Download Pesadilla en el Laboratorio

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
Document related concepts
no text concepts found
Transcript 
Pesadilla en el
Laboratorio
Obtención de evidencias digitales cuando se
aplicaron medidas anti-forenses
Qué es forense digital
• Combinación mundos legal e informático para obtener,
preservar y analizar información de sistemas informáticos y
redes de modo admisible como evidencia ante un tribunal.
• Principio de Intercambio de Locard: Todo contacto deja una
huella.
• Evidencia digital: objeto digital con información fiable que
apoya o refuta una hipótesis. Debe ser:
• Admisible. Cumplir requisitos legales para ser presentada ante un
tribunal.
• Auténtica. Debe identificar las evidencias con el incidente.
• Completa. Debe reflejar todo lo ocurrido y no una perspectiva
particular.
• Fiable. No debe existir duda con respecto a su obtención y custodia.
• Creíble. Debe ser creíble y comprensible ante un tribunal.
Qué es forense digital
• El dispositivo analizado puede ser:
• El “arma” utilizada.
• El “cadáver”.
• Dispositivo: escena del crimen. Buscar 5 WHs.
• Metodología de obtención de evidencias:
• Copiar primero, preguntar después (FCSE).
• Estudio previo de importancia, copiar lo relevante
(investigadores en general).
• Análisis remoto de sistemas encendidos, copiar únicamente
la evidencia objetivo (entornos empresariales).
Qué es forense digital
• Cadena de custodia: identificación, transporte y
almacenamiento seguro de evidencias.
• Identificación de evidencias: Registro de localización a lo
largo del ciclo de vida.
• Transporte de evidencias (recogida; depósito en laboratorio;
traslado al tribunal):
• Personal acreditado a través de conducto seguro.
• Material apropiado (Ej. bolsas Faraday).
• Almacenamiento seguro:
•
•
•
•
Protección frente a riesgos ambientales, EMI y RFI.
Control de accesos al local y personal que accede a la evidencia.
Caja de seguridad Clase 100 (soporte digital).
Elevado coste de almacenamiento evidencias.
Qué es forense digital
• Investigación forense digital: Análisis técnico de
objetos digitales que desarrolla y comprueba
teorías admisibles ante un tribunal.
• Paradigma de Inman-Rudin:
•
•
•
•
•
Transferencia. Principio de Locard.
Identificación. Clasificación de la evidencia.
Individualización (afinar el paso anterior).
Asociación. Relacionar el autor con la escena del crimen.
Reconstrucción (de la secuencia de sucesos).
• Tipos de investigación: corporativa o criminal.
Qué es forense digital
• Técnicas de investigación forense digital:
•
•
•
•
Análisis
Análisis
Análisis
Análisis
temporal.
de información oculta.
de archivos y aplicaciones.
de privilegios.
Obstáculos en forense digital
• Técnicos
•
•
•
•
•
•
Rápida evolución tecnológica.
Volatilidad de objetos digitales.
Presentación de evidencias secundarias.
Cifrado de información.
Virtualización.
Discos SSD.
• Legales
• Difícil atribución.
• Garantías constitucionales.
• Económicos
• Limitación presupuestaria.
• Limitación temporal.
Técnicas Anti-Forenses digitales (AFT)
• Métodos y herramientas empleados para destruir u
ofuscar objetos digitales inhabilitándolos como
evidencia digital ante un tribunal.
• Clasificación:
•
•
•
•
•
•
Ocultación de información, ofuscación y cifrado
Falsificación de datos
Borrado de datos y destrucción física
Prevención de análisis
Anonimizadores de conexión.
Explotación de bugs en herramientas forenses.
• El atacante dispone de más tiempo para preparar su
acción que el investigador forense para recoger y
analizar objetos digitales existentes.
