Post on 21-Sep-2020
man.com.ar
Introducción a la Informática Forense
ADQUISICIÓN DE EVIDENCIA DIGITAL
ADQUISICION DE EVIDENCIA
Definición de Informatica Forense
“ Es la ciencia de adquirir , preservar
, obtener y presentar datos que
han sido procesados
electronicamente y almacenadosen un medio informático ”
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
2
ADQUISICION DE EVIDENCIA
Que diferencia la evidenciainformatica de la evidencia
tradicional ?
• La volatilidad
• La capacidad de duplicacion
• La facilidad de alterarla
• La cantidad de Metadatos queposee
4
ADQUISICION DE EVIDENCIA
El “iceberg” de los datos
Datos Obtenidos con
herramientas comunes
Datos adicionales obtenidos
con herramientas forenses(Borrados, Renombrados, Ocultos,
Dificiles de obtener…)
5
ADQUISICION DE EVIDENCIA
Que contiene un archivo de Imagen forense * ?
o Copia bit a bit Archivos
o Metadatos del sistema operativo
o Espacio utilizado y no utilizado
o Slack space
o Mecanismos de Validación
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
6
ADQUISICION DE EVIDENCIA
Que debe hacer una utilidad de imagen forense * ?
o Imagen “cruda” sin alterar el original
o Acceso a discos IDE , SCSI , SATA...
o Verificar la integridad del archivo
o Debe crear un log de errores
o Debe estar documentada
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
7
ADQUISICION DE EVIDENCIA
COMO RESGUARDO EVIDENCIA DIGITAL ?
Al resguardar un medio magnético se puede:
1) Hacer una copia Forense(Archivo de evidencia)
2) Hacer un clonado Forense
3) Aportar el disco original
8
ADQUISICION DE EVIDENCIA
Formatos de Archivos de Imágen
• Formato Abierto : ddFormato universal de Linux/Unix
• Formato Propietario : Encase ,
FTK , SafebackFormatos aceptados en numerosas cortes del
mundo y validados por instituciones
independientes
9
ADQUISICION DE EVIDENCIA
Formato de evidencia “dd”
Simple de utilizar
Split externo
Hash MD5 externo
Compresión externa
Checksum externo
Sin límite de tamaño
10
ADQUISICION DE EVIDENCIA
Formato de evidencia “Encase”
Simple de utilizar
Split y compresión nativa
Hash MD5
CRC ajustable /granularidad
límite de tamaño de cada split 2 GB
Soporte password de adquisición
11
ADQUISICION DE EVIDENCIA
INTEROPERABILIDAD DE ARCHIVOS DE
EVIDENCIA
* Compatibilidad de las aplicaciones forenses
* Conversion de Formatos
13
ADQUISICION DE EVIDENCIA
ARCHIVOS DE EVIDENCIA LOGICA
ARCHIVO DE EVIDENCIA FISICA ARCHIVO DE EVIDENCIA LOGICA
•COPIA FISICA •COPIA DE ARCHIVOS LOGICOS
•HASH MD5 •HASH MD5 DE CADA ARCHIVO
14
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
• Adquisición Según el lugar
Laboratorio
Campo
• Adquisición por método
Directa
Indirecta
15
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
Aspectos a tener en cuenta paraelegir el modo de adquisición
Lugar
Posibilidad de apertura del CPU
Tiempo disponible
Espacio de almacenamiento
16
ADQUISICION DE EVIDENCIA
LIVE CD
Puede ser Windows o Linux
Live CD según plataforma
PC Helix , BartPE , EBCD
MAC PPC Ubuntu , BBCD
MAC Intel Helix , EBCD
18
ADQUISICION DE EVIDENCIA
CUESTIONES BASICAS PARA LA ADQUISICION EN
EL CAMPO
Acceso al BIOS para :
Verificar Secuencia de arranque
Registrar Fecha y hora RTC
• Usualmente no es posible conocer el escenario
de adquisición anticipadamente..
• El paradigma de la apertura
19
ADQUISICION DE EVIDENCIA
Escenario simple de adquisición en campo
20
ADQUISICION DE EVIDENCIA
Escenario complejo de adquisición en campo
21
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO DIRECTO
Es el más rápido pero requiere de un bloqueador de
escritura (Write blocker) o un OS (DOS-Linux)
modificado
Pasos a seguir :
1. Extraer disco de PC sospechoso
2. Montar disco en CPU de adquisición
3. Adquirir imagen
4. Reinstalar disco en PC sospechoso
Sospechoso Investigador
22
ADQUISICION DE EVIDENCIA
BLOQUEADORES DE ESCRITURA /DUPLICADORES
FORENSES
23
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Directa
PC del Investigador
Write Blocker para Windows o
adquisición directa para DOS ó
Linux modificados
Adquisición DOS
/Windows/ LinuxAlmacenamiento adicional
24
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO INDIRECTO
Permite adquirir sin apertura pero...Donde
guardo la imagen ?
Pasos a seguir :
Lograr Conectividad equipo de adquisición
Correr aplicación “Server” en PC
sospechoso
Adquirir imagen
25
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Indirecta
Adquisición DOS /
Windows/ Linux
Sospechoso Investigador
Almacenamiento adicional USB
26
ADQUISICION DE EVIDENCIA
Comparativa de Tiempos de Adquisición
Los tiempos mejoran un 30 % en discos PATA 133 y un 50
% en SATA usando Fastbloc2 - Al usar compresión el
tiempo aumenta en un factor de 1.3 a 1.5
OS Adquisición Método Tiempo /GB
Linux Indirecto 10 m 17 s
Windows Directo 1 m 57 s
Linux Directo 5 m 58 s
27
ADQUISICION DE EVIDENCIA
ADQUISICION DE EVIDENCIA EN RED
Respuesta a incidentes inmediata
Adquisición de servidores en
producción
Adquisición de imágenes de
cualquier nodo
Adquisición en modo invisible
28