Seguridad en Sistemas Informticos (SSI)

Anlisis forense

Carlos Prez Conde

Departament d'Informtica Escola Tcnica Superior d'Enginyeria Universitat de Valncia 1

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Bibliografa especfica

Forensic Discovery
D. Farmer, W. Venema Addison-Wesley

File System Forensic Analysis

B. Carrier Addison-Wesley

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Guin

Conceptos bsicos Anlisis de sistemas de ficheros Anlisis de programas malintencionados (malware)

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Qu es el anlisis forense?

Proceso cientfico (elaboracin y verificacin/refutacin de hiptesis) mediante el que

se se se se identifican posibles fuentes de evidencias preservan estas evidencias analizan (buscando respuestas a preguntas sobre un hecho) presentan las conclusiones y las evidencias que las sustentan

Objetivos
demanda legal investigacin judicial parte del proceso de seguridad

las evidencias pueden no ser vlidas en un juicio pero pueden ayudar a mejorar la seguridad

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Estilos de anlisis

Obtencin de evidencias
el funcionamiento del sistema las destruye el proceso de copia puede destruirlas

Cmo analizar un sistema? Vivo o muerto?

Estirar del cable de alimentacin? (muerto)

reduce las probabilidades de modificacin del sistema aumenta la aceptabilidad de las pruebas obtenidas reduce el riesgo de propagacin de daos destruye evidencias (procesos, ficheros abiertos, conexiones...)

Continuar con la ejecucin del sistema? (vivo)

permite (tal vez) aprender ms (honeypots) podemos confiar en los programas o el ncleo? ejecutar copias del disco en otra mquina (probablemente virtual)

El botn de pausa
mquinas virtuales, suspend-to-RAM, suspend-to-disk, shutdown
Carlos Prez, Dpto. de Informtica, ETSE, UVEG

14/05/07

Herramientas para el anlisis

EnCase, Guidance Software http://www.encase.com The Coroner's Toolkit (TCT), W. Venema, D. Farmer http://www.porcupine.org/forensics/tct.html The Sleuth Kit (TSK)/Autopsy, B. Carrier http://www.sleuthkit.org Helix Live CD, e-fense http://www.e-fense.com/helix/ Ms informacin:

http://www.e-evidence.info/vendors.html http://www.forensics.nl
Carlos Prez, Dpto. de Informtica, ETSE, UVEG

14/05/07

The Sleuth Kit (TSL) / Autopsy http://www.sleuthkit.org

Sistema de ficheros: fsstat Nombres de ficheros: ffind, fls Metadata: icat, ifind, ils, istat Data: dcat, dls, dstat, dcalc Registro (file system journal): jcat, jls Medios: mmls Imgenes: img_stat, img_cat Discos: disk_sreset, disk_stat Otros: hfind, mactime, sorter, sigfind
Carlos Prez, Dpto. de Informtica, ETSE, UVEG

14/05/07

Guin

Conceptos bsicos Anlisis de sistemas de ficheros Anlisis de programas malintencionados (malware)

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Obtencin de datos de discos duros

Nivel de abstraccin de la copia

copia de seguridad particin disco

Aspectos a considerar
gestin de errores generacin de resmenes digitales (MD5, SHA-1...) datos ocultos (ej: HPA, DCO en discos ATA) formato de la imagen compresin transmisin a travs de la red (integridad, confidencialidad)

Recomendado: cap. 3 de FS Forensic Analysis

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

14/05/07

Ejemplo: anlisis con Autopsy

Planteamiento
imagen del sistema de ficheros raz de una mquina con Linux detectar actividad inusual reciente

A destacar
generacin de un listado temporal de eventos identificacin de actividad sospechosa obtencin de evidencias

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

10

Guin

Conceptos bsicos Anlisis de sistemas de ficheros Anlisis de programas malintencionados (malware)

14/05/07

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

11