Banner 1

Análisis forense en Windows (I)

En el momento de analizar un ordenador después de haber sido expuesto a un ataque de algún hacker, es necesario tomar las medidas oportunas para no destruir las pruebas y delatar al culpable. En este artículo encontrará las bases para el análisis forense de equipos informáticos.

Una reexaminación forense de un sistema de ordenador es, comúnmente, llevado a cabo por investigadores entrenados usando herramientas hardware y software especiales.La popularidad de los sistemas operativos Windows, tanto en versión servidor como en versiones para usuarios finales, ha hecho una fuente común de evidencias para tales investigadores.
El rango de utilidades que pueden ser usadas para examinar sistemas Windows no para de crecer. En cambio, una examinación forense real de un ordenador (que puede ser requerida en un juicio) no se sitúa solamente en un laboratorio de alta tecnología, sino que se enmarca en un cuadro legal basado en la legislación vigente e incluso en ocasiones, influido por la prensa.
Los investigadores con suficiente experiencia saben que el éxito de un análisis forense de un ordenador (o sistema informático en general) dependen no sólo de la habilidad de destapar la evidencia y las pruebas, sino de demostrar estas de forma comprensible en el momento adecuado: en el juzgado con su correspondiente tribunal. Tales consideraciones pueden considerarse de poca utilidad para los técnicos cuya finalidad sea recuperar datos o volver a un estado de normalidad, pero en una investigación real es necesario descubrir las causas y las motivaciones del ataque, que pueden proporcionar datos de extrema importancia.

Fases
La primera fase de una investigación es la preparación que puede comenzar incluso antes de que el crimen haya sido cometido o se haya detectado un incidente de seguridad. Importante: no es tarea únicamente de los investigadores, sino también de los administradores del sistema en cuestión. Este artículo, examinará los pasos preparatorios que deben ser usados por los investigadores y los administradores de sistemas.
Aunque se enfoque en el sistema Windows, se examinarán varios conceptos no técnicos que son aplicables a todas las investigaciones forenses.

Consideraciones Legales
Los aspectos legales de una investigación forense de un sistema informático deben cumplir dos normas:
~ Cumplir los requerimientos necesarios para que la evidencia sea presentada satisfactoriamente en el juzgado y que sea admisible legalmente.
~ Evitar la posibilidad de incurrir en una acción legal contra su propia persona o la organización para la cual está cursando la investigación.
Cualquier persona que quiera examinar datos de otra persona u organización debe asegurarse de que está legalmente autorizada para realizar esta acción.

Procedimientos
Una política de privacidad bien escrita debería informar explícitamente cómo la información personal es manipulada y bajo qué circunstancias estos datos pueden ser abiertos para escrutinio. Tal política debería ayudar a los empleados y a los empleadores a definir una expectación razonable de privacidad. A veces no es suficiente para una organización cómo distribuir su política de seguridad, sin tener en cuenta cómo esté escrita. Para ser más efectiva, dicha política debería ser firmada por cada uno de los empleados de la organización (sin olvidar que no debe ir en contra de estos).
De la misma manera en que una política de privacidad puede clarificar cómo la información personal debe ser manipulada, distribuida y aceptada por el “código de conducta” o el “uso aceptable de la política de seguridad” pueden ayudar a definir qué acciones están permitidas y cuales no. La firma del empleado justifica el conocimiento de dichos documentos, así como la aceptación de estos.
Finalmente, una política de reportes de información asegurará que los datos serán comunicados a los departamentos competentes o incluso a alguna agencia externa si es el caso. La implementación correcta de los procedimientos comentados en esta parte necesita que estos sean comprensibles, distribuidos a todo el personal adecuado, y revisados regularmente.

Errores irrecuperables
Aunque un análisis forense adecuado puede parecer en algún momento como magia negra, capaz de recuperar datos después de la muerte del sistema, en realidad, los examinadores forenses sólo pueden recuperar datos que se encuentran físicamente en el sistema (incluso aunque no sea posible acceder a ellos por métodos convencionales). Los datos que nunca han sido escritos a disco o que ya han sido sobrescritos son posiblemente imposibles de recuperar. Afortunadamente, muchos sistemas operativos ofrecen la habilidad de grabar un registro de sucesos en unos archivos especiales. Desafortunadamente, muchas organizaciones no aplican la política adecuada a mantener estos registros actualizados y obviamente dificultan la tarea del examinador.
La decisión a tomar sobre qué eventos se deberían registrar debe corresponder con un correcto balance entre seguridad y eficiencia. Es decir, es inútil registrar cada acceso a disco si esto hace que los sistemas vayan cuatro veces más lentos, por lo contrario, tampoco debemos llevarnos por la velocidad y descuidar registrar determinados eventos.
Nótese que el registro de eventos no sólo debe realizarse en los ordenadores conectados a la red (servidores y clientes), también en dispositivos como routers, switches, firewalls e incluso máquinas de fax.
Sería conveniente mantener estos niveles diferentes de registro escritos en un documento independiente que pueda ser distribuido a todos los administradores de sistemas. Definitivamente, estos registros son sumamente útiles al realizar un análisis forense ya que muestran la actividad pasada, pero también pueden ser útiles en la detección de incidentes que requerirían mayor investigación. La mayoría de los sistemas de registros poseen la habilidad de enviar alertas en caso de producirse una situación concreta que haya sido programada con anterioridad por los administradores. Esto puede realizarse de forma manual (aunque a veces pueda ser una tarea que consuma demasiado tiempo) o usando software de análisis apropiado. Si el software disponible no es recomendado para realizar una tarea en concreto, entonces el uso de scripts Perl (debido a su potencia al manejar cadenas de caracteres) son recomendados en caso de que los archivos de registro sean en formato texto estándar.

