3. En general: Investigaciónde delitos
¿Y el digital?
Principios y técnicas que comprende el proceso de adquisición, conservación,
documentación, análisis y presentación de evidencias digitales y que llegado el caso
puedanseraceptadaslegalmenteenun procesojudicial.
Evidencia digital: conjunto de datos en formato binario, esto es, comprende los ficheros, su
contenido o referencias a éstos (metadatos) que se encuentren en los soportes físicos o
lógicos del sistema atacado.
Definición y uso
5. ● Interpretar comandos en modo consola (cmd, bash)
● Enumerar puertos TCP y UDP abiertos y sus aplicaciones
asociadas (fport, lsoft)
● Listar usuarios conectados local y remotamente al sistema
● Obtener fecha y hora del sistema (date, time)
● Enumerar procesos activos, recursos que utilizan, usuarios o
aplicaciones que los lanzaron (ps, pslist)
● Enumerar las direcciones IP del sistema y mapear la asignación de
direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, net)
● Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
● Visualizar registros y logs del sistema (reg, dumpel)
● Visualizar la configuración de seguridad del sistema (auditpol)
● Generar funciones hash de ficheros (sah1sum, md5sum)
● Leer, copiar y escribir a través de la red (netcat, crypcat)
● Realizar copias bit-a-bit de discos duros y particiones (dd,
safeback)
● Analizar el tráfico de red (tcpdump, windump)
Toolkit de análisis forense
6. Fases de análisis forense digital
1. Identificación del incidente: búsqueda y recopilación de evidencias
2. Recopilación de evidencias
3. Preservación de la evidencia
4. Análisis de la evidencia
5. Documentación del incidente
7. Identificación del incidente
❖ No confunda un “apagón” en su router con un ataque DoS.
❖ Descubrir señales del ataque. No haga nada que pueda
modificarla.
❖ ¿Dónde buscar?
➢ Equipos comprometidos.
➢ Máquinas próximas.
➢ Dispositivos de red.
➢ Cortafuegos.
8. Identificación del incidente
❖ Verificación de integridad de los ficheros (Tripwire AIDE).
❖ Procesos extraños que se están ejecutando:
➢ Ubicaciones poco frecuentes.
➢ Consumo de recursos en exceso.
➢ Conexiones TCP y/o UDP no habituales.
❖ Puertos UDP y TCP abiertos:
➢ PID.
➢ Usuarios y/o aplicaciones.
➢ Por encima de 1024
9. Identificación del incidente
❖ Revisar archivos del sistema y logs.
➢ Fallos de instalación.
➢ Accesos no autorizados.
➢ Conexiones fallidas.
➢ Windows:
■ Herramientas administrativas.
■ Visor de sucesos
■ Registro del sistema.
10. ❖ Revisar archivos del sistema y logs.
➢ UNIX / Linux
■ /var/log
■ /var/log/messages
■ /etc/passwd
■ /etc/shadow/passwd
■ /etc/group
■ /root/.bash_history
Identificación del incidente
11. ¿Cuál es su prioridad?
❖ Tener los sistemas nuevamente operativos cuanto antes
➢ Podría eliminar la posibilidad de realizar análisis forense
➢ Volverá a trabajar con un sistema vulnerable
❖ Realizar investigación forense detallada
➢ Recopilación de evidencias
■ Toolkit
■ Distribuciones de análisis forense
■ Scripts
■ Otras herramientas
Recopilación de evidencias
12. ¡NI SE LE OCURRA COMENZAR EL ANÁLISIS SOBRE ESA COPIA!
¿Procesojudicial? Métodos adecuados para el almacenamiento y etiquetado de las
evidencias.
2copiasdelaevidencias:
❖ Hash en las etiquetas
❖ Fecha y hora de la copia
❖ Nombre de la copia
❖ Precinto
Discos duros como evidencia:
❖ Hash
❖ Fecha y hora de la extracción
❖ Datos de la persona que lo extrajo
❖ Fecha, hora y lugar donde se almacenó
Preservación de la evidencia
13. Reconstrucción del timeline o cadena de acontecimientos desde el
instante anterior al inicio del ataque hasta su descubrimiento
Análisis de la evidencia
Se dará por concluido cuando conozcamos cómo
se produjo el ataque, quién o quienes lo llevaron a
cabo, bajo qué circunstancias se produjo, cuál era
el objetivo del ataque, qué daños causaron, etc.
14. Tan pronto como el incidente haya sido detectado, es muy importante
comenzar a tomar notas sobre todas las actividades que se lleven a cabo.
Cada paso dado debe ser documentado y fechado desde que se descubre el
incidente hasta que finalice el proceso de análisis forense.
❖ Informe Ejecutivo
❖ Informe Técnico
Documentación del incidente
15. Informe Técnico
❖ Antecedentes del incidente.
❖ Recolección de los datos.
❖ Descripción de la evidencia.
❖ Entorno del análisis .
❖ Descripción de las herramientas.
❖ Análisis de la evidencia .
❖ Información del sistema analizado
.
❖ Características del SO.
❖ Aplicaciones.
❖ Servicios.
❖ Vulnerabilidades.
❖ Metodología.
❖ Descripción de los hallazgos.
❖ Huellas de la intrusión.
❖ Herramientas usadas por el atacante.
❖ Alcance de la intrusión.
❖ El origen del ataque
❖ Cronología de la intrusión.
❖ Conclusiones.
❖ Recomendaciones específicas.
❖ Referencias.
Este informe consiste en una exposición detallada del análisis efectuado.
Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo
forense
16. Informe Ejecutivo
Resumen del análisis efectuado pero empleando una explicación no
técnica, con lenguaje común, en el que se expondrá los hechos
más destacables de lo ocurrido en el sistema analizado
❖ Motivos de la intrusión.
❖ Desarrollo de la intrusión
❖ Resultados del análisis.
❖ Recomendaciones.