Seguretat informàtica (ETSE – UV) | Ximo Casanova

Tema 3: detecció i tractament

d’instruccions.
1. El procés de seguretat. POLÍTICA DE
PREVENCIÓ
SEGURETAT
El procés de la seguretat és un procés continu
de 4 fases.

1.1. Política de seguretat. RESPOSTA DETECCIÓ

L’establiment d’una política de seguretat
requereix: Il·lustració 1. El procés de seguretat.

• Anàlisi de les necessitats de seguretat.

• Anàlisi de riscos.
• Anàlisi de costos i beneficis.
• Creació d’una normativa per a l’organització.
• Establiment de rols i responsabilitats.

1.2. Prevenció.
La prevenció requereix:

• Configurar adequadament el sistema per protegir-lo dels atacs coneguts:

• Instal·lar el mínim possible (versions recents).
• Instal·lar els pegats disponibles.
• Inicialment, denegar tots els permisos i anar permetent-los a poc a poc.
• Habilitar el màxim nivell de registre possible.
• Preparar-ho per a detectar i respondre a atacs:
• Definir el comportament esperat.
• Identificar la informació necessària.
• Gestionar els mecanismes de recopilació d’informació.
• Seleccionar, instal·lar i comprendre les eines de resposta.
• Dissenyar els procediments d’actuació.

1.3. Detecció.
La detecció requereix monitorar el comportament i analitzar la necessitat de canvis:

• Detecció del comportament anòmal.

• Avisos externs de vulnerabilitats.
• Disponibilitat de nous pedaços (patch).
• Disponibilitat de noves versions de software.

1
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

1.4. Resposta.
La resposta consisteix a recuperar el funcionament normal del sistema:

• Establir l’abast del dany i contenir els efectes.

• Eliminar la possibilitat de noves intrusions.
• Tornar el sistema al seu comportament normal.
• Aprendre per millorar la seguretat del sistema.
• Comunicar-se amb altres grups afectats.
• Reunir-se per identificar i establir les lliçons apreses.
• Actualitzar polítiques i procediments.
• Actualitzar la configuració de les ferramentes i seleccionar-ne de noves.

2
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

2. Detecció d’intrusions.
La detecció d’intrusions consisteix a detectar accessos o comportaments no desitjables amb la
finalitat de:

• Poder corregir errors de funcionament o configuració.

• Per actuar a temps davant d’un intrús o atac.

Necessita seguretat en profunditat perquè siga possible reaccionar a temps, i per això,
s’implementen barreres de contenció:

• Usuaris amb privilegis limitats.

• Nodes amb accés limitat.
• Segmentació de la xarxa corporativa.

2.1. Sistema de detecció d’intrusos.

Un sistema de detecció d’intrusos (Intrusion Detection System, IDS) és una eina que alerta
de possibles intrusions. Les seues funcions són:

• Monitorar el comportament del sistema.

• S’activa en cas d’activitat sospitosa i alerta de l’activitat o la registra amb missatges
a consola, registres, correus electrònics...
• Informa sobre el seu propi estat.

És una eina que pot iniciar la resposta i canviar la configuració del sistema (resposta activa).
Per detectar intrusions, cerca:

• Anomalies, desviacions davant del comportament esperat.

• Firmes, accions o elements coneguts.

Té certes limitacions, com:

• Falsos positius i falsos negatius.

• Tècniques d’evasió d’IDS.
• La mateixa seguretat de l’IDS.

2.1.1.Tipus d’IDS.

HIDS.
Els HIDS són IDS de node (host-based IDS) que monitoren l’activitat del sistema on estan
instal·lats.

NIDS.
Els NIDS són IDS de xarxa (network IDS) que monitoren l’activitat de les xarxes a què
estan connectats.

Pots de mel.
Els pots de mel (honeypots i honeynets) creen entorns trampa, dissenyats per ser
atacats.

3
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

3. HIDS.
Els HIDS tenen l’objectiu d’enfortir el node, perquè:

• Configuració per defecte no sempre és bona.

• Redueix esforços posteriors.

Algunes accions recomanables són:

• Treure o deshabilitar programes no necessaris, comprovant:

o Els ports oberts (ss, nmap).
o Les connexions establertes (ss).
• Limitar accés a les dades i fitxers de configuració (chmod, chown, chgrp...).
• Controlar usuaris i privilegis (drets d’accés, su, sudo, suid, setgid...).
• Mantenir registres de seguretat
• Aplicar patches.

3.1. Components de la defensa del host.

Per a defensar un host, s’han de tenir en compte els següents elements:

• Configuració adequada.
• Antivirus.
• Host firewalls.
• Host IDS (OSSEC).
o Sistema de fitxers (aide, tripwire).
o Logs.
o Connexions de xarxa.
o Rootkits.

3.2. AIDE.
AIDE (Advanced Intrusion Detection Environment), quan s’instal·la, genera resums dels
fitxers del sistema i emmagatzematge en una base de dades (realitza una imatge de la
situació inicial de la màquina).

A mesura que passa el temps, va comparant els resums amb els de referència i notifica de
canvis amb l’objectiu de detectar modificacions en un sistema de fitxers. Funciona sobre
Linux o FreeBSD, entre d’altres. Els resums que elabora són en CRC32, MD5, SHA1,
SHA256, SHA512… Algunes característiques són:

• Configurable.
• Open source.
• Depèn de la integritat de la base de dades.

4
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

3.3. OSSEC.
OSSEC (Open Source HIDS SECurity) és un sistema HIDS gratuït i de codi obert basat en host.

3.3.1.Funcions.
Realitza les següents funcions:

• Anàlisi de registres i logs.

• Comprovació d’integritat.
• Detecció de rootkits.
• Alertes basades en seqüències temporals.
• Resposta activa.
• Filtrat de paquets (tcpwrappers).

3.3.2.Funcionament.
Hi ha dues formes de funcionament: local i servidor.

Local.
El funcionament local s’usa en el host que serà protegit.

Servidor.
El funcionament del servidor s’empra els hosts, mitjançant agents, que envien
esdeveniments a un servidor que analitza. El conjunt és més senzill de configurar i
administrar. La comunicació xifrada amb autenticació d’extrems (genera una clau en el
servidor que s’utilitza per a l’agent).

5
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

4. NIDS.
Els NIDS (Network IDS) són sistemes de detecció d’intrusos en la xarxa. Tenen les següents
funcions:

• Monitoren l’activitat de la xarxa (analitza capçaleres i contingut).

• Detecció d’anomalies, a través de:
o Anàlisi d’estadístiques (trànsit anormal).
o Anàlisi de protocols (trànsit que no encaixa al protocol).
• Detecció de signatures, és a dir, patrons que identifiquen un intent d´intrusió.
• Identifica febleses i vulnerabilitats.
• Reduir o eliminar el risc.
• Audita seguretat.
• Cerca violacions de política de seguretat.
• Detecta atacs interns.
• Des de la nostra pròpia LAN.

Principalment, s’usa per a la gestió d’incidents, l’anàlisi forense i el complement d’altres

sistemes.

DESAVANTATGES
 Falsos positius i falsos negatius.

4.1. Ubicació de sensors.

S’empren múltiples sensors, cosa que permet ajustar cada sonda al tipus de trànsit del
segment on s’ubica així com permet tolerar errors (d’un dispositiu, d’una configuració...). El
dispositiu de filtratge pot ser:

• Externs, proporcionen més informació.

• Interns, generen menys falsos positius.

Altres característiques dels sensors són:

• Canals xifrats (per exemple, VPN), amb anàlisi de capçaleres, volum de trànsit…
(HIDS en l’equip que xifra/desxifra).
• Trànsit molt intens, poden quedar paquets sense analitzar.
• Xarxa commutada, assegurar la visibilitat del trànsit per a l’IDS.
• Xarxa per a la gestió d’IDS, que ho fa més difícil de detectar i atacar i evita que les
sondes processen el trànsit de l’IDS.
• Seguretat dels sensors.

6
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

4.2. Limitacions.
Les limitacions dels NIDS són:

• No tot és observable, com:

o Esdeveniments en altres xarxes.
o NIDS no operatiu.
o Paquets descartats.
• No tot és analitzable a causa de factors humans, com:
o Limitacions de l’usuari.
o Limitacions dels Centres de Resposta davant d’Incidents.
• Els atacants usen tècniques d’evasió, com:
o Comprovació de les regles estàndard.
o Divisió del trànsit en paquets i fragments.
o Codificació evasiva.

4.3. NIPS.
El NIDS sols s’encarrega de la detecció:

• No està en el flux de paquets de xarxa.

• Si es veu desbordat, l’encaminament pot continuar.

