CLOUD FORENSICS (La Nube, Amazon y El Análisis Forense) _ ConexionInversa

2017-5-2 -5-23 3

CLO CLOUD FORE FORENS NSIICS (La (La nube, Amaz mazon y el análisi lisis s foren rense) ~ Con Conexion ionInvers versa a

Incident Response, Security and Incident Forensics" Search 12:16:00 p. m.

5 comments

Popular

Tag agss

Blo Bl og Ar Arch chiive vess

¿QUIEN SOY? Pedro Sánchez Cordero

Hola lectores lectores,, Ni que decir tiene las l as ventajas de vivir en la nube, pr ácticamente ácticamente todo se desarrolla bajo esta nueva forma de acceder a los dato s y aplicaciones, La irrupción d e estos servicios han cambiado la forma tradicional de trabajar y ahora los los datos se encuentran distribuidos en cientos o miles de servidores. El acceso universal, los datos al momento y el auge del ancho de banda nos permiten otras reglas del juego inimaginable hace unos años. La n ube no es algo nuevo es una reinvención (como muchas cosas d el mundo de la informática) recuerdo mis diez años diez años en banca y ya apreciábamos el concepto de nube. ¿Qué e s si no el dinero digital? Cuando haces un ingreso ing reso en tu oficina tus euros se reconvierten en c eros y unos y son distribuidos en di scos por el ciberespacio. Recuerdo que a finales de los años 90, los técnicos de Amazon se dieron cuenta que tenían una gran infraestructura pero que apenas utilizaban un pequeño porcentaje de su capacidad. Más t arde arde pre present sentaron aron los Servicios que hoy ya conocemos e inundando de conceptos como IaaS, SaaS, LaaS. Pero las ventajas son evidentes y están ahí, ahorro de costes de infraestructura, copias de seguridad, delegación en la continuidad de negocio, etc.

PROBLEMÁTICA DEL CLOUD Al h acer uso del cloud computing una p arte imp ortante de la seg uridad del sistema recae sobre l a empresa que provee los servicios en la nube y como no le aplica la LOPD y su reglamento., LSSI y el código penal en el

He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas y empresas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT), la Brigada de Investigación Tecnológica de la policía nacional (BIT), INTECO y Ministerio de Defensa. He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación OTAN SECRET. Actualmente soy miembro de la Spanish Honeynet Project, fundador del blog Conexión Inversa y trabajo como responsable del servicio de "incident response & DDoS protection" en Deloitte. También soy Perito Judicial Informático adscrito a la Asociación Nacional de Ciberseguridad y Pericia Tecnológica. (ANCITE).

caso de que estuviera en España. Pero ante un caso de fraude de los muchos que conocemos la cosa se puede complicar hasta extremos inimaginables.

Si quieres saber más sobre mi pulsa aquí

En el caso tradicional en el que el perímet perímetro ro estaba más o menos controlado tenía cabida el análisis forense de una forma exhaustiva, exhaustiva, pero ahora que el perímet perímetro ro se ha extendido hacia la nube nos deja un problema mayor mayor..

MI LISTA DE BLOGS Un informático en el lado del mal WordPress Latch Enforcement: Cómo forzar el uso de Latch a todos los usuarios de WordPress - La seguridad de un sistema es tan fuerte como lo es en el eslabón más débil. Esta es una frase que seguro que muchos conocéis. En un proceso de fortificaci... Hace 8 horas

SANS Computer Forensics, Investigation, and Response "Beats and Bytes - Striking the Right Chord

http://conexi oni nver sa.bl ogspot.com .ar /2012/10/cl oud- for ensi cs- l a- nube- am azon- y- el.htm l

1/7

2017-5-23

CLOUD FORENSICS (La nube, Amazon y el análisis forense) ~ ConexionInversa in Digital Forensics\u00c2\u00a0\u00c2\u00a0\u00c 2\u00a0\u00c2\u00a0\u00c2\u00a0\u00c2\ u00a0\u00c2\u00a0" - There is geometry in the humming of the strings, there is music in the spacing of the spheres. - Pythagoras DOWNLOAD PAPER HEREand see them perform at the ... Hace 1 día

Windows Incident Response Getting Started - Not long ago, I gave some presentations at a local high school on cybersecurity, and one of the questions that was asked was, "how do I get started in cybe... Hace 1 mes

Security By Default Reflexiones personales sobre #cazadoresdetrolls - Sin duda, una de las comidillas de la semana en el sector ha sido el programa "Cazadores de Trolls" que emitió anoche la Sexta. Recuerdo que a finales ... Hace 1 mes

En el caso de que los datos se encuentren en la nube y tengamos que analizar un caso de fraude nos vamos a

» Blog

encontrar con la siguiente problemática:

[Segunda edición] Curso presencial: DFIR y Análisis Forense en GNU/Linux (10 horas) - Ya avisábamos en la primera convocatoria del curso presencial de DFIR y Análisis Forense en GNU/Linux, que las plazas iban a volar… ¡Y así fue! Las 20 plaz...

