Analisis Forense GNU Linux
Análisis Forense de Sistemas
GNU/Linux, Unix
David Dittrich
[email protected] Ervin Sarkisov [email protected]
Copyright David Dittrich, Ervin Sarkisov. Se otorga permiso para copiar, distribuir y/o modificar este documento bajo los términos de la Licencia de Documentación Libre GNU, Versión 1.1 o cualquier otra versión posterior publicada por la Free Software Foundation. Puede consultar una copia de la licencia en:http://www.gnu.org/copyleft/fdl.html
Miles servidores corporativos están siendo comprometidos diariamente, Gbytes de información privilegiada se transfieren cada día por los los canales de comunicación, las corporaciones informan de miles y millones de pérdidas.
La mayoría de las investigaciones de casos similares, estén realizadas por parte de las empresas especializadas o por parte de las agenciasgubernamentales, precisan un estudio forense previo para recoger todas las pruebas encontradas en los equipos y determinar los factores claves para reconstruir los hechos transcurridos, antes, durante y a posteriori del posible acceso no autorizado al sistema. Todo ese trabajo puede ser complicado por múltiples razones, siendo una analogía directa la ciencia forense tradicional en los casos criminales, dónde la escena del crimenes el servidor comprometido y cualquier equivocación o descuido puede causar lapérdida de información vital que podría desvelar algún hecho importante sobre el "la víctima", el "criminal", el "objetivo" o el "móvil".
Los intrusos permanentemente mejoran sus técnicas, sean de acceso, ocultación de pruebas o de eliminación de huellas,siendo difícil, o en algunos casos imposible de reconstruir el 100% de los eventos ocurridos. Los forenses de hace varios años tienen dificultades adaptándose a las nuevas técnicas ya que no solo son necesarios los conocimientos de la materia sino experiencia en campos que tienen bastante poco que ver con la ciencia forense - ingeniería inversa, criptografía, programación en lenguajes de bajo nivel.
Este artículo incluye descripción básica que permitirá al público general conocer el alcance y supuestos deciencia informática forense, sus técnicas que podrán ser presentadas mejor a partir de un caso práctico de investigación. También estarán cubiertos temas como protección / des-protección de binarios cifrados bajo GNU/Linux, técnicas de realización de copias de seguridad byte por byte, sistemas de ficheros loopback y utilización de la herramienta universal del investigador forense informático TCT.
Tabla de contenidos
1. Introducción2
1.1. Organización del Documento2
1.2. Objetivos3
1.3. Alcance y Supuestos3
1.4. Indicaciones4
1.5. Equipo Necesario4
2. Objetivos Tácticos/Estratégicos6
3. Congelación de la Escena del Crimen7
4. Problemas con Recolección de Información9
5. Almacenamiento de Pruebas10
6. Preparación para el Análisis10
7. Análisis con Herramientas Estándar de Unix19
8. The Coroner’s Toolkit26
9. Usando TCT27
10. Ejemplo de Informe de Pruebas Encontradas30
11. Apéndice A - Métodos de Protección de Binarios45
11.1. Introducción45
11.2. Métodos de Protección46
12. Apéndice B - Sistema de Ficheros Loopback de Linux48
12.1. Conclusiones50
13. Referencias50
14. Agradecimientos53