Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
DocsTec-4688
Todo para Aprender
Compartir
Vista previa del material en texto
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS ESTADO DE MÉXICO METODOLOGÍA PARA LA RECOLECCIÓN DE DATOS VOLÁTILES APLICADOS A UN PROCESO DE INVESTIGACIÓN FORENSE TESIS QUE PARA OPTAR EL GRADO DE MAESTRO EN CIENCIAS COMPUTACIONALES PRESENTA ROSA ALICIA TORRES GARCÍA Asesor: Dr. ROBERTO GÓMEZ CÁRDENAS Comité de tesis: Dr. JOSÉ DE JESÚS VÁZQUEZ GÓMEZ Dr. EDUARDO GARCÍA GARCÍA Dr. ROBERTO GÓMEZ CÁRDENAS Jurado: Dr. JOSÉ DE JESÚS VÁZQUEZ GÓMEZ Presidente Dr. EDUARDO GARCÍA GARCÍA Secretario Dr. ROBERTO GÓMEZ CÁRDENAS Vocal Atizapán de Zaragoza, Edo. Méx., Abril de 2006. 2 CONTENIDO RESUMEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 LISTA DE FIGURAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 LISTA DE TABLAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1. LA INVESTIGACIÓN FORENSE EN CÓMPUTO. . . . . . . . . . . . . . . . . . . . . . 9 1.1 Respuesta a Incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1.1 Procedimientos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.1.1.1 Respuesta inicial del administrador del sistema. . . . . . . . . . . . . . . . 12 1.1.1.2 Protegiendo la integridad de la evidencia. . . . . . . . . . . . . . . . . . . . . 12 1.1.1.3 Procedimientos de shut-down. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.1.1.4 Cadena de custodia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.2 Metodología en una Respuesta a Incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.3 Investigación Forense en cómputo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.3.1 Pasos del proceso forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 1.3.1.1 Paso 1: Identificar y recolectar evidencia . . . . . . . . . . . . . . . . . . . . . 19 1.3.1.2 Paso 2: Preservar la evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 1.3.1.3 Paso 3: Analizar la evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 1.3.1.4 Paso 4: Presentar la evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.4 Estándares internacionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.5 México y los delitos informáticos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2. RECOLECCIÓN DE EVIDENCIA Y VOLATILIDAD DE LOS DATOS. . . . 24 2.1 Recolección de evidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.1.1 Donde y como archivar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 2.1.2 Herramientas útiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3 2.2 Volatilidad de los datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.3 Problemática de la recolección de datos en una investigación forense. . . . . . . . 31 2.4 Propuestas de solución. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3. HERRAMIENTAS PARA LA RECOLECCIÓN DE INFORMACIÓN DE DATOS VOLÁTILES Y MEMORIA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.1. SO WindowsNT y 2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.1.1. Herramientas (toolkit) de captura con utilerías del SO para Windows. . 36 3.1.1.1. MS-DOS y comandos del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.1.1.2. Windows Resource Kit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3.1.1.3. Herramientas para Windows no propietarias: PsTools. . . . . . . . . . . 39 3.1.1.4. Herramientas varias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 3.1.1.5. Volcado de memoria. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 3.1.2. Herramientas forenses para Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.1.2.1. Software comercial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.1.2.2. Hardware forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 3.2. SO Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 3.2.1. Herramientas de captura con utilerías del SO Linux. . . . . . . . . . . . . . . . 48 3.2.1.1. Comandos del Sistema Operativo Linux. . . . . . . . . . . . . . . . . . . . . 49 3.2.1.2. Volcado de memoria. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.2.2. Herramientas forenses para Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.2.2.1. TCT Coroner´s Toolkit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.2.2.2. Memdump. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 3.2.2.3. Sleuth Kit y Autopsy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 3.2.2.4. Live CD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 3.2.2.5. Herramientas varias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 3.3. Análisis comparativo de herramientas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 4. METODOLOGÍA PARA LA RECOLECCIÓN DE INFORMACIÓN Y CASOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 4.1 Estableciendo una metodología “general” para aplicar en cada caso. . . . . . . . . . 77 4.2 Aplicando el procedimiento de recolección: CASO 1 Windows local . . . . . . . . 81 4.3 Aplicando el procedimiento de recolección: CASO 2 Windows por red. . . . . . . 96 4.4 Aplicando el procedimiento de recolección: CASO 3 Linux local. . . . . . . . . . . 114 4.5 Aplicando el procedimiento de recolección: CASO 4 Linux por red. . . . . . . . . . 126 4 4.6 Aplicando el procedimiento de recolección: CASO 5 Grave Robber Linux. . . . 137 5. RECUPERACIÓN DE INFORMACIÓN EN MEMORIA RAM A TRAVÉS DE PROCEDIMIENTOS FÍSICOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 5.1 Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 5.2 Defectos físicos en los dispositivos de memoria. . . . . . . . . . . . . . . . . . . . . . . . . 144 5.3 Recuperación de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 5.4 Ejemplos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 5.4.1 Ejemplo 1: Retención de datos en base a la temperatura . . . . . . . . . . . . . 148 5.4.2 Ejemplo 2: Recuperación de datos en base al stress generado en los transistores de una celda SRAM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 5.4.3 Ejemplo 3: Recuperación de datos en base al stress del óxido dieléctrico del capacitor en una celda DRAM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 5.4.4 Ejemplo 4: Recuperación de datos utilizando técnicas “Burn in” e “Iddq” en SRAM. . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 5.4.5 Ejemplo 5: Recuperación de datos en base a la alteración del estado preferente de encendido en una celda DRAM. . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 5.4.6 Ejemplo 6: Recuperación de datos en Smart Cards en base a análisis de parámetros. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 5.4.7 Ejemplo 7: Recuperación de datos en smartcards utilizando un método invasivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 5.4.8 Ejemplo 8: Lectura óptica de una SRAM CMOS. . . . . . . . . . . . . . . . . . . 155 5.4.9 Ejemplo 9: Prueba electromagnética en smartcards. . . . . . . . . . . . . . . . . . 156 CONCLUSIONES. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 REFERENCIAS BIBLIOGRÁFICAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 ANEXO A. ARTICULO 211 bis CODIGO PENAL FEDERAL. . . . . . . . . . . . . . . . 166 ANEXO B. MICROPRUEBAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 ANEXO C. GLOSARIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 5 RESUMEN En un incidente de seguridad, donde se ha realizado una intrusión no permitida a un equipo de cómputo y se requiere buscar la causa y/o al culpable para que se haga justicia sobre los daños que fueron hechos, se utilizan los conocimientos y experiencia de los investigadores forenses en cómputo. Uno de los primeros pasos que realiza el forense en una investigación, es congelar la escena del crimen con el fin de adquirir la información que pueda llevarlo a encontrar las claves necesarias para identificar las causas del incidente. En los crímenes digitales la captura de información se convierte en un paso importante durante la investigación, ya que si no se siguen los pasos adecuados es fácil perder la información volátil del sistema. Cuando un investigador llega a la escena del crimen puede encontrar el sistema “vivo” (corriendo sus procesos en forma “normal”) o el sistema “muerto” (apagado). En el caso de un sistema vivo, es difícil congelar la escena del crimen, ya que la evidencia es sensitiva al tiempo y además de frágil, puede ser fácilmente alterada, dañada o destruida, además al realizar la captura de información volátil y de memoria es fácil cometer errores que traigan consecuencias graves ya que si se desconecta el equipo antes de capturarla, se puede destruir la poca evidencia existente. En el caso de encontrar el sistema muerto, podemos decir que la información volátil se ha perdido. Es por eso que la captura de información volátil de un equipo de cómputo se vuelve un problema en el proceso de recolección de información en una investigación forense. Otro problema que se presenta a la hora de recolectar información es el conjunto de herramientas que se utilizará para obtener la información. El investigador forense tiene que saber el uso de las 6 herramientas que están a su alcance, ya que el orden en que se pueden o deben usar depende de los efectos que tienen. Para afrontar este problema en este trabajo de investigación se propone una metodología de recolección de datos volátiles y de memoria con el fin de asistir al investigador en el proceso de captura, la metodología consiste en siete pasos que se realizarán en base a la volatilidad de la información de un sistema de cómputo. Para comprobar su utilidad la metodología se aplicará a cinco casos con dos sistemas operativos diferentes, donde se accederá en forma local y remota y se utilizará un conjunto de herramientas en base al análisis de las utilerías existentes para las versiones de los sistemas operativos planteados en esta investigación. Dentro del alcance de este trabajo no se plantea una metodología para la recuperación de información sobre un sistema muerto, ya que lleva un proceso y herramientas muy diferentes a un sistema vivo, para este caso se exponen varios ejemplos realizados por Universidades dedicadas a semiconductores y seguridad que muestran que todavía es posible obtener algo de información de la memoria RAM aunque el equipo esté desconectado de energía. El presente trabajo se encuentra organizado de la siguiente forma: en el primer capítulo se introduce al lector a la investigación forense, sus pasos y la respuesta a incidentes; en el segundo capítulo se plantea la problemática de recolección de información con respecto a la volatilidad de los datos; en el tercer capítulo se muestran las herramientas útiles para crear el conjunto de herramientas que permitirán al investigador realizar la recolección de datos volátiles; en el cuarto capítulo se plantea la metodología a seguir para la recolección de información volátil, aplicándose a cinco casos con diferentes sistemas operativos; finalmente en el quinto capítulo se muestran ejemplos de recuperación de información utilizando métodos físicos. Al final del documento se exponen las conclusiones del trabajo de investigación 7 LISTA DE FIGURAS FIGURA 3.1 Autopsy inicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 FIGURA 3.2 Autopsy nuevo caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 FIGURA 4.1 Casos a considerar para la presente investigación. . . . . . . . . . . . . . . . . . 76 FIGURA 4.2 Caso 1: Aplicación de la metodología con Windows en forma local. . . . 81 FIGURA 4.3 cmd.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 FIGURA 4.4 Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 FIGURA 4.5 Caso 2: Aplicación de la metodología con Windows en forma remota. . . 96 FIGURA 4.6 Diagrama de conexión: Caso 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 FIGURA 4.7 Caso 3: Aplicación de metodología en Linux con acceso local. . . . . . . . 114 FIGURA 4.8 Caso 4: Aplicación de la metodología a través de la red con Linux. . . . . 126 FIGURA 4.9 Diagrama de conexión: Caso 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 FIGURA 4.10 Pantallas de “Ethereal”. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 FIGURA 4.11 Caso 5: Herramienta forense “Grave robber”. . . . . . . . . . . . . . . . . . . . . 137 FIGURA 5.1 Recuperación de datos en un sistema “muerto”. . . . . . . . . . . . . . . . . . . . . 142 FIGURA 5.2 Transistor MOSFET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 FIGURA 5.3 Celda SRAM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 FIGURA 5.4 Mapa construido usando la corriente de eddy. . . . . . . . . . . . . . . . . . . . . . 157 8 LISTA DE TABLAS TABLA 1.1 Metodología de un Respuesta a Incidentes . . . . . . . . . . . . . . . . . . . . . . . 15 TABLA 2.1 Fuentes del sistemas de datos su volatilidad y utilidad. . . . . . . . . . . . . . 29 TABLA 3.1 Comandos de sistema operativo Windows. . . . . . . . . . . . . . . . . . . . . . . . 36 TABLA 3.2 Herramientas de “Windows Resource Kit” libres. . . . . . . . . . . . . . . . . . 37 TABLA 3.3 Herramientas de “Windows Resource Kit” con costo. . . . . . . . . . . . . . . 38 TABLA 3.4 Suite “PsTools”. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 TABLA 3.5 Herramientas varias Windows. . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . 41 TABLA 3.6 Software comercial para Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 TABLA 3.7 Hardware forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 TABLA 3.8 Comandos del sistema operativo Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . 49 TABLA 3.9 Archivos y programas del sistema operativo Linux. . . . . . . . . . . . . . . . . 51 TABLA 3.10 Archivos y directorios de “Grave Robber”. . . . . . . . . . . . . . . . . . . . . . . . 59 TABLA 3.11 Herramientas de seguridad y Forensia para Linux. . . . . . . . . . . . . . . . . . 69 TABLA 3.12 Herramientas varias Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 TABLA 4.1 Pasos y acciones realizadas: Caso 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 TABLA 4.2 Documentando: Caso 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 TABLA 4.3 Pasos y acciones realizadas: Caso 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 TABLA 4.4 Pasos y acciones realizadas: Caso 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 TABLA 4.5 Pasos y acciones realizadas: Caso 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 TABLA 4.6 Documentando: Caso 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 9 CAPITULO 1 LA INVESTIGACIÓN FORENSE EN CÓMPUTO 10 1. LA INVESTIGACIÓN FORENSE EN CÓMPUTO. Las computadoras se han convertido en una parte esencial en nuestro trabajo, esto genera el riesgo de tener violaciones no autorizadas a nuestro sistema (incidentes de seguridad) por el mal manejo que podamos tener sobre éste. Los delitos informáticos se han vuelto cada día más importantes debido a la utilización de los servicios que ofrece la red Internet, algunos crímenes convencionales, especialmente los concernientes a comercio y finanzas, se hacen más sofisticados tecnológicamente. Para protegerse contra las amenazas constantes de hackers, crackers y código malicioso, las organizaciones hacen uso de firewalls, software antivirus y sistemas de detección de intrusos. Pero a pesar de estas medidas de defensa, computadoras y redes conectadas a Internet, aún siguen siendo sujetas a ataques frecuentes. Como resultado de estos hechos desafortunados, organizaciones y gobiernos alrededor del mundo deben estar preparados para responder ante un incidente de seguridad [1]. 11 1.1 RESPUESTA A INCIDENTES En un incidente donde una brecha de seguridad se ha abierto o un acto criminal involucra a una computadora, la respuesta inicial es muy importante, las primeras acciones tomadas durante la atención al incidente puede hacer que se puedan encontrar las pruebas necesarias para detectar la falla y/o al culpable del acto criminal. En una respuesta a incidentes el equipo de emergencia hace la verificación del incidente, recolecta evidencia, analiza la situación, reacciona ante un desastre y reporta acciones, el investigador forense va un poco mas allá, recolecta y preserva evidencia de la intrusión, busca pistas, analiza la situación, reporta hallazgos y determina propósitos y motivos. En un incidente de seguridad es esencial que los pasos que se tomen aseguren la protección de los datos en el medio de almacenamiento ya que estos datos son invaluables para determinar el nivel de la brecha de seguridad y la localización de evidencia potencial acerca del acto criminal. El éxito de la recuperación de datos y el enjuiciamiento dependerá de las acciones del individuo que inicialmente descubrió el incidente computacional. En la mayoría de las situaciones, el equipo de emergencia es solo el administrador del sistema. La mayoría de los administradores empiezan a tomar acciones cuando ocurre un incidente sin darse cuenta del costo que éstas pueden implicar sobre la evidencia. Es por esto que el proceso de Respuesta a Incidentes tendrá un impacto significante en el análisis forense posterior. Las organizaciones necesitan desarrollar un equipo especializado que tenga la capacidad de responder a incidentes de seguridad, esto incluye personal con habilidades técnicas necesarias que conozcan los procedimientos y políticas de seguridad. Mientras la respuesta a incidentes varía dependiendo de las circunstancias, los objetivos principales en todos los casos según Douglas Schweitzer [21] son: • Recuperarse rápida y eficientemente del incidente de seguridad. • Minimizar el impacto causado por la pérdida de datos o robo de información. • Responder sistemáticamente siguiendo los procedimientos para evitar la recurrencia. 12 Las organizaciones deben desarrollar e implementar un plan de seguridad, llevarlo a cabo y retroalimentarlo. Deben estar preparadas para actuar rápida y eficientemente para minimizar el impacto de estos incidentes y establecer los procedimientos que se llevarán a cabo en una respuesta a incidentes en forma clara y precisa [7]. 1.1.1 PROCEDIMIENTOS No existe un manual que indique paso a paso lo que debemos hacer ante cada uno de los escenarios en incidentes de seguridad, por lo que podemos ayudarnos con los procedimientos que algunas dependencias ya han establecido para tomar las medidas precautorias ante un incidente como la guía de respuesta inicial del Laboratorio de Cómputo Forense del Departamento de Energía de los E.U. [5] que expone los siguientes cuatro puntos: 1.1.1.1 Respuesta inicial del administrador del sistema El rol del administrador del sistema es vital para asegurar todos los aspectos de la red, seguridad y mantenimiento. Desde el punto de vista del forense la situación ideal es aislar el equipo de cómputo, pero existen casos donde el equipo es un servidor en producción donde la pérdida de evidencia es inminente. 1.1.1.2 Protegiendo la integridad de la evidencia Es de gran importancia tener cuidado en preservar la evidencia en su estado original, el simple hecho de abrir un archivo puede alterar la evidencia, esto en sentido legal puede ser inadmisible como evidencia. La evidencia incluye también medios de almacenamiento, notas y bitácoras escritas a mano y documentos del área donde la computadora ha sido involucrada. 1.1.1.3 Procedimientos shut-down Una de las primeras acciones que se realizan puede estar entre: respaldar evidencia, encontrar pistas, apagar o dejar arriba el sistema. Cualquier cosa que se haga o no se haga cambiará el estado del sistema. 13 Cuando se da de baja limpiamente el sistema, se modifica la información del disco y la memoria, esta es la opción menos viable cuando se desea obtener evidencia. Al apagar el sistema se pierde información de todos los procesos en ejecución y memoria. Otra opción es aislar el equipo bajo análisis de la red de trabajo, es decir desconectar de la red y conectar el otro extremo a un concentrador que no esta conectado a ninguna otra parte, haciendo suponer a la máquina que sigue conectada a la red y limitando la cantidad de cambios en el sistema, esto porque la mayoría de los sistemas escriben mensajes de error en los archivos de bitácora si no se encuentra la red. Una de las decisiones más difíciles al tratar con un sistema sospechoso es la forma de apagar el equipo sin corromper la integridad de los archivos. En muchos casos el tipo de sistema operativo será la clave para tomar la decisión. En algunos sistemas jalar del cordón de poder es un método para apagar el sistema, pero en otros casos esto puede causar la pérdida de archivos importantes, o procesos e información en memoria o que el disco duro se dañe. En el caso de los equipos con Windows se recomienda desconectar el equipo,en el caso de los equipos con Unix se puede utilizar el comando halt, en sistemas MAC se puede realizar un shutdown especial o quitar el cordón de corriente. 1.1.1.4 Cadena de custodia El investigador debe asegurar y administrar eficientemente la evidencia. Una vez que la evidencia ha sido obtenida se debe tener cuidado de mantener una custodia sobre ésta, en caso de no tenerla se puede causar un daño grave en la investigación. Por lo que es importante realizar notas de quién, qué y cuándo se hizo la transferencia de evidencia y mantenerla en un lugar seguro. El análisis se debe realizar sobre copias en vez de la evidencia original y utilizar firmas digitales para proveer integridad al contenido original [3]. 14 1.2 METODOLOGÍA EN UNA RESPUESTA A INCIDENTES Los criminales emplean la tecnología como depósito para ocultar evidencia incriminatoria o materiales de contrabando. Los oficiales de policía deben tener conocimiento y equipo actualizado para investigar eficientemente la actividad criminal de hoy en día. El reto de la comunidad policíaca es identificar, investigar e iniciar el procedimiento penal contra las personas físicas y las organizaciones que usan éstas y otras tecnologías emergentes como medio para sus operaciones ilícitas. Esto es lo que sucede durante un caso normal: 1.- La víctima notifica que un crimen ha ocurrido. 2.- La policía obtiene evidencia y detecta sospechosos. 3.- Entrevistas y/o interrogaciones pueden ser conducidas. 4.- Al sospechoso son aplicados los cargos. 5.- El caso es llevado a juicio para presentación ante el jurado. Con el crecimiento del crimen electrónico, una serie de prácticas, procedimientos, procesos de decisión, referencias, etc. han sido preparados por grupos de trabajo técnico y expertos en crímenes electrónicos para asistir a las agencias policíacas. La serie de guías direccionarán el proceso desde la respuesta inicial en la escena del crimen, el laboratorio y ante la corte. Los departamentos deben contar con herramientas para procesar la escena del crimen. Los siguientes dispositivos pueden ser útiles en la escena del crimen: Herramientas de documentación: Etiquetas de cables Marcadores indelebles Herramientas de desensamble y retiro Desarmadores Pinzas Tijeras Empaquetar y transportar Bolsas antiestáticas 15 Cables de amarre Evitar los materiales que puedan producir electricidad estática Otros dispositivos Guantes Lentes de aumento Maleta de mano Lámpara Los siguientes pasos son realizados en una respuesta a un incidente de seguridad: Tabla 1.1 Pasos de un Respuesta a Incidentes Preparación Detección del incidente Respuesta inicial Identificar y recolectar evidencia Proceso forense Preservar la evidencia Analizar la evidencia Presentar la evidencia Recuperación Implementación de mecanismo de seguridad Documentación La preparación cubre todo lo que se necesita hacer antes de que el incidente tome lugar, como preparar las herramientas de respuesta y forenses, aprender los ambientes, configurar los sistemas para una respuesta óptima y monitoreo, asignar responsabilidades, formar equipos de trabajo establecer procedimientos de escalación, etc. Después de que se ha reportado e identificado el incidente, la respuesta inicial debe tomar los pasos para asegurar la escena del crimen protegiéndo la integridad de la evidencia, tanto tradicional como electrónica de todo el personal con acceso a la escena del crimen. 16 Después de asegurar la escena del crimen, la repuesta inicial debe identificar la evidencia potencial, tanto la electrónica como la convencional. La respuesta inicial debe evaluar la escena del crimen y formular el siguiente plan. Como actividades se deberá restringir inmediatamente el acceso a la(s) computadora(s), obtener posibles huellas dactilares, identificar líneas telefónicas atadas a dispositivos como modems e identificadores de llamadas, documentar, desconectar y etiquetar cada línea telefónica, etc. Para determinar el papel de las computadoras dentro del crimen, se pueden contestar las siguientes preguntas: • ¿La computadora es contrabando o fruto de un crimen? o Por ejemplo, ¿el hardware o software de la computadora es robado? • ¿El sistema computacional es una herramienta para el delito? o Por ejemplo, ¿se utilizó el sistema en forma activa por el acusado para cometer el delito? ¿se prepararon identificaciones falsas u otros documentos falsificados usando la computadora, un escáner y una impresora a color? • ¿El sistema computacional es sólo incidental al delito?, es decir ¿se utilizó para almacenar evidencia del delito? o Por ejemplo, ¿el traficante de drogas mantiene sus registros de tráfico en su computadora? • ¿El sistema computacional es tanto instrumental del delito como un dispositivo de almacenamiento de la evidencia? o Por ejemplo, ¿el “pirata” computacional utilizó su computadora para atacar otros sistemas y también la usó para almacenar información robada de tarjetas de crédito? Una vez que se conoce el papel de la computadora y que han sido satisfechos los requisitos legales, se pueden seguir las siguientes recomendaciones: • No encender la computadora si está apagada • Si la computadora está encendida o Consulte al especialista en computadoras • Si el especialista no está disponible 17 o Tome fotografías del monitor. Desconecte todas las fuentes de energía; desconecte de la pared y de la parte trasera de la computadora. o Coloque cinta para proteger evidencia sobre cada entrada a las unidades de disco. o Tome fotografías/haga un diagrama y coloque etiquetas en la parte de atrás de los componentes de la computadora y las conexiones existentes. o Coloque etiquetas a todos los conectores/terminales de cable para permitir el reensamble, de ser necesario. o Si se requiere transportación, empaque los componentes y transporte/almacene los componentes como carga frágil. o Manténgase alejado de los imanes, transmisores de radio y otros ambientes hostiles. • Jalar el enchufe podría: o Dañar en forma importante el sistema o Interrumpir negocios legítimos o Originar una responsabilidad para el oficial y el departamento La evidencia computacional, como toda la evidencia, debe ser manejada cuidadosamente y de manera que preserve su valor, esto se relaciona no solo con la integridad física, también con los datos electrónicos que contiene. Las computadoras son instrumentos electrónicos frágiles que son sensitivos a la temperatura, humedad, golpes físicos, electricidad estática y fuentes magnéticas, por lo que precauciones especiales se deberán de tomar para empacar y transportar la evidencia electrónica y mantener la cadena de custodia. Entre los procedimientos de empaque se debe: • Asegurar que toda la evidencia esta etiquetada e inventariada. • Utilizar empaques antiestáticos (bolsas de papel o de plástico antiestáticos) • Evitar almacenar la evidencia electrónica en vehículos por periodos de tiempo prolongados. • Proteger de fuentes magnéticas, polvo y partículas contaminantes. Una vez que se ha obtenido y analizado la evidencia necesaria, se reestablecerá el sistema, configurando y tomando acciones que prevengan la recurrencia y regrese el sistema a su uso regular. Documentar el caso resume la lección aprendida y sirve de conocimiento para incidentes futuros similares. [2,36,44,45] 18 1.3 INVESTIGACIÓN FORENSE EN CÓMPUTO. El análisis forense digital se está convirtiendo rápidamente en parte integral de una respuesta a incidentes, incrementándose el número de investigadores forenses y herramientas (toolkits) disponibles. En el libro “Techniques of Crime Scene Investigation” escrito por Barry A.J. Fisher [3] se dice queForencia es “ciencia y tecnología aplicada a la solución de actos criminales que permite asistir investigaciones policíacas” y que el Cómputo forense es la “ciencia de adquirir, recuperar, preservar y presentar datos que han sido procesados electrónicamente y almacenados en un medio computacional”. El cómputo forense asegura la preservación y autenticación de los datos computacionales, que son frágiles por naturaleza y pueden ser fácilmente alterados o borrados si no son manejados apropiadamente. Adicionalmente, el cómputo forense facilita la recuperación y análisis de archivos borrados o que no son normalmente visibles al usuario. El análisis forense en cómputo requiere de la interpretación de expertos más que producir conclusiones, como sucede en el análisis forense tradicional. El trabajo de un investigador forense es obtener la mayor información de las fuentes de evidencia (discos, controladores, archivos de bitácoras, cajas de medios removibles, etc.) tomando en cuenta dos puntos principales [3]: • Estar seguro de preservar los datos en su forma original. • Reconstruir el evento que ocurrió durante un acto criminal. Cuando se empieza la investigación de un incidente, primero es necesario determinar si en realidad ha ocurrido un incidente de seguridad, a simple vista quizá no veríamos nada (especialmente si un “rootkit” está instalado) o podríamos encontrar una saturación de red originada por un simple “host” (rastreando su dirección ethernet o cuentas de paquetes en un puerto de un switch) o un programa que se está consumiendo el 100% del CPU sin que el sistema de archivos muestre algo relacionado con ese programa, cuando esto sucede se verifica que 19 realmente exista un problema de seguridad, muchas veces se trata sólo de un problema de administración que no necesariamente pone en duda el sistema. Los pasos tomados en cada uno de estos ejemplos puede ser completamente diferentes entre cada uno, un investigador utilizará la experiencia e intuición acerca de que y como buscar, cuidando de recordar los pasos realizados para preservar y recolectar evidencia en forma metódica. Las piezas de datos (evidencia) en el sistema, exponen la historia de cómo ocurrió el suceso [21,7,3]. La investigación forense sigue métodos científicos, estas acciones metódicas ayudan a obtener y analizar la evidencia. Grant Gottfried [1] define evidencia digital como “la información almacenada o transmitida en forma binaria que pueda se útil en una corte de justicia”. 1.3.1 PASOS DEL PROCESO FORENSE No hay duda de que una metodología o proceso es llevada a cabo en un fraude computacional, por lo que tampoco hay duda de que en una investigación forense debemos contar también con un proceso, además un proceso formal permite al investigador enfocar e investigar un crimen racional y rápidamente. También es importante establecer un protocolo por el cual la evidencia electrónica es obtenida y manejada, para reducir el riego de ser corrompida. Sin una metodología o proceso bien definido será más difícil investigar exitosamente y por lo tanto controlar un abuso o fraude computacional. Es requisito que en un proceso de investigación forense se exhiban las características de una metodología científica. Por ejemplo un proceso válido debe consistir en pasos bien definidos que puedan ser repetidos en toda la investigación, cada paso debe ser consistente [8]. A continuación se exponen los cuatro pasos del proceso forense[4]: 1.3.1.1 PASO 1 Identificar y recolectar evidencia Identificar la información que se encuentre disponible y determinar la mejor manera de recolectarla. Este punto se profundizará en el siguiente capítulo. 20 1.3.1.2 PASO 2 Preservar evidencia Una vez que se ha identificado y recolectado la evidencia es muy importante preservarla con la menor cantidad de cambios, pero en el caso de realizar cambios se debe demostrar la responsabilidad que se tenga sobre la evidencia. La evidencia debe ser estrictamente asegurada y la cadena de custodia necesita ser claramente documentada, la evidencia debe ser capaz de describir claramente como fue encontrada, como fue manejada y todo lo que le ha sucedido (cadena de custodia). Lo que debe ser documentado: • Dónde, cuándo y por quién fue descubierta y obtenida la evidencia. • Dónde, cuándo y por quién fue manejada y examinada la evidencia. • Quién ha custodiado la evidencia, durante qué periodo y cómo fue almacenada. • Cuándo la evidencia cambia de custodia, y cómo se hace la transferencia. El acceso a la evidencia debe ser restrictivo y documentado para que se pueda detectar un acceso no autorizado. Una vez capturada la información debe ser almacenada en medios de solo lectura y marcar registros que conserven la integridad de la información para que no pueda ser alterada. 1.3.1.3 PASO 3 Analizar la evidencia Para interpretar la evidencia se requiere de conocimiento profundo para entender como embonan las piezas. Podemos comenzar por identificar qué cambió en el sistema cómo y cuándo, si es posible obtener los comandos usados y cuando se usaron, rootkits instalados e información oculta. Se deben analizar solo copias (imágenes) de la evidencia, manteniendo la integridad original y una cadena de custodia estricta. La integridad del sistema se debe verificar antes y después del análisis. 21 1.3.1.4 PASO 4 Presentar la evidencia Este paso se enfoca en la forma de presentar la evidencia ante una corte. La credibilidad de los procesos usados para preservar y analizar la evidencia. La evidencia computacional necesita ser: Admisible: Debe conformar ciertas reglas legales antes de que pueda ponerse ante una corte Auténtica: Debe ser posible atar material evidencial al incidente Completa: Debe decir toda la historia y no solo una perspectiva particular. Confiable: No debe haber duda sobre la autenticidad y veracidad de la evidencia ni de cómo se recolectó. Creíble: Debe haber credibilidad en la investigación y ser entendible para la corte. 1.4 ESTÁNDARES INTERNACIONALES El grupo G8 de naciones más industrializadas ha propuesto 6 principios relacionados con evidencia digital para asegurar una buena aplicación de los métodos y prácticas entre las naciones y garantizar la habilidad de usar evidencia digital recolectada por un estado en la corte de otro estado [9]: 1. Cuando se trata con evidencia digital, todos los principios forenses generales y procedimientos deben ser aplicados. 2. Una vez obtenida la evidencia digital, las acciones que se tomen no deben cambiar la evidencia. 3. Cuando sea necesario que una persona acceda a la evidencia digital, será necesario que esté entrenada para ese propósito 4. Todas las actividades del embargo, acceso, almacenamiento o transferencia de evidencia digital deben ser completamente documentadas, preservadas y disponibles para revisión. 5. Las personas que custodian la evidencia son responsables por todas las acciones tomadas con respecto a la evidencia digital mientras ésta esté en su poder. 6. La agencia que sea responsable por el embargo, acceso, almacenamiento o transferencia de la evidencia digital es responsable de cumplir estos principios. 22 Todas las políticas y procedimientos de cómputo forense deben ser desarrollados bajo estos principios. No limitándose a sólo computadoras en el sentido tradicional, el campo abarca todo, PDAs, ruteadores, etc. cubriendo crímenes que alcancen desde crear, poseer y diseminar pornografía infantil hasta intrusiones de red. Estos principios son un inicio para tratar de estandarizar pero mucho depende de las leyes locales del estado o país. 1.5 MÉXICO Y LOS DELITOS INFORMÁTICOS Existen varios estándares y procedimientos que se han creado en combate a los delitos informáticos. A nivelinternacional en países a la vanguardia sobre el tema, se han clasificado los delitos en diferentes tipos tales como: el espionaje electrónico, la estafa electrónica, el sabotaje electrónico, la falsificación informática, el plagio de dominios, el plagio de nombres comerciales o marcas de Internet, el mercadeo de souvenirs que aludan fines xenofóbicos, la apología del delito, la responsabilidad penal en que pueden incurrir los representantes legales de las empresas que se dedican a ofrecer hospedaje virtual de anunciantes cuando la información sea considerada como contraria a la ley o incite a la comisión de un delito, entre otros. En México, el 17 de mayo del 2000 se publicaron varias reformas en el Diario Oficial de la federación para la creación de los artículos 211 bis 1 al 7 de l código Penal Federal que se muestran en el anexo A. A pesar de los esfuerzos que se han realizado para proponer nuevas normas enfocadas a los delitos informáticos, que puedan motivar la labor de los cuerpos especializados de investigación criminal, como la Unidad de Policía Cibernética dependiente de la Policía Federal Preventiva, la falta de normas legales limita su labor, ya que no cuentan con las disposiciones penales que sirvan de apoyo para sancionar los delitos informáticos y por tanto, estos permanezcan impunes. Sánchez Franco [42] expone que deben existir las herramientas legales adecuadas para que la parte ofendida denuncie y acredite con pruebas los delitos ante la autoridad competente, ya que en caso 23 de no existir como hasta ahora, se favorece la labor de los abogados defensores y se favorece la impunidad. Es insuficiente la reforma penal de mayo del 2000, es necesario retomar conciencia sobre el tema y apoyarse en los modelos avanzados que ya están estableciendo, regulando y sancionando este tipo de ilícitos. 24 CAPITULO 2 RECOLECCIÓN DE EVIDENCIA Y VOLATILIDAD DE LOS DATOS 25 2. RECOLECCIÓN DE EVIDENCIA El cómputo forense envuelve la preservación, identificación, extracción, documentación e interpretación de datos computacionales. Según Stephen Barish en su artículo “Un Caso de Estudio”[22] “El cómputo forense es más un arte que una ciencia”, pero como es una disciplina obliga a los especialista forenses a seguir en forma clara y bien definida metodologías y procedimientos pero al mismo tiempo permite ser flexible al encontrar algo inusual. Investigar la violación de un equipo de cómputo es como investigar la escena de un crimen, los detectives recolectan evidencia, buscan claves que puedan ser útiles y toman un inventario de los daños y pérdidas. 2.1 RECOLECCIÓN DE EVIDENCIA El primer paso que debe seguir un investigador en un incidente de seguridad es la recolección de evidencia. Según Timothy E. Write [8] el proceso de búsqueda de evidencia pasa por varios estados: 1º. Se deberá formular un plan donde el investigador determinará la evidencia que será buscada y decidirá el procedimiento de búsqueda 2º. El investigador llegará a la escena del crimen y asegurará la evidencia de personas no autorizadas. 26 3º. El investigador tomará notas cuidadosamente de todos los dispositivos relevantes y la evidencia encontrada. 4º. El investigador seleccionará, empaquetará y moverá evidencia 5º. Analizará la evidencia en un laboratorio cuidando de no modificarla. Como se especifica en el RFC 3227, si la recolección de evidencia es hecha en forma correcta, existe mayor oportunidad de que esta información sea útil en un juicio, facilitando el arresto de un atacante. Las principales recomendaciones especificadas en el RFC indican que: • Los procedimientos de recolección deberán ser incluidos en las políticas de seguridad del área de cómputo e involucrar al personal de incidentes de seguridad. • Obtener como sea posible una fotografía exacta del sistema. • Realizar notas detalladas. • Anotar la diferencia entre el reloj del sistema y la UTC. • Estar preparado para testificar todas las acciones que se realizaron y la hora. • Minimizar cambios en los datos como se van recolectando. • Cuando se enfrente con una elección entre recolección y análisis, se debe recolectar antes de analizar. • Ser metódico. • La velocidad debe ser crítica, por lo que para un número de dispositivos que se requiere examinar, será apropiado repartir el trabajo entre más personas para recolectar en forma paralela. • Proceder desde lo volátil a lo menos volátil. • Hacer una copia a nivel de bit del sistema. Dentro de las cosas que se deben evitar para no destruir evidencia el RFC recomienda: • No dar de baja el sistema hasta que se ha completado la recolección. La evidencia puede ser perdida y el atacante puede haber alterado el proceso de shutdown o los archivos scripts de servicios para destruir esa información. 27 • No confiar en los programas del sistema. Correr los programas de recolección de información en medios seguros y protegidos. • No correr programas que modifiquen el tiempo de acceso de todos los archivos en el sistema. • Cuando se remueven dispositivos externos notar que la simple desconexión o filtro de la red puede activar programas que detectan cuando se ha desconectado la red y borran evidencia. Los procedimientos de recolección deben ser detallados en lo posible, no deben ser ambiguos y deben minimizar la cantidad de decisiones necesitadas durante el proceso de recolección. Los métodos utilizados en la recolección de evidencia digital deben ser transparentes y reproducibles, no olvidando documentar cada paso. Se debe estar preparado para reproducir precisamente el método usado, además estos métodos deben ser probados por expertos independientes. • La cadena de custodia necesita ser claramente documentada, debe describir como se encontró la evidencia, como fue manejada y todo lo que sucedió. • Debe documentarse dónde, cuándo y por quién fue descubierta y obtenida, aumentada y examinada la evidencia. • Quién la ha custodiado, durante qué periodo y cómo fue almacenada. • Cuándo la evidencia cambia de custodia y cómo se hace la transferencia. Los métodos usados para la recolección de evidencia deben ser transparentes y reproducibles [6]. 2.1.1 DONDE Y COMO ARCHIVAR En la medida de lo posible usar medios de almacenamiento de evidencia estándares. El acceso a la evidencia debe ser restrictivo y documentado claramente, para detectar accesos no autorizados. Una consideración importante a la hora de hacer las copias es esterilizar los dispositivos en los que se guardará la copia. Para lo cual se puede esterilizar un dispositivo sobrescribiendo el medio con ceros. 28 2.1.2 HERRAMIENTAS ÚTILES Se debe contar con programas de recolección de evidencia en medios de solo lectura (ejemplo: CD). Contar con un conjunto de herramientas por cada sistema operativo, que contenga programas para examinar procesos, para hacer copias bit a bit, para generar marcas de tiempo (checksums) y firmas, etc. Los programas en el conjunto de herramientas deben ser ligados estáticamente y no deben requerir el uso de librerías. Se debe estar preparado para testificar la autenticidad y confiabilidad de las herramientas que se utilicen. Uno de los problemas a los que se enfrenta el investigador es que los administradores algunas veces rechazan la idea de dar de baja un sistema, especialmente cuando éste estará abajo por una indeterminada cantidad de tiempo. Pero solo se puede bajar el nivel de rigor después de que se ha determinado que el caso no será enjuiciado 2.2 VOLATILIDAD DE LOS DATOS La evidencia puede ser encontrada en muchos dispositivos electrónicos, como teléfonos, celulares, asistentes personales digitales (PDAs), cámaras digitales,componentes de red, pagers, etc. En el caso de las computadoras se puede obtener información a través de los dispositivos de almacenamiento de datos con los que cuenta, como los son el procesador, memoria, disco duro, medios removibles (floppy disks, cintas, discos compactos, discos versátiles digitales (DVD)), impresoras, etc. El tiempo de vida de los datos digitales depende de donde se encuentren almacenados. Dan Farmer y Wietse Venema establecieron el siguiente orden de volatilidad: 1 Procesador 2 Sistemas de almacenamiento 3 Tablas del kernel 4 Medios fijos 29 5 Medios removibles 6 Impresiones Mientras mayor volatilidad de los datos es mayor la dificultad de capturarlos, y menor el tiempo que tenemos para realizar un análisis. Por ejemplo en el caso del procesador es improbable que se pueda utilizar el contenido de los registros, el simple acto de buscar en ellos puede modificarlos, así es que, buscando sobre el contenido de la memoria del sistema y el estado de la red podemos obtener claves valiosas, el tipo y la fuente de un ataque de entrada, etc. Examinar esta tipo de estructuras requiere de cierta experiencia para analizar y capturar los datos en forma segura. A continuación se muestra la tabla 2.1 que publica las diferentes fuentes de sistemas de datos su volatilidad y su utilidad en la investigación [2]. Tabla 2.1 Fuentes de sistemas de datos su volatilidad y utilidad Máximo tiempo de vida Categoría Tipo de almacenamiento de datos Significado para el investigador forense Registros Captura irrealizable y mínima utilidad Procesador Caches Captura irrealizable como una entidad discreta pero puede obtenerse información a través de una imagen de memoria del sistema. Tan corto como un ciclo de reloj Video RAM La pantalla actual puede ser capturada y provee información útil si se sospecha que el intruso entró al sistema mediante la consola o en una terminal X Windows Sistemas de almacenamiento RAM Incluye información sobre todos los procesos corriendo y el estado del kernel. Fácil de capturar, pero el acto de capturarlos puede cambiarlos. Requiere conocimiento especializado para reconstruirlo completamente, pero no requiere habilidades especiales para buscar estos datos por palabras clave. Estado de red Puede ayudar a determinar si una puerta trasera “backdoor” ha sido instalada y si está activa. Debe ser analizado para determinar la actividad de red. Hasta que el host es dado de baja Tablas de Kernel Procesos corriendo Algunos procesos pueden mostrar actividad no autorizada. Todos los procesos deberán ser verificados contra binarios seguros, verificando que 30 Máximo tiempo de vida Categoría Tipo de Significado para el investigador forense almacenamiento de datos no sean caballos de Troya. Espacio swap Cuando las demandas del sistema exceden la capacidad de la RAM, algunos datos del kernel son copiados al disco duro. Estos datos complementan los de la memoria RAM para el análisis de tiempos. Directorios Queue Incluye información sobre procesos corriendo y actividades incompletas. Se puede observar correo saliente y trabajos de impresión que no existen en otro lugar en el sistema Directorios Temp. Son archivos de trabajo de todo el sistema. Se espera que sea borrado periódicamente, por lo que es un lugar apropiado para dejar datos que no serán necesitados en el futuro. Se pueden encontrar datos que fueron deliberadamente borrados sobre otras partes del sistema Directorios Log Esto es crucial para la reconstrucción de eventos. La dificultad es que crecen demasiado, los logs son mantenidos, viejos datos son eventualmente borrados o sobre-escritos. Medios fijos (Discos duros) Directorios de configuración, usuario, binarios y librerías. Cada parte del sistema de archivos que no es considerada temporal, como bitácoras que incluyen archivos que pueden permanecer indefinidamente. Sin embargo, cualquier usuario con acceso de escritura podrá borrar o cambiar los datos. Discos floppy Uso menos frecuente en ambientes de red, pero puede contener archivos útiles. Discos de alta capacidad que pueden ser usado para respaldos Cintas Son una fuente confiable de información acerca del contenido histórico del sistema. En caso de existir cintas antes del incidente, pueden ser usadas para determinar el periodo de tiempo durante el cual un incidente ocurrió. Hasta que sean sobre- escritos o borrados CD-ROM Read/write El estándar para CDs es ahora multisesion. Debemos estar seguros de que examinar un CD sospechoso puede mostrar todas las sesiones. Los datos no pueden ser sobrescritos, pero cada sesión crea una nueva tabla de directorio. Medios removibles CD-ROM Write/only Medio de escritura de una sola vez, es un lugar excelente para almacenar archivos log porque ellos no pueden ser alterados. Hasta que sean físicamente destruidos Salidas Impresiones en papel Es difícil hacer búsquedas en impresiones muy largas, pero su periodo de destrucción es corto. Es probablemente el mecanismo de almacenamiento de mayor vida Es imposible completar la captura de todo el estado de una computadora en un incidente. El simple acto de examinar los datos volátiles provoca que el estado del sistema se modifique. 31 2.3 PROBLEMÁTICA DE RECOLECCIÓN DE DATOS EN UNA INVESTIGACIÓN FORENSE De acuerdo a lo que se ha expresado en las secciones anteriores podemos encontrar diversos problemas a los que se puede enfrentar un investigador forense en la recolección de información. Ante una respuesta a un incidente, el personal que atiende el incidente debe decidir si el equipo se queda encendido o apagado. En caso de apagarlo también debe decidir si debe desconectarlo de la energía o realizar un apagado (shutdown) normal. Sea lo que decida el personal de respuesta a incidentes el investigador forense realizará la recolección tal como encontró el equipo y deberá recolectar la información posible que le pueda llevar a encontrar claves para resolver el caso al que se enfrente. Por lo que podemos generalizar son dos situaciones a las que se enfrentará el investigador forense para la recolección de información, cuando el equipo esta encendido y cuando el equipo está apagado. Se sabe que en algunas situaciones, especialmente en intrusiones de Internet, la evidencia puede ser encontrada solamente en la memoria, pero debido a su alta volatilidad si se desconecta el equipo antes de capturarla, se puede destruir la poca evidencia existente. Por lo que para recolectar información volátil de un sistema utilizando las herramientas tradicionales de software necesitamos tener el equipo encendido y corriendo sus procesos en forma normal. Pero con el sistema corriendo es fácil cometer errores que traigan consecuencias graves, además se viola uno de los principales principios de investigación forense que es no modificar la evidencia, como por ejemplo en Linux, cada herramienta en el espacio de usuario o kernel utilizada para capturar datos, por naturaleza cambia el estado del sistema. Correr herramientas en un sistema vivo, hace que éstas se carguen en memoria y creen por lo menos un proceso que puede sobrescribir evidencia. Creando un nuevo proceso, los sistemas de administración de memoria del sistema operativo colocan datos en memoria principal y puede sobrescribir datos no 32 colocados en la memoria principal o en la memoria swap, que también es totalmente válido en los ambientes Windows. Otro problema se presenta cuando queremos tomar acciones legales y necesitamos cumplir con las leyes locales. Las señales de intrusión encontradas en imágenes de memoria principal pueden ser no confiables, porque son creadas con herramientas que adquirimos. Por lo que al tomar una acción debemos decidir si o no, vamosa obtener datos volátiles de un sistema comprometido. Pero algunas veces el procedimiento vivo describe la única forma de adquirir datos del incidente, porque cierto código malicioso como algunos “rootkits” son cargados en memoria y no modifican archivos o directorios. 2.4 PROPUESTAS DE SOLUCIÓN Como ya hemos mencionado en la mayoría de los casos de atención de incidentes, se encuentra al sistema en dos estados, se puede encontrar un sistema vivo (donde todavía se puede obtener evidencia volátil) o se puede encontrar el sistema muerto (el investigador lo encuentra apagado). El estado del sistema determinará cuales son las primeras acciones que se tomarán. En un sistema vivo se tiene la opción de monitorear la red, se puede optar por dejar el sistema corriendo después de recolectar la evidencia y/o instalar algún sniffer en el sistema (si es que lo permiten las políticas). En el caso de que el investigador se encuentre con un equipo encendido o “vivo”, lo importante es actuar lo más rápido posible para capturar información, pero teniendo en cuenta que cada acción que se tome durante la investigación, debe ser hecha de manera que pueda explicarse fácilmente, ya que cada error en el sistema vivo puede traer consecuencias. En el caso de que el investigador encuentre el equipo apagado o “muerto”, podemos pensar que ya no es posible recuperar la información volátil del sistema, pero de acuerdo a la investigación realizada en este proyecto, sí se puede recuperar algo de información de la memoria RAM utilizando métodos físicos. Esto abre la posibilidad de que todavía podamos obtener claves para una investigación forense aún si encontramos el equipo apagado. 33 No hay duda de que una metodología es llevada a cabo en un fraude computacional, por lo que tampoco hay duda de que una investigación forense debe contar con una metodología también, además una metodología formal permite al investigador enfocar e investigar un crimen en forma racional y rápidamente. También es importante establecer un protocolo por el cual la evidencia electrónica es obtenida y manejada para reducir el riego de ser corrompida. Sin una metodología será más difícil investigar exitosamente y por lo tanto controlar un abuso o fraude computacional. Es requisito que en un proceso de investigación forense se exhiban las características de una metodología científica. Por ejemplo un proceso válido debe consistir en pasos bien definidos que puedan ser repetidos en toda la investigación, cada paso debe ser consistente. Sin una metodología formal comprobada la evidencia recopilada no será tomada seriamente en una corte. En este trabajo se ha establecido una metodología general aplicada al estado “vivo” del sistema, para que a partir de ésta se pueda llevar a cabo una recolección de información volátil útil en una investigación forense, esta metodología será aplicada en cincos casos diferentes con el equipo encendido y con sus procesos corriendo en forma “normal”, bajo los sistemas operativos más comunes Linux con Red Hat Entreprise 3 y Windows 2000. Como parte de la investigación también se mostrarán las herramientas útiles para llevar a cabo cada procedimiento, dentro de las dos plataformas descritas, esto con el fin de que una vez que conozcamos lo que existe en el mercado y lo que podemos utilizar del sistema operativo tengamos la oportunidad de crear un conjunto de herramientas que nos va a ayudar a realizar la recolección de información. Este paso de crear el conjunto de herramientas es tan importante como el de la investigación misma, por lo que el siguiente capítulo mostrará estas herramientas, así el investigador podrá decidir cuales son la que utilizará en su investigación. Considerando también el problema al que se enfrenta el investigador forense en una situación donde el estado del sistema esta “muerto”, en el último capítulo se expondrá una serie de ejemplos experimentales llevados a cabo por Universidades con especialidades en semiconductores y seguridad, que se basan en los defectos de los dispositivos semiconductores para recuperación de información en las memorias, y así obtener información clave para una investigación forense. 34 CAPITULO 3 HERRAMIENTAS PARA LA RECOLECCIÓN DE INFORMACIÓN DE DATOS VOLÁTILES Y MEMORIA 35 3. HERRAMIENTAS PARA LA RECOLECCIÓN DE INFORMACIÓN DE DATOS VOLÁTILES Y MEMORIA. Como hemos mencionado el conjunto de herramientas que utilizará el investigador forense o el equipo de respuesta a incidentes para la captura de información volátil es tan importante como los pasos del proceso forense. Es importante conocer las herramientas que existen en el mercado y las que el sistema trae ya integrado. La memoria RAM como dispositivo de alta volatilidad involucra que muchas veces el investigador tenga que recolectar información con lo que tenga a primera mano, este es el caso del sistema operativo. Con experiencia y el conocimiento propio, el sistema operativo puede ser una excelente plataforma para realizar la recolección de evidencia. Durante este capítulo se presentarán las principales herramientas de sistema para la recolección de información volátil, programas para realizar imágenes de memoria, así como software forense especializado que nos puede ser útil para conformar nuestro conjunto de herramientas de recolección. 36 3.1 SO WINDOWS NT Y 2000 3.1.1 HERRAMIENTAS DE CAPTURA CON UTILERÍAS DEL SO PARA WINDOWS Los comandos y utilerías para tareas administrativas del sistema pueden ser de gran utilidad ante una respuesta inmediata. Esta es la razón por la que a continuación se exponen herramientas del sistema operativo que no tiene el propósito específico de capturar información para un proceso de investigación forense, pero se pueden utilizar para ese fin. 3.1.1.1 MS-DOS y comandos del sistema La tabla 3.1 muestra los comandos útiles y su función en la recolección de datos. Todos estos comandos van incorporados dentro del sistema operativo, por lo que no será necesario bajarlos de Internet o comprarlos, a menos que no contemos con el sistema operativo. Tabla 3.1 Comandos del sistema operativo Windows Utilería Función debug y dump Visualiza la memoria, carga porciones del disco en memoria y vuelve a grabarlas, pero del subsistema de MSDOS únicamente. mem Muestra qué y cuánta memoria se está utilizando, pero del subsistema de MSDOS únicamente. at.exe El comando AT programa la ejecución de comandos y programas en un equipo a una hora y fecha especificadas. El servicio de programación debe estar en ejecución para utilizar el comando AT. cmd.exe Inicia una nueva instancia del intérprete de comandos de Windows XP dir.exe Muestra la lista de subdirectorios y archivos de un directorio. ipconfig.exe Muestra la dirección IP, máscara, subred, puerta de enlace. Puede liberar o renovar las concesiones de dirección IP. nbtstat.exe Muestra las estadísticas del protocolo y las conexiones actuales de TCP/IP usando NBT (NetBIOS sobre TCP/IP). net.exe Muestra información de cuentas, computadoras, estadísticas de red. netstat.exe Muestra estadísticas del protocolo y conexiones TCP/IP actuales nslookup.exe Muestra información acerca del nombre de host o de dominio route.exe Manipula tablas de enrutamiento tracert.exe Muestra la ruta para llegar a un host determinado, los saltos y el tiempo 37 Utilería Función de espera hostname Comando de sistema que despliega el nombre de la máquina arp Despliega y modifica la tabla de direcciones IP a direcciones físicas, utilizando el protocolo ARP doskey Almacena el historial de comandos aplicados en la línea de comandos. archivo .dmp Archivo donde sedescarga la memoria RAM. dumpchk.exe Comando que se utiliza para verificar que un archivo dump ha sido creado correctamente, es localizado en el CD-ROM de Windows. Se instala ejecutando setup.exe desde el directorio Support\Tools del CD [25]. reg regedit Estas herramientas permiten hacer una copia del registry. Reg permite agregar, cambiar, buscar, respaldar, restaurar y realizar operaciones sobre el registry en una línea de comandos, puede ser usada en computadoras locales y remotas. 3.1.1.2 Windows Resource Kits El Resource Kit de Windows es un conjunto de herramientas, artículos y referencias que ayudan al profesionista en Tecnologías de Información a dar soporte al sistema operativo. Contiene un conjunto de herramientas que ayuda al administrador con tareas comunes y soporte a fallas en la operación del sistema. Principalmente para la administración del “Active Directory”1, configuración de red, características de seguridad y desarrollo de aplicaciones [23]. El Resource Kit de Windows 2000 incluye muchas herramientas, pero solo algunas de ellas están libres en Internet. Estos archivos son ejecutables autoextraibles que instalan la herramienta y su documentación en la computadora, de entre ellas podemos utilizar y adquirir las publicadas en la tabla 3.2. Tabla 3.2 Herramientas de Windows Resource Kit libres Utilería Función dh.exe Es un comando en línea que despliega información acerca del uso de procesos en modo usuario y modo kernel. Acepta switches para identificar el proceso desplegar y enviar a un archivo de texto. Es muy útil para listar la basura de memoria y llamadas de asignación de memoria. Despliega “memory hogs” (programas que utilizan mucha memoria. Envía la información a un archivo de descarga (dmp). Nota: Se tienen que 1 El Directorio activo de Windows es un componente central de dicho sistema operativo que proporciona los medios para gestionar las identidades y relaciones que organizan su entorno de red. 38 Utilería Función configurar algunas variables globales en el sistema (gflags) y en el registry drivers.exe Esta herramienta lista los drivers cargados en la máquina. Nota: Se aplica solo localmente pfmon.exe Este comando en línea permite al desarrollador o administrador de sistema monitorear fallas de páginas (page faults) que se presentan cuando una aplicación está corriendo. pstat.exe Es una herramienta que lista todos los hilos (threads) que están corriendo y despliega su estado. Esta herramienta es similar a Qslice.exe, pero utiliza una línea de comandos en vez de la interfaz gráfica. Esta versión de pstat toma una fotografía (snapshot) del sistema. pulist.exe Esta herramienta despliega procesos corriendo en maquinas locales o remotas. Despliega el nombre del proceso, su ID e intenta obtener el user name asociado. Esto es importante cuando múltiples procesos se están ejecutando en el sistema en diferentes contextos de seguridad. qslice.exe Muestra el porcentaje del total de CPU en uso por cada proceso en el sistema. Es similar a pstat.exe pero presenta la información en forma gráfica. showperf.exe Es una herramienta gráfica que permite a los desarrolladores descargar y desplegar raw performance data del registry y desplegarla. apimon.exe Monitorea aplicaciones corriendo de todas las llamadas API (Application Programming Interface) de un proceso. sclist Es un comando en línea que muestra los servicios actualmente corriendo, los servicios parados o todos los servicios en una computadora local o remota. http://www.petri.co.il/download_free_reskit_tools.htm Nota: En forma remota solo si se encuentra dentro del dominio svrinfo Es un comando que despliega los servicios, información acerca del espacio en disco y tipo de particiones en un servidor remoto. http://www.petri.co.il/download_free_reskit_tools.htm Nota: Despliega la información local y la información de servidores donde se este conectado o WinXP. showmembers Es un comando que muestra los miembros de un grupo dentro de un dominio o los grupos en forma local. http://www.petri.co.il/download_free_reskit_tools.htm Nota: Para mostrar los miembros del dominio se necesita estar dentro de éste. dumpel.exe Es un comando en línea que descarga la bitácora de eventos de un sistema local o remoto a un archivo de texto (tab-separated) http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp now.exe Despliega la fecha y tiempo del sistema en la salida estándar Los comandos publicados en la tabla 3.3 no se encuentran libres, por lo que hay que comprarlos: Tabla 3.3 Herramientas de Windows Resource Kit con costo Utilería Función cconect.exe Concurrent Connection Limiter. Provee un método para rastrear conexiones http://www.petri.co.il/download_free_reskit_tools.htm http://www.petri.co.il/download_free_reskit_tools.htm http://www.petri.co.il/download_free_reskit_tools.htm http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp 39 Utilería Función concurrentes y monitorear que usuarios están conectados al sistema. showacls.exe Enumera los derechos de acceso para archivos, fólderes y árboles. sleep.exe Batch Files Wait. Causa que la computadora espere por una cantidad de tiempo especificada. top.exe Time-Ordered Processes. Lista los procesos que está usando el tiempo del procesador. totlproc.exe Total Processors. Mide el uso de memoria de todos los procesos instalados. usrstat.exe User Statistics. Lista los nombres completos de usuarios y su última conexión. 3.1.1.3 Herramientas para Windows no propietarias Existen herramientas libres en Internet para Windows. Una de las más importantes es md5sum.exe que determina cuando la información ha sido modificada. Una buena práctica es correr las herramientas de captura, enviar la salida a algún medio e inmediatamente generar un md5sum o registro de tiempo de los datos. Otras herramientas útiles son el fport.exe, ethereal, winhex y las utilerías de PsTools [10]. Una búsqueda en Internet obtendrá estas y otras herramientas, que se podrán utilizar durante una examinación forense. PsTools Los kits de recursos de Windows NT y Windows 2000 vienen con un número de herramientas de comandos en línea que ayudan a administrar el sistema. PsTools es un conjunto de herramientas no propietario de Microsoft que incluye comandos similares a los kit de recursos de Windows [27]. Todas estas utilerías trabajan en Windows NT, Windows 2000 y Windows XP y no necesitan ser instaladas como las herramientas del Resource Kit. La suite PsTools incluye las utilerías mostradas en la tabla 3.4. 40 Tabla 3.4 Suite PsTools Utilería Función psexec Ejecuta procesos remotamente. Nota: Se necesita cuenta y password de la máquina remota para ejecutar el comando deseado. psfile Muestra los archivos de la máquina que han sido abiertos remotamente psgetsid Despliega el SID de una computadora o usuario pskill Elimina procesos por nombre o ID psinfo Lista información detallada acerca de los procesos, el tipo de SO, versión, etc. psloggedon Muestra quien esta en una sesión localmente y quienes están conectados a recursos compartidos y desde que hora iniciaron la sesión. Si el servidor esta dentro de un dominio conectado con otros servidores puede dar algunas otras conexiones de usuarios con otros servidores diferente a el. psloglist Descarga la bitácora de eventos. Nota: Solo para WinXP. pspasswd Cambia los passwords de cuentas psservice Muestra y controla servicios psshutdown Da de baja o reinicializa la computadora pssuspend Suspende procesos de la máquina remota o local psuptime Muestra cuanto tiempo el sistema ha estadoarriba. Se ha incorporado a psinfo. pslist PsList es una utilería que muestra una combinación de información de los dos comandos del Resource Kit (ps y list), incorporando la habilidad de poder ver procesos y estadísticas de hilos en una computadora remota. Con los parámetros de default PsList muestra información orientada a CPU de todos los procesos que están corriendo en el sistema local. La información listada por cada proceso incluye el tiempo de procesador en que se ha ejecutado y cantidad de memoria física asignada. Nota: Para obtener los datos remotamente se necesita que el equipo remoto tenga habilitado el puerto RPC o tener corriendo los servicios remotos del registry. SYSINTERNALS listdlls Lista los DLLs abiertos por cada proceso, etiqueta los DLLs cargados con diferentes números de versiones que pueden corresponder a archivos en disco y pueden decir cual DLL esta relocalizado porque no está cargado en su dirección base. Nota: Corre en la máquina localmente process explorer Muestra la información acerca de un proceso determinado y sus DLLs cargadas o abiertas. Consiste en dos ventanas. Una ventana muestra una lista de los procesos activos, incluyendo el nombre de sus propietarios, si el proceso es un DLL se observará la memoria mapeada. Nota: Corren en la máquina localmente tcpcon /tcpiew Enumera los “endpoints” de TCP y UDP 41 Utilería Función http://www.sysinternals.com/utilities/tcpview.html Nota: Funciona localmente 3.1.1.4 Herramientas varias Un posible ataque lo podemos detectar al encontrar un volumen de tráfico inesperado en lugares inusuales. Para detectar el tráfico anómalo debemos entender muy bien el flujo de tráfico de red. Para lo cual podemos utilizar algunas herramientas libres disponibles e instalarlas en cualquier linux para formar un buen conjunto de herramientas, aunque el objeto de análisis sea Windows [22]. Mientras no contemos con una solución integrada, podemos construir un conjunto simple y rápidamente con las herramientas mostradas en la tabla 3.5. Tabla 3.5 Herramientas varias Windows Utilería Función ethereal Permite capturar y graficar tráfico de red, corre bajo Windows y bajo Linux. La habilidad de Ethereal para capturar el tráfico de red 802.11 en Windows es limitado debido al bajo soporte ofrecido por los drivers 802.11 de los adaptadores. En Windows, no se puede administrar la captura o controlar los frames, tampoco se puede capturar en modo promiscuo, por lo que solo se podrá capturar el tráfico para y desde la máquina que está corriendo Ethereal. Esto se debe considerar al correr este software en Windows. etherape Construye “talkers map” para un segmento de red dado, es una gran herramienta para caracterizar trafico “normal”. tcpreplay Permite repetir tráfico capturado y controlar la velocidad en la cual fluye a través de otro programa. fport.exe Fport es soportado por Windows NT, 2000 y XP. Este comando reporta todos los puertos TCP/IP y UDP abiertos. Es la misma información que se despliega usando el comando “netstat -an”, pero muestra estos procesos con el PID corriendo, nombre y ruta. Puede ser utilizado para identificar rápidamente puertos desconocidos abiertos y sus aplicaciones asociadas. http://www.foundstone.com winhex Es un editor hexadecimal que es utilizado en recuperación de datos y procesamiento de datos a bajo nivel. Inspecciona y edita toda clase de archivos, recupera archivos borrados o datos perdidos del disco duro en sistemas de archivos corruptos y también en tarjetas de cámaras digitales. Se puede descargar de la siguiente dirección: http://www.winhex.com/winhex/index-e.html l0pthcrack L0pthCrack o LC es una aplicación para recuperar y auditar passwords. Se puede obtener una versión de evaluación por 15 días en Internet. http://www.atstake.com/products/lc/ pwdump2 Descarga los password hashes (trozos de password encriptados en formato ASCII) del http://www.sysinternals.com/utilities/tcpview.html http://www.winhex.com/winhex/index-e.html 42 Utilería Función Active DIrectory. Es una herramienta libre en Internet. http://www.bindview.com/Services/razor/Utilities/Windows/pwdump2_readme.cfm quickwiper Es una utilería para limpiar discos y archivos, se puede obtener una versión de evaluación en Internet. http://www.soft32.com/download_4586.html e-timestamp Obtiene un sello de tiempo de los archivos, se puede obtener una versión de evaluación en Internet. http://www.e-timestamp.com/ md5sum.exe Con la verificación md5 se compara la huella digital (fingerprint) de los archivos que se bajaron con la huella digital de los archivos publicados en el servidor, esto con el fin de verificar que los archivos no estén corruptos. Esta herramienta se encuentra libre en Internet. http://www.etree.org/md5com.html nmap.exe Programa de escaneo de puertos, versión libre para Linux y para Windows. http://www.insecure.org/nmap/nmap_download.html Necesita tener instalado winpcap ( http://www.winpcap.org/ ) que es una serie de librerías Open Source Windows, que son usadas por capas de red de bajo nivel y es la máquina (engine) de varias herramientas de red comerciales y de código abierto (open source). Como nmap, snort, windump, ntop, etc. Nota: Necesita tener instalado winpcap en la máquina donde será corrido. ntlast Analizador de bitácoras de seguridad. Identifica quien ha ganado acceso al sistema. http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/res ources/freetools.htm Nota: En el equipo bajo análisis deben estar habilitadas las políticas de auditoría showin Muestra información acerca de Windows. Revela passwords http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/res ources/freetools.htm bintext Encuentra strings en un archivo. http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/res ources/freetools.htm filemon Monitorea y despliega la actividad del sistema de archivos en tiempo real. Explora la forma en que trabaja Windows, buscando cómo las aplicaciones utilizan los archivos y DLLs. La característica de sello de tiempo (timestamp) de Filemon muestra cuando la abertura, lectura, escritura o borrado se llevó a cabo y el resultado. http://www.sysinternals.com/Utilities/Filemon.html netcat (cryptcat) Utilería usada para crear un canal de comunicación entre dos sistemas diferentes. Cryptcat es usada para crear canales de comunicación encriptado. Netcat provee la forma de transferir información entre sistemas en red. 3.1.1.5 Volcado de memoria El volcado de memoria es un procedimiento de descarga de información de memoria a un un archivo creado en el sistema con extensión “*.dmp”. Las acciones que realiza Windows cuando se produce este error son: escribir un suceso en el registro del sistema, alertar a los administradores, vaciar la memoria del sistema en un archivo que se puede depurar y reinicia automáticamente el sistema [24]. http://www.insecure.org/nmap/nmap_download.html http://www.winpcap.org/ http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm http://www.sysinternals.com/Utilities/Filemon.html 43 Los registros del archivo de volcado de memoria son un conjunto de información que puede ayudar a identificar porque la computadora ha parado inesperadamente. Esta opción requiere un archivo de pagineo (paging file) de por lo menos 2 MB (megabytes) en el volumen de booteo. En computadoras corriendo Windows 2000 o sistemas recientes, Windows crea un archivo nuevo cada vez que la computadora para inesperadamente. Userdump.exe Esta herramienta se puede utilizar para generar un volcado de usuario de un proceso que se cierra con una excepción o cuando un proceso
Continuar navegando
Materiales relacionados
151 pag.Implementacion-de-un-laboratorio-de-analisis-de-malware
Ingeniería Fácil
221 pag.
71 pag.
181 pag.Analisis-forense-en-sistemas-Unix
Contenido de Estudio
Compartir