El siguiente Cheat Sheet proporciona diversas instrucciones de ejemplo sobre el uso de herramientas y técnicas relacionadas con el Análisis Forense Digital.

Contenido:

• Mounting DD Images
• Mounting NTFS DD Images
• Imaging Systems
• Integrity Checking
• Sorter
• Automated Forensic Data Collection
• Recovering Data
• Creating Timelines
• String Searches
• The Sleuthkit

Descargar Cheat Sheet de Análisis Forense / PDF (Password: www.dragonjar.org)

Este Cheat Sheet fué desarrollado y publicado por la SANS.

En dicho archivo podemos encontrarnos con el registro de envío de un e-mail (h4ckIII@hotmail.com), esto lo confirmamos luego de analizar en detalle la información contenida en el fichero pagefile.sys, el archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora, conocida como Memoria RAM.

Así se amplia la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. (más información sobre el archivo pagefile.sys)

Aún no veremos en detalle el análisis a estos archivos, pues en futuras entregas veremos algunas herramientas que nos permitirán analizar de mejor manera esta información.

Descargar video tutorial de análisis de actividad del usuario sospechoso (Password: www.dragonjar.org)

En esta sesión observaremos en detalle los sucesos registrados bajo la sección de seguridad, veamos a que se refieren estos tipos de eventos:

El registro de seguridad graba eventos como intentos válidos y no válidos de inicio de sesión, así como eventos relacionados con el uso de recursos como crear, abrir o eliminar archivos. Por ejemplo, cuando la auditoría del inicio de sesión está habilitada, se graba un evento en el registro de seguridad cada vez que un usuario intenta iniciar sesión en el equipo. Debe haber iniciado sesión como Administrador o como miembro del grupo Administradores para poder activar, utilizar y especificar qué eventos se grabarán en el registro de seguridad.

El profundo análisis de estos eventos nos permitirá encontrar muchas actividades sospechosas en el sistema (visitas a páginas web, ejecución del msn, envío de correos, eliminación de archivos, etc), además de la creación del presunto usuario respondable de la intrusión.

El siguiente video tutorial nos muestra como podemos llevar a cabo un análisis detallado de los registros correspondientes a Seguridad en el visor de sucesos, además de la identificación de cración de una cuenta de usuario, eso sumado a los permisos de administrador asignados a la misma.

Descargar video tutorial de análisis de eventos de seguridad en el visor de sucesos (Password: www.dragonjar.org)

Una vez que me hemos recolectado toda la información posible sobre aplicaciones, usuarios, Sistema Operativo, Dispositivos, etc, se hace necesario identificar con total claridad las distintas interacciones entre cada una de ellas.

Dicho de otra manera comenzaremos con un ciclo de análisis que implica mucho tiempo y mucha concentración, pues este conlleva a realizar un análisis concienzudo de cada uno de los eventos registrados por el sistema.

Se hace necesario como primera medida aclarar algunos conceptos. Veamos:

Visor de sucesos:

El Visor de sucesos es la herramienta que nos permite visualizar la información registrada por el sistema sobre los diferentes eventos relacionados con errores, advertencias, Información y accesos, sucedidos sobre aplicaciones, sistema, seguridad, etc.

En el siguiente enlace se puede obtener una definición más amplia y detallada sobre el visor de sucesos, además de los diferentes tipos de eventos (Aplicación, Seguridad, Sistema) – Visor de sucesos por Microsoft.

El video tutorial muestra entonces, el procedimiento de extracción de los archivos contenedores de los eventos registrados por el sistema, además del proceso de visualización de cada uno de estos tipos de eventos. En la próxima práctica aprenderemos a identificar y clasificar cada uno de ellos.

