Already a member?
Sign in
| Version | User | Scope of changes |
|---|---|---|
| Sep 9 2007, 9:56 PM EDT (current) | casprill | 686 words added, 3 photos added |
| Sep 9 2007, 9:51 PM EDT | casprill |
Changes
Key: Additions Deletions
Análisis Automatizado para Computación Forense
Cuando una persona accede sin autorización a una computadora existen pequeños factores, que delatan su intrusión, la detección de un ataque se facilita por que el intruso siempre modifica el estado del sistema, lo mas cercano que pude realizar para ocultar su presencia es dejando el sistema en una copia del estado inicial. Cuando se analiza un sistema atacado se pretende encontrar las incongruencias que este presente, de forma tal que permita identificar las áreas afectadas por el atacante
La forma más simple mediante la cual un atacante accede a un sistema y borra las huellas de su ingreso es mediante el uso de rootkits, estos programas permiten ocultar procesos dentro de otros, y modifican los registros de ingresos al sistema, haciendo pasar al atacante por un usuario válido dentro del mismo.
Existen formas de investigar y rastrear un ataque, analizando los archivos que han sido modificados, al analizar la fecha de modificación de los mismos, estos deberán concordar con la fecha de ingreso de un usuario autorizado a ejecutarlos. Aunque esta es una simplificación de un proceso de detección de intrusiones, existen otras excepciones válidas que pueden ser añadidas a la base de conocimiento de un sistema experto. A medida que se añada más experiencia codificada y automatizada, el tiempo de un experto analista forense se puede utilizar para atender situaciones más novedosas.
En este esquema lo que se propone es utilizar un conjunto de programas de computo forense que permiten obtener los metadatos de los programas más importantes de un servidor, codificarlos en un documento xml, el cual luego será analizado por el JESS con el objetivo de buscar incongruencias dentro del mismo, buscando patrones de intrusión.
Escenario Hipotético
Un intruso ha accedido al sistema capturando la clave del usuario root del mismo. Una técnica común para evitar la detección consiste en borrar las entradas del archivo syslog, y editar los registros del archivo lastlog para borrar sus huellas. Es en este momento cuando el atacante baja, compila e instala el modulo de kernel (LKM), en este caso el rootkit.
Mecanismo
El sistema afectado es una máquina Intel con un sistema operativo Debian en kernel 2.16, al cual se le va a instalar el Coroner's Toolkit (TCT), una herramienta de análisis forense, en conjunto con las librerías XML de Java, y el JESS, los cuales serán instalados en el prototipo.
Procedimiento
1. Instalar el TCT en el servidor víctima.
2. Simular una operación normal (actualizar paquetes, acceder y salir del sistema).
3. Asumir que el atacante obtuvo acceso usando un sniffer de redes y entra como root.
4. El atacante descarga netcat, y ejecuta una backdoor no autorizada y se sale del sistema.
5. El atacante utiliza el backdoor para obtener un acceso no autorizado y carga el rootkit.
6. El atacante compila y corre el rootkit escondiendo los directorios y procesos sospechosos.
7. Se simula una actividad de intrusión.
8. El administrador nota una actividad sospechosa y descubre el ingreso no autorizado.
9. El administrador entra como el root real y analiza el cuerpo de la evidencia del TCT.
10. El administrador utiliza el netcat, para mover la evidencia obtenida a un servidor remoto para analizarla.
11. El analista forense corre el sistema experto prototipo en el cuerpo de la evidencia.
Identificación de nuevas redundancias semánticas, como el registro de aplicaciones populares y registro de sistemas operativos, pueden crear un modelo más realista, de las operaciones del sistema. El desarrollo de técnicas para determinar el comportamiento de artefactos digitales, dejados por programas es importante para la computación forense. La aproximación presentada en esta pagina muestra que es posible responder útiles cuestiones forenses, mediante el uso de datos de mecanismos comunes, que no fueron diseñados para la seguridad y que esto es posible de hacer sin tener una preparación previa al ataque. El análisis pos-facto es una aproximación extensible, que puede evolucionar a mayores relaciones semánticas de datos específicas a abstracciones de aplicación, redes y servidores. Sin embargo es posible que, a la mínima información requerida no exista para resolver un crimen, aun así un atacante siempre deja huella.
Cuando una persona accede sin autorización a una computadora existen pequeños factores, que delatan su intrusión, la detección de un ataque se facilita por que el intruso siempre modifica el estado del sistema, lo mas cercano que pude realizar para ocultar su presencia es dejando el sistema en una copia del estado inicial. Cuando se analiza un sistema atacado se pretende encontrar las incongruencias que este presente, de forma tal que permita identificar las áreas afectadas por el atacante
La forma más simple mediante la cual un atacante accede a un sistema y borra las huellas de su ingreso es mediante el uso de rootkits, estos programas permiten ocultar procesos dentro de otros, y modifican los registros de ingresos al sistema, haciendo pasar al atacante por un usuario válido dentro del mismo.
Existen formas de investigar y rastrear un ataque, analizando los archivos que han sido modificados, al analizar la fecha de modificación de los mismos, estos deberán concordar con la fecha de ingreso de un usuario autorizado a ejecutarlos. Aunque esta es una simplificación de un proceso de detección de intrusiones, existen otras excepciones válidas que pueden ser añadidas a la base de conocimiento de un sistema experto. A medida que se añada más experiencia codificada y automatizada, el tiempo de un experto analista forense se puede utilizar para atender situaciones más novedosas.
En este esquema lo que se propone es utilizar un conjunto de programas de computo forense que permiten obtener los metadatos de los programas más importantes de un servidor, codificarlos en un documento xml, el cual luego será analizado por el JESS con el objetivo de buscar incongruencias dentro del mismo, buscando patrones de intrusión.
Escenario Hipotético
Un intruso ha accedido al sistema capturando la clave del usuario root del mismo. Una técnica común para evitar la detección consiste en borrar las entradas del archivo syslog, y editar los registros del archivo lastlog para borrar sus huellas. Es en este momento cuando el atacante baja, compila e instala el modulo de kernel (LKM), en este caso el rootkit.
Mecanismo
El sistema afectado es una máquina Intel con un sistema operativo Debian en kernel 2.16, al cual se le va a instalar el Coroner's Toolkit (TCT), una herramienta de análisis forense, en conjunto con las librerías XML de Java, y el JESS, los cuales serán instalados en el prototipo.
Procedimiento
1. Instalar el TCT en el servidor víctima.
2. Simular una operación normal (actualizar paquetes, acceder y salir del sistema).
3. Asumir que el atacante obtuvo acceso usando un sniffer de redes y entra como root.
4. El atacante descarga netcat, y ejecuta una backdoor no autorizada y se sale del sistema.
5. El atacante utiliza el backdoor para obtener un acceso no autorizado y carga el rootkit.
6. El atacante compila y corre el rootkit escondiendo los directorios y procesos sospechosos.
7. Se simula una actividad de intrusión.
8. El administrador nota una actividad sospechosa y descubre el ingreso no autorizado.
9. El administrador entra como el root real y analiza el cuerpo de la evidencia del TCT.
10. El administrador utiliza el netcat, para mover la evidencia obtenida a un servidor remoto para analizarla.
11. El analista forense corre el sistema experto prototipo en el cuerpo de la evidencia.
Identificación de nuevas redundancias semánticas, como el registro de aplicaciones populares y registro de sistemas operativos, pueden crear un modelo más realista, de las operaciones del sistema. El desarrollo de técnicas para determinar el comportamiento de artefactos digitales, dejados por programas es importante para la computación forense. La aproximación presentada en esta pagina muestra que es posible responder útiles cuestiones forenses, mediante el uso de datos de mecanismos comunes, que no fueron diseñados para la seguridad y que esto es posible de hacer sin tener una preparación previa al ataque. El análisis pos-facto es una aproximación extensible, que puede evolucionar a mayores relaciones semánticas de datos específicas a abstracciones de aplicación, redes y servidores. Sin embargo es posible que, a la mínima información requerida no exista para resolver un crimen, aun así un atacante siempre deja huella.
