Forensics in Spanish
Re: Pasos de Análisis Forense Jan 23 2007 12:41AM
Flavio, el HdP (flaviohdp gmail com)
Ok, con respecto a las herramientas : Como "congelo" la RAM en el swap, al
crear la imagen del disco estoy creando la imagen (dentro) del swap (en
partición si es Linux, en Archivo si es Windows). Así que después se
utilizan herramientas de Análisis sobre la Imagen (Tipo Encase, Helix, FTK,
Coroner Toolkit que cambió de nombre, etc.) para encontrar lo que uno desea,
inclusive para Text Serch, tipo Paraben o Winhex, o el mismo GREP de unix,
tan util...
Si la única forma de preservar una imagen de la RAM es mediante la corrida
de un programa sobre la máquina Target (no recomendable, ya expliqué), como
último recurso, sugiero utilizar HELIX (es uno de misToolkits preferidos).
Tanto sobre Win como Linux, tiene herramientas para crear imágenes de
RAMs.(memdump, etc.)

Con respecto a los Libros, no se consiguen en México porque yo vivo
actualmente en Santa Cruz de la Sierra, Bolivia. Estoy pensando editarlos
con alguna empresa Internacional, porque en los cursos que dí para I-Sec de
Argentina en varios países (Ecuador, Perú, Argentina, Uruguay y Bolivia) me
han requerido mucho bibliografía sobre el tema. Si alguien sabe de una
Editorial en México que esté dispuesta, me avisan, y le metemos.. Tengo
sobre Internet y Delitos Informáticos, Procedimientos para Allanamientos,
Pericia Informática Forense y Legislación Comparada (más orientado a Bolivia
este último, pero se puede acomodar porque tuve que estudiar bastante sobre
los países donde dicté los cursos, especialmente Procedimental Penal)

Con respecto al tema de soft residente para facilitar la tarea forense,
depende de la Legislación y el Soft... no es lo mismo habilitar soft de
Auditoría en una PC de un empleado, que ponerles un Keylogger o correr el
Carnivore sobre el MailServer corporativo...jejeje

Bueno, espero que les sirva un poco de esto. Hagamos camino, y tratemos de
difundir la necesidad de formar buenos Peritos..

*PERITAJE INFORMATICO FORENSE :*
*"Proceso de Identificación, Adquisición, Preservación, Análisis y
Presentación de Evidencia Digital, de acuerdo a Procedimientos
Técnico-Legales preestablecidos, como apoyo a la Administración de Justicia
en la resolución de un caso Legal".*

... saludos a todos !!!