No disponemos de control de datos No hay acceso a la infraestructura física Debemos de contemplar aspectos legales de la jurisdicción entre países y multipropiedad (Proveedor del servicio - Cliente)

Hace 4 meses

Falta de herramientas para ampliar la escala (Copia de discos, integridad ,análisis) Sistemas distribuidos y virtuales (y lo que es peor, compartidos con otras empresas ajenas al fraude) No hay interfaces estándar( ya que cada proveedor de l a nube utiliza los propios o APIs públicas) Normalmente no suelen cooperar (Normalmente requieren actuación judicial) Dificultades en la obtención de pruebas forense (Obtención de logs, explotación, evidencias dispersas)

Pentester.es Ataques Evil-Maid con Hibernación - He colgado la charla que di en la última RootedCon Valencia sobre la técnica de ataque Evil-Maid explotando el fichero de hibernación de Windows. Esta té... Hace 5 meses

Dificultad de constatar esas pruebas en los tribunales (Normalmente el proveedor del servicio utiliza sistema de almacenamiento distribuido y que cambia según necesidades) Por lo tanto podríamos decir que la visión tradicional de un caso forense está muy complicada en un entorno 'Cloud'. Para ello me vais a permitir poner un ejemplo que escenifique todo esto:

InfoSpyware Malwarebytes 3.1 - *Mas información:* Ver el manual de Malwarebytes AntiMalware en español (formato de texto) Realizar consultas en el Foro sobre el pro...

ADQUISICIÓN DE DISCOS EN LA NUBE DE AMAZON

Hace 5 meses

Consideremos un ejemplo, donde un ordenador se ha utilizado para planear un asesinato. Si la policía retira el

Neo System Forensics

disco duro para la realización de las imágenes, deben de confiar en su hardware clonador para leer el disco

Curso de introducción al hacking ético - Se trata de un documento que escribí yo mismo hará ahora algo menos de 2 años y que pretendía dar unas pi nceladas básicas acerca del mundo del pentesting y...

correctamente. Si se ejecutan herramientas forenses en el equipo en vivo, puede que tengan que confiar en la integridad del sistema operativo anfitrión, además del hardware. Es decir es una confianza limitada a sus aptitudes y equipamiento.

Hace 10 meses

Si el equipo sospechoso es alojado en la nube (por ejemplo en Amazon), se tienen que pedir permisos judiciales para su acceso, por lo que el tiempo se maximiza. Por otro lado las herramientas forenses que dispone la policía no son adecuadas para la clonación y a buen seguro que no se fían del proveedor del servicio para la ejecución de programas forenses en un caso tan delicado como es un asesinato. Entonces dado que el equipo está en Amazon, consideremos ahora cómo llevar a cabo una extracción del disco de IaaS de cloud computing, considerando las posibilidades que tenemos. Previamente debemos entender la nomenclatura que utiliza Amazon y de la cual he creado una diapositiva para su mayor comprensión de las definiciones S3, EBS, EC2 y AMI

http://conexioninversa.blogspot.com.ar/2012/10/cloud-forensics-la-nube-amazon-y-el.html

El diario de Juanito Webcast: Análisis de Malware con Sysinternals - Hola a tod@s! La semana que viene, más concretamente el martes 24 de Julio a las 16:00, tendré el gusto de dar otro Webcast sobre análisis de Malware orien... Hace 4 años

eCrime experiences %%TITLE%% - %%CONTENT%% Related posts: 1. Hello world! 2. %%TITLE%%

2/7

2017-5-23

CLOUD FORENSICS (La nube, Amazon y el análisis forense) ~ ConexionInversa

octubre (2)

El paso principal una vez ya iniciada la sesión en Amazon Web Services, es analizar una copia del volumen, o una instantánea. En Amazon los discos duros virtuales son llamados Elastic Block Storage (EBS) y los volúmenes Simple Storage Service (S3), y aunque no están disponible para su descarga podemos hacer lo siguiente.

POSIBILIDAD 1 Crear una instantánea de una unidad


3/7

2017-5-23


Una vez creada la instantánea, crear un volumen sobre ella, adjuntar el nuevo volumen como solo lectura y luego crear una imagen de disco del volumen que en este caso podría ser descargado. Para ello podemos emplear la siguiente secuencia de comandos: # ec2-bundle-vol-k -c -u

NOTA: El es el archivo que contiene la clave privada, es el archivo que contiene el certificado y es el ID asociado con su cuenta de AWS.

POSIBILIDAD 2 La segunda posibilidad es para separar el volumen del host que se investiga, adjuntarle a una instancia en EC2 Linux, y utilizar una copia de bajo nivel (por ejemplo la herramienta dd ) para crear una copia que puede ser almacenado en S3 y en última estancia descargarlo. Una vez que disponemos del disco su examen es idéntico al que haríamos con nuestras herramientas de toda la vida. Por otro lado como nos podemos conectar por SSH o RDP en Windows podemos utilizar volcados de memoria a disco o procesos en concreto.

