denominado claves.txt que se utilizar para
este escenario.
-186-
Ahora que se conoce el password para acceder al Servidor SQL Server 2005 se
inicia sesin con SQL Server Management Studio.
-187-
6.5.3. ESCENARIO 3
6.5.3.1. Ataque a las cuentas de usuario
Ingresar a Microsoft SQL Server 2005 mediante la herramienta SQL Server
Management Studio.
-188-
-189-
-190-
Observar que el servidor se conecta con el nuevo password e ingresar a la base de datos,
esta herramienta es til debido a que si se olvida la contrasea se puede cambiar y de
esta forma no perder la informacin pero tambin esta herramienta permite hackear la
base de datos ya que permite el cambio de password sin ninguna restriccin.
-191-
6.5.4. ESCENARIO 4
6.5.4.1. Errores Humanos
Errores del Administrador del Sistema
En caso de que el Administrador de la Base de Datos elimino accidentalmente
registros de la Base de Datos.
El DBA elimina 3 registros de la tabla Parametros_Carrera, a continuacin se
muestra la tabla antes de ser eliminada los registros.
-192-
-193-
-194-
-195-
-196-
INFORME PERICIAL
Donde se realizo:
Departamento de Sistemas y Telemtica (DESITEL) de la ESPOCH
Nmero de cdula
Ana Juntamay
0604230219
AJ4015
Nancy Macas
0604008706
NM3252
Antecedentes
Descripcin detallada de los equipos intervenidos:
Nombre del equipo: WEBSERVER-240d78
Sistema operativo: Microsoft Server 2003 SP2
-197-
-198-
Acadmico (Ver Anexo 3), luego se enviar un oficio que autorice el proceso de anlisis
forense (Ver Anexo 4).
El proceso a realizar para aplicar la gua de procedimientos con sus respectivas fases se
describe mediante el uso de Diagramas de Caso de Uso que puede ver en el Anexo 5.
GUA DE PROCEDIMIENTOS
FASE I: Identificacin
1. Preparacin
a) Se defini roles de acuerdo al Organigrama del Departamento de Sistemas y
Telemtica(DESITEL) de la ESPOCH. Ver Anexo 6.
b) El Director de DESITEL emitio un oficio para designar una persona que
acompoe a la persona o grupo de investigadores forenses.Ver Anexo 7.
c) Se realiz una evaluacin de los recursos, alcance y objetivos necesarios para
realizar la investigacin interna.
d) Se revis el reglamento del Departamento de Sistemas y Telematica
(DESITEL). Ver Anexo 8.
e) Se aplic formulario de orden de cateo Ver Anexo9.
AFECTACINES
POSIBLES CAUSAS
-199-
2. Inspeccin
-200-
3. Documentar la escena
Se reuni toda la informacin recolectada como fotografas de todos los dispositivos
electrnicos en la escena del crimen junto con los adaptadores de poder, cables,
bases y otros accesorios. Ver Anexo 13.
Recoleccin de Datos
Se realiz un backup de la base de datos va red, para ello se utiliz la Herramienta
Acronis Reovery MS SQL Server y se utiliz este programa para la restauracin de la
misma en la estacin forense.
-201-
-202-
Visor de Eventos
En el visor de eventos se visualizo
nuestra informacin completa de todos los procesos que realizo el sistema indicando:
fecha, hora, recurso, etc.
-203-
-204-
-205-
Recoleccin de Datos
Se realizo una copia imagen de los dispositivos (bit a bit), con una herramienta
apropiada. En este caso se utilizo la herramienta Acronis Recovery for Ms SQL Server.
-206-
-207-
-208-
-209-
-210-
-211-
-212-
-213-
-214-
-215-
-216-
Registro de Errores
o Datos de Autenticacin de SQL Server (fallas, inicio de sein y
desconexion satisfactorios)
o Apagado y Encendido de SQL Server
o Direccinamiento IP de coneccines de cliente de SQL Server
-217-
A travs del anlisis, se identifico toda la informacin relacionada con aquellos objetos
considerados sobresalientes. De igual forma, se identifico cules son las caractersticas
que presenten esos objetos. Al final de esta fase y por consecuencia, se debi contar con
una lista de caractersticas para cada pieza de informacin que resulte de inters.
