CAPTULO V

La ciencia humana consiste ms en destruir errores que en descubrir verdades. Scrates (470 AC-399 AC)

METODOLOGA DE TRABAJO PARA INVESTIGACIN

5.1. Metodologa de trabajo para investigacin en informtica forense. 5.2. Fase de identificacin. 5.3. Fase de preservacin. 5.4. Fase de anlisis. 5.5. Fase de documentacin y presentacin de las pruebas.

UTN FICA - EISIC

CAPTULO V

5.1. METODOLOGA DE TRABAJO PARA INVESTIGACIN EN INFORMTICA FORENSE

En la actualidad existen muchas metodologas para llevar a cabo un anlisis informtico forense.

A continuacin se presenta un modelo a seguir, elegido por la practicidad y eficiencia que ofrece, dicha metodologa se divide en cuatro fases. Estas son:

1. Identificacin 2. Preservacin 3. Anlisis 4. Documentacin y presentacin de las pruebas

IDENTIFICACIN

PRESERVACIN

ANLISIS

DOCUMENTACIN Y PRESENTACIN DE PRUEBAS

Figura. 5.1. Metodologa de trabajo para anlisis informtico forense

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

124

UTN FICA - EISIC

CAPTULO V

5.2. FASE DE IDENTIFICACIN

FASE DE IDENTIFICACIN Solicitud Forense Asegurar la escena Identificar las evidencias Prioridades del administrador Tipo de dispositivo Modo de almacenamiento

Figura. 5.2. Componentes Fase de Identificacin

La fase de identificacin se refiere a la recopilacin de informacin necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aqu se pregunta:

Qu informacin se necesita? Cmo aprovechar la informacin presentada? En qu orden ubico la informacin? Acciones necesarias a seguir para el anlisis forense?

El producto final de esta fase, debe entregar un documento detallado con la informacin que permita definir un punto de inicio para la adquisicin de datos y para la elaboracin del documento final.

La identificacin debe prever los desafos que se pasarn durante los procesos de las fases de preservacin y extraccin. Esta fase culmina con un Plan a seguir.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

125

UTN FICA - EISIC

CAPTULO V

5.2.1. Solicitud Forense La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecucin de un incidente y para ello solicita al equipo de seguridad la revisin del mismo, donde incluye toda la informacin necesaria para dar inicio al proceso de anlisis. La informacin incluida en el documento debe ser la siguiente: DESCRIPCIN DEL DELITO INFORMTICO Fecha del incidente Duracin del incidente Detalles del incidente INFORMACIN GENERAL rea Nombre de la dependencia Responsable del sistema afectado Nombres y Apellidos Cargo E-mail Telfono Extensin Celular Fax INFORMACIN SOBRE EL EQUIPO AFECTADO Direccin IP Nombre del equipo Marca y modelo Capacidad de la RAM Capacidad del disco duro Modelo del procesador Sistema operativo (nombre y versin) Funcin del equipo Tipo de informacin procesada por el equipo

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

126

UTN FICA - EISIC

CAPTULO V

Toda la informacin del incidente, la evidencia digital, copias o imgenes de la escena del crimen.

Reconocer un incidente mediante indicadores y determinar su tipo. Esto no est incluido dentro del anlisis forense, pero es significativo en los siguientes pasos.

Esta fase est dividida en dos procesos iniciales que son:

5.2.2. Asegurar la escena Para asegurar que tanto los procesos como las herramientas a utilizar sean las ms idneas se debe contar con un personal competente a quien se le pueda asignar la conduccin del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodologa.

5.2.3. Identificar las evidencias El siguiente paso y muy importante es la identificacin de la evidencia presentada que es la escena del crimen, la misma que estar sujeta a todos los procesos necesarios para la presentacin de resultados finales. La evidencia se clasificar segn:

5.2.3.1. Prioridades del administrador Las evidencias se pueden clasificar segn la prioridad del

administrador, las mismas estn basadas en la criticidad de los daos producidos por el incidente, una forma de clasificar los daos producidos es saber que tan crticos son, y se lo encuentra aplicando la siguiente frmula:

CRITICIDAD DE LOS DAOS

Extensin de = daos producidos +

Criticidad de los recursos afectados

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

127

UTN FICA - EISIC

CAPTULO V

La extensin de los daos producidos es: Graves.- Que el incidente produjo daos muy severos sobre los servicios o informacin. Moderados.- Que el incidente causo molestias y prdida de informacin. Leves.- Que el incidente producido no tiene mayor importancia, no se produjo ningn tipo de prdida pero si un corte o molestia en los servicios.

La criticidad de los recursos afectados es: Alta.- Los recursos afectados son muy importantes dentro de la institucin y como tal comprometen el normal funcionamiento y prestacin de servicios. Media.- Los recursos afectados causan molestias solo a cierta rea de la institucin. Baja.- Los recursos afectados causan ciertas molestias pero se puede seguir con el normal funcionamiento de los equipos.

En este punto se deben enumerar todas las funciones y servicios que el rea realiza y deben ser priorizados de acuerdo a la razn de ser de la institucin o ente afectado. Para cada prioridad se debe sealar cul es el tiempo mximo de espera para ser reanudados, adicionalmente, identificar los registros de datos e informacin vital para la operacin de las funciones y servicios. Un claro ejemplo de cmo obtener el valor critico de los daos producidos es utilizando las siguientes tablas:

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

128

UTN FICA - EISIC

CAPTULO V

Efectos del incidente y Recursos afectados Daos producidos Graves Moderados Leves Acceso no autorizado Servidor Web Servidor de archivos Servidor de aplicaciones Infeccin de virus Servidor Estacin de trabajo Etc.
Tabla. 5.1. Efectos del incidente y recursos afectados

Criticidad de los recursos afectados Alta Media Baja

Incidente

X X X

X X X

X X

X x

Estado de los recursos Criticidad de los recursos afectados Alta Graves Daos producidos Moderados Leves Muy Grave Grave Moderado Media Grave Moderado Leve Baja Moderado Leve Leve

Tabla. 5.2. Estado de los recursos

Prioridad del administrador Estado MUY GRAVE GRAVE MODERADO LEVE Prioridad 10 7 4 1

Tabla. 5.3 Prioridad del administrador

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

129

UTN FICA - EISIC

CAPTULO V

5.2.3.2. Tipo de dispositivo A las evidencias tambin se las puede clasificar segn el tipo de dispositivo donde se las encuentre como: Sistemas informticos Redes Redes Inalmbricas Dispositivos mviles Sistemas embebidos1 Otros dispositivos

5.2.3.3. Modo de almacenamiento A las evidencias tambin se las clasifica segn el medio de almacenamiento. Como pueden ser: Voltiles.- Aquellas que se perdern al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecucin, programas en ejecucin, usuarios

conectados, configuracin de red, conexiones activas, puertos abiertos, etc. No voltiles.- medios fsicos de almacenamiento como memorias flash, CD, discos duros.

Entonces el primer proceso del anlisis forense comprende la identificacin, bsqueda y recopilacin de evidencias. Se debe identificar qu cosas pueden ser evidencias, dnde y cmo est almacenada, qu sistema operativo se est utilizando. A partir de este paso, el equipo de seguridad puede identificar los procesos para la recuperacin de evidencias adecuadas, as como las herramientas a utilizar.

La denominacin de Sistemas embebidos (embedded) refleja que son una parte integral (interna) del sistema, y en general son dispositivos utilizados para controlar o asistir la operacin de diversos equipamientos.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

130

UTN FICA - EISIC

CAPTULO V

5.3. FASE DE PRESERVACIN

FASE DE PRESERVACIN Copias de respaldo de la evidencia Cadena de custodia

Figura. 5.3. Componentes Fase de Preservacin

Aunque el primer motivo de la recopilacin de evidencias sea la resolucin del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deber documentar de forma clara cmo ha sido preservada la evidencia tras la recopilacin.