Flavio.-

El día 22/01/07, Abraham Lizardo Silva <abraham.lizardo (at) nuevoleon.gob (dot) mx [email concealed]>
escribió:
>
> De nuevo gracias a todos por su tiempo para contestar.
>
>
>
> Aunque se que generalmente, cuando se va a recolectar evidencias, es en
> maquinas de las cuales no tenemos control, la pregunta que me surge es si no
> existe alguna herramienta que podamos dejar residentes en la PC de los
> usuarios para que esté recolectando evidencia que pueda ser usada en caso de
> una anomalía, y que apoye el análisis forense.
>
>
>
> Entiendo que hay que proteger diferentes leyes de privacidad de la
> información, pero si se firma algún contrato de confidencialidad o alguna
> política que establezca que la información contendida en la PC es propiedad
> de la empresa u organización, y se cuidan las formas legales, talvez
> pueda ser valida.
>
>
>
> En fin, si existe un software para recolectar evidencias que puedan ser
> útiles en un caso judicial, cuál herramienta recomendarían.
>
>
>
> Con respecto al caso que menciona Flavio de que si es útil el volcado de
> memoria, la pregunta sería que herramienta utilizó en el curso que ofreció
> en los países que comento.
>
>
>
> Saludos a todos y que estén bien.
>
>
>
> Abraham Lizardo
>
> ------------------------------
> *De:* listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] *En
> nombre de *Flavio, el HdP
> *Enviado el:* Sábado, 20 de Enero de 2007 5:10
> *Para:* Román Ramírez
> *CC:* abraham Lizardo; forensics-es (at) securityfocus (dot) com [email concealed]
> *Asunto:* Re: Pasos de Análisis Forense
>
>
> Con respecto a la Preservación de Evidencia Volátil, específicamente RAM
> (también la conectividad en Red aporta mucha Evidencia Volátil, que debe ser
> preservada) :
>
> Primero : Actualmente, el volcado de memoria *SI *proporciona mucha
> información importante, especialmente ahora que las memorias son baratas, y
> la mayoría de las personas usa un mínimo de 512 megas, lo que permite
> recuperar páginas no reemplazadas de hasta *horas* anteriores, como lo
> pude demostrar a los alumnos en cursos dados en Ecuador, Uruguay, Argentina,
> Perú y Bolivia.. inclusive ver lo que se copió a un flash un rato antes,
> para saber si alguien se sacó información confidencial...
>
> Segundo : Cómo congelo la memoria ENTERA, sin corromper nada ? Si corro un
> programa que me haga un volcado, obligadamente necesita instalarse en RAM,
> lo que jode un parte de la Evidencia (aunque es pequeña, el principio de
> Evidencia Nula parte de la premisa de Evidencia Contaminada). Para dar
> solución (mía) fácil a esto, simplemente HIBERNE el equipo (la mayoría de
> los S.O. y Hards actuales lo permite), en el caso de una Laptop ciérrela
> inmediatamente, y espere que se apague. Una vez hibernada, se saca el disco
> duro, se hace una Imagen del Disco completo, y luego se la analiza
> adecuadamente. TODO lo que estaba en RAM bajó al disco.
> Tercero : Este método permite además levantar nuevamente el equipo
> (despertarlo) para hacer Análisis In Situ, y encontrar otras Evidencias
> mediante Shells Remotos, vínculos en red, etc., pero con TODA la Evidencia
> (HDD + RAM) preservada correctamente.
>
> Un saludo,
>
> Flavio.-
>
>
> El día 19/01/07, Román Ramírez <rramirez (at) chasethesun (dot) es [email concealed]> escribió:
> >
> >
> > > PASO 1
> > > - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o
> > respaldo)
> > > de dicha memoria.
> >
> > Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido
> > a un volcado de memoria y en el caso de que lo hicieras estaríamos
> > hablando de que estarías corrompiendo la escena del crimen para obtener
> > una imagen de la memoria o de los procesos (has de hacerlo en caliente).
> >
> > Este tipo de evidencias volátiles tienen una utilidad mínima (más aún
> > teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
> > de los ficheros de intercambio o del swap).
> >
> >
> > > Software, Programa o Herramienta Sugerida:
> >
> > Si vas a hacerlo mira pcat para unix y/o las herramientas de
> > sysinternals en Microsoft.
> >
> >
> > > - Para el análisis del sistema de archivos, obtener las particiones
> > del
> > > disco duro.
> > > Software, Programa o Herramienta Sugerida:
> >
> > dd, Encase,...
> >
> >
> > > - Una vez obtenido lo anterior sacar una huella digital de dichos
> > archivos
> > > para garantizar la integridad de la información que será manipulada
> > durante
> > > la investigación.
> > > Software, Programa o Herramienta Sugerida:
> >
> > md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
> >
> > segundo con la excusa de las colisiones) o emplea un hash más potente
> > como sha256 o hmac.
> >
> >
> >
> > > PASO 2
> > > - Ya analizada la memoria, hacer una análisis general del Sistema
> > > Operativo(SO) recopilando horas de acceso SO, últimos paquetes
> > instalados,
> > > archivos ocultos, procesos no identificados, etcétera. Aquí la revista
> > > sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y
> > verificar que
> > > las herramientas no hayan sido afectadas, aunque no menciona como
> > hacer la
> > > verificación.
> >
> > Esto son evidencias volátiles, volvemos al problema del análisis en
> > caliente. No se justifica (a no ser que exista algún requisito legal que
> > desconozca en tu país).
> >
> > Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
> > una herramienta pobre).
> >
> >
> > > PASO 3
> > >
> > > - Análisis de la memoria RAM para ver el detalle de las acciones
> > realizadas
> > > por el atacante, la explicación es muy escueta y no ofrece precisiones
> > de
> > > cómo hacer el análisis.
> > > Software, Programa o Herramienta Sugerida:
> >
> > gdb, idapro, ollydbg
> >
> >
> >
> >
> >
> > Saludos
> >
>
>
<div>Ok, con respecto a las herramientas : Como "congelo" la RAM en el swap, al crear la imagen del disco estoy creando la imagen (dentro) del swap (en partición si es Linux, en Archivo si es Windows). Así que después se utilizan herramientas de Análisis sobre la Imagen (Tipo Encase, Helix, FTK, Coroner Toolkit que cambió de nombre, etc.) para encontrar lo que uno desea, inclusive para Text Serch, tipo Paraben o Winhex, o el mismo GREP de unix, tan util...
</div>
<div>Si la única forma de preservar una imagen de la RAM es mediante la corrida de un programa sobre la máquina Target (no recomendable, ya expliqué), como último recurso, sugiero utilizar HELIX (es uno de misToolkits preferidos). Tanto sobre Win como Linux, tiene herramientas para crear imágenes de RAMs.(memdump, etc.)
</div>
<div> </div>
<div>Con respecto a los Libros, no se consiguen en México porque yo vivo actualmente en Santa Cruz de la Sierra, Bolivia. Estoy pensando editarlos con alguna empresa Internacional, porque en los cursos que dí para I-Sec de Argentina en varios países (Ecuador, Perú, Argentina, Uruguay y Bolivia) me han requerido mucho bibliografía sobre el tema. Si alguien sabe de una Editorial en México que esté dispuesta, me avisan, y le metemos.. Tengo sobre Internet y Delitos Informáticos, Procedimientos para Allanamientos, Pericia Informática Forense y Legislación Comparada (más orientado a Bolivia este último, pero se puede acomodar porque tuve que estudiar bastante sobre los países donde dicté los cursos, especialmente Procedimental Penal)
</div>
<div> </div>
<div>Con respecto al tema de soft residente para facilitar la tarea forense, depende de la Legislación y el Soft... no es lo mismo habilitar soft de Auditoría en una PC de un empleado, que ponerles un Keylogger o correr el Carnivore sobre el MailServer corporativo...jejeje
</div>
<div> </div>
<div>Bueno, espero que les sirva un poco de esto. Hagamos camino, y tratemos de difundir la necesidad de formar buenos Peritos..</div>
<div> </div>
<div><font color="#3366ff"><i><span style="FONT-FAMILY: Arial"><strong>PERITAJE INFORMATICO FORENSE</strong> :</span></i></font></div>
<div><font color="#3366ff"><i><span style="FONT-FAMILY: Arial">"Proceso de <b>Identificación</b>, <b>Adquisición</b>, <b>Preservación</b>, <b>Análisis</b> y <b>Presentación</b> de <b>Evidencia Digital</b>, de acuerdo a Procedimientos Técnico-Legales preestablecidos, como apoyo a
la Administración de Justicia en la resolución de un caso Legal".</span></i><span style="FONT-FAMILY: Arial"></span></font></div>
<div> </div>
<div>...  saludos a todos !!!</div>
<div> </div>
<div>Flavio.- </div>
<div><br><br> </div>
<div><span class="gmail_quote">El día 22/01/07, <b class="gmail_sendername">Abraham Lizardo Silva</b> <<a href="mailto:abraham.lizardo (at) nuevoleon.gob (dot) mx [email concealed]">abraham.lizardo@nuevoleon
.gob.mx</a>> escribió:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left">
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">De nuevo gracias a todos por su tiempo para contestar.</span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Aunque se que generalmente,<span>  </span>cuando se va a recolectar evidencias,<span>  </span>es en maquinas de las cuales no tenemos control, la pregunta que me surge es si no existe alguna herramienta que podamos dejar residentes en la PC de los usuarios para que esté recolectando evidencia que pueda ser usada en caso de una anomalía, y que apoye el análisis forense.
</span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Entiendo que hay que proteger diferentes leyes de privacidad de la información, pero si se firma algún contrato de confidencialidad o alguna política que establezca que la información contendida en la PC es propiedad de la empresa u organización,
<span>  </span>y se cuidan las formas legales, talvez pueda ser valida. </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">En fin, si existe un software para recolectar evidencias que puedan ser útiles en un caso judicial, cuál herramienta recomendarían.
</span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Con respecto al caso que menciona Flavio de que si es útil el volcado de memoria, la pregunta sería que herramienta utilizó en el curso que ofreció en los países que comento.
</span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Saludos a todos y que estén bien.</span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </span></p>
<p style="MARGIN: 0cm 0cm 0pt"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Abraham Lizardo</span><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"></span></p></div><br>
<div lang="es" dir="ltr" align="left">
<hr>
<font face="Tahoma" size="2"><b>De:</b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:listbounce (at) securityfocus (dot) com [email concealed]" target="_blank">listbounce (at) securityfocus (dot) com [email concealed]</a> [mailto:<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:listbounce (at) securityfocus (dot) com [email concealed]" target="_blank">
