Svach

Tsumiki No ie

Enero 29, 2010 · Dejar un comentario

por Kunio Katō

“La casa de los pequeños cubos” sugiere que la vida es un juego compuesto de distintas piezas, cada una de ellas rellenas de acontecimientos, de momentos con fecha de caducidad. Cuando esto ocurre cambiamos al siguiente cubo, eso sí, dejando vacío el anterior y llevándonos al nuevo los avatares que nos sirvan para el juego que acabamos de empezar.

→ Deja un ComentarioCategorías: Svach
Etiquetado: ,

Rastreamiento – Parte II

Enero 14, 2010 · Dejar un comentario

Apagado

Se recomienda el apagado normal del sistema, si fuese posible; sin embargo si hubiese alguna sospecha que el agresor haya dejado bombas lógicas o scripts de limpieza listos para actuar, puede ser más adecuado sencillamente tirar del cable. La ventaja de apagar el sistema es que se consigue reiniciarlo a partir de algún medio confiable, como un CD de recuperación o uno de análisis forense como el BackTrack, y entonces crear una imagen del disco. Cuando se hace una imagen de un sistema encendido, los rootkits pueden esconder informaciones importantes para la solución del problema.

Acceso al disco

En relación al acceso a los discos afectados, nuevamente es necesario hacer una elección: puede dejarlos en la máquina e iniciarla por un CD o pendrive, o entonces remover los discos y conectarlos a otro sistema para crear su imagen.

Si fuera preferible dejar los discos en el lugar, es imperativo garantizar que la BIOS esté configurada para iniciar a partir de los medios alternativos y no del propio disco.

Además de eso, también es importante tener cuidado para no grabar nada en el disco, por ejemplo, por un engaño en la creación de la imagen.

BackTrack

Después de apagar el sistema, una alternativa popular es comenzar la investigación con un Live CD  de Linux.

Así como en varias áreas del Software Libre, el enorme número de elecciones de distribuciones para ese fin, es al mismo tiempo bueno y malo. Casi todos los medios de instalación (Red Hat, Debian, etc.) poseen un modo de recuperación o de emergencia que puede ser usado para accesar al sistema. Distribuciones Live para CDs o pendrives también son una posibilidad.

El BackTrack, una de las basadas en Live CDs tiene algunas ventajas sobre las demás:

  • Soporte a múltiples tipos de sistemas de archivos, incluyendo Ext2, Ext3, VFAT, NTFS y otros;
  • Está bajo desarrollo activo y es específicamente volcado a pruebas de penetración;
  • Incluye utilitarios para análisis forense, como el dcfldd, una herramienta avanzada de copia de discos.

Para bajar el BackTrack, es necesario un cliente BitTorrent, pues esa es la única forma de distribución de la imagen ISO de la distribución. Este artículo fue escrito con base en la versión beta más reciente, que fue usada sin problema.

Otra posibilidad es bajar una versión USB del sistema y grabarla en un pendrive.

→ Deja un ComentarioCategorías: software libre
Etiquetado: , ,

Rastreamiento – Parte I

Enero 13, 2010 · Dejar un comentario

Análisis Forense con BackTrack y Sleuth Kit

El cibercrimen es un problema serio, en gran parte porque prácticamente todas las informaciones corporativas de hoy son gerenciadas por computadores y no más con herramientas tradicionales como el papel y las personas.

Computadores y redes constituyen un suculento blanco para invasores y, dependiendo de lo que quieran, un ataque puede ir desde lo irritante hasta lo catastrófico. Como casi todas las informaciones de la empresa están en computadores, cualquiera que accese a esas informaciones con intenciones criminales probablemente dejará pistas.

Lo que los ataques tienen en común es que, cuando se percibe la ocurrencia de un incidente, generalmente no se tienen todas las informaciones necesarias para tratarlo. Agrupar los hechos puede exigir una investigación forense. El ataque puede haber sido lanzado desde la misma red de la empresa o puede haber explorado una falla disponible externamente. El agresor puede haber accesado a un único sistema o tal vez a la red entera. Puede haber robado datos, sembrado un virus o inclusive instalado un rootkit.

La distribución en Live CD  Back-Track y el kit de herramientas forenses Sleuth Kit ayudan a recolectar informaciones en relación al ataque. Este artículo mostrará cómo usar el BackTrack y el Sleuth Kit, pero primero, vamos a comenzar con algunos pasos básicos antes de iniciar el análisis forense.

La electrónica forense es un tópico enorme que aun cuando se la restrinja a algunas herramientas para sistemas Linux, nos dejaría con demasiadas informaciones por cubrir. Este artículo, parte del principio que:

  • Usted ya sabe cuales sistemas probablemente fueron comprometidos (las herramientas de detección de ataques, como Snort y Tripwire no serán cubiertas);
  • Usted no va a recurrir a la ley. Hay cuestiones demasiado envueltas con la jurisprudencia, recolección de pruebas y custodia en ese campo;
  • Es posible parar los sistemas afectados generar una imagen de sus discos; y
  • Existen procedimientos de backup y recuperación en uso.

 A pesar que el foco de este artículo es Linux, las herramientas cubiertas pueden ser usadas para examinar otros sistemas, como Unix y Windows.

On/Off

Una decisión importante a tomar es apagar o no el sistema cuando se sabe o se sospecha que haya sido comprometido. En el caso que decida apagarlo, cómo sería hecho? De la manera común o simplemente desconectando el cable? El examen forense de un sistema encendido tiene varias ventajas. Es posible consultar la tabla de procesos, listar conexiones de red y copiar el contenido de la memoria para un posterior análisis.

Por otro lado, hay grandes desventajas en el análisis de sistemas encendidos, incluyendo el hecho de que lo que se ve no es, necesariamente, lo que está allá. Rootkits modernos pueden fácilmente ocultar procesos y datos, por ejemplo, insertando ganchos(hooks) en el kernel. Un sistema apagado es más fácil de analizar y permite la certeza de que, después de ser apagado, nada fue alterado o borrado a partir del estado en el que se encontraba.

Pero, cómo apagar el sistema?

Un apagado normal podría accionar programas que hacen una limpieza del rastro del agresor y borran las pruebas o que, en caso el invasor sea especialmente malicioso, sobreescriben el firmware del disco rígido del sistema.  Incluso, sencillamente tirar del plug puede dejar el sistema en un estado inconsciente o impedir que datos sean grabados en el disco.

Es fundamental examinar las cuestiones con atención, la mejor elección de la forma de apagado del sistema depende de la información que se desea recolectar y de lo que pretende hacer con ella.

Linux Forense

El proceso de recolección y análisis de evidencias en sistemas Linux sigue un padrón general:

  1. Apagar el sistema afectado.
  2. Grabar una imagen del (os) disco(s) rígido(s).
  3. Examinar la imagen con herramientas como el Sleuth Kit.
  4. Procesar las pruebas e informaciones para llegar a una conclusión.

 Los siguientes post abordan ese proceso.

→ Deja un ComentarioCategorías: software libre
Etiquetado: , , ,