¿Qué es un análisis forense de sistemas informáticos?

El análisis forense es un área perteneciente al ámbito de la seguridad informátcia surgida a raíz del incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis psoterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las preguntas que ofrecerán las respuestas e información adecuadas para preservar nuestros sistemas de información con riesgos minimizados.

Desgracidamente, muchos consultores de seguridad se limitan a proporcionar listas detalladas con conclusiones de sus pruebas, sin intentar realizar un el análisis de orden superior para responder a la pregunta "por qué".

 Figura 1. "Para un atacante nunca es imposible penetrar en un sistema informático, únicamente es improbable".

       ¿Quién ha realizado el ataque?

   ¿Cómo se realizo?

 

   ¿Qué vulnerabilidades se han explotado?

   ¿Qué hizo el intruso una vez que accedió al sistema?

   Etcétera.

El área de la ciencia forense es la que más ha evolucionado dentro de la seguridad, ya que (tal y como se muestra en las siguientes figuras) los incidentes de seguridad han incrementado en los últimos años. Además, los ataques son difrentes y por tanto hay que actualizar las técnicas de análisis en cada momento.

 

 Figura 2. Gráfico correspondiente a la "cibercriminalidad" del Ministerio del Interior.

El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:

• Estudio￿ preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.

• Adquisición￿de￿datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de

incumplir los derechos fundamentales del atacante.

• Análisis￿e￿investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

• Realización￿del￿informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente.

 Figura 3. Ejemplo de fases proporcionado por ragonjar.org

¿Qué es un análisis forense?

Una vez hemos visto cuál ha sido la motivación que produce el análisis forense,

nos centraremos y describiremos más detalladamente dicha ciencia.

El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Incidentes de seguridad

 Un incidente de seguridad es cualaquier acción fuera de la ley o no autorizada: ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de correos electrónicos ofensivos, fuga de información confidencial dentro de la organización..., en cual está involucrado algún sistema telemático de nuestra organización.

 

Figura 4. Visualización ejemplo de un archivo log.

Las fuentes de información que se utilizan para realizar un análisis forense, son diversas:

     - Correos electrónicos.

     - IDS/IPS.

     - Archivos de logs de los cortafuegos.

     - Archivos de logs de los sistemas.

     - Entrevistas con los responsables de 

       seguridad y de los sistemas.

     - Etcétera.

Figura 5. Esquema de sistema información en red.

Metodología en un incidente de seguridad 
    

Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de incidentes:

1)￿Preparación￿y￿prevención. En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y organizativas tienen que implementarse. Una vez hechos los diversos análisis se podrá considerar que la organización ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas.

Pero aun hecho dicho análisis, siempre hay situaciones que no van a poder ser protegidas, por lo que se tendrá que elaborar un plan de continuidad de negocio. Dicho plan está formado por un conjunto de planes de contingencia para cada una de las situaciones que no están controladas.

2)￿Detección￿del￿incidente. La detección de un incidente de seguridad es una de las fases más importante en la securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organización. La clasificación es la siguiente:

• Accesos no autorizados: un usuario no autorizado accede al sistema.

• Código malicioso: ha habido una infección de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema.

 

Figura 6. Ejemplo de detección código malicioso.

Programas maliciosos

   A) Virus: es un archivo ejecutable que desempeña acciones (dañar archivos, reproducirse, etc) en un ordenador sin nuestro consentimiento.

   B) Gusano: es un código malicioso que se reproduce y extiende a un gran número de ordenadores.

  C) Spyware: es un programa que recopila información de un ordenador y la envía a terceras personas sin el consentimiento del propietario.

   D)Troyano: también conocido como caballo de troya, es un programa que obtiene las contraseñas haciéndose pasar por otro programa. 

- Denegación de servicio: incidente que deja sin dar servicio (dns, web, correo electrónico, etc.) a un sistema.

- Phishing: consiste en suplantar la identidad de una persona o empresa para estafar. Dicha estafa se realiza mediante el uso de ingeniería social consiguiendo que un usuario revele información confidencial (contraseñas, cuentas bancarias, etc.). El atacante suplanta la imagen de una empresa u organización y captura ilícitamente la información personal que los usuarios introducen en el sistema.

Dos casos de phishing

En el año 2006 la Agencia Estatal de Administración Tributaia (AEAT) sufrió un ataque de phishing que se llevó a cabo mediante dos fases. La primera un envío masivo de correos electrónicos suplantando la identidad de la AEAT. En la segunda fase trataron de obtener dinero ilegalmente con la información que solicitaron haciéndoso pasar por AEAT.