Descargar Video tutorial análisis de eventos del sistema (Password: www.dragonjar.org)

Veamos algunas definiciones de interés:

Apache:

El servidor HTTP Apache es un software (libre) servidor HTTP de código abierto para plataformas Unix (BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que implementa el protocolo HTTP/1.1 y la noción de sitio virtual. Cuando comenzó su desarrollo en 1995 se basó inicialmente en código del popular NCSA HTTPd 1.3, pero más tarde fue reescrito por completo. Su nombre se debe a que Behelendorf eligió ese nombre porque quería que tuviese la connotación de algo que es firme y enérgico pero no agresivo, y la tribu Apache fue la última en rendirse al que pronto se convertiría en gobierno de EEUU, y en esos momentos la preocupación de su grupo era que llegasen las empresas y “civilizasen” el paisaje que habían creado los primeros ingenieros de internet. Además Apache consistía solamente en un conjunto de parches a aplicar al servidor de NCSA. Era, en inglés, a patchy server (un servidor “parcheado”).
(Más información sobre Apache)

WebERP:

WebERP, un Software Libre, que se constituye en una gran alternativa de trabajo para las actividades contables o relacionadas con el ERP (manejo de los recursos empresariales). Se trata de un proyecto de código libre, orientado a ofrecer a pequeñas y medianas empresas, una aplicación potente y sostenible, que les permita ahorrar recursos y costos, a la hora de implementar un sistema de este tipo.
(Más información sobre WebERP)

En el siguiente video tutorial se observa el proceso de análisis de los archivos de configuración de Apache y del WebERP, en este último se destaca que el usuario de conexión por medio de MySQL no tiene asignado ninguna contraseña, aún no puede determinarse si el administrador del sistema configuró el sistema de esta manera o el intruso modificó esta configuración. Eso podremos determinarlo luego de analizar los eventos registrados en el sistema (tema de estudio para la próxima práctica).

Descargar video tutorial del análisis de los archivos de configuración de Apache y del WebERP (Password: www.dragonjar.org)

Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad – Security Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina.

En el siguiente video tutorial podemos observar como por medio de la herramienta SAMDUMP aplicada a los archivos SAM y System podemos obtener los SID, nombres completos y descripción de cada uno de los usuarios.

Descargar video tutorial de extracción e identificación del SID de usuarios con SAMDUMP (Password: www.dragonjar.org)

En el siguiente video tutorial muestra como podemos organizar los datos obtenidos con SAMDUMP y como podemos identificar el usuario sospechoso de la intrusión (Se hace sospechosa la cuenta pues esta no tiene una descripción como la que tienen las demás cuentas). Esto con la finalidad de analizar e identificar más facilmente los diferentes eventos que se hayan registrado en el registro de eventos de sistema.

Descargar video tutorial de organización e identificación del usuario sospechoso (Password: www.dragonjar.org)

Firewall de Windows:
Firewall de Windows, llamado hasta ahora Servidor de seguridad de conexión a Internet o ICF, es un límite de protección que supervisa y restringe la información que viaja entre el equipo y la red o Internet. De ese modo, se proporciona una línea de defensa contra quienes pudieran intentar tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.
(Más información sobre el Firewall de Windows)

En el siguiente video tutorial se observa el análisis de como podemos establecer si estaba o no habilitado el cortafuegos, excepción de aplicaciones, notificaciones y puertos habilitados.

HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – Services – SharedAccess – Parameters – FirewallPolicy

Descargar video tutorial de identificación de la configuración del Firewall de Windows (Password: www.dragonjar.org)

Terminal Services:
Los servicios de terminal (o terminal services) son un componente de los sistemas operativos windows que permite a un usuario acceder a las aplicaciones y datos almacenados en otro ordenador mediante un acceso por red.

Basado en el protocolo de escritorio remoto (Remote Desktop Protocol (RDP)) aparece por primera vez en Windows NT 4.0 (Terminal Server Edition).

Los productos Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server y Windows Server 2003 han introducido algunas mejoras y funcionalidades nuevas.

Microsoft proporciona el software cliente para todas las versiones de Windows 32 bits y para Mac OS X de Apple.
(más información sobre terminal services)

En el siguiente video tutorial se observa la ruta a seguir desde el registro de windows para identificar el valor de disponibilidad de este servicio.
(HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – Control – Terminal Server – TSEnabled).

Descargar video tutorial de identificación de Terminal Services desde el registro de WIndows (password: www.dragonjar.org)

En el siguiente videotutorial se observa como podemos obtener los nombres de usuario del directorio Documents and Settings y como podemos extraer el archivo SAM, y System (archivos de administración de cuentas de seguridad en Windows) que almacena los usuarios y contraseñas cifrados del sistema y como podemos descifrar sus respectivos passwords. (para ello hago uso de la herramienta SAMInside)
Más información sobre archivos SAM y System.

