Información
Actualidad
Aquí encontraras noticias de actualidad sobre Gnu Linux y Open Source.

Además de información sobre la comunidad LiGNUx.
Distribuciones y entornos
Información ordenada sobre los diferenes sistema operativos Gnu Linux y las diferentes opciones de entornos gráficos.
Tutoriales y guías
Todos los pasos e informaciones que puedes desear para tu día a día.
Tutoriales
Tutoriales
Programación
Programación
About Us
Get to know the people behind the code and the mission behind the work
how we handle data
Privacy
Security
Legal

Aspectos básicos del análisis forense en GNU/Linux

25 agosto, 2016

Desde hace muchos años el campo de la informática forense se ha expandido con técnicas novedosas o nuevas herramientas. En varias agencias de investigación, en especial analistas en México, prefieren el uso de software con licencia, privativo porque según ellos es más potente y cómodo de usar; sin duda tiene beneficios, pero también acarrea problemas administrativos y técnicos varios. Solo presentaré lo básico.

lets export volatility

Vamos a hablar de algunas herramientas (y como contrarrestar el análisis en algunos casos) útiles, pero sobre todo libres, porque están al alcance de todos, son relativamente fáciles de usar y cumplen su propósito. Porque al ser software libre sabemos qué hacen y como lo hacen. Aun así hay limitaciones al usarlas, puedes no tener el soporte adecuado o simplemente ser tan sofisticadas que causan solamente confusión al analista, que solamente quiere tener una interfaz gráfica para realizar su trabajo. Para los interesados pueden profundizar esta lectura con:
https://digital-forensics.sans.org/summit-archives/DFIR_Summit/Open-Source-Threat-Intelligence-Kyle-Maxwell.pdf

Las herramientas usuales de un analista son: Un sistema GNU/Linux ejecutando software de análisis forense, un kit de conexiones, cables y adaptadores necesarios para acceder a las maquinas a analizar, afectadas  o comprometidas. Obviamente el disco a analizar. Podemos optar por usar un disco duro formateado con ext3para montarlo y volcar toda la información del disco duro con evidencias. Es importante llevar reportes y fotografías de lo que se hace, lleva una bitácora con información como el nombre de tu organización o tu nombre solamente, el número de caso u otra información como folio, la fecha e información general acerca del caso.
Otra información útil es llevar un registro de todos los elementos involucrados.

Por ejemplo rotular el disco duro con evidencia llenando una bitácora con: nombre de la organización o tu nombre, número de evidencia para el disco duro, fecha y hora cuando creaste la imagen bit a bit del disco con evidencia, fabricante, modelo y numero de serie del disco  o computadora analizados, dirección IP si es una computadora analizada, de donde vino y qué buscas en la evidencia.
Identifica el disco de otros montados usando: dmesg | grep hd y listamos sus particiones: sfdisk –luS /dev/hda | tee sfdisk.txt. Obtener el hash de los archivos que vamos creando y del disco es necesario:

Podemos obtener el hash del disco mientras realizamos una copia de su contenido con:

Este comando tiene parámetros como: conv, donde noerror hace que dd no se detenga si hay algún error en el disco y sync, si hay error de lectura, lo marca con 0x00, sino usaramos sync, estos errores no serían leídos y quedaría evidencia faltante en la copia del disco. Una vez terminado, apaga el sistema con shutdown –h now. Desconecta todo y guarda la evidencia.

Software

Vamos a instalar ahora The Sleuth Kit, una colección de comando útiles y Autopsy es un servidor web. Ahora instalamos foremost, que extrae archivos y datos buscando cabeceras, indices y datos relacionados con los archivos que buscamos.

Contra análisis.

OJO: Si el disco ha sido borrado usando el comando shred -n 5 -vz /dev/sda, será casi imposible recuperar los datos y por lo tanto la imagen que hicimos con dd no ha copiado ningún dato; mientras si solamente varios archivos han sido borrados con shred, esos no serán recuperados. Si en algún caso quieres que un análisis forense básico no encuentre datos en un disco borralo usando este comando: dd if=/dev/urandom of=/dev/sda bs=4096, útil si vas a tirar o vender tu disco duro.
Otras herramientas que los sistemas GNU/Linux nos proveen también pueden servir para borrar los datos de un disco que puede ser analizado, como ejemplo en uso de OpenSSL, que puede ser usado para borrar de manera segura un disco con datos aleatorios generados con el algoritmo AES.
Para usarlo, primero debes obtener el tamaño total de tu disco en bits, usando # blockdev --getsize64 /dev/sda, el número que se obtiene es: 399717171200, difiere según el tamaño de tu disco duro. Este número será usado para el siguiente comando:

Hemos terminado lo básico, muy básica introducción que puedes profundizar con solo buscar el procedimiento usual de un análisis forense, las herramientas libres y gratuitas están disponibles y puedes poner en práctica casi todo esto. Hay una genial referencia de software aquí: www.opensourceforensics.org y en muchos otros sitios.
Recuerda que conocer esta información te hace más consiente de los datos que tu disco guarda casi para siempre y que puedes limitar este almacenamiento o incluso hace que nada ha pasado en tu disco, así que los métodos empleados para obtener evidencias en casos. Espero sea de su agrado este rápido vistazo al mundo del análisis forense y les pique la curiosidad de aprender más.

Escrito por Denisse

Edward Snowden es mi novio <3

Suscribirse
Notificarme las
guest
7 Comentarios
Los más recientes
Los más antiguos Más votados
Feedbacks en línea
Ver todos los comentarios
LiGNUx trabaja sobre una licencia de Creative Commons Reconocimiento 4.0 Internacional.
cloudflagpaperclipprinterfile-emptyfilm-playcamera-videopicturelaptop-phonebriefcasecrossmenu
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram