ANALISIS FORENSE

INFORMATICO
 DEFINICIONES

 Computer forensics (computación forense).- Disciplina de las ciencias

forenses, que considerando las tareas propias asociadas con la evidencia,
procura descubrir e interpretar la información en los medios informáticos
para establecer los hechos y formular las hipótesis relacionadas con el
caso.

 Network forensics (forense en redes).- Comprender la manera como los

protocolos, configuraciones e infraestructuras de comunicaciones se
conjugan para dar como resultado un momento específico en el tiempo y
un comportamiento particular.

 Digital forensics (forense digital).- Es una forma de aplicar los conceptos,

estrategias y procedimientos de la criminalística tradicional a los medios
informáticos especializados. Es una disciplina especializada que procura
el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?,
¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o
usos indebidos bien sea en el contexto de la justicia especializada o como
apoyo a las acciones internas de administración de la inseguridad
informática.
 HERRAMIENTAS FRECUENTEMENTE
UTILIZADAS EN PROCEDIMIENTOS FORENSES

 ENCASE http://www.encase.com/products/ef_index.asp
 FORENSIC TOOLKIT http://www.accessdata.com/products/utk/
 WINHEX http://www.x-ways.net/forensics/index-m.html

Existen otras que no cuentan con tanto reconocimiento

internacional en procesos legales, que generalmente son
aplicaciones en software de código abierto:

 Sleuth Kit http://www.sleuthkit.org/

 Coroner Toolkit http://www.porcupine.org/forensics/tct.html

Para mayor información de otras herramientas forenses en

informática se sugiere revisar el enlace:

 http://www.e-evidence.info/vendors.html
LA MAYOR PARTE DE LAS TÉCNICAS SE BASAN
EN LA RECUPERACIÓN DE INFORMACIÓN DE
DISCOS DUROS Y RÍGIDOS.
ENCASE http://www.guidancesoftware.com/products/EnCaseForensic/index.shtm Que
puede realizar duplicaciones exactas del contenido de un disco, incluso de forma
remota.

SMART
http://www.asrdata.com/SMART/
Es una utilidad que permite instalar en un disco las imágenes capturadas con
Encase.

Forensic Toolkit
http://www.accessdata.com/Product04_Overview.htm?ProductNum=04
Conjunto de herramientas de análisis forense.

Disk Doubler II
http://www.lec.cz/en/produkty_datove_diskdoubler_II2.html
Un duplicador hardware de discos.

Disk Doubler Plus

http://www.lec.cz/en/produkty_datove_diskdoublerplus2.html
Una aplicación de búsqueda de cadenas en los datos adquiridos.
 LA RECUPERACIÓN DE FICHEROS BORRADOS
O NO ACCESIBLES ENTRA TAMBIÉN DENTRO
DE ESTE CAMPO Y PARA ELLO TENEMOS:

 F o r e mo s t
h t t p :/ /f or e m os t . s ou r c ef or g e .n et /
P e r m it e ex t r a e r f i c h e r o s d el i n t er i o r d e u n a i m a g en d e d i s c o.

 H e r r a m i e n t a s de r e c up e r a ci ó n de a r c h i v os .

C IA U n e r a s e - h t t p : / /w w w . c i a u n er a s e .c om /
F i l e R e c ov e r - h t t p : // w w w . f i l e r ec o v er .c o m /d o w n l oa d . h t m l
R - St u di o - h t t p : / /w w w . r - s t u d i o. c o m /
O n t r a ck E a s y R e c ov e r y - h t t p :/ /w w w . on t r a c k . c o m /e a s yr e c o ve r y /
G e t D a t aB a ck - h t t p : // w w w . r u n t i me . or g /

 Sl e u th K i t
h t t p :/ /w w w .s l e u t h ki t . or g/i n f or m e r /
S i s e h a n b o r r a d o p a r t i c i o n es c o n f d i sk .
 NTFS Reader
h t t p :/ /w w w .n t f s .c om /p r od u c t s . h t m
E s un p r o g r a ma W i nd o w s q u e g en er a u n a i m a g en d e f lo p p y d i sk p a r a a r r a n c a r e n
F r ee D o s y p e r m it e l ee r y c o p ia r f i c h e r os d e n t r o de particiones NTFS.
 Crear imágenes de discos de arranque de sistemas operativos
Bootdisk - http://www.bootdisk.com/
Winimage - http://www.winimage.com/winimage.htm
PEBuilder - http://www.nu2.nu/pebuilder/
Wotsit Format

http://www.wotsit.org/
Contiene las especificaciones de múltiples formatos de archivos.
 Gestión de particiones.

 Drive Image - http://www.powerquest.com/driveimage/

 Norton Ghost - http://www.symantec.com/ghost/
 E L A N Á L I SI S F O RE N S E T A M BI É N SE R E F I E RE A DE T E R MI N A R
LA S C A USA S L A A L T E R A C I ÓN D E SU S D A T OS O L A C A Í DA O
MA LF UN C I O N A M I E N T O DE L SI ST E MA .

 C o n t ro l de i n t e g ri da d de fi ch e r o s
T ri p w i re
h t t p : / / www . t r i p w i r e . c o m / d o wnlo a d s /in d e x . c f m
O s i ri s
h t t p : / / o sir is. sh m o o . c o m /

 J o h n t h e Ri p p e r
h t t p : / / www . o p e n w a l l . c o m / j o hn /
E s e l c ra c k e a d o r d e c o n t r a se ña s d e f u e rz a b ru ta m á s fa m o so , p ro b a b le m e nt e
p o r s e r g ra tu i t o y u n o d e lo s p rim e ro s.
 O p e n W al l
h t t p : / / www . o p e n w a l l . c o m / PR /
E s u na re c o p i l a c i ó n d e r e c u p e ra d o re s d e c o nt ra se ñ a s
 R u s s i an Pa s s w o r d Cr ac k e rs
h t t p : / / www . p a s sw o r d - c r a c k e rs. c o m / I nc lu y e c ra c k e a d o re s p a ra c o m p re s o re s,
p a r a u t ilid a d e s d e c i fr a d o , B IO S , f o rm a t o s d e f ic h e ro s (O f f ic e , P D F , e t c . ),
b a se s d e d a t o s, S i s t em a s O p e ra t iv o s, A p lic a c io ne s, e t c . se inc lu y e n a d e m á s
enlaces sobre los algoritmos y su s d e b ilid a d e s
 MDcrack
http://membres.lycos.fr/mdcrack/
Es capaz de rompe r hashes MD4, MD5 y NTLM1
 Offline NT Password Registry editor
http://home.eunet.no/~pnordahl/ntpasswd/
Permite recuperar o restablecer una contraseña en Windows.
 Recuperar o restablecer una contraseña en Windows 2000
Chntpw - http://www.cgsecurity.org/index.html?ntfs.html
pwdump3 - http://archives.neohapsis.com/archive s/ntbugtraq/2001-
q1/0007.html
Dumpsec - http://www.somarsoft.com/
 LC5
http://www.atstake.com/research/lc/download.html
Es la última versión del famoso crackeador de passwords comercial
L0phtCrack, antiguo grupo de hacking ahora reconvertido en el empresa @Stake.
Se trata de un software de recuperación de passwords por fuerza bruta y por
diccionario para Microsoft Windows.
 Cain
http://www.oxid.it/cain.html
Software muy conocido para la recuperación de password Windows.
 Rainbowcrack
http://www.antsight.com/zsl/rainbowcrack/
Permite agilizar el cracking de contraseñas mediante precomputación
de hashes.
 Winrtgen
http://www.oxid.it/projects.html
Se puede agilizar la generación de tablas para Rainbowcrack.
 Revelation
http://www.snadboy.com/
Utilidad freeware para revelar las contraseñas ocultas en el GUI de
Windows.
METODOLOGÍA
 1. FASE DE IDENTIFICACION

 ¿Qué información se necesita?

 ¿Cómo aprovechar la información presentada?
 ¿En qué orden ubico la información?
 ¿Acciones necesarias a seguir para el análisis forense?

1.1 SOLICITUD FORENSE

Es un documento donde el administrador del equipo afectado

notifica de la ejecución de un incidente y para ello solicita al
equipo de seguridad la revisión del mismo, donde incluye toda
la información necesaria para dar inicio al proceso de análisis.
 INFORMACIÓN INCLUIDA EN EL
DOCUMENTO:
DESCRIPCIÓN DEL DELITO INFORMÁTICO INFORMACIÓN SOBRE EL EQUIPO
 Fecha del incidente AFECTADO
 Duración del incidente  Dirección IP
 Detalles del incidente  Nombre del equipo
 Marca y modelo
INFORMACIÓN GENERAL  Capacidad de la RAM
 Área  Capacidad del disco duro
 Nombre de la dependencia  Modelo del procesador
 Responsable del sistema afectado  Sistema operativo (nombre y versión)
 Nombres y Apellidos  Función del equipo
 Cargo  Tipo de información procesada por el
 E-mail equipo
 Teléfono
 Extensión
 Celular
 Fax
1.2 ASEGURAR LA ESCENA

Para asegurar que tanto los procesos como las herramientas a

utilizar sean las más idóneas se debe contar con un personal
competente a quien se le pueda asignar la conducción del
proceso forense.

1.3 IDENTIFICAR LAS EVIDENCIAS

El siguiente paso y muy importante es la identificación de la
evidencia presentada que es nuestra escena del crimen, la
misma que estará sujeta a todos los procesos necesarios para
la presentación de resultados finales.
LA EVIDENCIA SE CLASIFICA SEGÚN:

1 . 3 . 1 P R I OR I D A D E S D E L A D MI N I S TR A D O R
Las prioridades del administrador se basan en la criticidad de los daños producidos por el
incidente.

CRITICIDAD DE Extensión de Criticidad de los

LOS DAÑOS = daños producidos + recursos afectados

L a e xt e n s i ó n d e l o d añ o s p r o d uci d o s e s :
G r av e s . - Q ue e l i n ci d e n t e p r o d uj o d añ o s m uy s e v e r o s s o b r e l o s s e r v i c i o s o
i n fo r m ac i ó n .
M o de r ad o s . - Q ue e l i n ci d e n t e c aus o m o l e s ti a s y p é r d i d a d e i n fo r m ac i ó n .
L e v e s . - Q ue e l i n ci d e n t e p r o d uci d o n o t i e n e m ay o r i m p o r t a n ci a, n o s e pr o duj o
n i n g ún t i po d e p e r d i d a p e r o s i un co r t e o m ol e s t i a e n l o s s e r v i ci o s .

L a cr i t i c i dad d e l o s r e cu r s o s a fe c t ad o s e s :
A l t a. - Lo s r e c ur s o s af e ct a d o s s o n m uy i m p o r t an t e s d e n t r o de l a un i v e r s i d ad y
co m o t al co m p r o m e t e n e l n o r m al f un c i o n a m i e n t o y p r e s t a ci ó n de s e r v i ci o s .
M e di a. - Lo s r e c ur s o s af e ct a d o s c aus an m o l e s t i as a un ár e a de l a un i v e r s i dad .
B aj a. - Lo s r e cur s o s af e c t ad o s caus an ci e r t a s m o l e s t i as p e r o s e pue de s e g ui r c o n
e l n o r m a l fu n c i o n am i e n t o d e l o s e q ui p o s .
1.3.2 TIPO DE DISPOSITIVO

 Sistemas informáticos
 Redes
 Redes Inalámbricas
 Dispositivos móviles
 Sistemas embebidos16
 Otros dispositivos

1.3.3 MODO DE ALMACENAMIENTO

 Volátiles .- Aquellas que se perderán al apagar el equipo como la

hora del sistema y desfase de horario, contenido de la memoria,
procesos en ejecución, programas en ejecución, usuarios
conectados, configuración de red, conexiones activas, puertos
abiertos, etc.
 No volátiles.- medios físicos de almacenamiento como memorias
flash, CD, discos duros.
 2. FASE DE PRESERVACION

Una vez que se cuenta con todas las evidencias del incidente
es necesario conservarlas intactas ya que son las “huellas del
crimen”, se deben asegurar estas evidencias a toda costa. Para
ello se sigue el siguiente proceso:

2.1 COPIAS DE EVIDENCIAS

Como primer paso se debe realizar dos copias de las evidencias
obtenidas.

Etiquetarla con la fecha y hora de creación de la copia, nombre

cada copia, por ejemplo “COPIA A”, “COPIA B”

Si además se extrae los discos duros del sistema para utilizarlos

como evidencia, se debe seguir el mismo procedimiento,
colocando sobre ellos la etiqueta “EVIDENCIA ORIGINAL”
2.2 CADENA DE CUSTODIA

 Se establecen las responsabilidades y controles de cada una de las

personas que manipulen la evidencia. Se debe preparar un
documento en el que se registren los datos personales de todos los
implicados en el proceso de manipulación de las copias, desde que
se tomaron hasta su almacenamiento.

El documento debe de tener la siguiente información:

 Dónde, cuándo y quién examinó la evidencia, incluyendo su nombre,

su cargo, un número identificativo, fechas y horas, etc.
 Quién estuvo custodiando la evidencia, durante cuanto tiempo y
dónde se almacenó.
 Cuando se cambie la custodia de la evidencia también se deberá
documentar cuándo y como se produjo la transferencia y quién la
transportó
 3. FASE DE ANÁLISIS

El objetivo es reconstruir con todos los datos disponibles la línea temporal
del ataque, determinando la cadena de acontecimientos que tuvieron lugar
desde el inicio del ataque, hasta el momento de su descubrimiento.

3 . 1 P RE P A R A C I O N P A R A E L A N A L I S I S

Antes de comenzar el análisis de las evidencias se deberá:

1 ) A c o n d i c i o n a r u n e n t o r n o d e t r a b a j o a d e c u a d o a l e s t u d i o q u e s e d e s e a r e a l i z a r
2 ) T r a b a j a r c o n l a s i m á g e n e s q u e s e r e c o p i l ó c o m o e v i d e n c i a s , o m e j o r a ú n c o n u n a
copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual
estaban en el sistema comprometido.
3 ) S i d i s p o n e d e r e c u r s o s s u f i c i e n t e s p r e p a r a r d o s e s t a c i o n e s d e t r a b a j o , u n a d e e l l a s
contendrá al menos dos discos duros.
4 ) I n s t a r u n s i s t e m a o p e r a t i v o q u e a c t u a r á d e a n f i t r i ó n y q u e s e r v i r á p a r a r e a l i z a r e l
estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro,
instalar las imágenes manteniendo la estructura de particiones y del sistema de
archivos tal y como estaban en el equipo atacado.
5 ) E n o t r o e q u i p o i n s t a r u n s i s t e m a o p e r a t i v o c o n f i g u r a d o e x a c t a m e n t e i g u a l q u e e l
equipo atacado, además mantener nuevamente la misma estructura de particiones y
ficheros en sus discos duros. La idea es utilizar este segundo ordenador como
“conejillo de Indias” y realizar sobre él pruebas y verificaciones conforme se vayan
surgiendo hipótesis sobre el ataque.
3.2 RECONSTRUCCION DE LA SECUENCIA
TEMPORAL DEL ATAQUE

1) Crear una línea temporal o timeline de sucesos, para ello se

debe recopilar la siguiente información sobre los ficheros:

 Marcas de tiempo MACD (fecha y hora de modificación,

acceso, creación y borrado).
 Ruta completa.
 Tamaño en bytes y tipo de fichero.
 Usuarios y grupos a quien pertenece.
 Permisos de acceso.
 Si fue borrado o no.
3.2 RECONSTRUCCION DE LA SECUENCIA
TEMPORAL DEL ATAQUE
2) Ordenar los archivos por sus fechas MAC, esta primera
comprobación, aunque simple, es muy interesante pues la
mayoría de los archivos tendrán la fecha de instalación del
sistema operativo, por lo que un sistema que se instaló hace
meses y que fue comprometido recientemente presentará en
los ficheros nuevos, fechas MAC muy distintas a las de los
ficheros más antiguos.