Descargar Video Tutorial de identificación de usuarios del sistema, extracción de archivos SAM y System y cracking a los mismos. (password: www.dragonjar.org)

Para ello seguiré haciendo uso de la herramienta Alien Registry Viewer. Veamos:

Así como vimos en la práctica anterior y pudimos determinar el software instalado en el sistema obejtivo, veremos como podemos determinar todos los usuarios, el sistema operativo y services pack, zona horaria, procesador, interfaces de red, entre muchos otros datos de interés.

En el video tutorial se muestra el proceso mediante el cual es posible extraer la carpeta Config del sistema objetivo. Carpeta que contiene el registro de Windows y otra información que será objeto de estudio en estas prácticas.

Descargar Video tutorial de extracción de datos del sistema (usuarios, zona horaria, procesador, interfaces de red. S.O)(password: www.dragonjar.org

Apuntes de interés:

Usuarios en el sistema:
HKEY_LOCAL_MACHINE – SAM – Domains – Account – Users – Names

Software Instalado en el sistema:
HKEY_LOCAL_MACHINE – SOFTWARE

Nombre del producto (S.O), Versión actual, Registrante, ServicePack:
HKEY_LOCAL_MACHINE – SOFTWARE – Microsoft – Windows NT – CurrentVersion

Nombre del Equipo:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – Control – ComputerName

Nombre del Equipo, Zona Horaria:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 – TimeZoneInformation

Procesador:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 -Enum – GenuineIntel_-_x86_Family_6_Model_8

Interfaces de Red:
HKEY_LOCAL_MACHINE – SYSTEM – ControlSet002 -Services – Tcpip – Parameters – Interfaces

En mi caso lo haré con la solución software Alien Registry Viewer, veamos:

Abrimos el archivo de registro que almacena la información  SOFTWARE con la herramienta Alien Registry Viewer, luego nos dirigimos a los respectivos directorios:

HKEY_LOCAL_MACHINE – SOFTWARE, allí nos encontramos con algunas aplicaciones como:
Apache Group en su versión 1.3.34, MySQL, PostgreSQL, Mozilla entre otros.

Dejo a continuación el video tutorial para facilitar el seguimiento de este proceso.

Descargar video tutorial de identificación del software instalado en el sistema objetivo (Password: www.dragonjar.org)

Es el momento de comenzar a interactuar más con el sistema a analizar para recolectar toda la información necesaria y que muestre los resultados a los objetivos propuestos.

Para esta finalidad nada mejor que la información contenida en el registro de Windows, pero para poder entender de que va todo esto se hace necesario definir y tener muy claro este concepto.

Veamos:

El Registro de Windows

El Registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows.

Contiene información y configuraciones de todo el hardware, software, usuarios, y preferencias del PC. Si un usuario hace cambios en las configuraciones del “Panel de control”, en las asociaciones de ficheros, en las políticas del sistema o en el software instalado, los cambios son reflejados y almacenados en el registro.

El Registro se almacena en varios ficheros que, dependiendo de la versión de Windows, se ubican en diferentes lugares dentro del sistema local, excepto NTuser (o archivo de usuario), que puede ser ubicado en otra máquina para permitir perfiles móviles.

Windows NT, 2000, XP, Server 2003 y Vista

Los siguientes archivos del Registro se encuentran en %SystemRoot%\System32\Config\:

• Sam – HKEY_LOCAL_MACHINE\SAM
• Security – HKEY_LOCAL_MACHINE\SECURITY
• Software – HKEY_LOCAL_MACHINE\SOFTWARE
• System – HKEY_LOCAL_MACHINE\SYSTEM
• Default – HKEY_USERS\DEFAULT
• Userdiff

En la carpeta %SystemRoot%\repair se encuentra una copia de seguridad.

El siguiente archivo se encuentra en cada carpeta de usuario:

• NTUSER.dat

Una vez definido y teniendo clara la importancia de la información que puede almacenar el registro de windows, vamos a analizarlo para obtener la información que necesitamos para determinar los sucesos que afectaron al sistema objetivo.