Se aplicaron las Herramientas de Deteccin de Vulnerabilidades y se realiza las
respectivas interpretaciones
-218-
-219-
-220-
-221-
-222-
La base de datos restaurada muestra que hubieron acciones errneas de ingreso de sesin
-223-
|0x060005008169112CB8E15005000000000000000000000000 |5 |1
|020000008169112C8AD73D04AA3DEEC373156883C5BF1A92
2011-07-10 18:24:19.663|2011-07-10 18:36:47.150|(@1 varchar(8000),@2
varchar(8000))SELECT * FROM [Usuarios] WHERE [strCedula]=@1 AND
[strLogin]=@2 |0x06000500169C7427B821DA09000000000000000000000000 |5
|1 |02000000169C74274A6F6E642F432797A7C5EE6E6B28D4DC 2011-07-10
18:34:22.693|
2011-07-10 18:34:22.693|select * from Usuarios where strCedula = '180339867-4'
and strLogin = 'Ivan ;' DROP TABLE nota;SELECT
Cuenta de usuario: sa
Fecha de eliminacin: 2011-07-10 18:34:22.693
Accin realizada: DROP TABLE nota;SELECT
1. Para evitarlo debemos implementar una serie de funciones php que filtren las
entradas de los usuarios, una posible funcin sera la siguiente:
<?
Function secureSQL( strVar )
dim banned, final, i
banned = array("select", "drop", ";", "--", "insert","delete", "xp_")
for i = 0 to uBound(banned)
strVar = replace(strVar, banned(i), "")
next
final = replace(strVar, "'", "''")
secureSQL = final
End Function
?>
-224-
Mediante esta funcin filtramos todos los caracteres extraos de la sentencia, evitando
as un caso como el anteriormente comentado.
Una funcin que tambin nos ser de gran utilidad para evitar ste tipo de ataques es la
funcin addslashes.
Significado SQL
especial
;
Delimitador de consultas.
Comentario.
/* */
xp_
raramente
son
necesarias
en
nuestras
aplicacines.
-225-
Raramente necesitamos traer todos los datos de una tabla, tupla o columna, traer los
justos y necesarios va a reforzar la seguridad en nuestra aplicacin y a optimizar el
tiempo de ejecucin de la misma. En este caso obtenemos un doble beneficio.
No desplegar errores en pantalla a los usuarios de la aplicacin.
La salida de errores en pantalla puede develar informacin clave de la estructura de
nuestra DB poniendo en compromiso la seguridad de nuestra aplicacin. Podemos
utilizar la funcin error_reporting para ocultar errores y posteriormente utilizar el
manejo de exepcines de PHP para definir errores personalizados y guardarlos en un log
privado.
8. Reservar palabras.
Filtrar y prohibir palabras equivalentes a clausulas SQL como INSERT, DROP,
DELETE, SELECT, UPDATE, UNION, etc.
En este caso tendremos que ser muy selectivos, ya que muchas palabras son de normal
uso (Ej:UNION) y si estamos programando una aplicacin en ingls ni que hablar.
Nunca responda a solicitudes de informacin personal a travs de correo electrnico.
Mantenga su sistema operativo actualizado.
Maneje un gestor de correo electrnico con funciones anti-spam que borre directamente
del servidor el correo no deseado.
-226-
Tras recibir un mail con un fichero adjunto no lo ejecute hasta analizarlo con un
antivirus.
Sepa que es mucho ms seguro tipear la URL de un banco que acceder al mismo a
travs de un enlace.
Tenga precaucin con aquellas entidades con las que intercambie informacin sensible
y no dispongan de certificacin de autentificacin.
Avise a su banco o entidad cada vez que haya sido vcitima de un ataque Phishing.
Use el sentido comn, es la mejor herramienta de proteccin frente a cualquier tipo de
ataque de seguridad.
En cuanto a la prevencin se puede tener en cuenta lo siguiente:
-227-
Chequear que los permisos de los archivos del sitio Web son los correctos.
Actualizar el software tanto del servidor web como de la plataforma es muy importante
para evitar ataques.
Inyeccines SQL
16. Mantener el software empleado (servidor Web, bases de datos, etc.) en las
ltimas versiones:
Elaborar una lista de todos los programas de terceros que se usan y asegurarse de que se
encuentren actualizados a la ltima versin o versin sin vulnerabilidades conocidas.
Los fabricantes suelen disponer de enlaces en sus pginas oficiales que permiten la
actualizacin de su software.
-228-
6.10. ANLISIS
LISIS DE RESULTADOS Y COMPROBACIN
COMPROBACI N DE LA HIPTESIS
HIP
HIPTESIS
La aplicacin de la gua de tcnicas y procedimientos de anlisis forense permitir
obtener evidencias consistentes y facilitar la deteccin de vulnerabilidades.
VARIABLES DEPENDIENTES
La aplicacin de la Y
Consistencia
gua de tcnicas y
evidencias
procedimientos
Facilidad
de
deteccin
de
anlisis forense
de Z
vulnerabilidades
de
-229-
Consistencia
de evidencias
Nmero
de
tablas
Nmero
de
procedimientos
almacenados
Nmero
de
vistas
Nmero
de
funciones
Nmero de tipos
de
datos
definidos por el
usuario
Nmero
de
reglas
Nmero
de
valores
predeterminados
Tamao
del
archivo MDF
ANTES
87
DESPUES
87
TOTAL (%)
100%
154
154
100%
24
24
100%
43
43
100%
39
39
100%
11
11
100%
36
36
100%
45,1 MB
45,1 MB
100%
-230-
Tipo
de
Archi
vo
DataCache.txt
Texto
PlanCache.txt
Texto
Tlog.txt
Texto
RecentStatemen
ts.txt
Connections.txt
Texto
Sessions.txt
Texto
Logins.txt
Texto
DbUsers.txt
Texto
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B2
04E9800998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
Si
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
D41D8CD98F00B204E980
0998ECF8427E
Si
Texto
DatabaseObject Texto
s.txt
Triggers.txt
Texto
Jobs.txt
Texto
JobHistory.txt
Texto
CLR.txt
Texto
Databases.txt
Texto
DBServerInfo.t
xt
Configuration.t
xt
Schemas.txt
Texto
Endpoints.txt
Texto
AutoExecProcs.
txt
Time.txt
Texto
ClockHands.txt
Texto
Texto
Texto
Texto
Integ
ridad
Mant
enida
(Si,
No)
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
-231-
Valoracin
ALTO
MEDIO
BAJO
Facilidad
deteccin
de Contraseas dbiles
vulnerabilidades
14 100
93,33%
15
-232-
RESULTADOS
Una vez analizado los datos obtenidos, se tiene como conclusin final que la
aplicacin de la gua de tcnicas y procedimientos de anlisis forense permitir
obtener evidencias consistentes y facilitar la deteccin de vulnerabilidades en
un Servidor de Base de Datos, dando como cierta la hiptesis planteada.
CONCLUSIONES
RECOMENDACIONES
Se debe mantener la evidencia intacta por lo cual se debe realizar una copia o
backup de la base de datos daada.
Al momento de elegir una herramienta para recuperar los elementos de una base
de datos o detectar vulnerabilidades, se recomienda realizar una seleccin de
acuerdo a los resultados obtenidos mediante el anlisis comparativo realizado en
la investigacin.
RESUMEN
El estudio de esta tesis es elaborar, aplicar y evaluar una gua metodolgica de Anlisis
forenses en la Base de Datos del Departamento de Sistemas y Telemtica (DESITEL)
de la ESPOCH. Esta investigacin se realiza con el fin de facilitar al personal tcnico la
recoleccin y anlisis de evidencia digital que se produce durante un incidente de
seguridad en un Servidor de Base de Datos SQL Server y MySQL.
SUMMARY
GLOSARIO
Active Directory: El Directorio Activo (Active Directory) es la pieza clave del sistema
operativo Windows Server, sin l muchas de las funcionalidades finales de este sistema
operativo(las directivas de grupo, las jerarquas de dominio, la instalacin centralizada
de aplicaciones, etc.), no funcionaran.
ActiveX Data Objects (ADO): Conjunto de objetos COM para el acceso a recursos de
datos. Prevee una capa entre los lenguajes de programacin y las bases de datos OLE, lo
que permite a los programadores escribir programas que accedan a datos, sin saber
cmo est implementada la base de datos (slo se debe tener cuidado en la conexin a la
misma).
ASP: Active Server Pages, tambin conocido como ASP clsico, es una tecnologa de
Microsoft del tipo "lado del servidor" para pginas web generadas dinmicamente, que
ha sido comercializada como un anexo a Internet Information Services (IIS).
