informatica-forense

Informática Forense

José Herná[email protected]

@0800jose

mailto:[email protected]


Conceptos Básicos

Definición

Metodología Básica

Análisis de la comunicación de datos

Herramientas

Ventajas de Linux como herramienta de análisis forense

Conceptos Basicos

Si hay un forense es que

hubo o hay sospecha de un crimen

El Crimen Informático

Crimen Informático en sentido estricto

Crimen Informático en sentido amplio

Cualquier comportamiento ilegal cometido con un sistema informático o una red, incluyendo crímenes como la posesión ilegal, la oferta y la distribución de información

Cualquier comportamiento ilegal, dirigido por medio de operaciones electrónicas que tengan como objetivo la seguridad de sistemas informáticos y de los datos que procesan


DEFINICION

Es la aplicación de técnicas científicas y analíticas

especializadas a infraestructura tecnológica que permiten identificar,

preservar, analizar y presentar datos que sean

válidos dentro de un proceso legal

Hubo un crimen…

Objetivos de la Informática Forense

Reconstruir el bien informático

Examinar datos residuales

Autenticar datos

Alcance de la Informática Forense

Extracción

Conservación

Identificación

Documentación

Interpretación

Presentación de las evidencias digitales


1. Adquirir las evidencias

2. Comprobar (Autenticar) las evidencias

3. Analizar los datos sin modificarlos


1. Adquirir las evidencias

Sin alterar ni dañar el original.

Detenerlo y examinar una copia de los datos originales: No se puede examinar un sistema presuntamente

comprometido utilizando las herramientas que se encuentran en dicho sistema pues estas pueden estar afectadas.

La Cadena de Custodia documenta el proceso completo de las evidencias durante la vida del caso: Quién la recogió y donde, quien y como la almacenó, quién

la procesó… etc. Cada evidencia deberá ser identificada y etiquetada a ser

posible en presencia de testigos, con el número del caso, una breve descripción, la firma y la fecha en que fue recogida


2. Comprobar (Autenticar)

Se debe Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de la investigación son idénticas a las abandonadas por el delincuente en la escena del crimen.

Data corrupta, generá conclusiones corruptas.


3. Analizar los datos sin modificarlos.

Es crucial proteger las evidencias físicas originales trabajando con copias idénticas de forma que en caso de error se pueda recuperar la imagen original y continuar con el análisis de forma correcta. Copias deben ser clones realizados bit a bit del

dispositivo original Control de integridad de la copia

antes de comenzar el análisis

Evidencia Digital Vs Evidencia Física

Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera el original.

Con herramientas adecuadas es fácil determinar si la evidencia ha sido modificada o falsificada.

Es relativamente difícil destruir una evidencia digital. Incluso borrándola puede ser recuperada del disco.

Análisis de la comunicación

de datos

1. Intrusión en una red de computadoras o mal uso de la misma.

2. Interceptación de datos.


Intrusión en una red de computadoras o mal uso de la misma.a) Detección de la intrusión.

b) Detectar la evidencia, capturarla y preservarla; y

c) Reconstrucción de la actividad específica o del hecho en sí.


Intrusión en una red de computadoras o mal uso de la misma.Identificar y aislar un comportamiento potencialmente ilegal.

Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.


a) sistema operativo afectado.

b) inventario de software instalado en el equipo

c) tipo de hardware del equipo

d) accesorios y/o periféricos conectados al equipo

e) si posee firewall

f) si esta en el ámbito del DMZ (Zona desmilitarizada)

g) conexión a internet

h) configuración

i) parches y/o actualizaciones de software

j) políticas de seguridad implementadas

k) forma de almacenamiento de la información (cifrada o no)

l) personas con permisos de acceso al equipo

m) el pc esta dentro del DMZ

n) existe IDS

o) cuantos equipos en red

Antes de realizar un análisis se debe tener en cuenta la siguiente información

Herramientas

• Cómputo Forense

• Análisis de discos duros

• Análisis de correo electrónico

• Análisis de Usb

Herramientas del Cómputo Forense

Sleuth Kit (Forensics Kit)

Py-Flag (Forensics Browser)

Autopsy (Forensics Browser for Sleuth Kit)

dcfldd (DD Imaging Tool command line tool and also works with AIR)

foremost (Data Carver command line tool)

Air (Forensics Imaging GUI)

md5deep (MD5 Hashing Program)

netcat (Command Line)

cryptcat (Command Line)

NTFS-Tools

qtparted (GUI Partitioning Tool)

regviewer (Windows Registry)

Viewer

Herramientas

Análisis de discos duros

AccessData Forensic ToolKit (FTK)

Guidance Software EnCase

Análisis de disco duro

Paraben

Análisis de usb

USBdeview

Ventajas de linux en el

análisis forense

Linux es un entorno ideal en el cual realizar tareas de análisis forense pues está

dotado de gran

variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la

realización

de un análisis exhaustivo de un sistema comprometido.

Ventajas de linux en el análisis forense

Captura de todo los tecleado en el sistema:# script –a fichero

Transferir vía red la información del servidor afectado a otro sistema en el cual realizar el análisis:# nc –l –p puerto > fichero de salida

Captura de pantalla con x-view:# xwd –display direccionIP:0 –root > pantalla.xwd

Ventajas de linux en el análisis forense

Captura de la memoria:# strings /dev/mem | more

Análisis conexión de red:# netstat –pan | more

Copia de disco duro y sistema de arhivo:# dd if=/dev/zero of=/dev/fd0

No hay crimen impune

La desconfianza es madre de la seguridad. (Aristófanes)

Muchas Gracias

Preguntas ??

informatica-forense

Documents

Transcript of informatica-forense