Sei sulla pagina 1di 34

AUDITORIA DE

INFORMATICA FORENSE

Pedro Cacivio
Índice
• Objetivos.
• Definición de Informática Forense
• Problemática
• Definiendo los ambientes
• Congelando la escena del crimen
• Obtención de los datos
• Análisis del material
• Análisis Forense
• La informática forense: no es otra cosa que
la recopilación de información en un sistema
informático, la cual tiene como finalidad el
esclarecimiento de un suceso.
• Esta compromete tanto al hardware como al
software, y estructuras como topologías de
red y el ambiente en donde se desarrolla.
• Para la misma nos valemos de distintas
herramientas, siendo sin duda la mas
importante el conocimiento y le experiencia
que tengamos como auditores de seguridad,
ethical hacker o asesor de seguridad
informática.
Puntos a Tener en cuenta
• Tener un panorama claro de por que
estamos auditando.
• Mantener la escena del crimen lo mas
inalterable posible.
• Tomar todos los recaudos necesarios para
manipular la información.
• De ser posible una vez congelado el
ambiente, trabajar en nuestro laboratorio
forense y nunca en el lugar de los hechos.
• El trabajo de un investigador forense es
necesario para ofrecer un punto de partida
fundamental para los investigadores
policiales, ofreciéndoles pistas sólidas, así
como pruebas para su uso posterior.
Escenarios Posibles de
Intrución
Detectar un ataque informático.
1- Objetivo de los atacantes.
2- Método de ataque y posibles fallas
explotadas.
3- Acciones cometidas en caso de un acceso.
4- Modificación de registros y plantado de rootkit
o programas espías, keyloguer, sniffer, script, etc.
5- Daños ocasionados según el acceso y posibles
instrucciones por puertas traseras.
6- Daños colaterales
7- Daños económicos, robo de información
espionaje informático, acciones ilícitas, maquinas
zombis, ataques a otras partes de la red, etc.
Escenario Posible de Borrados
de Datos
• Lugar donde fueron borrados los datos
• Que tipo de datos fueron borrados o
adulterados
• Quien produjo la acción y que objetivos
persigue
• Métodos usados para el Borrado de información
• Tiempo en que se produjo el borrado o
adulteración de los mismos.
• Posible recuperación de los mismo en caso de
que sea factible.
• Daños Ocasionados y Daños colaterales.
• Problemas Legales
Otros puntos a tener en cuenta
según nuestra experiencia

Que no debe hacer el auditor forense:


A- Auditar el sistema para presentar formas de
intrusión (¿confuso no?)
B- No garantiza la seguridad de los sistemas
C- No garantiza la captura de los atacantes
D- No garantiza la recuperación de la información
E- Se manejara con hipótesis lógicas y
comprobables
F- Nunca dará por supuesto lo ocurrido
Congelando el Escenario
• Hay que lograr no realizar ninguna modificación
de los hechos.
• Determinar el área de impacto
• Hacer imagen por triplicado de los discos
afectados
• De ser posible dejar los discos originales fuera
del servicio, lo mismo con los posibles
afectados.
• Revisar todo el hardware y sus accesos físicos.
• Tomar registros de toda la topología de red, log
de routers, tablas ARP, sistemas IDS y Firewalls,
etc.
• Y que pasa con la intrusión Física?
• Live CD
• Ophcrack
• Backtrack
• Wifislax
• Knoppix
• Ubuntu
• Hacking9
• RIPLinux
• Pmagic
• Cualquier distro Live CD o pendriver boot
Herramientas que usaremos
• Comandos de la Shell de GNU-Linux
• RIPLinux : Live CD para recuperar datos en
GNU-linux
• Pmagic: Live CD para recuperación de datos en
GNU-Linux
• Sleuthkit: Colección de líneas de comandos
básicos de Unix y herramientas de análisis que
te dan la posibilidad de analizar archivos NTFS,
FAT, FFS, EXT2FS y EXT3FS
• Chkrootkit: detector de rootkits en GNU-linux
• Ree: (ROM extensión extractor) escanea tu
memoria (/dev/mem) en busca de extensiones
ROM, y las transforma en archivos. Las
extensiones ROM son las de la BIOS que residen
en el chip de tu ordenador
• FireCat: Extensión de seguridad para Firefox
• Rda: Herramienta forense para adquirir datos
remotamente
• Mac-Robber: obtiene los tiempos de
modificación, acceso y creación de una serie de
archivos para realizar análisis forense.
• Testdisk: Herramientas para chequear y
recuperar particiones del tipo: FAT12 FAT16
FAT32 - Linux - Linux SWAP (version 1 and 2) -
NTFS (Windows NT) - BeFS (BeOS) - UFS (BSD) -
Netware – ReiserFS
• Autopsy: Herramienta grafica para recuperar
archivos .
• Snare: Poderoso sistema de análisis y de
ejecución de informes de intrusión
• Fatback : recuperador de particiones FAT
• Fenris: simplifica la búsqueda de bugs y las
auditorías de seguridad
• Aide: Te indica si hay archivos modificados
y cuáles son. Se usa mucho en honey pots
(sitios aparentemente más frágiles ante
invasiones, que captan la atención de los
hackers, y que son en realidad una trampa
para atraparlos)
• Di: Muestra todo lo que tu comando hace e
informa de la capacidad del disco en el
formato que quieras
• Memfetch: Utilidad para descargar la
memoria sin comprometer el
• El proceso: ser proactivo
• Políticas de seguridad
• Plan de respuesta para incidentes de seguridad
• Plan de informática forense
• Plan para detección de incidentes
• Determinar equipo con recursos y autoridad para actuar
• Implementar procedimientos para diferentes situaciones y
amenazas
• Con regularidad revisar políticas y procedimientos
• Proteger Preservar Notificar
• Sistemas
• Información
• Contener intrusión
• Sistemas y logs aceptablemente legal
• A tu CERT
• Administración
• CERT
• Cuerpo Policial
¿Preguntas?

Potrebbero piacerti anche