En esta fase, es imprescindible definir los mtodos adecuados para el almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las huellas del crimen, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso.

5.3.1. Copias de la evidencia Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar tambin una suma de comprobacin de la integridad de cada copia mediante el empleo de funciones hash2 tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creacin de la copia, nombrar cada copia, por ejemplo COPIA A, COPIA B para distinguirlas claramente del original.

En informtica, Hash se refiere a una funcin o mtodo para generar claves o llaves que representen de manera casi unvoca a un documento, registro, archivo, etc.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

131

UTN FICA - EISIC

CAPTULO V

Si adems se extrae los discos duros del sistema para utilizarlos como evidencia, se debe seguir el mismo procedimiento, colocando sobre ellos la etiqueta EVIDENCIA ORIGINAL, incluir adems las correspondientes sumas hash, fecha y hora de la extraccin del equipo, datos de la persona que realiz la operacin, fecha, hora y lugar donde se almacen, por ejemplo en una caja fuerte.

Tener en cuenta que existen factores externos como cambios bruscos de temperatura o campos electromagnticos que pueden alterar la evidencia. Toda precaucin es poca, incluso si decide enviar esos discos a que sean analizados por empresas especializadas.

5.3.2. Cadena de custodia Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulacin de las copias, desde que se tomaron hasta su

almacenamiento. El documento debe contener la siguiente informacin: Dnde, cundo y quin examin la evidencia, incluyendo su nombre, su cargo, un nmero identificativo, fechas y horas, etc. Quin estuvo custodiando la evidencia, durante cunto tiempo y dnde se almacen. Cuando se cambie la custodia de la evidencia tambin se deber documentar cundo y cmo se produjo la transferencia y quin la transport.

Todas estas medidas harn que el acceso a la evidencia sea muy restrictivo quedando claramente documentado, posibilitando detectar y pedir responsabilidades ante manipulaciones incorrectas, intentos de acceso no autorizados o que algn otro dispositivo electromagntico se use dentro de un determinado radio.
Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

132

UTN FICA - EISIC

CAPTULO V

FASE DE ANLISIS Preparacin para el anlisis

Recuperacin de la secuencia temporal del ataque

Determinacin de cmo se realice el ataque Identificacin del atacante Perfil del atacante Evaluacin del impacto causado al sistema

Figura. 5.4. Componentes Fase de Anlisis

5.4. FASE DE ANLISIS

Antes de iniciar esta fase se deben preparar las herramientas, tcnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el anlisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores. Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, se inicia la fase ms laboriosa, el Anlisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la lnea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento.

Este anlisis se dar por concluido cuando se descubra cmo se produjo el ataque, quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el objetivo del ataque, qu daos causaron, etc. En el proceso de anlisis se emplean las herramientas propias del sistema operativo (anfitrin) y las que se prepararon en la fase de extraccin y preparacin.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

133

UTN FICA - EISIC

CAPTULO V

5.4.1. Preparacin para el anlisis Antes de comenzar el anlisis de las evidencias se deber:

1. Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar. 2. Trabajar con las imgenes que se recopil como evidencias, o mejor an con una copia de stas, tener en cuenta que es necesario montar las imgenes tal cual estaban en el sistema comprometido. 3. Si se dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendr al menos dos discos duros. 4. Instalar un sistema operativo que actuar de anfitrin y que servir para realizar el estudio de las evidencias. En esta misma estacin de trabajo y sobre un segundo disco duro, instalar las imgenes manteniendo la estructura de particiones y del sistema de archivos En otro equipo instalar un sistema operativo configurado

exactamente igual que el equipo atacado, adems mantener nuevamente la misma estructura de particiones y archivos en sus discos duros. La idea es utilizar este segundo equipo como conejillo de Indias y realizar sobre l pruebas y verificaciones conforme vayan surgiendo hiptesis sobre el ataque.