listbounce (at) securityfocus (dot) com [email concealed]</a>] <b>En nombre de </b>Flavio, el HdP<br><b>Enviado el:</b> Sábado, 20 de Enero de 2007 5:10<br><b>Para:</b> Román Ramírez<br><b>CC:</b> abraham Lizardo; <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:forensics-es (at) securityfocus (dot) com [email concealed]" target="_blank">
forensics-es (at) securityfocus (dot) com [email concealed]</a><span class="q"><br><b>Asunto:</b> Re: Pasos de Análisis Forense<br></span></font><br> </div>
<div><span class="e" id="q_1104bf6e5efd9f05_3">
<div></div>
<div>Con respecto a la Preservación de Evidencia Volátil, específicamente RAM (también la conectividad en Red aporta mucha Evidencia Volátil, que debe ser preservada) :</div>
<div> </div>
<div>Primero :  Actualmente, el volcado de memoria  <strong>SI </strong>proporciona mucha información importante, especialmente ahora que las memorias son baratas, y la mayoría de las personas usa un mínimo de 512 megas, lo que permite recuperar páginas no reemplazadas de hasta
<strong>horas</strong> anteriores, como lo pude demostrar a los alumnos en cursos dados en Ecuador, Uruguay, Argentina, Perú y Bolivia.. inclusive ver lo que se copió a un flash un rato antes, para saber si alguien se sacó información confidencial...
</div>
<div> </div>
<div>Segundo : Cómo congelo la memoria ENTERA, sin corromper nada ? Si corro un programa que me haga un volcado, obligadamente necesita instalarse en RAM, lo que jode un parte de la Evidencia (aunque es pequeña, el principio de Evidencia Nula parte de la premisa de Evidencia Contaminada). Para dar solución (mía) fácil a esto, simplemente HIBERNE el equipo (la mayoría de los
S.O. y Hards actuales lo permite), en el caso de una Laptop ciérrela inmediatamente, y espere que se apague. Una vez hibernada, se saca el disco duro, se hace una Imagen del Disco completo, y luego se la analiza adecuadamente. TODO lo que estaba en RAM bajó al disco.
</div>
<div>Tercero : Este método permite además levantar  nuevamente el equipo (despertarlo) para hacer Análisis In Situ, y encontrar otras Evidencias mediante Shells Remotos, vínculos en red, etc., pero con TODA la Evidencia (HDD + RAM) preservada correctamente.
</div>
<div> </div>
<div>Un saludo,</div>
<div> </div>
<div>Flavio.-</div><br><br>
<div><span class="gmail_quote">El día 19/01/07, <b class="gmail_sendername">Román Ramírez</b> <<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:rramirez (at) chasethesun (dot) es [email concealed]" target="_blank">rramirez (at) chasethesun (dot) es [email concealed]
</a>> escribió:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid"><br>> PASO 1<br>> - Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o respaldo)<br>> de dicha memoria.
<br><br>Si yo fuera tú obviaría esta parte. Es dudoso que puedas sacarle partido<br>a un volcado de memoria y en el caso de que lo hicieras estaríamos<br>hablando de que estarías corrompiendo la escena del crimen para obtener
<br>una imagen de la memoria o de los procesos (has de hacerlo en caliente).<br><br>Este tipo de evidencias volátiles tienen una utilidad mínima (más aún<br>teniendo en cuenta que en un 80% de los casos puedes obtener evidencias
<br>de los ficheros de intercambio o del swap).<br><br><br>>        &n
bsp;    Software, Programa o Herramienta Sugerida:<br><br>Si vas a hacerlo mira pcat para unix y/o las herramientas de<br>sysinternals en Microsoft.<br><br>
<br>> - Para el análisis del sistema de archivos, obtener las particiones del<br>> disco duro.<br>>          
;   Software, Programa o Herramienta Sugerida:<br><br>dd, Encase,...<br><br><br>> - Una vez obtenido lo anterior sacar una huella digital de dichos archivos
<br>> para garantizar la integridad de la información que será manipulada durante<br>> la investigación.<br>>        &n
bsp;    Software, Programa o Herramienta Sugerida:<br><br>md5 Y sha1 (no solo uno de ellos, cualquier abogado te lo desmonta en un
<br>segundo con la excusa de las colisiones) o emplea un hash más potente<br>como sha256 o hmac.<br><br><br><br>> PASO 2<br>> - Ya analizada la memoria, hacer una análisis general del Sistema<br>> Operativo(SO) recopilando horas de acceso SO, últimos paquetes instalados,
<br>> archivos ocultos, procesos no identificados, etcétera. Aquí la revista<br>> sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar que<br>> las herramientas no hayan sido afectadas, aunque no menciona como hacer la
<br>> verificación.<br><br>Esto son evidencias volátiles, volvemos al problema del análisis en<br>caliente. No se justifica (a no ser que exista algún requisito legal que<br>desconozca en tu país).<br><br>Emplea Encase, Autopsy, FTK, iLook (solo fuerzas gubernamentales y es
<br>una herramienta pobre).<br><br><br>> PASO 3<br>><br>> - Análisis de la memoria RAM para ver el detalle de las acciones realizadas<br>> por el atacante, la explicación es muy escueta y no ofrece precisiones de
<br>> cómo hacer el análisis.<br>>         &
nbsp;   Software, Programa o Herramienta Sugerida:<br><br>gdb, idapro, ollydbg<br><br><br><br><br><br>Saludos<br></blockquote></div><br></span>
</div></div></blockquote></div><br>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus