Análisis Forense y Auditoría

• Clase 1 a 4

Instructor: Juan Bosoms

juanbosoms@gmail.com
Agenda
• Introducción

• Estándares y buenas prácticas

• Incidentes de Seguridad de la Información y superficies de ataques

• Análisis Forense y Auditoría. Conceptos

Introducción
• Revisión rápida de los paradigmas y arquitecturas de seguridad de la
información en la actualidad

• Enfoque
• Las actividades de Análisis Forense y Auditoría en un CSIRT

• Análisis de un caso real

Paradigmas y arquitecturas de InfoSec
• Seguridad por obscuridad

• Seguridad perimetral

• Seguridad en profundidad

• Seguridad convergente

• Zero trust

• Seguridad adaptativa
Seguridad en profundidad
• Definición

• La Defensa en Profundidad es el método que utiliza múltiples técnicas de

seguridad para mitigar los riesgos de los componentes que pueden ser
comprometidos.

• Objetivo

• Proveer de redundancia en eventos donde los controles de seguridad

fallaron o fueron vulnerados.
Seguridad en profundidad
• Arquitectura en capas
• Compromiso de esas zonas
• SegInf: Minimizar las superficies de ataques segmentando x ej en DMZs,
NIPSs, HIPSs, Antimalware, WAF, Reverse Proxies, XMLFWs, Análisis de
vulnerabilidades, Etc.
• Desarrollo: SDLC – OWASP – arquitectura n-capas
• Servidores
• Comunicaciones
• Hardening – hardening – hardening
• Controles
• Monitoreo y alertas
Veamos un caso real

• https://www.cio.com.au/article/569410/case-study-when-hacker-
destroys-your-business/
Agenda
• Introducción

• Estándares y buenas prácticas

• Incidentes de Seguridad de la Información y superficies de ataques

• Análisis Forense y Auditoría. Conceptos

Estándares y buenas prácticas

• http://www.iso27001security.com/ISO27k_Standards_listing.docx
• https://www.iso.org/home.html
• http://www.iso27001security.com/html/iso27000.html
• http://www.iso27001security.com/ISO27k_Standards_listing.pdf
• https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-
testing-program-cftt
• https://www.isaca.org/KNOWLEDGE-CENTER/STANDARDS/Pages/default.aspx
Estándares y buenas prácticas

• https://www.iso.org/standard/53241.html ISO/IEC 30121:2015

Information technology -- Governance of digital forensic risk framework

• https://www.iso.org/standard/44381.html ISO/IEC 27037:2012

Information technology -- Security techniques -- Guidelines for identification,
collection, acquisition and preservation of digital evidence

• https://www.iso.org/standard/39883.html ISO/IEC 17025:2005

General requirements for the competence of testing and calibration laboratories
Estándares y buenas prácticas

• ASTM E2916-13, "Standard Terminology for Digital and Multimedia Evidence

Examination," 2013
• ASTM E2825-12, "Standard Guide for Forensic Digital Image Processing," 2012
• ASTM E2763-10, "Standard Practice for Computer Forensics," 2010
• ASTM E2678-09, "Standard Guide for Education and Training in Computer
Forensics," 2009
• ASTM WK45289, "New Specification for Establishing Confidence in Digital
Forensic Results by Error Mitigation Analysis"
• ASTM WK46449, "New Guide for Core Competencies for Mobile Phone Forensics"
• ASTM WK46469, "New Practice for Examining Magnetic Card Readers"
Estándares y buenas prácticas
• "The Incident Object Description Exchange Format," RFC 5070
• "Expert Review for Incident Object Description Exchange Format (IODEF):
Extensions in IANA XML Registry,"RFC 6685
• "Evidence Record Syntax (ERS)," RFC 4998
• "Guidelines for Evidence Collection and Archiving," RFC 3227
• "Guidelines on Cell Phone Forensics," NIST SP 800-101
• "Guide to Integrating Forensic Techniques into Incident Response," NIST SP 800-86
• "Guidelines on PDA Forensics," NIST SP 800-72
• HB 171-2003, Guidelines for the management of IT evidence, Standards Australia
Estándares y buenas prácticas
• BS 10008:2008, Evidential weight and legal admissibility of electronic information.
Specification
• BIP 0008-1:2008, Evidential Weight and Legal Admissibility of Information Stored
Electronically. Code of Practice for the Implementation of BS 10008
• BIP 0008-2:2008, Evidential Weight and Legal Admissibility of Information
Transferred Electronically. Code of Practice for the Implementation of BS 10008
• BIP 0008-3:2008, Evidential Weight and Legal Admissibility of Linking Electronic
Identity to Documents. Code of Practice for the Implementation of BS 10008
• BIP 0009:2008, Evidential Weight and Legal Admissibility of Electronic Information.
Compliance Workbook for Use with BS 10008
Estándares y buenas prácticas
• http://www.hooklee.com/default.asp?t=Digital%20and%20Multimedia%20Forensi
cs%20-%20Standards%20and%20Best%20Practice%20Guides
Agenda
• Introducción