Si no se dispone de estos recursos, se puede utilizar software como VMware, que permitir crear una plataforma de trabajo con varias mquinas virtuales3. Tambin se puede utilizar una versin LIVE4 de sistemas operativos como Linux, que permitir interactuar con las imgenes montadas pero sin modificarlas. Si se est muy seguro de las posibilidades y de lo que va a hacer, se puede conectar los discos duros originales del sistema atacado a una estacin de trabajo independiente para intentar hacer un anlisis en caliente del sistema, se deber tomar la
3

VMware es un sistema de virtualizacin por software. Un sistema virtual por software es un programa que simula un sistema fsico con unas caractersticas de hardware determinadas. 4 Live Distro es un sistema operativo almacenado en un medio extrable, tradicionalmente un CD o un DVD, que puede ejecutarse desde ste sin necesidad de instalarlo en el disco duro de una computadora.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

134

UTN FICA - EISIC

CAPTULO V

precaucin de montar los dispositivos en modo slo lectura, esto se puede hacer con sistemas anfitriones UNIX/Linux, pero no con entornos Windows.

5.4.2. Reconstruccin de la secuencia temporal del ataque Si ya se tienen montadas las imgenes del sistema atacado en una estacin de trabajo independiente y con un sistema operativo anfitrin de confianza, se procede con la ejecucin de los siguientes pasos:

1. Crear una lnea temporal o timeline de sucesos, para ello se debe recopilar la siguiente informacin sobre los archivos: Marcas de tiempo MACD (fecha y hora de modificacin, acceso, creacin y borrado5). Ruta completa. Tamao en bytes y tipo de archivo. Usuarios y grupos a quien pertenece. Permisos de acceso. Si fue borrado o no.

Sin duda esta ser la informacin que ms tiempo llevar recopilar, pero ser el punto de partida para el anlisis, podra plantearse aqu el dedicar un poco de tiempo a preparar un script que automatizase el proceso de creacin del timeline, empleando los comandos que proporciona el sistema operativo y las herramientas utilizadas.

2. Ordenar los archivos por sus fechas MAC, esta primera comprobacin, aunque simple, es muy interesante pues la mayora de los archivos tendrn la fecha de instalacin del sistema operativo, por lo que un sistema que se instal hace meses y que fue comprometido recientemente presentar en los archivos
5

Timestamps, Modification date and time, Access, Creation, Deleted

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

135

UTN FICA - EISIC

CAPTULO V

nuevos, fechas MAC muy distintas a las de los archivos ms antiguos.

La idea es buscar archivos y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de

programas posteriores a la del sistema operativo y que adems se encuentren en rutas poco comunes. Hay que pensar que la mayora de los atacantes y sus herramientas crearn directorios y descargarn sus aplicaciones en lugares donde no se acostumbra buscar, como por ejemplo en los directorios temporales.

Primero hay que centrarse en buscar los archivos de sistema modificados tras la instalacin del sistema operativo, averiguar despus la ubicacin de los archivos ocultos, de qu tipo son, identificar tambin los archivos borrados o fragmentos de stos, pues pueden ser restos de logs y registros borrados por los atacantes. Aqu cabe destacar la importancia de realizar imgenes de los discos, pues se puede acceder al espacio residual que hay detrs de cada archivo, (recordar que los archivos se almacenan por bloques cuyo tamao de clster depende del tipo de sistema de archivos6 que se emplee), y leer en zonas que el sistema operativo no ve. Pensar que est buscando una aguja en un pajar, por lo que se deber ser metdico, ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado y compararla con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque.

