Vous êtes sur la page 1sur 73

Análisis Forense en la

Corporación

Alfredo Reino
areino@gmail.com
Introducción
 Limitaciones en el "mundo real"
 Aspectos legales
 Fases de una investigación
 Obtención de la evidencia
• Windows
• Unix / Linux
• Cisco
 Análisis forense como servicio corporativo

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones en el "mundo real"
Grandes corporaciones
 Las grandes corporaciones no son un
mundo "ideal"
• Tamaño
 Número de sistemas
 Número de localizaciones
• Complejidad
 Tecnológica
 Política
 Organizativa
 Legal
• Sistemas y aplicaciones críticos
• Modelo "clientes internos"
• Madurez tecnológica, cultura tecnológica
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones

 Limitaciones organizativas
 Limitaciones legales
 Limitaciones físicas
 Limitaciones tecnológicas

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones físicas
 Distancias
• Acceso físico a sistemas y evidencia
• Limitaciones de desplazamiento
• Zonas horarias
 Calendarios
• Diferentes fiestas
• Diferentes días críticos
 Diferencias
• Culturales
• De idioma
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones tecnológicas

 Ancho de banda
• Acceso remoto a sistemas
• Imágenes de disco o memoria
 Sistemas de almacenamiento
• SAN / NAS
• Almacenamiento distribuido / replicado
• RAID
• Sistemas críticos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones organizativas

 Modelo de gestión
• Centralizado
• Descentralizado
• "Silos" locales
 Quién controla los sistemas?
• Insourcing
• Outsourcing
 Jurisdicciones internas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones legales
 Cada localización tiene
• su legislación nacional referente a
cibercrimen y protección de datos
• sus políticas de RRHH
 Cada localización puede tener
• sus políticas y estándares de seguridad
corporativos
 Requisitos regulatorios de la
industria
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Aspectos Legales
Aspectos Legales

 Diferentes modelos
• Unión Europea
• Estados Unidos de América
 Quién investiga
 Protección de datos
 Uso judicial de la investigación

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Unión Europea

 27 Estados miembros
 Dos sistemas legales
• Derecho Común (Common Law)
 UK, Irlanda, Chipre, Malta
 Más basado en la jurisprudencia

• Derecho Civil
 Resto de paises de la UE
 Más basado en la ley

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Quién investiga
 Empresa "víctima", con personal interno o
externo
• En la UE no se requiere licencia de
"investigador" para personal externo (en UK
posiblemente en el futuro)
 El Estado
• Puede investigar o procesar a los atacantes
• Puede investigar a la empresa por seguridad
inadecuada
 Otras personas, físicas o jurídicas,
afectadas por el incidente de seguridad
• En el contexto de Protección de Datos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Legislación Unión Europea

 Leyes sobre "hacking"


• EU Information System Attacks Decision
 Debe estar implementada por los estados el
16 de Marzo de 2007
• UK Computer Misuse Act
• Deutsches Strafgesetzbuch
• etc

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Protección de Datos
 Protección de Datos
• Data Protection Directive (1995)
• Privacy and Electronic Communications
Directive (2002)
 Las directivas se trasponen a legislación
nacional por los estados miembros
• En España la LOPD (1999)
 Cada estado miembro tiene una agencia
nacional de protección de datos
• En España la "Agencia Española de Protección
de Datos"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Crimen sin fronteras

 A menudo los casos cruzan fronteras


 Diferentes elementos pueden estar
en diferentes paises
• Los culpables
• Las víctimas
• Datos y contenido robados
• Evidencia del delito
• Herramientas usadas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Crimen sin fronteras
 Acuerdos y tratados internacionales
• MLATs (Tratados de Asistencia Mutua Legal)
entre paises
• Convención de Schengen
• MLAT entre UE y EEUU (2003)
 Otros procedimientos
• Comisión rogatoria (letter rogatory)
• Cooperación informal entre Policías
• INTERPOL
• Subgrupo de Crimen de Alta Tecnología del G8
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Involucrar a la Policía

 Criterios de decisión
• Tipo de delito
• Política interna
• Obligaciones legales
 En UE no es obligatorio, en EEUU sí (según
el caso)
• Existencia de víctimas externas
(empresas, clientes, usuarios, etc.)

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Honeypots
 Legalmente es un "area gris"
• Intercepción de comunicaciones
• Protección de datos personales
 ¡sí, del atacante!
• Asistencia a un delito
 El honeypot puede usarse para lanzar otros ataques
• Inducción al delito (entrapment)
 Como estrategia de defensa en el juicio
• Contenido ilegal
 Material con copyright
 Pornografía infantil

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Fases de una investigación
Fases de una investigación

 Verificación del incidente


 Obtención de evidencia
 Análisis de la evidencia
 Elaboración de informes
 Almacenamiento de informes y
evidencia

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Inicio de la investigación
 Usuarios o personal de TI informan de un posible
incidente
• Cuentas bloqueadas, funcionamiento errático o
incorrecto de aplicaciones, etc.
 Alerta generada por los sistemas de gestión de
sistemas
• Disponibilidad de sistemas, espacio en disco, utilización
CPU, intentos de logon, conexiones anómalas, etc.
 Alerta generada por los sistemas de gestión de la
seguridad
• Firewall, IDS, Antivirus, etc.
 Por aviso de terceros
• Policía, prensa, competidores, etc.
 Por encargo directo
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Verificación del incidente
 Cualquiera que sea la fuente de
información que alerta inicialmente,
hay que comprobar las otras
• Pueden aportar más información
• Pueden confirmar (o descartar) la
existencia de un incidente
 Un "sistema" no es un "servidor"
• Es necesario verificar el alcance total de
una intrusión o incidente

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Verificación del incidente
 Los fraudes internos pueden implicar
diferentes elementos de un sistema:
• Múltiples Aplicaciones
• Sistemas relacionados
 Infraestructura de red (DNS, DHCP, routers,
switches, ...)
 Sistemas de soporte (directorio, backup,
monitorización)
• Múltiples hosts
 Clientes
 Front-end
 Middleware
 Back-end, Bases de datos

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
 Primero la información más volátil
• Contenido de la memoria
• Conexiones de red
• Procesos corriendo
 Luego información menos volátil
• Imágenes de almacenamiento (discos, etc.)
 Otra información útil
• Fotos de hardware y sitios implicados
• Logs de sistemas de monitorización
• Entrevistas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
 Información volátil útil
• Hora y fecha del sistema
• Procesos en ejecución
• Conexiones de red
• Puertos abiertos y aplicaciones
asociadas
• Usuarios logados en el sistema
• Contenidos de la memoria y ficheros
swap o pagefile

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
 Las herramientas usadas para examinar
un sistema en marcha deben
• Ser copias "limpias" (en un CD)
 Copias de comandos de sistema
• Diferentes versiones de OS
• En Unix/Linux, "statically linked"
 Otras herramientas
• Usar el mínimo de recursos del propio sistema
• Alterar el sistema lo mínimo

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Análisis de la evidencia
 El procedimiento de análisis dependerá del
caso y tipo de incidente
 En general se trabaja con las imágenes de
los sistemas de ficheros
• Análisis de Secuencia Temporal ("timeline")
• Búsqueda de contenido
• Recuperación de binarios y documentos
(borrados o corruptos)
• Análisis de código (virus, troyanos, rootkits,
etc.)
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de la evidencia
Imágenes
 Imágenes de un sistema en marcha
• Uso de "dd" y "netcat" para enviar una
copia bit-a-bit a un sistema remoto
 Tanto Windows como Unix/Linux
• Para Windows puede ser más cómodo
usar HELIX
 http://www.e-fense.com/helix/
 Permite realizar imagen de la memoria física

• Una vez realizada la imagen se computa


un hash MD5 y SHA-1
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Imágenes
 Imágenes de un sistema apagado
• Extraer disco duro
• Si el disco tiene un jumper para "read-only" se puede
usar
 si no, un "write blocker" por hardware es necesario
(IDE/SATA/SCSI/USB/Firewire/...)
• Conecta el disco a la workstation de análisis forense
 es recomendable que sea Linux (permite montar los discos
manualmente y en modo "read-only")
• Realiza copia con "dd"
 la imagen se puede guardar en discos externos
Firewire/USB, almacenamiento SAN, etc
• Por supuesto, hashes MD5 y SHA-1 de original y copia
para garantizar integridad

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Procedimiento
 Fraude interno / Espionaje industrial
• Periodo de verificación previo, sin alertar al culpable
• Información sobre conexiones se obtiene de firewalls,
IDS, sniffers, et
• Confiscación de hardware
• Obtención de imágenes de discos
 Intrusión Externa
• Desconectar red
• Obtener información volátil (memoria, registro,
conexiones, etc.)
• Verificar incidente (logs, IDS, firewalls, etc.)
• Obtención de imágenes de discos

