Problemascon Recolección de Información
Un sistema informático no sólo puede ser instruido para auto-destruirse una vez se produzcan las condiciones de riesgo consideradas por el intruso, sino también realizar tareas programadas de eliminación, sustitución de ficheros y ejecuciones de aplicaciones determinadas.
Es muy frecuente encontrar los comandos de sistema, módulos de kernel cargables (LKM), librerías dinámicas y etc modificados o reemplazados por la voluntad del intruso. Bajo estas circunstancias eso puede obligar a que el sistema operativo"mintiese". Examinando en este caso el estado del servidor, todo aparenta estar en orden, pero en realidad el sistema está totalmente manipulado con cuatro, cinco... diez diferentes "back-doors" para permitir al hacker el fácil acceso al servidor en un futuro, teniendo instalado un "root kit" [10].
Si no hay seguridad de que las utilidades comunes estén mostrando la verdadera situación, se debe utilizar aplicaciones alternativas. Los módulos de kernel cargables (LKM) o librerías dinámicas, pueden estar alteradas para proporcionar información falsa. En estos casos se debe utilizar binarios compilados de forma estática desde un toolkit como Fire Biatchux o descargados de la web de incident-responce.org.
Se debe cuestionar permanentemente la información que elservidor está proporcionando. Sería aconsejable y mucho más fácil y seguro si simplemente el disco duro fuese extraído de la máquina afectada y fuese montado en modo sólo lectura en una estación de análisis similar al servidor atacado.
Se debe también considerar montar el disco como noexec y nodev para asegurarse que no pueda ser ejecutada ninguna aplicación desde el disco duro comprometido y que se ignoren los ficheros de dispositivos en el directorio /dev. Es muy aconsejable estudiar bien la página man de la utilidad mount.
Ejemplo:
mount -o ro,noexec,nodev /dev/hda1 /t
Si no disponemos de un equipo dedicado para el análisis, ni decidimos llevarlo por la vía oficial, pero tenemos el interés de conocer los detalles del ataque y el equipo tiene un CD-ROM,existen herramientas forenses que permiten el estudio post-mortem "en situ". Un buen ejemplo de herramienta de este tipo es Fire-Biatchux [11] que permite tener de forma instantánea un entorno de análisis seguro, proporcionando copias íntegras de todos los binarios necesarios de GNU/Linux y Solaris para llevar acabo la investigación. La utilización de esa técnica de investigación forense sale del entorno de este documento y será cubierta en los papers futuros.