 3) Comenzar a examinar con más detalle los ficheros logs y

registros que se examinaron durante la búsqueda de indicios
del ataque, intentar buscar una correlación temporal entre
eventos.
3.2 RECONSTRUCCION DE LA SECUENCIA
TEMPORAL DEL ATAQUE

 4) Examinar los fragmentos del archivo /var/log/messages,

que es donde se detectan y registran los accesos FTP, esto
nos permitirá descubrir si sobre esa fecha y hora se crearon
varios archivos bajo el directorio /var/ftp de la máquina
comprometida19, además se debe tener presente que este
directorio puede ser borrado por el atacante y deberá ser
recuperado.
3.3 DETERMINACION DE COMO SE
REALIZO EL ATAQUE
Se deberá determinar cuál fue la vía de entrada al sistema,
averiguando qué vulnerabilidad o fallo de administración causó
el agujero de seguridad y que herramientas utilizó el atacante
para aprovecharse de tal brecha.

 1) Revisar los servicios y procesos abiertos que se recopilaron

como evidencia volátil, así como los puertos TCP/UDP y
conexiones que estaban abiertas cuando el sistema estaba
aún funcionando.

 2) Si ya se tiene claro cuál fue la vulnerabilidad que dejó el

sistema desprotegido, es necesario ir un paso más allá y
buscar en Internet algún exploit anterior a la fecha del
incidente, que utilice esa vulnerabilidad.
 3) Reforzar cada una de las hipótesis empleando una
formulación causa-efecto, también es el momento de arrancar
y comenzar a utilizar la máquina preparada como “conejillo
de Indias”. Probar sobre la máquina los exploits que se
encontró, recordar que en el análisis forense un antecedente
es que los hechos han de ser reproducibles y sus resultados
verificables, por lo tanto comprobar si la ejecución de este
exploit sobre una máquina igual que la afectada, genere los
mismos eventos que ha encontrado entre sus evidencias.
 3.4 IDENTIFICACION DEL ATACANTE

Será de utilidad consultar nuevamente algunas evidencias

volátiles que se recopiló en las primeras fases, revisar las
conexiones que estaban abiertas, en qué puertos y qué
direcciones IP las solicitaron, además buscar entre las entradas
a los logs de conexiones.

También se puede indagar entre los archivos borrados que se

recuperó por si el atacante eliminó alguna huella que quedaba
en ellos.
 SI SE DECIDE PERSEGUIR A LOS
ATACANTES, SE DEBERÁ:
1) Primero intentar averiguar la dirección IP del atacante, para ello
revisar con detenimiento los registros de conexiones de red y los
procesos y servicios que se encontraban a la escucha. También se podría
encontrar esta información en fragmentos de las evidencias volátiles, la
memoria virtual o archivos temporales y borrados, como restos de email,
conexiones fallidas, etc.

2) Al tener una IP sospechosa, comprobarla en el registro RIPE NCC

(www.ripe.net) a quién pertenece. Pero ojo, no sacar conclusiones
prematuras, muchos atacantes falsifican la dirección IP con técnicas de
spoofing. Otra técnica de ataque habitual consiste en utilizar
“ordenadores zombis”, éstos son comprometidos en primera instancia
por el atacante y posteriormente son utilizados para realizar el ataque
final sin que sus propietarios sepan que están siendo cómplices de tal
hecho.
 3) Utilizar técnicas hacker pero solo de forma ética, para
identificar al atacante, por si el atacante dejó en el equipo
afectado una puerta trasera o un troyano, está claro que en el
equipo del atacante deberán estar a la escucha esos
programas y en los puertos correspondientes, bien esperando
noticias o buscando nuevas víctimas.
 3.5 PERFIL DEL ATACANTE

 Hackers: Son los más populares y se trata de personas con conocimientos en

técnicas de programación, redes, Internet y sistemas operativos. Sus ataques
suelen tener motivaciones de tipo ideológico (pacifistas, ecologistas, anti
globalización, anti Microsoft, etc.) o simplemente lo consideran como un desafío
intelectual.

 SciptKiddies: Son una nueva especie de delincuentes informáticos. Se trata de

jóvenes que con unos conocimientos aceptables en Internet y programación
emplean herramientas ya fabricadas por otros para realizar ataques y ver que pasa.
Su nombre viene de su corta edad y del uso de los scripts, guías de ataques que
encuentran por Internet.

 Profesionales: Son personas con muchísimos conocimientos en lenguajes de

p r o g r a m a c i ó n , e n r e d e s y s u e q u i p a m i e n t o (r o u t e r s , f i r e w a l l , e t c . ) , I n t e r n e t y
sistemas operativos tipo UNIX. Suelen realizar los ataques taques bajo encargo, por
lo que su forma de trabajar implica una exhaustiva preparación del mismo,
realizando un estudio meticuloso de todo el proceso que llevará a cabo,
recopilando toda la información posible sobre sus objetivos, se posicionará
estratégicamente cerca de ellos, realizará un tanteo con ataques en los que no
modificará nada ni dejará huellas cuando lo tenga todo bien atado entonces
atacará, este tipo de atacantes se encuentra muy poco y además se dedica a dar
grandes golpes.
3.6 EVALUACIÓN DEL IMPACTO CAUSADO
AL SISTEMA
Generalmente se pueden dar dos tipos de ataques:

 Ataques pasivos.- En los que no se altera la información ni la

operación normal de los sistemas, limitándose el atacante a
fisgonear por ellos.

 Ataques activos.- En los que se altera y en ocasiones

seriamente tanto la información como la capacidad de
operación del sistema.
 4 FASE DE DOCUMENTACIÓN Y
PRESENTACIÓN DE LAS PRUEBAS
Es muy importante comenzar a tomar notas sobre todas las
actividades que se lleven a cabo. Cada paso dado debe ser
documentado y fechado desde que se descubre el incidente hasta
que finaliza el proceso de análisis forense

4.1 UTILIZACION DE FORMULARIOS DE REGISTRO DEL INCIDENTE

Éstos deberán ser rellenados por los departamentos afectados o por
el administrador de los equipos. Alguno de los formularios que
debería preparar serán:

 Documento de custodia de la evidencia

 Formulario de identificación del equipos y componentes
 Formulario de incidencias tipificadas
 Formulario de publicación del incidente
 Formulario de recogida de evidencias
 Formulario de discos duros.
 4.1.1 INFORME TECNICO
Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en
profundidad la metodología, técnicas y hallazgos del equipo forense.

 Introducción
 Antecedentes del incidente
 Recolección de los datos
 Descripción de la evidencia
 Entorno del análisis
 Descripción de las herramientas
 Análisis de la evidencia
 Información del sistema analizado
 Características del SO
 Aplicaciones
 Servicios
 Vulnerabilidades
 Metodología
 Descripción de los hallazgos
 Huellas de la intrusión
 Herramientas usadas por el atacante
 Alcance de la intrusión
 El origen del ataque
 Cronología de la intrusión
 Conclusiones
 Recomendaciones específicas
 Referencias
 Anexos
 4.1.2 INFORME EJECUTIVO

E s t e i n f o r m e c o n s i s t e e n u n re su m e n d e l a n á l i si s e f e c tu a d o p e r o e m p l e a n d o u n a
explicación no técnica, con lenguaje común.

  I n t ro d u c ci ó n . - De s c r i p c i ó n d e l o b j e t i v o d el a n á l i si s d e l si st em a p r ev i a m en t e
a t a c a d o y c o m p r o m e t i d o , t a m b i én se i n c l u y e l a i n f o rm a c i ó n d e l a e v i d e n c i a
proporcionada.
  A n á l i s i s . - D e s c r i p c i ó n d e l en t o rn o d e t ra b a j o y d e l a s h e rra m i e n t a s d e a n á l i si s
f o r e n s e s el e c c i o n a d a s a s í c o m o l a c a n t i d a d d e t i e m p o e m p l e a d o e n e l m i sm o .
  S u ma r io d e l i n c i d e n t e . - Re su m en d e l i n c i d e n t e t ra s e l a n á l i si s d e l a e v i d e n c i a
aportada.
  P ri n c i p a l e s C o n cl u s i o n e s d e l a n á lis is . - D e t a l l e d e l a s c o n c l u si o n e s a l a s q u e
s e l l eg o u n a v e z t e r m i n a d o e l p r o c e so d e a n á l i si s.
  S o l u ci ó n al i n c i d e n t e . - D e sc ri p c i ó n d e l a so l u c i ó n p a ra re c u p e ra c i ó n d e l
incidente.
  R e co m e n d a c i o n e s f i n a l e s . - p a so s q u e se d e b en rea l i z a r p a ra g a ra n t i z a r l a
s eg u r i d a d d e l o s eq u i p o s y q u e e l i n c i d e n t e n o v u e l v a a su c e d e r.