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Problemas con Servidores
 Se puede desconectar siempre la red o la
alimentación en sistemas críticos?
• Coste de downtime vs. coste del incidente
• Coste de reinstalación y puesta en marcha
• Coste de revalidación, recertificación
 Es factible siempre el hacer imágenes de
todos los discos?
• Almacenamiento en SAN/NAS
• Configuraciones RAID
• Volúmenes de >200GB comunes (incluso TB)
• Distinción de disco físico y lógico cada vez
menos clara
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
RAID
 Configuraciones comunes de RAID
• RAID 0 ("disk striping")
 2 discos mín, no tiene resiliencia a fallos
 Capacidad = Suma de los discos
• RAID 1 ("disk mirroring")
 2 discos mín, soporta caida de 1 disco
 Capacidad = La del disco de menor tamaño
• RAID 5 ("disk striping with parity")
 3 discos mín, soporta caida de 1 disco
 Capacidad = 2/3 de la suma de los 3 discos
 Típicamente se usa
• RAID 1 (o similar) para sistema operativo
• RAID 5 (o similar) para datos
 El problema de RAID
• Es necesario hacer imágenes de los discos físicos?
• En la mayoría de los casos es suficiente realizar la imagen de un disco
"lógico", a través de la controladora RAID
• Si es RAID 1 existe la posibilidad de extraer uno de los discos del
mirror y usarlo como "original"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
RAID

 Tiempo en realizar una imagen

Fuente: http://www.cyanline.com/pres/auscert05-run-a-case.pdf

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Problemas con evidencia original
 ¿Cómo se preserva la evidencia original?
• Si se puede parar el sistema y tenemos acceso
físico
 Se hacen dos copias de todos los discos (usando
discos de idéntico modelo)
 Se guardan los originales
 Se arranca el sistema desde una de las copias
 Se investiga sobre otra copia
• Si no tenemos acceso físico
 Procedimiento de obtención de la imagen sencillo
para que un técnico remoto pueda hacerlo
• Si no se puede parar el sistema
 Se realiza imagen online, que pasa a ser considerada
"original"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Problema de la distancia
 Muchos servidores tienen tarjetas de
acceso remoto (Lights-out Operations)
• Desde el punto de vista del servidor, es como
acceder desde la consola localmente
• Permiten montar CDs o diskettes virtuales
 Operador remoto
• Usando toolkit automatizado, con posible
asistencia telefónica
 Problemas: Zonas horarias, lenguaje, etc.

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Resumen
 La información y evidencia recogida tiene
que ser la mejor posible dadas las
circunstancias
 En un delito, la evidencia informática suele
corroborar o apoyar una investigación,
pero no tiene por qué ser la "pistola
humeante"
 No es siempre necesario obtener "toda" la
información disponible
• No merece la pena
• Puede llevar mucho tiempo

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia

Sistemas Windows
Obteniendo información
 date /t & time /t
• fecha y hora
 ipconfig /all
• información tcp/ip
 netstat -aon
• conexiones abiertas y puertos en espera, con PID asociado
 psinfo -shd
• informacion del sistema (hardware, software, hotfixes,
versiones, etc.)
 pslist -t
• lista de procesos
 at
• lista de tareas programadas (también mirar en
%windir%\tasks\ folder)

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
 psloggedon
• usuarios logados y hora de logon
 psloglist
• volcado de log de eventos
 psservice
• información de servicios de sistema
 net use, net accounts, net session, net share, net
user
• conexiones netbios/smb
 listdlls
• lista de DLLs cargadas en sistema
 sigcheck -u -e c:\windows
• lista de ficheros (.exe, .dll) no firmados

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
 streams -s c:\
• lista ficheros con alternate data streams (ads)
 logonsessions -p
• sesiones actuales y procesos por sesión
 arp -a
• muestra tabla de caché ARP
 ntlast
• muestra eventos de logon correctos y fallidos
 route print
• muestra tabla de rutado IP

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
 autorunsc
• muestra elementos de autoejecución

 hfind c:
• ficheros ocultos
 promiscdetect
• detecta interfaces de red en modo "PROMISC"

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
 volume_dump
• muestra información sobre volumenes, mount points,
filesystem, etc.
 pwdump2
• muestra hashes (nthash/lmhash) de cuentas locales
 lsadump2
• muestra LSA secrets (necesita SeDebugPrivilege)
 strings
• busca cadenas ASCII/Unicode en ficheros

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información - GUI
 rootkit revealer
• detecta rootkits (usermode o kernelmode)
 process explorer
• información útil sobre procesos, librerías que usan, recursos
accedidos, conexiones de red, etc.
 tcpview
• muestra conexiones de red y aplicaciones asociadas

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Dispositivos Windows
 \\. Local machine
 \\.\C: C: volume
 \\.\D: D: volume
 \\.\PhysicalDrive0 First physical disk
 \\.\PhysicalDrive1 Second physical disk
 \\.\CdRom0 First CD-Rom
 \\.\Floppy0 First floppy disk
 \\.\PhysicalMemory Physical memory

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Imagen de memoria
 Imagen de la memoria usando "dd"
dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000
• Acceso a PhysicalMemory desde usermode ya no se permite en
Windows Server 2003 SP1 (es necesario usar un driver en
modo kernel)
 Se puede volcar el espacio de memoria de un proceso con
"pmdump"
 Se puede obtener el fichero de paginación
• No se puede copiar 'pagefile.sys' en un sistema en marcha
• Si se apaga el ordenador, se modifica el fichero de paginación
(o opcionalmente se borra)
• Si es necesario este fichero, quitar cable de alimentación y
obtener imágenes del disco

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Ejemplo PMDump

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Ficheros log
 Log de eventos (Application, System, Security, DNS)
 IIS/webserver/FTP logs/URLScan
 Windows Firewall log (%windir%\pfirewall.log)
 Dr. Watson logs
• contiene información sobre procesos que corrían cuando una
aplicación falló
 setupapi.log
• información sobre instalacíón de aplicaciones y dispositivos
 schedlgu.txt
• información sobre tareas programadas
 Antivirus / IDS / IAS / ISA Server / ... logs

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Carpeta Prefetch
 Usada por Windows para almacenar información sobre
ejecutables, para optimizar el rendimiento
• En WinXP se realiza prefetches al arrancar y al lanzar
aplicaciones. Win2003 realiza el prefetch sólo al arrancar (por
defecto)
• Los ficheros .pf en %systemroot%/prefetch contienen
información sobre el path de los ficheros
• La fecha y hora (MAC) del fichero .pf nos da información sobre
cuándo una aplicación ha sido ejecutada

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Otras fuentes
 LastWrite en claves de registro
• Se puede usar 'lsreg.pl' para extraer esta
información
Key -> CurrentControlSet\Control\Windows\ShutdownTime
LastWrite : Tue Aug 2 12:06:56 2005
Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01

 Ficheros INFO2
• Información sobre ficheros borrados
• Se puede usar 'rifiuti' para extraer información
• C:\Recycler\%USERSID%\INFO2

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Otras fuentes

 Documentos recientes
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

 Directorios temporales
 Caché navegador web
• Se puede usar 'pasco' para analizar
• Cache y cookies
• Browser history

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia

Sistemas UNIX
Obteniendo información
 uptime
• tiempo que lleva el sistema corriendo
 uname -a
• tipo de OS y versión de kernel
 date
• fecha y hora del sistema
 fdisk -l
• mapa de particiones
 lsof -itn
• muestra ficheros abiertos
 netstat -nap
• muestra puertos abiertos

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
 pcat
• copia espacio de memoria de un proceso
 ls -lit | sort
• muestra inodos por secuencia, permite buscar troyanos
 memdump
• volcado de memoria física
 mac-robber y mac-time
• obtiene información sobre MAC de ficheros
 file
• identifica un fichero
 ldd
• muestra librerías dinámicas utilizadas por un binario
 strings
• muestra cadenas ASCII en ficheros

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
 gdb
• debugger
 objdump
• muestra información sobre ficheros objeto
 readelf
• muestra información sobre ficheros ELF
 strace
• traza de llamadas al sistema

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
/proc

 El directorio /proc en Linux contiene


una representación de los procesos
en ejecución
 El fichero en la carpeta /proc/<pid>
es el binario del proceso
• ¡Aunque se haya borrado del disco
después de lanzarlo!

