curso de perfeccionamiento profesional en: seguridad de la...

Curso de Perfeccionamiento Profesional en:Seguridad de la Información

Trayecto Programático 04: Módulo 02 - Análisis Forense en Computación (parte 2)

Prof. Miguel Torrealba S.([email protected])

Junio 2018Coordinación del Programa Nacional de Formación Avanzada

mailto:[email protected]

“El principal problema conceptual en computación forense es la necesidad de entender que los datos que intentamos capturar no son estáticos, más si dinámicos.”

Huebner, Bem y Bem● Computer Forensics – Past, Present

● And Future (2007)

Recolección de Datos

El viejo instrumento de software y también comando tcpdump es una herramienta restringida y útil para capturar tráfico de la red.

● # man tcpdump● Muestra el contenido de la herramienta en el manual En-

Línea del sistema.●

● # tcpdump -D● Permite listar las interfaces que reconoce el instrumento.

Estas también se pueden consultar con otras herramientas como: “ifconfig -a” y “netstat -i”

●

● # tcpdump -i wlan0 -w ./trafico.log● Habilita la captura de tráfico desde la interfaz “wlan0” y

registra lo obtenido en un archivo con ruta de acceso relativo al directorio local denominado: “trafico.log”

Este material pudiera resultarle de ayuda:

Una interfaz de usuario orientada a caracteres.

● Con CTRL-C se termina la captura:

● ¿Cuál es el formato de archivo capturado?

● Use Wireshark® para examinar el contenido de “trafico.log”:

Ejercicio #0: Use el comando ping y tcpdump con la opción -A.

● # ping www.google.com● Establece si el sitio señalado es alcanzable desde el

sistema local. Se apoya en mensajes eco del protocolo ICMP.

●

●

●

●

●

●

● # tcpdump -A● Activa la captura del tráfico local e intenta mostrar el

contenido en formato ASCII. Suprime el encabezado del nivel E2.

Ejercicio #1: Formule un mecanismo con un Servidor web que le permita ver el contenido del tráfico HTTP.

Ejercicio #1 (cont...): Como ayuda se le sugiere considerar la siguiente información:

Tráfico en Redes

Ejercicio #2: Explique el contenido de las 3 siguientes capturas de pantallas.

Ejercicio #2 (cont...): Explique el contenido de las 3 siguientes capturas de pantallas.

El contenido muestra en la realidad la negociación de una conexión TCP a través del “Three Way Handshake”.

¿Se está en presencia de una comunicación HTTP persistente o no persistente?

Ejercicio #3: Usando “Wireshark” cargue el archivo “trafico_0.cap”. Luego, examine su contenido y responda las siguientes preguntas:

● 1.- ¿Cuál es el porcentaje de paquetes vinculados con el protocolo FTP?

●

● 2.- ¿Cuál es el porcentaje de bytes transferidos bajo el protocolo FTP?

●

● 3.- Formule un filtro que muestre únicamente en pantalla los paquetes cuya dirección IP origen es 168.83.9.41 y la dirección IP destino es 192.168.1.10

●

● 4.- ¿Cual significado le asocia usted al paquete de red número 189?

Ejercicio #3 (cont...): Usando “Wireshark” cargue el archivo “trafico_0.cap”. Luego, examine su contenido y responda las siguientes preguntas:

Ejercicio #4: Cargue el archivo “trafico_1.cap”. Luego, examine su contenido y exprese que cree que está observando el usuario que capturó el tráfico.

● 1.- ¿Qué significado tienen los registros numeros 1 y 2?●

● 2.- Para el registro número 7 que está vinculado con el protocolo IPP ¿cuáles son las banderas activas en el datagrama?

●

● 3.- En general ¿qué operación quedó registrada en la captura?

Ejercicio #4 (cont...): Cargue el archivo “trafico_1.cap”. Luego, examine su contenido y exprese que cree que está observando el usuario que capturó el tráfico.

Ejercicio #5: Cargue el archivo “trafico.log”. Luego, examine su contenido y exprese que cree que está observando el usuario que capturó el tráfico.

Ejercicio #5 (cont...): Cargue el archivo “trafico.log”. Luego, examine su contenido y exprese que cree que está observando el usuario que capturó el tráfico.