POSIBILIDAD 3 Amazon ofrece un servicio (AWS) para exportar datos de S3 en un dispositi vo físico y enviarl o al solicitante. Extrae y transfiere los datos a dispositivos de almacenamiento utilizando la red interna de alta velocidad de Amazon, sin tener que pasar por Internet. El cliente debe proporcionar el dispositivo de almacenamiento y se cobra entre 80$ y 140$ (depende el tamaño) por dispositivo de almacenamiento utilizado. Además 2,49$ de datos por hora. La petición se realiza desde el panel de control y se genera lo siguiente durante la realización del proceso AWS guard a un informe del registro de exportación en su compartimento de registro específico. El informe contiene información por archivo, que incluye la fecha y la hora de la transferencia, la situación de su dispositivo de almacenamiento, la suma de comprobación de HASH y el número de bytes. El problema es que no manda un clonado de disco tan solo los datos copiados.

OTRAS POSIBILIDADES - UTILIZANDO FTK En este caso lo mejor es utilizar una suite de herramientas que permitan el volcado del disco para su posterior análisis. Hemos utilizado la suite FTK de Accesdata y más en concreto RDMS (Remote Data Mounting Services) que permite la capacidad de adquirir una imagen forense de una unidad remota física o lógicas. Como curiosidad la transmisión utiliza SSL para el envío de datos entre el agente y el equipo del analista. Los pasos son sencillos:


4/7

2017-5-23


Añadiendo el agente

Añadiendo la ip y el puerto del agente

Instalación

Objetos que se pueden recopilar


5/7

2017-5-23


Adquisición de imágenes y generación de huella

Una vez seleccionadas las opciones empieza la transferencia a nuestro equipo desde la nube. El tiempo de transferencia es considerable dependiendo del ancho de banda. Cuando tengamos el disco es cuestión de aplicar nuestras técnicas de análi sis.

FORENSICS CAPABILITY MODEL No nos asustemos, no he inventado un estándar, solo que el titulo me ha parecido correcto dado que visto como evoluciona el servicio informático habrá que diseñar un conjunto de estrategias para que proveedores del servicio y clientes puedan disponer de un framework donde tenga cabida el análisis forense y poder determinar pistas en caso de fraude. Desgraciadamente muchas de las herramientas que disponemos del estilo 'open source' dejarán de tener uso al no disponer de control de los routers, cortafuegos o simplemente los logs de acceso. Deberemos de tener una política clara en la parte legal y en la parte de la empresa habrá que pensar que la fuga de datos es más sencilla que nunca. Por lo tanto, es conveniente: Disponer de un sistema centralizado de logs de infraestructura y logs de aplicación. Un sistema de análisis de eventos basado en la información proporcionada por los logs Un sistema de patrones e inteligencia Tecnología DLP para el puesto de trabajo y dispositivos móviles Procedimientos para empleados y proveedores del servicio Procedimientos legales y técnicos para la adquisición de datos o di scos en la nube y/o su cadena de custodia Procedimientos de cifrado de la información a subir a la nube y de borrado seguro de estos una vez que no se necesitan. Mientras tanto deberemos de hacer una reflexión y pensar si los que nos suministran servicio en la nube cuentan con medidas de seguridad fiable s. De lo contrario, el servicio perderá a todos sus clientes. Está en su interés emplear las técnicas más avanzadas para proteger los datos de sus clientes ya que el próximo fraude que está por llegar esta en la nube. +8 Recommend this on Google

Entrada más reciente

Página principal

Entrada antigua

5 comentarios: santiago navarro jorro says: 4 de octubre de 2012, 15:28

Muchas gracias por esta guía de actuación Pedro. Como siempre muy bien explicado, de forma práctica y clara. Santiago Reply

Diego Espitia says: 4 de octubre de 2012, 16:28

Pedro como siempre geniales tus entradas, que buena explicación y visión sobre los procesos forenses en cloud, que son cada día más comunes y más complejos por todo lo que implican Reply


6/7

2017-5-23


Javier Pagès López says: 6 de octubre de 2012, 19:43

Muy buen artículo. Reply

Unknown says: 6 de octubre de 2012, 20:13

Una gran solución para una tremenda nueva problemática. Reply

Sergio Murcia says: 17 de diciembre de 2012, 12:04

Muy bueno el comentario!! Reply

Publicar un comentario

ME PUEDES ENCONTRAR EN:

CONTACTA CONMIGO Envía un email a [email protected]

Grupo de Delitos Telemáticos de la Guardia Civil

Conexión Inversa en Twitter Pedro Sánchez en Linkedin

Brigada de Investigación Tecnológica de la Policía Nacional Asociación Nacional de Peritos Judiciales Informáticos

Copyright © 2011 ConexionInversa | Powered by Blogger

Design by Free WP Themes | Bloggerized by Lasantha - Premium Blogger Themes | Exchange Hosting


7/7

CLOUD FORENSICS (La Nube, Amazon y El Análisis Forense) _ ConexionInversa

Recommend Documents