Analisis forense

Análisis Forense Digital

1

LICENCIA

Copyright (c)

2.006 - 2.007 Miguel López Delgado.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts being “Análisis Forense Digital”, and noBack-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".

El presente documento se distribuye bajo la licencia conocida como “GNU Free Documentation License”: http://www.gnu.org/copyleft/fdl.html.

Todos los nombres propios de programas, sistemas operativos, equipos hardware, etc., que aparecen en este libro son marcas registradas por susrespectivos fabricantes, compañías u organizaciones.

Análisis Forense Digital

2

Análisis Forense Digital Computer Forensics

“Análisis Forense Digital” Segunda Edición: Primera Edición: junio 2007, revisada y adaptada para su publicación en CriptoRed junio 2.006

Autor:

Web: e-mail:

Miguel López Delgado Ingeniero Técnico Industrial Experto Profesional en Seguridad Informáticawww.codemaster.es codemaster@telefonica.net

A mis hijos Manuel y Paula, por ser una fuente constante de inspiración.

Análisis Forense Digital

3

1 Índice
1.- Índice. 2.- Introducción. Antecedentes. Conceptos y terminología. Prevención de ataques a sistemas. Preparación y respuesta ante incidentes. Aspectos legales. 3.- Fases de un Análisis Forense Digital. Identificación del incidente:Búsqueda y recopilación de evidencias. Descubrir las señales del ataque. Recopilación de evidencias. Preservación de la evidencia. Análisis de la evidencia. Preparación para el análisis: El entorno de trabajo. Reconstrucción de la secuencia temporal del ataque. Determinación de cómo se realizó el ataque. Identificación del autor o autores del incidente. Evaluación del impacto causado al sistema.Documentación del incidente. Utilización de formularios de registro del incidente. El Informe Técnico. El Informe Ejecutivo. 4.- Herramientas para Análisis Forense Digital. Software de Libre Distribución y Open Source. 5.- Conclusiones. 6.- Bibliografía y referencias. 7.- URLs. Apéndices. A.1.- Esquema del proceso de respuesta a incidentes. A.2.- Ejemplo de e-mail de notificación sobre incidentes a unISP. A.3.- Glosario de términos. 3 4 4 5 6 7 8 10 10 10 13 15 16 17 17 19 20 21 22 22 23 23 24 24 27 28 28 29 29 30 31

Análisis Forense Digital

4

2 Introducción
Antecedentes
Un jueves por la tarde comienza a circular por Internet un nuevo “gusano”. Éste aprovecha una vulnerabilidad de Microsoft Windows XP que había sido publicada oficialmente un par de semanas atrás y que se acompañódel correspondiente “parche”. Se conoce que el “gusano” se extiende auto enviándose por e-mail usando todas las direcciones que encuentra en el sistema infectado, además está programado para generar diferentes nombres de archivos adjuntos y sus extensiones pueden variar, al tiempo que elige entre un centenar de asuntos y cuerpos de mensaje diferentes. Cuando el “gusano” infecta un sistema realizauna escalada de privilegios hasta obtener derechos de Administrador, realizando entonces la descarga, desde diferentes direcciones IP y vía FTP, de un agente para la ejecución de ataques de denegación de servicio distribuido (DDoS). Aunque los fabricantes de software antivirus alertan inmediatamente del “gusano” su expansión ha sido muy rápida y aún no se dispone de su firma. Su organización ya hasufrido una infección importante por la ejecución del “gusano” unas tres horas antes de que dispusiese de la firma para su antivirus y este se encuentra activo en algunos sistemas de su red. Ante un escenario de este tipo, podríamos hacernos las siguientes preguntas: ¿Tiene su organización un equipo de respuesta a incidentes como parte de su política de seguridad? ¿Es capaz de identificar los...