 

Figura 7. Ejemplo de phishing.

Aprovechando las fechas del cierre del impuesto de valor añadido (IVA) se solicitaba el acceso a un enlace para poder optar a la deducción fiscal. Al acceder a la web trampa, se solicitaban datos como la tarjeta de crédito, entre otros, para obtener la información y poder estafar a los usuarios. La siguiente figura muestra las webs trampas. 

Éstas eran idénticas a la web de la AEAT por esas fechas.

 

Figura 8. Ejemplo de formulario fraudulento para obtener datos personales.

• Recogida de información: un atacante obtiene información para poder realizar

otro tipo de ataque (accesos no autorizados, robo, etc.).

• Otros: engloba los incidentes de seguridad que no tienen cabida en las categorías anteriores.

La detección de un incidente de seguridad se realiza a través de diversas fuentes.

A continuación se enumeran algunas de ellas:

• Alarma de los antivirus.

• Alarmas de los sistemas de detección de intrusión y/o prevención (IDS y/o

IPS).

• Alarmas de sistemas de monitorización de los sistemas (zabbix, nagios,

etc.).

• Avisos de los propios usuarios al detectar que no funcionan correctamente los sistemas informáticos.

• Avisos de otras organizaciones que han detectado el incidente.

• Análisis de los registros de los sistemas.

Una vez detectado el incidente a través de cualquier vía, para poder gestionarlo es recomendable tener al menos los siguientes datos:

•  Hora y fecha en la que se ha notificado el incidente.

•  Quién ha notificado el incidente.

• Clasificación del incidente (accesos no autorizados, phishing, denegación de servicio, etc.).

• Hardware y software involucrado en el incidente (si se pueden incluir los

números de serie, es recomendable).

• Contactos para gestionar el incidente.

• Cuándo ocurrió el incidente.

Si en dicha incidencia se encuentran involucrados datos de carácter personal,es de obligado cumplimiento, según el Real Decreto de Desarrollo de la LOPD, un registro de incidencias. En la figura 5 se muestra un ejemplo de un registro de incidencias.

 

Figura 9. Ejemplo de formulario para comunicar incidencias a la AEPD.

 

3)￿Respuesta￿inicial. En esta fase se trata de obtener la máxima información posible para determinar qué tipo de incidente de seguridad ha ocurrido y así poder analizar el impacto que ha tenido en la organización. La información obtenida en esta fase será utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha información será fruto como mínimo de:

Entrevistas con los administradores de los sistemas.

• Revisión de la topología de la red y de los sistemas.

• Entrevistas con el personal de la empresa que hayan tenido algo que ver

con el incidente con el objetivo de contextualizarlo.

• Revisar los logs de la detección de la intrusión.

4)￿Formulación￿de￿una￿estrategia￿de￿respuesta￿

ante￿el￿incidente. 

Una vez recabada la información de la fase anterior, hay que analizarla para después tomar una decisión sobre cómo actuar. Las estrategias a utilizar dependerán de varios factores: criticidad de los sistemas afectados, si el incidente ha salido a la luz pública, la habilidad del atacante, cómo de sensible es la información a la que se ha tenido acceso, si el sistema de información está caído y la repercusión que esto tiene, etc.

Estrategias de respuesta

Si la web corporativa ha sido atacada y modificada, una estrategia recomendada en este caso sería: reparar la web, monitorizarla, investigarla mientras este online. En el caso que haya un robo de información la estrategia recomendada seria: clonar los sistemas que hayan sido implicados, investigar el robo, realizar un informe, registrarlo en el registro de incidencias cumpliendo la LOPD y denunciarlo ante los Cuerpos del Estado o en los juzgados.

5)￿Investigación￿del￿incidente. En esta fase se determina quién, cuándo, dónde, qué, cómo y por qué ha ocurrido el incidente. Para investigar dicho incidente se divide el proceso en dos fases:

• Adquisición￿de￿los￿datos. La obtención de los datos es la acumulación de pistas y hechos que podrían ser usados durante el análisis forense de los ordenadores para la obtención de evidencias.

Obtención de datos

Los datos a obtener son los siguientes: evidencias de los sistemas involucrados (obtención de los datos volátiles, obtención de la fecha y hora del sistema, obtención del timestamp de los ficheros involucrados, obtención de los ficheros relevantes, obtención de las copias de seguridad, etc.), evidencias de los equipos de comunicaciones (logs de los IDS/IPS, logs de los routers, logs de los cortafuegos, obtención de las copias de seguridad, logs de autenticación de los servidores, logs de la VPN, etc.), obtención de los testimonios de los afectados, etc.