Claves asimtricas: es el mtodo criptogrfico que usa un par de claves para el envo
de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el
mensaje. Una clave es pblica y se puede entregar a cualquier persona, la otra clave es
privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
Hash: En informtica, hash se refiere a una funcin o mtodo para generar claves o
llaves que representen de manera casi unvoca a un documento, registro, archivo, etc.,
resumir o identificar un dato a travs de la probabilidad, utilizando una funcin hash o
algoritmo hash. Un hash es el resultado de dicha funcin o algoritmo.
Intranet: Es una red de ordenadores privados que utiliza tecnologa Internet para
compartir dentro de una organizacin parte de sus sistemas de informacin y sistemas
operacionales. El trmino intranet se utiliza en oposicin a Internet, una red entre
organizaciones, haciendo referencia por contra a una red comprendida en el mbito de
una organizacin
Metadata: Es definido comnmente como los datos acerca de los datos, en el sentido
de que se trata de datos que describen cual es la estructura de los datos y como se
relacionan.
Uptime: Muestra la hora actual, el nmero de das que el PC est encendido, nmero de
usuarios conectados al equipo, carga media del equipo.
ANEXOS
ANEXO 1
ROLES GENRICOS PROPUESTOS POR LA NIST
El NIST (Instituto Nacional de Estndares y Tecnologas) propone una serie de roles genricos
los cuales se nombran a continuacin:
Tcnicos forenses: Son los encargados de llevar a cabo tareas bajo la supervisin del
investigador lder. Los tcnicos son responsables de identificar y recolectar toda la
evidencia digital, adems de documentar todas las accines realizadas. En realidad son
personal especialmente entrenado para incautar el dispositivo conservando la integridad
de la evidencia, adems de adquirir las respectivas imgenes digitales de la memoria de
los dispositivos involucrados. Generalmente, es necesario ms de un tcnico en la
investigacin debido a que, usualmente, se necesitan diferentes habilidades y
conocimientos.
ANEXO 2
CLONACIN DEL SITIO WEB ACADEMICO DE LA ESPOCH OASIS
Para realizar la clonacin del sitio web acadmico se utilizo la herramienta Internet
Download Manager 6.05, la figura siguiente es la ventana principal del programa.
Dar clic en la opcin Graber de la barra de herramientas para iniciar la clonacin del
sitio web. En la ventana nos pide el nombre del proyecto y seleccione la opcin El sitio
web completo.
Dar clic en siguiente y en la ventana de dialogo indique la ruta donde desea guardar el
proyecto.
En las siguientes pantallas dejar las opciones por defecto y dar clic en el botn
siguiente.
Una vez finalizado el proceso debe guardar el proyecto para poder abrirlo
posteriormente.
ANEXO 3
OFICIO DE RESTRICIN A LA ESCENA DEL CRIMEN
Riobamba, <<fecha>>
Seores
Tcnicos Informticos y Personal de Apoyo del DESITEL
Presente
Luego de saludarles, les informo que se restringe el acceso al servidor de base de datos del
Sistema Acadmico de forma fsica como lgica, a las siguientes personas:
a)
b)
..
Esta decisin se toma debido a que se realizara un Proceso de Anlisis Forense en la Base de
Datos Oasis luego de ocurrido un incidente que justifica la ejecucin de dicho proceso desde
<<fecha y hora>> hasta la entrega del informe final.
La restriccin de acceso deber ser acatada inmediatamente luego de la recepcin de este oficio,
caso contrario se sancionar a la persona o personas que no acaten esta disposicin, de acuerdo
al reglamento interno institucional.
Se informa adems que durante el periodo que tome el proceso de anlisis forense se deber
documentar los accesos al Datacenter, cuando se deba realizar operaciones que permitan
garantizar el correcto funcionamiento del resto de aplicaciones o servicios de red, esto con el
objetivo de facilitar y garantizar las actividades del proceso de anlisis forense
Atentamente:
ANEXO 4
AUTORIZACIN PARA ANLISIS FORENSE
Riobamba, <<fecha>>
Seores
Tcnicos Informticos y Personal de Apoyo del DESITEL
Presente
Luego de saludarles, les informo que se autoriza se realice un Proceso de Anlisis Forense en la
Base de Datos del Sistema Acadmico Oasis, a <<Analista Forense 1>>, <<Analista Forense
2>>, . <<Analista Forense N>>; luego de ocurrido un incidente que justifica la ejecucin de
dicho proceso desde <<fecha y hora>> hasta la entrega del informe final.
