Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Agenda
Introduccin Metodologa y procedimientos Herramientas Caso de estudio Reto de anlisis forense
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 2 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 2 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 3 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 3 An Forense, Auditor Detecci Jos
En busca de respuestas...
Qu sucedi ? Donde ? Cundo ? Por qu ? Quin ? Cmo ?
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 4 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 4 An Forense, Auditor Detecci Jos
Algunos conceptos
Evidencia Cadena de custodia Archivo de hallazgos Lnea de tiempo Imgenes Comprobacin de integridad
Hash
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 5 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 5 An Forense, Auditor Detecci Jos
Preservar o salvar ?
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 6 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 6 An Forense, Auditor Detecci Jos
Sistema muerto
Almacenamiento
Informacin complementaria:
Logs (IDS, firewalls, servidores, aplicaciones)
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 7 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 7 An Forense, Auditor Detecci Jos
Agenda
Introduccin Metodologa y procedimientos Herramientas Caso de estudio Reto de anlisis forense
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 8 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 8 An Forense, Auditor Detecci Jos
Metodologa
Verificacin y descripcin del incidente Adquisicin de evidencias Obtencin de imagenes de las evidencias Anlisis inicial Creacin y anlisis de la lnea de tiempo Anlisis especfico y recuperacin de datos Anlisis de datos y cadenas Generacin del informe
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 9 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 9 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 10 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 10 An Forense, Auditor Detecci Jos
Identificacin SO y aplicaciones
En esta fase se identificaran los sistemas operativos instalados, las aplicaciones utilizadas, antivirus, etc.
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 13 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 13 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 14 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 14 An Forense, Auditor Detecci Jos
Recuperacin archivos
Recuperacin de los archivos borrados y la informacin escondida examinando para esta ltima el slack space:
campos reservados en el sistema de archivos espacios etiquetados como daados por el sistema de archivos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 15 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 15 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 16 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 16 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 17 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 17 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 18 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 18 An Forense, Auditor Detecci Jos
Anlisis de artefactos
Consiste en realizar un anlisis minucioso de posibles contenidos conflictivos identificados en el sistema. Tipos de anlisis:
Comportamiento Cdigo o contenido
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 19 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 19 An Forense, Auditor Detecci Jos
Lnea de tiempo
Esta fase consiste en realizar la reconstruccin de los hechos a partir de los atributos de tiempo de los archivos, lo que permite correlacionarlos enriqueciendo la evidencia.
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 20 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 20 An Forense, Auditor Detecci Jos
Informe
En esta fase elaboramos la realizacin del informe con los hallazgos, que contiene una descripcin detallada de los hallazgos relevantes al caso y la forma como fueron encontrados.
Descripcin del caso Sistema atacado Valoracin de daos Descripcin del ataque Anexos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 21 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 21 An Forense, Auditor Detecci Jos
Agenda
Introduccin Metodologa y procedimientos Herramientas Caso de estudio Reto de anlisis forense
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 22 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 22 An Forense, Auditor Detecci Jos
Herramientas
Aplicaciones comerciales:
Encase
Aplicaciones opensource:
Sleuthkit, Autopsy, Helix, Fire, etc.
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 23 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 23 An Forense, Auditor Detecci Jos
Agenda
Introduccin Metodologa y procedimientos Herramientas Caso de estudio Reto de anlisis forense
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 24 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 24 An Forense, Auditor Detecci Jos
Agenda
Introduccin Metodologa y procedimientos Herramientas Caso de estudio Reto de anlisis forense
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 25 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 25 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 26 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 26 An Forense, Auditor Detecci Jos
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 27 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 27 An Forense, Auditor Detecci Jos
Montaje de la imagen
Para montar la imagen utilizamos Filedisk por ser licencia GPL
> filedisk /mount 0 d:\windows2003.img /ro z:
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 28 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 28 An Forense, Auditor Detecci Jos
Recogida de datos
Recogida de datos del sistema en:
%systemroot%\system32\config
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 29 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 29 An Forense, Auditor Detecci Jos
Inicios de sesin
INICIOS DE SESION*
Logs
LOGS (%systemroot%\system32\config
SysEvent.Evt SecEvent.Evt AppEvent.Evt
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 31 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 31 An Forense, Auditor Detecci Jos
Perfil de usuario
Registro del perfil de usuario:
Documents and Settings\<<nombre usuario>>\NTuser.dat
Dicho fichero se carga la seccin HKEY_CURRENT_USER del Registro y cuando se inicia sesin y cuando cierra se actualiza.
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 32 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 32 An Forense, Auditor Detecci Jos
Histrico de navegacin
Internet Explorer
\Documents and Settings\<usuario>\Local Settings\Temporary Internet Files\Content.IE5\ \Documents and Settings\<usuario>\Cookies\ \Documents and Settings\<usuario>\Local Settings\History\History.IE5\
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 33 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 33 An Forense, Auditor Detecci Jos
Referencias
Helix Live CD, e-fense
URL: http://www.e-fense.com/helix/
Anlisis Forense, Auditoras y Deteccin de Intrusiones - 34 Copyright 2006 Carlos Fragoso / Jos L.Rivas - 34 An Forense, Auditor Detecci Jos