¿Qué concluye sobre el análisis de tráfico de la red?

Comandos de Linux para el bien y para el mal

Ejercicio #6: Discuta los siguientes códigos:

Ejercicio #6 (cont): Discuta los siguientes códigos:

Ejercicio #7: Elabore una forma de automatizar la supervisión con “Wireshark” y “tcpdump”.

Ejercicio #7 (cont...): Elabore una forma de automatizar la supervisión con “Wireshark” y “tcpdump”.

● 1 #include "unp.h"● 2 #include <syslog.h>● 3 #define MAXFD 64● 4 extern int daemon_proc; /* defined in error.c */● 5 int 6 daemon_init(const char *pname, int facility)● 7 {● 6 int i;● 7 pid_t pid;● 8● 9 if ( (pid = Fork()) < 0)● 10 return (-1);● 11 else if (pid)● 12 _exit(0); /* parent terminates */● 13 /* child 1 continues... */● 14 if (setsid() < 0) /* become session leader */● 15 return (-1);● 16 Signal(SIGHUP, SIG_IGN);● 17 if ( (pid = Fork()) < 0)● 18 return (-1);● 19 else if (pid)● 20 _exit(0); /* child 1 terminates */● 21 /* child 2 continues... */● 22 daemon_proc = 1; /* for err_XXX() functions */● 23 chdir("/"); /* change working directory */● 24 /* close off file descriptors */● 25 for (i = 0; i < MAXFD; i++)● 26 close(i);● 27 /* redirect stdin, stdout, and stderr to /dev/null */● 28 open("/dev/null", O_RDONLY);● 29 open("/dev/null", O_RDWR);● 30 open("/dev/null", O_RDWR);● 31 openlog(pname, LOG_PID, facility);● 32 return (0); /* success */● 33 }

LOS DILEMAS DEL TIEMPO

Ejercicio #8: Explique lo que muestra la siguiente pantalla. Incluya los siguientes conceptos: File system, Sellos de Tiempo y Permisos.

Ejercicio #9: Discuta la probabilidad de que esto ocurra. Consulte instrumentos como “SQLite Editor”

Ejercicio #9 (cont...): Discuta la probabilidad de que esto ocurra. Consulte instrumentos como “SQLite Editor”

Extraído de la página de sQLite Editor 2.2.1:

“Allows you to edit and delete records in any SQLite database on your phone. For root users, lists all installed apps which have local internal databases. You can then select an app and edit any of its databases.Fully integrated with Root Explorer. When browsing files in Root Explorer, selecting a database file automatically launches this app instead of the database viewer that is built into Root Explorer.Non-root users can browse and edit databases on the SD card.Data is displayed in a smooth scrollable grid and records can be filtered on any field value.To quickly get to regularly accessed databases you can either add them to the bookmarks list or look on the recently accessed tab.”

Distribución forense de Linux

Ejercicio #10: Averigue cómo colocar una distribución forense en una unidad de disco portátil USB o CD-ROM.

Ejercicio #10 (cont...): Averigue cómo colocar una distribución forense en una unidad de disco USB.

● 1.- Requiere una imagen ISO con el sistema operativo a instalar.

●

● 2.- Disponga de una unidad de memoria removible con puerto USB que pueda almacenar la versión del sistema a instalar.

●

● 3.- Suponga que la memoria flash está conectada en el dispositivo /dev/sdb0. Use el comando:

●

● “dd if=./kali.iso of=/dev/sdb0”●

● Puede emplear opciones como “bs” para indicar la cantidad de bytes a leer y escribir. Para mayor información haga “man dd”

Análisis Forense de un Disco

Ejercicio #11: Cree y elimine un archivo en un disco. Luego, usando alguna distribución forense de Linux, como por ejemplo Kali, recupere el mismo.

Ejercicio #11 (cont...): Cree y elimine un archivo en un disco. Luego, usando alguna distribución forense de Linux, como por ejemplo Kali, recupere el mismo.

Ejercicio #12: Plantee el mismo problema en un teléfono móvil/celular inteligente.

Ejercicio #12: Plantee el mismo problema en un teléfono móvil/celular.

curso de perfeccionamiento profesional en: seguridad de la...

Documents