¿que me has hecho?

2 de enero de 2009

Hace unos meses tuve la desgracia a asistir a un clonado de disco para un análisis forense de un ordenador de una persona. La cosa pintaba mal porque estaba presente un notario, un abogado, un clonador y el usuario del ordenador.

Fueron un par de horas interesantes. La idea del análisis forense es clonar exactamente el disco "atacado" y analizarlo desde el exterior. Es decir nunca se arranca el ordenador o servidor atacado, sino que se saca el disco, se clona y se analiza byte a byte buscando cadenas de texto o navegando por los archivos.

Aunque no estoy muy puesto en el tema hay dos maneras de enfocar el análisis y dependiendo de los que estamos buscando. La primera es si el disco ha sido atacado por un hacker, en cuyo caso tenemos via libre para extraer toda la información que necesitemos para hacer el análisis. Otro caso, que fue el mio, es si el análisis es para buscar cierta información dentro de un ordenador personal de un usuario (aunque este ordenador sea propiedad de la empresa). En este caso el análisis forense no puede realizarse libremente rastreando el disco ya que es posible encontrar información personal del usuario y en este caso se estaría cometiendo un delito (segun la legislación española). En este caso el clonador debe saber exactamente las "palabras clave" que tiene que buscar (la empresa debe tener estas palabras clave porque tiene sospechas). Si el clonador abre un fichero (delante de un juez) y luego resulta que es información personal, se estaría cometiendo un delito.

Si el disco ha sido crackeado, el análisis es siempre más divertido ¿no?. Aquí dejo un par de PDFs muy interesantes de un reto de análisis forense real de RedIris y de la metodología y pasos que se siguen para llegar a la conclusión de que un hacker ha entrado por un bug en el servidor de FTP, ha instalado un rootkit y ha utilizado el servidor para añadirlo a su lista de botnet.

PDF 1 y PDF 2


También pongo una foto de una maquina parecida a la que se utilizó para clonar el disco. La maquinita no es más que una caja de zapados donde se le pincha el disco origen y el disco copia, empieza a copiar y al finalizar crea un hash para ver que los discos son exactamente iguales.

Más información:
+ Botnet
+ Maquinita clonadora
+ Reto forense de RedIris