En canvi, NIPS (Network Intrusion Prevention System) s’encarrega de la prevenció:

• Ha d’estar al flux de paquets de xarxa.

• Deixa caure o rebutja paquets sobre la base de regles similars a NIDS.
• Els paquets maliciosos no arriben a la seua destinació.

La resposta activa inclou la detecció i la reacció. El tipus de respostes poden ser:

• Eliminant trànsit.
• Desconnectant sessions.
• Reconfiguració de tallafocs.

Tot i això, quan es reacciona pot ser massa tard (per exemple, en cas d’atacs d’un únic
paquet), ja que els paquets continuen passant fins que la resposta és efectiva.

7
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

4.4. Suricata.
Suricata pot actuar com a NIDS i com a NIPS que conté un conjunt de regles. A més, és
Open Source i gratuït (algunes regles són de pagament).

4.4.1.Formes de funcionament.

NSM.
NSM llegeix paquets de la xarxa, però amb la detecció deshabilitada. Realitza captures
del trànsit (en format pcap) per a una anàlisi posterior amb el registre de peticions HTTP,
certificats TLS i fitxers.

NIDS.
NIDS analitza el trànsit i fa accions sobre la base de configuració.

Inline.
Inline és de tipus NIPS, obté els paquets d’IPTABLES i els accepta o rebutja.

4.4.2.Característiques principals.
Les característiques principals de Suricata són:

• Descodificació de paquets.
• Processament TCP i IP amb:
o Desfragmentació d’IP.
o Fluxos TCP.
o Descodificació de protocols d’aplicació.
• Detecció d’intrusions amb:
o Paraules clau de protocols d’aplicació.
o Expressions regulars (múltiples algorismes).
o Fitxers (magic, mida, nom i extensió, MD5…)
o Perfilat (profiling) i posada a punt (tuning).
• Mòduls de sortida com:
o Eve (JSON) amb fàcil integració (ELK).
o Syslog.
o Registre de trànsit amb PCAP.
o Registre d’HTTP, TLS i DNS.
o Extracció de fitxers.
o Registre d’alertes (fast log).
• Altes prestacions:
o Nombre de fils configurable.
o Suporta la configuració d’afinitat al processador (CPU affinity settings).
o Accés exclusiu de gra fi i operacions atòmiques (major paral·lelisme).

8
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

4.4.3.Com a NIDS.
Com a NIDS, realitza les següents accions:

• Analitza el trànsit i realitza accions sobre la base de configuració, com:

o Definir la teua xarxa (HOME_NET).
o El que no és la teua xarxa (EXTERNAL_NET: “!$HOME_NET”).
o La teua llista de servidors (HTTP_SERVERS: “$HOME_NET”).
o Grups de ports (HTTP_PORTS: “80”).
o Regles que s’aplicaran en la carpeta /etc/suricata/rules.
o Sortides.
• Arrencada.

4.4.4.Com a NIPS.
Com a NIPS, realitza les següents accions en línia (Inline), accepta paquets des
d’IPTABLES i utilitza noves regles per indicar a IPTABLES què fer amb el paquet.

• Tot el tràfic que passa per l’exta (FORWARD) serà analitzat per Suricata.
• Tot el tràfic que entra a l’exta serà analitzat per Suricata.

9
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

5. Honeypots.
Els honeypots són una trampa amb tres funcions:

• Atraure.
• Simular.
• Contramesures.

Hi ha diferents tipus d’enemics:

• Atacants genèrics o amb pocs coneixements.

• Atacants específics.

Hi ha diferents tipus de honeypots:

• Protegir quelcom.
• Aprendre de l’atac.

És important conèixer els motius de l’atacant.

AVANTATGES DESAVANTATGES
 Tot el que ocorre és sospitós.  Clau i missatge d’igual extensió.

 S’obtenen més dades dels atacants.  Sols captura el que va a ells.

 Eficient en ús de recursos.  Qualsevol error revela que es tracta

d’una trampa.

 Simplicitat.  Podrien ser un risc si són

compromesos.

 Bona relació cost / benefici.

10
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

5.1. Categories.
Es classifiquen segons el nivell d’interacció amb la necessitat d’un compromís entre:

• El que ha de fer el honeypot.

• El que un atacant pot fer.
• La informació que es pot obtenir del honeypot.

5.1.1.Poca interacció amb l’atacant.

Els honeypots que permeten poca interacció amb l’atacant:

• Fàcils de configurar i mantenir (disseny simple).

