2. Análisis forense y herramientas
La auditoría forense o informática forense
Es la aplicación de técnicas científicas y
analíticas especializadas a infraestructura
tecnológicas que permiten: identificar,
preservar, analizar y presentar datos que sean
válidos dentro de un “proceso legal”.
Se persigue la búsqueda de evidencias
Antonio Ramos / Jean Paúl García
2008/2009 2
3. Análisis forense y herramientas
Dichas técnicas incluyen:
• Reconstruir el bien informático.
• Examinar datos residuales.
• Autenticar datos.
• Explicar las características técnicas del
uso aplicado a los datos y bienes
informáticos.
Antonio Ramos / Jean Paúl García
2008/2009 3
4. Análisis forense y herramientas
El análisis forense informático será siempre
un proceso reactivo que la organización
acomete ante eventuales problemas de
seguridad interna o externa.
En mucha ocasiones intentando que sus resultados
“objetivos” tengan un valor legal como evidencias
antes un tribunal.
Este proceso podrá o no podrá finalizar de este modo.
Antonio Ramos / Jean Paúl García
2008/2009 4
5. Análisis forense y herramientas
Razones por la cuales será necesario el
análisis forense:
Sospechas de actos no autorizados dentro de la
organización.
Ataques contra los sistemas informáticos de la
organización.
Sustracción de información sensible o confidencial de
la organización.
Intentar probar autorías o no autorías ante una
acusación.
Antonio Ramos / Jean Paúl García
2008/2009 5
6. Análisis forense y herramientas
Se analizarán las dos principales vertientes
1. Análisis forense de dispositivos de
almacenamiento en búsqueda de
evidencias.
2. Análisis forense en sistemas telemáticos
orientado a la detección de actividades
no autorizadas.
Nota: tener en cuenta que aunque las herramientas utilizadas
podrán variar de una a otra los pasos del proceso de análisis a
seguir tienen la misma estructura y son requisitos de este.
Antonio Ramos / Jean Paúl García
2008/2009 6
7. Análisis forense y herramientas
Análisis forense de dispositivos de almacenamiento en
búsqueda de evidencias
El proceso es el siguiente:
- Identificación.
- Preservación.
- Recuperación y Análisis.
- Presentación de resultados objetivos.
- Destrucción segura del bien clonado (información).
Antonio Ramos / Jean Paúl García
2008/2009 7
8. Análisis forense y herramientas
Identificación
Es muy importante conocer los antecedentes,
situación actual y el proceso que se quiere
seguir para tomar la mejor decisión a la hora de
la búsqueda de información.
A su vez resulta crítico tener información sobre el
equipo informático, posición y uso en la red a si
como datos relativos a los problemas detectados
que evidenciaron la necesidad de la auditoria
forense.
En esta etapa debe quedar claro el procedimiento
a seguir en función de los datos aportados.
Antonio Ramos / Jean Paúl García
2008/2009 8
9. Análisis forense y herramientas
Preservación
Este paso incluye la revisión y generación de un
clonado bit a bit del dispositivo (imagen o cd
...) que vaya a ser estudiado.
Es imprescindible salvaguardar la integridad de
los datos realizando una comprobación del
checksum del original y de la copia creada.
Antonio Ramos / Jean Paúl García
2008/2009 9
10. Análisis forense y herramientas
Se deberá trabajar en todo momento sobre la
copia.
Si es posible se trabajará de tal forma que no se
modifique nada de la imagen creada.
El original deberá guardarse y permanecer bajo
custodia.
Antonio Ramos / Jean Paúl García
2008/2009 10
11. Análisis forense y herramientas
Dentro de esta etapa se pueden definir los
siguientes pasos:
1. Montaje del dispositivo.
2. Obtener las particiones del dispositivo.
3. Realizar la suma de verificación (checksum)
del dispositivo original objeto de la auditoria.
4. Creación de una imagen para trabajar con ella
(clonado).
5. Una vez realizado el clonado se comprobará el
checksum obtenido con el checksum del
original.
Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso
antes de saltar a la siguiente etapa.
Antonio Ramos / Jean Paúl García
2008/2009 11
12. Análisis forense y herramientas
Para la realización del clonado del
dispositivo objeto del análisis forense, se
podrá utilizar:
Software específico para la generación de clonados e
imágenes.
Hardware específico desarrollado para el clonado de
dispositivos.
Nota: Las diferencias pueden ser notables en tiempos empleados
en realizar la operación, facilidad de uso y precio, aunque los
resultados deben de ser los mismos.