• Estándares y buenas prácticas

• Incidentes de Seguridad de la Información y superficies de ataques

• Análisis Forense y Auditoría. Conceptos

Incidentes de Seguridad de la Información y
superficies de ataques

• Ejercicio en conjunto – Topológico

• Modelado de amenazas
• Análisis de un agente de riesgo
• Procesos
• Forense
• Auditoría
Agenda
• Introducción

• Estándares y buenas prácticas

• Incidentes de Seguridad de la Información y superficies de ataques

• Análisis Forense y Auditoría. Conceptos

Análisis Forense y Auditoría. Conceptos
• a. Tipos de auditoría
• b. El factor humano
• c. La escena de un Cyber-Crimen
• d. Roles
• e. Evidencia
• f. Artefactos
• g. Cadena de custodia
• h. Procesos
• i. Técnicas anti-forenses/monitoreo/alerta/control/Etc
• j. Recuperar y preservar
• k. Herramientas
• l. Peritos matriculados
Agenda
• Introducción

• Estándares y buenas prácticas

• Incidentes de Seguridad de la Información y superficies de ataques

• Análisis Forense y Auditoría. Conceptos

Agenda
• Proceso Forense

• Identificación
• Adquisición
• Examen
• Análisis
• Presentación
 Introducción
• Investigación --- 5WH formula

• Who: Persons involved in the investigation, including suspects, witnesses, and victims
• Where: The location of the crime and other relevant locations
• What: Description of the facts of the crime in question
• When: The time of the crime and other related events
• Why: The motivation for the crime and why it happened at a given time
• How: How the crime was committed.
Proceso Forense

Cadena de custodia (Integridad de la evidencia)

Identificar Adquirir Examinar Analizar Presentar

Proceso Forense
• Identificación

• Adquisición

• Examen

• Análisis

• Presentación

Identificar Adquirir Examinar Analizar Presentar

Identificar
• Esta preparado antes que ocurra el incidente
• Diseño de arquitecturas de seguridad
• Auditorías
• Controles
• Gestión de los controles
• Forense
• Recursos entrenados (nuestros equipos y/o terceros)
• Ejemplos
• CTFs
• Jeopardy
• A&D
Identificar
• Herramientas
• Volatility
• https://www.volatilityfoundation.org/faq
• https://code.google.com/archive/p/volatility/downloads
• EnCase
• https://www.guidancesoftware.com/encase-forensic
• MailXaminer
• https://www.mailxaminer.com/
• FTK
• https://accessdata.com/products-services/forensic-toolkit-ftk
• REGA
• http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
• Bulk Extractor
• https://github.com/simsong/bulk_extractor
• Oxygen Forensics
• https://www.oxygen-forensic.com/en/
• FireEye RedLine
• https://www.fireeye.com/services/freeware/redline.html
• Autopsy
• https://www.autopsy.com/download/
• Wireshark
• https://www.wireshark.org/download.html
Identificar
• Herramientas
• USB Write Blocker
• https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
• X-Ways Forensics
• http://www.x-ways.net/forensics/
• DumpZilla
• https://www.dumpzilla.org/
• ExifTool
• https://www.sno.phy.queensu.ca/~phil/exiftool/
• Binwalk
• https://gist.github.com/briankip/8f8747a2488af827e3b4
• https://github.com/ReFirmLabs/binwalk
• Hashdeep
• http://md5deep.sourceforge.net/start-hashdeep.html
• https://github.com/jessek/hashdeep
• Volafox
• https://github.com/n0fate/volafox
• Chkrootkit
• http://www.chkrootkit.org/
• SIFT
• https://digital-forensics.sans.org/community/downloads
• CAINE
• https://www.caine-live.net/
Identificar
• Herramientas
• Encrypted Disk Detector
• https://www.magnetforensics.com/free-tool-encrypted-disk-detector/
• Magnet RAM Capture
• https://www.magnetforensics.com/free-tool-magnet-ram-capture/
• Network Miner
• https://www.netresec.com/?page=NetworkMiner
• Belkasoft RAM Capturer
• https://belkasoft.com/ram-capturer
• Forensic Investigator
• https://splunkbase.splunk.com/app/2895/
• FAW (Forensics Acquisition of Websites)
• https://en.fawproject.com/compare-versions/
• Paladin
• https://sumuri.com/software/paladin/
• Xplico
• https://www.xplico.org/about
• MSAB
• https://www.msab.com/
• http://www.plainsight.info/index.html
• https://www.dfir.training/
• https://toolcatalog.nist.gov/populated_taxonomy/
• http://www.deftlinux.net/
Identificar
• Herramientas – Ejemplos Hard + Soft

