Es una realidad que cada
vez está más instaurado en nuestra sociedad el cybercrimen y es por
eso que de forma paralela crece la necesidad de evolucionar entorno a
la investigación de incidentes de seguridad. La Informática forense
nació como una herramienta clave en los procesos judiciales a causa
de la necesidad de aportar pruebas de ámbito tecnológico que
demuestren , ya sea como objetivo final, o como medio , que se ha
cometido una infracción de seguridad por parte de un intruso y en la
mayoría de los casos, un cybercrimen. Evidentemente la informática
forense va mucho más allá de el ámbito judicial, y son muchas las
empresas que estñan haciendo uso de esta técnica a nivel profesional.
El análisis de la memoria volátil (RAM) combinado con
los tradicionales de memoria persistente es una opción muy robusta y
que puede ayudar en gran medida a responder las principales preguntas
que se formula el analista y por tanto la organización
- que
- cuando
- donde
- quien
- como
- porque
Los análisis de memoria
volátil tiene diversas ventajas. Principalmente reducen el volumen
de datos a investigar pero también nos revela trazas importantes
como la información de procesos en ejecución o conexiones activas
de red, además, aprovechar la RAM nos permite contrarrestar técnicas
anti-forenses.
El auge del crecimiento
de dispositivos con sistemas Linux o basados en el kernel del mismo
(por ejemplo Android) ha echo aumentar el numero de ataques a estos
sistemas, y por tanto, en consecuencia, aumenta también la necesidad
de combatir estos ataques..
El proceso se divide en
3 partes, primero
- Volcado de Memoria (Conseguir una imagen completa de la memoria RAM).
- Análisis de la Memoria (a partir de diversas herramientas, el investigador puede analizar la memoria obtenida en el paso anterior).
- Conclusiones (donde se establecen las respuestas a las preguntas iniciales que el investigador persigue responder).
Vamos ahora a repasar
estas tres fases empezando por el volcado. El módulo del kernel fmem
crea un nuevo pseudo-dispositivo en tiempo de ejecución en /dev/fmem
lo cual es una gran ventaja sobretodo en clientes que necesiten que
la actividad empresarial no se pare y se obtengan los datos
necesarios para el análisis forense en tiempo real y a partir de ahí
pueda seguir con normalidad el funcionamiento de la empresa. Crash y
volatility son dos módulos kernel para este propósito y para
sistemas android podemos disponer de la herramienta de volcado LIME,
para hacer un volcado de la memoria volátil en la tarjeta SD o sobre
la red local. Me ha parecido una gran solución el volcado desde
máquinas virtuales, ya que es cierto que pausando la maquina se
puede obtener el volcado de memoria que existía en ese preciso
instante y además, está a la orden del día el exponencial uso de
servicios cloud, con el respectivo aumento del uso de maquina
virtuales en la nube y susceptibles de poder ser atacadas. Si la
evolución de los entorno SAAS y cloud computing sigue en auge el
volcado de memoria se podrá simplificar en un futuro.
Bajo mi punto de vista la mejor herramienta en la fase de Análisis es Volatility, la herramienta utilizada como
testing , y parece que los resultados que ofrece son
excelentes, siendo considerada la mejor herramienta para el análisis
de RAM en Linux. Volatility ofrece unos 35 plugins diferentes, de los
que por ejemplo destacan la posibilidad de mostrar las conexiones
activas de red o mostrar todos los módulos de kernel cargados. Por ejemplo, analizando y generando el volcado de
memoria de la imagen de disco victoria-v8.sda1.img se observó como
el intruso utilizó netcat para transferir datos por la red e incluso
se identifica su ip gracias al plugin linux_netstat.
Definitivamente podemos
afirmar que existen herramientas
de mucha utilidad para realizar análisis forense de un sistema
informático. Después de los datos aportados considero que es básico
poder realizar el volcado/análisis de memoria Ram y que tiene muchas
ventajas y aceleran el proceso de investigación.