Construyendo un kit de utilidades forenses
Las utilidades usadas para análisis forenses se encuentran en diferentes formas, tamaños, precios, y licencias (desde pequeñas utilidades freeware hasta enormes aplicaciones comerciales). La clave para un análisis forense satisfactorio es elegir las herramientas adecuadas y familiarizarse con ellas en situaciones hipotéticas para después hacer un uso correcto en situaciones reales en una investigación.
Los investigadores profesionales, a menudo, usan herramientas hardware y software de alto coste (varios miles de euros), aunque existen también soluciones menos caras. Una de las más interesantes es TASK (The @stake Sleuth Kit) (www.atstake.com/research/tools/task), que puede ser usada en conjunción con Autopsy Forensic Browser (www.atstake.com/research/tools/autopsy). TASK proporciona al investigador la habilidad de examinar imágenes de discos duros creadas con la utilidad “dd” (comando de UNIX) para encontrar información de interés específico (como archivos borrados) y Autospy proporciona una interfaz HTML mediante la cual se puede controlar a TASK así como ver sus resultados. TASK y Autospy funcionan en varios sistemas UNIX, incluyendo Linux, Mac OS X y Solaris; pero también pueden ser usados para examinar sistemas de archivos Windows (de hecho este es su principal uso).
Muchas de las utilidades comentadas pueden ser de gran ayuda para examinar ordenadores basados en sistemas operativos Windows.

Saber qué hacer y qué no hacer
En un caso ideal, el análisis forense de un equipo informático debería ser realizado por un profesional en la materia con amplios conocimientos en teoría de computadores. En cambio, esto no es siempre posible, y administradores de sistemas con poca o nula experiencia en el campo del análisis forense pueden ser llamados para realizar los primeros pasos de tal análisis. En este caso, es crucial que el administrador inexperienciado aprecie que los primeros pasos en una investigación suelen ser los más importantes, ya que si no se usan los métodos adecuados, es posible destruir las pruebas con facilidad. Analizaremos los pasos detallados de una investigación de un sistema Windows en un próximo artículo, pero la idea más importante a tener en cuenta por cualquiera que vaya a realizar un análisis forense es: haga lo que haga, no altere la evidencia original.
En un caso práctico, una máquina sospechosa debería ser apagada de inmediato. Después sería necesario realizar una imagen completa del disco duro en un dispositivo externo para ser analizado.
Dicho esto, resulta muy frecuente que el personal informático, sin experiencia real en análisis forense, efectúe algunas rutinas típicas cómo realizar búsquedas de archivos o incluso abrir algún documento para comprobar su contenido. Estas prácticas pueden en la realidad destruir pruebas cruciales para la investigación, por lo que si una máquina se debe analizar, es conveniente apagarla de inmediato.


TASK, una utilidad imprescindible
----------------------------------------------
TASK permite al investigador analizar un sistema de archivos de una forma no intrusiva. TASK es una colección de utilidades en modo texto para sistemas UNIX que pueden analizar particiones NTFS, FAT, FFS, EXT2FS y EXT3FS. TASK lee y procesa la estructura del sistema de archivos embebido en un archivo imagen, por lo tanto no es necesario que el propio sistema dónde se ejecuta TASK disponga de herramientas para acceder a los sistemas mencionados.

Características principales:
~ Analiza imágenes de sistemas de archivos generadas por la utilidad “dd” encontrada en todas las versiones de UNIX. También existe una versión para Windows.
~ Muestra los archivos existentes y eliminados.
~ Muestra los detalles de la estructura del sistema de archivos.
~ Muestra atributos especiales de un sistema NTFS.
~ Crea una línea de tiempo de la actividad del disco duro.
~ Reconoce los archivos mediante una tabla hash. De esta forma puede detectar archivos corruptos.
~ Es Open Source.

Para descargar la última versión (1.60 en los momentos de realizar este artículo) diríjase a prdownloads.sourceforge.net/sleuthkit/task-1.60 .tar.gz?download.


Enlaces sobre seguridad
-----------------------------------
www.atstake.com/research/tools/task ¦ Web principal de la utilidad TASK comentada en el artículo.

www.atstake.com/research/tools/auto psy ¦ Página de información de Autopsy, una herramienta imprescindible para usar junto a TASK.

www.atstake.com/research/reportsacrobat/atstake_opensource_forensics.pdf ¦ Documento informativo de 11 páginas (en inglés) sobre el uso de utilidades de análisis forense en un marco de la legalidad.

www.foundstone.com/knowledge/foren sics.html ¦ Utilidades varias para el análisis forense.

www.sandstorm.net/products/netinter cept ¦ NetIntercept es una utilidad comercial de análisis forense de redes para Windows de una gran potencia. Permite incluso interceptar tráfico SSH2.


http://www.idg.es/iWorld/articulo.asp?id=146573

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay