Search for in Google by Dino

Google Custom Search

sábado, 16 de julio de 2011

Metodología de Análisis Informatica Forense



Hol@ amigos,

Les cuento que he decidido subir algunos de mis artículos, los cuales considero interesantes, que inicialmente fueron titulares de portada en otras Comunidades y sitios Web.  

Que aún no se por que razón, motivo o circunstancia nunca hicieron parte de mi Blog!!!   ;'(

Pero no es tarde para incluirlos. Así que adelante e iniciamos con este articulo de  Análisis en Informática Forense.

En este articulo describiremos de forma practica, como utilizar una Metodología de Análisis forense para responder a un incidente.


Identificación:

  • En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna.
  • Obtener por escrito la autorización para iniciar la Forense (Investigación de equipos). Acuerdos de confidencialidad.
  • Documentarse de todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. La cual determinara el curso de acción a seguir en la Investigación.
  • Organizar y definir el Team de Investigación, estableciendo Limites, funciones y responsabilidades.
  • Realice una Investigación preliminar (documentela) que le permita describir la situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación.
  • Identificar el Impacto y la sensibilidad de la información ( de clientes, financieros, comerciales, de Investigación y Desarrollo, etc)
  • Analizar el Impacto de los negocios a traves de la investigación del Incidente. Como, tiempos de inactividad, costos de equipos afectados o dañados, perdida en ingresos, costos de recuperación, perdida de información confidencial, perdida de credibilidad e imagen, etc.
  • Identificar la topología de red y tipología de red, equipos afectados ( servidores, aplliance, UMT, estaciones, Sistemas Operativos, Router, Switches, IDS’s, etc)
  • Identificar los dispositivos de almacenamiento o elementos informáticos (Discos Duros, Pen drive, memorias, tarjetas flash, Tapes, Zip Disk, Opticos, Disquettes, Cds, Dvd, etc) que se consideren comprometidos y sean determinados como evidencia, su marca, modelo, características, seriales, etc.
  • Para nuestro caso, obviaremos los procedimientos a ejecutar sobre sistemas Vivos, por la continuidad en producción de los equipos en producción y su uso en las nuevas instalaciones, se han perdido los datos volátiles.
  • Identifique los posibles implicados o funcionarios que tengan relación con la investigación y efectué entrevistas, con usuarios o administradores responsables de los sistemas, documente todo y trate de lograr un conocimiento total de la situación.
  • Realiza una recuperación de los logs de los equipos de comunicación y dispositivos de red, involucrados en la topología de la red.
El producto final de esta fase, debe entregar un documento detallado con la información que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final.
Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando una bitácora de los procesos que se llevan a cabo y el embalaje de la Evidencia. Determinar

Quien?, Que?, Donde?, Por que? mantener una copia con la evidencia, Como?, Cuando?

  • Quien es el primero en tener la evidencia?
  • Donde, cuando y quien es el primero que tiene la evidencia
  • Donde, cuando y quien examino la evidencia
  • Quien va a tener custodia de la evidencia y por cuanto tiempo la tendrá
  • Quien y como se embalo y almaceno la evidencia
  • Cuando se realiza el cambio de custodia y como se realiza la transferencia

Adquisición:

En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la información de la evidencia sea igual a la original.


Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.
Iniciar una Bitácora, que nos permita documentar de manera precisa identificar y autenticar los datos que se recogen, tipo:
  • ¿Quién realiza la acción y por qué lo hicieron.
  • ¿Qué estaban tratando de lograr?
    ¿Cómo se realiza la acción, incluidas las herramientas que utilizaban y los procedimientos que siguieron.
    Cuando se realizó la acción (fecha y hora) y los resultados.
De igual forma, se toman otras fuentes de información de los sistemas vivos, los datos volatiles como:
  • Cache del Sistema
  • Archivos temporales
  • Registros de sucesos.
  • Registros de internos y externos que los dispositivos de red, tales como firewalls, routers, servidores proxy,etc.
  • Logs del sistema, Aplicaciones.
  • Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, información de la memoria y el kernel)
  • Registros remotos e información de monitoreo relevante
Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada (ver anexo de herramientas), Y firmar su contenido con un hash de MD5 o SHA1, generando así el segundo original, apartir de este se generaran las copias para el Análisis de datos, cada copia debe ser comprobada con firmas digitales nuevamente de MD5 o SHA1. Documente la evidencia con el documento del embalaje (y cadena de custodia) que puedan garantizar que se incluye información acerca de sus configuraciones. Por ejemplo, anote el fabricante y modelo, configuración de los puentes, y el tamaño del dispositivo. Además, tenga en cuenta el tipo de interfaz y de la condición de la unidad.
Importante considerar las buenas practicas para conservar la información y la evidencia.
  • Asegurar de manera física un lugar para almacenar los datos, evitando su manipulación. No olvide documentarlo.
  • Proteger los equipos de almacenamiento de los campos magnéticos (estática).
  • Realice mínimo el segundo original y una copia del segundo original para el análisis y almacene el segundo original en un sitio seguro

  • Nuevamente, no olvide actualizar el documento de Cadena de custodia (incluye información como el nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que echa un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva).
  • Se pretende que esta información sea:
  • Autentica
  • Correcta
  • Completa
  • Convincente
Para que en caso de un proceso sea legal, admisible.

ANÁLISIS DE DATOS:

3925957107 0b927967e3 o Metodología Básica de Análisis Forense – Parte 3 de 4

Seguiremos los tres pasos de la anterior figura:

Análisis de Datos de la Red:
Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red.

Análisis de los Datos del Host:
Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving o Recuperación de Datos, y definir criterios adecuados de búsqueda, debido a que lo mas probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda Posteriormente definiremos a que archivos  le realizaremos la búsqueda

Análisis de los Medios de Almacenamiento:
Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información Tengamos en cuenta las siguientes buenas practicas:
  1. No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
  2. Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar).
  3. Preferiblemente descomprimir los archivos con sistemas de compresión
  4. Crear una estructura de Directorios y Archivos recuperados.
  5. Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y se puede comparar su hash (archivos del sistema operativo y aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/,
O sitios como:
http://www.fileformat.info/resolución/web/filespecs/index.htm
http://www.wotsit.org/
http://www.processlibrary.com/
  1. Analizar archivos de Booteo y configuración del sistema, el registro del sistema
  2. Información de Login / Logout del sistema, nombres de usuario e información del AD (Directorio Activo)
  3. Software instalado, actualizaciones y parches.
  4. Buscar archivos con NTFS ADS (Alterna Data Stream)
10.  Estudio de las Metadata (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,etc).
11.  La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original.

PREPARACIÓN DEL INFORME

3925959269 1379c62579 o Metodología Básica de Análisis Forense – Parte 4 de 4  

Es la fase final y la mas delicada e importante la cual sera el documento que sustentara una prueba en un proceso legal, básicamente tener en cuenta estos dos pasos:
Organización de la Información:
  1. Retomemos toda la documentación generada en las fases de la metodología e igual cualquier información anexa como notas, antecedentes o informe policial.
  2. Identifiquemos lo mas importante y pertinente de la investigación
  3. Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para presentar en el informe.
Escribir el Informe Final:
Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no tan técnico).
Debe contener como mínimo:
Propósito del Informe. Explicar claramente el objetivo del informe, el público objetivo, y por qué se preparó el informe.
Autor del informe. Todos los autores y co-autores del informe, incluyendo sus posiciones, las responsabilidades durante la investigación, y datos de contacto.
Resumen de Incidentes. Introducir el incidente y explicar su impacto. El resumen deberá estar escrito de manera que una persona no técnica, como un juez o jurado sería capaz de entender lo que ocurrió y cómo ocurrió.
Pruebas. Proporcionar una descripción de las pruebas de que fue adquirido durante la investigación. Cuando el estado de la evidencia que describen la forma en que fue adquirida, cuándo y quién lo adquirió.
Detalles ·. Proporcionar una descripción detallada de lo que la evidencia se analizó y los métodos de análisis que se utilizaron. Explicar los resultados del análisis. Lista de los procedimientos que se siguieron durante la investigación y de las técnicas de análisis que se utilizaron. Incluir una prueba de sus resultados, tales como los informes de servicios públicos y las entradas de registro. Justificar cada conclusión que se extrae del análisis. Sello documentos de apoyo, el número de cada página, y se refieren a ellos por el nombre de la etiqueta cuando se examinan en el análisis. Por ejemplo, “registro de Firewall de servidor, documento de apoyo D.” Además, proporcionan información sobre aquellos individuos que realizaron o participaron en la investigación. Si procede, proporcione una lista de testigos.
Conclusión. Resumir los resultados de la investigación. La conclusión debe ser específico de los resultados de la investigación. Citar pruebas concretas para demostrar la conclusión, pero no dan excesivos detalles acerca de cómo se obtuvieron las pruebas (tal información debe estar en la sección “Detalles”). Incluir una justificación para su conclusión, junto con las pruebas y la documentación. La conclusión debe ser lo más clara y sin ambigüedades como sea posible. En muchos casos, se declaró cerca del comienzo del informe, porque representa la información procesable.
Los documentos justificativos. Incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como diagramas de red, los documentos que describen los procedimientos de investigación de equipos usados, y un panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionar información suficiente para que el lector del informe para comprender el incidente tan completamente como sea posible. Como se mencionó anteriormente, la etiqueta de cada documento de apoyo con las letras y el número de cada página del documento. Proporcionar una lista completa de los documentos justificativos.
Si es probable que el informe será presentado a un público variado, considerar la creación de un glosario de términos utilizados en el informe. Un glosario es especialmente valiosa si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez o jurado debe revisar los documentos.


Espero sea de su agrado, y les de luces suficientes de como responder e iniciar una forensia (análisis informático forense).



Bytes


Dino.


Este informe es preparado  y adaptado para nuestra investigación forense con base en el
fundamental computer investigation guide for windows.

Publicado por http://hackinganddefense.blogspot.com/ 0 comentarios en 7:03 p.m.

sábado, 2 de julio de 2011

De Presa a Cazador / Localiza tu atacante (Campus Party 2011)



Saludos Amig@s,


Les cuento, que igual que en Junio del año pasado (2010), para este año 2011 (27 Junio - 3 de Julio). Tuve el placer de participar en el magno evento de Campus Party 2011 en la Ciudad de Bogota participando como ponente con la charla "De Presa a Cazador / Localiza tu atacante" y en el Lanzamiento del Reto Forense apoyando a mi amigo Dragon (JAR) en el seguimiento y Evaluacion del Reto Forense.

La charla es solo una prueba de concepto de un proceso que he venido realizando con varias técnicas de Footprinting o Recolección de Información Competitiva Inteligente, mejor dicho miralo y me cuentas si te gusta.


De presa a cazador Campus Party 2011

View more presentations from d7n0s4ur70.


Como ven aun tenemos pendiente la evolucion y generación de dos artículos bien interesantes, que espero separar el tiempo suficiente para documentarlos y subirlos a el Blog.

En cuanto al vídeo que tengo, buscare la forma mas practica para subirlo y compartirlo.

Agradecimientos especiales a mi amigo Alberto Gil y a Futura Networks por esta grandiosa oportunidad en este maravilloso espacio de ocio, aprendizaje y entretenimiento.

Premiacion campus party colombia 2011




Espero les sea de su agrado cualquier comentario, sugerencia, aporte, critica constructiva sera Bienvenida,


Bytes


Dino

Publicado por http://hackinganddefense.blogspot.com/ Etiquetas: , 0 comentarios en 2:17 a.m.

Suscribirse a: Entradas (Atom)