Se informa adems que durante el periodo que tome el proceso de anlisis forense se deber
documentar los accesos al Datacenter, cuando se deba realizar operaciones que permitan
garantizar el correcto funcionamiento del resto de aplicaciones o servicios de red, esto con el
objetivo de facilitar y garantizar las actividades del proceso de anlisis forense
Atentamente:
ANEXO 5
DIAGRAMAS DECASOS DE USO DE ACUERDO A ROLES
Diagramas de Caso de Uso: Evaluar y Autorizar proceso de Anlisis Forense
Investigador
ANEXO 6
Tcnicos forenses: son las personas que tienen conocimiento sobre anlisis forense,
utilizacin de herramientas y procedimientos forenses.
Custodios de la evidencia: puede estar a cargo de los mismos tcnicos forenses u otras
personas que tengan conocimientos de anlisis forense.
Examinadores forenses: puede estar a cargo de los mismos tcnicos forenses u otras
personas que tengan conocimientos de anlisis forense pero. Generalmente no es
recomendable tener personas que tengan los roles de tcnicos y examinadores al mismo
tiempo.
Analistas forenses: puede estar a cargo de los mismos tcnicos forenses u otras
personas que tengan conocimientos de anlisis forense.
ANEXO 7
OFICIO PARA COORDINAR ANLISIS FORENSE
Riobamba, <<Fecha>>
<<Titulo>>
<<Nombre Coordinador>>
<<Cargo>>
Presente.
Atentamente,
DR. Carlos Buenao
DIRECTOR DE DESITEL
ANEXO 8
REGLAMENTO DE DESITEL
(Ver en CD)
ANEXO 9
ORDEN DE CATEO
(Ver en CD)
ANEXO 10
FORMULARIO DE REGISTROS DE EVIDENCIA DE LA COMPUTADORA
Almacenamiento secundario fijo y removible
Cantid
ad
Marca/Model Velocidad/Capacid
o
ad
Nro.
Serie
Accesorios y Perifricos
Cantidad
Marca/Modelo
Velocidad/Capacida
d
Nro.
Serie
_____________________________________________
Lugar:
_____________________________________________
Caso:
_____________________________________________
Juzgado
_____________________________________________
Perito/s Responsable/s:
Especificaciones de la computadora
Marca Modelo
Nro
de
serie
Placa Madre
Microprocesador
(Marca/Modelo)
(Marca/Modelo)
Memoria
Ram
Memoria
Cache
ANEXO 11
_____________________________________________
Caso:
_____________________________________________
Perito/s Responsable/s:
Nmero de Componente
Nmero de
identificaci
n
Responsable
maneja la
evidencia
Cargo
Tipo
de
Delito
Nombre de
la
Evidencia
Software
empleado
Resulta
do
(A/N)
Tiempo
de
Descubrir
la
ANEXO 12
FORMULARIO DE ESTADO DE EVIDENCIAS
Fecha:
_____________________________________________
Hora:
_____________________________________________
Caso:
_____________________________________________
Perito/s
Responsable/s:
Nmero de Evidencia
Nmero de
identificacin
Responsable
maneja la
evidencia
Cdigo
Nombre
Copia de la
Evidencia Evidencia Evidencia(s/n)
Donde se
mantiene la
original
ANEXO 13
Como antecedente se puede mencionar que el DataCenter donde se encuentra el
Servidor que aloja la Base de Datos OASIS cuentas con seguridades como el control de
ingreso; mediante la digitacin de un cdigo secreto (que posee cada tcnico de
DESITEL) y cmaras de seguridad que graban el ingreso y salida del personal al
DataCenter.
Call Center
Cmara de seguridad
Blasers
Servidores
Array de Discos
Blasers
Procesador HP
Sensor en el DataCenter
rea de Desarrollo
Tcnicos de DESITEL
CPU afectado
Regulador
ANEXO 14
TABLA DE VALORACIN DE DETECCIN DE VULNERABILIDADES DE
ACUERDO A RANGOS
Rangos
100%-70%
69%-50%
49%-0%
Valoracin
ALTO
MEDIO
BAJO
Inyeccin SQL
Puertos Abiertos
Contraseas
PROMEDIO (%)
TOTAL
Valoracin
(%)
SERVER
MySQL
2005
5.X
66.67%
100%
83.34%
ALTO
100%
100%
100%
ALTO
66.67%
50%
58.34%
MEDIO
66.67%
100%
83.34%
ALTO
83.33%
100%
91.67%
ALTO
dbiles
Acceso a elementos de la BD
(tablas, procedimientos, vistas,
etc.)
