Algunas Herramientas Linux de Análisis Forense

Italo Foppiano ReyesDirección de Tecnologías de Información

Universidad de Concepción

Temario

● Motivación● Introducción● Conceptos básicos● Recopilación de información● Comandos básicos● Sleuthkit

– Lineas de tiempo

● Autopsy– Análisis de la información

Temario

● Conclusiones● Comentarios● Preguntas

Motivación

● Basta pocos minutos conectado a Internet para sufrir un ataque

● Poca inversión en seguridad● Solo conociendo qué hizo un atacante es

posible prevenir futuros ataques● Inversión de tiempo para análisis forense es

alto– Por 1 hora atacante => 10 horas de administrador

de sistemas o más

Motivación

● Esfuerzos internacionales de promover el Análisis Forense– Reto Forense Hispano: organizado por UNAM-

CERT y RedIRIS

– Honeypot Proyect

● Poca participación nacional– Ningún Chileno en Reto V1, 2 y 3

Introducción● Objetivo es proveer un resumen de algunas

herramientas linux para el análisis de sistemas post-mortem

● Incremento explosivo de Internet en las últimas décadas ha provocado un incremento similar en la frecuencia de ataques

● A medida que evoluciona la red, también evolucionan los atacantes

● A pesar del incremento anterior poco varía la forma en que los sistemas almacenan la información– Sugiere vigencia de estas técnicas

Conceptos Básicos

● “rm” en UNIX normalmente significa pérdida de información– Los sistemas de archivos modernos evitan la

fragmentación, aun bajo uso intensivo

– La información borrada permanece por mucho tiempo

– Información que varía frecuentemente suele reutilizar el espacio de almacenamiento

– Actividad poco usual suele registrarse en lugares poco usuales, por lo que pueden permanecer por mucho tiempo

Persistencia de la Información

● Según experiencia de Vietse Venema– De un conjunto de discos duros usados se pudo

rescatar el 70% de la información

– La mayor parte de la información permanece inalterable, lo que es muy útil al momento de realizar un análisis forense.

Conceptos Básicos

Conceptos Básicos

● Tiempos MAC– No tiene nada que ver con McDonald

● Atributos de tiempo asociados a cualquier archivo o directorio en sistemas de archivos Unix y Windows.– mtime: instante en que un archivo o directorio fue

modificado por última vez

– atime: instante en que un archivo o directorio fue accesado por última vez

– ctime: instante en que un archivo o directorio fue creado

Recopilación de Información

● Para obtener conclusiones precisas se requiere de información completa

● Sin embargo existe volatilidad en la información– Requiere determinar qué información interesa

● Aplica el principio de incertidumbre de Heisenberg– No es posible capturar toda la información en linea

sin alterar el estado actual del sistema

● No necesariamente se requiere toda la información

Recopilación de Información

● Capas e ilusión– Todo sistema computacional posee capas de

abstracción● Ej. lo desplegado en pantalla es una representación del

contenido de un archivo, que a su vez e una representación de una secuencia de bytes

– Una abstracción genera una ilusión que nos ayuda a comprender mejor

– A medida que se desciende en las capas de abstracción la información se hace más precisa , pero a su vez menos significativa

– Precisión v/s ambigüedad como consecuencia

Recopilación de Información

● Capturando la Información del sistema de archivos– Se requiere evitar alterar la información de acceso

de los archivos

– Se desea copiar los archivos borrados

● Se prefiere copiar la información a otro disco si es posible o a través de la red– Ej dd if=/dev/hda1 bs=100k

Recopilación de Información

● Se sugiere bootear con un sistema confiable– Ej. knoppix

– Usar “nc” para enviar contenido a otro sistema mediante una red confiable

– Ej. ● dd if=/dev/hda1 bs=100k | nc -w 1 host_receptor 1234

Recopilación de Información

Recopilación de Información

Recopilación de Información

● Protegiendo la imagen– md5sum imagen >imagen.md5

● Montando la imagen en la máquina de análisis● No se desea modificar la información● No se desea que se ejecute programas

– Ej. mount imagen /victima -t ext3 -o loop, noexec,ro

– No es indispensable para algunas herramientas de análisis forense como TCT (The Coroners Toolkit)

Comandos Básicos

● Comandos simples de Unix– dd, strings, ldd, grep

● Caso real utilizando grep– Ataques simples por puerto 80

– Toda actividad concentrada en logs de apache

– Linea de tiempo

– Espectro del ataque

– Ej.

Sleuthkit

● Sleuthkit– Conjunto de herramientas para el análisis forense

basado en el Coroners Tool Kit (Wietse Venemas & Dan Farmer)

– Basadas en linea de comando

– Permite accesar una imagen sin tener que montarla

– Procedimiento algo engorroso

– Ej de caso de prueba

Autopsy

● GUI para sleuthkit● Permite automatizar algunas tareas● Gestiona el estudio de un caso● Permite generar reportes● Paquete recomendado junto con sleuthkit● Ej.

Conclusiones

● Es posible realizar un análisis simple con herramientas básicas de *unix

● Un análisis exhaustivo demanda bastante tiempo y dependerá de la experiencia del investigador

● Existen herramientas OpenSource muy buenas que facilitan el análisis forense

● Linux es una plataforma flexible y adecuada par realizar análisis forense

Comentarios

● Es necesario más investigadores forenses● Existen aplicaciones comerciales muy buenas

para el análisis forense– EnCase:

● Para window$

● Existen empresas comerciales que ofrecen servicio de análisis forense y recuperación de información– ¿nicho de mercado poco explotado?

Preguntas

● ¿?