Antonio Ramos / Jean Paúl García
2008/2009 12
13. Análisis forense y herramientas
Recuperación
En este paso se utilizarán distintas herramientas
diseñadas para la recuperación de datos
borrados/perdidos en el dispositivo.
Se recomienda el utilizar más de una herramienta de
manera de asegurar con las máximas garantías la
recuperación de todo dato del dispositivo que
pudiera ser accedido.
Antonio Ramos / Jean Paúl García
2008/2009 13
14. Análisis forense y herramientas
Es importante el número de herramientas
comerciales y de código abierto disponibles
para la recuperación de datos, siempre
dependerá del tipo de formato del dispositivo a
auditar y del gusto del auditor.
Entre ellas:
EnCase (evaluada entre las mejores herramientas existentes por sus altas
prestaciones).
Sleunthkit con su entorno web Autopsy (Una posible alternativa de
código libre a EnCase)
OndataRecoverySoft.
Herramientas para Webmailrecovery.
Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel,
etc.).
Antonio Ramos / Jean Paúl García
2008/2009 14
15. Análisis forense y herramientas
Análisis
Proceso de aplicar técnicas científicas y analíticas
a los medios duplicados por medio del proceso
forense para poder encontrar pruebas de ciertas
conductas.
Antonio Ramos / Jean Paúl García
2008/2009 15
16. Análisis forense y herramientas
Se pueden realizar búsquedas de:
Cadenas de caracteres, fechas, horarios, palabras clave, etc.
Acciones específicas del o de los usuarios de la máquina como son el
uso de dispositivos de USB (marca, modelo).
Búsqueda de archivos específicos.
Recuperación e identificación de correos electrónicos.
Recuperación de los últimos sitios visitados, recuperación del caché del
navegador de Internet, etc.
Búsquedas realmente avanzadas mediante el uso de scripting si se esta
auditando desde un sistema Linux como puede ser Backtrack.
Todas estas operaciones se pueden realizar con comandos
propios del sistema operativo GNU/Linux y están
incluidas en los paquetes de software comercial.
Antonio Ramos / Jean Paúl García
2008/2009 16
17. Análisis forense y herramientas
También a la hora de hacer una auditoría forense
uno de los recursos que nos va a dar
información relevante y probablemente
información crítica para nuestro trabajo son los
ficheros de logs de los distintos sistemas
operativos.
En sistemas Windows estos se pueden encontrar en
“c:windowssystem32config” .
En sistemas *NIX los logs se pueden encontrar en “/var/log”.
Nota: También se comentará la importancia de los logs generados y
guardados en servidores, dispositivos, servicios y bases de datos.
Antonio Ramos / Jean Paúl García
2008/2009 17
18. Análisis forense y herramientas
Presentación
Una vez obtenidas las evidencias ya sea de
archivos del sistema o archivos recuperados se
debe realizar un informe que cubra todo el
proceso realizado explicando paso a paso lo
acontecido y las pruebas encontradas así como
la metodología utilizada.
Antonio Ramos / Jean Paúl García
2008/2009 18
19. Análisis forense y herramientas
Es importante que este informe no este cargado
de tecnicismos y sea relativamente fácil de
leer y entender por cualquier persona no
especializada en informática, ya que los
análisis forenses pueden terminar generando
procesos judiciales en los que este informe
será una pieza clave en su desarrollo.
Antonio Ramos / Jean Paúl García
2008/2009 19
20. Análisis forense y herramientas
Destrucción segura del bien clonado
Será primordial si el bien clonado no va a
permanecer custodiado o no es demandado
por la empresa en el proceso, su correcta
destrucción y certificación de esta
destrucción.
Antonio Ramos / Jean Paúl García
2008/2009 20
21. Análisis forense y herramientas
Fuentes para consulta y herramientas:
Helix Linux: distribución especializada en análisis forense www.e-
fense.com/helix
Fire Linux: http://biatchux.dmzs.com
The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php
Autopsy Forensics Browser.
http://www.sleuthkit.org/autopsy/index.php
Sysinternals web site. http://www.sysinternals.com
Foundstone free forensic tools. http://www.founstone.com
National Software Referente Library. http://www.nsrl.nist.gov
Herramientas para manejar NTFS desde Linux. http://www.linux-
ntfs.org/doku.php?id=ntfsprogs
Y probablemente la URL mas importante http://www.google.com
Antonio Ramos / Jean Paúl García
2008/2009 21
22. Análisis forense y herramientas
Desarrollo práctico con los alumnos de algunas
fases del proceso forense y uso de herramientas
Prueba de concepto
Antonio Ramos / Jean Paúl García
2008/2009 22