En los siguientes Post veremos el procedimiento necesario para la implementación de Snort bajo CentOS Linux y las diferentes herramientas necesarias e implicadas en ello: MySQL, AdoDB, PHP, Apache, BASE, Ntop, IpTables, Snort, SSH, etc.

En el siguiente video tutorial observamos todo el proceso de instalación de CentOS en una nueva máquina virtual, selección de servicios básicos básicos de CentOS y una pequeña introducción a lo que será el proceso de Hardening de Linux CentOS.

Descargar video tutorial de instalación de CentOS e introducción a Snort bajo Linux (Password: www.dragonjar.org)

Para ello comenzaré con la definición del concepto Informática forense y nada mejor que la definición ofrecida por la Wikipedia, veamos:

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Dispositivos a analizar

La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:

• Disco duro de una Computadora o Servidor
• Teléfono Móvil o Celular, parte de la telefonía celular
• Agendas Electrónicas (PDA)
• Dispositivos de GPS
• Impresoras
• Memorias USB

Cadena de Custodia:
Proceso ininterrumpido y documentado que permite demostrar la autenticidad de la evidencia física

Pasos del cómputo forense
El proceso de análisis forense a una computadora se describe a continuación:

Identificación
Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor desición con respecto a las búsquedas y la estrategia de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de desición con respecto al siguiente paso una vez revisados los resultados.

Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

Presentación
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos.

Una vez clara la definción de Análisis Forense continuemos con el contenido temático de este nuevo laboratorio.

Contenido Temático (Propuesta con ejemplo práctico de laboratorio)

Definiciones:

• Informática Forense
• Sistemas vivos
• Sistemas muertos

Metodologías
Evidencia digital:

• Identificación
• Recolección
• Preservación
• Análisis
• Dispositivos

Documentación
Técnicas antiforenses

Caso práctico de Laboratorio

• Antecedentes del incidente
• Recolección de los datos
• Descripción de la evidencia
• Entorno del análisis

Descripción de la evidencia

• Análisis de la evidencia

Información del sistema Analizado
Características del S.O
Aplicaciones
Servicios
Vulnerabilidades
Metodología

• Descripción de los hallazgos

Huellas de la intrusión
Herramientas usadas por el atacante
Alcance de la intrusión
El origen del ataque

• Análisis de artefactos
• Cronología de la intrusión
• Conclusiones
• Recomendaciones específicas
• Referencias

Para concluir anexo algunas fuentes de información necesarias para abordar este nuevo desafío:

Introducción a la informática forense

¿Qué es la informática forense o Forensic?

Informatica Forense en Colombia

Nota: Para el caso práctico de Laboratorio haré uso de los magníficos recursos publicados por la gente de Seguridad Unam

Muchos de estos comandos serán utilizados en próximos laboratorios (Crptografía, BackTrack, E-Forensics, etc), además dejo enlaces a otra páginas con muchos otros comandos. Veamos:

alias
Define y consulta alias de comandos
arch
Muestra información sobre la arquitectura de la máquina
awk
Búsqueda de patrones y lenguaje de procesamiento

bash
Bourne Again Shell
bg
Desplaza a segundo plano procesos ejecutándose en primer plano
biff
Avisa cuando llega un correo
cat
Concatena y muestra ficheros

cd
Cambia directorio
change
Cambia información sobre la caducidad de las contraseñas
chgrp
Cambia el grupo propietario
chmod
Cambia los permisos de los ficheros
chroot
Ejecuta comando en un directorio raiz especial
chsh
Cambia la shell
clear
Limpia la pantalla del terminal
cp
Copia ficheros y directorios
crontab
Mantiene los ficheros del planificador cron
csh
Shell C
cut
Elimina trozos de cada línea de un fichero
date
Muestra o establece la fecha y hora del sistema
dd
Convierte y copia ficheros
df
Muestra información sobre el espacio libre del disco
diff
Busca diferencias entre ficheros
dig
Utilidad de búsqueda DNS (Domain Name System)
dmesg
Muestra mensajes de diagnóstico desde el búfer del sistema
dnsdomainname
Muestra el nombre DNS (Domain Name System) del sistema
domainname
Muestra el nombre NIS (Network Information System) o YP (Yellow Pages) del sistema
du
Estima el espacio utilizado por un fichero
echo
Muestra una línea de texto
env
Ejecuta un programa en un entorno modificado
false
Sale con un código de estado que indica fallo
fdisk
Manipula la tabla de particiones de los discos
fg
Mueve a primer plano procesos ejecutándose en segundo plano
file
Determina el tipo de fichero
find
Busca ficheros por la jerarquía de directorios
free
Muestra la cantidad de memoria utilizada y libre del sistema
ftp
Cliente FTP
fuser
Identifica los procesos que están utilizando ciertos ficheros o sockets
gcc
Compilador GNU de C y C++
grep
Muestra las líneas que cumplen un cierto patrón
groupadd
Crea un grupo nuevo
groupdel
Elimina un grupo
groupmod
Modifica un grupo
groups
Muestra todos los grupos a los que pertenecen un usuario
gunzip
Descomprime ficheros comprimidos con el algortimo Lempel Ziv
gzip
Comprime ficheros con el algoritmo Lempel Ziv
host
Utilidad de búsqueda DNS (Domain Name System)
hostname
Muestra o establece el nombre del sistema
id
Muestra los ID efectivo y real de usuario y de grupo
ifconfig
Configura una interfaz de red
kill
Termina un proceso
ksh
Shell Korn
last
Muestra una lista con los últimos usuarios conectados al sistema
lastlog
Muestra la última hora de conexión de una cuenta
ln
Crea enlaces entre ficheros
ls
Muestra el contenido de los directorios
mail
Envía y recibe mensajes de correo
man
Formatea y muestra las páginas de manual
mesg
Controla el acceso de escritura en un terminal
mkdir
Crea directorios
more
Muestra el contenido de ficheros pantalla a pantalla
mount
Monta sistemas de ficheros
mv
Mueve o renombra ficheros y directorios
netstat
Muestra conexiones de red, tablas de rutas, estadísticas de las interfaces, conexiones ocultas y pertenencia a redes multicast
nice
Ejecuta un programa modificando los atributos de prioridad
nslookup
Lanza consultas a los servidores de nombres
passwd
Cambia los atributos de conexión y las contraseñas
ping
Envía paquetes ECHO_REQUEST ICMP
ps
Muestra información sobre los procesos en ejecución
pwd
Muestra el nombre del directorio actual
quota
Muestra el uso de disco y los límites establecidos
quotaoff
Desactiva las cuotas del sistemas de ficheros
quotaon
Activa las cuotas del sistema de ficheros
repquota
Ofrece Ofrece un resumen de las cuotas definidas
rm
Elimina ficheros o directorios
rmdir
Elimina directorios vacios
route
Muestra o manipula la tabla de rutas del sistema
rpcinfo
Muestra información sobre RPC (Remote Procedure Calls)
sed
Editor Stream
setquota
Establece coutas de disco
showmount
Muestra información de los directorios montados en un servidor NFS (Network File System)
shutdown
Ejecuta una parada del sistema
slepp
Deteniene el proceso la cantidad de tiempo especificada
sort
Ordena líneas en ficheros de texto
strace
Traza las llamadas al sistema y las señales
strings
Muestra los caracteres imprimibles de un fichero
tar
Utilidad de empaquetamiento
tcsh
Shell C con edición de comandos
telnet
Cliente Telnet
tftp
Cliente TFTP (Trivial File Transfer Protocol)
traceroute
Muestra la ruta que siguen los paquetes para llegar a un determinado sistema
true
Sale con un código de estado que indica éxito
unmount
Desmonta un sistema de ficheros
uname
Muestra información sobre el sistema
useradd
Crea un nuevo usuario
userdel
Borra una cuenta de usuario
uptime
Muestra la cantidad de tiempo que el sistema lleva encendido
vi
Editor de texto
x
Muestra los usuarios que están conectados al sistema y lo que están haciendo
wall
Envía mensajes a todos los usuarios
wc
Muestra el número de bytes, palabra y líneas de un fichero
whereis
Localiza el fichero ejecutable, el código fuente y las páginas de manual de un determinado programa
which
Muestra la ruta completa de un fichero
who
Muestra los usuarios que están conectados al sistema
whoami
Muestra el ID efectivo del usuario
write
Envía mensajes a otro usuario
ypdomainname
Muestra o establece el nombre NIS (Network Information System) o YP (Yellow Pages) del sistema

Enlaces de interés con otros comandos (I, II, III, IV, V, VI, VII)