3. Comenzar a examinar con ms detalle los archivos logs y registros que se examinaron durante la bsqueda de indicios del ataque, intentar buscar una similitud temporal entre eventos. Pensar que

Es un mtodo para el almacenamiento y organizacin de archivos de computadora y los datos que estos contienen, para hacer ms fcil la tarea encontrarlos y accederlos

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

136

UTN FICA - EISIC

CAPTULO V

los archivos log y de registro son generados de forma automtica por el propio sistema operativo o por aplicaciones especficas, conteniendo datos sobre accesos al equipo, errores de

inicializacin, creacin o modificacin de usuarios, estado del sistema, etc. Por lo que se tendr que buscar entradas extraas y compararlas con la actividad de los archivos. Editar tambin el archivo de contraseas y buscar la creacin de usuarios y cuentas extraas sobre la hora que se considere como inicio del ataque en el sistema.

4. Examinar los fragmentos del archivo /var/log/messages (UNIX), que es donde se detectan y registran los accesos FTP, esto nos permitir descubrir si sobre esa fecha y hora se crearon varios archivos bajo el directorio /var/ftp de la mquina comprometida7, adems se debe tener presente que este directorio puede ser borrado por el atacante y deber ser recuperado.

5.4.3. Determinacin de cmo se realiz el ataque Una vez obtenida la cadena de acontecimientos que se han producido, se deber determinar cul fue la va de entrada al sistema, averiguando qu vulnerabilidad o fallo de administracin caus el agujero de seguridad y que herramientas utiliz el atacante para aprovecharse de tal brecha.

Estos datos, al igual que en el caso anterior, se debern obtener de forma metdica, empleando una combinacin de consultas a archivos de logs, registros, claves, cuentas de usuarios, etc. El siguiente proceso permitir conocer que acciones realiz el atacante:

1. Revisar los servicios y procesos abiertos que se recopilaron como evidencia voltil, as como los puertos TCP/UDP8 (IANA) y conexiones que estaban abiertas cuando el sistema estaba an
7 8

directorio raz del servicio ftp en sistemas UNIX/Linux Protocolos de transporte de datos, TCP (orientado a conexin), UDP (protocolo no orientado a conexin), los 2 pertenecen a la capa de transporte del modelo TCP/IP.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

137

UTN FICA - EISIC

CAPTULO V

funcionando. Examinar con ms detalle aquellas circunstancias que resultan sospechosas cuando se busc indicios sobre el ataque, y realizar una bsqueda de vulnerabilidades a travs de Internet, emplear Google o utilizar pginas especficas donde se encuentran perfectamente documentadas ciertas vulnerabilidades. 2. Si ya se tiene claro cul fue la vulnerabilidad que dej el sistema desprotegido, es necesario ir un paso ms all y buscar en Internet algn exploit9 anterior a la fecha del incidente, que utilice esa vulnerabilidad. Generalmente se encontrar en forma de rootkit10 y un buen lugar donde comenzar la bsqueda es, nuevamente, Google aunque tambin ser de ayuda utilizar la informacin presentada en la correccin de vulnerabilidades sobre reportes de este tipo, as como la siguiente direccin: http://packetstorm.rlz.cl. 3. Reforzar cada una de las hiptesis empleando una formulacin causa-efecto, tambin es el momento de arrancar y comenzar a utilizar la mquina preparada como conejillo de Indias. Probar sobre la mquina los exploits que se encontr, recordar que en el anlisis forense un antecedente es que los hechos han de ser reproducibles y sus resultados verificables, por lo tanto comprobar si la ejecucin de este exploit sobre una mquina igual que la afectada, genere los mismos eventos que ha encontrado entre sus evidencias.

