![Page 1: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/1.jpg)
Algunas Herramientas Linux de Análisis Forense
Italo Foppiano ReyesDirección de Tecnologías de Información
Universidad de Concepción
![Page 2: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/2.jpg)
Temario
● Motivación● Introducción● Conceptos básicos● Recopilación de información● Comandos básicos● Sleuthkit
– Lineas de tiempo
● Autopsy– Análisis de la información
![Page 3: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/3.jpg)
Temario
● Conclusiones● Comentarios● Preguntas
![Page 4: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/4.jpg)
Motivación
● Basta pocos minutos conectado a Internet para sufrir un ataque
● Poca inversión en seguridad● Solo conociendo qué hizo un atacante es
posible prevenir futuros ataques● Inversión de tiempo para análisis forense es
alto– Por 1 hora atacante => 10 horas de administrador
de sistemas o más
![Page 5: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/5.jpg)
Motivación
● Esfuerzos internacionales de promover el Análisis Forense– Reto Forense Hispano: organizado por UNAM-
CERT y RedIRIS
– Honeypot Proyect
● Poca participación nacional– Ningún Chileno en Reto V1, 2 y 3
![Page 6: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/6.jpg)
Introducción● Objetivo es proveer un resumen de algunas
herramientas linux para el análisis de sistemas post-mortem
● Incremento explosivo de Internet en las últimas décadas ha provocado un incremento similar en la frecuencia de ataques
● A medida que evoluciona la red, también evolucionan los atacantes
● A pesar del incremento anterior poco varía la forma en que los sistemas almacenan la información– Sugiere vigencia de estas técnicas
![Page 7: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/7.jpg)
Conceptos Básicos
● “rm” en UNIX normalmente significa pérdida de información– Los sistemas de archivos modernos evitan la
fragmentación, aun bajo uso intensivo
– La información borrada permanece por mucho tiempo
– Información que varía frecuentemente suele reutilizar el espacio de almacenamiento
– Actividad poco usual suele registrarse en lugares poco usuales, por lo que pueden permanecer por mucho tiempo
![Page 8: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/8.jpg)
Persistencia de la Información
● Según experiencia de Vietse Venema– De un conjunto de discos duros usados se pudo
rescatar el 70% de la información
– La mayor parte de la información permanece inalterable, lo que es muy útil al momento de realizar un análisis forense.
![Page 9: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/9.jpg)
Conceptos Básicos
![Page 10: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/10.jpg)
Conceptos Básicos
● Tiempos MAC– No tiene nada que ver con McDonald
● Atributos de tiempo asociados a cualquier archivo o directorio en sistemas de archivos Unix y Windows.– mtime: instante en que un archivo o directorio fue
modificado por última vez
– atime: instante en que un archivo o directorio fue accesado por última vez
– ctime: instante en que un archivo o directorio fue creado
![Page 11: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/11.jpg)
Recopilación de Información
● Para obtener conclusiones precisas se requiere de información completa
● Sin embargo existe volatilidad en la información– Requiere determinar qué información interesa
● Aplica el principio de incertidumbre de Heisenberg– No es posible capturar toda la información en linea
sin alterar el estado actual del sistema
● No necesariamente se requiere toda la información
![Page 12: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/12.jpg)
Recopilación de Información
● Capas e ilusión– Todo sistema computacional posee capas de
abstracción● Ej. lo desplegado en pantalla es una representación del
contenido de un archivo, que a su vez e una representación de una secuencia de bytes
– Una abstracción genera una ilusión que nos ayuda a comprender mejor
– A medida que se desciende en las capas de abstracción la información se hace más precisa , pero a su vez menos significativa
– Precisión v/s ambigüedad como consecuencia
![Page 13: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/13.jpg)
Recopilación de Información
● Capturando la Información del sistema de archivos– Se requiere evitar alterar la información de acceso
de los archivos
– Se desea copiar los archivos borrados
● Se prefiere copiar la información a otro disco si es posible o a través de la red– Ej dd if=/dev/hda1 bs=100k
![Page 14: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/14.jpg)
Recopilación de Información
● Se sugiere bootear con un sistema confiable– Ej. knoppix
– Usar “nc” para enviar contenido a otro sistema mediante una red confiable
– Ej. ● dd if=/dev/hda1 bs=100k | nc -w 1 host_receptor 1234
![Page 15: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/15.jpg)
Recopilación de Información
![Page 16: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/16.jpg)
Recopilación de Información
![Page 17: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/17.jpg)
Recopilación de Información
● Protegiendo la imagen– md5sum imagen >imagen.md5
● Montando la imagen en la máquina de análisis● No se desea modificar la información● No se desea que se ejecute programas
– Ej. mount imagen /victima -t ext3 -o loop, noexec,ro
– No es indispensable para algunas herramientas de análisis forense como TCT (The Coroners Toolkit)
![Page 18: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/18.jpg)
Comandos Básicos
● Comandos simples de Unix– dd, strings, ldd, grep
● Caso real utilizando grep– Ataques simples por puerto 80
– Toda actividad concentrada en logs de apache
– Linea de tiempo
– Espectro del ataque
– Ej.
![Page 19: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/19.jpg)
Sleuthkit
● Sleuthkit– Conjunto de herramientas para el análisis forense
basado en el Coroners Tool Kit (Wietse Venemas & Dan Farmer)
– Basadas en linea de comando
– Permite accesar una imagen sin tener que montarla
– Procedimiento algo engorroso
– Ej de caso de prueba
![Page 20: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/20.jpg)
Autopsy
● GUI para sleuthkit● Permite automatizar algunas tareas● Gestiona el estudio de un caso● Permite generar reportes● Paquete recomendado junto con sleuthkit● Ej.
![Page 21: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/21.jpg)
Conclusiones
● Es posible realizar un análisis simple con herramientas básicas de *unix
● Un análisis exhaustivo demanda bastante tiempo y dependerá de la experiencia del investigador
● Existen herramientas OpenSource muy buenas que facilitan el análisis forense
● Linux es una plataforma flexible y adecuada par realizar análisis forense
![Page 22: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/22.jpg)
Comentarios
● Es necesario más investigadores forenses● Existen aplicaciones comerciales muy buenas
para el análisis forense– EnCase:
● Para window$
● Existen empresas comerciales que ofrecen servicio de análisis forense y recuperación de información– ¿nicho de mercado poco explotado?
![Page 23: Algunas Herramientas Linux de Análisis Forenseifoppian/seguridad/forensics.pdf · Objetivo es proveer un resumen de algunas herramientas linux para el análisis de sistemas post-mortem](https://reader034.vdocuments.co/reader034/viewer/2022052004/6017186cf5f9ca102f66cae0/html5/thumbnails/23.jpg)
Preguntas
● ¿?