Introducción a la Informática Forense ADQUISICIÓN DE...
Transcript of Introducción a la Informática Forense ADQUISICIÓN DE...
-
man.com.ar
Introducción a la Informática Forense
ADQUISICIÓN DE EVIDENCIA DIGITAL
-
ADQUISICION DE EVIDENCIA
Definición de Informatica Forense
“ Es la ciencia de adquirir , preservar
, obtener y presentar datos que
han sido procesados
electronicamente y almacenadosen un medio informático ”
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
2
-
ADQUISICION DE EVIDENCIA
Que diferencia la evidenciainformatica de la evidencia
tradicional ?
• La volatilidad
• La capacidad de duplicacion
• La facilidad de alterarla
• La cantidad de Metadatos queposee
4
-
ADQUISICION DE EVIDENCIA
El “iceberg” de los datos
Datos Obtenidos con
herramientas comunes
Datos adicionales obtenidos
con herramientas forenses(Borrados, Renombrados, Ocultos,
Dificiles de obtener…)
5
-
ADQUISICION DE EVIDENCIA
Que contiene un archivo de Imagen forense * ?
o Copia bit a bit Archivos
o Metadatos del sistema operativo
o Espacio utilizado y no utilizado
o Slack space
o Mecanismos de Validación
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
6
-
ADQUISICION DE EVIDENCIA
Que debe hacer una utilidad de imagen forense * ?
o Imagen “cruda” sin alterar el original
o Acceso a discos IDE , SCSI , SATA...
o Verificar la integridad del archivo
o Debe crear un log de errores
o Debe estar documentada
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
7
-
ADQUISICION DE EVIDENCIA
COMO RESGUARDO EVIDENCIA DIGITAL ?
Al resguardar un medio magnético se puede:
1) Hacer una copia Forense(Archivo de evidencia)
2) Hacer un clonado Forense
3) Aportar el disco original
8
-
ADQUISICION DE EVIDENCIA
Formatos de Archivos de Imágen
• Formato Abierto : ddFormato universal de Linux/Unix
• Formato Propietario : Encase ,
FTK , SafebackFormatos aceptados en numerosas cortes del
mundo y validados por instituciones
independientes
9
-
ADQUISICION DE EVIDENCIA
Formato de evidencia “dd”
Simple de utilizar
Split externo
Hash MD5 externo
Compresión externa
Checksum externo
Sin límite de tamaño
10
-
ADQUISICION DE EVIDENCIA
Formato de evidencia “Encase”
Simple de utilizar
Split y compresión nativa
Hash MD5
CRC ajustable /granularidad
límite de tamaño de cada split 2 GB
Soporte password de adquisición
11
-
ADQUISICION DE EVIDENCIA
INTEROPERABILIDAD DE ARCHIVOS DE
EVIDENCIA
* Compatibilidad de las aplicaciones forenses
* Conversion de Formatos
13
-
ADQUISICION DE EVIDENCIA
ARCHIVOS DE EVIDENCIA LOGICA
ARCHIVO DE EVIDENCIA FISICA ARCHIVO DE EVIDENCIA LOGICA
•COPIA FISICA •COPIA DE ARCHIVOS LOGICOS
•HASH MD5 •HASH MD5 DE CADA ARCHIVO
14
-
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
• Adquisición Según el lugar
Laboratorio
Campo
• Adquisición por método
Directa
Indirecta
15
-
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
Aspectos a tener en cuenta paraelegir el modo de adquisición
Lugar
Posibilidad de apertura del CPU
Tiempo disponible
Espacio de almacenamiento
16
-
ADQUISICION DE EVIDENCIA
LIVE CD
Puede ser Windows o Linux
Live CD según plataforma
PC Helix , BartPE , EBCD
MAC PPC Ubuntu , BBCD
MAC Intel Helix , EBCD
18
-
ADQUISICION DE EVIDENCIA
CUESTIONES BASICAS PARA LA ADQUISICION EN
EL CAMPO
Acceso al BIOS para :
Verificar Secuencia de arranque
Registrar Fecha y hora RTC
• Usualmente no es posible conocer el escenario
de adquisición anticipadamente..
• El paradigma de la apertura
19
-
ADQUISICION DE EVIDENCIA
Escenario simple de adquisición en campo
20
-
ADQUISICION DE EVIDENCIA
Escenario complejo de adquisición en campo
21
-
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO DIRECTO
Es el más rápido pero requiere de un bloqueador de
escritura (Write blocker) o un OS (DOS-Linux)
modificado
Pasos a seguir :
1. Extraer disco de PC sospechoso
2. Montar disco en CPU de adquisición
3. Adquirir imagen
4. Reinstalar disco en PC sospechoso
Sospechoso Investigador
22
-
ADQUISICION DE EVIDENCIA
BLOQUEADORES DE ESCRITURA /DUPLICADORES
FORENSES
23
-
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Directa
PC del Investigador
Write Blocker para Windows o
adquisición directa para DOS ó
Linux modificados
Adquisición DOS
/Windows/ LinuxAlmacenamiento adicional
24
-
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO INDIRECTO
Permite adquirir sin apertura pero...Donde
guardo la imagen ?
Pasos a seguir :
Lograr Conectividad equipo de adquisición
Correr aplicación “Server” en PC
sospechoso
Adquirir imagen
25
-
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Indirecta
Adquisición DOS /
Windows/ Linux
Sospechoso Investigador
Almacenamiento adicional USB
26
-
ADQUISICION DE EVIDENCIA
Comparativa de Tiempos de Adquisición
Los tiempos mejoran un 30 % en discos PATA 133 y un 50
% en SATA usando Fastbloc2 - Al usar compresión el
tiempo aumenta en un factor de 1.3 a 1.5
OS Adquisición Método Tiempo /GB
Linux Indirecto 10 m 17 s
Windows Directo 1 m 57 s
Linux Directo 5 m 58 s
27
-
ADQUISICION DE EVIDENCIA
ADQUISICION DE EVIDENCIA EN RED
Respuesta a incidentes inmediata
Adquisición de servidores en
producción
Adquisición de imágenes de
cualquier nodo
Adquisición en modo invisible
28