Una forma de ganar experiencia y estar listos ante cualquier eventualidad es recurrir a las bases de datos sobre ataques de los honeypots11, herramientas de seguridad informtica, cuya intencin es atraer a crackers o spammers, simulando ser sistemas vulnerables o

Es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informticos, hardware, o componente electrnico. 10 Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. 11 Software o conjunto de computadores cuya intencin es atraer a crackers o spammers, simulando ser sistemas vulnerables o dbiles a los ataques.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

138

UTN FICA - EISIC

CAPTULO V

dbiles a los ataques, esto permite recoger informacin sobre los atacantes y las tcnicas empleadas.

5.4.4. Identificacin del atacante Si ya se logr averiguar cmo entraron en el sistema, es hora de saber quin o quines lo hicieron. Para este propsito ser de utilidad consultar nuevamente algunas evidencias voltiles que se recopil en las primeras fases, revisar las conexiones que estaban abiertas, en qu puertos y qu direcciones IP las solicitaron, adems buscar entre las entradas a los logs de conexiones. Tambin se puede indagar entre los archivos borrados que se recuper por si el atacante elimin alguna huella que quedaba en ellos.

Si se tiene pensado llevar a cabo acciones legales o investigaciones internas, se debe realizar este proceso caso contrario se debe saltar y empezar con la recuperacin completa del sistema atacado y mejorar su seguridad. Pero si se decide perseguir a los atacantes, se deber realizar algunas investigaciones como parte del proceso de identificacin.

Primero intentar averiguar la direccin IP del atacante, para ello revisar con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. Tambin se podra encontrar esta informacin en fragmentos de las evidencias voltiles, la memoria virtual o archivos temporales y borrados, como restos de correo electrnico, conexiones fallidas, etc.

1. Al tener una IP sospechosa, comprobarla en el registro RIPE NCC (www.ripe.net)12o en LACNIC (http://www.lacnic.net)13a quin pertenece. Pero por ningn motivo hay que apresurarse y sacar conclusiones prematuras, muchos atacantes falsifican la direccin
12

El Centro de Coordinacin de redes IP europeas (Rseaux IP Europens Network Coordination Centre (RIPE NCC)) es el Registro Regional de Internet (RIR) para Europa, Oriente Medio y partes de Asia Central. 13 Registro Regional de Internet para Amrica Anglosajona, varias islas de los ocanos Pacfico y Atlntico.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

139

UTN FICA - EISIC

CAPTULO V

IP con tcnicas de spoofing14. Otra tcnica de ataque habitual consiste en utilizar equipos zombis, stos son comprometidos en primera instancia por el atacante y posteriormente son utilizados para realizar el ataque final sin que sus propietarios sepan que estn siendo cmplices de tal hecho. Por ello, para identificar al atacante se tendr que verificar y validar la direccin IP obtenida. 2. Utilizar tcnicas hacker pero solo de forma tica, para identificar al atacante, por si el atacante dej en el equipo afectado una puerta trasera o un troyano, est claro que en el equipo del atacante debern estar a la escucha esos programas y en los puertos correspondientes, bien esperando noticias o buscando nuevas vctimas. Aqu entra en juego nuevamente el equipo conejillo de indias. 3. Si se procede de esta forma, se puede usar una de las herramientas como nmap15, para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando y muchas ms caractersticas que poseen los equipos.

5.4.5. Perfil del atacante Otro aspecto muy importante es el perfil de los atacantes, y sin entrar en muchos detalles se podr encontrar los siguientes tipos: Hackers: Son los ms populares y se trata de personas con conocimientos en tcnicas de programacin, redes, Internet y sistemas operativos. Sus ataques tienen motivaciones de tipo ideolgico (pacifistas, ecologistas, anti globalizacin, anti Microsoft, etc.) o simplemente lo consideran como un desafo intelectual.

