Server Presentación Application Server Lógica de Negocio DB Server Recursos HTTP Request HTTP Response HTTP Req. | RPC Call HTTP Resp. | RPC Return Consulta SQL Set de Resultados Independientes o en el mismo Server
típicamente distribuidas • La evidencia no siempre reside en los mismos lugares • Los DBS tienen arreglos de disco muy grandes • Son críticas para el negocio y obtener imágenes no es siempre posible
en las que una Aplicación Web recae multiplica sus vulnerabilidades: • Infraestructura de Red Servidores Web Servidores de Base de Datos Sistemas Operativos de Servers • Browsers
Presentación Application Server Lógica de Negocio DB Server Recursos HTTP Request HTTP Response HTTP Req. | RPC Call HTTP Resp. | RPC Return Consulta SQL Set de Resultados Ataques contra el Web Server (Buffer Overflow) Ataques contra el App Server (XSS, Ataques a Sesiones) Ataques contra el DB Server (SQLi)
las aplicaciones con Logs ajustados, NO DEFAULT Protección de Evidencias Permisos a los archivos de Log Mantener los Logs fuera del alcance del Atacante Checksum para garantizar integridad de los Logs
no garantiza la recolección total de las evidencias, se requeriría apoyo de otras ramas forenses Habilidades Entender la arquitectura y componentes de las Aplicaciones Web Entender los métodos de ataque y vulnerabilidades
requerimientos de investigación con fuentes de datos relevantes Recolección • Adquisicion y Preservacion de Data • Recoleccion de información validadora • Documentar los procesos Análisis • Extraccion de evidencia de la data • Examen de la evidencia • Validacion cruzada • Reduccion de datos Presentación • Reporte • Demo de la logica para los hallazgos • Presentar Documento de Procesos utilizados
“Descubrir” los archivos necesarios para la investigación: • Logs de Web y Application Server • Server Side Scripts que utilizan los archivos de configuración de los WS, AS y la WebApp • Logs de componentes de terceros • Lo que no “pertenezca”
secuencia de eventos y el grado de compromiso: • Entradas inusuales en los logs • Abuso de Scripts • Intentos excesivos de la misma IP • Tiempos de procesamiento inusuales (SQLi) • Archivos creados o modificados cerca de la hora del evento
a un login de Joomla (asegurado pero sin SSL) 2. Dirección IP registrada 3. Usan Windows XP, Internet Explorer 7 4. Intento de usar un usuario falso para obtener una contraseña
precisa las actividades Lo circundante también aporta: Logs de Sistemas Operativos Flujo de Comunicación en Firewalls Memory Dumps del Web Server Archivos cargados foráneamente
de enormes volúmenes de datos que no pueden ser tratados de manera convencional Volumen – Grandes sets de datos Velocidad – Tasa de crecimiento de la data Variedad – Estructurada, no estructurada Veracidad – Calidad y confiabilidad de la data
y archivos de Configuracion Log de Hadoop y Archivos de Configuración Procesos/Daemons de Host OS Informacion de Procesos de Hadoop Scripts de aplicación de Haddop Evidencia de Registros Data Files HDFS Archivos de usuario HDFS o .Trash Contenido de BD/DWH (HBASE) Salidas de reportes o analisis Data Archivada Evidencia de Usuarios y Aplicaciones Scripts de aplicaciones (Pig) Archivos JAR Log de Hadoop y archivos de configuración Log de aplicaciones y archivos de configuración
Documento formal claro que involucra a las partes necesarias • Accountability • Nombre de Sistema y formato de salida EXACTOS con alto nivel de detalle • Campos a recolectar • Tipos de Fecha y restricción de usuarios
y Teoría Entrevistas, Documentación, Data Surveys, Detección de Anomalías, Patrones Probar la Teoría y Hechos Conocidos Eventos Discretos, lineas de tiempo, analisis de posibilidades, teorías alternas Validar los Hallazgos Validacion cruzada de fuentes, comparar resultados a data-sets conocidos, tecnicas alternas de analisis