AFT vs Anti-AFT
AFT vs Anti-AFT identificando evidencias
• M utiliza ordenador con HDD dummie; trabaja con distro
Live; sus archivos guardados en Cloud/remoto; simula
uso normal de HDD-> Actividad reciente en HDD hará
pensar a F que era unidad de trabajo.
• Comprobar presencia de USBs.
• Monitorizar tráfico de red para detectar uso de
almacenamiento Cloud/remoto.
• M adopta medidas anti IP tracing (proxy, reverse-proxy,
túnel SSH, VPN, TOR)-> F no puede determinar IP origen.
• Solicitar registros de conexión a ISP.
• Tener “pinchada” TOR.
• Obtener información del proveedor VPN.
AFT vs Anti-AFT identificando evidencias
• M cifra un dispositivo/archivo mediante algoritmo
criptográfico robusto -> F no puede acceder al
contenido en claro.
• Dispositivo apagado-> Recuperación por fuerza bruta.
• Dispositivo hibernado-> hiberfil.sys contiene dump de
memoria-> ¿pass en claro?.
• Realizar análisis en vivo del dispositivo.
• Test de entropía para determinar si algoritmo de cifrado
es conocido.
• Explotar vulnerabilidades en algoritmos cifrado custom.
AFT vs Anti-AFT identificando evidencias
• M aplica transmogrifía a ficheros-> F no identifica
correctamente el tipo de fichero analizado.
• Utilizar Hex editor para examinar contenido de ficheros.
• Utilizar fuzzy hashing para detectar similitud entre
ficheros.
• Analizar Recent Files para detectar anomalías.
• M utiliza esteganografía para ocultar información
dentro de un archivo -> El visualizado/reproducción
del archivo no permite a F descubrir la existencia
de información oculta.
• Emplear automatización en busca de esteganografiados.
AFT vs Anti-AFT identificando evidencias
• M utiliza rootkit para enmascarar procesos en
memoria-> F no identifica proceso malicioso en
ejecución.
• Volcado de memoria y conexiones de red.
• Emplear herramientas AV/AR.
• Análisis estático del dispositivo.
AFT vs Anti-AFT identificando evidencias
• M oculta información en espacio no utilizado del
MBR (62 sectores libres)-> F no saca una imagen de
unidad completa, solo de particiones de SO y datos,
perdiendo dicha información.
• Realizar copia bit a bit completa de la unidad e
inspeccionar esos 62 sectores.
• M oculta información en HPA-> F utiliza una
aplicación forense que no recupera información de
ese área.
• Utilizar aplicaciones como EnCase, FTK, TSK.
AFT vs Anti-AFT identificando evidencias
• M oculta información en área DCO-> F utiliza una
aplicación forense que no recupera información de
ese área.
• Utilizar herramientas como The ATA Forensic Tool.
• M utiliza slack space (file slack, partition slack
o falsos bad blocks) para ocultar información-> F
realiza extracción lógica de unidad y no recupera
la información oculta.
• Realizar copia bit a bit de la unidad.
AFT vs Anti-AFT identificando evidencias
• M utiliza Alternate Data Stream (ADS) o Extended
Attribute (xattr) para asociar más de un stream de
datos a un archivo y ocultar información-> F no
detecta esta información oculta.
• Correlar resultados de herramientas forenses que analicen
los espacios de almacenamiento menos utilizados.
• Comprobar parámetros de hardware del dispositivo.
• Análisis estadístico del slack space.
AFT vs Anti-AFT en obtención de evidencias
• M utiliza gran número de dispositivos-> F obligado
a analizar todos.
• Paralelizar la obtención de evidencias.
• M utiliza dispositivos con conectores no estándar->
F necesita conectores específicos.
• Adaptar el material a nuevas tendencias criminales.
• Capacidad NAND chip-off, tarjetas especiales lectura
HDD, reparación HDD…
• M utiliza configuración no estándar de RAID-> F
obligado a probar gran número de configuraciones.
• Recombinar RAID en equipo de M.
