Diapositiva Informatica forense JDBC

Agenda• Seguridad Informática y tipos de ataques• Ciclo de Vida de la Informática Forense• Ataques a la tarea del forense• Marco Legal Delitos Informáticos• Casos y demos• Conclusiones

05/10/09 Informática Forense 1


Seguridad Informática

Seguridad informática: Conjunto de medidas o

acciones preventivas, de detección, de

recuperación y correctivas destinadas a proteger

la integridad, confidencialidad y disponibilidad

de los recursos informáticos.



• Integridad: Un recurso sólo puede ser creado, modificado o dado de baja por un usuario autorizado.

• Disponibilidad: El recurso debe estar al alcance de los usuarios para las funciones que lo soliciten.

• Confidencialidad: Los recursos sólo pueden ser conocidos por los usuarios autorizados.



Recursos Informáticos

Intangibles o Lógicos Tangibles o Físicos



Seguridad

Seguridad Lógica Seguridad Física



¿De qué nos debemos proteger?

Amenazas

Humanas

Naturaleza

Intencionales

Internas

No intencionales

Externas


La seguridad en la línea de tiempo…

• Prevención Políticas y controles.• Detección Durante el ataque, IDS, auditoría.• Recuperación ¿Qué hacer cuando la

amenaza se concreta?• Informática Forense ¿Quién, cómo,

cuándo, por qué, QUÉ?



Ciclo de Vida de la I.F.1. Identificación del incidente.2. Requisitoria Pericial3. Entrevista Aclaratoria4. Inspección ocular 5. Recopilación de evidencias. 6. Preservación de la evidencia. 7. Análisis de la evidencia. 8. Documentación y presentación de los resultados.


Identificación del IncidenteComprende el proceso de identificación del

incidente para determinar si el suceso corresponde a un delito informático.

Analizando: • Posibilidad de descoordinación dentro de la

organización.• Revisar Planes de Actualización.• Listas de Accesos


Requisitoria PericialPuede provenir de:

• Una autoridad judicial (Perito de Oficio) - Asignado a solicitud de una de las partes - Asignado a efectos de asesorar.

• Convocado de forma particular sin intervención de una autoridad judicial en una primera instancia.


Entrevista Aclaratoria¿Qué puntos debo tener en cuenta?• No realizar la entrevista en el lugar del incidente.• Planificar los tiempos• Preparar cuestionario• Determinar personalidad de entrevistados• Respetar el marco legal.Resultado:Análisis de alto nivel de los sistemas informáticos involucrados


• Detectar• Identificar• Clasificar• Documentar• Proteger• TransladarUn conjunto probatorio de elementos…

Inspección Ocular

Recopilación de evidencias


• Es posible trabajar con el sistema vivo?• Información Volatil

Registros/Cache/RAM/Estado Conexiones/Rutas/PuertosProcesos en ejecución/Sesiones

• Información RígidaData FileSystem/ MetaData, etc

Preservación de la evidencia


• Realizar 2 copias en DVD• Utilizar métodos de integridad

MD5Sha1

• Etiquetar (hash, fecha y hora)• Confeccionar cadena de Custodia

Responsabilidades y Controles

Análisis de la evidencia


• Preparación para el Análisis• Reconstrucción de la secuencia temporal• Determinar como se realizó el ataque• Identificación del Autor• Evaluación del Impacto en el Sistema

Documentación y presentación de los resultados


• Documentar todo el proceso forense.• Tipos de Documentos

Formulario de Registro del InicidenteInforme TécnicoInforme Ejecutivo

Ataques a la tarea del Perito Informático

Software Forense1. Definición y objetivo

2. Vulnerabilidades

3. Tipos de ataques



Vulnerabilidades

- Denegación de servicio (Denial Of Service, DoS) - Overflow

Consecuencias: frustrar un análisis comprometer la integridad de las investigaciones realizadas.