Como ya tenemos montada nuestra nueva unidad con el sistema objetivo (Mount Image Pro) nos dirigimos al directorio WINDOWS/system32/config, extraemos el contenido y lo pasamos a la maquina desde la que estemos haciendo el análisis (para este caso Windows XP).

Para visualizar el registro extraído del sistema objetivo podemos hacerlo con varias soluciones software, entre las cuales se destacan las siguientes:

AccessData Registry Viewer
Alien Registry Viewer
Regedit

Estos son unos procesos sencillos (extracción y visualización del registro) para los cuales no se hace necesario un video demostrativo. Para las próximas sesiones en donde trataremos de identificar los usuarios, software instalado, nombre del equipo, dispositivos, zona horaria, Firewall, eventos del sistema, etc, si se hará necesario la publicación de video tutoriales para su fácil comprensión.

Referencias y enlaces de interés:

Registro de Windows en la Wikipedia

Introducción al registro de Windows

Para ello, solo basta con explorar un poco algunos directorios del sistema, en los cuales se encuentran algunos logs interesantes y que revelan las actualizaciones del mismo.

Cabe aclarar que este no es el único método para determinar las actualizaciones del sistema, este es solo uno de ellos, pues en otras publicaciones veremos otros procedimientos para determinarlas (registro).

El siguiente video tutorial presenta un simple exploración por el sistema de archivos del objetivo, además de la ubicación y consulta correspondiente a cada log de actualización (ID de HotFix – Falla que corrige, Fecha y hora de actualización, etc).

Descargar video tutorial de identificación de actualizaciones instaladas en el sistema (password: www.dragonjar.org)

EnCase Enterprise/Forensic:

EnCase proporciona las herramientas más avanzadas para el Análisis Forense de Sistemas e Investigaciones Digitales. Con un entorno gráfico intuitivo, flexible y un rendimiento sin igual, EnCase proporciona a los investigadores todo lo necesario para realizar análisis a gran escala en investigaciones complejas con precisión y seguridad.

Una solución premiada que garantiza por completo la integridad de la información tratada permitiendo a los analistas gestionar con facilidad grandes volúmenes de pruebas digitales incluso en ficheros borrados, en áreas de slack, zonas de paginación y clusters sin asignar.

• Adquisición de imágenes forenses utilizando técnicas no invasivas con soporte para múltiples sistemas: Windows, MAC OS, Linux, Solaris, HP UX
• Soporte Unicode completo
• Capacidad para análisis concurrente de múltiples sistemas
• Herramientas de búsqueda avanzada
• Soporte para RAID 0,1 y 5
• Soporte para Sistemas de Fichero NTFS comprimidos
• Gestión de filtros compuestos
• Tiempos de respuesta únicos gracias a múltiples caches a nivel de sector y algoritmos de búsqueda optimizados

El video tutorial muestra entonces el proceso de creación de un caso en esta herramienta, además de una simple exploración por el sistema de archivos en la imágen implementada con Mount Image Pro.

Descargar video tutorial de creación de un caso con EnCase Enterprise/Forensics (password: www.dragonjar.org)

Más información sobre EnCase
Página Oficial de EnCase

Esta exploración se lleva a cabo sobre el entorno de trabajo implementado con Mount Image Pro, esto con la finalidad de no alterar la evidencia y tratando de entrar en un primer contacto con el sistema de archivos del sistema (Servidor Web Apache, WebERP, Carpetas y Archivos personales, etc.)

Descargar Video Tutorial de exploración de archivos mediante Mount Image Pro (password: www.dragonjar.org)

Para ello utilizaremos la partición objetivo como una unidad más en nuestra máquina. Para esta labor haremos uso de la solución software Mount Image Pro.

Mount Image Pro nos permitirá montar en Windows los archivos de imágenes, conservando la integridad de la imagen a analizar.

En el siguiente video tutorial se detallará el paso a paso del proceso de instalación de Mount Image Pro en nuestra máquina. Además mostraré el procedimiento de implementación de la imágen objetivo como una unidad más en nuestro PC.

Descargar Videotutorial de instalación de Mount Image Pro e implementación de la imágen (password: www.dragonjar.org)
Más información sobre Mount Image Pro
Descargar Mount Image Pro (Trial totalmente operativo por 30 días)

Para este propósito bastará, con analizar los primeros bytes de la imágen con un editor hexadecimal.