• Black Hole Faraday Bag - RF Signal Isolation for Forensics, Large Window Size -
Signal Blocking, Anti-tracking, Anti-spying, Radiation protection for Cell
Phones, Key Fobs and Credit Cards
• https://digitalintelligence.com/products/overview#specialty-devices
• https://www.forensiccomputers.com/
• https://www.cellebrite.com/en/home/
• https://www.msab.com/products/xry/
• https://www.sirchie.com/
• https://www.sirchie.com/digital.html
Identificar
• Laboratorio (ej ISO 17025 para UK)
• FR o DEFR
• ISO/IEC 27037:2012 Information technology -- Security techniques -- Guidelines for
identification, collection, acquisition and preservation of digital evidence
• Todas las escenas son distintas
• Pueden existir múltiples fuentes de evidencias
• SOPs (standard operating procedures)
• Deben estar presentes en la organización
• Proveer un guía estructurada para las actividades de identificación de las evidencias, debe estar
documentado al detalle y enfocado claramente a mantener la integridad de la evidencia.
• La escena de un incidente
• Los lugares donde ocurrió el hecho o se encontró la evidencia
• El tipo de organización
• Ojo, no necesariamente tiene que se forense del tipo post-mortem
• Verificar la conectividad – caso de ejemplo
Identificar
• Tareas de preservación – Cadena de custodia. Importancia.
Documentación
• La persona que esta manejando la evidencia.
• Los procesos y procedimiento realizados.
• La fecha y hora de adquisición de la evidencia.
• Método de recolección, examen y análisis.
• El motivo por el que se tomaron las pruebas.
• Live & Dead Systems
Proceso Forense
• Identificación

• Adquisición

• Examen

• Análisis

• Presentación

Identificar Adquirir Examinar Analizar Presentar

Adquirir
• Fuentes de evidencia digital.
• Tenemos acceso a los datos. Los copiamos
• Trabajamos con copias
• Bloqueadores de escritura
• Discos rígidos, pen drives, memoria ram, cache, registros procesador, GPU,
flash drives, Celulares, Tablets, IOT, Etc
• Sistemas físicamente vinculados a una ubicación
• Casos dónde no podemos llevarnos la evidencia en el soporte nativo
• Múltiples fuentes y ubicaciones
• Reconstrucción
• Eliminación intencional de la evidencia
Adquirir
• Integridad de la evidencia (Crypto)
• Digital fingerprinting (funciones hash –MD5, SHA-1, SHA-256, Etc.)
• OOV Order of volatility
• Recopilar la posible evidencia de acuerdo a la volatilidad de los datos (los mas volátiles 1ro)
• Verificación doble de herramientas
• Para evitar errores de una sola herramienta
• Adquisición remota de evidencia
• El tiempo es vital por ejemplo casos remotos
• Arquitecturas Cloud dónde no tendremos acceso a los Data Centers de los CSPs
• En todo caso
• Que implica habilitar la copia remota
• Se debe garantizar la integridad (modelado de amenazas del dato en tránsito – Crypto del canal y los datos)
• La mayor de las herramientas forenses lo soportan
• Cooperación forense
• Puede ser nacional o internacional
Proceso Forense
• Identificación

• Adquisición

• Examen

• Análisis

• Presentación

Identificar Adquirir Examinar Analizar Presentar

Examen
• Hacer comprensible la evidencia que adquirimos en el la fase anterior para la fase de
análisis
• Cadena de custodia – Integridad de la evidencia – Seguir documentando
• Caso ejemplo: Reconstrucción de volcado de memoria
• Nuevamente las herramientas como facilitadoras
• Como podemos leer en la ISO/IEC 27041:2015 Information technology -- Security techniques -- Guidance on
assuring suitability and adequacy of incident investigative method: estamos intentando "recuperar evidencia digital
potencial relevante
• de una o más fuentes "
• Preprocesamiento
• Además de las herramientas el análisis manual es muy importante para establecer los datos mas
relevantes por ejemplo en un gran volumen de datos o dependiendo del caso centrar el foco en
archivos maliciosos
• Archivos forenses
• Formatos
• EnCase, AFF
Examen
• Recuperación de datos
• Casos de reconstrucción parcial de un archivo
• Documentar el procedimiento y herramientas utilizadas
• Filtrado de datos
• Tipos de datos (known good/bad)
• Timestamps
• Se debe documentar el clock del sistema y cualquier desvío en el time zone o
configuración incorrecta de la fecha y la hora
• Compresión, cifrado y ofuscación
• Vamos a tener que descomprimir y descifrar (Cadena de custodia)
• No olvidar las herramientas
• Data carving - automatización – scripting
Proceso Forense
• Identificación

• Adquisición

• Examen

• Análisis

• Presentación

Identificar Adquirir Examinar Analizar Presentar

Análisis
• El procesamiento de la información que aborda el objetivo de la
investigación con el propósito de determinar los hechos sobre un
evento, el significado de la evidencia y la(s) persona(s) responsable(s).

• Es un proceso iterativo en si mismo, vamos a trabajar con hipótesis

preliminares sobre datos que potencialmente pueden contener
evidencia, pero durante el análisis vamos a crear nuevas.

• Vamos a continuar de esta manera hasta que los resultados puedan

ser considerados suficiente para lo fines de la investigación.
Análisis
• Niveles de abstracción
• Que vemos en cada nivel de abstracción? (Ejemplo de email, stenografía)
• Tipos de evidencia
• Aplicación instalada en un equipo sin el consentimiento del usuario
• Ejemplo de un troyano como cortina de humo
• Búsquedas
• Dirigidas
• Expresiones regulares
Análisis
• Antiforensics (Wiping, Crypto)

• Automatización. (Data mining, ML, Etc)

• Ejemplo malware ofuscado
• Timelining
• Documentar en una línea de tiempo los eventos relevantes del sistema
• Representaciones visuales (Gráficos)
• Para linkear por ej acciones de individuos, con archivos, modificaciones en el
sistema, etc.
Proceso Forense
• Identificación

• Adquisición

• Examen

• Análisis

• Presentación

Identificar Adquirir Examinar Analizar Presentar

Presentación
• Desarrollamos teorías
• Plantearse escenarios en todas las etapas (Cadena de custodia)
• Probamos hipótesis
• Presentamos el resultado de la investigación.
• Basada en hallazgos objetivos con un nivel de certeza suficiente,
sustentada en el análisis de la evidencia digital.
• Presentar la evidencia y el trabajo realizado.
• Se cierra la cadena de custodia.
Agenda
• Auditoria
• Forense de dispositivos móviles
• Cloud Forensics
Auditoría
ISOs

A reasonably comprehensive suite of information

Code of practice for
ISO/IEC 27002 2013 security control objectives and generally-accepted
information security controls
good practice security controls
Guidelines for auditors on Auditing the information security
ISO/IEC TR 27008 2011
information security controls elements of the ISMS
Information security management Information security controls
ISO/IEC 27011 2016 guidelines for telecommunications for the telecoms industry;
organizations based on ISO/IEC 27002 also called “ITU-T Recommendation x.1051”

Code of practice for information

ISO/IEC 27017 2015 security controls for cloud computing Information security controls for cloud computing
services based on ISO/IEC 27002