14

Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas de suplantacin de identidad. 15 Mapeador de redes de cdigo abierto, sirve para exploracin de redes y auditora de seguridad.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

140

UTN FICA - EISIC

CAPTULO V

ScriptKiddies: Son delincuentes informticos muy jvenes, que con unos conocimientos aceptables en Internet y programacin emplean herramientas ya fabricadas por otros para realizar ataques y ver qu pasa. Su nombre viene de su corta edad y del uso de los scripts, guas de ataques que encuentran por Internet. Profesionales: Son personas con muchsimos conocimientos en lenguajes de programacin, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Este tipo de criminales realizan los ataques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparacin del mismo, realizando un estudio minucioso de todo el proceso que llevar a cabo, recopilando toda la informacin posible sobre sus objetivos, se posicionar estratgicamente cerca de ellos, realizar unas pruebas con ataques en los que no modificar nada ni dejar huellas cuando lo tenga todo bien definido entonces atacar, este tipo de atacantes se encuentra muy poco y adems se dedica a dar grandes golpes.

5.4.6. Evaluacin del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el anlisis forense ofrece la posibilidad de investigar qu es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitir evaluar el compromiso de los equipos y realizar una estimacin del impacto causado.

Generalmente se pueden dar dos tipos de ataques:

Ataques pasivos.- En los que no se altera la informacin ni la operacin normal de los sistemas, limitndose el atacante a fisgonear por ellos.

Ataques activos.- En los que se altera y en ocasiones seriamente, tanto la informacin como la capacidad de operacin del sistema.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

141

UTN FICA - EISIC

CAPTULO V

Se deber tener en cuenta, adems otros aspectos del ataque como los efectos negativos de tipo tcnico que ha causado el incidente, tanto inmediatos como potenciales adems de lo crtico que eran los sistemas atacados. Por ejemplo ataques a los cortafuegos, el router de conexin a Internet o Intranet, el servidor Web, los servidores de bases de datos, tendrn diferente repercusin segn el tipo de servicio que presta la empresa o institucin y las relaciones de dependencia entre los usuarios.

5.5. FASE DE DOCUMENTACIN Y PRESENTACIN DE LAS PRUEBAS

FASE DE DOCUMENTACIN Y PRESENTACIN DE LAS PRUEBAS Utilizacin de formularios de registro del incidente Informe Tcnico Informe Ejecutivo

Figura. 5.5. Componentes Fase de Documentacin y Presentacin de las Pruebas

Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de anlisis forense, esto permitir ser ms eficiente y efectivo al tiempo que se reducir las posibilidades de error a la hora de gestionar el incidente.

5.5.1. Utilizacin de formularios de registro del incidente Es importante que durante el proceso de anlisis se mantenga informados a los administradores de los equipos y que tras la resolucin del incidente se presenten los informes Tcnico y Ejecutivo. El empleo de
Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

142

UTN FICA - EISIC

CAPTULO V

formularios puede ayudar bastante en este propsito. stos debern ser completados por los departamentos afectados o por el administrador de los equipos. Alguno de los formularios que se deben preparar son:

Documento de custodia de la evidencia Formulario de identificacin de los equipos y componentes Formulario de incidencias tipificadas Formulario de publicacin del incidente Formulario de recogida de evidencias Formulario de discos duros.

5.5.1.1. Informe Tcnico Este informe consiste en una explicacin detallada del anlisis efectuado. Deber describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense. A modo de orientacin, deber contener, al menos, los siguientes puntos: Introduccin Antecedentes del incidente Recoleccin de los datos Descripcin de la evidencia Entorno del anlisis Descripcin de las herramientas Anlisis de la evidencia Informacin del sistema analizado Caractersticas del SO Aplicaciones Servicios Vulnerabilidades Metodologa Descripcin de los hallazgos Huellas de la intrusin
Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

143

UTN FICA - EISIC

CAPTULO V

Herramientas usadas por el atacante Alcance de la intrusin El origen del ataque Cronologa de la intrusin Conclusiones Recomendaciones especficas Referencias Anexos

