1st Peruvian Workshop on IT Security

Digital Forensics
29.Dic.2003

Colaboracin Roger Carhuatocto Miembro esCERT-UPC Responsable de Servicios Educacionales

Instituto de Investigacin UNI -FIIS http://www.uni.edu.pe

http://escert.upc.es

esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ Espaa Tel. (34)934015795 ~ Fax. (34)934017055

Atencin : No se permite la reproduccin total o parcial de este material sin el permiso del autor

Definiciones 1
RAE U 1992. (Pag:478,3) http://www.rae.es

RAE U 1992. (Pag:655,1) http://www.rae.es

Roger Carhuatocto / Digital Forensics

Definiciones 2
RAE U 1992. (Pag:1119,1) http://www.rae.es

RAE U 1992. (Pag:660,2) http://www.rae.es

Roger Carhuatocto / Digital Forensics

Definiciones 3
CERT: Computer Emergency Response Team IRT: Incident Response Team Forensic computing Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable.
Sgt. Rodney McKemmish Autralian Institute of Criminology

Informtica forense Forensic computing Computer forensics Digital forensics Slo difiere en el tema tecnolgico Medios o dispositivos electrnicos, comunicaciones Se busca pistas diferentes
Roger Carhuatocto / Digital Forensics 4

Para qu?
Cmo entraron Cundo Para qu Quin Costo de los daos Soporte amplio al incidente Requerimiento legal

Soporte al proceso judicial Modus operandi, modos de operar de diferentes puntos de vista

Roger Carhuatocto / Digital Forensics

Qu no cubre?
Seguimiento, captura o identificar a perpetradores Negociar con cuerpos policiales, juzgados, TELCOs

Roger Carhuatocto / Digital Forensics

Escenarios
Entornos donde se podra realizar investigaciones: Intrusin a sistemas informticos Web defacement Uso no autorizado de equipo informtico coorporativo Wireless? Contenidos ilcitos Pornografa infantil: CDs, P2P, Internet Amenzas Cualquier crimen fsico en el que se implique infraestructura, dispositivos que trata contenido digital, no slo PCs Fraudes Estafas Propiedad intelectual Etc.

Roger Carhuatocto / Digital Forensics

El proceso: elementos

Labs I n c i d e n t e Peritos

Legal CERT Cuerpo policial Sw / Hw

Proceso judicial

Seguros

Roger Carhuatocto / Digital Forensics

El proceso: actual
Tcnico Sistemas informticos: dinmicos, grandes, distribuidos, etc. Se puede ocultar informacin Muy poco conocimiento tcnico, la tecnologa avanza Herramientas existen pero no son globales: opensource, privadas Obtener informacin es fcil, no el anlisis Almacenamiento Legal Tecnologa avanza y se adapta, leyes cambian lentamente Procesos judiciales son lentos en comparacin con cambios en la Tecnologa Protocolo. La presentacin de la evidencia debe reunir caractersticas especiales Sustentar el informe sobre evidencia admitida Organizacional Falta de preparacin de organizaciones contra intrusiones y su operativa policial, slo ve a corto plazo: reactivo y recuperacin Resultado ante incidente: descoordinacin, evidencia perdida, prdida de tiempo, etc.

Roger Carhuatocto / Digital Forensics

El proceso: cmo debe ser cuando sucede

Determinar origen y tamao de intrusin Proteccin de informacin sensitiva en sistemas Proteccin de los sistemas, redes y su capacidad para seguir funcionado Recuperacin de sistemas

Coleccin de informacin de manera consistente con TERCERA parte legal Proveer soporte a las investigaciones

Roger Carhuatocto / Digital Forensics

10

El proceso: ser proactivo

Polticas de seguridad Plan de respuesta para incidentes de seguridad Plan de informtica forense Plan para deteccin de incidentes

Determinar equipo con recursos y autoridad para actuar Implementar procedimientos para diferentes situaciones y amenazas Con regularidad revisar polticas y procedimientos

Proteger
Sistemas Informacin Contener intrusin

Preservar
Sistemas y logs aceptablemente legal

Notificar
A tu CERT Administracin CERT Cuerpo Policial

Roger Carhuatocto / Digital Forensics

11

El forense informtico: requerimientos 1

1/3 Tcnico: Conocimiento tcnico Implicaciones tcnicas de acciones Comprensin de cmo la informacin puede ser modificada Perspicaz Mente abierta y taimado tico Continua formacin Conocimiento de historia: casos pasados, vulnerabilidades, etc. Uso de fuentes de datos redundantes

Roger Carhuatocto / Digital Forensics

12

El forense informtico: requerimientos 2

1/3 Legal Conocimiento de aspectos legales Espaa es diferente: LOPD, LSSI, ?? Protocolo de gestin de evidencia
Admisible Autntico Completo Confiable Creble

1/3 Operacional, no todos los desafos son de naturaleza tecnolgica Gestin de recursos Polticas y procedimientos Entrenamiento Cambios organizacionales

Roger Carhuatocto / Digital Forensics

13

El forense informtico: proceso investigacin

Los cuatro principios, surge de la definicin de computer forensics

1 Identificar

2 Preservar

3 Analizar

4 Presentar

Roger Carhuatocto / Digital Forensics

14

El forense informtico: lemas

Rapidez es la esencia, pero no llegar a extremos Volatilidad de la evidencia Cualquier cosa que se hace a un sistema lo altera Principio de Incertidumbre de W. Heinsenberg - 1927 Nunca confiar en el sistema Rootkits Considerar siempre tus polticas Admitir las fallas Preparado para sorpresas Documentar

Roger Carhuatocto / Digital Forensics

15

El proceso: (1) Identificar

1 2 3 4

Qu evidencia hay Dnde est Cmo est almacenada El objetivo: determinar que proceso ser empleado para facilitar la recuperacin

Ejm.: Cualquier dispositivo de almacenar informacin como: mvil, PC, agendas electrnicas, smart cards, etc.

Roger Carhuatocto / Digital Forensics

16

El proceso: (2) Preservar

1 2 3 4

Etapa crtica Orden de volatilidad Cadena de custodia Evitar cambios posibles y si no se logra, registrarlo y justificarlo

Roger Carhuatocto / Digital Forensics

17

El proceso: (2) Preservar Volatilidad de evidencia

Es evidencia que desaparecer pronto: informacin de conexiones activas de red o el contenido actual de memoria voltil De Farmer & Venema http://www.porcupine.org
Registers, peripheral memory, caches Memory (virtual, physical) Network state Running processes Disks, floppies, tapes CD/ROM, printouts

Roger Carhuatocto / Digital Forensics

18

El proceso: (2) Preservar: Principio de Heinsenberg

Es imposible conocer simultneamente la posicin y velocidad del electrn, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posicin, mayor ser el error de velocidad, y viceversa En la informtica forense: Examinar o coleccionar una parte del sistema alterar otros componentes Es imposible capturar completamente un sistema completo en un punto en el tiempo

Si no se puede evitar el cambio, entonces documentarlo y justificarlo

Roger Carhuatocto / Digital Forensics

19

El proceso: (2) Preservar: Cadena de custodia

Registro de todas las operaciones sobre la evidencia Disponible El objetivo es determinar quin accedi a una pieza de evidencia, cundo y para qu El documento de la cadena de custodia es vlido desde el momento en que se considera la informacin como evidencia potencial y debera continuar en la corte/proceso judicial
1 Identificar 2 Preservar 3 Analizar 4 Presentar

Ciclo de vida de la Evidencia

Cadena de custodia

Roger Carhuatocto / Digital Forensics

20

El proceso: (2) Preservar: diagrama

Document The Scene Collect Volatiles? NO Power Off YES

2
Record Volatiles

YES

Being Safe?

NO What Was The point? Mossos dEsquadra Unitat de Delictes en Tecnologie s de la Informaci NO Investigate online, run last, etc.

Image Drives? YES

Make Images

Back @ lab, Analyze Copies, Reconstruct Computers, Analyze artifacts

Roger Carhuatocto / Digital Forensics

21

El proceso: (2) Preservando

1 2 3 4

Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal 1. Copiar 2. Generar checksums de copias y originales 3. Verificar checksums

4. Time stamping Estampar sello de tiempo a checksums Fecha checksum = Fecha de copia = Fecha documento 5. Documente: quin, dnde, cundo, por qu 6. Dar copia a custodio Custodio da copias a otros investigadores Documenta cadena de custodia Pocos custodios, pocos testificantes

Roger Carhuatocto / Digital Forensics

22

El proceso: (3) Analizar

1 2 3 4

Extrae: Puede dar algo no humanamente legible Procesa: Lo hace humanamente legible Interpreta: Requiere un profundo entendimiento de cmo las cosas estn relacionadas

Roger Carhuatocto / Digital Forensics

23

El proceso: (3) Analizando

1 2 3 4

Estado de arte del anlisis Usar metodologa: receta de cocina + experiencia Recomendaciones: Correlacionar logs: por IP, por tiempo Sincronizacin: Tiempo de sincronizacin Tiempo de zona Retraso de eventos Orden cronolgico de eventos Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros

Roger Carhuatocto / Digital Forensics

24

El proceso: (3) Analizar: resultados

Gestin de versiones de documentos/bitcoras Reconstruccin cronolgica de eventos Diagramas: esttico y dinmico

Roger Carhuatocto / Digital Forensics

25

El proceso: (4) Presentar

1 2 3 4

Implica la presentacin a: A la administracin Fuerza de la ley Abogados En procesos judiciales Incluye la manera de la presentacin, contenido y legibilidad Se sustenta el proceso empleado para obtener la evidencia La presentacin de evidencia digital debe estar admitida bajo requerimientos legales para que sea vlida, la falla en ello puede causar que la evidencia sea inadmisible La experiencia y habilidades estn en juego

Roger Carhuatocto / Digital Forensics

26

El proceso para el cuerpo policial

Guardia Civil 1 Identificar 2 Preservar 3 Analizar 4 Presentar Grupo de Delitos Telemticos

Fase 1

Fase 2

Fase 3

IDENTIFICACIN Qu ha pasado? Cmo lo ha hecho

Denuncia Conocimiento delito pblico Recogida de evidencias del delito (inspeccin ocular, asegurar el escenario, etc.) Bsqueda de informacin y referencias identificativas Resolucin de datos de trfico y referencias identificativas Identificacin y localizacin Vigilancia Interceptacin Registro e incautacin Anlisis forense de sistema y soportes intervenidos Informe policial incriminatorio

INVESTIGACIN Quin lo ha hecho?

INCRIMINACIN

Roger Carhuatocto / Digital Forensics

27

Iniciativas 1
Buenas prcticas para Informtica Forense, herramientas Dar soporte a todos los involucrados en el proceso, no slo tcnicas, no especficas. Debe ser estndar, es necesario apoyo de todos Para que sea vlido e irrefutable Abierto, libre (auto certificable) Multi/Inter-operable Apoyo de todos: comunidad, institucional Herramientas de soporte al proceso: auditables, confiables, ntegros Educacin a todos los niveles y a todos los actores en el proceso

Roger Carhuatocto / Digital Forensics

28

Iniciativas 2
Comunidad
Honeynet in Spanish http://his.sourceforge.net (Todo sobre honeynets en castellano) Anlisis Forensics en Castellano (Tcnicas de anlisis forense) http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics Lista en esCERT (Operacional: tcnico legal, policial) http://escert.upc.es/foro/index.php Cdigos de prcticas en Digital Forensics http://cp4df.sourceforge.net

Roger Carhuatocto / Digital Forensics

29

Referencias 1
Ley Especial contra Delitos Informticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm Ley que Incorpora Los Delitos Informaticos Al Codigo Penal (Per) http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf Senado - Comisin Especial sobre Redes Informticas (Espaa) http://www.senado.es/comredinf Departament de Justcia i Interior - Direcci General de Relacions amb lAdministraci de Justcia (Catalua-Espaa) http://www.gencat.net/dji Policia Nacional Espaola (Delito Informtico) http://www.mir.es/policia/bit/legisla.htm Ex-Inspector BIT - PN : Antonio Lpez Melgarejo (Ciberdelito: Investigacin criminal y proceso penal) http://www.uoc.edu/in3/dt/20076 David Barroso (Links interesantes) http://voodoo.somoslopeor.com/forensics.html Diego Gonzalez (Links interesantes) http://www.dgonzalez.net/secinf

Roger Carhuatocto / Digital Forensics

30

Referencias 2
Dan Farmer http://www.fish.com/security Wietse Venema http://www.porcupine.org/forensics Brian Carrier http://www.sleuthkit.org Trends & Issues in Crime and Criminal Justice http://www.aic.gov.au/publications/tandi/index.html FIRST Conference on Computer Security, Incident Handling & Response 2001 http://www.first.org/events/progconf/2001/progs.htm Recovering and Examining - Computer Forensic Evidence http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm Federal Guidelines For Searching And Seizing Computers http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm Reserch reports en @Stake http://www.atstake.com/research/reports/index.html

Roger Carhuatocto / Digital Forensics

31

Referencias 3
Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com, http://www.htcia.org Importance of a Standard Methodology in Computer Forensics http://www.sans.org/rr/incident/methodology.php Intrusion Investigation And Post -Intrusion, Computer Forensic Analysis ftp://ftp.net.ohio-state.edu/pub/users/romig/otherpapers/intrusion%20investigation.doc National Software Reference Library (NSRL) Project http://www.nsrl.nist.gov Computer Forensics Tool Testing (CFTT) Project http://www.cftt.nist.gov Open Source Software As A Mechanism T o Assess Reliability For Digital Evidence http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html September 2000 Market Survey, Computer Forensics http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html

Roger Carhuatocto / Digital Forensics

32

Agradecimientos
Mossos dEsquadra
Unitat de Delictes en Tecnologies de la Informaci

Guardia Civil
Grupo de Delitos Telemticos

Roger Carhuatocto / Digital Forensics

33