martes, 25 de julio de 2017

METODOLOGÍA PARA EL ANÁLISIS FORENSE

La metodología desarrollada se divide en cinco fases. Estas son:
1. Identificación
2. Preservación
3. Análisis
4. Documentación y presentación de las pruebas







 

1. Fase de Identificación

 

La fase de identificación se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta:
  •  ¿Qué información se necesita?
  •  ¿Cómo aprovechar la información presentada?
  •  ¿En qué orden ubico la información?
  •  ¿Acciones necesarias a seguir para el análisis forense?
La identificación debe prever los desafíos que se pasaran durante los procesos de las fases de preservación y extracción. Esta fase culmina con un Plan a seguir.

 

1.1. Solicitud Forense

 

La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis. La información incluida en el documento debe ser la siguiente:
  1. DESCRIPCIÓN DEL DELITO INFORMÁTICO
  2. INFORMACIÓN GENERAL
  3. INFORMACIÓN SOBRE EL EQUIPO AFECTADO
Esta fase esta dividida en dos procesos iníciales que son:

 

1.2. Asegurar la escena

 

Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal competente a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología.

 

1.3. Identificar las evidencias

 

El siguiente paso y muy importante es la identificación de la evidencia presentada que es nuestra escena del crimen, la misma que estará sujeta a todos los procesos necesarios para la presentación de resultados finales.
La evidencia se clasificara según:

 

1.3.1. Prioridades del administrador

 

Las evidencias se pueden clasificar según la prioridad del administrador, las mismas están basadas en la criticidad de los daños producidos por el incidente, una forma de clasificar los daños producidos es saber que tan críticos son y se lo encuentra aplicando la siguiente formula:
CRITICIDAD DE LOS DAÑOS = Extensión de daños producidos + Criticidad de los recursos afectados

 

1.3.2. Tipo de dispositivo

 

A las evidencias también se las puede clasificar según el tipo de dispositivo donde se las encuentre como:
  •  Sistemas informáticos
  •  Redes
  •  Redes Inalámbricas
  •  Dispositivos móviles
  •  Sistemas embebidos
  •  Otros dispositivos

 

1.3.3. Modo de almacenamiento

 

A las evidencias también se las clasifica según el medio de almacenamiento. Como pueden ser:
  • Volátiles .- Aquellas que se perderán al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecución, programas en ejecución, usuarios conectados, configuración de red, conexiones activas, puertos abiertos, etc.
  • No volátiles.- medios físicos de almacenamiento como memorias flash, CD, discos duros.
Entonces el primer proceso del análisis forense comprende la identificación, búsqueda y recopilación de evidencias. Se debe identificar qué cosas pueden ser evidencias, dónde y cómo está almacenada, qué sistema operativo se está utilizando. A partir de este paso, el equipo de seguridad puede identificar los procesos para la recuperación de evidencias adecuadas, así como las herramientas a utilizar.

 

2. Fase de Preservación

 

Aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deberá documentar de forma clara cómo ha sido  preservada la evidencia tras la recopilación. En esta fase, es imprescindible definir los métodos adecuados para el almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso:

 

2.1. Copias de la evidencia

 

Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetado la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original.
Si además se extrae los discos duros del sistema para utilizarlos como evidencia, se debe seguir el mismo procedimiento, colocando sobre ellos la etiqueta “EVIDENCIA ORIGINAL”, incluir además las correspondientes sumas hash, fecha y hora de la extracción del equipo, datos de la persona que realizó la operación, fecha, hora y lugar donde se almacenó, por ejemplo en una caja fuerte.
Tener en cuenta que existen factores externos como cambios bruscos de temperatura o campos electromagnéticos que pueden alterar la evidencia. Toda precaución es poca, incluso si decide enviar esos discos a que sean analizados por empresas especializadas.

 

2.2. Cadena de custodia

 

Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento. El documento debe contener la siguiente información:
  •  Dónde, cuándo y quién examinó la evidencia, incluyendo su nombre, su cargo, un número identificativo, fechas y horas, etc. 
  •  Quién estuvo custodiando la evidencia, durante cuanto tiempo y dónde se almacenó.
  •  Cuando se cambie la custodia de la evidencia también se deberá documentar cuándo y como se produjo la transferencia y quién la transportó.
Todas estas medidas harán que el acceso a la evidencia sea muy restrictivo quedando claramente responsabilidades ante documentado, manipulaciones posibilitando incorrectas, detectar intentos de y pedir acceso no autorizados o que algún otro dispositivo electromagnético se use dentro de un determinado radio. 

 

3. Fase de Análisis

 

Antes de iniciar esta fase se deben prepararlas herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores.
Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, iniciamos la fase más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento.
Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc.
En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.