Otros (Framework, Memoria, etc)
BIBLIOGRAFA
(1) A DIGITAL FORENSIC INVESTIGATIVE MODEL FOR BUSINESS
ORGANISATIONS [en lnea]
<http://icsa.cs.up.ac.za/issa/2006/Proceedings/Research/57_Paper.pdf >
2010 -01- 04
(2) ALMACENAMIENTO MYSQL [en lnea]
<http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=htt
p://dev.mysql.com/doc/refman/5.0/en/storage-requirements.html>
2009 - 01- 21
(3) ANLISIS FORENSE DIGITAL [en lnea]
<http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf>
2009- 10- 23
(4) AUTORIZACIN Y PERMISOS EN SQL SERVER (ADO.NET)
[En lnea] <http://msdn.microsoft.com/es-es/library/bb669084.aspx>
2009-12- 21
(5) BUENAS PRCTICAS EN LA ADMINISTRACIN DE LA
EVIDENCIA DIGITAL [en lnea],
<http://profesores.is.escuelaing.edu.co/asignaturas/sypi20071/FOLLETOS
%20Y%20MATERIAL%20DE%20ESTUDIO/forense/buenas%2520pract
ica%2520evidencia%2520digital%2520jcano.pdf> 2010- 01- 04
(6) BUFFER OVERFLOW [en lnea]
<http://www.owasp.org/index.php/Buffer_Overflow> 2010-02-10
(7) COMPUTO FORENSE [en lnea]
<http://es.wikipedia.org/wiki/C%C3%B3mputo_forense>2009-11- 23
(8) CREACIN DE USUARIOS Y ADMINISTRACIN DE PRIVILEGIOS
[en lnea]
<http://www.udb.edu.sv/Academia/Laboratorios/informatica/SQLServer/g
uia5SQLS.pdf> 2009-12- 21
(9) CRIPTOGRAFA Y SEGURIDAD INFORMTICA [en lnea]
<http://materias.fi.uba.ar/6669/alumnos/20071/Informatica%20Forense%20-%G3.pdf > 2009- 12 -21
(10) CROSS XXS [en lnea]
< http://advanced-rar-password-recovery.softonic.com/>
2009- 01- 21
(11) CURSO SOBRE DELITOS INFORMTICOS [en lnea]
<http://curso-sobre-delitos-informticos-1221967231432923-8.ppt>
2009- 10- 21
(12) DELITOS INFORMTICOS [en lnea]
<http://www.derechoecuador.com/index.php?option=com_content&task=v
iew&id=3925&Itemid=426>
2009 -10 -23
(13) DETECTANDO ROOTKITS LINUX [en lnea]
<http://www.uned.es/csi/sistemas/secure/seguridad/docs/rootkitlin.htm>
2010- 02- 10
(14) ELECTRONIC CRIME SCENE INVESTIGACIN [en lnea],
<http://www.ncjrs.gov/pdffiles1/nij/187736.pdf > 2010- 01- 04
(15) ENCRIPCIN DE DATOS CON SQL SERVER 2005 [en lnea]
<http://gerardoramosun.wordpress.com/2007/04/29/encripcin-de-datoscon-sql-server-2005/> 2010-02-10
(16) GUIDE TO INTEGRATING FORENSICS INTO INCIDENT
RESPONSE [en lnea] <http://csrc.nist.gov/publications/nistpubs/80086/SP800-86.pdf> 2010- 01- 05
(17) INFORMTICA FORENSE: GENERALIDADES, ASPECTOS
TCNICOS Y HERRAMIENTAS [en lnea] <http://w
ww.criptored.upm.es/guiateoria> 2009-10-21
(18) INTEGRIDAD Y SEGURIDAD EN LOS SISTEMAS DE BASES DE
DATOS [en lnea]
<http://alfa.facyt.uc.edu.ve/computacin/pensum/cs0347/download/exposi
cines2005-2006/Integridad%20y%20Seguridad.pdf> 2009- 10- 21
(19) INTRODUCCIN A LA INFORMTICA FORENSE [en lnea]
<http://www.acis.org.co/fileadmin/Revista_96/dos.pdf> 2009-10-23
(20) INYECCIN SQL EN MICROSOFT SQL SERVER [en lnea] <
http://jbyte-security.blogspot.com/2009/06/inyeccin-sql-en-microsoft-sqlserver.html> 2010- 02- 10