• Poca informació proporcional (hores i dates, origen i destinació de l’atac).
• La funcionalitat bàsica és la detecció.
• Hi ha poca probabilitat de què quelcom estiga malament i siguen detectats.
• Representen un risc baix.

Un exemple són els servidors telnet o FTP emulat amb unes poques interaccions inicials
i un prompt per a iniciar sessió i capturar els intents. No hi ha un servidor real darrere.
Els exemples més comuns són:

• Dionaea.
• Heralding, especialitzat a assolir credencials.
• Honeytrap, és una plataforma de codi obert per a honeypots (execució,
supervisió i gestió de múltiples honeypots en múltiples sistemes operatius).

5.1.2.Molta interacció amb l’atacant.

Els honeypots que permeten molta interacció amb l’atacant:

• Difícils de configurar i mantenir.

• Proporciona molta informació.
• Veiem el que realment fa l’atacant.
• S’aprèn de l'atacant.
• Pot representar un risc si són compromesos.
• Accedeix a un entorn operatiu real (no es tracta d’una emulació).

11
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

5.2. Casos d’exemple.

5.2.1.Cas d’exemple: Dionaea.

Dionaea és un honeypot de baixa interacció, especialitzat en captures de malware i
disponible per a múltiples serveis (TCP, UDP, TLS, IPv4, IPv6...). Convé reduir el registre
(per evitar missatges de depuració).

5.2.2.Honeynets.
Honeynets és un honeypot d’interacció extrema, que proporciona a l’atacant sistemes
operatius complets que poden ser atacats (un o més), sent instal·lacions reals. Conté
diversos sistemes en una xarxa altament controlada amb la intenció de què siguen
atacats i compromesos.

La dificultat i el problema radica en el control de la xarxa, ja que els sistemes

interconnectats són reals. El seu objectiu és aprendre del que fa l’atacant. Pot
proporcionar anàlisi de tendències d’atacs i, per tant, amb la informació reconeguda
poder precedir atacs.

No presenten els problemes dels sistemes clàssics de detecció d’intrusions, ja que:

• Es basa en una base de dades d’atacs o firmes d’atacs coneguts.

• Si un patró de comportament (un tipus d’atac nou) no concorda amb res de la
base de dades d’atacs es considera que no és un atac.
• No hi ha falsos positius.

Les respostes enfront d’un incident proporcionen informació reconeguda molt

important, útil per als reptes forenses. Contenen un banc de proves per a noves
aplicacions, sistemes operatius o mecanismes de seguretat.

Control.
S’ha d’evitar que l’atacant sortisca d’un entorn controlat amb un control de tota la
informació que entra i ix. Les respostes poden ser manuals o automàtiques.

Captura de dades.
Tota l’activitat de l’atacant (fitxers guardats i informació en temps real), ha de guardar-
se fora del honeypot.

Processament de dades.
El processament de dades permet l’agregació i correlació de tota l’activitat capturada.

12
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

6. Anàlisi forense.
L’anàlisi forense és l’aplicació de la informàtica i els procediments d’investigació per a un
propòsit legal que implica l’anàlisi de proves digitals després de la cerca adequada, cadena de
custòdia, validació amb matemàtiques, ús d’eines validades, repetibilitat, informes i possible
presentació d’experts. Es fa servir:

• Processos judicials (investigacions criminals o demandes civils).

• Espionatge.
• Investigació d’incidents de seguretat.

Es basa en el principi d’intercanvi de Locard (com la ciència forense tradicional), el qual estableix
que els atacants, en entrar o sortir de l’escena del crim, sempre es deixen alguna cosa a ella o
s’emporten alguna cosa amb ells.

6.1. El procés de l’anàlisi forense digital.

L’anàlisi forense conté una sèrie d’etapes:

• Recol·lecció d’evidències, per al processament i anàlisi de l’escena del crim.

• Cadena de custòdia, que inclou documentar tots els elements.
• Anàlisi d’evidències digitals, a tots els nivells (important la correlació):
o Dispositius.
o Xarxes.
o Dades.
o Aplicacions.
o Malware.
• Informe final, que inclou quina informació s’ha esbrinat i la seua justificació amb
una descripció del procés (s’han d’incloure detalls tècnics).

6.1.1.Recol·lecció d’evidències.
En la recol·lecció d’evidències cal tenir en compte:

• Assegurar l’escena del crim, per:

o Protegir davant d’accessos físics (per exemple, cintes de policia).
o Protegir davant d’accessos remots, i per això:
 Desconnectar de xarxes cablejades o sense fil.
 Aïllar elèctricament mòbils i altres equipaments telefònics (per
exemple, bosses tipus gàbia de Faraday)
• Documentar l’escena del crim (fotos i notes que descriguen que es troba i com).

L’ordre de volatilitat.
L’ordre de volatilitat (OOV) estableix que s’ha de donar prioritat aquella informació
més volàtil en la recol·lecció d’evidències.

13
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

Obtenció en viu.
Si la recol·lecció d’evidències es realitza en temps real, s’han de seguir els següents
passos:

• Obtenir dades volàtils aprofitant que està en marxa.

• Apagar-lo, a través d’un shutdown o estirar el cable d’alimentació.
• Pausar màquines virtuals (permeten clonar en viu).

El procés d’obtenció en viu ha de:

• Canviar, si es pot, l’estat (fer el procés sense interrupció i documentar-ho tot).

• Anotar, fotografiar o gravar en vídeo tot (data i hora del sistema, escriptori,
icones, aplicacions, llista de processos, de connexions establertes...).
• Obtenir imatge de la RAM.
• Apagar des del sistema operatiu (bolcar els canvis dels processos en disc).

AVANTATGES
 Obtenció d’evidències (processos
corrent, adreces IP, connexions
establertes, claus criptogràfiques,
malware...).
DESAVANTATGES
 La modificació del sistema pot la
invalidació d’evidències (es poden
produir canvis o la mateixa
interacció encara modifica més).

 Existeixen ferramentes òptimes

que ho permeten.

Tot i això, s’ha d’evitar estirar el cable, ja que pot destruir dades:

• Els processos no poden escriure

• El sistema de fitxers es pot malmetre.

Clonat de discos durs.

El clonat de discs durs consisteix en la còpia byte a byte de cada disc dur. La còpia de
fitxers i directoris només proporciona els objectes actuals, però no permet recuperar
objectes esborrats el que limita l’anàlisi.

• Permet que l’anàlisi siga reproduïble (l’original està intacte).

• Permet que l’original continue funcionant (cal certificar la còpia abans i fer una
segona còpia per a l’anàlisi).
• Protegeix davant d’errors de disc.

Hi ha diferents formes de fer el clonat:

• Al mateix ordinador amb un sistema operatiu net (per exemple, Live CD).
• Connectat a un altre ordinador o un dispositiu de còpia.

És important no modificar l’original (protecció física o lògica) així com que el destí estiga
net (s’escriu prèviament un patró). Els formats habituals són EnCase (.E01) o raw dd
(.001), entre d’altres.

14
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

6.1.2.Anàlisi d’evidències.
Les evidències poden ser diferents tipus:

• Dispositius (ordinadors, mòbils, tauletes, càmeres, encaminadors...).

• Dades (memòria, emmagatzematge, còpies de seguretat, traces de xarxa...).
• Arxius (PDF, documents de processador de text, correus...).
• Aplicacions (navegador, client de correu electrònic...).
• Malware.

Hi ha diverses capes d’informació, ja que fitxers, processos i connexions de xarxa estan

relacionats amb bits a memòria, trames de dades o bits emmagatzemats en discos. A
més, hi ha una diferència informàtica entre el nivell físic i el nivell lògic.

És important garantir la integritat de la informació, cercant inconsistències i tenint

diverses fonts d’informació per correlacionar les dades proporcionades.

6.2. Anàlisi forense de sistemes de fitxers.

Els sistemes de fitxers contenen la següent d’informació:

• Informació del sistema de fitxers (per exemple, superblocs).

• Assignació d’espai a objectes i blocs lliures.
• Correspondència entre noms i objectes en directoris.
• Metadades o atributs, com:
o Tipus d’objecte.
o Temps de modificació, accés, canvi d’atributs i naixement (MACb).
o Propietari, grup, permisos, mida, punters a les dades...
• Contingut dels objectes (fitxers, directoris, fitxers indirectes...).

6.2.1.Anàlisi de la informació del sistema de fitxers.

La informació del sistema de fitxers s’ha de mostrar, tenint en compte que, hi pot
haver informació encoberta (en camps no utilitzats o no essencials així com al final del
sistema de fitxers).

6.2.2.Anàlisi de l’assignació d’espai.

L’assignació d’espai s’ha d’analitzar prestant atenció a:

• Els blocs lliures que solen contenir informació del seu darrer ús.
• Fer esborrats segurs (wiping).
• Verificar que els sectors defectuosos ho són (les unitats defectuoses no s’usen).
• Anàlisi de consistència de tota la informació (per exemple, blocs no assignats
per cap objecte i no marcats com a lliures).

6.2.3.Anàlisi de metadades.
Les metadades poden ser interessants per analitzar la fragmentació interna (slack
space), és a dir, blocs assignats que no han estat fets servir completament. També s’ha
de prestar atenció a les metadades esborrades (poden mantenir atributs i punters) i els
blocs lliures.

15
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

Línia de temps.
La línia de temps permet ordenar els objectes per ordre temporal, tant els existents
com els eliminats. S’organitzen mitjançant l’estratègia MAC que els classifica segons han
estat modificats, accedits o canviats d’atributs.

Cerca.
La cerca serveix buscar per permisos, dates...

6.2.4.Anàlisi de noms.
L’anàlisi de noms permet cercar noms actuals o esborrats als directoris (esborrar un
àlies normalment no esborra el nom, sinó que el marca com a esborrat). A més, s’ha de
posar nom a les metadades i orientar la cerca (encara que els noms poden despistar).

6.2.5.Anàlisi d’altres zones especials.

L’anàlisi de zones especials, com el registre (journal) és habitual en sistemes actuals.
Permet reduir la comprovació del sistema de fitxers en arrencar i conté còpies d’accions
del sistema de fitxers, el que pot ajudar a detectar canvis recents en un sistema.

6.2.6.Anàlisi del contingut.

L’anàlisi del contingut del sistema de fitxers, siga espai assignat o lliure, permet:

• Cercar de patrons.
• Cercar de tipus de fitxers.

Té sentit ordenar per tipus (l’extensió pot mentir, millor file).

16
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

6.3. Eines d’anàlisi forense.

6.3.1.Eines d’anàlisi forense de pagament.

Generals.
Existeixen eines més generals, com:

• EnCase Forensic.
• ProDiscover Forensic.
• X-Ways Forensics.
• Oxygen Forensic Detective.

Específiques per a mòbils.

Existeixen eines específiques per als telèfons mòbils intel·ligents, com:

• XRY.
• Cellebrite UFED.

6.3.2.Eines d’anàlisi forense de codi obert.

Específiques.
Existeixen eines específiques com:

• The Sleuth Kit (TSK) i Autopsy, per a anàlisi de discos.

• Volatility Framework, per a anàlisi de memòria.
• Xplico, per anàlisi de traces de xarxa (obtenció de fitxers, pàgines, cookies...).

Distribucions de Linux.
Existeixen distribucions de Linux:

• SANS Investigative Forensic Toolkit (SANS SIFT).

• Computer Aided Investigative Environment (CAINE).
• Kali Linux.

17
 Seguretat informàtica (ETSE – UV) | Ximo Casanova

6.3.3.Autopsy.
Autopsy (Autopsy Forensic Browser) és una interfície gràfic basat en una llibreria (TSK)
que permet investigar un sistema de fitxers. Permet connectar diverses persones des
de diferents navegadors a un servidor.

L’anàlisi es realitza amb:

• El sistema aturat i mort des d’un entorn fiable.

• El sistema en viu des d’un CD.

Tècniques de cerca.
Les tècniques que empra per a cercar malware són:

• Analitza fitxers i carpetes incloent-hi el que s’ha esborrat

• Mostra el contingut de fitxers en diversos formats i permet extreure cadenes
• en un entorn controlat.
• Compara hash.
• Proporciona una línia de temps (modificació, accés i canvi de permisos).
• Analitza metadades de fitxers i carpetes per recuperar contingut esborrat.

Casos d’ús.
S’usa en:

• Seqüències d’esdeveniments.
• Protegeix la integritat de la imatge que s’està analitzant.
• Audita logs.

6.3.4.Volatility.
Volatility du a terme diferents accions:

• Tractament de:
o Imatges de memòria física.
o Dades de sistemes operatius hivernats (suspesos en disc).
o Instantànies de màquines virtuals.
• Facilita la cerca de:
o Claus de xifratge (per exemple, Truecrypt, PGP...).
o Mòduls del nucli del sistema operatiu.
o Rootkits.

A més, estén la seua funcionalitat amb plugins o extensions amb anàlisis elaborades
mitjançant programes Python.

18