Vamos a ver en esta nueva clase de seguridad, la forma de poder obtener datos de sistemas Linux y Windows.

forencia

Antes que nada vamos a intentar definir que es la informática forense:

“La informática forense también conocida como computo forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.”

Análisis forense de Linux.

Los administradores de sistemas linux deben conocer que es lo que sucede en el sistema, para poder lograrlo nos vamos a valer de los logs.
Log: es un archivo de texto plano, donde se guarda la información de cada suceso que ocurre en un equipo. Estos archivos de Logs se guardan por lo general en “/var/log” donde hay una extensa lista de archivos que guardan información.

Comandos para ver los logs

El más común es tail muestra las últimas 10 líneas del archivo
tail /var/log/messages
Ver las últimas 20 lineas
tail -n 20 /var/log/messages
Abrir el fichero en pantalla y dejarlo abierto para que se vaya actualizando automáticamente
tail -f /var/log/messages
Si queremos ver al instante todo lo que esta pasando en nuestro sistema, solo hay que añadir los logs que queramos monitorizar al siguiente comando:
tail -f –retry /var/log/syslog /var/log/auth.log

Veamos una pequeña lista de logs y que guardan:

  1. /var/log/messages: Los generales, organizados por categorías, información (info), notificación (notice) o aviso (warn).
  2. /var/log/kern.log: Logs del kernel.
  3. /var/log/auth.log: Logs de autenticación, tanto de inicio de sesión en el servidor como de escalada de privilegios (su).
  4. /var/log/dmesg: Logs con información de arranque del sistema y conexiones de hardware principalmente.
  5. /var/log/debug Información de depuración de los programas.
  6. /var/log/Xorg.0.log Información sobre el entorno gráfico.
  7. /var/log/mail.log Logs del servidor de correo.
  8. /var/log/boot.log Información del arranque
  9. /var/log/dmesg Información de arranque del sistema y conexiones de hardware principalmente.
  10. /var/log/user.log – Contiene información acerca de todos los logs a nivel de usuario.
  11. /var/log/cups – Contiene información sobre todo lo relacionado con las impresoras.
  12. /var/log/cron – Cada vez que el daemon cron (o anacron) inicia un trabajo, registra la información acerca de dicho trabajo en este log.

Otro comando es less, que nos permite visualizar el archivo y hacer scroll si el archivo es muy grande:
less /var/log/messages

Análisis forense de Windows.

Vamos a ver algunas herramientas y la forma de recolectar datos de un determinado sistema windows.

Una de las Herramientas para chequear el comportamiento del sistema es el comando eventvwr (visor de eventos). Que nos dará información detallada de los programas, accesos al equipo, instalaciones, etc. En windows 7 se ve un detalle bien extenso de lo que ocurre en el sistema. Para ejecutarlo, vamos a inicio y colocamos visor de eventos o eventvwr.

Otra herramienta es el “historial de confiabilidad“, que muestra un detalle de todo lo que se instala, errores, y mucha info.

El comando Tasklist, nos dará un detalle de las tareas que se están ejecutando en el sistema, este comando se accede desde una consola, si queremos ver la parte gráfica hay que iniciar el administrador de tareas. Cabe recordar que con taskkill se puede matar cualquier tarea que este corriendo.

El comando net statistics server -> permite recuperar informacion acerca del uso de la red, como la cantidad de información enviada y recibida, cant de archivos a los que se tuvo acceso, sesiones aceptadas, etc. Se usa por consola y tenemos las opciones

  • net statistics server
  • net statistics workstation

Comando sc, nos da info de servicios activos, y se puede detectar los que son extraños.

El comando msinfo32 se pueden ver datos de configuracion de hardware y software, conexiones, procesos, etc.

Netstat muestra conexiones abiertas en un equipo, sirve para analizar backdoors.

Systeminfo.exe da mucha información de un equipo, desde la versión de sistema, ubicación de las carpetas principales de windows, fecha de instalación del sistema, dominio, etc.

Vamos a ver ahora algunas opciones más del comando net:

  • net view : nos muestra informacion de los equipos de nuestro grupo de trabajo o dominio
  • net niew /domain : nos muestra los distintos dominios
  • net view /domain:workgroup seleccionamos un grupo o dominio para ver que equipos tiene.
  • net view PC para ver que esta compartiendo

Algunas opciones del comando nbtstat

  • nbtstat -n vemos a que recursos estan conectados, los valores hexadecimales dicen que servicio tiene buscar tabla
  • nbtstat -c con valores exadecimales y direcciones IP
  • nbtstat -R borra la tabla que generamos, dado que el comando almacena en el cache
  • nbtstat -a pc01: para obtener los valores hexa, tabla y macaddress

Saludos

Deja un comentario