AFT vs Anti-AFT en obtención de evidencias
• M utiliza dispositivos con medidas anti-tampering->
F dañará la evidencia al manipularlo.
• Identificación visual del dispositivo y proceder de
manera alternativa.
• M daña físicamente los dispositivos-> F no podrá
utilizar equipo de extracción de evidencias
habitual.
AFT vs Anti-AFT en cribado de información
• M aplica NSRL scrubbing: Modificar todos
los archivos del SO y aplicaciones
instaladas (Para poder seguir ejecutando
EXEs y DLLs recalcular su CRC)-> F emplea
De-NISTing y no coincide nada.
• Utilizar una política de whitelisting para
buscar ficheros que coincidan.
• Utilizar histogramas para detectar fechas con
actividad por encima de la media.
AFT vs Anti-AFT en cribado de información
• M modifica los timestamps (MACE times) de todos
los archivos; aleatorizar periódicamente la hora
de la BIOS; desactivar en Registro la
actualización de LastAccess-> F no podrá realizar
un análisis temporal.
• Ignorar los timestamps en los metadatos.
• logs secuenciales pueden ayudar a identificar líneas
temporales.
• M modifica los timestamps de manera que aparentan
consistencia-> F no podrá saber si el timestamp
de los ficheros fue modificado.
• Informe “Según el log ocurrió esto a esta hora”.
AFT vs Anti-AFT en análisis de información
• M utiliza nombres de archivo restringidos (CON,
PRN, AUX…)-> F tardará en detectar esta situación.
• Nunca exportar archivos con sus nombres nativos.
• Exportar ficheros con nombre generado automáticamente.
• M utiliza referencias circulares (carpetas anidadas en
NTFS máx 255 caracteres) para ocultar información
delictiva-> Aplicación de análisis de F entra en un
loop infinito o arroja una excepción al detectar ruta
mayor de 255 caracteres. No podrá realizar recogida
selectiva o remota de evidencias.
• Obtener una imagen completa del dispositivo.
• Siempre trabajar desde una imagen.
• Emplear herramientas como EnCase y FTK.
AFT vs Anti-AFT en análisis de información
• M manipula los logs (broken logs). Introducir el
magic number de .EVT [eLfL (0x654c664c)] en cuerpo
de un evento; introduce caracteres UNICODE
extendidos -> Herramienta análisis de logs de F
interpreta comienzo de nueva entrada; difícil de
parsear.
• Estimar si el log es estrictamente necesario.
• Parsear únicamente los registros necesarios manualmente.
• Programar un parser adecuado al log a analizar.
AFT vs Anti-AFT en generación de informes
• M añade información dummie a archivo a exfiltrar
hasta conseguir hash MD5 coincidente con archivo
legítimo del SO (ej. rundll.dll)-> De-NISTing de F
considera correcto el archivo.
• Utilizar funciones hash con menos colisiones (SHA-256).
• No confiar únicamente en hashes para determinar si un
archivo es correcto.
Related documents
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
DOC - Trabajos de Grado de la facultad de Ingeniería de Sistemas
DOC - Trabajos de Grado de la facultad de Ingeniería de Sistemas
resumen - Trabajos de grado - Pontificia Universidad Javeriana
resumen - Trabajos de grado - Pontificia Universidad Javeriana
resumen - Ingeniería de Sistemas - Pontificia Universidad Javeriana
resumen - Ingeniería de Sistemas - Pontificia Universidad Javeriana
Metodología para realizar el manejo de
Metodología para realizar el manejo de
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Tecnicas Anti-Forenses Informaticas - FaMAF
Tecnicas Anti-Forenses Informaticas - FaMAF
framework para la computación forense en colombia framework for
framework para la computación forense en colombia framework for
1 resumen - tesis de grado autores leonard david lobo parra
1 resumen - tesis de grado autores leonard david lobo parra
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
Ficha Técnica HPA-FAST®CRETE-AFT
Ficha Técnica HPA-FAST®CRETE-AFT