 

3.1. Preparación para el análisis

 

Antes de comenzar el análisis de las evidencias se deberá:
  1.  Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar
  2.  Trabajar con las imágenes que se recopiló como evidencias, o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
  3.  Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
  4.  Instar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.
  5.  En otro equipo instar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros. La idea es utilizar este segundo ordenador como “conejillo de Indias” y realizar sobre él pruebas y verificaciones conforme se vayan surgiendo hipótesis sobre el ataque.
Si no se dispone de estos recursos, se puede utilizar software como VMware, que permitirá crear una plataforma de trabajo con varias máquinas virtuales. También se puede utilizar una versión LIVE de sistemas operativos como Linux, que permitirá interactuar con las imágenes montadas pero sin modificarlas. 
Si se está muy seguro de las posibilidades y de lo que va a hacer, se puede conectar los discos duros originales del sistema atacado a una estación de trabajo independiente para intentar hacer un análisis en caliente del sistema, se deberá tomar la precaución de montar los dispositivos en modo sólo lectura, esto se puede hacer con sistemas anfitriones UNIX/Linux, pero no con entornos Windows.

 

3.2. Reconstrucción de la secuencia temporal del ataque

 

Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza, se procede con la ejecución de los siguientes pasos:
1) Crear una línea temporal o timeline de sucesos, para ello se debe recopilar la siguiente información sobre los ficheros:
  •   Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado).
  •  Ruta completa.
  •  Tamaño en bytes y tipo de fichero.
  •  Usuarios y grupos a quien pertenece.
  •  Permisos de acceso.
  •  Si fue borrado o no.
Sin duda esta será la información que más tiempo llevará recopilar, pero será el punto de partida para el análisis, podría plantearse aquí el dedicar un poco de tiempo a preparar un script que automatizase el proceso de creación del timeline, empleando los comandos que proporciona el sistema operativo y las herramientas utilizadas.
2) Ordenar los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros más antiguos.
La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes. Pensar que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar, como por ejemplo en los directorios temporales.
A modo de guía centrarse primero en buscar los archivos de sistema modificados tras la instalación del sistema operativo, averiguar después la ubicación de los archivos ocultos, de qué tipo son, identificar también los archivos borrados o fragmentos de éstos, pues pueden ser restos de logs y registros borrados por los atacantes.
Aquí cabe destacar la importancia de realizar imágenes de los discos pues se puede acceder al espacio residual que hay detrás de cada archivo, (recordar que los ficheros suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve.
Pensar que está buscando “una aguja en un pajar”, por lo que se deberá ser metódico, ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado y compararla con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque.
3) Comenzar a examinar con más detalle los ficheros logs y registros que se examinaron durante la búsqueda de indicios del ataque, intentar buscar una correlación temporal entre eventos. Pensar que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones específicas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modificación de usuarios, estado del sistema, etc. Por lo que tendrá que buscar entradas extrañas y compararlas con la actividad de los ficheros. Editar también el archivo de contraseñas y buscar la creación de usuarios y cuentas extrañas sobre la hora que considere se inició el ataque del sistema.
4) Examinar los fragmentos del archivo /var/log/messages, que es donde se detectan y registran los accesos FTP, esto nos permitirá descubrir si sobre esa fecha y hora se crearon varios archivos bajo el directorio /var/ftp de la máquina comprometida, además se debe tener presente que este directorio puede ser borrado por el atacante y deberá ser recuperado.

 

3.3. Determinación de cómo se realizó el ataque

 

Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha. Estos datos, al igual que en el caso anterior, se deberán obtener de forma metódica, empleando una combinación de consultas a archivos de logs, registros, claves, cuentas de usuarios, etc. El siguiente proceso permitirá conocer que acciones realizo el atacante:
1) Revisar los servicios y procesos abiertos que se recopilaron como evidencia volátil, así como los puertos TCP/UDP y conexiones que estaban abiertas cuando el sistema estaba aún funcionando. Examinar con más detalle aquellas circunstancias que resultan sospechosas cuando se buscó indicios sobre el ataque, y realizar una búsqueda de vulnerabilidades a través de Internet, emplear Google o utilizar páginas específicas donde se encuentran perfectamente documentadas ciertas vulnerabilidades, tal como se mostro en la corrección de vulnerabilidades.
2) Si ya se tiene claro cuál fue la vulnerabilidad que dejó el sistema desprotegido, es necesario ir un paso más allá y buscar en Internet algún exploit anterior a la fecha del incidente, que utilice esa vulnerabilidad. Generalmente se encontrará en forma de rootkit y un buen lugar donde comenzar la búsqueda es, nuevamente, Google aunque también será de utilidad utilizar la información presentado en la corrección de vulnerabilidades sobre reporte de vulnerabilidades así como la siguiente dirección: http://www.packetstormsecurity.org
3) Reforzar cada una de las hipótesis empleando una formulación causa-efecto, también es el momento de arrancar y comenzar a utilizar la máquina preparada como “conejillo de Indias”. Probar sobre la máquina los exploits que se encontró, recordar que en el análisis forense un antecedente es que los hechos han de ser reproducibles y sus resultados verificables, por lo tanto comprobar si la ejecución de este exploit sobre una máquina igual que la afectada, genere los mismos eventos que ha encontrado entre sus evidencias.
Una forma de ganar experiencia y estar listos ante cualquier eventualidad es recurrir a las bases de datos sobre ataques de los honeypots, herramientas de seguridad informática, cuya intención es atraer a crackers o spammers, simulando ser sistemas vulnerables o débiles a los ataques, esto permite recoger información sobre los atacantes y las técnicas empleadas.

 

3.4. Identificación del atacante

 

Si ya se logro averiguar cómo entraron en el sistema, es hora de saber quién o quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones. También se puede indagar entre los archivos borrados que se recuperó por si el atacante eliminó alguna huella que quedaba en ellos.
Si se tiene pensado llevar a cabo acciones legales o investigaciones internas a la Universidad, se debe realizar este proceso caso contrario se debe saltar y empezar con la recuperación completa del sistema atacado y mejorar su seguridad.
Pero si se decide perseguir a los atacantes, se deberá:
1) Realizar algunas investigaciones como parte del proceso de identificación.
Primero intentar averiguar la dirección IP del atacante, para ello revisar con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. También se podría encontrar esta información en fragmentos de las evidencias volátiles, la memoria virtual o archivos temporales y borrados, como restos de email, conexiones fallidas, etc.
2) Al tener una IP sospechosa, comprobarla en el registro RIPE NCC (www.ripe.net) a quién pertenece. Pero ojo, no sacar conclusiones prematuras, muchos atacantes falsifican la dirección IP con técnicas de spoofing. Otra técnica de ataque habitual consiste comprometidos en primera en utilizar instancia “ordenadores por zombis”, éstos son el atacante y posteriormente son utilizados para realizar el ataque final sin que sus propietarios sepan que están siendo cómplices de tal hecho. Por ello, para identificar al atacante se tendrá que verificar y validar la dirección IP obtenida.
3) Utilizar técnicas hacker pero solo de forma ética, para identificar al atacante, por si el atacante dejó en el equipo afectado una puerta trasera o un troyano, está claro que en el equipo del atacante deberán estar a la escucha esos programas y en los puertos correspondientes, bien esperando noticias o buscando nuevas víctimas. Aquí entra en juego nuevamente el equipo “conejillo de indias”.
Si se procede de esta forma, se puede usar una de las herramientas como nmap, para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando y así muchas mas características que poseen los equipos.

 

3.6. Evaluación del impacto causado al sistema

 

Para poder evaluar el impacto causado al sistema, el análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitirá evaluar el compromiso de los equipos y realizar una estimación del impacto causado. Generalmente se pueden dar dos tipos de ataques:

  • Ataques pasivos.- En los que no se altera la información ni la operación normal de los sistemas, limitándose el atacante a fisgonear por ellos.
  • Ataques activos.- En los que se altera y en ocasiones seriamente tanto la información como la capacidad de operación del sistema.
Se deberá tener en cuanta, además otros aspectos del ataque como los efectos negativos de tipo técnico que ha causado el incidente, tanto inmediatos como potenciales además de lo crítico que eran los sistemas atacados. Por ejemplo ataques al cortafuegos, el router de conexión a Internet o Intranet, el servidor Web, los servidores de bases de datos, tendrán diferente repercusión según el tipo de servicio que presta la Universidad y las relaciones de dependencia entre los usuarios.

 

4. Fase de Documentación y Presentación de las pruebas

 

Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.

 

4.1. Utilización de formularios de registro del incidente

 

Es importante que durante el proceso de análisis se mantenga informados a los administradores de los equipos y que tras la resolución del incidente se presenten los informes Técnico y Ejecutivo.
El empleo de formularios puede ayudarle bastante en este propósito. Éstos deberán ser rellenados por los departamentos afectados o por el administrador de los equipos. Alguno de los formularios que debería preparar serán:
  •  Documento de custodia de la evidencia
  •  Formulario de identificación del equipos y componentes
  •  Formulario de incidencias tipificadas
  •  Formulario de publicación del incidente
  •  Formulario de recogida de evidencias
  •  Formulario de discos duros.

 

4.1.1. Informe Técnico

 

Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense.

 

4.1.2. Informe Ejecutivo

 

Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido al personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración e incluso algunos directivos.
a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)