• Análisis￿forense. En esta fase se revisan todos los datos adquiridos en la fase anterior.

6)￿Redacción￿del￿informe. En esta última fase se redacta un informe que será entregado a la dirección de la organización o empresa así como a los cuerpos de policía del Estado o al juzgado si el incidente se denuncia. Dicho informe puede ser de dos clases: ejecutivo y técnico. 

El informe ejecutivo es un informe enfocado a personas sin conocimientos técnicos, mientras que el informe técnico explica de una manera técnicamente detallada el procedimiento del

análisis. Se describirá más adelante, en el apartado relativo a la redacción del informe.

En próximos post, trataremos los diferentes tipos de Análisis Forenses, y sus principales características.

Seguridad en Redes (I): En la piel de un atacante

Este psot se centra en los primeros pasos que deberíamos realizar cuando asumimos el papel de un atacante que utiliza Internet. La primera vía que un atacante competente probaría es la de consultar códigos abiertos para obtener información relacionada con la organización y sus redes. A alto nivel, se consultan los códigos abiertos siguientes:

• Motores de búsqueda Web y grupos de noticias.
• Registradores de dominio IP WHOIS.
• Sitios espejos BGP (Border Gateway Protocol) y servidores enrutadores.
• Servidores de nombre DNS públicos.

La mayoría de este sondeo es indirecto, envía y recibe tráfico desde sitios como Google o servidores WHOIS, BGP y DNS públicos. Usar varias técnicas de consulta directa implica enviar información a la red objetivo, en la mayoría de los casos como los siguientes:

• Consultas DNS  y grinding contra servidores de nombre específicos.
• Rastreo de servidores Web.
• Sondeo SMTP.

Tras realizar un ejercicio de enumeración de redes de Internet, consultando todas estas fuentes en busca de información útil, un atacante puede hacer un mapa útil de sus redes y comprender dónde residen las debilidades potenciales. Los atacantes, identificando sistemas periféricos de interés (como sistemas de prueba o desarrollo), pueden centrar áreas específicas de al red objetivo objetivo más tarde.

 

Figura 1. Ejemplo de mapa de redes.

El proceso de reconocimiento con frecuencia es interactivo, repitiendo todo el ciclo de enumeración cuando se encuentra una nueva pieza de información (como un nombre de dominio una dirección). El alcance del ejercicio de evaluación normalmente define los límites de actuación, lo que algunas veces incluye poner a prueba a terceras partes y a distribuidores. Son conocidas las empresas cuyas redes fueron comprometidas por atacantes extremadamente decididos a irrumpir en ordenadores que los usuarios tenían en sus hogares con conexión directa o DLS siempre activa, y accediendo a continuación a la red corporativa.

Figura 2. Ejemplo de ataque desde red externa.

Consultar motores de búsqueda Web y grupos de noticias

A medida que los motores de búsqueda registran la Web y grupos de noticias, van catalogando piezas de información potencialmente útil. Los motores de búsqueda, como Google y otros sitios, proporcionan funciones de búsqueda avanzada que permiten que los atacantes se hagan una clara idea de la estrucutura de la red que planean atacar más tarde.

En particular, los siguientes tipos de datos están al descubierto normalmente:

• Direcciones físicas de las oficinas de los empleados.
  Detalles de contacto, incluyendo direcciones de correo electrónico y números de teléfono.
• Detalles técnicos de los sistemas de correo electrónico internos y direccionamiento.
• Esquema DNS y convenciones de denominación, incluyendo dominios y nombres de equipo.
• Documentos que se encuentran en servidores de acceso público.

Los números de teléfono son especialmente útiles para los atacantes decididos, que luego pueden iniciar llamadas masivas para comprometer servidores dial-in y otros dispositivos.

Es muy difícil para las empresas y organizaciones evitar que esta información se obtenga; por ejemplo, se hace pública cada vez que un usuario publica alfo en una lista de correo con su firma digital. Para gestionar este riesgo de forma eficaz, las empresas deberían realizar ejercicios de consulta de registros públicos para garantizar que la información que puede obtener un atacante no conduce a comprometer la seguridad del sistema.

Funcionalidad de búsqueda de Google

Podemos utilizar Google para recopilar información potencialmente útil a través de su página de búsqueda avanzada en www.google.com/advanced_search?hl=es.