Tipos de ataques

1. Ocultamiento de datos

2. Ejecución de código y corrupción de la evidencia

3. Denegación de servicio y bloqueo de análisis

Sitios de interés

- CAPEC http://capec.mitre.org

- ISEC Partners https://www.isecpartners.com/publications.html

- Digital Intelligence http://www.digitalintelligence.com/


Tipos de Delitos Informáticos

• Fraudes cometidos mediante manipulación de computadoras.

• Manipulación de los datos de entrada.• Daños o modificaciones de programas o datos

computarizados.


Tipos de Delitos InformáticosConductas Lesivas de la Información:• Falsificación en materia informática. • Sabotaje informático y daños a datos computarizados o

programas informáticos. • Acceso no autorizado. • Intercepción sin autorización. • Reproducción no autorizada de un programa informático

protegido. • Espionaje informático. • Uso no autorizado de una computadora. • Tráfico de claves informáticas obtenidas por medio ilícito. • Distribución de virus o programas delictivos.


Paises con legislación


Alemania (1986)

Estados Unidos (1986)

Austria (1986)

Francia (1988)

Inglaterra (1990)

Italia (1993)

Holanda (1993)

Chile (1993)

Bolivia (1997)

Paraguay (1997)

Brasil (1997)

Perú (2000)

Colombia (2001)

Costa Rica (2001)

Venezuela (2001)

México (2001)

Legislación en la Argentina


01/01/1996 31/12/2009

HITOS DEL DERECHO INFORMÁTICO ARGENTINO

14/10/1998Sanción de la Ley 25036 –

Inclusión del software dentro del régimen de protección de la Propiedad Intelectual

04/06/2008Sanción de la Ley 26388 -

Delitos Informáticos


Habeas Data


Producción de Software


Firma Digital

18/05/2005Sanción de la Ley 26032 -Difusión de la Información


Confidencialidad de la Información y Productos


Promoción de la Industria del Software

Ley Nº 26388


• Ley de Delitos Informáticos

• Sancionada 04 de Junio de 2008

• Objetivo: Tipificación de nuevas figuras penales.

Delitos penados


• Violación, apoderamiento y desvío de comunicación

• Intercepción o captación de comunicaciones

• Acceso a un sistema o dato informático

• Publicación de una comunicación electrónica

• Acceso a un banco de datos personales

• Revelación de información registrada en banco de datos

• Inserción de datos falsos en un archivo de datos personales

• Fraude informático

• Daño o sabotaje informático

• Pornografía infantil por Internet u otros medios electrónicos


¿El Dalai Lama tiene Twitter?

Casos Reales (1)


Este fue uno de los primeros casos de este tipo de falsificación de identidad, que viola las políticas de la empresa Twitter, donde el usuario se beneficio diciendo que era una persona que no era.

Existen muchas formas de verificar la identidad de una persona, como por ejemplo:

* Enviando de una carta con código de verificación a la dirección donde vive dicha persona. (Google Maps)

* Rastreando y verificando el origen de la dirección IP

* Mail de verificación

O en este caso, fue mediante la denuncia pública de falsa identidad por parte de “The Office of His Holiness the Dalai Lama” (OHHDL).

Casos Reales (1)


¿Cómo recuperar los datos de un disco dañado o defectuoso?

Casos Reales (2)


Casos Reales (2)

CD Recovery Toolbox (www.oemailrecovery.com/cd_recovery.html)

Roadkil (http://www.roadkil.net/listing.php?Category=1)

Copy Cat (www.vcsoftwares.com/cc.html)

Software utilizado para la recuperación de los datos:


Otras Herramientas Útiles

SuperScan 3.0 (www.foundstone.com): Análisis de Puertos

Restoration 3.2.13 o Recovery My Files: Recuperación de archivos borrados

DD: permite crear imágenes de discos bit-a-bit, además de ofrecer otras opciones como obtención del hash MD5 de la copia

Dudas


Diapositiva Informatica forense JDBC

Documents

Transcript of Diapositiva Informatica forense JDBC