Code of practice for controls to protect

personally identifiable information
ISO/IEC 27018 2014 Privacy controls for cloud computing
processed in public cloud computing
services
Information security management
Information security for ICS/SCADA/embedded
guidelines based on ISO/IEC 27002 for
ISO/IEC TR 27019 2017 systems (not just used in the energy industry!),
process control systems specific to the
excluding the nuclear industry
energy industry
Auditoría
• Identificar los controles existentes en la organización y su nivel de
eficiencia
• Plan de trabajo
• Áreas objetivo de la auditoría
• Reunión preliminar para la devolución
• Reunión con el informe final con las observaciones
• Responder con plan de acción o aceptación
• Herramientas
• Checklist
• Cuestionario
• Entrevista
• Relevamiento con toma de evidencias
 Mobile
• Qué componentes intervienen en una red celular
• Proveedor y su red
• El dispositivo
• Sistema operativo y aplicaciones
• Almacenamiento
• Interfaces de interconexión
• Nosotros – MDM (Anti-Forensics – No repudio - BYOD)
 Mobile
• Evidencias
• Fotos
• Videos
• Metadata
• Contactos
• Calendario
• Emails
• Chats
• Direcciones de email
• Registros de llamadas
 Mobile
• Evidencias
• Usuarios y Claves
• Redes Sociales
• Aplicaciones
• GPS
• Jailbraking/Rooting
• Grabaciones
• Música
• Archivos
• Almacenamiento local y externo (en el dispositivo y en la nube)
• Base de datos de aprendizaje predictivo
• URLs
 Mobile
• Se aplica el mismo criterio para la recolección y manejo de evidencia digital
• Algunas consideraciones especiales:
• Aislar el teléfono a nivel networking
• Una llamada entrante, un mensaje, email puede sobrescribir evidencia importante
• Una bolsa de Faraday (Para obstruir las señales de radio)
• Si esta encendido al momento del procedimiento forense, no apagarlo
• Pero si vemos que no llegamos al laboratorio forense, puede ser conveniente apagarlo para evitar el
bloqueo por agotamiento de batería.
• Si el teléfono tiene bloqueo de PIN por inactividad, al apagarlo o superar el periodo de inactividad
puede bloquearse
 Mobile
• Se aplica el mismo criterio para la recolección y manejo de evidencia digital
• Algunas consideraciones especiales:
• Si está apagado
• Podemos retirar la batería y la sim
• Siempre tomar fotos desde todas las perspectivas del dispositivo mobile
• La parte de adelante y atrás
• De todos los datos x ej IMEI y demás datos
• Antes de comenzar el analisis forense, se debe conocer al detalle todas las
características del modelo en particular con el que estamos trabajando.
• Siempre respetar rigurosamente la cadena custodia
 Mobile
• Se aplica el mismo criterio para la recolección y manejo de evidencia digital
• Aplicamos el mismo criterio que con las computadoras, utilizamos todas las
herramientas que sean necesarias para trabajar con copias forenses.
• Trabajar con el dispositivo original es el último recurso.
• Nuevamente, bajo procedimientos aceptados legalmente, la documentación
detallada del manejo del dispositivo debe garantizar en todo momento la
integridad de la evidencia, para que la misma pueda ser utilizada como prueba
en un caso.
 Mobile
• Puede ser que en nuestro laboratorio forense necesitemos conseguir otro
dispositivo de idénticas características para probar hipótesis.
• Clonar la imagen del celular
• Emuladores
• Plantearnos escenarios (La contraparte tratará de invalidar la evidencia)
• No olvidar los mensajes de texto y el pin del carrier
• El cable de tensión
• La importancia del SIM
• Forense de aplicaciones mobile y la arquitectura de soporte
 Mobile
• Otras herramientas forenses:
• https://accessdata.com/products-services/mobile-solutions
• https://www.cellebrite.com/en/law-enforcement/field/
• https://www.guidancesoftware.com/encase-mobile-investigator
 Cloud
• Desafíos que representa el forense en la nube (Leer NIST 8006)
• Metodologías
• Caso de estudio
Referencia: NIST 8006
MUCHAS GRACIAS

Instructor: Juan Bosoms

juanbosoms@gmail.com