Las búsquedas se pueden perfeccionar para incluir o excluir determinadas palabras clave, o para dar con palabras clave en formato de archivos específicos, o en partes específicas de la página Web (como el título de la página o el cuerpo de texto).

Figura 3. Captura de pantalla "Búsqueda Avanzada".
 

Enumerar detalles de contacto de Google

Google puede utilizarse para enumerar fácilmente direcciones de correo electrónico, teléfonos y números de fax. La siguinete figura muestra los resultados de la cadena de búsqueda “pentagom.mil” +tel +fax transmitidos a Google para enumerar direcciones de correo electrónico y números de teléfono relacionados con el pentágono.

Figura 4. Utilizamos Google para obtener usuarios e información. (Hacking con buscadores).

Cadenas búsqueda eficaces

Podemos consultar Google de muchas formas diferentes, dependiendo del tipo exacto de datos que se traten de encontrar. Por ejemplo, si únicamente quiere enumerar los servidores Web bajo el dominio abc.com, puede utilizar una cadena de búsqueda como: .abc.com

Una aplicación útil de Google es el listado de servidores Web que soportan indización de directorio. La figura muestra los resultados de la búsqueda de la siguiente cadena: allintitle:”index of/data” site.nasa.gov.

 Figura 5. Identificando directorios Web listados bajo nasa.gov.

Con bastante frecuencia, los directorios Web que proporcionan listados de archivos contienen archivos interesantes que no son estrictamente de contenido Web (como documentos de Word o Excel).

Un ejemplo es un gran banco que almacena sus planes de desarrollo a largo plazo (incluyendo direcciones IP y nombres de usuario y contraseñas administrativas) en un directorio indexado /cmc_upload/. Un rastreador de aplicación Web o GCI automático no puede identificar el directorio, pero Google puede acceder a través de enlaces desde cualquier parte de Internet.

Buscar grupos de noticias

Las búsquedas en grupos de noticias de Internet también se pueden consultar. La siguiente figura muestra cómo buscar en grupos de Google (http://groups.google.com) utilizando la cadena de búsqueda symantec.com.

Tras realizar búsquedas Web y búsquedas en grupos de noticias, debe tener una idea inicial de las redes objetivo en términos de nombres de dominio y oficinas.

Las consultas WHOIS, DNS y BGP se utilizan a continuación para investigar más fondo la red e identificar puntos de presencia basados en Internet, junto con detalles de nombres de equipos y plataformas operativas utilizadas.

 Figura 6. Página Principal creación y búsqueda por grupos.

 

Consultas Netcraft

Netcraft (www.netcraft.com) es un sitio abundante que prueba activamente servidores Web de Internet y se queda con el historial de los detalles de huellas del servidor. Puede utilizarlo para mapear conjuntos Web y bloques de redes, mostrando los detalles de la plataforma operativa del servidor y otra información útil. La siguiente figura muestra Netcraft siendo consultado para exponer servidores Web bajo sun.com y sus respectivos detalles de la plataforma operativa.

 

 Figura 7. Utilizando Netcraft para identificar y extraer huellas de servidores Búsqueda Web con Netcraft.

 

Consultar registradores de dominio WHOIS

Los registradores de dominios se consultan para obtener información útil sobre determinados nombres de dominios registrados en el momento de escribir estas líneas, incluyendo los TLD genéricos y TLD de código de país en las siguientes ubicaciones:

• Registradores gTLD.
• Registradores ccTLD.

Estos registradores TLD pueden consultarse para obtener la siguiente información a través de WHOIS:

• Detalles de contacto, incluyendo direcciones de correo electrónico y números de teléfono.

• Direcciones físicas de las oficinas de los empleados.
• Detalles técnicos de los sistemas de correo electrónico internos y direccionamiento.
• Esquema DNS y convenciones de denominación, incluyendo dominios y nombres de equipo.
• Documentos que se encuentran en servidores de acceso público.

Las herramientas que se utilizan para realizar las consultas en dominio WHOIS incluyen:

• El cliente whois se encuentra dentro de entornos basados en Unix.
• La apropiada interfaz de Web de registradores TLD.
  
  

  

   

  Figura 8. Para consultar IP/ WHOIS  Networksolutions.

En una segunda entrada sobre "Seguridad en Redes", trataremos entre otros: Herramientas de consultas IP WHOIS, consultas BGP, consultas DNS, y DNS avanzadas, redirección DNS Grinding, barrido inverso de DNS, rastreo de servidores Web y sondeo SMTP entre otros.