5.5.1.2. Informe Ejecutivo Este informe consiste en un resumen del anlisis efectuado pero empleando una explicacin no tcnica, con lenguaje comn, en el que se expondr los hechos ms destacables de lo ocurrido en el sistema analizado. Constar de pocas pginas, entre tres y cinco, y ser de especial inters para exponer lo sucedido al personal no especializado en sistemas informticos, como pueda ser el departamento de Recursos Humanos, Administracin e incluso algunos directivos. En este informe debe constar lo siguiente: Introduccin.- Descripcin del objetivo del anlisis del sistema previamente atacado y comprometido, tambin se incluye la informacin de la evidencia proporcionada. Anlisis.- Descripcin del entorno de trabajo y de las herramientas de anlisis forense seleccionadas as como la cantidad de tiempo empleado en el mismo. Sumario del incidente.- Resumen del incidente tras el anlisis de la evidencia aportada. Principales

Conclusiones

del

anlisis.-

Detalle

de

las

conclusiones a las que se lleg una vez terminado el proceso de anlisis.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

144

UTN FICA - EISIC

CAPTULO V

Solucin

al

incidente.-

Descripcin

de

la

solucin

para

recuperacin del incidente. Recomendaciones finales.- pasos que se deben realizar para garantizar la seguridad de los equipos y que el incidente no vuelva a suceder.

5.6. BIBLIOGRAFA
Internet [1] IANA. (s.f.). Internet Assigned Numbers Authority. Recuperado el 4 de Abril de 2010, de http://www.iana.org/assignments/port-numbers [2] Metodologas sobre Anlisis Forense. Recuperado el 3 de Abril de 2010, de http://www.kungfoosion.com/2007/07/metodologas-sobreanlisis-forense.html [3] Metodologa Bsica de Anlisis Forense. Recuperado el 7 de abril de 2010, de http://www.soyforense.com/2009/09/14/metodologiabasica-de-analisis-forense-%E2%80%93-parte-1-de-4/ [4] Anlisis Forense de sistemas. Recuperado el 7 de Abril de 2010, de http://www.scribd.com/doc/3627783/Analisis-Forense-deSistema [5] Anlisis Forense Informtico. Recuperado el 12 de Abril de 2010, de http://www-2.dc.uba.ar/materias/crip/docs/ardita01.pdf [6] Cmo la Interpol verific la informacin de los equipos de Reyes. Recuperado el 15 de Abril de 2010, de http://www.dragonjar.org/como-la-interpol-verifico-la-informacionde-los-equipos-de-reyes.xhtml [7] Reto de Anlisis Forense. Recuperado el 20 de Abril de 2010, de http://www.sec-track.com/reto-de-analisis-forense-digital-de-lacomunidad-dragonjar-escenario-e-implementacion [8] American Academy of Forensic Sciences. Recuperado el 25 de Abril de 2010, de http://www.aafs.org/

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

145

UTN FICA - EISIC

CAPTULO V

Tesis [9] Gua Metodolgica para el Anlisis Forense Orientado a Incidentes en Dispositivos Mviles GSM. Recuperado el 17 de Abril de 2010, de http://www.criptored.upm.es/guiateoria/gt_m142h1.htm [10] V. Villacs, Auditoria Forense: Metodologa, Herramientas y Tcnicas Aplicadas en un siniestro informtico de una empresa del sector comercial (Tesis, Instituto de Ciencias Matemticas, Escuela Superior Politcnica del Litoral, 2006). [11] Universidad Catlica de Loja. Esquema de Seguridad de Datos. Recuperado el 25 de Abril de 2010, de http://www.utpl.edu.ec/eva/descargas/material/140/INFAII21/G2189 02.pdf

Libros [12] Miguel Lpez Delgado. Anlisis Forense Digital, edicin 2 Junio de 2007. Recuperado el 17 de Abril de 2010, de http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf [13] Gutirrez Abraham, 1998, Mtodos y tcnicas de investigacin, Segunda edicin, Mc Graw Hill, Mxico, pginas 1265.

Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux

146