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Otras fuentes

 Ficheros log (/var/log)


 .bash_history
 Fichero swap

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia

Routers CISCO
Cisco Routers
 Existen cientos de vulnerabilidades que afectan a
routers Cisco
• Buscando "cisco router" en CVE aparecen unas 50
 ¿Por qué atacar un router?
• Deshabilitar la red, DoS
• Atacar otros routers
• Evitar firewalls, IDS, ...
• Interceptar tráfico
• Redireccionar tráfico

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Cisco Routers
 Dos tipos de memoria
• Flash (persistente)
 Configuración de arranque
 Ficheros sistema operativo IOS
• RAM (volátil)
 Configuración actual
 Tablas dinámicas (rutado, ARP, NAT, violaciones de
ACLs, estadísticas, etc.)
 Lo interesante está en la RAM

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Cisco Routers
 No reiniciar el router
 Acceder siempre por consola
• no por red
 Recoger información usando comandos
"show"
 Capturar sesión de terminal
• Casi todos los programas de terminal tienen
esta función

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Cisco Routers
show clock detail
 Información útil show version
 Si la contraseña ha cambiado y no show running-config
show startup-config
podemos entrar, hay información show reload
que se puede conseguir por SNMP show ip route
show ip arp
• snmpwalk –v1 Router.domain.com public
show users
• snmpwalk –v1 Router.domain.com private show logging
 Otra información show ip interface
• Logs de syslog show interfaces
show tcp brief all
• Traps SNMP enviadas a sistema de
show ip sockets
monitorización
show ip nat translations verbose
 Es buena política tener logs activados! show ip cache flow
show ip cef
show snmp user
show snmp group
show clock detail

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Análisis forense como servicio
corporativo
Marco de trabajo
 Soportado por Política de Seguridad
corporativa
 Servicio forense como parte de
procedimiento de Respuesta a Incidentes
 Roles, responsabilidades, y autoridad,
tienen que estar muy definidos

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Equipo
 Investigadores forenses
• Con experiencia, cualificaciones, y acceso a
todas las herramientas y bases de datos
• Número pequeño, dependiendo del tamaño de
la organización y el número de casos
procesados
 Personal de respuesta a incidentes
• Pueden llevar a cabo las fases de verificación y
obtención de evidencia

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Equipo - Otros
 Administradores de sistema
• Aportan conocimiento de la infraestructura y
podrían ser los únicos en tener acceso a
sistemas (por política)
 Departamentos legales y de RRHH
• Dependiendo del caso, puede ser útil o
necesario involucrarlos en la investigación

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Herramientas
 Kit de recolección de evidencia
• Automatizado, que pueda ser usado por cualquiera
• Multiplataforma
• HELIX o similar
 Análisis de imágenes de discos
• The Sleuth Kit + Autopsy Browser
• EnCase
 Recuperación de contraseñas
• Advanced Password Recovery Software Toolkit
 Dispositivos móviles
• PDA Seizure
• MOBILedit Forensics Edition
 Esteganográfía
• Stego Suite

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Bases de datos
 Base de datos de "hashes"
• Permite descartar ficheros conocidos
• Cada sistema estándar y aplicación
utilizado en la corporación debería estar
registrado en la base de datos de
hashes
 Base de datos de casos y evidencia
• Que permita búsqueda fácil
• ¿Cómo se resolvió aquél caso similar?

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Bases de datos

 Base de datos de herramientas


• Toda herramienta debe ser probada
 Metodología establecida de antemano
• Documentación de uso, resultados, e
impacto en el sistema
• Copia segura de la herramienta, con
hashes de los ficheros en papel

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Infrastructura necesaria
 Workstations de análisis forense
• Conectividad hardware de todo tipo (IDE, SCSI, Firewire, USB,
SATA)
 Almacenamiento para imágenes
• Dado que son ficheros grandes, la velocidad de
lectura/escritura es fundamental (SAN por fibra, etc.)
• Opcionalmente, sistemas de archivado digital
 EMC Centera, NetApp NearStore, etc.
 Almacenamiento físico para evidencia e informes
• Caja fuerte, archivador con llave, sala de archivos
 CDs de herramientas de obtención de evidencias
• con instrucciones detalladas para que la obtención de
evidencias la pueda hacer alguien no-cualificado de forma
remota
 Sistemas que alberguen las bases de datos comentadas
anteriormente

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Areas de investigación futura
 Análisis de imágenes de memoria
 Dispositivos móviles
• Teléfonos móviles
• PDAs y Blackberries
• Navegadores GPS
• Reproductores MP3
• Cámaras digitales
 Telefonía IP, VoIP

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Areas de investigación futura
 Infrastructura forense distribuida
• Agentes instalados en todos los sistemas
• Gestionados centralmente
• Permite obtener datos de diferentes fuentes y
correlacionarlos
 Idea
• Uso de PXE Boot para reiniciar una máquina y
que arranque con un entorno de obtención de
evidencia

Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com