El resultado de esta observación nos muestra que corresponde a un sistema de ficheros NTFS.

Veremos además el procedimiento para determinar el Sistema Operativo de la imágen a analizar.

Para ello veremos como crear un caso con la solución para Análisis Forense conocida como Autopsy (Interfaz gráfico para The Sleuth Kit).

The Sleuth Kit es un conjunto de herramientas en línea de comandos, desarrolladas en Perl y que permiten llevar a cabo Análisis Forenses a sistemas computacionales. Ambas herramientas (The Sleuth Kit y su interfaz web Autopsy) son de libre uso y libre distribución.
Al igual que para las tareas de Test de Penetración y Hacking Ético existe una distribución favorita conocida como Backtack, para las labores relacionadas con la Informática Forense existe otra favorita bajo el nombre de HeliX, la cual incluye un completo Set de utilidades que nos facilitan la vida para este tipo de trabajos (posteriormente publicaré en la sección de recursos un completo análisis a dicha distribución). Entre estas utilidades se incluye a este par de herramientas (The Sleuth Kit -  Autopsy).

Por ahora veamos entonces el videoutorial como crear un caso de Análisis Forense en Autopsy con la imágen para observar como podemos identificar el Sistema Operativo a analizar. Cabe aclarar que está no es la única manera de identificar el Sistema Operativo, pues en varias publicaciones veremos diferentes métodos.

Descargar Videotutorial de iniciación de un caso en Autopsy e identificación de la versión de Windows Instalada. (password: www.dragonjar.org)

A pesar de ello, muchos procedimientos registrados en los videos pueden ser utilizados en diferentes escenarios que se asemejen de alguna forma.

Verificación de la integridad de los archivos (imágenes) mediante su firma MD5, esta imágen corresponde al sistema previamente comprometido y que será objeto del análisis.

Se hace necesario además aclarar el concepto de firmas y comprobación MD5:

Los resúmenes MD5 se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores. Esto protege al usuario contra los ‘Caballos de Troya’ o ‘Troyanos’ y virus que algún otro usuario malicioso pudiera incluir en el software. La comprobación de un archivo descargado contra su suma MD5 no detecta solamente los archivos alterados de una manera maliciosa, también reconoce una descarga corrupta o incompleta.

Para comprobar la integridad de un archivo descargado de Internet se puede utilizar una herramienta MD5 para comparar la suma MD5 de dicho archivo con un archivo MD5SUM con el resumen MD5 del primer archivo. En los sistemas UNIX, el comando de md5sum es un ejemplo de tal herramienta. Además, también está implementado en el lenguaje de scripting PHP como MD5(“”) entre otros.

Una vez acalarado el punto anterior, procedemos entonces a verificar la integridad del archivo descargado, esto con la finalidad de comprobar de que verdaderamente el archivo descargado corresponde a la imágen que los administradores generaron.

Para este caso se utilizó la herramienta Md5Checker y en el video tutorial se muestra el modo de uso.

Descargar Videotutorial en formato swf (password: www.dragonjar.org)

Referencias:

Algoritmo MD5 en Wikipedia
Verificando archivos mediante firmas md5
Md5Checker – Descargar Md5Checker

Escenario propuesto:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

Objetivos:

El objetivo del mismo es el análisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como única información, se proporciona una imágen (o copia) de dicho sistema.

Permitir determinar los siguientes puntos de interés para el análisis:

• Motivos de la intrusión.
• Desarrollo de la intrusión.
• Resultados del análisis.
• Recomendaciones.

Instalación de un entorno de trabajo en el que, de forma segura y garantizando el no modificar la evidencia, proceder a la ejecución de las herramientas de análisis forense seleccionadas, la mayoría de carácter público y accesibles en la red.

Puntos a cubrir:

• Antecedentes del incidente
• Recolección de los datos
• Descripción de la evidencia
• Entorno del análisis –Descripción de las herramientas–
• Análisis de la evidencia –Información del sistema analizado–
• Características del SO
• Aplicaciones
• Servicios
• Vulnerabilidades
• Metodología
• Descripción de los hallazgos
• Huellas de la intrusión
• Herramientas usadas por el atacante
• Alcance de la intrusión
• El origen del ataque
• Análisis de artefactos
• Cronología de la intrusión
• Conclusiones
• Recomendaciones específicas
• Referencias

La imágen del sistema a analizar puede ser descargada desde los siguientes enlaces (haciendo uso de algún cliente FTP)

ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz
ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz

Las firmas md5 de la imagen completa, comprimida y descomprimida, respectivamente, son

• 062cf5d1ccd000e20cf4c006f2f6cce4 – windows2003.img
• 33a42d316c060c185f41bfcacf439747 – windows2003.img.gz

Más información sobre el reto de Informática Forense

En el transcurso de la semana iré publicando los diferentes recursos para este laboratorio (imágen del sistema a analizar, herramientas, videos de desarrollo, manuales y documentación).

Por ahora publico el registro fotográfico .

Fotografías del 4° HackTaller en Medellín – Informática Forense

“Un saludo…

Lamento informarles que este próximo sabado se realizan las jornadas institucionales en el ITM, por lo tanto no se permite el ingreso a las sedes.

Por ahora queda aplazado el laboratorio de informática forense, hasta el próximo sabado 18 de octubre.
No contaba con esas jornadas y mucho menos que no se permitiera el ingreso a la sede
Voy a ir publicando entonces el material para que lean y practiquen y podamos avanzar mucho más en el Lab. ”

Hago la invitación a la comunidad en general para que asistan a este cuarto HackTaller en Medellín.
La temática específica será publicada en el transcurso de la semana, pero a nivel general aprenderemos sobre informática forense con un caso práctico.

Día: 18 de octubre de 2008
Hora: 1:30 pm
Lugar: Tecnosoft – Parque Tecnológico, Boston (antiguo Colegio San José, ahora ITM de Boston) Cr 31 # 54 – 10

Recomiendo la lectura del material publicado (Introducción y contenido)

Recuerden que los cupos son limitados y se debe hacer un registro enviando un correo electrónico a (4v4t4r @ gmail.com) y publicando en este post.
Les recuerdo también que estos laboratorios no tienen ningún costo

Para ello comenzaré con la definición del concepto Informática forense y nada mejor que la definición ofrecida por la Wikipedia, veamos:

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Dispositivos a analizar

La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:

• Disco duro de una Computadora o Servidor
• Teléfono Móvil o Celular, parte de la telefonía celular
• Agendas Electrónicas (PDA)
• Dispositivos de GPS
• Impresoras
• Memorias USB

Cadena de Custodia:
Proceso ininterrumpido y documentado que permite demostrar la autenticidad de la evidencia física

Pasos del cómputo forense
El proceso de análisis forense a una computadora se describe a continuación:

Identificación
Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor desición con respecto a las búsquedas y la estrategia de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de desición con respecto al siguiente paso una vez revisados los resultados.

Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

Presentación
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos.

Una vez clara la definción de Análisis Forense continuemos con el contenido temático de este nuevo laboratorio.

Contenido Temático (Propuesta con ejemplo práctico de laboratorio)

Definiciones:

• Informática Forense
• Sistemas vivos
• Sistemas muertos

Metodologías
Evidencia digital:

• Identificación
• Recolección
• Preservación
• Análisis
• Dispositivos

Documentación
Técnicas antiforenses

Caso práctico de Laboratorio

• Antecedentes del incidente
• Recolección de los datos
• Descripción de la evidencia
• Entorno del análisis

Descripción de la evidencia

• Análisis de la evidencia

Información del sistema Analizado
Características del S.O
Aplicaciones
Servicios
Vulnerabilidades
Metodología

• Descripción de los hallazgos

Huellas de la intrusión
Herramientas usadas por el atacante
Alcance de la intrusión
El origen del ataque

• Análisis de artefactos
• Cronología de la intrusión
• Conclusiones
• Recomendaciones específicas
• Referencias

Para concluir anexo algunas fuentes de información necesarias para abordar este nuevo desafío:

Introducción a la informática forense

¿Qué es la informática forense o Forensic?

Informatica Forense en Colombia

Nota: Para el caso práctico de Laboratorio haré uso de los magníficos recursos publicados por la gente de Seguridad Unam